Francouzský úřad pro ochranu osobních údajů si došlápl na Google | Marwick.cz
Marwick.cz

Francouzský úřad pro ochranu osobních údajů si došlápl na Google

Právo 13.3.2019 Martin Čapek, Filip Horák
Francouzský úřad pro ochranu osobních údajů si došlápl na Google
O tom, že na rozdíl od „starých“ pravidel pro ochranu osobních údajů ta nová nejsou bezzubá, se nedávno na vlastní kůži přesvědčil sám internetový gigant – Google. Francouzský dozorový úřad v oblasti ochrany osobních údajů (CNIL)* udělil 21. ledna 2019 nadnárodní společnosti rekordní pokutu za porušování pravidel obecného nařízení pro ochranu osobních údajů (GDPR) ve výši 50 milionů eur. Vedle toho, že jde o dosud nejvyšší udělenou pokutu od účinnosti GDPR, obsahuje rozhodnutí řadu zajímavých aspektů aplikace nového nařízení.

První zajímavostí je, že úřad uplatnil článek 80 GDPR a rozhodnutí vydal na základě stížnosti podané dvěma neziskovými organizacemi zastupujícími dohromady 9 974 osob.
Z rozhodnutí je na první pohled zřejmé, že francouzský regulátor neuplatnil princip „one-stop-shop“**, když odmítl premisu, že evropské ústředí Google v Irsku (Google Ireland Limited) je jeho hlavním sídlem v EU. To by totiž znamenalo, že by příslušným úřadem byl irský regulátor***. Dle CNIL ale Google nemá hlavní sídlo v EU, jelikož veškerá rozhodovací pravomoc týkající se zpracování dat vztahujících se k systému Android a účtům Google náleží ústředí Google v USA (Google LLC). Tyto závěry francouzský úřad opřel mimo jiné o skutečnost, že zásady ochrany osobních údajů Google nikde nezmiňují Google Ireland Limited jako správce. Zároveň Google Ireland Limited neustanovil svého pověřence pro ochranu osobních údajů, aby dohlížel na zpracování osobních údajů na území EU.

Samotné rozhodnutí demonstruje, že francouzský regulátor zvolil poněkud restriktivní výklad, co se týče konceptu „hlavního sídla“. Pokud by ze strany evropských regulátorů tento výklad převládl, budou společnosti s ústředím nacházejícím se mimo EU vystaveny značnému riziku, že pravidla GDPR na nich bude potenciálně vymáhat hned několik regulátorů. V takovém případě by se princip „one-stop-shop“ stal v podstatě nadbytečným. Na toto úskalí jsme od počátku na řadě školení či konferencích upozorňovali.

Jádro rozhodnutí se pak soustředí na dva hlavní aspekty, a sice porušení principu transparentnosti a nedostatek právního základu pro zpracování osobních údajů (zejména články 12 a 13, resp. 6 GDPR).

Dle CNIL Google poskytoval uživatelům neúplné, nepřesné, těžko dostupné a často protichůdné informace, na jejichž základě uživatelé nemohli dostatečně porozumět konkrétním následkům zpracování svých osobních údajů (např. k relevantním informacím se uživatel mohl dostat, až když se k nim „proklikal“ v přibližně 5–6 krocích).

Pokud jde o nedostatek právního základu pro zpracování, dozorový úřad je toho názoru, že Google nesplnil v souladu s GDPR zákonné požadavky vztahující se k uděleným souhlasům. Zejména pak uživatelům neposkytl takové informace, které by byly dostupné, dostatečné a srozumitelné a které by umožňovaly uživatelům učinit informované rozhodnutí (např. v případě užití dat pro personalizované reklamy není z podmínek jasné, že Google zpracovává osobní údaje v řadě svých služeb, například v rámci vyhledávače, Google Maps, Youtube, Google Play a dalších). 

CNIL dále podotkl, že Google při první žádosti o souhlas staví uživatele před rozhodnutí, zda souhlasit s veškerým zpracováním v rámci svých služeb či nikoliv. Až v rozšířeném nastavení se mohli uživatelé dopátrat možnosti, jak souhlasit pouze se zpracováním vztahujícím se ke konkrétní službě. Úřad rovněž upozornil na skutečnost, že zaškrtávací políčka jsou v rozporu s nařízením předvyplněna. V takovém případě určitě nelze hovořit o udělení souhlasu jednoznačným potvrzením, které by vyjadřovalo svobodné, konkrétní, informované a jednoznačné svolení subjektu údajů se zpracováním osobních údajů.

