Google idømt bøde på 50 mio. euro for at overtræde databeskyttelsesforordningen
Det franske datatilsyn har idømt Google en historisk høj bøde på 50 millioner euro for ikke at leve op til databeskyttelsesforordningens krav om gyldigt samtykke, gennemsigtighed og information.
Kort efter at databeskyttelsesforordningen fandt anvendelse, modtog det franske datatilsyn (CNIL) klager over Googles behandling af personoplysninger. Klagerne var blandt andet indgivet af organisationen "None Of Your Business" og organisationen "La Quadrature du Net".
På baggrund af klagerne undersøgte CNIL sagen og vurderede derefter, at Google havde overtrådt databeskyttelsesforordningen, hvilket medførte en bøde på 50 millioner euro.
Som begrundelse for bøden nævner CNIL, at Google ikke havde lov til at anvende brugernes personoplysninger til målrettet annoncering. Derudover havde Google heller ikke beskrevet formålene med de forskellige behandlinger af personoplysninger tilstrækkeligt klart og specifikt. Der er således tale om en overtrædelse af nogle grundlæggende principper i databeskyttelsesforordningen, hvilket kan anses for en skærpende omstændighed.
CNIL havde også lagt vægt på, at det hverken var en engangsovertrædelse eller en tidsbegrænset overtrædelse, som ellers kunne være en formildende omstændighed.
Ugyldigt samtykke til målrettet annoncering
Ved oprettelse af en Google-konto giver brugeren samtykke til, at dennes personoplysninger kan anvendes til målrettet annoncering. CNIL nåede imidlertid frem til, at det konkrete samtykke ikke kunne anses for at være gyldigt, når samtykket hverken var utvetydigt eller tilstrækkeligt specifikt.
Årsagen hertil var blandt andet, at nogle af indstillingerne – såsom indstillingen for målrettet annoncering – allerede var krydset af og slået til ved oprettelsen af en Google-konto.
Derudover skulle brugerne acceptere Googles service- og forretningsbetingelser samt privatlivspolitikken. Disse samtykkeerklæringer anså CNIL for at være alt for generelle og dermed ikke specifikke nok til at give samtykke til en række af Googles forskellige behandlingsaktiviteter. Desuden vurderede CNIL, at brugerne egentlig ikke var klar over, hvad de gav samtykke til, da de ikke kunne forventes at have et overblik over de mange forskellige tjenester, websider og applikationer, som var involveret i behandlingen.
Manglende gennemsigtighed og information
CNIL fandt desuden, at information om behandlingsaktiviteterne ikke var let tilgængelige. Eksempelvis var essentielle oplysninger, såsom formål for behandlingen eller opbevaringsperioder, spredt ud og kunne findes i flere forskellige dokumenter. Visse oplysninger kunne man først tilgå efter flere klik.
CNIL fandt også, at formålene for de forskellige behandlingsaktiviteter var beskrevet for uklart, og at information om opbevaringsperioden i visse tilfælde slet ikke var angivet.
Efterspil
Google har efterfølgende klaget over sagen, som nu er overgået til de franske domstole, der skal tage stilling til overtrædelserne og – ikke mindst – størrelsen af en eventuel bøde.
Samtidig har det danske datatilsyn også håndteret en sag vedrørende Google, herunder særligt behandling af oplysninger om geolokation. Det er oplyst, at sagen er sendt til det irske datatilsyn grundet databeskyttelsesforordningens regler om samarbejde, gensidig bistand og sammenhængsmekanisme.
Kontakt
