Da li će i Hrvatska kazniti Google

Podijeli

Nakon što je francuska Državna komisija za informatiku i slobode (CNIL) izreklo Googleu kaznu od 50 miliona eura zbog netransparentnosti u korišćenju ličnih podataka građana za usluge ciljanog oglašavanja, hrvatski stručnjak kaže da bi američkog tehnološkog diva vjerovatno mogla kazniti i hrvatska Agencija za zaštitu ličnih podataka (AZOP). Naravno, trebalo bi da prije toga sprovede istragu kao što je to učinio i CNIL.

Stanko Cerin, osnivač kompanije Ostendo Consulting i stručnjak za informacionu bezbjednost, smatra da bi u Evropi nakon francuske odluke mogao uslijediti niz kazni protiv Googlea na osnovu načela konzistentnosti, kojim se, prema GDPR-u, moraju voditi nadzorna tijela.ž

Primjenjujući to načelo, AZOP bi možda mogao hrvatski budžet dopuniti sa 2,95 miliona eura Googleovog novca zbog kršenja prava na zaštitu podataka Hrvata, smatra Cerin. Do mogućeg iznosa kazne došao je na osnovu francuskog slučaja, piše Jutarnji list.

To je prvi tako velik iznos kazne donesen prema evropskom GDPR-u (Opšta uredba o zaštiti podataka, koja se primjenjuje od maja prošle godine), a Google je najavio žalbu francuskom visokom upravnom sudu. Francuska komisija prvo je evropsko tijelo za zaštitu ličnih podataka koje je kaznilo američku internet kompaniju na temelju te uredbe. Razlog: netransparentnost, neadekvatno informisanje i nepostojanje valjanog pristanka na to da Google koristi njihove lične podatke za personalizovano oglašavanje.

CNIL je sproveo istragu nakon što je prošle godine primio dva prigovora – jedan od udruženja None Of Your Business (NOYB) i drugi od La Quadrature du Net (LQDN), na osnovi iskustava korisnika kada su otvarali Google račun pri konfiguriranju svog mobilnog telefona koristeći operativni sistem Android. NOYB je podnio i prigovore zbog obrade ličnih podataka Facebooka, Instagrama i WhatsAppa u četiri različite zemlje EU.

Google ima svoje evropsko sjedište u Irskoj i stoga potpada pod jurisdikciju irskog regulatora (DPC), ali članovi CNIL-a su u konsultaciji s drugim agencijama zaključili da se u ovom slučaju neće primjenjivati evropski mehanizam “one-stop-shopa” (da je nadležno ono tijelo gdje multinacionalna kompanija ima svoje evropsko sjedište) budući da odluke o obradi ličnih podataka u ovom slučaju ne donosi Google u Irskoj, nego u Americi.

Iz hrvatske Agencije za zaštitu ličnih podataka odgovaraju da oni “nijesu primili pritužbe građana na obradu ličnih podataka od predmetnog voditelja obrade”. Hoće li uskoro nešto preduzeti, razmišljaju li o istrazi, odnosno kazni ili ne, iz ostatka njihova odgovora na pitanja Jutarnjeg lista nije sasvim jasno, ali poručuju da prate slučaj i usklađenost Googleove prakse sa zakonom.

AZOP bi mogao pokrenuti postupak istrage u Hrvatskoj i bez konkretnog prigovora građana, odnosno udruženja. Uostalom, u toj agenciji kažu da se “kroz svakodnevni rad brinu o ukupnom konceptu zaštite ličnih podataka građana/ispitanika na području Republike Hrvatske”, kao i da “kontinuirano prate situaciju po pitanju svih vođa obrade koji obrađuju lične podatke građana, pa tako i velikih kompanija prisutnih na teritoriji Republike Hrvatske”. Jednako tako prate i “slučaj CNIL-ova izricanja upravne novčane kazne Google LLC-u, ali i druge značajnije slučajeve kada se radi o obradi podataka građana EU”. Navode i da će pratiti usklađenost Googlea sa zakonodavnim okvirom te da će “u slučaju utvrđenja određene neusklađenosti prema istom reagovati u skladu sa svojim ovlašćenjima”. Iznos moguće kazne u AZOP-u nijesu komentarisali.

Ukupan prihod Googlea, odnosno krovne kompanije Alphabet, u fiskalnoj 2017. godini bio je oko 110 milijardi dolara, a kazna određena u Francuskoj zapravo je mala u odnosu na najveću moguću. Prema GDPR-u, maksimalna kazna može biti do četiri odsto prihoda kompanije ili 20 miliona eura, zavisno od toga koji je iznos veći.

Kako je CNIL došao do iznosa od 50 miliona eura i zašto bi to u Hrvatskoj moglo značiti tri miliona eura?

Cerin kaže da se za obračun visine kazne trebaju primjenjivati smjernice koje je objavila radna grupa EU (Article 29 Data protection working party), čiju su i CNIL i AZOP članovi. Pri proračunu visine kazne u obzir, između ostalog, treba uzeti i broj oštećenih osoba. Odnosi li se CNIL-ova kazna na 67 miliona Francuza, računa Cerin, ispada da je iznos kazne koju Google tamo mora platiti gotovo 0,75 eura po stanovniku. Pod pretpostavkom da je informatička pismenost u Hrvatskoj slična Francuskoj, za hrvatski budžet to bilo skoro tri miliona eura.