Mandag 21. januar ble blåmandag for Google LLC, da det franske datatilsynet (CNIL) ga selskapet en bot på 50 millioner euro.

Dette er det fjerde overtredelsesgebyret som er skrevet ut i Europa etter at personvernforordningen (GDPR) kom i fjor. Gebyret i den franske saken er det suverent høyeste. Med sine 50 millioner euro vekker det oppsikt. Samtidig må det franske gebyret ses i lys av at Google LLC hadde en global omsetning på ca. 100 milliarder euro i 2017.

Flere alvorlige lovbrudd

CNIL mener at Google har gjort seg skyldig i flere alvorlige lovbrudd når det har rullet ut Android på det europeiske markedet. Går man den franske avgjørelsen nærmere etter i sømmene, er det flere interessante poenger å merke seg. Her er tre.

1. For dårlig informasjon

CNIL slår fast at Google har gitt brukerne sine alt for dårlig informasjon. Den franske myndigheten viser blant annet til at informasjon som brukerne skal ha før tjenesten tas i bruk, er spredt over mange dokumenter. For å få oversikt over hvilke deler av brukervilkårene og policy-ene som handler om personopplysninger, må man hoppe frem og tilbake via ulike dokumenter og hypertekstlenker. Man må dessuten dykke hele seks nivåer ned i informasjonsarkitekturen for å finne all relevant informasjon om Googles behandling av brukerdata for tilpasset markedsføring.

Dette oppfyller ikke lovverkets krav om at informasjon om behandling av personopplysninger skal være forståelig og lett tilgjengelig, er CNILs konklusjon.

2. Googles informasjon om geografisk sporing er også altfor dårlig

Dette temaet må man gjennom en tilsvarende digital runddans for å få oversikt over. Det franske datatilsynet kommenterer at måten denne informasjonen er presentert på er «blottet for enhver form for intuitiv karakter», og beskrivelsen av fremgangsmåten man må gjennom, kan få en til å tenke på noen av Becketts mest absurde tekster.

Mest alvorlig er det likevel at det er så vanskelig for den alminnelige bruker å forstå hvor massiv og invaderende Googles informasjonsinnsamling er. Det dreier seg ikke bare om data om tradisjonell bruk av selve telefonen, men potensielt også om persondata knyttet til så mye som 20 andre Google-tjenester, blant annet Gmail og Youtube.

Hvis brukeren tar seg fra en Google-tjeneste til en tredjepartsnettside, blir også denne aktiviteten sporet og registrert, ved hjelp av Google Analytics-informasjonskapsler. Det skal ikke mye fantasi til for å skjønne at dette gir Google tilgang til enorme mengder data om Android-brukere, og det uten å informere om det på en forståelig måte.

3. Ugyldige samtykker

CNIL er ikke enig i at brukerne har samtykket til alt dette, slik Google hevder. CNIL mener at samtykkene som Google innhenter i forbindelse med at tjenesten tas i bruk, er ugyldige. Det er to grunner til dette. Et gyldig samtykke må alltid være informert, og dette kriteriet er ikke oppfylt.

Den andre grunnen er at samtykkene verken er spesifiserte eller utvetydige, slik loven krever. Når brukeren skal avgi sitt samtykke, presenteres hun for avkrysningsbokser som er krysset av på forhånd, av Google. Dersom brukeren forholder seg passiv, har hun ifølge Google samtykket. CNIL viser på sin side til at det kreves en utvetydig viljeserklæring fra brukeren for at samtykket skal være gyldig, og at dette vilkåret ikke er oppfylt når brukeren forholder seg passiv.

Til slutt viser CNIL til at kravet om at et samtykke må være spesifikt heller ikke er oppfylt. Grunnen til dette er at brukeren kun har mulighet til å samtykke til Googles samlede retningslinjer og policy, og ikke til nærmere spesifiserte behandlinger av personopplysninger til konkret angitte formål.

Verdifull rettesnor

Den franske avgjørelsen er interessant for oss i Norge av flere grunner. Som tilsynsmyndighet har Datatilsynet fått verdifulle rettesnorer for vurdering av sentrale bestemmelser i det europeiske personvernregelverket, og om størrelsen på gebyrene som utmåles. Bakteppet er her målsetningen om et harmonisert personopplysningsvern i Europa, både når det gjelder regelverkets utforming, realisert gjennom GDPR, og gjennom en harmonisert praktisering av disse reglene. Saken kan bli overprøvd av Conseil d’Etat, men det er uansett nærliggende å tro at Google allerede nå vil innrette seg etter omgangen med CNIL, noe som forhåpentligvis vil føre til større åpenhet om hvordan Google behandler våre personopplysninger, og større valgfrihet for oss som bruker Googles tjenester her i Norge.

