Případem se na podnět dvou organizací věnujících se ochraně soukromí začala zabývat právě CNIL, protože úřad v Irsku, kde sídlí evropská centrála Googlu, neměl dostatečnou rozhodovací pravomoc. Stížnost byla podána jménem několika tisíců uživatelů systému Android, a to tentýž den, kdy GDPR vstoupilo v platnost.

Google neposkytl uživatelům informace v dostatečně přehledné formě
CNIL shledala, že informace, které Google poskytoval uživatelům, nebyly dostatečně snadno přístupné. Informace, které je dle GDPR třeba poskytovat (např. účel zpracování nebo doba uchování osobních údajů), byly roztříštěny v několika dokumentech, které vyžadovaly pět až šest prokliků či jiných akcí, pokud chtěl uživatel získat kompletní informace. Komise také došla k závěru, že Googlem uváděné účely zpracování jsou příliš vágní a nedostatečně vysvětlující právní důvody zpracování. Uživatelům tak nemuselo být jasné, zda je důvodem zpracování jejich souhlas nebo ochrana oprávněných zájmů Googlu.

CNIL shledala přednastavené souhlasy za neplatné
Souhlasy, kterými Google disponoval pro účely personalizace reklamy byly shledány neplatné ze dvou důvodů. Zaprvé, opět kvůli roztříštěnosti informací, uživatelé neměli možnost se dopátrat skutečného rozsahu služeb a aplikací, které data využívají, tedy nebyli dostatečně informováni.

Zadruhé souhlasy nebyly dostatečně jednoznačné ani konkrétní (uděleny zvlášť pro každý účel). Aby si uživatelé mohli vytvořit účet, museli zaškrtnout, že souhlasí s podmínkami užití a se zpracováním osobních údajů „popsaných výše a vysvětlených v pravidlech zpracování osobních údajů.“ Tím uživatelé udělili souhlas pro všechny účely jako je personalizace reklamy nebo hlasové ovládání. Google nezachránilo ani to, že uživatelům v nastavení následně umožnil odkliknout přednastavený souhlas s personalizací reklamy. Jako příklad správného postupu zmínila CNIL aktivní zaškrtnutí prázdného políčka uživatelem.

Výše pokuty odůvodněna porušením základních principů
Výši pokuty pak CNIL odůvodnila závažností porušení, které se týkalo základních principů, na kterých GDPR stojí: transparentnost, informovanost, a souhlas. Zároveň komise uvedla, že k tomuto porušování docházelo ve velkém rozsahu až do dnešního dne, a nešlo tedy o porušení jednorázové. CNIL k tíži Googlu zohlednila i to, že jejich ekonomický model je částečně založen na personalizaci reklamy, a je tak jejich „nejvyšší zodpovědností dostát aplikovatelným povinnostem.“

Český úřad v loňském roce avizoval, že až do přijetí adaptační legislativy chce především zvyšovat povědomí o GDPR a ne primárně trestat. Nařízení se ale aplikuje v celé EU stejně, a tak není důvod se domnívat, že v případě takto rozsáhlého a systémového pochybení by ÚOOÚ případ vyhodnotil jinak než CNIL.

Článek je součástí zpravodaje dReport – leden 2019, Právní novinky.