Sarkanā pilnmēness dienā Francijas personas datu aizsardzības iestāde (CNIL) sodīja Google Francijas sabiedrību ar 50 miljonu eiro sodu un pilna sodošā lēmuma teksta publicēšanu divus gadus. Šis ir pirmais lielais sods uz Datu regulas pamata Eiropas Savienībā.
CNIL sodīja Google pēc astoņu mēnešus ilgas izmeklēšanas, kuru uzsāka pēc Max Schrems domubiedru grupas None of your business (NOYB) un vēl vienas asociācijas sūdzībām. Viņi iebilda, ka:
(i) Android OS iekārtu lietotājiem rodas iespaids, ka to nevarēs lietot bez Google konta, un tās uzbāzīgi piedāvā kontu izveidot un
(ii) Google konta pierakstīšanās un lietošanas procesā nav sniegta skaidra un pilnīga informācija par personas datu apstrādi, kā arī
(iii) Google nav ieguvis mūsu piekrišanu personalizētas reklāmas izvietošanai savos pakalpojumos vai pamatojis, kāpēc piekrišana nav vajadzība citos reklāmas produktos.
Notikumi Francijā ir tuvi Baltijas realitātei, jo Eiropas Savienības datu aizsardzības iestādes regulāri apspriež Datu regulas piemērošanas problēmas un CNIL ir viena no vadošajām iestādēm Eiropā. Tālāk atradīsiet piecas lietas, kas jāzina jebkuram uzņēmumam, kurš apstrādā personas datus, un jau ir mēģinājis ieviest Datu regulu Baltijā. Ja vēl tikai domājat par Datu regulas ieviešanu, šis ir labs brīdis sākt to darīt.
Reklāmas opt-out ir miris
Google apstrādā mūsu datus personalizētu reklāmu veidošanai uz piekrišanas pamata. Tomēr šī piekrišana ir opt-out formā. Noklusējuma iestatījums paredz piekrist šādam piedāvājumam un ir noslēpts lapā, kurā varam nonākt tikai pēc pakalpojumu noteikumu izlasīšanas jeb otrajā slānī. CNIL pievienojās ilggadējai Eiropas datu aizsardzības kolēģijas praksei, kas neatzīst iepriekš atzīmētas piekrišanas.
Ikviens datu aizsardzības speciālists Jums pateiks, ka opt-out oficiāli nomira līdz ar Datu regulas pieņemšanu 2016. gadā un, kā to tagad oficiāli apstiprina CNIL, ķeksis par piekrišanu lietošanas noteikumiem nevar būt piekrišana Datu regulas izpratnē. Tomēr Baltijas mārketinga un e-komercijas ekspertiem bija grūti pieņemt šīs pārmaiņas bailēs no piekrišanu krituma. Starp citu, šis mehānisms attiecas arī uz sīkdatnēm – paziņojums par piekrišanu sīkdatnēm, turpinot lietot konkrētu mājaslapu, arī ir opt-out mehānisms.
Ja jūsu uzņēmums vēl vāc šādas piekrišanas, tad vislabāk to pārveidot kā detalizētu izvēlni ar piekrišanu katram datu apstrādes mērķim vai to grupām (īpaši sīkdatņu gadījumā, skat. dvi.gov.lv). Lietotāju ērtībai šāda uzskaitījuma beigās drīkst paredzēt iespēju “piekrist visam”. Tādējādi lietotājs varēs izvēlēties, kādu reklāmu saņemt. Savukārt marketinga departamentam jākļūst radošākam un jāsāk uztvert personas dati kā prece, kas no cilvēka laipni jāpalūdz vai jāiemaina.
Piekrišanas tekstam jābūt kristālskaidram
CNIL sodīja Google arī par to, ka tā nebija skaidri norādījusi apstrādes tiesisko pamatu (vienu no sešiem to veidiem Datu regulas 6. pantā) katram datu apstrādes mērķim. CNIL to uzskatīja par īpašu būtisku pārkāpumu, jo lietotājs nesaprot, ka viņš piekritis liela apmēra privātas informācijas iegūšanai par viņu un tās papildināšanu ar analīzes rezultātā izdarītiem secinājumiem par viņa reģionā dzīvojošajiem u.tml. Proti, reklāmas jomā Google apstrādā personas datus diviem virsmērķiem – personalizētai reklāmai un reklāmai, kuru redzam konkrētā interneta lapas malā.
