De privacywaakhond van Frankrijk (CNIL) legt Google een boete op van 50 miljoen euro, vanwege het schenden van de GDPR/AVG. Dit is de eerste boete die Frankrijk oplegt onder de AVG. Volgens de autoriteit informeert Google gebruikers die een account aanmaken niet juist over de data die het bedrijf van hen verzamelt.
Essentiële informatie
“Essentiële informatie, zoals de reden voor de verwerking van data, de periode waarvoor de data worden bewaard of de categorieën van persoonlijke gegevens gebruikt voor personalisatie van advertenties, zijn buitensporig verspreid over meerdere documenten, met knoppen en links waarop geklikt moet worden om aanvullende informatie te krijgen”, schrijft de Franse toezichthouder.
“De relevante informatie is alleen na enkele stappen toegankelijk, in sommige gevallen na vijf of zes acties. Dit is bijvoorbeeld het geval wanneer een gebruiker compleet geïnformeerd wil zijn over de gegevens die verzameld worden voor personalisatie van advertenties of voor het bijhouden van locatiegegevens.”
De getoonde informatie is bovendien niet altijd duidelijk of volledig, oordeelt de CNIL. “De commissie merkt met name op dat de doeleinden van de verwerking te algemeen en te vaag zijn geformuleerd”, schrijft de Franse privacywaakhond. Dat geldt naar het oordeel van de CNIL ook voor de verschillende categorieën van data die Google verzamelt.
Expliciete toestemming
Onder de AVG mogen bedrijven persoonsgegevens alleen verzamelen als gebruikers daarvoor expliciet toestemming voor hebben gegeven. Volgens de CNIL heeft Google de toestemming niet rechtmatig verkregen. Gebruikers zijn niet alleen onvoldoende geïnformeerd, maar Google heeft ook de toestemming niet expliciet gevraagd, zo oordeelt de privacywaakhond.
Knop al aangevinkt
De knop waarmee gebruikers instemmen was door Google namelijk van te voren al aangevinkt, waardoor gebruikers hun toestemming moeten intrekken en niet verlenen. Dit lijkt een klein detail maar is erg belangrijk. Onder de AVG moeten gebruikers namelijk een bewuste actie maken: gebruikers moeten het lege vakje zelf aanvinken.
Bovendien is de toestemming die Google vraagt veel te breed: allerlei toestemmingen om te verwerken zitten nu in twee vinkjes. De privacywetgeving AVG stelt dat toestemming alleen ‘expliciet’ is wanneer gebruikers die per doeleinde (voor het verwerken van persoonsgegevens, red.) geven.
Google onderzoekt of het vervolgstappen zal nemen. “Mensen verwachten hoge standaarden wat betreft transparantie en controle van ons. We nemen het heel serieus om aan de verwachtingen en regelgeving de AVG te voldoen.”