Den franska dataskyddsmyndigheten CNIL har utfärdat ett vite om 50 miljoner Euro till Google LLC för flera brott mot GDPR. Brotten utgörs av brister i transparens, otillräcklig information och brist på korrekt samtycke för personalisering av annonser.

Om man beaktar att GDPR har ett maximalt vite om 20 Miljoner Euro, eller 4% av omsättning på koncernnivå, måste det utfärdade vitet anses vara lågt.

Aphabet Inc, som äger Google LLC, hade en årsomsättning på över $110 Miljarder 2017, vilket ger ett maximalt vite om $4,4 Miljarder. Det utfärdade vitet utgör därför bara 1% av det teoretiska maxbeloppet.

Det är också värt att notera att vitet ställts till Google LLC, ett företag i Delaware USA, inte till något av Googles europeiska bolag. CNIL applicerar här en av de generella principerna för GDPR, att regleringen gäller alla som hanterar personuppgifter som tillhör europeiska medborgare. Detta gör GDPR till en global lagstiftning.

De materiella bristerna identifierade av CNIL består av två principiella misstag.

Brott mot kravet på laglig grund.

För det första så är information om samtycke inte lättillgängligt för användare, samtidigt som information i sig är otydlig. Google hävdar att man inhämtat samtycke från användarna, och lutar sig på denna lagliga grund för sin hantering, men CNIL menar att samtycket varken är ”specifikt” eller ”tydligt” varför den lagliga grunden samtycke inte kan användas. Google saknar därför laglig grund för sin hantering av personlig information för EU-medborgare.

För det andra så ligger kryssrutorna för samtycket bakom en meny, och är dessutom föribockade. Detta innebär att användaren måste göra “opt-out”, istället för ”opt-in” som krävs av GDPR.

I sitt pressmeddelande konstaterar CNIL också att Googles operativsystem Android har en stor marknadsandel i Frankrike. Denna kan tolkas som att det utfärdade vitet bara berör brott mot franska medborgare, vilket i sig öppnar upp för liknande viten från andra medlemsländer i EU.

Vi vet till exempel att svenska Datainspektionen nyligen inlett ett tillsynsärende mot just Google.

En sak är dock säker. GDPR är här för att stanna och 2019 kommer bli ett år fyllt med nyheter som denna.

Företag och organisationer gör därför bäst i att dels hålla koll på utformningen av sina samtycken, men ännu viktigare – de måste veta var personuppgifter finns sparade, och ha tillsett att den lagliga grunden för att hantera dem är dokumenterad.

https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc