fortsatt hårda tag mot google i ljuset av gdpr

Bristande öppenhet och otydliga samtycken – Google tilldelas rekordsanktion och synas i sömmarna av de europeiska dataskyddsmyndigheterna efter klagomål från flera konsument- och dataskyddsorganisationer.

En av anledningarna till EU:s allmänna dataskyddsförordnings (”GDPR”) stora genomslagskraft inför den 25 maj förra året var hotet om de skyhöga administrativa sanktionsavgifterna. Den franska dataskyddsmyndigheten, CNIL, visar nu att det inte var fråga om tomma hot från lagstiftarens sida, utan att det är kostsamt att bryta mot GDPR.

Klagomål från organisationer som arbetar för enskildas digitala rättigheter ledde till den franska dataskyddsmyndighetens granskning av Googles behandling av personuppgifter, särskilt användningen av personligt anpassade annonser. Vid en ”online-inspektion” av Googles tjänster fann myndigheten företagets agerande vid användningen av personligt anpassade annonser var i strid med GDPR i två avseenden; genom brott mot principerna om öppenhet och information och eftersom det samtycke som inhämtats från användarna inte var tillräckligt informerat, specifikt och otvetydigt.

Myndigheten har på grund av detta beslutat att tilldela Google en administrativ sanktionsavgift på 50 miljoner euro. Sanktionen är den hittills högsta som dömts ut under GDPR och beloppet motiverades enligt myndigheten av allvaret i de överträdelser som konstaterats beträffade de grundläggande principerna i GDPR om öppenhet, information och samtycke.

Google uppger i ett uttalande att man är djupt engagerade i att uppfylla de höga förväntningar och krav på öppenhet som ställs på företaget och att man nu studerar beslutet för att avgöra hur man ska gå vidare.

Samma dag som den franska dataskyddsmyndighetens beslut gick den svenska datainspektionen ut med att man inlett en granskning av Googles insamling och användning av platsdata ifrån svenska användare. Även denna granskning inleds efter att ett klagomål inlämnats till myndigheten, i det här fallet av konsumentorganisationen Sveriges Konsumenter. Klagomålet baserar sig på den rapport som uppmärksammats av flera europeiska konsumentorganisationer vid namn ”Every step you take” som har tagits fram av norska Forbrukerrådet. Rapporten hävdar bland annat att Google agerar i strid med GDPR genom att hålla inne eller dölja information, skapa vilseledande design och att man genom att bunta ihop tjänster vilseleder konsumenter när de använder deras tjänster.

Datainspektionen har nu i en tillsynsskrivelse begärt tillgång till Googles register över behandlingar (artikel 30-register), integritetspolicyer för Googles tjänster samt konsekvensbedömningar som utförts i relation till behandlingen av svenska användares platsdata. Datainspektionen har skrivelsen även listat ett antal frågor för Google att besvara, bland annat för vilka ändamål Google behandlar platsdatan, vilken rättslig grund som gäller för behandlingen samt hur användarna informeras.

Sammantaget ger myndigheternas agerade och korrespondens i förhållande till Google förtydligande vägledning kring vad som kommer att efterfrågas och hur vid en skarp granskning. Lär mer på:

CNIL information om beslutet på engelska

Datainspektionens tillsynsskrivelse till Google

Norska Forbrukerrådets rapport

Henrik Almström
Senior Associate, Advokat
+46 738 26 47 75
henrik.almstrom@morrislaw.se

Camilla Klerborg
Associate
+46 760 22 36 53
camilla.klerborg@morrislaw.se

  • Share linkedin
  • Share facebook

tags:

publicerat: