Inhoud
AVG-boetes tegen Google
De (CNIL), de Franse gegevensbeschermingsautoriteit (DPA), heeft een boete van € 50 miljoen ($57 miljoen) opgelegd aan Google voor het schenden van de transparantie-, informatie- en toestemmingsvereisten van de AVG bij het plaatsen van gerichte advertenties. De hoogste boete tot nu toe door de AVG en de eerste waarbij een Amerikaans technologiebedrijf betrokken was, werd op 21 januari 2019 uitgedeeld.
Het onderzoek van de CNIL werd in gang gezet door klachten van twee belangengroepen, None of Your Business en La Quadrature du Net, die onmiddellijk werden ingediend op de ingangsdatum van de AVG op 25 mei 2018. De klachten beweerden "gedwongen toestemming", waarbij gebruikers van mobiele apparaten met Android, moesten akkoord gaan met het volledige privacybeleid en de servicevoorwaarden van Google voordat ze het Android-apparaat gebruikten. Google heeft geen wettelijke basis om de persoonlijke gegevens van gebruikers te verwerken met betrekking tot advertentiepersonalisatie.
Waarom een boete van € 50 miljoen?
De CNIL baseerde zich op vier factoren bij het opleggen van een boete van € 50 miljoen.
- Aard van de inbreuken met betrekking tot rechtmatigheid (Art. 6) en transparantie (Art. 12 en 13), die beide kernbeginselen van de AVG zijn en worden vermeld als leidend tot de hoogste boetedrempel (van 4% van International Revenue) in de AVG ( artikel 83.5).
- Omdat de inbreuken continu en aan de gang waren na de ingangsdatum van de AVG.
- De verwerkingsdoeleinden, hun omvang en het aantal betrokken personen.
- Het onderzoek van de CNIL was gericht op gebruikers die een Google-account hadden aangemaakt tijdens het instellen van hun Android-apparaat en merkte op dat dit een zeer groot aantal personen is.
- Ze stellen dat vanwege het dominante marktaandeel van Android op de Franse smartphonemarkt en het aantal smartphonegebruikers in Frankrijk, de verwerking enorm is.
- Ook gezien het aantal betrokken Google-diensten (meer dan twintig).
- De variëteit en het type gegevens waar het om gaat
- De meerdere technologische processen waarmee Google gegevens van verschillende services, applicaties of externe bronnen kan combineren en analyseren.
- Deze processen hebben ontegensprekelijk een “vermenigvuldigend effect” op de kennis die het bedrijf heeft over zijn gebruikers.
- Het bedrijf beschikt over de middelen voor potentieel onbeperkte combinaties die een massaal en opdringerig gebruik van consumentengegevens mogelijk maken.
- Bij het bekijken van de inbreuken vanuit het perspectief van het economische model van Google,
- De verwerking van gebruikersgegevens voor reclamedoeleinden via Android.
- Voordelen die Google haalt uit die verwerking,
- CNIL vond dat Google extra voorzichtig moet zijn met zijn verantwoordelijkheden onder de AVG.
CNIL zegt niet hoe het aan het bedrag van € 50 miljoen is gekomen, maar geeft aan dat deze inbreuken onderworpen zouden zijn aan de maximale boete van 4% van de AVG. De boete was gebaseerd op de wereldwijde omzet van Google in 2017 van € 96 miljard. Het is duidelijk dat de CNIL niet de maximale boete heeft opgelegd. Afgezien van het feit dat de boete van € 50 miljoen "gerechtvaardigd" was. CNIL geeft geen motivering voor dit uitgangsbedrag of hoe bovengenoemde factoren het bedrag hebben beïnvloed.
2018 Beslissingen en boetes
Deze zaak tegen Google vertegenwoordigt de eerste gepubliceerde handhavingsactie van de CNIL, expliciet onder de AVG, en de grootste boete die het ooit heeft opgelegd. Het benadrukt ook het onderzoek van de CNIL naar kennisgeving en toestemming in online advertenties, dat zich de afgelopen maanden had ontwikkeld, zoals blijkt uit andere recente CNIL-beslissingen.
