フランスのデータ保護当局「CNIL」は、EUのGDPRデータ保護規則に違反するためにGoogleに5,000万ユーロの罰金を課しました。
「CNIL」は、罰金を正当化するために「透明性の欠如、不適切な情報、および広告のパーソナライゼーションに関する有効な同意の欠如」を挙げました。
金銭的ペナルティにつながったは、プライバシー保護団体「None Of Your Business(NOYB)」および「La Quadrature du Net(LQDN)」の団体からの苦情によります。特に広告のパーソナライズを目的として、Googleがユーザーの個人データを処理するための有効な法的根拠を持っていないという主張が提出されました。
広告ターゲティングのためにデータを処理することについてユーザーの同意を得たという「Google」の主張にもかかわらず、「CNIL」は同意が正当に得られていないと結論付けました。
「まず、制限委員会は、ユーザーの同意が十分に知らされていないことを認めます。広告のパーソナライゼーションのための処理操作に関する情報はいくつかの文書で希釈されており、ユーザがそれらのすべてを認識することはできません。」
「GDPR」の規則は、目的ごとに”明確な肯定的行動”が与えられている場合にのみ同意できるとみなします。Googleの一般的な”すべてに同意する”はこれに値しません。
「CNIL」はまた、「Google」は、データ処理の目的、データの保存期間、広告のパーソナライズに使用される個人データのカテゴリなどの情報をユーザーが簡単に入手できるように準備できていないとしました。そのような情報にアクセスするための手段は複雑で、しばしば5つか6つのアクションを必要とします。そして「Google」によって提供される膨大な数のサービスは処理とデータカテゴリーの会社の目的の説明を”あまりにも一般的で曖昧”にします。
最初の不服申立人「NOYB」の会長、Max Schrems氏は次のように述べています。
「欧州のデータ保護当局が「GDPR」の可能性を見出し、法律違反を明確に処罰してくれたことを嬉しく思います。「GDPR」の導入後、「Google」などの大企業は単に”法律の解釈が異なる”ため、表面的にしか製品を改造していないことがわかりました。当局が、単に準拠していると主張するだけでは不十分であることを明確にすることが重要です。」
