IT-jättar under mikroskop
Det verkar som att jultomten under december och januari fått stöd av de europeiska tillsynsmyndigheterna när det kommer till att uppdatera hans lista över vem som varit snäll och vem som varit stygg. Några av världens största IT-jättar har som resultat av detta sedan december funnits brista i sitt ansvar som följer av ePrivacy-direktivet eller sitt personuppgiftsansvar enligt EU:s dataskyddsförordning, eller blivit ämne för granskning av de olika tillsynsmyndigheterna inom EU.
Meta har, av irländska DPC, tilldelats ytterligare en sanktionsavgift. Den här gången på 390 miljoner euro för att ha begravt samtycken om personligt anpassad annonsering i deras användarvillkor. Genom att inkorporera annonseringen som en del av deras tjänst ansåg de sig vara förpliktigade att genomföra sådan behandling och att detta skulle utgöra rättslig grund för den behandling som skedde i samband med annonseringen. Samtycke ska enligt DPC alltså inhämtas separat från övriga användarvillkor.
Twitter har blivit föremål för granskning, även de av irländska DPC, efter att uppgifter om 5,4 miljoner användare ska ha publicerats öppet på internet. Dessa uppgifter ska ha gjort det möjligt att koppla samman användarnamn med e-postadresser och/eller telefonnummer. Twitter ska i sin tur ha samarbetat med tillsynsmyndigheten efter att händelsen anmälts som en personuppgiftsincident. Tillsynsmyndigheten utreder nu om Twitter som personuppgiftsansvarig brustit i sina skyldigheter enligt dataskyddsförordningen och den irländska dataskyddslagen.
Google tilldelades i början av 2020 en sanktionsavgift av svenska IMY för att ha brustit i sina skyldigheter enligt dataskyddsförordningen att efterleva individers rätt att bli bortglömd kopplat till sökresultat.
Google ska i samband med att de tagit bort sökresultat från sin sökmotor även haft som rutin att notifiera den webbansvariga att ett sökresultat har plockats bort i enlighet med rätten att bli bortglömd. Google hävdade att de, enligt EU:s plattformsförordning, hade en skyldighet att meddela den webbansvariga när de manuellt justerat rangordningen av en sökning eller tagit bort en viss webbplats från sökresultaten. Enligt Kammarrätten i Göteborg går det däremot fortsatt att hitta webbplatsen genom att söka på andra fraser än just de relevanta personuppgifterna. Att sökresultaten justerats på ett sätt som exkluderar personuppgifter utgör därmed inte tillräckliga skäl för att kontakta den webbansvariga. Kammarrätten fann fortsatt att då plattformsförordningen har som syfte att skapa en rättvis konkurrens och öppenhet för småföretag så krockar inte plattformsförordningen med rätten att bli bortglömd enligt dataskyddsförordningen.
Detta mål har nu slutligen avslutats efter att Högsta förvaltningsdomstolen väljer att inte meddela prövningstillstånd. Kammarrättens dom står därmed fast och Google behöver betala en sanktionsavgift på 50 miljoner kronor.
Apple har tilldelats en sanktionsavgift på 8 miljoner euro av franska CNIL. Operativsystemet iOS av versioner 14.6 och äldre tillät App Store att automatiskt använda sig av nätidentifierare som tillät spårandet av en användares beteende. Dessa användes för att förse användaren med personliga och riktade annonser. Denna inställning var automatiskt aktiverad på användarnas telefoner och användarna var tvungna att själva gå in i telefonens inställningar för att avaktivera funktionen och inte längre få riktade annonser. Tillsynsmyndigheten fann därmed att Apple brustit i sina skyldigheter då det inte är tillåtet att spåra en användare genom kakor och andra nätidentifierare för marknadsföring utan deras uttryckliga och frivilliga samtycke.
