Deze week verschenen er meedere nieuwsberichten inzake Google en haar privacyvoorwaarden. Het bedrijf veranderde op dinsdag de privacy policy voor alle Nederlandse gebruikers. Een dag daarvoor werd, toevallig of niet, eveneens bekend dat de Franse privacytoezichthouder (CNIL) een boete van 50 miljoen (!) aan Google heeft opgelegd. Reden hiervoor is dat de privacyvoorwaarden van laatstgenoemde niet voldoen aan de vereisten van de AVG. Vooralsnog is dit de hoogste boete die is opgelegd door een toezichthouder sinds de inwerkingtreding van de AVG.
transparantie
Het CNIL laat weten dat op meerdere vlakken door Google niet is voldaan aan de Europese privacywetgeving. Naar aanleiding van ingediende klachten besloot de Franse toezichthouder een onderzoek in te stellen naar de privacyvoorwaarden van het bedrijf. Uit dit onderzoek blijkt nu dat Google onder andere niet transparant en duidelijk informeert over bepaalde aspecten. Daarbij komt dat de informatie voor gebruikers moeilijk toegankelijk is. Essentiële informatie met betrekking tot de doeleinden voor de verwerking, de bewaartermijnen van de opslag en de categorieën persoonsgegevens die verwerkt worden voor gepersonaliseerde advertenties, is uitbundig verspreid over meerdere documenten. De CNIL geeft aan dat het soms 5 tot 6 handelingen vergt om de relevante informatie daadwerkelijk te kunnen inzien.
Naast het feit dat de structuur te wensen overlaat, worden bepaalde aspecten in de privacyvoorwaarden eveneens te vaag geformuleerd. Wederom noemt de CNIL de doeleinden van Google voor de verwerking van de persoonsgegevens. Ook ontbreken er een aantal bewaartermijnen voor de opslag van verschillende data en is het document onduidelijk over de wettelijke grondslag voor de verwerking van data voor gepersonaliseerde advertenties.
Gepersonaliseerde advertenties
Voor het aanbieden van gepersonaliseerde advertenties en de daarvoor benodigde verwerking van data meent Google dat het rechtmatig toestemming heeft gekregen van de gebruiker. De Franse toezichthouder stelt daarentegen dat deze toestemming niet geldig is verkregen. Doordat de informatie over verschillende documenten is verspreid, kan de gebruiker redelijkerwijze niet goed beseffen wat de impact is van de dataverwerking. Zodoende is de gebruiker niet goed geïnformeerd. CNIl constateert verder dat de toestemming eveneens niet specifiek en ondubbelzinnig is gegeven. De gebruiker dient bij het aanmaken van een account toestemming te geven voor alle verwerkingen van data. Voor de gebruiker is niet duidelijk dat voor alle diensten van Google in dat geval toestemming wordt gegeven om gepersonaliseerde advertenties weer te geven. Daarbij komt nog dat het geven van toestemming voor deze advertenties standaard al staat aangevinkt. Onder de AVG vereist het geven van toestemming een actieve handeling van de gebruiker. Dit is bij Google derhalve niet het geval met als gevolg dat de toestemming niet ondubbelzinnig is gegeven en geen rechtsgeldige grondslag is voor de verwerking.
Hoogte boete
Volgens de Franse toezichthouder is de hoogte van de boete gerechtvaardigd. Google schendt essentiële pijlers van de Europese privacywetgeving zoals het transparantiebeginsel en de manier waarop toestemming verkregen dient te worden van de gebruiker, aldus CNIL. Bovendien heeft Google een groot marktaandeel op de Franse markt en is het aanbieden van gepersonaliseerde advertenties, waar Google geen rechtsgeldige grondslag voor heeft, het voornamelijk verdienmodel van het bedrijf. Het is daarom belangrijk dat Google zich houdt aan de wetgeving, aldus de toezichthouder.
Een woordvoerder van Google heeft laten weten dat het begrijpt dat mensen hoge standaarden verwachten van het bedrijf. Google is enorm toegewijd om te zullen voldoen aan de vereisten van transparantie en aan alle andere voorwaarden die voortvloeien uit de AVG, aldus de woordvoerder. Op dit moment onderzoekt Google nog of het eventuele vervolgstappen zal gaan nemen tegen het besluit.