Co se týče výpočtu samotné výše uložené pokuty, je v tomto směru dané rozhodnutí poněkud vágní. Jelikož je pokuta vyšší než 20 milionů eur, je evidentní, že je založena na kritériu max. 4 % celosvětového obratu. Vzhledem k obratu „francouzské pobočky“ Google lze usoudit, že pokuta byla vypočtena na základě celosvětového obratu holdingové společnosti (Alphabet Inc.). GDPR neodpovídá jasně na otázku týkající se základu, z něhož ona procenta mají být vypočtena. Užitím celosvětového obratu holdingové společnosti jako základu pro výpočet pokuty pro dceřinou společnost se ale potvrzují některé dříve publikované názory, které užívají analogii s porušením pravidel hospodářské soutěže.
Při určování výše udělené pokuty CNIL zohlednil zejména:

(i)    povahu porušení povinností, kdy dle úřadu byly ze strany Google porušeny dvě výše zmíněné základní zásady ovládající ochranu osobních údajů, a sice zásada transparentnosti a zásada zákonnosti,
(ii)    dobu, po kterou porušení trvalo, kdy Google nebral v potaz stanovisko CNIL uvádějící, že byla porušena pravidla GDPR, 
(iii)    rozsah porušení, kdy bylo zejména přihlédnuto k prominentnímu postavení Google na francouzském trhu, počtu uživatelů jeho služeb, množství a rozmanitosti osobních údajů a prakticky neomezené možnosti jejich zpracování, 
(iv)    zisk získaný v souvislosti s porušením – zejména při uvážení role, jakou hraje zpracování osobních údajů v souvislosti se zisky společnosti Google (obzvláště v případě personalizované online reklamy).

Vzhledem k výše uvedenému lze předpokládat, že Google užije veškerých dostupných prostředků, aby nejen zpochybnil způsob výpočtu udělené pokuty, ale aby toto rozhodnutí celkově zvrátil. Internetový gigant dle očekávání oznámil, že se proti rozhodnutí francouzského úřadu odvolá. V blízké budoucnosti nás tak s největší pravděpodobností čeká významné soudní rozhodnutí, které výklad GDPR značně ovlivní.

*   Commission nationale de l'informatique et des libertés.
**  Vedoucí dozorový úřad a mechanismus jednotnosti. 
*** Hlavní provozovna společnosti Google v Evropské unii je od 22. ledna 2019 umístěna v Irsku – tato změna nabyla účinnosti přesně jeden den po vydání rozhodnutí CNIL.
autor
Martin Čapek, Filip Horák

Nástrahy inteligentní domácnosti pohledem právníka

Nástrahy inteligentní domácnosti pohledem právníka

Kdo odpovídá za škodu způsobenou umělou inteligencí? Výrobce, majitel přístroje, nebo dodavatel dat? Také tento hlavolam zkouší vyřešit Evropská unie.

Google utržil další ránu za 2,42 mld. eur

Google utržil další ránu za 2,42 mld. eur

Společnost Google a její mateřská společnost Alphabet prohrály další spor s Evropskou komisí. Pokutu udělenou za zneužívání dominantního postavení na trhu potvrdil Tribunál Soudního dvora Evropské unie. Snaha Googlu zvrátit rozhodnutí Komise, které nejen že ukládá rekordní pokutu, ale zároveň naznačuje směr pro budoucí rozhodovací praxi, tak vyšla naprázdno.
Ladislav Karas: Pro přivýdělek ve stejném oboru je potřeba souhlas zaměstnavatele

Ladislav Karas: Pro přivýdělek ve stejném oboru je potřeba souhlas zaměstnavatele

Jak sladit přivýdělek s pracovní dobou je jedna věc. Jak ho sladit se zákoníkem práce, radí Ladislav Karas, advokát KPMG Legal.
Komise navrhla ambiciózní reformu digitálního prostoru

Komise navrhla ambiciózní reformu digitálního prostoru

Evropská komise chystá nová pravidla pro digitální služby. Měla by přinést největší změny od roku 2000.
EDPB a jeho „návod“ pro datové přenosy po rozhodnutí Schrems II

EDPB a jeho „návod“ pro datové přenosy po rozhodnutí Schrems II

V listopadu 2020 vydal Evropský sbor pro ochranu osobních údajů (European Data Protection Board – EDPB) dlouho očekávaná doporučení ohledně přenosu osobních údajů mimo EU. Navazují na přelomové rozhodnutí Soudního dvora EU známé jako „Schrems II (C-311/18)“.
Amazon opět v hledáčku Komise – tentokrát kvůli využití dat obchodníků na Marketplace

Amazon opět v hledáčku Komise – tentokrát kvůli využití dat obchodníků na Marketplace

Evropská komise informovala největšího internetového prodejce Amazon o svém předběžném zjištění o porušení antimonopolních pravidel EU. Údajně měl narušit hospodářskou soutěž na maloobchodních trzích provozovaných online. 
Návrh nařízení o správě dat unikl před zveřejněním a sklidil kritiku

Návrh nařízení o správě dat unikl před zveřejněním a sklidil kritiku

Podle uniklého návrhu je cílem vytvoření dobré infrastruktury pro sdílení dat, a přinést tak EU „digitální suverenitu“. 
Evropská regulace AI na obzoru

Evropská regulace AI na obzoru

Evropský parlament hlasoval v říjnu o návrzích pravidel pro umělou inteligenci (AI). Europoslanci přijali Etický rámec, zprávu o právech k duševnímu vlastnictví a především předběžný návrh nařízení o odpovědnosti za provoz systémů AI.