Mandag 21. januar ble blåmandag for Google LLC, da det franske datatilsynet (CNIL) ga selskapet en bot på 50 millioner euro.

Dette er det fjerde overtredelsesgebyret som er skrevet ut i Europa etter at personvernforordningen (GDPR) kom i fjor. Gebyret i den franske saken er det suverent høyeste. Med sine 50 millioner euro vekker det oppsikt. Samtidig må det franske gebyret ses i lys av at Google LLC hadde en global omsetning på ca. 100 milliarder euro i 2017.

Flere alvorlige lovbrudd

CNIL mener at Google har gjort seg skyldig i flere alvorlige lovbrudd når det har rullet ut Android på det europeiske markedet. Går man den franske avgjørelsen nærmere etter i sømmene, er det flere interessante poenger å merke seg. Her er tre.

1. For dårlig informasjon

CNIL slår fast at Google har gitt brukerne sine alt for dårlig informasjon. Den franske myndigheten viser blant annet til at informasjon som brukerne skal ha før tjenesten tas i bruk, er spredt over mange dokumenter. For å få oversikt over hvilke deler av brukervilkårene og policy-ene som handler om personopplysninger, må man hoppe frem og tilbake via ulike dokumenter og hypertekstlenker. Man må dessuten dykke hele seks nivåer ned i informasjonsarkitekturen for å finne all relevant informasjon om Googles behandling av brukerdata for tilpasset markedsføring.

Dette oppfyller ikke lovverkets krav om at informasjon om behandling av personopplysninger skal være forståelig og lett tilgjengelig, er CNILs konklusjon.

2. Googles informasjon om geografisk sporing er også altfor dårlig

Dette temaet må man gjennom en tilsvarende digital runddans for å få oversikt over. Det franske datatilsynet kommenterer at måten denne informasjonen er presentert på er «blottet for enhver form for intuitiv karakter», og beskrivelsen av fremgangsmåten man må gjennom, kan få en til å tenke på noen av Becketts mest absurde tekster.

Mest alvorlig er det likevel at det er så vanskelig for den alminnelige bruker å forstå hvor massiv og invaderende Googles informasjonsinnsamling er. Det dreier seg ikke bare om data om tradisjonell bruk av selve telefonen, men potensielt også om persondata knyttet til så mye som 20 andre Google-tjenester, blant annet Gmail og Youtube.

Hvis brukeren tar seg fra en Google-tjeneste til en tredjepartsnettside, blir også denne aktiviteten sporet og registrert, ved hjelp av Google Analytics-informasjonskapsler. Det skal ikke mye fantasi til for å skjønne at dette gir Google tilgang til enorme mengder data om Android-brukere, og det uten å informere om det på en forståelig måte.

3. Ugyldige samtykker

CNIL er ikke enig i at brukerne har samtykket til alt dette, slik Google hevder. CNIL mener at samtykkene som Google innhenter i forbindelse med at tjenesten tas i bruk, er ugyldige. Det er to grunner til dette. Et gyldig samtykke må alltid være informert, og dette kriteriet er ikke oppfylt.

Den andre grunnen er at samtykkene verken er spesifiserte eller utvetydige, slik loven krever. Når brukeren skal avgi sitt samtykke, presenteres hun for avkrysningsbokser som er krysset av på forhånd, av Google. Dersom brukeren forholder seg passiv, har hun ifølge Google samtykket. CNIL viser på sin side til at det kreves en utvetydig viljeserklæring fra brukeren for at samtykket skal være gyldig, og at dette vilkåret ikke er oppfylt når brukeren forholder seg passiv.

Til slutt viser CNIL til at kravet om at et samtykke må være spesifikt heller ikke er oppfylt. Grunnen til dette er at brukeren kun har mulighet til å samtykke til Googles samlede retningslinjer og policy, og ikke til nærmere spesifiserte behandlinger av personopplysninger til konkret angitte formål.

Verdifull rettesnor

Den franske avgjørelsen er interessant for oss i Norge av flere grunner. Som tilsynsmyndighet har Datatilsynet fått verdifulle rettesnorer for vurdering av sentrale bestemmelser i det europeiske personvernregelverket, og om størrelsen på gebyrene som utmåles. Bakteppet er her målsetningen om et harmonisert personopplysningsvern i Europa, både når det gjelder regelverkets utforming, realisert gjennom GDPR, og gjennom en harmonisert praktisering av disse reglene. Saken kan bli overprøvd av Conseil d’Etat, men det er uansett nærliggende å tro at Google allerede nå vil innrette seg etter omgangen med CNIL, noe som forhåpentligvis vil føre til større åpenhet om hvordan Google behandler våre personopplysninger, og større valgfrihet for oss som bruker Googles tjenester her i Norge.

Høres dette futuristisk ut? Teknologien som gjør disse tingene mulig, finnes allerede. Den er også i bruk i Norge. At vi blir sporet på Internett, visste nok mange allerede, men visste du at dine bevegelser i den fysiske verden også kan følges i detalj?

Ny rapport

Datatilsynet har skrevet en rapport om sporing i det offentlige rom. I rapporten forklarer vi hva disse sporingsteknologiene går ut på, hvordan de brukes, hvilke konsekvenser bruken har for personvernet og hvilke regler som gjelder. Vi kommer også med noen tips om hvordan man kan unngå å bli sporet der det er mulig.

Rapporten er også tilgjengelig på engelsk og vil gjøres kjent internasjonalt utover høsten.

Rapporten fokuserer på tre teknologier: WiFi- og Bluetoothsporing, nettvarder og intelligent videoanalyse. Både WiFi- og Bluetoothsporing og nettvarder (også kalt beacons) gjør det mulig å spore mobiltelefonene våre. Siden de fleste av oss alltid har med oss mobilen, kan våre bevegelser spores over tid og sted. Overvåkingskameraer med videoanalyse kan automatisk trekke slutninger om våre bevegelser og karakteristikker uten at noen trenger å se på opptakene.

I strid med retten til personvern?

Sporing av personer er regulert i personopplysningsloven. Selv om en del bruk av sporingsteknologi holder seg innenfor lovens grenser, foregår det samtidig sporing som er i strid med vår rett til personvern og privatliv. Teknologiene kan spore oss systematisk over lang tid, noen ganger uten at vi vet det. Dette utgjør et stort inngrep i vår rett til personvern. Det er en grunnleggende rettighet å ha informasjon om hva virksomhetene registrerer oss.

Det er viktig å være klar over at alle har en viss rett til sporfri ferdsel og privatliv, selv på offentlige steder.

Man skal alltid få informasjon når man spores, og hovedregelen er at sporing krever samtykke.

Retningslinjer for bruken

Rapporten vår inneholder retningslinjer for virksomheter som driver med sporingsteknologi. Retningslinjene forteller hvordan virksomhetene kan innrette sporingen for å holde seg innenfor lovens regler. Datatilsynet kommer til å føre tilsyn med denne typen virksomheter i løpet av høsten for å sørge for at reglene følges, og ikke minst for å prøve å sikre at vi alle har en viss oversikt over hvem som vet hva om oss.