Menu
De Groote – De Man

Niet-naleving van de GDPR kost Google 50 Miljoen Euro

Kantoornieuws
24 januari 2019

De eerste echt zware sanctie tegen een Amerikaans bedrijf wegens overtreding van de General Data Protection Regulation (“GDPR”) – dé Europese privacywetgeving gelanceerd op 25 mei 2018 – is een feit en staat op naam van Google LLC.

Het is de Franse toezichthouder “Commission nationale de l’informatique et des libertés (“CNIL”)” die Google LLC (“Google”) een boete van 50 miljoen euro oplegt wegens de schending van de GDPR. Volgens CNIL overtreedt Google twee van de voornaamste bepalingen uit de GDPR met betrekking tot de gepersonaliseerde reclame die zij toont aan haar gebruikers.

Twee klachten, één onderzoek.

Twee klachten, die CNIL reeds ontving op 25 en 28 mei 2018 (niet toevallig kort na de inwerkingtreding van de GDPR), gaven aanleiding tot het opstarten van een onderzoek naar de advertentieactiviteiten van Google door de Franse overheidsinstantie.

De klachten werden ingediend door de organisaties None Of Your Business (“NOYB”) en La Quadrature du Net (“LQDN”). Deze laatste stelde daarbij een groepsklacht in namens 10 000 betrokkenen.

In de beide klachten wordt Google verweten geen geldige rechtsgrond te hebben om de persoonsgegevens van haar gebruikers te verwerken bij het vertonen van gepersonaliseerde reclame.

Inbreuken naar aanleiding van gepersonaliseerde reclame.

De door CNIL vastgestelde inbreuken zijn tweeledig. In de eerste plaats oordeelt CNIL dat de door Google verstrekte informatie met betrekking tot gepersonaliseerde reclame gericht aan haar gebruikers onvoldoende transparant en duidelijk is. Belangrijke informatie omtrent de verwerking van de persoonsgegevens wordt over te veel verschillende webpagina’s verspreid. Het feit dat een gebruiker zich een weg moet banen tussen een veelvoud aan knoppen en links waarachter de relevante informatie verstopt zit, maakt ook dat deze onvoldoende toegankelijk is voor de gebruikers.

Daarnaast bevestigt CNIL ook de klachten van de voormelde organisaties. Google baseert zich op de toestemming van haar gebruikers om haar advertentieactiviteiten uit te oefenen, maar deze is niet rechtsgeldig verkregen.

Niet geïnformeerd. Het is voor de gebruikers onduidelijk welke activiteit van diensten, websites en applicaties geanalyseerd en betrokken worden bij het personaliseren van reclame. Denk daarbij aan jouw gebruik van Google Search, YouTube, Google Maps, Google Play, Gmail, etc.

Niet specifiek. De toestemming van de gebruikers wordt verzameld via de verplichte aanvaarding van de algemene voorwaarden en een allesomvattende privacyverklaring. Google hanteert daarbij steevast een alles-of-niets principe waarin zij onvoldoende onderscheid maakt tussen de verschillende doeleinden waarvoor de persoonsgegevens verzameld en gebruikt worden.

Niet ondubbelzinnig en actief. Hoewel de gebruiker gepersonaliseerde advertenties kan weigeren en zijn voorkeursinstellingen daaromtrent zelf kan beheren, is het voor de gebruiker onvoldoende duidelijk waar en hoe hij dit kan doen. Daarenboven maakt Google ten onrechte gebruik van het “opt-out” principe door alle opties standaard en voorafgaandelijk aan te vinken. Één van de stokpaardjes van de GDPR is net dat toestemming een actieve handeling (“opt-in”) van de betrokkene vereist om rechtsgeldig te zijn. Onderneemt deze laatste geen actie, dan kan daar in principe geen toestemming uit volgen.

Boete van 50 miljoen euro

Op basis van de vastgestelde inbreuken die Google pleegt op de GDPR legt CNIL een boete van 50 miljoen euro op aan Google. Dat lijkt veel, maar toch had deze veel hoger kunnen uitvallen voor Google. De GDPR laat namelijk toe om zware of herhaaldelijke schendingen te bestraffen met een maximale boete die gelijk is aan 4 procent van de jaarlijkse omzet van een onderneming.

Wetende dat de omzetcijfers van Alphabet (het moederbedrijf van Google) voor 2017 op 94,79 miljard euro geschat werden, betekent dit dus dat Google zich bij verdere inbreuken op de GDPR, mogelijks blootstelt aan boetes tot 3,79 miljard euro.

Of Google hiervan zal wakker liggen is maar de vraag. In elk geval liet het bedrijf al weten dat zij aan de hoge transparantie- en controlestandaarden van de GDPR wenst te voldoen en dat ze de beslissing van CNIL evalueert om de nodige stappen te nemen om deze inbreuken te verhelpen.

Heb je vragen…

Ben je zelf nieuwsgierig naar wat Google allemaal over jou weet of wil weten? Via deze link kom je erachter op wat en via welke online activiteit Google zich baseert om jouw advertenties te personaliseren.

Mocht u als onderneming vragen of ondersteuning nodig hebben inzake privacy of IT, aarzel dan niet om de experten van Privacy en IT te contacteren.

Geschreven door

Ingrid De Poorter

Ingrid De Poorter is Managing Partner en heeft de leiding over de afdelingen Data, Tech & Entertainment en Ondernemingsrecht.