50 miljoner Euro utdöms mot Google för brott mot GDPR

Topic: GDPR

Hans-Peter Erlingsson
07.02.2019

Den 21 januari i år utfärdade den franska tillsynsmyndigheten (CNIL) administrativa sanktionsavgifter på 50 miljoner Euro mot Google LLC. Det är det hittills högst utdömda beloppet sedan GDPR trädde ikraft den 25 maj 2018. Beslutet är en följd av två klagomål som inkommit till myndigheten från None of Your Business (NOYB) och La Quadrature du Net. Båda organisationerna är ideella föreningar som värnar om konsumenters rättigheter och skydd på nätet. Klagomålen handlade om hur Google samlar in och använder platsdata (lokaliseringsuppgifter) från användare av Android-telefoner i Frankrike.

I den här artikeln väljer vi att belysa tre viktiga aspekter i beslutet:

(a) varför CNIL och inte den irländska tillsynsmyndigheten för dataskydd (Irish Data Protection Commissioner) ansågs vara ansvarig tillsynsmyndighet,

(b) hur samtyckesmekanismen och integritetspolicyn var utformad,

(c) de administrativa sanktionsavgifterna som utdömdes. 


Ansvarig tillsynsmyndighet
Google hävdade att den irländska tillsynsmyndigheten ”DPC” borde ha undersökt och verkställt klagomålen från de två klaganden. Denna invändning tillbakavisades av CNIL som menade att en förutsättning för att DPC ska anses ha befogenhet är att företagets huvudsakliga verksamhetsställe i Irland samtidigt måste ha ett bestämmande inflytande över personuppgiftsbehandlingen i fråga. CNIL var av uppfattningen att den personuppgiftsbehandling som framgick av Googles integritetspolicy som presenterades för användaren när hen skapar ett konto på en Android-enhet de facto genomfördes av Google LLC i USA och att Google Irland saknade bestämmande inflytande över behandlingen. Det konstaterades också att Google Irland inte hade inflytande över utvecklingen av operativsystemet Android. På denna grund ansåg sig CNIL ha befogenhet att utreda klagomålen och utfärda de administrativa sanktionsavgifterna mot Google LLC i USA. Däremot utfärdades betalningsföreläggandet mot Googles dotterbolag i Frankrike, möjligen såsom Google LLC:s företrädare i Frankrike.

Slutsats
Slutsatsen man kan dra av ovanstående är att det inte alltid är uppenbart vilken tillsynsmyndighet som är ansvarig. Det visade sig att det är fullt möjligt att flera ansvariga tillsynsmyndigheter hävdar behörighet för olika behandlingsaktiviteter inom samma företagskoncern. Det är särskilt viktigt att ha klart för sig vilken myndighet som är ansvarig eftersom personuppgiftsincidenter ska anmälas till rätt tillsynsmyndighet inom 72 timmar. Det är med andra ord läge att utreda frågan om tillsynsansvaret innan incidenten inträffar.


Samtyckets och integritetspolicyns utformning
För att kunna installera sin mobil eller surfplatta med operativsystemet Android var användaren tvungen att logga in eller skapa ett Google konto, varpå användaren fick ta del av Googles integritetspolicy och var tvungen att acceptera denna tillsammans med användarvillkoren. För att komma vidare i processen var användaren tvungen att scrolla igenom en kortfattad text över behandlingen och därefter klicka på ”Fler val” för att komma vidare till en sida med olika integritetsinställningar. Vissa klickrutor var redan förifyllda, bl.a. rätten för Google att behandla uppgifter i syfte att personifiera innehållet i annonser.

CNIL ogillade Googles sätt att inhämta samtycke med motiveringen att samtycket inte uppfyllde kraven i artikel 6.1 (a) GDPR eftersom användaren var tvungen att ge sitt samtycke till en alltför vid och generell beskrivning av behandlingen. Samtyckesprocessen krävde att användaren själv tar initiativ och klickar sig vidare till en ny sida med information och klickrutan (samtycket) för personifiering av annonser var förifylld.

