• nl
  • en
Menu
Franse privacywaakhond legt Google boete van € 50 miljoen op. Welke techgigant volgt?

Franse privacywaakhond legt Google boete van € 50 miljoen op. Welke techgigant volgt?

30 januari 2019

Op 21 januari 2019 heeft de toezichthoudende Franse autoriteit, de CNIL (National Data Protection Commission), Google LLC een boete opgelegd van 50 miljoen euro. Deze boete krijgt de Amerikaanse techgigant voor twee schendingen van de AVG. De schendingen houden allebei verband met de gepersonaliseerde advertenties die Google inzet, op basis van de bij Google bekende gebruikersprofielen. In dit artikel wordt ingegaan op de aanleiding, de inhoud en het vervolg van de boete. Een kleine uitstap wordt gemaakt naar het ‘one-stop-shop-mechanisme’ dat in deze kwestie (nog) niet is toegepast. Ten slotte wordt ingegaan op de verwachte gevolgen van deze kwestie.

Aanleiding

De CNIL heeft op 25 en 28 mei 2018 klachten ontvangen van twee organisaties, de verenigingen None of Your Business (NOYB) en La Quadrature du Net (LQDN). LQDN had daarvoor circa 10.000 mandaten verzameld. NOYB is een vereniging die opkomt voor privacyrechten van burgers. Deze vereniging wordt aangedreven door de Oostenrijkse privacy-activist Max Schrems. Ook tegen Facebook, WhatsApp en Instagram diende NOYB al klachten in. Max Schrems is in het privacyrecht ook bekend van zijn procedure tegen het Safe Harbour mechanisme tussen de EU en de VS. Als gevolg van die procedure werd dit vernietigd en opgevolgd door het Privacy Shield. Maar Schrems is duidelijk nog niet klaar met zijn werk. Met zijn klachten legt hij – via NOYB – de vinger op de zere plek van techgiganten.

De klachten van de twee organisaties zijn gericht tegen het gebruiken van persoonsgegevens van gebruikers door Google voor gepersonaliseerde reclame. De informatievoorziening daarover is onduidelijk en de grondslag om de gegevens hiervoor te gebruiken ontbreekt.

Bevoegdheid CNIL

De CNIL heeft de klachten direct in behandeling genomen. Voordat zij inhoudelijk onderzoek kon gaan uitvoeren, moest eerst worden onderzocht of zij als Franse autoriteit bevoegd was om dit onderzoek uit te voeren. In de AVG is namelijk het zogenaamde ‘on-stop-shop-principe’ opgenomen (uitgewerkt in artikel 55 en 56 AVG). Dit mechanisme moet in werking treden op het moment dat sprake is van grensoverschrijdende verwerking van persoonsgegevens (artikel 4 lid 23 AVG). In dat geval moet namelijk bepaald worden welke autoriteit bevoegd is om de AVG te handhaven.

Uitgangspunt is dat de autoriteit bevoegd is op diens eigen grondgebied. Als de verwerkingen echter meerdere lidstaten bestrijken, dient de verantwoordelijk maar één gesprekspartner te hebben (one shop). In artikel 56 lid 1 AVG is daarom bepaald dat de toezichthoudende instantie van het land van de hoofdvestiging bevoegd is. Om als hoofdvestiging te kwalificeren is vereist dat vanuit die vestiging beslissende invloed wordt uitgevoerd op de gegevensverwerking. In het geval van Google, is in Ierland de Europese hoofdvestiging gevestigd. Toch is – na overleg met de Europese toezichthouders – vastgesteld dat de Ierse autoriteit niet bevoegd was. De reden daarvoor is dat de Ierse vestiging van Google geen beslissingsbevoegdheid had over de verwerkingen waartegen de klachten zich richtten ten tijde van het inleiden van de procedure door de CNIL, namelijk over verwerkingen via Android en diensten van Google LLC bij het aanmaken van een account tijdens de configuratie van een mobiele telefoon. Kortom, alle autoriteiten op wiens grondgebied de verwerkingen plaatsvinden, zijn bevoegd, zo ook de Franse.

Schendingen

Na deze vaststelling, heeft de CNIL onderzoek uitgevoerd naar de klachten. Dat deed zij door online inspecties in september 2018. Daarbij werd nagegaan welke verwerkingen aan de orde zijn bij het aanmaken van een Google-account tijdens de configuratie van mobiele apparaten met Android. De CNIL heeft tijdens dat proces twee overtredingen vastgesteld.

