Det franske datatilsyn idømmer Google en bøde på 50 millioner euro

 Elayna Michelsen, Michael Gorm Madsen

01-2019

Det franske datatilsyn CNIL har den 21. januar 2018 udstedt en bøde på 50 millioner euro til Google for at have overtrådt Databeskyttelsesforordningen ('GDPR'). Ifølge CNIL har Google overtrådt forordningen ved ikke at give deres brugere tilstrækkelig information om, hvad deres personoplysninger bruges til, ligesom Google har baseret deres behandling af personoplysninger til personaliseret markedsføring på et mangelfuldt og dermed ugyldigt samtykke.

På baggrund af en række klager modtaget den 25. og 28. maj 2018 indledte CNIL en undersøgelse af Googles behandling af personoplysninger til brug for personaliseret markedsføring.

Som følge af undersøgelsen har CNIL nu konstateret, at Google

  • ikke har overholdt princippet om gennemsigtighed, jf. GDPR art. 5(1)(a),
  • ikke har givet oplysninger om behandlingen til datasubjekterne i letforståelig og lettilgængelig form (GDPR art. 12(1)),
  • ikke har oplyst om alle de forhold, Google er forpligtet til i henhold til GDPR art. 13 og 14, og
  • ikke har sikret et gyldigt retsgrundlag til behandlingen, da det indhentede samtykke er mangelfuldt (GDPR art. 6 og 7).

Googles information om behandling af personoplysninger lever ikke op til reglerne om gennemsigtighed og tilstrækkelig information

Ifølge CNIL er Googles privacy notice ikke lettilgængelig, da informationen om fx behandlingsformål, kategorierne af personoplysninger der behandles og opbevaringsperioden er spredt ud over flere dokumenter. Adgangen til alle relevante informationer kan kræve op til seks klik til forskellige dokumenter, før brugerne har fået det fulde billede af behandlingsaktiviteten. Derudover er informationen uklar og mangler i relation til visse personoplysninger information om den relevante opbevaringsperiode.

CNIL har blandt andet lagt vægt på, at behandlingen af oplysningerne til personaliseret markedsføring er meget indgribende, at formålsbeskrivelsen er for generisk ligesom brugerne ikke med rimelighed kan udlede, at behandlingen er baseret på deres samtykke og ikke Googles legitime interesse.

Googles samtykke er mangelfuld og dermed ugyldig

CNIL har derudover konstateret, at Googles samtykke ikke er gyldigt, da det ikke er tilstrækkeligt informeret, specifikt og utvetydigt. CNIL lægger særlig vægt på, at brugerne ved oprettelsen af en brugerkonto kun kan give ét samlet samtykke til alle behandlingsaktiviteter foretaget af Google (inklusiv profilering til at personalisere markedsføring, stemme genkendelse, etc.).

Bird & Birds kommentarer

Bøden på 50 millioner euro er indtil videre den største bøde, der er givet under GDPR. I vurderingen af bødeniveauet har CNIL taget overtrædelsens alvorlige karakter i betragtning, herunder at Google har overtrådt de essentielle principper i forordningen: gennemsigtighed, fyldestgørende information og samtykke.
Det vides endnu ikke, om Google vil anke CNILs afgørelse.

Sagen understreger vigtigheden af, at dataansvarlige er meget tydelige i informationen om behandlingen af personoplysninger. Sagen illustrer endvidere at kravene til et gyldigt samtykke er skærpet under GDPR.

Har du spørgsmål til afgørelsen, kan du kontakte Bird & Birds persondatateam.

> Book et kaffemøde med Bird & Birds Persondatateam