Det var inte heller klarlagt om all behandling vilade på samtycke som rättslig grund, vilket hävdades av Google. I policyn framgick nämligen att bl.a. annonspersonifiering genom användning av platsdata istället utgick från grunden berättigat intresse. Detta upplevdes som förvirrande av CNIL som också riktade kritik mot den information som lämnades om lagringstider och gallring under rubriken ”Export och radering”. CNIL ansåg att användaren inte upplysts i tillräcklig utsträckning om samtyckets villkor samt användarens rättigheter och att samtycket därför inte var giltigt.

Slutsats
För att leva upp till samtyckesreglerna i GDPR (artikel 6.1 a) är den som är personuppgiftsansvarig tvungen att på ett klart och tydligt sätt ange förutsättningarna för samtycket. Villkoren och information om användarens rättigheter måste vara begripliga och presenterade i en lätt tillgänglig form med användning av ett klart och tydligt språk innan samtycket avkrävs, helst utan onödiga länkar och informationslager och med en rubriksättning som av gemene man naturligt kan associeras till föremålet. Användaren måste även ges reella möjligheter att på ett enkelt sätt återkalla samtycket eller begränsa omfattningen av behandlingen. Att erbjuda förifyllda valmöjligheter - opt-out - är inte förenligt med ett informerat samtycke.

Som personuppgiftsansvarig bör man undvika alltför svepande skrivningar även om det syftar till att göra integritetspolicyn mer lättläst. Ändamålen med behandlingen, rättslig grund samt hur användarens rättigheter tillvaratas bör formuleras i detalj, vilket i sig kan vara en utmaning om texten samtidigt ska vara lättläst.

Sanktionsavgifterna
50 miljoner euro är ett synnerligen högt belopp med EU-mått mätt. Vid sin bedömning om nivån på sanktionsavgiften beaktade CNIL följande försvårande omständigheter:

  • brist på transparens och rättslig grund för behandlingen,
  • överträdelsen var pågående och inte av engångskaraktär,
  • mycket stor mängd personuppgifter från miljontals användare i Frankrike, inhämtade från olika datakällor,
  • kartläggning av livsstil, åsikter och sociala relationer med nära anknytning till den personliga integriteten,
  • bristen på transparens och samtycke vid personifiering - att kunna kontrollera sina personuppgifter är en av hörnstenarna i GDPR och
  • att Googles affärsmodell delvis är baserad på personifiering av annonser och har således ett särskilt ansvar att leva upp till och visa att man efterlever kraven i GDPR.

Avslutningsvis
Det återstår att se om Google överklagar CNILS:s beslut. Det är inte uteslutet och dessutom välkommet för att få en prövning av inte minst grunderna för beräkning av de utdömda sanktionsavgifterna. Det är dock tydligt att CNIL lagt stor vikt vid hur många användare som påverkats, men avgränsat sig till registrerade i Frankrike. Samma dag som CNIL meddelade sitt beslut kungjorde Datainspektionen att även de inleder ett tillsynsärende mot Google. Detta efter klagomål från konsumentorganisationen Sveriges Konsumenter och uppgifter i rapporten ”Every step you take” som tagits fram av norska Forbrukerrådet.

”Det här är ett klagomål som lyfts fram av flera europeiska konsumentorganisationer och som potentiellt berör en stor mängd personer. Därför vill vi utreda detta för att säkerställa att Google har följt reglerna i dataskyddsförordningen”, säger Datainspektionens generaldirektör Lena Lindgren Schelin. 


Om NYOB
Bakom NOYB står den kände integritetsaktivisten Max Schrems. Schrems är mest känd för att ha fått Safe Harbour avtalet med USA ogiltigförklarat av EU domstolen 2015 (Schrems I). Nu driver han frågan om att även få domstolen att underkänna EU-US Privacy Shield Framework och EU:s modellavtal (standardavtalsklausuler) underkända (Schrems II).

Prenumerera på vårt nyhetsbrev

Cybersäkerhet & juridik

För att bli riktigt bra på cybersäkerhet krävs många infallsvinklar och erfarenheter. Dessa finns i gränslandet mellan it, juridik och affärer. Säkerhet är en strategisk fråga och här i vår blogg hittar du det senaste inom it- och informationssäkerhet.