Cơ quan bảo vệ dữ liệu Pháp, CNIL, đã phạt Google 50 triệu EUR (khoảng 56,8 triệu USD) vì không tuân thủ luật GDPR trong quá trình người dùng cài đặt mới thiết bị Android.
Sự kiện đánh dấu lần đầu tiên một công ty công nghệ lớn bị phạt vì luật bảo vệ dữ liệu GDPR mới. Luật GDPR có hiệu lực tại Liên minh châu Âu (EU) từ tháng 5/2018, áp dụng cho tất cả các nước trong liên minh.
Như một phần trong quy định, các công ty được yêu cầu phải được người dùng đồng ý trước khi thu thập dữ liệu về họ. Không chỉ tạo mẫu để người dùng chọn chia sẻ dữ liệu, doanh nghiệp cần cung cấp phương pháp để người dùng xóa dữ liệu đó.
Tuần trước, CEO Apple đã viết một bài báo trên tạp chí Time và gợi ý đưa ra luật tương tự tại Mỹ. CNIL phạt Google do công ty không đáp ứng các tiêu chuẩn của nước này trong cung cấp thông tin đến người dùng về cách dữ liệu của họ được sử dụng hay cung cấp đủ thông tin về chính sách dữ liệu, cụ thể là khi người dùng Android mới cài đặt điện thoại mới và làm theo các hướng dẫn của Android.
Chẳng hạn, nếu người dùng muốn biết dữ liệu của họ được xử lý ra sao để cá nhân hóa quảng cáo, nó cần 5 hay 6 bước. CNIL nói rằng từ ngữ mà Google sử dụng quá rộng và tối nghĩa một cách có chủ đích, khiến người dùng khó hiểu. Thứ hai, quy trình của Google không tuân thủ GDPR ở chỗ: Google mặc định ép người dùng đăng nhập hoặc đăng ký mới tài khoản Google. Công ty nói rằng trải nghiệm của bạn sẽ tồi hơn nếu không có tài khoản Google. Theo CNIL, Google nên tách bạch hành động tạo tài khoản mới ra khỏi quy trình cài đặt thiết bị. Việc gộp cả hai là bất hợp pháp theo GDPR.
Nếu chọn mở tài khoản mới, khi yêu cầu tick hoặc không tick một số cài đặt, Google không giải thích điều đó nghĩa là gì. Ví dụ, khi Google hỏi bạn có muốn cá nhân hóa quảng cáo không, công ty không nói với bạn là họ đang nói về nhiều dịch vụ khác nhau, từ YouTube đến Google Maps và Google Photos. Ngoài ra, Google không đề nghị sự cho phép cụ thể và rõ ràng khi bạn tạo tài khoản mới. Tùy chọn thoát khỏi các quảng cáo cá nhân được ẩn trong mục “More options” (tùy chọn khác). Tùy chọn này lại được tick sẵn trong khi không được phép theo GDPR.
Cuối cùng, Google mặc định tick vào ô nói rằng “Tôi đồng ý với việc xử lý thông tin như mô tả ở trên và giải thích rõ hơn trong chính sách quyền riêng tư” khi tạo tài khoản. Các mô tả chung chung này cũng bị GDPR cấm.
56,8 triệu USD dường như khá lớn song đây chưa phải mức cao nhất mà GDPR có thể đưa ra. Doanh nghiệp có thể bị phạt tối đa 4% doanh thu thường niên trên toàn cầu. Với các hãng như Google, nó tương đương với hàng tỷ USD.
Nguồn: Sưu tầm từ internet via ictnews