2025-09-01

საფრანგეთის პერსონალურ მონაცემთა დაცვის ორგანოს (“CNIL“) გადაწყვეტილება მონაცემთა დამუშავების კანონიერების შესახებ

---

 

2025 წლის 1-ელ სექტემბერს საფრანგეთის პერსონალურ მონაცემთა დაცვის ორგანომ (“Commission nationale de l’informatique et des libertés” — “CNIL”) კომპანია “Google”-ის მიერ მონაცემთა დამუშავების კანონიერების შესახებ გადაწყვეტილება[1] მიიღო.

საქმის ფაქტობრივი გარემოებები

2022 წლის ზაფხულში მოქალაქემ საფრანგეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს მიმართა, რადგან წინასწარი თანხმობის გარეშე “Gmail”-ის ანგარიშის „Promotions“ სექციაში სარეკლამო ტიპის შეტყობინებებს იღებდა.  

“Google”-ის განმარტებით, აღნიშნული საქმის განმხილველი შესაბამისი უფლებამოსილი ორგანო ირლანდიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანო უნდა ყოფილიყო, “Google”-ის ევროპული შტაბბინის ადგილსამყოფელის შესაბამისად, რადგან საქმის ფაქტობრივი გარემოებებიდან გამომდინარე, შემთხვევა ეხებოდა მონაცემთა საერთაშორისო გადაცემას. ასევე, “Google”-ის მტკიცებით, მოცემულ შემთხვევაში დამუშავებისთვის პასუხისმგებელი პირი “Google Ireland Limited” იყო, და არა “Google LLC” ან “Google France”.

საზედამხედველო ორგანოს შეფასება

საფრანგეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ, უპირველესად, იმსჯელა კომპეტენციის (განსჯადობის) საკითხთან დაკავშირებით. მოცემულ შემთხვევაში საქმე შეეხებოდა საჯარო ელექტრონული კომუნიკაციების მომსახურებას ევროკავშირის სივრცეში, რაც შედიოდა “ePrivacy დირექტივის” — და არა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) — მოქმედების ფარგლებში.

იქიდან გამომდინარე, რომ “ePrivacy” ჩარჩო არ ითვალისწინებს „ერთიანი ფანჯრის მექანიზმს“, საფრანგეთის მონაცემთა დაცვის საზედამხედველო ორგანოს ეკისრებოდა პასუხისმგებლობა საფრანგეთის ტერიტორიაზე მოქმედი კომპანიის საქმიანობის მონიტორინგზე. საზედამხედველო ორგანომ “Google France” მიიჩნია “Google”-ის დაფუძნებულ სტრუქტურად საფრანგეთში, ევროპული სასამართლოს (“CJEU”) პრაქტიკის შესაბამისად, რომელმაც თავის გადაწყვეტილებაში ე.წ. „დაფუძნების“ ცნება ფართოდ განმარტა.

საფრანგეთის პერსონალურ მონაცემთა დაცვის  საზედამხედველო ორგანოს შეფასებით, “Google LLC”-მა და “Google Ireland Limited”-მა ერთობლივად განსაზღვრეს მონაცემთა დამუშავების მიზნები და საშუალებები, რის საფუძველზეც თანადამუშავებისთვის პასუხისმგებელ პირებად მოიაზრებოდნენ.

საზედამხედველო ორგანომ დაადგინა საფრანგეთის „მონაცემთა დაცვის შესახებ“ კანონის 82-ე მუხლის დარღვევა - საზედამხედველო ორგანოს შეფასებით, მომხმარებლებს  “Google”-ის ანგარიშის შექმნისას არ ჰქონდათ თავისუფლად გაცხადებული თანხმობა, რადგან მათთვის მარტივი იყო თანხმობის გაცემა, თუმცა უარის თქმა გაცილებით რთული პროცესი იყო (1 მოქმედებით დათანხმება vs. 5 მოქმედებით უარი). მიუხედავად იმისა, რომ აღნიშნული მექანიზმი 2023 წელს შეიცვალა, საზედამხედველო ორგანომ მაინც მიიჩნია, რომ “Google” მიერ არჩევანი არ იყო ნეიტრალური ფორმით შეთავაზებული.
გარდა ამისა, მომხმარებლებს არ ჰქონდათ ცალსახა ინფორმაცია, რომ “Google”-ის სერვისებზე წვდომა დამოკიდებული იყო „მზა-ჩანაწერების“ განთავსებასთან.

ასევე, დადგინდა საფრანგეთის საფოსტო და ელექტრონული კომუნიკაციების კოდექსის (“CPCE”) L.34-5 მუხლის დარღვევა — აღნიშნული ნორმის მიხედვით, ელექტრონული ფოსტის გზით პირდაპირი მარკეტინგი დასაშვებია მხოლოდ მაშინ, თუ მომხმარებელმა წინასწარ გასცა თანხმობა.
საზედამხედველო ორგანომ მიუთითა ევროპის მართლმსაჯულების სასამართლოს გადაწყვეტილებაზე (საქმე C-102/20), რომლის მიხედვითაც რეკლამების განთავსება, ელ. ფოსტის საშუალებით წარმოადგენს პირდაპირ მარკეტინგს. საზედამხედველო ორგანომ დაადგინა, რომ მომხმარებლებს თანხმობა ჰქონდათ მიცემული მხოლოდ ელ. ფოსტების „ჭკვიან“ კატეგორიებად დაყოფაზე, მაგრამ არა იმაზე, რომ სარეკლამო შეტყობინებები მათ რეალურ წერილებს შორის განთავსებულიყო.

 

საზედამხედველო ორგანოს გადაწყვეტილება

საფრანგეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს მიერ “Google LLC”-სა და “Google Ireland Limited”-ს დაეკისრა ჯარიმა ჯამურად 325 მილიონი ევროს ოდენობით (აქედან “Google LLC” — 200 მილიონი ევროს, ხოლო “Google Ireland Limited” — 125 მილიონი ევროს ოდენობით).

დამამძიმებელ გარემოებად შეფასდა “Google”-ის დომინანტური პოზიცია ონლაინ რეკლამირების ბაზარზე, “Gmail”-ის გლობალური გავრცელება (როგორც მსოფლიოში მეორე ყველაზე გამოყენებადი ელ. ფოსტა) და წარსული დარღვევები „მზა-ჩანაწერების“ პოლიტიკასთან დაკავშირებით.

გარდა ჯარიმისა, კომპანიებს დაევალათ “Gmail” სარეკლამო შეტყობინებების განთავსების აკრძალვა თანხმობის გარეშე და ვალიდური თანხმობის მიღების უზრუნველყოფის მექანიზმის შემუშავება “Google” ანგარიშის შექმნისას. 6 თვის ვადაში აღნიშნული მოთხოვნების შეუსრულებლობის შემთხვევაში, თითოეულ კომპანიას დაეკისრება დამატებითი სანქცია — 100,000 ევროს ოდენობით ყოველ ვადაგადაცილებულ დღეზე.