Eerste AVG-boete voor Techgigant

Datum 30-01-2019
De Franse privacytoezichthouder, de CNIL, heeft een boete van € 50 miljoen opgelegd aan Google wegens het schenden van verplichtingen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG). Google is beboet wegens een gebrek aan transparantie over gegevensbescherming en het niet kunnen aantonen dat individuen ondubbelzinnig toestemming hebben gegeven voor gegevensverwerking.
 
Aanleiding voor het onderzoek
Daags na de inwerkingtreding van de AVG ontving de CNIL klachten van de organisaties ‘None Of Your Business’ (NOYB) en ‘La Quadrate du Net’ (LQDN). Het verwijt kwam er op neer dat Google geen legitieme juridische basis had voor het verwerken van persoonsgegevens bij het aanbieden van haar diensten. Met name de personalisatie van advertenties zou in strijd met de AVG gebeuren. Naar aanleiding van deze klachten heeft de CNIL onderzoek gedaan naar de mate waarin Google voldoet aan de verplichtingen uit de AVG.
 
Overtredingen
De uitkomsten van het onderzoek liegen er niet om. De CNIL heeft geconstateerd dat Google niet voldoet aan de op haar rustende wettelijke verplichtingen. De problemen zijn onder andere geconstateerd in de hoek van de informatieverstrekking naar gebruikers.
 
Zo is het voor gebruikers van een Google-account moeilijk om te achterhalen welke gegevens precies worden verzameld en met wel doel dit gebeurt. De informatie is verspreid over meerdere documenten, waarbij op verschillende links gedrukt moet worden om complete en/of aanvullende informatie te verkrijgen. Bepaalde relevante informatie is pas na vijf of zes stappen toegankelijk, zo stelt de CNIL.
 
Deze informatie kan een rol spelen bij de beslissing van een gebruiker van Google om al dan niet toestemming te geven voor het verwerken van data. Bedrijven mogen namelijk pas persoonsgegevens verzamelen en verwerken als gebruikers daarvoor expliciet toestemming hebben gegeven. Daarnaast is het feit dat Google de knop waarmee de toestemming moet worden verleend automatisch had aangevinkt problematisch. Hiermee zouden de gebruikers niet expliciet toestemming verlenen, maar enkel toestemming kunnen intrekken, volgens CNIL.
 
Reactie Google
Google heeft laten weten de beslissing van de CNIL te bestuderen om vervolgens te bepalen welke stappen er zullen worden gezet. Het is dus nog onduidelijk of Google tegen de boete in beroep zal gaan. Google erkent dat mensen een hoog niveau van transparantie en controle verwachten, en Google geeft aan dat zij aan de Europese privacyregels wil voldoen.
 
Wat kunnen wij voor u doen?
Advocatenkantoor Van Rossum ondersteunt organisaties bij het compliant worden aan de geldende wet- en regelgeving van de AVG. Indien u vragen heeft over het handhavingsbeleid van de Autoriteit Persoonsgegevens, of over privacy in het algemeen, kunt u altijd contact met ons opnemen.
 
In het kader van de verplichtingen die uit de AVG voortvloeien, hebben wij een privacyscan ontwikkeld. Tegen een tijdelijk gereduceerd tarief ad € 287,50 excl. btw, voeren wij een intakegesprek met u en nemen wij de door u gehanteerde contracten en documenten onder de loep. Vervolgens krijgt u via een overzichtelijk rapport helderheid over de mate waarin u momenteel voldoet aan de geldende privacywetgeving.