Deze boete komt een maand nadat de Italiaanse gegevensbeschermingsautoriteit Facebook een boete van € 10 miljoen had opgelegd wegens het misleiden van zijn eigen gebruikers over datapraktijken. De waakhond zei dat Facebook ten onrechte het gratis karakter van de dienst benadrukte zonder gebruikers te informeren over het feit dat hun gegevens zouden worden gebruikt om winst voor het bedrijf te genereren.
Google was niet de eerste AVG-boete, maar de grootste tot nu toe.
De eerste boete werd in oktober 2018 in Oostenrijk uitgedeeld, hoewel deze niet strikt gerelateerd is aan de verwerking van persoonsgegevens. Een gokwinkel kreeg een boete van € 4.800 voor een beveiligingscamera die een deel van het trottoir buiten aan het opnemen was, aangezien grootschalige monitoring van openbare ruimtes onder de AVG niet is toegestaan.
Eind oktober is de Comissão Nacional de Protecção de Dados (Nationale Gegevensbeschermingscommissie) in Portugal legde drie boetes op aan het Hospital do Barreiro: Dit zijn de eerste boetes die verband houden met de verwerking en opslag van persoonsgegevens. Twee sancties van € 150.000 en nog een van € 100.000. Voor een totaalbedrag van € 400.000 voor het ziekenhuis. De eerste twee boetes van € 150.000 waren voor schending van het beginsel van gegevensintegriteit en -vertrouwelijkheid, en schending van het beginsel van gegevensminimalisatie, dat in theorie willekeurige toegang tot gegevens verhindert. 985 artsen hadden actieve accounts op het systeem die hen toegang gaven tot klinische dossiers, terwijl het ziekenhuis slechts 296 actieve artsen had op de datum van de inspectie.
De derde boete had betrekking op het onvermogen van het Ziekenhuis als verwerkingsverantwoordelijke om de vertrouwelijkheid en integriteit van de gegevens van zijn cliënten en patiënten te waarborgen.
Half november startte een sociaal netwerk in Duitsland, Knuddels.de, ontving een € 20.000 prima na een hack waarbij 808.000 e-mailadressen lekten, samen met meer dan 1,8 miljoen gebruikersnamen en wachtwoorden. Deze informatie werd vervolgens zonder codering online gepubliceerd. Het sociale netwerk reageerde door te zeggen dat zodra het lek was ontdekt, het onmiddellijk zijn veiligheidsmaatregelen verbeterde.
Na het incident werd ontdekt dat de website geen enkele vorm van bescherming had op zijn gevoelige informatie. Volgens LfDI Baden-Württemberg, de Duitse instantie voor gegevensbescherming die deze zaak behandelt, was een van de redenen dat de website een "relatief lage" boete kreeg, dat het transparant handelde en snel beveiligingsverbeteringen doorbracht.
Hogere boetes verwacht in 2019
De economische sancties tot nu toe zijn duidelijk conservatief vergeleken met de maximaal toegestane sancties, maar met de recente golf van spraakmakende datalekken van Marriott, British Airways, en Quora het zal niet lang duren voordat er grotere, zwaardere boetes verschijnen.
Hoe kunt u AVG-boetes vermijden?
Wat kunt u doen om een boete van miljoenen euro's of dollars te vermijden? Het belangrijkste om in gedachten te houden is dat voorkomen beter is dan genezen. Door geschikte bescherming tegen datalekken voor de persoonsgegevens die uw bedrijf beheert, kunt u sancties en boetes vermijden.
- Begin met te bepalen of online opslag of op prim de juiste oplossing is voor uw behoeften
- Bepalen wie er toegang toe heeft
- Realiseer je dat als je Sync and Share gebruikt in plaats van een oplossing voor het delen van bestanden in de privécloud, je hebt zojuist de hoeveelheid data die je hebt verdubbeld, en je hebt ook de # aan locaties die je moet verdedigen verdubbeld. Plus een van deze locaties waar je geen controle over hebt.
- Complexiteit vermindert de veiligheid. Hoe complexer een oplossing is, hoe minder deze zal worden gebruikt.