Personalizēta reklāma ir uznirstošie logi YouTube video vai piedāvājums man studēt personas datu aizsardzību AdWords rindā GMail logā. Google piekrišana iepriekš skanēja šādi: “Mēs lūdzam Jūsu piekrišanu Jūsu datu apstrādei konkrētiem mērķiem, un Jums ir tiesības to atsaukt jebkurā brīdī. Piemēram, mēs Jūs lūdzam Jūsu piekrišanu personalizētu pakalpojumu, tādu kā reklāma, sniegšanai.” Google uzskata, ka šādi esmu piekritusi personalizētai reklāmai un ļauju analizēt manu GMail iesūtni un meklēšanas vēsturi, lai Google uzzinātu par manu interesi par datu aizsardzību.
Savukārt jūsu atvērtās lapas malā ievietoto IKEA reklāmu Google pamato ar savu vajadzību (juridiski – leģitīmo interesi) sniegt reklāmas pakalpojumus un profilēt jūs uz dzīvesvietas (IP adreses, valodas iestatījumu) un turīguma pakāpes (iekārtas veids, modelis, apmeklētā IKEA Polijas lapa) pamata. Tā lietotājiem skaidro šo reklāmas veidu uzreiz pēc iepriekš minētā skaidrojuma par piekrišanu un min mārketinga interesi ar nolūku pētīt lietotāju paradumus un ļaut lietot YouTube, GMail un citus pakalpojumus bez maksas.
Ja jums tapa skaidrs, kādai reklāmai nepieciešama piekrišana un kāda tikai palīdz Google iepazīt lietotājus un tirgot nepersonalizētu reklāmu, tad jums ir lielas izredzes palīdzēt Google tiesā pret CNIL. CNIL aizrādīja, ka minētie formulējumi neļauj lietotājiem saprast atšķirību starp piekrišanu personalizētai reklāmai un citiem reklāmas veidiem. Starp citu, CNIL arī aizrādīja Google, ka piekrišana jāsaņem, reģistrējot Google kontu, nevis līdz ar jauna pakalpojuma, piemēram, jaunas Android planšetes lietošanu. Tas izpildītu Datu regulas prasības par piekrišanas sniegšanu datu iegūšanas brīdī vai pirms tam.
Neveido daudzus informācijas slāņus privātuma politikā
Vēl pirms Datu regulas piemērošanas 2018. gadā daudziem Baltijas uzņēmumiem bija privātuma politikas, kuras vislabāk skaidroja personas datu apstrādes mērķus. Datu regula ienesa šajos dokumentos vairākus papildu elementus, kurus visiem bija jāiestrādā pašā privātuma politikā un patērētājs jāaizved līdz tai pie rokas. Piemēram, pērkot preci interneta veikalā, labā prakse paredz iznirstošus logus pie katra informācijas ievades lauka, kas skaidro šīs informācijas apstrādes mērķi un piedāvā uzzināt vairāk privātuma politikā.
Protams, Eiropas parlamenta un Eiropadomes mērķis nav nokraut katru no mums ar informāciju par datu apstrādi, aiz kuras nevar redzēt vēlamās preces cenu. Tāpēc Eiropas datu aizsardzības kolēģija ieteica izmantot informācijas slāņus (kaskādes) jeb tos pašu iznirstošos logus, kas ļauj mums saņemt informāciju par datu apstrādi, bet lietot lapu kā ierasts. Privātuma politikas saturu izsmeļoši uzskaita Datu regulas 12.–14. pants.
Google šo informācijas slāņu metodi pastiepa tālāk un obligāto privātuma politikas informāciju izvietoja vidēji četros dokumentos, kuros turklāt bija saites citam uz citu. Piemēram, lai noskaidrotu, kādiem mērķiem Google iegūst manas atrašanās vietas datus, man jāizlasa pieci dokumenti, pie kuriem pakāpeniski nonāku sešos soļos. CNIL sodīja Google par šādu praksi, jo tik liels slāņu skaits un to saistība krustu šķērsu apgrūtināja informācijas atrašanu un ignorēja informācijas sniegšanas jēgu. Turklāt Google nebija paskaidrojis datu dzēšanas termiņus.
