За результатами перевірок СNIL виявили порушення двох вимог GDPR:

1. Прозорість та поінформованість користувачів про обробку персональних даних.
2. Відсутність належної згоди користувачів для обробки персональних даних з метою персоналізації реклами.

У випадку з персоналізацією реклами Google був впевнений, що отримав згоду користувачів, бо, по-перше, при створенні Google-aкаунтів користувач погоджується з Політикою конфіденційності, а по-друге, Google має розділ «Ads personalization», де можна вимкнути цю функцію.

Так виглядає вікно налаштувань персоналізації реклами в Google-акаунті

Втім, CNIL так не вважає, оскільки інформація про персоналізацію реклами недостатньо чітко доноситься користувачам. Як приклад, Комісія стверджує, що відповідне вікно «Персоналізації» не містить інформації про всю множину Google-сервісів, які здійснюють збір і обробку персональних даних з цією метою (YouТube, Google search, Play Store, Google pictures, Gmail і т. д.), а отже, користувач не може усвідомити, в яких обсягах дані використовуються і як саме вони можуть комбінуватися.

Отже, пройдемося по тексту рішення СNIL

Чому Франція, а не Ірландія. Google працює в Європі через юридичну особу в Ірландії. Але справу порушив не ірландський, а французький регулятор. Відбулося це от чому.

Якщо рішення щодо обробки даних ухвалюються будь-де за межами ЄС, то діє one stop mechanism – куди скарга надійшла, той орган її і розглядає. Оскільки центр прийняття рішень про обробку даних Google знаходиться в США, а скарга вперше надійшла у Франції – то CNIL її і розглядав.