Google tilldelas sanktionsavgift på 50 miljoner euro för bristande information och transparens samt ogiltiga samtycken

Den 21 januari 2019 utfärdade den franska tillsynsmyndigheten för dataskydd CNIL en administrativ sanktionsavgift på 50 miljoner euro för Googles överträdelser av GDPR. Enligt GDPR har en nationell tillsynsmyndighet möjlighet att utfärda sanktionsavgifter på upp till 20 miljoner euro eller 4 % av en organisations totala globala årsomsättning, där det belopp som är högst utgör den maximala sanktionsavgiften.

CNIL fann att Google gjort sig skyldig till överträdelse av två utav de principer som ligger till grund för GDPR, nämligen informationslämnande till de personer vars personuppgifter behandlas (så kallade registrerade) och avsaknad av rättslig grund för individanpassad annonsering.

Information
GDPR kräver att organisationer som behandlar personuppgifter lämnar tydlig information till de registrerade om bland annat vilka personuppgifter som kommer att behandlas och på vilket sätt behandlingen går till. Information av detta slag ska vara transparent samt lämnas på ett kortfattat, tydligt och lättbegripligt sätt för att underlätta för de registrerade att tillgodogöra sig informationen. Enligt CNIL har Google brustit i sin informationsplikt genom att:

– sprida ut den i olika dokument,

– publicera informationen på ett sätt som kräver att de registrerade får anstränga sig för att hitta den genom att klicka sig fram genom ett flertal länkar, och

– formulera informationen på ett sätt som gör det svårt för de registrerade att förstå hur deras personuppgifter kommer att behandlas.

Rättslig grund
Enligt GDPR krävs det en rättslig grund, d.v.s. stöd i lag, för att få behandla personuppgifter. I detta avseende förlitade sig Google på samtycke från de registrerade för att behandla personuppgifter för individanpassad annonsering. CNIL ansåg dock inte att de samtycken som Google inhämtat uppfyllde kraven för vad som utgör giltigt samtycke. Orsaken till detta var att den ruta som de registrerade skulle kryssa i för att lämna sitt samtycke var ikryssad på förhand. Dessutom möjliggjorde inte Google för de registrerade att samtycka till de olika ändamålen med personuppgiftsbehandlingen var för sig, utan de registrerade var tvungna att välja all eller ingen behandling.

Sanktionsavgiftens storlek
CNIL har bland annat tagit hänsyn till följande vid fastställandet av sanktionsavgiftens storlek:

– Google har brutit mot grundläggande principer i GDPR.

– Överträdelsen har fråntagit de registrerade nödvändiga garantier för behandlingsaktiviteter som kan avslöja viktiga delar av individers privatliv. Detta eftersom behandlingen bygger på en stor mängd data, ett brett utbud av tjänster och ett nästintill obegränsat antal kombinationer av data.

– Överträdelsen har varit upprepad, d.v.s. det har inte rört sig om en tidsbegränsad engångsföreteelse.

– Överträdelsen rör ett stort antal registrerade i Frankrike, d.v.s. tusentals fransmän skapar ett Googlekonto via sin smartphone (i detta fall Android) varje dag.

– Avslutningsvis påpekar CNIL att Googles ekonomiska modell, som delvis bygger på individanpassad annonsering, kräver att Google tar ansvar för att tillse att bolaget uppfyller kraven i GDPR.

Att tänka på vid inhämtande av samtycke
Kryssrutor går bra att använda som verktyg för att inhämta ett samtycke. Tänk på följande:

• Kryssrutan får inte vara markerad på förhand, utan det krävs en aktiv handling från den registrerade för att samtycket ska vara giltigt.
• Om ni avser att behandla exempelvis en e-postadress för tre olika ändamål så behöver ni presentera tre kryssrutor för den registrerade att kryssa i för att lämna sitt samtycke.
• I anslutning till kryssrutan ska det tydligt framgå vilka kategorier av personuppgifter som kommer att behandlas för det ändamål som den registrerade samtycker till.

Ett samtycke ska vara informerat, vilket innebär att den registrerade måste få den information som behövs för att fatta ett välgrundat beslut att lämna sitt samtycke. Tänk på följande:

• Det måste klart och tydligt framgå att ni som organisation ber den registrerade att lämna sitt samtycke.
• Ni måste informera den registrerade om att det är frivilligt att lämna sitt samtycke, att den registrerade har rätt att återkalla sitt samtycke och hur den registrerade ska gå tillväga för att återkalla sitt samtycke.
• Var noga med att lämna fullständig information till de registrerade om den personuppgiftsbehandling som samtycket gäller, så att de registrerade kan läsa igenom denna information innan de lämnar sitt samtycke.
• Säkerställ att den information som lämnas uppfyller kraven i GDPR, inklusive att informationen är transparent, kortfattad, tydlig och lättbegriplig.

Datainspektionen granskar Google
Den 21 januari 2019 meddelade den svenska tillsynsmyndigheten (Datainspektionen) att de inleder tillsyn mot Google efter att ha tagit emot ett klagomål från konsumentorganisationen Sveriges Konsumenter avseende insamling och användning av platsdata. Setterwalls GDPR-team återkommer längre fram med en uppdatering om tillsynen.