CNIL uzsvēra, ka Google lielā apmērā apstrādā personas datus 20 pakalpojumos, kas pēta mūsu privāto dzīvi kā ar lupu. Tāpēc tai jāpieliek krietni lielāka piepūle informācijas sniegšanā lietotājiem. Tas ļautu katram no mums patiesi izvērtēt Google rīcībā esošo informāciju par mūsu privāto dzīvi un mainīt to kontrolēt.
Iestādi interesē plāni ieviest Datu regulu
Interesanti, ka Google solīja pilnībā ieviest Datu regulu līdz 2019. gada 21. janvārim, kad nodos ASV Google LLC funkcijas Īrijas sabiedrībai, lai tā faktiski kļūtu par datu pārzini un Google izdotos pakļūt Īrijas iestādes jurisdikcijā (par to vairāk tālāk). CNIL sagaidīja solītā plāna īstenošanas datumu un, konstatējot, ka nekas nav mainījies un privātuma informācija joprojām ir sadrumstalota, piemēroja 50 miljonu eiro sodu.
Šāda pieeja liecina, ka CNIL bija gatava sadarboties un panākt Datu regulas pareizu ieviešanu Google produktos. Tomēr lēmumā jutu vilšanos Google solījumos, kas, iespējams, motivēja CNIL kā papildsodu piemērot sava lēmuma publicēšanu.
Tādēļ labās ziņas tiem, kas vēl ir Datu regulas ieviešanas procesā – visi jūsu dokumentētie plāni ir labi argumenti datu aizsardzības iestādei un varētu palīdzēt novērst vai mīkstināt sodu. Sliktā ziņa ir tā, ka solījumi ir jātur un budžeta samazinājums vai personāla maiņa neattaisnos šī plāna izpildi.
Daļēja Datu regulas ieviešana pasargā no maksimālā soda
Lai arī CNIL atzina Android operētājsistēmu un citus Google produktus par izstrādātiem ASV Google LLC, tā aprēķināja sodu no viņu apgrozījuma Francijā (sīkāk skat. nākamo sadaļu). Google meitas uzņēmums Francijā 2017. gadā apgrozīja 325 miljonus eiro. CNIL Google pārkāpumus uzskatīja par būtiskiem un sākotnēji noteica sodu 4 % apmērā no Francijas sabiedrības apgrozījuma. CNIL ņēma vērā apstrādes apjomu, ko sauca par praktiski bezgalīgu, un 24 miljonus skartos datu subjektus Francijā.
Nākamajā solī CNIL samazināja sodu līdz 50 miljoniem eiro jeb mazāk par 4 % no Alphabet (Google LLC īpašnieks) apgrozījuma visā pasaulē. Lai arī šis samazinājums skaidrots tikai ar samērīgumu, manuprāt, samazinājumu attaisno tas, ka Google bija sniedzis kaut kādu informāciju lietotājiem un drīzāk mēģināja apiet, nevis ignorēt Datu regulas prasības.
Iestāde pārbaudīs, kur patiesībā koncerns lemj par datu apstrādi
CNIL lēmumā ir divi juristiem īpaši interesanti jautājumi. Pirmais ir par to, kurai ES dalībvalsts datu aizsardzības iestādei jākontrolē Google. Personas datu aizsardzības iestādes ir katrā ES dalībvalstī, tad teorētiski katra no tām drīkst sodīt uzņēmumu, kas apkalpo nacionālajā tirgū esošās personas.
Piemēram, Latvijas Datu valsts inspekcija drīkst kontrolēt sudzibas.lv darbu, pat ja tā serveri izvietoti Lietuvā un Baltkrievijā, jo lapas mērķauditorija ir Latvijas iedzīvotāji. Tāpēc Datu regula nosaka, kā sūdzības saņemošai iestādei jāsaprot, kurā dalībvalstī koncerns pieņem lēmumus par personas datu apstrādes mērķiem un metodēm un kur ir tā mērķauditorija.