Microsoft har, även de av franska CNIL, tilldelats en sanktionsavgift på 60 miljoner euro för att de, vid granskningens genomförande i september 2021, via deras söktjänst Bing placerat två sorters kakor på användares enheter utan att inhämta adekvat samtycke. En multifunktionell kaka med syfte att bland annat motverka annonseringsbedrägerier placerades automatiskt på användarens enhet när denna besökte hemsidan. Ytterligare en kaka, denna med annonseringssyfte, placerades sedan på användarens enhet när användaren använde sig av söktjänsten. Företaget ska även ha möjliggjort accepterandet av kakor via ett knapptryck medan det krävts två knapptryck för att neka kakor. Genom att göra det svårare att neka kakor än att acceptera dem så agerade Microsoft enligt CNIL därmed i strid med gällande EU-lagstiftning.
TikTok har, även de av franska CNIL, tilldelats en sanktionsavgift på 5 miljoner euro. Likt Microsoft ska TikTok vid granskningens genomförande i juni 2021 ha erbjudit användare möjligheten att acceptera kakor via ett knapptryck på sin hemsida medan det ska ha krävts flertalet klick för att neka kakor. Tillsynsmyndigheten fann därmed att företaget påverkade användarnas kakpreferenser på ett otillbörligt sätt. Företaget hade enligt CNIL även brustit i sin informationsplikt angående kakornas syfte i både det första och andra lagrets information.
Tips för en bra kakhantering
En av grundprinciperna och huvudreglerna när det kommer till kakhantering är att hämtning och lagring av information (t ex kakor) på en användares enhet ska vara frivilligt för användaren. Det är endast nödvändiga kakor som kan sparas utan att användaren behöver samtycka, hen behöver dock fortsatt informeras om kakorna och dess syfte och funktion.
Företag och webbsidor som använder sig av kakor behöver därmed alltid meddela användaren om att kakor kan komma att placeras på en användares enhet. Av informationen behöver det även tydligt framgå vad syftet och kakans funktion är. Sådan information samt möjligheten att acceptera eller neka ett placerande av kakor måste även göras så användarvänliga som möjligt för att vara förenlig med EU:s ePrivacy-direktiv.
För att användarens val ska anses vara frivilligt och giltigt kan inte företaget eller hemsidan försöka göra någonting som påverkar detta val. Som kan ses ovan i fallen Microsoft och TikTok så fann CNIL att ett sätt som webbsidor kan påverka en användares val på ett otillbörligt sätt är att göra det svårare att neka än att acceptera frivilliga kakor (som kakor för annonsering och statistiska syften). Även om det fortfarande är enkelt att neka placerandet av kakor så kan det faktum att det krävs två knapptryck snarare än ett knapptryck utgöra ett tillräckligt stort hinder för att webbsidan ej längre ska vara förenlig med lagstiftningen.
Vid användandet av radioknappar eller liknande för att möjliggöra ett val för användaren vilka kakor som får placeras på dennes enhet så får dessa ej heller vara förkryssade. I det fall webbsidan erbjuder en knapp som möjliggör en acceptans av alla nödvändiga och frivilliga kakor så måste det även finnas en likvärdig knapp som nekar placerandet av alla valbara kakor. En bra huvudregel att ha i åtanke vid utformandet av sin kakhantering och kakpolicy är därför att det ska vara precis lika enkelt att neka kakor som det är att acceptera dem.
Knowits erbjudande
Som känt erbjuder vi på Knowit kvalificerade lösningar genom vår expertis inom juridik och management för att på enklast sätt stötta våra kunder i att efterleva lagstiftningen. Förutom att vi har insikt i vad regelverken innebär och hur de tillämpas så hjälper vi till med att stötta er för att tillsammans ta oss igenom resan från att bedöma specifika behov till att nå målen med en skräddarsydd plan, men också att upprätthålla ett kontinuerligt arbete vid efterlevnad.
Vi har bred erfarenhet av att arbeta som såväl inhyrt dataskyddsombud som mer allmänna dataskyddsjurister där ingen fråga är för liten eller stor. Vi har även jurister specialiserade på (både digitala och fysiska!) kakor redo att stå till er tjänst.
Tveka därför inte att höra av er till oss vid eventuella frågor och funderingar.