Dokumentene avslørte at etterretningsmyndighetene hadde tatt i bruk mer vidtrekkende og inngripende virkemidler enn de fleste hadde kunnet forestille seg, og at programmene var verdensomspennende. Glenn Greenwald, tidligere advokat, en av Snowdens betrodde medhjelpere og nå journalist i Washington Post, skriver:

«Det dokumentarkivet som Edward Snowden hadde samlet, var forbløffende både i størrelse og i rekkevidde. Selv om jeg hadde skrevet om farene ved USAs hemmelige overvåkning i årevis, opplevde jeg de rene og skjære dimensjonene til overvåkningssystemet som genuint rystende, ikke minst fordi det åpenbart var blitt innført så å si uten demokratisk kontroll, åpenhet eller begrensninger».

Fra «Overvåket – Edward Snowden, NSA og overvåkningsstaten», Cappelen Damm 2014

Avsløringene fikk også rettslige konsekvenser. En av de viktigste kom i fjor, med EU-domstolens avgjørelse i Safe Harbour-saken. Saken gjaldt Facebooks behandling av personopplysninger om tjenestens brukere i Europa. Alle Facebook-brukere som bor i Europa har nemlig på papiret inngått en brukeravtale med Facebook Irland. Til tross for dette, viste det seg at all informasjon generert av europeiske Facebook-brukere har blitt overført til Facebook Inc.s servere i USA. Overføring av personopplysninger til land utenfor EU og EØS er bare tillatt under gitte, strenge vilkår, fordi det rettsvernet som personopplysningene våre nyter godt av i Europa, forsvinner når dataene havner et annet sted.

Ikke bare kom EU-domstolen til at disse dataoverføringene var ulovlige, men den underkjente likegodt hele den rettslige beslutningen som i sin tid innførte Safe Harbour-prinsippene. Dermed forsvant det viktigste rettslige grunnlaget for overføring av personopplysninger til USA, og med ett ble en mengde dataoverføringer ulovlige over natten.

Det var personvernaktivisten Maximillian Schrems som initierte saken. Han ville ha en slutt på at Facebook Irland sendte hans personopplysninger til USA, hvor han mente at verken lovgivning eller eksisterende praksis ga noe tilfredsstillende vern om hans personlige informasjon. Schrems henviste i den forbindelse til Snowdens avsløringer om de amerikanske etterretningstjenesters aktiviteter, og det samme gjør generaladvokat Yves Bot i sin innstilling til domstolen.

EU-domstolens konklusjoner var med andre ord en direkte konsekvens av Snowdens avsløringer, og Schrems’ initiativer via europeiske rettslige kanaler. Avgjørelsen er svært viktig, fordi Safe Harbour-beslutningen hadde vært det mest brukte rettslige grunnlaget for overføring av personlige opplysninger fra Europa til USA i over femten år. Nå er både private virksomheter og offentlige myndigheter i villrede med tanke på hva som vil skje videre. En delegasjon av EU-byråkrater er for tiden i USA for å forhandle videre om Privacy Shield, som skal være Safe Harbour-beslutningens arvtager, etter at EUs ekspertorgan i personvernspørsmål, Artikkel 29-gruppen, tidligere i vår ga en klar anbefaling til EU-kommisjonen om at det avtaleutkastet som det hadde fått til vurdering, ikke holdt mål i lys av våre grunnleggende individuelle rettigheter.

Men dommen er også svært viktig fordi den slår fast at grunnleggende individuelle rettigheter i europeisk rettstradisjon står i veien for masseovervåkning av europeiske borgere. Artikkel 29-arbeidsgruppen har analysert denne rettsavgjørelsen, og andre europeiske rettsavgjørelser om individets fundamentale rettigheter, og utledet fire garantier:

• Garanti A: et hvert inngrep i personvernet må baseres på klare, presise og tilgjengelige lovregler
• Garanti B: det er nødvendig å påvise at databehandlingen er nødvendig og proporsjonal
• Garanti C: det må finnes en uavhengig kontrollmekanisme
• Garanti D: individet skal kunne prøve lovligheten av inngrepet i sine rettigheter rettslig

At opplysninger om oss skal vernes, regnes som en grunnleggende menneskerettighet i EU. Artikkel 29-gruppen fremhever at disse garantiene må være oppfylt for at inngrep i vårt personvern skal kunne betraktes  som legitime. Dette gjelder uansett hva formålet med inngrepet er. Før vi kan gjenvinne tilliten til at våre personopplysninger blir behandlet på en forsvarlig måte i USA, er det nødvendig at amerikanske myndigheter sørger for å ivareta disse garantiene, mener arbeidsgruppen.

