Dette innlegget sto på trykk i Dagens Næringsliv 30. januar 2019:
Mandag 21. januar ble blåmandag for Google LLC, da det franske datatilsynet (CNIL) ga selskapet en bot på 50 millioner euro.
Dette er det fjerde overtredelsesgebyret som er skrevet ut i Europa etter at personvernforordningen (GDPR) kom i fjor. Gebyret i den franske saken er det suverent høyeste. Med sine 50 millioner euro vekker det oppsikt. Samtidig må det franske gebyret ses i lys av at Google LLC hadde en global omsetning på ca. 100 milliarder euro i 2017.
Flere alvorlige lovbrudd
CNIL mener at Google har gjort seg skyldig i flere alvorlige lovbrudd når det har rullet ut Android på det europeiske markedet. Går man den franske avgjørelsen nærmere etter i sømmene, er det flere interessante poenger å merke seg. Her er tre.
1. For dårlig informasjon
CNIL slår fast at Google har gitt brukerne sine alt for dårlig informasjon. Den franske myndigheten viser blant annet til at informasjon som brukerne skal ha før tjenesten tas i bruk, er spredt over mange dokumenter. For å få oversikt over hvilke deler av brukervilkårene og policy-ene som handler om personopplysninger, må man hoppe frem og tilbake via ulike dokumenter og hypertekstlenker. Man må dessuten dykke hele seks nivåer ned i informasjonsarkitekturen for å finne all relevant informasjon om Googles behandling av brukerdata for tilpasset markedsføring.
Dette oppfyller ikke lovverkets krav om at informasjon om behandling av personopplysninger skal være forståelig og lett tilgjengelig, er CNILs konklusjon.
2. Googles informasjon om geografisk sporing er også altfor dårlig
Dette temaet må man gjennom en tilsvarende digital runddans for å få oversikt over. Det franske datatilsynet kommenterer at måten denne informasjonen er presentert på er «blottet for enhver form for intuitiv karakter», og beskrivelsen av fremgangsmåten man må gjennom, kan få en til å tenke på noen av Becketts mest absurde tekster.
Mest alvorlig er det likevel at det er så vanskelig for den alminnelige bruker å forstå hvor massiv og invaderende Googles informasjonsinnsamling er. Det dreier seg ikke bare om data om tradisjonell bruk av selve telefonen, men potensielt også om persondata knyttet til så mye som 20 andre Google-tjenester, blant annet Gmail og Youtube.
Hvis brukeren tar seg fra en Google-tjeneste til en tredjepartsnettside, blir også denne aktiviteten sporet og registrert, ved hjelp av Google Analytics-informasjonskapsler. Det skal ikke mye fantasi til for å skjønne at dette gir Google tilgang til enorme mengder data om Android-brukere, og det uten å informere om det på en forståelig måte.
3. Ugyldige samtykker
CNIL er ikke enig i at brukerne har samtykket til alt dette, slik Google hevder. CNIL mener at samtykkene som Google innhenter i forbindelse med at tjenesten tas i bruk, er ugyldige. Det er to grunner til dette. Et gyldig samtykke må alltid være informert, og dette kriteriet er ikke oppfylt.
Den andre grunnen er at samtykkene verken er spesifiserte eller utvetydige, slik loven krever. Når brukeren skal avgi sitt samtykke, presenteres hun for avkrysningsbokser som er krysset av på forhånd, av Google. Dersom brukeren forholder seg passiv, har hun ifølge Google samtykket. CNIL viser på sin side til at det kreves en utvetydig viljeserklæring fra brukeren for at samtykket skal være gyldig, og at dette vilkåret ikke er oppfylt når brukeren forholder seg passiv.
Til slutt viser CNIL til at kravet om at et samtykke må være spesifikt heller ikke er oppfylt. Grunnen til dette er at brukeren kun har mulighet til å samtykke til Googles samlede retningslinjer og policy, og ikke til nærmere spesifiserte behandlinger av personopplysninger til konkret angitte formål.
Verdifull rettesnor
Den franske avgjørelsen er interessant for oss i Norge av flere grunner. Som tilsynsmyndighet har Datatilsynet fått verdifulle rettesnorer for vurdering av sentrale bestemmelser i det europeiske personvernregelverket, og om størrelsen på gebyrene som utmåles. Bakteppet er her målsetningen om et harmonisert personopplysningsvern i Europa, både når det gjelder regelverkets utforming, realisert gjennom GDPR, og gjennom en harmonisert praktisering av disse reglene. Saken kan bli overprøvd av Conseil d’Etat, men det er uansett nærliggende å tro at Google allerede nå vil innrette seg etter omgangen med CNIL, noe som forhåpentligvis vil føre til større åpenhet om hvordan Google behandler våre personopplysninger, og større valgfrihet for oss som bruker Googles tjenester her i Norge.