在2018年2月的采访中,[1] Isabelle Falque-Pierrotin,在法国数据保护机构(CNIL)的负责人中表示,在控制遵守数据保护要求时,CNIL将于2018年5月开始采用灵活务实的方法。 2019年1月21日星期一由CNIL提供的第一次决定,这是迄今为止在GDPR下对网络巨头('GAFA')施加的最严重的制裁,给出了灵活的方法可能进入的感受法国监管机构的眼睛。

背景:欧盟级别的用户的意识浪潮显示了数据保护的新面孔

在2018年11月的通知中,[2] CNIL报告说,自2018年5月通过GDPR以来,与隐私问题有关的索赔人数显着增加(34%)。因此,个人数据的保护似乎成为一个更重要的问题,特别是因为非营利组织协会能够根据GDPR的第80条为欧盟数据保护当局统称违约和发布索赔。

2019年1月21日,上台上员床对谷歌的决定回顾了非营利组织联想提出的投诉的可否受理,这些协会授权代表用户。因此,决定遵循2018年5月25日和28日,由本组织生效后几天提交的集体投诉 管你什么事 和法国组织 La Quadrature du网.

由决定的长度和记录特征(31页)的长度和记录的特征反映出来,在一个救援程序(勉强10周)之后在极短的时间内交付,CNIL显示明确意愿对GAFAS实施深远的控制给予用户和同意管理的信息,强调GDPR旨在争取任何形式的“论坛购物”。

严格解读铅当局的概念:欧盟水平的广泛控制GDPR要求

根据GDPR第56条,“主要机构或单一机构的监督机构或根据该控制人或处理器的单一建立的权威机构应当担任该控制器或处理器(...)执行的跨境处理的主要监督机构“。

“主要机构”的资格已成为欧盟机构的国际公司的战略问题,因为与数据隐私有关的潜在争议不一定会提交主要成立的数据保护机关。 Brexit进程的不确定性也提出了这方面的具体问题。

在其决定中,CNIL在这方面提供了重要信息。它认为没有“领导权威”,作为实体google爱尔兰有限公司 虽然谷歌辩称,但不能被视为谷歌在欧盟的主要业务地点 谷歌爱尔兰有限公司 是欧盟谷歌的注册办事处,拥有超过3,000名员工,并自2003年以来,它控制了该集团在欧盟的欧盟各地的业务。上部终于保留了其管辖权,因为它认为不得证明这一点 谷歌爱尔兰有限公司 特别是鉴于向用户提供的隐私政策所涵盖的加工业务,有决策权。

通过这种严格的解释“潜国权威机构”的概念,CNIL表明它致力于与欧盟的任何“论坛购物”现象进行斗争,并将具体控制公司作为主要机构指定的实体是否具有必要的特征,根据GDPR已经确定的标准。 CNIL还坚持了数据保护当局之间合作原则的重要性,因为CNIL在收到后将投诉传达给其他数据保护当局。无论如何,国际监管机构将不得不重新考虑他们的方法,因为鉴于这一决定。 CNIL在本案例中撤回的程序论点的数量应被视为仔细体重此识别过程的激励。

达成深远的控制,实施以告知用户并收取同意的措施

对于决定的优点,CNIL旨在愿意对谷歌的服务实施深远的控制。注意到,CNIL通过GDPR合规性实施的控制非常广泛,而且它不仅在Android操作系统上进行,而且还在Google帐户上进行,而这些是具有不同处理活动的独立服务。此外,必须指出的是,谷歌已经采取了步骤,以便在将使用数据的使用方式中通知每个新用户,因为该决定概述了谷歌已经通过措施来实现,特别是关于文档和配置选项。例如,向用户提供更改隐私设置和不同配置工具的可能性。

然而,根据CNIL,所提供的信息并不清晰可理解,而处理业务被认为是显着和侵扰的。 CNIL批评了相关信息只能在几个步骤后访问,有时涉及用户最多五个或六个积极行动。它特别指出了营销广告或尤其是地理攻击。 CNIL表示,考虑到每个处理操作的性质及其对数据受试者的影响,必须评估所提供信息的清晰和可理解性的性质。例如,这意味着自用户的帐户创建以来,向用户提供不同处理和目的的首先概述。

CNIL还强调了使用预先选中的框,而其中概述了GDPR需要一个“positive”同意,这意味着用户自己勾选每个特定处理活动的框。

那里有早期警告标志吗?

通过这一决定,CNIL肯定会转移到制裁方法。但是,自2018年5月以来,法国有预警标志,因为在CNIL决策中可以观察到严谨的逐渐上升,这是根据法国预先GDPR数据保护法规进行的。例如,2018年12月19日,内科利尼人判处优步判处400,000欧元的优惠,涉嫌安全漏洞在优步“GitHub”协作平台上。根据CNIL的说法,优步应该放置更强大的认证措施,以访问“GitHub”,例如由短信发送的秘密密码以便识别用户。

制裁的严重程度可以通过这一事实来解释,这是2014年,谷歌已经被罚款15万欧元,据称违反GDPR法语数据保护行为N°78-17,特别是关于给予用户的信息关于其个人数据处理的条件和目的。这也可以解释为什么CNIL没有向谷歌发出正式通知 - 这是CNIL倾向于做的 - 纠正违规行为。虽然内科尔没有明显征收全球全球全球营业额的4%,但这种制裁仍然是有史以来最高的惩罚,可能不是那种唯一的惩罚。

下一步是什么?

谷歌现在在技术上有两个月来决定是否希望在法国最高行政法院,国家理事会(Conseil d'Etat)之前提出上诉,这将重新审查所谓的违规行为。它已经宣布它会上诉。与此同时,在欧盟,在2019年1月18日提交的进一步投诉中,肯定会有更多的增加,并在2019年1月18日提交了不同的数据保护当局。 2018年1月25日从欧盟司法法院的裁决使个人能够在奥地利对Facebook带来行动可能会为进一步投诉铺平道路。

针对谷歌的决定绝对表明,遵守GDPR的要求是对加工欧洲个人数据的公司进行迫切关注,测试透明度水平,以及与GDPR的现有业务模式的兼容性。


脚注:

Isabelle Falque-Pierrotin:Donnéespersonnelles:« La Cnil Fera Preuve de Souplesse et de Pragmatisme »,Les Echos,2018年2月18日, //www.lesechos.fr/18/02/2018/lesechos.fr/0301307949319_isabelle-falque-pierrotin—donnees-personnelles—–la-cnil-fera-preuve-de-souplesse-et-de-pragmatisme–.htm

RGPD:Quel Bilan 6 Mois Aprazs SonEntréeen申请? 2018年11月23日, //www.cnil.fr/fr/rgpd-quel-bilan-6-mois-apres-son-entree-en-application