Osobni podaci

Nakon kazne Francuza i AZOP proučava Googleovu praksu, a mogao bi naplatiti 2,95 mil. eura

AUTOR:

OBJAVLJENO:

11.2.2019. u 9:13

AUTOR:

OBJAVLJENO:

11.2.2019. u 9:13

google office headquarters palo alto california technology information search engine giant logo sign parking lot internet Rodolfo Arpia fortune 500 company enterprise entrepreneur famous rich profitable industry industrial compound profits horizontal garden plants trees park, Image: 6460741, License: Rights-managed, Restrictions: , Model Release: no, Credit line: Profimedia, Alamy
Profimedia, Alamy

Sjedište Googlea u Palo Altu

Nakon što je francusko Državno povjerenstvo za informatiku i slobode (CNIL) izreklo Googleu kaznu od 50 milijuna eura zbog netransparentnosti u korištenju osobnih podataka građana za usluge ciljanog oglašavanja, hrvatski stručnjak kaže da bi američkog tehnološkog diva vjerojatno mogla kazniti i hrvatska Agencija za zaštitu osobnih podataka (AZOP). Naravno, trebala bi prije toga provesti istragu kao što je to učinio i CNIL.

Stanko Cerin, osnivač tvrtke Ostendo Consulting i stručnjak za informacijsku sigurnost, smatra da bi u Europi nakon francuske odluke mogao uslijediti niz kazni protiv Googlea slijedom načela konzistentnosti, kojim se, prema GDPR-u, moraju voditi nadzorna tijela. Primjenjujući to načelo, AZOP bi možda mogao hrvatski proračun dopuniti sa 2,95 milijuna eura Googleova novca zbog kršenja prava na zaštitu podataka Hrvata, smatra Cerin. Do mogućeg iznosa kazne došao je na temelju francuskog slučaja.

To je prvi tako velik iznos kazne donesen prema europskom GDPR-u (Općoj uredbi o zaštiti podataka, koja se primjenjuje od svibnja prošle godine), a Google je najavio žalbu francuskom visokom upravnom sudu. Francuska komisija prvo je europsko tijelo za zaštitu osobnih podataka koje je kaznilo američku internetsku tvrtku na temelju te uredbe. Razlog: netransparentnost, neadekvatno informiranje i nepostojanje valjanog pristanka na to da Google koristi njihove osobne podatke za personalizirano oglašavanje.

Prigovori

CNIL je proveo istragu nakon što je prošle godine primio dva prigovora - jedan od udruge None Of Your Business (NOYB) i drugi od La Quadrature du Net (LQDN), na osnovi iskustava korisnika kada su otvarali Google račun pri konfiguriranju svojeg mobitela koristeći operativni sustav Android. NOYB je podnio i prigovore zbog obrade osobnih podataka Facebooka, Instagrama i WhatsAppa u četiri različite zemlje EU.

Google ima svoje europsko sjedište u Irskoj i stoga potpada pod jurisdikciju irskog regulatora (DPC), ali članovi CNIL-a su u konzultaciji s drugim agencijama zaključili da se u ovom slučaju neće primjenjivati europski mehanizam “one-stop-shopa” (da je nadležno ono tijelo gdje multinacionalna kompanija ima svoje europsko sjedište) budući da odluke o obradi osobnih podataka u ovom slučaju ne donosi Google u Irskoj, nego u Americi.

Istraga

Iz hrvatske Agencije za zaštitu osobnih podataka odgovaraju da oni “nisu zaprimili pritužbe građana na obradu osobnih podataka od predmetnog voditelja obrade”. Hoće li uskoro nešto poduzeti, razmišljaju li o istrazi, odnosno kazni ili ne, iz ostatka njihova odgovora na naša pitanja nije posve jasno, ali poručuju da prate slučaj i usklađenost Googleove prakse sa zakonom.

AZOP bi mogao pokrenuti postupak istrage u Hrvatskoj i bez konkretnog prigovora građana, odnosno udruga. Uostalom, u toj agenciji kažu da se “kroz svakodnevni rad brinu o ukupnom konceptu zaštite osobnih podataka građana/ispitanika na području Republike Hrvatske”, kao i da “kontinuirano prate situaciju po pitanju svih voditelja obrade koji obrađuju osobne podatke građana, pa tako i velikih kompanija prisutnih na teritoriju Republike Hrvatske”. Jednako tako prate i “slučaj CNIL-ova izricanja upravne novčane kazne Google LLC-u, ali i druge značajnije slučajeve kada se radi o obradi podataka građana EU”. Navode također da će pratiti usklađenost Googlea sa zakonodavnim okvirom te da će “u slučaju utvrđenja određene nesukladnosti prema istom reagirati u skladu sa svojim ovlastima”. Iznos moguće kazne u AZOP-u nisu komentirali.

Kazna

Ukupan prihod Googlea, odnosno krovne kompanije Alphabet, u fiskalnoj 2017. godini bio je oko 110 milijardi dolara, a kazna određena u Francuskoj zapravo je mala u odnosu na najveću moguću. Prema GDPR-u, maksimalna kazna može biti do četiri posto prihoda kompanije ili 20 milijuna eura, ovisno o tome koji je iznos veći.

Kako je CNIL došao do iznosa od 50 milijuna eura i zašto bi to u Hrvatskoj moglo značiti tri milijuna eura?

Cerin kaže da se za izračun visine kazne trebaju primjenjivati smjernice koje je objavila radna skupina EU (Article 29 Data protection working party), čiju su i CNIL i AZOP članovi. Pri izračunu visine kazne u obzir, među ostalim, treba uzeti i broj oštećenih osoba. Odnosi li se CNIL-ova kazna na 67 milijuna Francuza, računa Cerin, ispada da je iznos kazne koju Google tamo mora platiti gotovo 0,75 eura po stanovniku. Pod pretpostavkom da je informatička pismenost u Hrvatskoj slična Francuskoj, za naš bi proračun to bilo gotovo tri milijuna eura.