Pierwsze znaczące zastosowanie GDPR
Wreszcie jest? Sprawa dotyczy postępowania w związku ze skargą na Google. Dotyka wielu zasad RODO. I doprowadziła do skorzystania z opcji "środków naprawczych" 50 milionów €.
W drugiej połowie stycznia 2019 francuski urząd ochrony danych CNIL stwierdził, że informacje o przetwarzaniu danych oferowane są użytkownikowi w sposób nieprzejrzysty. Dzieje się tak chociażby poprzez ich rozproszenie na wielu różnych stronach i podstronach. By je poznać, w ocenie CNIL użytkownik musi wykonać zbyt wiele działań, zbyt wiele klikań. Co więcej, informacje te zdają się być często niejasne. W efekcie, użytkownicy mogą mieć trudności ze zrozumieniem tego jak ich dane są przetwarzane.
CNIL ocenia, że zgoda na przetwarzanie danych jest pozyskiwana w sposób nieprawidłowy. Czyniłoby to ją ją nieważną. CNIL argumentuje, że użytkownik może mieć trudności ze zrozumieniem tego jak przetwarzane są dane użytkownika, chociażby do personalizacji (m.in. reklam). Zgody pozyskiwane nie są w sposób jednoznaczny (z punktu widzenia użytkownika; zgodę RODO analizuję w tym artykule). Podczas tworzenia konta z poziomu Androida (bo Androida dotyczyła "skarga" złożona do CNIL), zgody są wybrane ("zaznaczone" pola) domyślnie. Zgody powinny w jaśniejszy sposób dotyczyć poszczególnych operacji przetwarzania.
Wszystko co mówiono o "zgodzie" przed zaczęciem obowiązywania GDPR potraktowano więc poważnie.
50 milionów €
Wiele wskazywało na to, że takie pierwsze znaczące zastosowanie tych nowych narzędzi, które daje RODO zbliża się. Istotnie, pierwszy przypadek ich użycia dotyczy od razu wielu zasad (artykułów) GDPR. CNIL wyszedł poza znane (bo "spopularyzowane") ograniczenia do 20 milionów euro. Wybrano pułap maksymalny (4% obrotów za ub. rok). Idąc tym tokiem rozumowania, faktycznie zastosowana kwota jest zresztą znacznie niższa od maksymalnej możliwej, która w tym przypadku mogłaby wynieść nawet ok. €4 miliardów. Przy ustalaniu pułapu grzywny CNIL odnotował fakt, że stwierdzone naruszenia istnieją do dzisiaj, a zatem trwają w trybie ciągłym.
Stąd ostatecznie stwierdzony środek naprawczy 50 milionów €.
Pierwsze znaczące egzekwowanie zasad RODO i tak doprowadziło do nałożenia "kary, która jest największą w historii (za naruszenie ochrony danych). I to w skali świata. To w pewnym sensie wydarzenie historyczne dla (formalnej) ochrony prywatności.
Nie powinno dziwić, że pierwsze takie działanie przyszło od strony francuskiego urzędu ochrony danych, który od dawna wykazywał się aktywnością i profesjonalizmem. Pojawiły się też (niewiele ich!) głosy, że odchodząca z końcem miesiąca szefowa CNIL być może miała chęć przypisania sobie ("na odchodnym") pierwszego takiego wyegzekwowania RODO. Nie warto traktować takich głosów poważnie. Wręcz przeciwnie - teraz oczekiwać działań od organów innych państw.
Bo era GDPR / RODO już tu jest. Działań tej skali będzie więc więcej. Raczej szybciej niż później.
Wnioski na przyszłość:
- Warto dobrze projektować rozwiązania odpowiedzialne za przetwarzanie prywatnych danych, w odniesieniu do standardów i dobrych praktyk.
- Traktowanie złożonych skarg jest dobrym pomysłem
- Wiele było o RODO "fałszywych" informacji, "demonizujących" i "straszących". Nie warto tego robić.
- Z drugiej strony twierdzenie, że "to wszystko przesada" także nie musi być prawidłowe.
- Podstawy nałożenia grzywny przez CNIL odnoszą się bardzo ściśle do GDPR i nawet idą wbrew niektórym opiniom (niekiedy występującym także w Polsce).
- Proces "śledczy" był stosunkowo krótki. Niektórzy będą twierdzili, że zbyt krótki.
Artykuł jest rozwinięciem moich opinii wyrażonych w komentarzach dla Guardian, Financial Times i Polskiej Agencji Prasowej.