Informatieplicht en transparantie

De CNIL heeft ten eerste geconstateerd dat Google niet transparant en duidelijk genoeg is over de verwerkingen die Google met de ingevoerde gegevens uitvoert. Daarmee voldoet Google niet aan haar informatieplicht uit de AVG (artikel 12 en 13 AVG). De structuur en vindbaarheid van de informatie is onvoldoende. Gebruikers moeten veel moeite doen om achter informatie over de verwerkingen te komen. Soms zijn er wel vijf of zes stappen vereist om alle relevante informatie te ontwaren. De CNIL constateert dat essentiële informatie over de verwerkingsdoelen, de bewaartermijnen en de categorieën gegevens die worden gebruikt, teveel verspreid is over verschillende plaatsen en daarnaast ook niet altijd duidelijk en volledig is. Dit terwijl de CNIL opmerkt dat de verwerkingen bijzonder groot en opdringerig zijn vanwege de veelheid aan diensten en de hoeveelheid van gegevens.

Toestemming

Ten tweede constateert de CNIL dat Google geen rechtsgeldige toestemming heeft verkregen voor de verwerkingen van gegevens voor gepersonaliseerde advertenties. De AVG vereist dat toestemming vrijelijk, specifiek, geïnformeerd en ondubbelzinnig gegeven moet worden (overweging 31 en artikel 7 AVG). Weliswaar vraagt Google toestemming, maar de klanten zijn volgens de Franse autoriteit onvoldoende op de hoogte gesteld waarmee zij akkoord gaan. Daarvoor zijn twee redenen.

Ten eerste vindt de CNIL dat gebruikers onvoldoende worden geïnformeerd over de omvang van de verwerking rondom advertenties en daarmee van de hoeveelheid en combinatie van de verwerkte gegevens. Ten tweede is de toestemming niet specifiek en niet ondubbelzinnig. Op het moment dat de gebruiker toestemming wil geven voor het personaliseren van advertenties, staat dit al aangevinkt. Dat betekent dat de gebruiker geen actieve handeling verricht om toestemming te geven, waardoor de toestemming niet ondubbelzinnig is. Bij het einde van het aanmaakproces wordt de gebruiker verder gevraagd akkoord te gaan ‘met de verwerking van mijn informatie zoals hierboven beschreven en verder toegelicht in het Privacybeleid’. Daarmee geeft de gebruiker toestemming voor alle verwerkingsdoelen, zonder dat deze specifiek genoeg bekend zijn. Ook om die reden is daarom geen rechtsgeldige toestemming verkregen. Dat maakt dat Google geen grondslag heeft voor de verwerking van gegevens voor gepersonaliseerde advertenties en die verwerking onrechtmatig is.

Vervolg

De Franse toezichthouder neemt het Google zeer kwalijk dat essentiële verplichtingen (transparantie, informatie en toestemming) worden geschonden, met betrekking tot een grote groep gebruikers en in verband met een enorme hoeveelheid gegevens. Daar komt bij dat de inbreuken niet eenmalig en tijdsgebonden zijn, maar nog steeds doorlopen. Ook neemt de CNIL in acht dat het besturingssysteem Android een belangrijke plaats in de Franse markt inneemt en dat het verdienmodel van Google deels gebaseerd is op de personalisatie van advertenties. Juist daarom moet Google ook voldoen aan haar verplichtingen. Vandaar ook het hoge boetebedrag, de grootste boete onder de AVG tot nu toe.

De hele kwestie levert meerdere interessante ontwikkelingen op om in de gaten te houden. Ten eerste, gaat Google haar werkwijze aanpassen? Dat lijkt haast onmogelijk, nu dit gaat over de kern van haar systeem en haar verdienmodel. Ten tweede, volgen er vergelijkbare procedures voor andere techgiganten? Ook daarvan is het verdienmodel sterk gebaseerd op personalisatie van advertenties. En ten derde, hoe loopt dit af? In ieder geval heeft Google bekendgemaakt beroep in te stellen tegen de boete. Daarmee is dit boek voorlopig niet gesloten. Wordt vervolgd.

Dit artikel is geschreven door mr. Henk-Jan Ligtenberg en ook gepubliceerd in Sdu Opmaat Privacyrecht.

Wilt u op de hoogte blijven?

  • nl
  • en