Volgens CNIL schiet de internetgigant tekort in de informatievoorziening over het verwerken en opslaan van gegevens voor gerichte advertenties, alsmede het verkrijgen van geldige toestemming. “Essentiële informatie, zoals het doel van de dataverwerking, de bewaartermijn van data en de soorten persoonlijke data die voor gepersonaliseerde advertenties worden gebruikt, zijn buitensporig over verschillende documenten verspreid, met knoppen en links die voor aanvullende informatie moeten worden aangeklikt. De relevante informatie is alleen na verschillende stappen toegankelijk, waarbij soms vijf tot zes acties nodig zijn”, aldus de toezichthouder.

Daarnaast gaat Google de fout in door te stellen dat het over een juridische basis beschikt voor het verwerken van gegevens voor gepersonaliseerde advertenties. “Google stelt dat het toestemming van gebruikers verkrijgt voor het verwerken van data voor gepersonaliseerde advertenties. Deze toestemming is echter voor twee redenen niet geldig”, zo stelt de Franse privacytoezichthouder. De eerste reden is dat gebruikers niet voldoende door Google worden geïnformeerd. De informatie over de dataverwerkingen is over verschillende documenten verspreid en zorgt ervoor dat de gebruiker niet in staat is om de omvang van de dataverwerkingen te beseffen. Verder is de verzamelde toestemming niet “specifiek” noch “ondubbelzinnig”, stelt CNIL.

Als er een account wordt aangemaakt kan de gebruiker wel verschillende opties over het account aanpassen, maar het is niet mogelijk om de weergave van gepersonaliseerde advertenties in het eerste scherm in te stellen. Daarnaast staat het weergeven van gepersonaliseerde advertenties bij de uitgebreidere opties standaard geselecteerd. Verder moet een gebruiker bij het aanmaken van een account zijn toestemming geven voor alle dataverwerkingen door Google, wat niet specifiek is en daarmee in overtreding van de AVG, aldus CNIL.

Het was de eerste keer dat de Franse privacytoezichthouder de nieuwe boetebevoegdheid van de AVG inzette. De hoogte van het bedrag werd volgens CNIL gerechtvaardigd door de ernst van de overtreding aangaande de essentiële principes van de AVG, namelijk transparantie, informatievoorziening en toestemming.

Google ging vervolgens tegen de boete in beroep, maar trekt daarbij aan het kortste eind. Volgens de Raad van State schiet Google tekort in de informatievoorziening aan gebruikers, waardoor de toestemming van gebruikers niet op geldige wijze wordt verkregen. Ook liet de rechtbank weten dat de Franse toezichthouder Google in deze zaak een boete mocht opleggen en dit niet voorbehouden was aan de Ierse privacytoezichthouder. Het Europese hoofdkantoor van Google bevindt zich in Ierland.

De AVG introduceert een zogeheten “éénloketsysteem”, waarbij de privacytoezichthouder van het land waar een bedrijf zijn haar hoofdkwartier heeft leidend is. De Franse Raad van State laat weten dat op het moment van de boete de Ierse dochteronderneming van Google geen bevoegdheid had over de andere Europese dochterondernemingen of de beslissingsbevoegdheid voor de gegevensverwerking. In een reactie op de uitspraak laat CNIL weten dat het éénloketsysteem in de zaak niet van toepassing was. De onderliggende beslissingen waren namelijk niet genomen door Google Ierland, maar door Google in de Verenigde Staten.

Verder stelt de rechtbank dat de hoogte van de boete proportioneel is gezien de ernst van de overtredingen. De boete voor Google is tot nu toe de hoogste die in Europa onder de AVG is uitgedeeld. Het bedrag staat echter niet in verhouding tot de omzet van Alphabet, die vorig jaar de 161 miljard dollar passeerde.

Lees meer op security.nl