Loading...

Nyheder

Nu rammes giganterne:
Så kom GDPR-turen til Google

Det franske datatilsyn har idømt Google en GDPR-bøde på 50 mio. euro for overtrædelse af tre fundamentale GDPR-principper i forbindelse med personalisering af annoncer: gennemsigtighed, oplysning og samtykke. Det er den hidtil største GDPR-bøde, som nogen organisation er idømt. 

Mandag den 21. januar udskrev Frankrigs datatilsyn CNIL (Commission nationale de l’informatique et des libertés) en bøde til Google på 50 mio. euro svarende til over 373 mio. kroner. Bøden falder pga. løbende brud på EU’s databeskyttelsesforordning, som fandt anvendelse tilbage i maj 2018. 

Ifølge CNIL har Google ikke sikret sig tilstrækkeligt samtykke til at anvende persondata til at målrette personaliserede annoncer til brugerne. Tilsynet mener heller ikke, at Google har oplyst sine brugere tilstrækkeligt om, hvad deres persondata anvendes til. 

CNIL fremhæver blandt andet, at Googles informationsstruktur er uigennemskuelig. Essentiel information om behandlingsformål, opbevaringsperiode og hvilke persondata, der anvendes til personaliserede annoncer, er spredt i flere dokumenter og kræver for mange handlinger at tilgå. CNIL pointerer også, at Googles beskrivelse af formålet med databehandlingen er for vag og generisk. Det gør det svært for brugeren at forså præcis, hvad vedkommendes persondata anvendes til. 

Google anmoder om brugerens samtykke til at behandle data med det mål at personalisere annoncer. Men ifølge CNIL er samtykket ikke validt, da brugeren på den ene side ikke bliver tilstrækkeligt oplyst om omfanget af databehandlingen og på den anden side ikke kan give specifikt samtykke til behandlingen af persondata. 

Google anmoder nemlig ikke om samtykke til de enkelte behandlingsformål, men anvender formuleringer som ”I agree to Google’s Terms of Service” og ”I agree to the processing of my information as described above and further explained in the Privacy Policy.” Dét er i strid med GDPR’s forskrifter. 

Læs også > En status på GDPR: 6 måneder senere

Langt fra den maksimale bødestraf

Bøden sender uden tvivl et kraftigt signal til alle databehandlere. Men selvom 50 mio. euro for de fleste virker som en betydelig bøde, er den langt fra den maksimale bødestraf, der kunne have ramt Google. 

GDPR’s skærpede strafferamme betyder, at en organisation i særligt alvorlige tilfælde kan blive tildelt bøder på op til 4 pct. af den årlige koncernomsætning. Alphabet Inc., holdingselskabet bag Google, tjente 33,74 mia. dollars bare i Q3 af 2018. 

Dog er Google-bøden den største, der indtil videre er uddelt. I efteråret modtog et portugisisk hospital en bøde på 400.000 euro for lemfældig omgang med patientdata og et tysk socialt medie en bøde på 20.000 euro for dårlig opbevaring af passwords. Herudover er en østrigsk virksomhed blevet tildelt en bøde på 4.800 euro for at filme det offentlige rum via et af sine sikkerhedskameraer. 

Bødens konsekvenser

Altså kan man med rette betegne Google-bøden som den første rigtig store GDPR-bøde. Uden tvivl er det også den bøde, de kommende bøder vil blive holdt op imod. Nu står det også klart, at ingen organisationer er for store eller små til at mærke GDPR-lovgivningens konsekvenser. Det viser bødehistorikken tydeligt. 

Samtidig er det en potentiel game changer for online privacy, som kan udfordre både Google og Facebooks grundlæggende forretningsmodel betydeligt. Særligt hvis flere europæiske lande tilslutter sig Frankrigs eksempel. 

For alle databehandlende virksomheder og organisationer er der dog vigtige lærdomme at tage med sig fra Google-bøden. Først og fremmest skal det være let for brugerne at få indblik i deres egne data, og al tvetydighed omkring hvordan data indsamles og anvendes skal elimineres.  

Og vigtigst af alt: Samtykke skal gives til hver enkelt databehandlingsformål og kan ikke indhentes via overordnede samtykkeerklæringer og paraplyformuleringer, som Google forsøgte at slippe af sted med. 

Læs også > Derfor kan du ikke stave til GDPR uden IAM

Seneste indlæg


IDENTITET: Nøglen til digital transformation

Den korte e-guide til at realisere forretningsværdien af Identity & Access Management. Brug dit digitaliseringsprojekt til at booste din virksomheds sikkerhed, effektivitet og compliance.

læs mere om e-guiden
2019-01-25T13:08:26+00:00