A Google megsértette a francia törvényeket, mivel nem teszi lehetővé, hogy a szolgáltatásainak felhasználói kontrollálják, hogy a vállalat hogyan használja fel személyes adataikat, így azok kikerülnek az ellenőrzésük alól – közölte tegnap a francia adatvédelmi biztos egy olyan határozatban, melyet több európai ország hasonló hatóságainak nevében és egyetértésével adott ki. Az adatvédelmi felelős három hónapot adott a Google-nak, hogy a szolgáltatások felhasználási feltételeit úgy módosítsák, hogy az megfeleljen a francia adatvédelmi előírásoknak, különben büntetést szabnak ki a vállalatra. Ugyanakkor azt is bejelentették, hogy hamarosan több európai országban is hasonló eljárás indul a Google ellen.

A felszólítást ugyan a CNIL (Commission nationale de l’informatique et des libertés), a francia adatvédelmi hatóság jegyzi, ám – ahogy a szöveg tartalma is mutatja – ez valójában az Európai Unió adatvédelmi ügyekben hivatalos tanácsadó testülete, az Article 29 Working Party tagjai egyetértésével született meg – az uniós szintű vizsgálatoknál általában a francia hatóság szokta az adatvédelmi felelősök munkáját koordinálni, illetve a mintaadó döntéseket meghozni.

Ahogy korábban beszámoltunk róla, nemrég elküldtek a vállalatnak egy 69 tételből álló kérdőívet, melyben arra voltak kíváncsiak, hogy az amerikai cég milyen módon bánik a felhasználók általuk megszerzett adatival. Erre kaptak ugyan választ, ám a hatóság elégedetlen volt a Google reagálásával, így újabb kérdésekkel bővítették az eredeti dokumentumot, illetve a hiányosságok pótlására szólították fel őket (a korábbi levelet egyébként az után küldtek el, hogy a vállalat új adatvédelmi szabályokat léptetett életbe). Az új megkeresés szerint a CNIL 31 válasz esetében látta úgy, hogy a Google nem adott világos és kimerítő tájékoztatást, ezért ezekre újra rákérdeztek, és június 8-ai határidővel vártak a hivatalos és kielégítő reagálást.

A közlemény alapján úgy tűnik, hogy a CNIL most sem kapott megfelelő válaszokat, ezért következő határozatokat hozták:

• a Google-nak egyértelműen és világosan jeleznie kell a felhasználók számára, hogy mi történik a vállalathoz került személyes adataikkal
• írják át úgy az általános felhasználási szerződések szövegét, hogy azok eleget tegyenek a francia adatvédelmi törvénynek
• pontosan adják meg azokat a határidőket, amíg a megszerzett adatokat megőrzik – ez az idő nem lehet hosszabb, mint amennyi ideig tart annak a célnak az elérése, amely célból azokat gyűjtötték
• felhatalmazás nélkül ne kombinálják a különböző forrásokból megszerzett adatokat (gyakorlatilag az engedély nélküli profilkészítés tilalma)
• a passzív adatgyűjtés (pl. a sütik segítségével) újraszabályozása
• a sütik engedélyezéséhez kérjék a felhasználó hozzájárulását, akár saját, akár harmadik féltől származó cookie-ról van szó

A CNIL a francia törvények értelmében maximálisan 150 ezer eurós bírságot róhat ki a Google-ra, ha az nem teljesíti a követeléseket (amennyiben ezek után sem, akkor újabb 300 ezer eurót), de mivel a bírság mértéke országonként eltérő, adott esetben több millió euróra is rúghat az összesített bírság.

A közleményben szerepel, hogy az összehangolt akció keretében Franciaország után Spanyolország és Nagy-Britannia a jövő hét elején indít eljárást, Németország pedig a hét végén – júliusban hasonló lépések várhatóak Olaszország és Hollandia adatvédelmi hatóságaitól is.

A Google képviselője reakciójában gyakorlatilag az évek óta hangoztatott standard kommentárt mondta el: a vállalat úgy végzi munkáját Európában is, hogy megfeleljenek a helyi törvényeknek, vitás kérdésekben pedig készek együttműködni a hatóságokkal.