Google aizstāvējās CNIL, sakot, ka Google Eiropas sabiedrību centrs ir Īrijas Republikā. Tur tiek tirgoti visi pakalpojumi Eiropā un Āfrikā, tādēļ CNIL jāatdod lieta Īrijas iestādei. Pat ja par šo aspektu ir strīds, tas jālemj Eiropas datu aizsardzības kolēģijai.
CNIL faktiski pasmējās par šo argumentāciju un norādīja Google, ka ne tās pakalpojumu lietošanas noteikumi, ne cita publiskā informācija nemin Īrijas sabiedrību kā datu pārzini. Turklāt pieejamā informācija par tās darbību liecināja, ka Īrijas uzņēmums darbojas kā Google pakalpojumu tirgotājs un administratīvais finanšu centrs, nevis rada produktus vai lemj par personas datiem. Turklāt Īrijas datu aizsardzības iestāde jau paziņojusi, ka neuzskata sevi par Google uzraugu (visdrīzāk, atbildot uz Google lūgumu to atzīt) un faktiski Google darbības jāuzrauga katrā dalībvalstī atsevišķi.
Baltijas uzņēmumiem datu apstrādes strukturēšanā skaidri jāsaprot, kurā sabiedrībā veidojat jaunu produktu funkcionalitāti vai izlemjat dokumentu apriti koncernā. Ja vienotiem Baltijas pakalpojumiem nav viens centrs, iesaku apsvērt centralizēt lēmumu pieņemšanu pa produktu kategorijām vai visā koncernā, lai darbotos pēc vienas datu aizsardzības iestādes izpratnes par Datu regulu un vienas tiesību sistēmas.
Biedrības tiesības sūdzēties varētu tulkot plaši
Datu regulas 80. pants uzdod iestādēm pieņemt sūdzības no biedrībām, kas ir aktīvas personas datu aizsardzības jomās un pat piešķir tām tiesības saņemt atlīdzību par biedru datu aizsardzības aizskārumu. Arī šajā lietā CNIL vērsās biedrības NOYB un Le Quadrature du Net 9974 personu vārdā.
Google izvēlējās argumentāciju, kura pilnībā sakrīt ar līdzšinējo Latvijas tiesu praksi par jebkuriem biedrību pieteikumiem. Tā teica, ka minētajām biedrībām nav statūtos ierakstīts pilnvarojums iesniegt sūdzības un to nevar secināt no to mērķa. CNIL norādīja uz minēto Datu regulas pantu un teica, ka biedrību mērķi ir aizstāvēt sabiedrības intereses IT jomā, turklāt tās ir patiesi aktīvas personas datu aizsardzībā. Līdz ar to papildu formalitātes nav nepieciešamas un biedru mandāts ir pietiekams.
Kā jau minēju, Latvijas procesuālie likumi stingri seko formālajai pieejai un prasa, lai biedrības statūti konkrēti paredzētu biedru tiesību pārstāvību. Vai Datu regulas gadījumā šī pieeja mainīsies, visdrīzāk, ir Eiropas Savienības tiesas sprieduma vērts jautājums.
Lai arī Google 50 miljonu eiro sods ir piliens Alphabet 96 miljardu eiro apgrozījumā, tas labi ilustrē izaicinājumus, ar kuriem saskaras jebkurš uzņēmums Baltijā. Mēs regulāri palīdzam klientiem pēc iespējas vienkāršot atbildes un priecājamies, kad marketinga eksperti zvana saskaņot jaunākās piekrišanas tekstu. CNIL lieta parāda, kā pilnībā publiski pieejama informācija radīja uzņēmumam sodu. Lai arī Baltijas datu aizsardzības iestādes vēl nav paziņojušas par lieliem sodiem par Datu regulas pārkāpumiem, tām nebūtu grūti nokopēt CNIL pieeju Google lietā. Tādēļ centieties šodien paskatīties uz savu privātuma politiku un patērētājiem sniegto informāciju no malas un padomājiet, kādu stāstu stāstīsiet Datu valsts inspekcijai rīt.