Рядко наказание за Apple за нарушаване на поверителността: Френската агенция за защита на данните (CNIL) обяви, че е наложила санкция от 8 млн. евро (~8,5 млн. долара) на производителя на iPhone за това, че не е получил съгласието на френските потребители преди да постави, и/или прочете рекламни идентификатори на техните устройства в нарушение на местното законодателство за защита на данните.
Решението за налагане на санкцията е издадено на 29 декември, но е публикувано едва вчера.
CNIL действа в съответствие с Директивата на Европейския съюз за правото на неприкосновеност на личния живот и електронните комуникации, която позволява на органите за защита на данните на равнище държави членки да предприемат действия по жалби за нарушения на местно равнище, вместо да се изисква те да бъдат препращани към водещия надзорен орган по защита на данните в държавата, в която е основното място на дейност на въпросното дружество в ЕС (както се случва с по-новия Общ регламент за защита на данните на ЕС, или GDPR).
Въпреки че размерът на глобата за нарушаване на правото на неприкосновеност на личния живот и електронни комуникации няма да доведе до безсънни нощи в Купертино, Apple използва твърденията за несравнима защита на личните данни на потребителите, за да излъска своя имидж и да разграничи iPhone от по-евтиния хардуер с платформата Android на Google, така че всяко накърняване на репутацията ѝ по отношение на защитата на данните на потребителите би трябвало да е болезнено.
CNIL заявява, че действа по жалба срещу Apple за показване на персонализирани реклами в своя магазин за приложения App Store. Действието е свързано с по-стара версия (14.6) на операционната система на iPhone, при която – след разследване на надзорния орган през 2021 и 2022 година е установено, че технологичният гигант не е получил предварително съгласие от потребителите за обработване на техните данни за целеви реклами, които са били показвани, когато потребителите са посещавали App Store.
CNIL установи, че версия 14.6 на iOS автоматично прочита идентификаторите в iPhone на потребителите, действие което служи за редица цели, включително за показване на персонализираните реклами в App Store, и че обработката е станала без Apple да получи надлежно съгласие, според регулатора, тъй като съгласието се е събирало чрез настройка, която е била предварително маркирана по подразбиране. В указанията на CNIL от 2019 година относно Директивата за правото на неприкосновеност на личния живот и електронни комуникации се посочва, че за проследяването на реклами е необходимо изрично съгласие на потребителя.
Поради рекламната си цел тези идентификатори не са строго необходими за предоставянето на услугата App Store, следователно те не трябва да могат да бъдат прочетени и/или депозирани, без потребителят да е изразил предварително своето съгласие. На практика обаче настройките за насочване на рекламата, достъпни от иконата „Настройки“ на iPhone, са предварително маркирани по подразбиране.
Освен това потребителят трябвало да извърши голям брой действия, за да деактивира успешно този параметър, тъй като тази възможност не била интегрирана в процеса на инициализация на телефона. Потребителят е трябвало да щракне върху иконата „Settings“ (Настройки) на iPhone, след това да отиде в менюто „Privacy“ (Поверителност) и накрая в раздела, озаглавен „Apple Advertising“ (Реклама на Apple). Тези елементи не давали възможност за събиране на предварителното съгласие на потребителите.
CNIL заяви, че размерът на глобата отразява обхвата на обработката (която, както отбелязва, е ограничена до App Store); броя на засегнатите френски потребители; печалбите, които Apple получава от приходите от реклами, непряко генерирани от данните, събрани от идентификаторите, както и факта, че оттогава Apple е привела дейността си в съответствие с изискванията.
От TechCrunch се свързаха с Apple за коментар относно санкцията на CNIL. Говорител на компанията потвърди, че тя планира да обжалва, като изпрати до TechCrunch изпрати това изявление:
Разочаровани сме от това решение, като се има предвид, че CNIL вече е призналa, че начинът, по който предоставяме реклами за търсене в App Store, дава приоритет на поверителността на потребителите, и ще обжалваме. Apple Search Ads отива по-далеч от всяка друга цифрова рекламна платформа, която ни е известна, като предоставя на потребителите ясен избор дали искат или не персонализирани реклами. Освен това Apple Search Ads никога не проследява потребителите в приложенията и уебсайтовете на трети страни и използва само данни на първата страна за персонализиране на рекламите. Вярваме, че неприкосновеността на личния живот е основно човешко право и потребителят винаги трябва да решава дали да споделя данните си и с кого.
Това не е първият случай, в който Apple се сблъсква с критично отношение към двойните стандарти за защита на личните данни. Още през 2020 гoдина европейската група за защита на личните данни (NOYB) подаде поредица от жалби до органите за защита на данните в ЕС относно идентификатора за рекламодатели (известен още като IDFA), вграден по подразбиране в телефоните iPhone от Apple, като твърдеше, че съществуването на IDFA е подобно нарушение на принципа на предварителното съгласие за проследяване.
През последните години компанията беше обвинявана и в лицемерие по отношение на защитата на личните данни заради различното третиране на проследяването на дейността на потребителите на iPhone с цел предоставяне на собствени „персонализирани реклами“ спрямо наскоро въведеното изискване приложенията на трети страни да получават съгласие от потребителите – след като през 2021 година въведе функцията за прозрачност на проследяването на приложения (известна още като ATT) в iOS.
Apple продължава да оспорва тези аргументи – твърдейки, че спазва местните закони за защита на личните данни и предлага по-високо ниво на поверителност и защита на данните на потребителите на iOS в сравнение с конкурентните платформи.
Междувременно през последните години Франция е много активна в налагането на санкции за нарушаване на правото на неприкосновеност на личния живот и електронните комуникации срещу технологични гиганти, като поредният пример е от миналия месец, когато наложи на Microsoft санкция в размер на 60 млн. евро заради дизайна на тъмни шаблони във връзка с проследяването на бисквитки – след като установи, че компанията не е предложила на потребителите механизъм за отказване на бисквитки, който да е толкова лесен, колкото представения от нея бутон за приемане на бисквитки.
От 2020 година насам Amazon, Google и Meta (Facebook) също са били засегнати от санкции на CNIL за нарушения, свързани с бисквитките. А миналата година Google продължи да актуализира изскачащия си прозорец за съгласие за бисквитки в целия ЕС, за да предложи най-накрая проста опция „приемам всички“ или „отказвам всички“, предлагана на най-високо ниво.
Стабилният поток от принудителни мерки и корекции, които CNIL успя да постигне за потребителите във Франция чрез ePrivacy – много по-стара директива на ЕС от GDPR – хвърли допълнителна критична светлина върху действието на последния водещ регламент за защита на личните данни, където контролът и прилагането на технологичните гиганти продължават да се задъхват от търсенето на съд, свързаните с това процедурни затруднения и проблеми с ресурсите, както и от спорове между регулаторните органи за това как да решават тези случаи.
Но макар че жалба по GDPR срещу технологичен гигант може да отнеме години, за да бъде приложена – като например ~4,8 години, които бяха необходими за финализиране на жалбите за „принудително съгласие“ срещу две компании на Meta – Facebook и Instagram, и все още с вероятни години на обжалване на това решение (и с други още по-дългосрочни жалби, които все още се приближават мъчително към окончателно решение), разликата между директива на ЕС и регламент означава, че прилагането е общоевропейско по подразбиране, а не е локализирано в юрисдикцията на прилагащия ОЗД. Това означава, че при защитата на личния живот и електронните комуникации всяко по-широко прилагане на законодателството е по преценка на санкционирания субект – така че въздействието върху потребителите може да бъде по-локално.