Afgørelsen har sit udspring i anmeldelser fra de to interesseorganisationer None of Your Business (NOYB) og La Quadrature du Net (LQDN), som begge tilbage i maj 2018 påstod, at Google LLC ikke havde tilstrækkelig lovligt grundlag for sin behandling af personoplysninger, navnlig med det formål at målrette annoncer. Allerede i juni igangsatte CNIL derfor en undersøgelse af, om one-stop shop-mekanismen fandt anvendelse med henblik på at afklare, om de var rette myndighed til at behandle klagerne.
One-stop shop-mekanismen betyder, at klager over organisationer, der er aktive i flere EU-lande, primært vil blive behandlet af tilsynsmyndigheden i den medlemsstat, hvor organisationens hovedvirksomhed er placeret. Spørgsmålet var herefter, om Googles hovedkvarter i Irland var at anse som hovedvirksomhed i persondataforordningens forstand, hvorved den franske datatilsynsmyndighed skulle samarbejde med den irske datatilsynsmyndighed i forhold til klagerne.
CNIL og de øvrige datatilsyn vurderede, at amerikanske Google LLC ikke havde hovedvirksomhed i EU, idet ingen virksomhed i EU besad beslutningskompetence med hensyn til behandlingen af personoplysninger, der udførtes i forbindelse med operativsystemet Android og de tjenester, der leveredes af Google LLC i forbindelse med oprettelsen under konfigurationen af en Android-enhed.
CNIL kunne herefter behandle klagerne og igangsatte derfor i september en undersøgelse, af om påstandene var berettigede, ved at analysere brugernes søgemønstre og de dokumenter, som de får adgang til, når der oprettes en konto hos Google i forbindelse med konfigurering af Android-enheder. På basis af disse undersøgelser fandt CNIL tre overtrædelser.
Oplysningspligten betyder, at virksomheder skal give en række oplysninger om deres persondatabehandling.
Formålet med behandling og kategorier af personoplysninger var beskrevet i generelle og vage vendinger, retsgrundlaget for behandling i forbindelse med målretningen af annoncer var ikke tydelig, og endelig var opbevaringsperioden ikke beskrevet for alle personoplysninger.
Googles oplysninger var således mangelfulde, hvorved der skete brud på oplysningspligten.
Gennemsigtighedskravet betyder bl.a., at oplysninger om persondatabehandling skal gives på en letforståelig og lettilgængelig måde.
Væsentlige oplysninger, såsom formål med behandling, opbevaringsperiode og kategorier af personoplysninger var spredt over flere dokumenter med knapper og links, som der skulle trykkes på for at få adgang til supplerende oplysninger, således at der i visse tilfælde skulle 5 eller 6 tryk til for at komme til den relevante information – som endog ikke altid var klar.
Den utilgængelige og uforståelige måde, oplysningerne blev præsenteret på, indebar dermed et brud på kravet om gennemsigtighed.
Et samtykke skal være frivilligt, specifikt, informeret og utvetydig for at være gyldigt.
Oplysningerne om samtykket til målrettet annoncering var, som nævnt ovenfor, spredt i flere dokumenter, hvorved det var for svært for brugeren at forstå omfanget af behandlingen, herunder eksempelvis hvor mange forskellige tjenester, websites og applikationer (Google search, YouTube, Google home, Google maps, Google picture, …), der var involveret i databehandlingen.
Samtykket var således ikke tilstrækkeligt informeret.
Når en bruger ville oprette en konto, blev denne påkrævet at afkrydse ”I agree to Google’s Terms of Service” og “I agree to the processing of my information as described above and further explained in the Privacy Policy”. På denne måde blev der givet samtykke til al behandling af Google, hvorved samtykket ikke var specifikt.
Endelig var samtykket til målretning af annoncer afkrydset på forhånd og kunne kun ændres, efter oprettelse af en brugerprofil og så derefter klikke på et ”more options”-link. Samtykket var således ej heller utvetydigt.
CNIL fandt herefter, at Google ikke havde et lovligt grundlag for at behandle oplysninger i forbindelse med målretning af annoncer i overensstemmelse med påstanden fra de to førnævnte interesseorganisationer.
CNIL gav på baggrund af ovenstående brud en bøde på 50 millioner euro og offentliggjorde afgørelsen. Google har dog allerede meddelt, at afgørelsen vil blive anket.
Bødens størrelse begrundes først og fremmest i grovheden af overtrædelserne, idet disse udgør brud på de grundlæggende principper i GDPR: gennemsigtighed, oplysning og samtykke. Brugerne fratages på denne måde væsentlige garantier, som er til for at beskytte deres privatliv.
Tilsynsmyndigheden fremhæver desuden, at overtrædelserne er af vedvarende karakter, og at de stadig fandt sted på tidspunktet for afgørelsen. Hertil bemærkes Androids stærke position på det franske marked, hvorved flere tusinder af franskmænd vil oprette konti fremadrettet.
Endelig fremhæver tilsynsmyndigheden, at Googles forretningsmodel delvist er baseret på målretningen af annoncer, og at Google derfor i særlig grad er pålagt at leve op til reglerne.
Om end bøden er næsten 100 gange højere end de hidtil højeste bøder givet for et persondatabrud i Europa (500.000 pund i England svarende til 573.000 euro / 250.000 euro i Frankrig), er bøden langt fra bødeloftet på 4% af virksomhedens årlige omsætning. Google LLC opnåede i 2017 en omsætning på omkring 96 milliarder euro, hvorved det maksimale bødebeløb ville være 3,84 milliarder euro.
Alligevel er afgørelsen betydningsfuld, fordi den illustrerer, at i hvert fald den franske datatilsynsmyndighed er villig til at udnytte de forøgede sanktionsmuligheder, der er kommet med persondataforordningen. Googles praksis med meget brede og generelle formuleringer er almindelig på internettet både for søgemaskiner og andre sider og betyder derfor, at mange virksomheder er nødt til at omskrive deres privatlivspolitikker og samtykkeerklæringer, hvis ikke de vil risikere at være de næste, som får en bøde og kommer i mediernes søgelys.
Interessant er det desuden også, at et element i begrundelsen for bøden samt offentliggørelsen var, at Googles forretningsmodel delvist er baseret på målretningen af annoncer. Dette antyder, at des vigtigere persondatabehandlingen er i forhold til virksomhedens forretningsmodel, des større ansvar vil virksomheden have for overholdelse af reglerne.
Endelig skal virksomheder være opmærksomme på, at såfremt beslutningen om behandling af personoplysninger tages uden for EU, vil one-stop shop-mekanismen ikke finde anvendelse. Persondatabrud vil herefter som udgangspunkt kunne håndteres af enhver datatilsynsmyndighed i EU.
Da NOYB tilbage i maj 2018 anmeldte Google, anmeldte de i samme ombæring Facebook, Instagram og WhatsApp, hvorfor vi kan forvente, at der også snart vil blive taget stilling til disse klager. Holst, Advokater følger naturligvis udviklingen.
Læs afgørelsen her (på fransk).
Læs det franske datatilsyns nyhed om afgørelsen her (på engelsk).
