Deze week verschenen er meedere nieuwsberichten inzake Google en haar privacyvoorwaarden.
Het bedrijf veranderde op dinsdag de privacy policy voor alle Nederlandse
gebruikers. Een dag daarvoor werd, toevallig of niet, eveneens bekend dat de
Franse privacytoezichthouder (CNIL) een boete van 50 miljoen (!) aan Google heeft opgelegd.
Reden hiervoor is dat de privacyvoorwaarden van laatstgenoemde niet voldoen aan
de vereisten van de AVG. Vooralsnog is dit de hoogste boete die is opgelegd
door een toezichthouder sinds de inwerkingtreding van de AVG.

transparantie

Het
CNIL laat weten dat op meerdere vlakken door Google niet is voldaan aan de Europese
privacywetgeving. Naar aanleiding van ingediende klachten besloot de Franse toezichthouder
een onderzoek in te stellen naar de privacyvoorwaarden van het bedrijf. Uit dit
onderzoek blijkt nu dat Google onder andere niet transparant en duidelijk
informeert over bepaalde aspecten. Daarbij komt dat de informatie voor
gebruikers moeilijk toegankelijk is. Essentiële informatie met betrekking tot de
doeleinden voor de verwerking, de bewaartermijnen van de opslag en de categorieën
persoonsgegevens die verwerkt worden voor gepersonaliseerde advertenties, is uitbundig
verspreid over meerdere documenten. De CNIL geeft aan dat het soms 5 tot 6 handelingen
vergt om de relevante informatie daadwerkelijk te kunnen inzien.

Naast
het feit dat de structuur te wensen overlaat, worden bepaalde aspecten in de
privacyvoorwaarden eveneens te vaag geformuleerd. Wederom noemt de CNIL de doeleinden
van Google voor de verwerking van de persoonsgegevens. Ook ontbreken er een
aantal bewaartermijnen voor de opslag van verschillende data en is het document
onduidelijk over de wettelijke grondslag voor de verwerking van data voor
gepersonaliseerde advertenties.

Gepersonaliseerde
advertenties

Voor
het aanbieden van gepersonaliseerde advertenties en de daarvoor benodigde
verwerking van data meent Google dat het rechtmatig toestemming heeft gekregen van
de gebruiker. De Franse toezichthouder stelt daarentegen dat deze toestemming
niet geldig is verkregen. Doordat de informatie over verschillende documenten
is verspreid, kan de gebruiker redelijkerwijze niet goed beseffen wat de impact
is van de dataverwerking. Zodoende is de gebruiker niet goed geïnformeerd. CNIl
constateert verder dat de toestemming eveneens niet specifiek en ondubbelzinnig
is gegeven. De gebruiker dient bij het aanmaken van een account
toestemming te geven voor alle verwerkingen van data. Voor de gebruiker is
niet duidelijk dat voor alle diensten van Google in dat geval toestemming wordt
gegeven om gepersonaliseerde advertenties weer te geven. Daarbij komt nog dat het geven van toestemming voor deze advertenties standaard al staat aangevinkt.
Onder de AVG vereist het geven van toestemming een actieve handeling van de
gebruiker. Dit is bij Google derhalve niet het geval met als gevolg dat de toestemming
niet ondubbelzinnig is gegeven en geen rechtsgeldige grondslag is voor de
verwerking.  

Hoogte
boete

Volgens
de Franse toezichthouder is de hoogte van de boete gerechtvaardigd. Google schendt
essentiële pijlers van de Europese privacywetgeving zoals het
transparantiebeginsel en de manier waarop toestemming verkregen dient te worden
van de gebruiker, aldus CNIL. Bovendien heeft  Google een groot marktaandeel op de Franse
markt en is het aanbieden van gepersonaliseerde advertenties, waar Google geen
rechtsgeldige grondslag voor heeft,  het
voornamelijk verdienmodel van het bedrijf. Het is daarom belangrijk dat Google
zich houdt aan de wetgeving, aldus de toezichthouder.

Een
woordvoerder van Google heeft laten weten dat het begrijpt dat mensen hoge
standaarden verwachten van het bedrijf. Google is enorm toegewijd om te zullen
voldoen aan de vereisten van transparantie en aan alle andere voorwaarden die
voortvloeien uit de AVG, aldus de woordvoerder. Op dit moment onderzoekt Google
nog of het eventuele vervolgstappen zal gaan nemen tegen het besluit.  

https://www.solv.nl/weblog/franse-privacywaakhond-legt-google-boete-op-van-50-miljoen/21727