Vi phạm GDPR, Google bị phạt 57 triệu USD tại Pháp

Theo TechCrunch, vi phạm của Google liên quan đến quá trình thiết lập điện thoại Android mới của người dùng. Đó là kết quả sau khi 2 tổ chức phi lợi nhuận có tên None Of Your Business (noyb) và La Quadrature du Net gửi đơn khiếu nại vào tháng 5.2018. Trong số này, noyb đã gửi đơn khiếu nại nhắm vào Google và Facebook, tuy nhiên án phạt cho Facebook vẫn chưa được đưa ra.

Mặc dù trụ sở chính của Google châu Âu ở Dublin (Ireland) nhưng CNIL cho rằng nhóm ở Dublin không có tiếng nói cuối cùng khi xử lý dữ liệu người dùng Android mới mà quyết định này xảy ra ở Mountain View. Theo CNIL, sau quá trình điều tra, họ phát hiện Google đã không tuân thủ GDPR khi nói đến sự minh bạch và đồng ý từ người dùng.

tin liên quan

Doanh nghiệp 'đau đầu' vì quy định dữ liệu trong năm 2019

Về tính minh bạch, CNIL cho biết các thông tin cần thiết như mục đích xử lý dữ liệu, thời gian lưu trữ dữ liệu hoặc danh mục dữ liệu cá nhân đã được Google sử dụng để cá nhân hóa quảng cáo quá mức cần thiết, nơi người dùng bị yêu cầu thực hiện rất nhiều thao tác nhấp liên kết. Ví dụ, nếu người dùng muốn biết cách Google xử lý dữ liệu của họ để cá nhân hóa quảng cáo, họ phải mất 5 hoặc 6 lần nhấn vào liên kết. Đó là chưa kể việc nội dung từ ngữ mà Google mô tả là rất rộng và tối nghĩa khiến người dùng khó hiểu.

Về sự đồng ý, CNIL cho rằng Google đã không tuân thủ GDPR. Theo mặc định, Google thúc đẩy người dùng đăng nhập hoặc đăng ký tài khoản Google và nói với người dùng rằng trải nghiệm của họ sẽ tồi tệ hơn nếu không có tài khoản Google. Theo CNIL, Google không nên tách hành động tạo tài khoản khỏi hành động thiết lập thiết bị - vốn bất hợp pháp so với quy định của GDPR.

Nếu người dùng chọn đăng ký tài khoản, Google không giải thích ý nghĩa cho các tùy chọn đánh dấu hoặc bỏ chọn cho một số cài đặt. Chẳng hạn, khi Google hỏi người dùng có muốn quảng cáo được cá nhân hóa hay không, công ty không cho biết điều này bao gồm nhiều dịch vụ khác nhau (từ YouTube đến Google Maps hoặc Google Photos).

Ngoài ra, Google không yêu cầu sự đồng ý cụ thể và rõ ràng khi người dùng tạo tài khoản, với tùy chọn từ chối quảng cáo được cá nhân hóa ẩn đằng sau một liên kết More options. Đặc biệt là tùy chọn này đã được đánh dấu trước theo mặc định.

Cuối cùng, theo mặc định, Google đánh dấu vào ô có nội dung “I agree to the processing of my information as described above and further explained in the Privacy Policy” khi người dùng tạo tài khoản. Đây là điều cũng bị cấm theo GDPR.

CNIL cũng nói thêm rằng Google đã không thực hiện bất kỳ thay đổi nào kể từ khi cuộc điều tra được tiến hành vào tháng 9.2018.