Hjemmesiden bruger cookies. De er ufarlige og bruges til bl.a. anonym trafikmåling. Ved at bruge vores hjemmeside, accepterer du vores brug af cookies OK

  • UK
  • DK
Holst,
  • Forretningsområder
  • Personer
  • Om Holst,
  • Karriere
  • Holst, Online
  • Kontakt
Indhold
  • Almene boliger
  • Arbejds- og ansættelsesret
  • Energi og forsyning
  • Erstatning og forsikring
  • Fast ejendom og entreprise
  • Immaterialret, markedsførings- og konkurrenceret
  • Inkasso
  • International ret
  • IT/Telekommunikation & Komplekse kontrakter
  • Kapitalmarked
  • Offentlig ret
  • Persondata
  • Privatret
  • Rekonstruktion og insolvensret
  • Retssager, voldgiftssager og mediation
  • Selskabsret og erhvervsret
  • Skatter og afgifter
  • Udbud
  • Virksomhedsoverdragelse
  • Forside
  • / Forretningsområder
  • / Persondata
  • / Nyhedsarkiv
  • / Google får bøde på 50 millioner euro

Google får bøde på 50 millioner euro

Den franske datatilsynsmyndighed, CNIL, gav i mandags den ultimativt højeste bøde til dato for en overtrædelse af de persondataretlige regler, da de pålagde tech-giganten Google en bøde på 50 millioner euro.

Afgørelsen har sit udspring i anmeldelser fra de to interesseorganisationer None of Your Business (NOYB) og La Quadrature du Net (LQDN), som begge tilbage i maj 2018 påstod, at Google LLC ikke havde tilstrækkelig lovligt grundlag for sin behandling af personoplysninger, navnlig med det formål at målrette annoncer. Allerede i juni igangsatte CNIL derfor en undersøgelse af, om one-stop shop-mekanismen fandt anvendelse med henblik på at afklare, om de var rette myndighed til at behandle klagerne.

One-stop shop-mekanismen

One-stop shop-mekanismen betyder, at klager over organisationer, der er aktive i flere EU-lande, primært vil blive behandlet af tilsynsmyndigheden i den medlemsstat, hvor organisationens hovedvirksomhed er placeret. Spørgsmålet var herefter, om Googles hovedkvarter i Irland var at anse som hovedvirksomhed i persondataforordningens forstand, hvorved den franske datatilsynsmyndighed skulle samarbejde med den irske datatilsynsmyndighed i forhold til klagerne.

CNIL og de øvrige datatilsyn vurderede, at amerikanske Google LLC ikke havde hovedvirksomhed i EU, idet ingen virksomhed i EU besad beslutningskompetence med hensyn til behandlingen af personoplysninger, der udførtes i forbindelse med operativsystemet Android og de tjenester, der leveredes af Google LLC i forbindelse med oprettelsen under konfigurationen af en Android-enhed.

CNIL kunne herefter behandle klagerne og igangsatte derfor i september en undersøgelse, af om påstandene var berettigede, ved at analysere brugernes søgemønstre og de dokumenter, som de får adgang til, når der oprettes en konto hos Google i forbindelse med konfigurering af Android-enheder. På basis af disse undersøgelser fandt CNIL tre overtrædelser.

1) Mangelfuld oplysning

Oplysningspligten betyder, at virksomheder skal give en række oplysninger om deres persondatabehandling.

Formålet med behandling og kategorier af personoplysninger var beskrevet i generelle og vage vendinger, retsgrundlaget for behandling i forbindelse med målretningen af annoncer var ikke tydelig, og endelig var opbevaringsperioden ikke beskrevet for alle personoplysninger.

Googles oplysninger var således mangelfulde, hvorved der skete brud på oplysningspligten.

2) Manglende gennemsigtighed

Gennemsigtighedskravet betyder bl.a., at oplysninger om persondatabehandling skal gives på en letforståelig og lettilgængelig måde.

Væsentlige oplysninger, såsom formål med behandling, opbevaringsperiode og kategorier af personoplysninger var spredt over flere dokumenter med knapper og links, som der skulle trykkes på for at få adgang til supplerende oplysninger, således at der i visse tilfælde skulle 5 eller 6 tryk til for at komme til den relevante information – som endog ikke altid var klar.

Den utilgængelige og uforståelige måde, oplysningerne blev præsenteret på, indebar dermed et brud på kravet om gennemsigtighed.

3) Ugyldigt samtykke

Et samtykke skal være frivilligt, specifikt, informeret og utvetydig for at være gyldigt.

Oplysningerne om samtykket til målrettet annoncering var, som nævnt ovenfor, spredt i flere dokumenter, hvorved det var for svært for brugeren at forstå omfanget af behandlingen, herunder eksempelvis hvor mange forskellige tjenester, websites og applikationer (Google search, YouTube, Google home, Google maps, Google picture, …), der var involveret i databehandlingen.

Samtykket var således ikke tilstrækkeligt informeret.