Disse garantiene er imidlertid ikke bare myntet på myndighetene i andre stater. Dette er allmenne prinsipper, og alle europeiske myndigheter som vurderer å innføre overvåkningstiltak mot befolkningen, må vurdere tiltakene opp mot disse garantiene. Den 8. juni skal Stortinget behandle et lovforslag fra Regjeringen om å innføre nye, skjulte tvangsmidler til kriminalitetsbekjempelsesformål (Prop. 68 L). Her finner man blant annet et forslag om å innføre dataavlesing som virkemiddel for politiet og PST. Vi forventer at Stortinget tar alle disse fire garantiene med i betraktningen når det nå skal stemme over dette lovforslaget.

EU-domstolens begrunnelse  i fjor var at direktivet, som foreskrev lagring av tele- og internettrafikkdata om nær sagt hele Europas befolkning, stred mot artikkel 7 om retten til respekt for privatlivets fred og til fri kommunikasjon, og artikkel 8 om personopplysningsvern i EUs charter om grunnleggende rettigheter.

Artikkel 7 tilsvarer bestemmelsene som vi har i Grunnloven § 102 og i Den europeiske menneskerettskonvensjonen (EMK) artikkel 8. Den er tatt inn i norsk lov og gitt forrang foran øvrig lovgivning i medhold av menneskerettsloven fra 1999. Artikkel 8 tilsvarer reglene i personopplysningsloven og i Europarådets konvensjon 108 fra 1981, som Norge har ratifisert. Justis- og beredskapsdepartementet og Samferdselsdepartementet har i etterkant likevel ønsket å kartlegge mulighetene for å innføre regler om datalagring for kriminalitets­bekjempelsesformål i Norge.

Som vi i Datatilsynet har påpekt flere ganger, har den norske stat en plikt til å vurdere datalagringstiltak opp mot de grunnleggende menneskerettighetene før de eventuelt fremmer forslag om å innføre slike regler i norsk lov. Dette følger blant annet av Grunnloven § 92, menneskerettsloven § 3 og utredningsinstruksen. Professor Hans Petter Graver og advokat Henning Harborg leverte da også en utredning om temaet til de to departementene sist fredag.

Da Samferdselsdepartementet tok initiativ til å innføre DLD i norsk rett for noen år siden, uttalte det at ”[l]agringslovens regler om utlevering av data bygger […] på en meget grundig og konkret forholdsmessighetsvurdering.” Harborg og Graver skriver i utredningen at de ikke er enige i at loven bygger på en meget grundig vurdering av forholdsmessigheten av datalagring – noe som for øvrig også var Datatilsynets standpunkt da vi kom med vår høringsuttalelse i saken. I utredningen understreker Graver og Harborg at det er stor prinsipiell forskjell på regler som gir politiet og påtalemyndigheten tilgang til opplysninger som allerede finnes, og regler som pålegger lagring av data som ellers ikke ville ha blitt lagret på grunn av oppklaring av mulige straffesaker i fremtiden – det siste er i realiteten overvåkning.

Graver og Harborg uttaler videre:

 «Det kan etter vår oppfatning ikke utelukkes at de personvernmessige betenkelighetene ved overvåkningselementet er så fremtredende og tungtveiende at man simpelthen ikke kan anse datalagring nødvendig i et demokratisk samfunn».

Utrederne sikter her til unntaksbestemmelsen i EMK, som angir vilkårene for når en stat kan gripe inn i de rettighetene som er beskyttet etter artikkel 8 – konvensjonen krever at inngrepet må være nødvendig og proporsjonalt.

Vi mener at total overvåkning av alle innbyggere i et helt kontinent for å avverge eller oppklare fremtidige forbrytelser aldri kan ses på som nødvendig eller proporsjonalt i menneskerettighetenes forstand, og at Regjeringen etter dette blir nødt til å skrinlegge alle ideer om generell og massiv datalagring.

For å parafrasere journalisten og advokaten Glenn Greenwald og tidligere høysterettsdommer i USA, Louis Brandeis:

Privatlivet tilhører kjernen av hva det vil si å være et fritt menneske – å frata folk privatlivet er en helt annen forbrytelse enn tyveri av materielle eiendeler.