Franse privacywaakhond beboet Google en Meta met 210 miljoen euro

Abonneer je gratis op Techzine!

De Franse handhaver van datawetten bevindt Google en Meta schuldig aan de overtreding van Europese privacyregelgeving. De organisaties ontvangen een dwangsom van 210 miljoen.

Franse gebruikers van YouTube (Google) en Facebook (Meta) zouden onvoldoende keuzevrijheid hebben in het weigeren of toestaan van cookie tracking.

Volgens Europese regelgeving hebben internetgebruikers het recht op privacy. Daarbij hoort een redelijke manier voor het weigeren en toestaan van cookie tracking. Dienstverleners als Google en Meta zijn verantwoordelijk voor het bieden van die manier. Volgens CNIL (Franse data-autoriteit) hebben de organisaties gefaald.

De Amerikaanse tak van Google ontvangt een boete van 90 miljoen euro. De Ierse takken van Google en Meta ontvangen een boete van 60 miljoen euro. Over drie maanden worden de organisaties met 100.000 euro bekeurd voor elke dag dat het cookiebeleid onveranderd is. De dreiging geldt voor youtube.fr, google.fr en het Franse platform van Facebook.

“Gebruikers vertrouwen erop dat we hun privacy en veiligheid respecteren”, meldt een woordvoerder van Google. “We zijn ons goed bewust van de verantwoordelijkheid om dat vertrouwen te respecteren. We gaan voor verandering en werken actief samen met de CNIL.”

Alle ogen op Ierland gericht

De GDPR kan alleen worden gehandhaafd door de autoriteiten van het land waarin de overtredende organisatie is gevestigd. Maken Google en Meta zich schuldig aan de onveilige verwerking van persoonsgegevens, dan ligt de verantwoordelijkheid voor handhaving bijna altijd bij de Irish Data Protection Commission (DPC). Dit voorval draait echter niet om de verwerking van persoonsgegevens, maar de toestemming voor het verwerken van persoonsgegevens. In dat geval kan de Europese ePrivacy-wet van toepassing zijn.

De wet omvat het recht op privacy voor Europese inwoners. GDPR en ePrivacy hebben overlap, maar waar GDPR in brede lijnen dicteert hoe organisaties met persoonsgegevens om moeten gaan, specificeert ePrivacy de gewenste methodes. In tegenstelling tot GDPR kan ePrivacy gehandhaafd worden door instanties buiten het land van de schuldige organisatie. Daar maakte de CNIL naarstig gebruik van. Frankrijk waagde zich op Ierse grond. De vraag is of de Ierse DPC dat niet had kunnen voorkomen.

Volgens een aantal Europese beleidsmakers wordt de GDPR onvoldoende door de DPC benut. De Ierse overheid zou te weinig middelen ter beschikking stellen aan de autoriteit. Dat kan betekenen dat overtredingen als die van Google en Meta aan de DPC voorbij gaan.

Onlangs riepen critici Didier Reynders (GDPR-topman van de Europese Commissie) op om sancties aan de Ierse DPC op te leggen. Reynders verdedigde de DPC en ontkrachtte de kritiek met een gebrek aan bewijs. De Franse vervolging van Google en Meta is opvallend, maar geen indicatie van incompetentie onder de DPC.