Når en bruger ville oprette en konto, blev denne påkrævet at afkrydse ”I agree to Google’s Terms of Service” og “I agree to the processing of my information as described above and further explained in the Privacy Policy”. På denne måde blev der givet samtykke til al behandling af Google, hvorved samtykket ikke var specifikt.

Endelig var samtykket til målretning af annoncer afkrydset på forhånd og kunne kun ændres, efter oprettelse af en brugerprofil og så derefter klikke på et ”more options”-link. Samtykket var således ej heller utvetydigt.

CNIL fandt herefter, at Google ikke havde et lovligt grundlag for at behandle oplysninger i forbindelse med målretning af annoncer i overensstemmelse med påstanden fra de to førnævnte interesseorganisationer.  

Bødeudmåling

CNIL gav på baggrund af ovenstående brud en bøde på 50 millioner euro og offentliggjorde afgørelsen. Google har dog allerede meddelt, at afgørelsen vil blive anket.

Bødens størrelse begrundes først og fremmest i grovheden af overtrædelserne, idet disse udgør brud på de grundlæggende principper i GDPR: gennemsigtighed, oplysning og samtykke. Brugerne fratages på denne måde væsentlige garantier, som er til for at beskytte deres privatliv.

Tilsynsmyndigheden fremhæver desuden, at overtrædelserne er af vedvarende karakter, og at de stadig fandt sted på tidspunktet for afgørelsen. Hertil bemærkes Androids stærke position på det franske marked, hvorved flere tusinder af franskmænd vil oprette konti fremadrettet.

Endelig fremhæver tilsynsmyndigheden, at Googles forretningsmodel delvist er baseret på målretningen af annoncer, og at Google derfor i særlig grad er pålagt at leve op til reglerne.

Holst, Advokaters kommentarer

Om end bøden er næsten 100 gange højere end de hidtil højeste bøder givet for et persondatabrud i Europa (500.000 pund i England svarende til 573.000 euro / 250.000 euro i Frankrig), er bøden langt fra bødeloftet på 4% af virksomhedens årlige omsætning. Google LLC opnåede i 2017 en omsætning på omkring 96 milliarder euro, hvorved det maksimale bødebeløb ville være 3,84 milliarder euro.

Alligevel er afgørelsen betydningsfuld, fordi den illustrerer, at i hvert fald den franske datatilsynsmyndighed er villig til at udnytte de forøgede sanktionsmuligheder, der er kommet med persondataforordningen. Googles praksis med meget brede og generelle formuleringer er almindelig på internettet både for søgemaskiner og andre sider og betyder derfor, at mange virksomheder er nødt til at omskrive deres privatlivspolitikker og samtykkeerklæringer, hvis ikke de vil risikere at være de næste, som får en bøde og kommer i mediernes søgelys.

Interessant er det desuden også, at et element i begrundelsen for bøden samt offentliggørelsen var, at Googles forretningsmodel delvist er baseret på målretningen af annoncer. Dette antyder, at des vigtigere persondatabehandlingen er i forhold til virksomhedens forretningsmodel, des større ansvar vil virksomheden have for overholdelse af reglerne.

Endelig skal virksomheder være opmærksomme på, at såfremt beslutningen om behandling af personoplysninger tages uden for EU, vil one-stop shop-mekanismen ikke finde anvendelse. Persondatabrud vil herefter som udgangspunkt kunne håndteres af enhver datatilsynsmyndighed i EU.

Da NOYB tilbage i maj 2018 anmeldte Google, anmeldte de i samme ombæring Facebook, Instagram og WhatsApp, hvorfor vi kan forvente, at der også snart vil blive taget stilling til disse klager. Holst, Advokater følger naturligvis udviklingen.

Læs afgørelsen her (på fransk): https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001_21-01-2019.pdf

Læs det franske datatilsyns nyhed om afgørelsen her (på engelsk): https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc

Holst, Persondata Team

 

Pernille Kristensen

Pernille Kristensen

Michael Gravesen

Michael Gravesen

Bianca Britt Nielsen

Bianca Britt Nielsen

Henrik Christian Strand

Henrik Christian Strand

Menu

  • Almene boliger
  • Arbejds- og ansættelsesret
  • Energi og forsyning
  • Erstatning og forsikring
  • Fast ejendom og entreprise
  • Immaterialret, markedsførings- og konkurrenceret
  • Inkasso
  • International ret
  • IT/Telekommunikation & Komplekse kontrakter
  • Kapitalmarked
  • Offentlig ret
  • Persondata
  • Privatret
  • Rekonstruktion og insolvensret
  • Retssager, voldgiftssager og mediation
  • Selskabsret og erhvervsret
  • Skatter og afgifter
  • Udbud
  • Virksomhedsoverdragelse

Kontakt os

Holst, Advokater Advokatpartnerselskab

Hans Broges Gade 2               
DK-8000 Aarhus C

Indiavej 1               
DK-2100 København Ø

T, +45 8934 0000
F, +45 8934 0001
info@holst-law.com

 

© Holst, Advokater 2015

 

Find en medarbejder            Følg os på LinkedIn

Find os på kort

 

Find os på kort
 

 

 

Log ind

Log ind

Hjælp: Glemt adgangskode?