Nyheter

Rekordgebyr til Google for brudd på GDPR

Det franske datatilsynet (CNIL) ila Google LLC 21. januar i år et gebyr på 50 millioner euro for brudd på GDPRs regler om transparens, informasjon og samtykke.

Den nye personvernforordningen, som trådte i kraft i EU/EØS i fjor, gir anledning til å ilegge overtredelsesgebyr på det høyeste beløpet av inntil fire prosent av årlig global omsetning og 20 millioner euro. Googles globale omsetning i 2017 var på om lag 100 milliarder euro, noe som tilsier at gebyret var på rundt 0,05 % av årlig omsetning.

Bruddet

Etter klager fra flere personvernorganisasjoner undersøkte CNIL Googles behandling av personopplysninger høsten 2018. CNIL fant to typer brudd på GDPR i forbindelse med bruk av personopplysninger for målrettede annonser når en bruker oppretter en ny Google-konto ved konfigureringen av en Android-telefon:

1. Utilstrekkelig transparens og informasjon

For det første er ikke den informasjonen Google gir tilstrekkelig tilgjengelig for brukerne. Viktig informasjon er opptil seks "klikk" unna. Dette gjelder for eksempel informasjon om behandlingens formål, lagringstider og kategorier av personopplysninger som brukes for målrettet annonsering.

For det andre gir ikke informasjonen et godt nok bilde av behandlingen som skjer. CNIL fremhever at behandlingen er særlig omfattende og inngripende fordi personopplysninger fra rundt tjue tjenester behandles og kombineres. Behandlingens formål er angitt for vagt til at brukerne kan forstå hvilke kategorier av personopplysninger som brukes til de ulike formålene, og at behandling for målrettet annonsering skjer med grunnlag i brukerens samtykke og ikke Googles legitime interesse. Det mangler også angivelse av lagringstid for deler av opplysningene.

2. Utilstrekkelig rettslig grunnlag for målrettet annonsering

CNILs kritikk av Googles rettslige grunnlag er todelt.

For det første er ikke den informasjon som gis i forbindelse med samtykkene, tilstrekkelig fordi det ikke gis god nok oversikt over mengden av data som behandles og kombineres for målrettet annonsering. Eksempler på slike data er data fra Google Search, YouTube og Google Maps. For det andre er ikke samtykkene tilstrekkelig spesifisert fordi de innhentes for flere formål samtidig. I tillegg til dette er ikke samtykkene en utvetydig viljeserklæring fordi avkryssingsboksen allerede er utfylt.

Myndighet

Det kan bemerkes at CNIL forfulgte saken til tross for at Google har sitt europeiske hovedkontor i Irland. I tråd med ettstedsmekanismen ville det irske datatilsynet hatt rollen som ledende tilsynsmyndighet hvis den irske etableringen ble ansett som behandlingsansvarliges hovedvirksomhet. Fordi den irske virksomheten ikke hadde bestemmelsesmyndighet over behandlingen, ble den heller ikke ansett for å være Googles hovedvirksomhet i EU, og følgelig var CNIL kompetent tilsynsmyndighet.

Konsekvenser

GDPRs sanksjonsregime er som kjent også anvendelig for norske virksomheter. Avgjørelsen kan gi veiledning for tolkningen av GDPR og en indikasjon på størrelsesordenen vi kan forvente av ilagte overtredelsesgebyr.

Avgjørelsen fra CNIL kan virke skremmende for norske virksomheter som opplever kravene etter GDPR som vanskelig tilgjengelige og skjønnsmessige, og som frykter å bli ilagt overtredelsesgebyr fra Datatilsynet selv om de samvittighetsfullt forsøker å sikre at regelverket etterleves. Det er derfor viktig å merke seg at overtredelsene i denne saken gjelder relativt ukontroversielle forpliktelser som de fleste norske virksomheter er klar over og har et aktivt forhold til.

Googles utilstrekkelige transparens og mangler ved samtykke har lenge vært kritisert av andre bransjeaktører. At CNIL påpeker det samme og velger å ilegge Google overtredelsesgebyr, kommer derfor ikke overraskende. Det som kanskje er overraskende, er det relativt lave beløpet, tatt i betraktning at Googles manglende etterlevelse gjelder for kjernen av Googles forretningsvirksomhet.

Ta kontakt med

Klikk for detaljer

Pernille Gjerde Lia

Advokatfullmektig Se full CV