2018년 5월부터 유럽 전역에서 효력을 발휘하기 시작한 일반 데이터 보호 규정(GDPR)에 따라 구글이 벌금을 부과받은 최초의 실리콘밸리 기술 대기업이 됐다.
프랑스 데이터보호 기관인 정보처리 자유 국가위원회(CNIL)는 구글이 GPDR을 위반했다며 5,000만 유로(642억 원)의 벌금을 부과했다. 이는 GDPR이 발효된 이래로 이를 어긴 데 대한 벌금 가운데 최대다.
CNIL은 2018년 5월 구글이 사용자의 개인 데이터, 특히 광고에 대한 개인 데이터를 처리할 법적 권리가 없다고 주장하는 신고를 처음 접수했다고 전했다. 이 신고는 오스트리아에서 활동하는 디지털 권리 옹호단체인 NOYB(No of Your Business)와 프랑스 인터넷 프라이버시 옹호단체인 LQDN(La Quadrature du Net)이 제출한 것이었다.
CNIL에 따르면 구글의 데이터 처리와 관련된 정보는 사용자가 충분히 접근할 수 없는 것으로 밝혀졌거나 이 데이터를 사용하는 범위에 해당하지 않았다. 또한 사용자 동의가 충분하게 설정되지 않았으며 동의했다 해도 구글은 동의의 의미를 모호하게 언급했다.
영향을 받는 구글 서비스에는 유튜브, 검색, 지도, 안드로이드 앱 스토어 구글 플레이가 포함될 수 있다.
그러나 5,000만 유로의 벌금은 GDPR이 규정한 최대 벌금과 비교할 때 가장 많은 것은 것은 아니다. GDPR에 다르면, 규정을 위반한 기업은 전세계 연 매출액의 4%를 벌금으로 내야 할 수도 있다. 2018년 4월에 보고된 구글의 전세계 매출은 미화 311억 5,000만 달러였다.
이 단체는 테스트를 거친 후 아마존과 애플 같은 기업을 포함해 스트리밍 서비스를 제공하는 기업들이 GDPR의 제 15조를 위반했다고 밝혔다. GDPR 15조에 따르면, 스트리밍 서비스 기업은 데이터 주체가 데이터 처리 여부를 알 수 있어야 하며 이들이 원한다면 해당 데이터에 접근할 수 있어야 한다.