Persondata

Uklart samtykke og manglende gennemsigtighed koster dyrt

29. januar 2019

Det franske datatilsyn har afgjort, at Google skal betale 50 millioner euro for overtrædelse af persondataforordningen. Overtrædelserne bestod i manglende gennemsigtighed, utilstrækkelig information og manglende gyldigt samtykke i relation til målrettede annoncer.

Principperne om gennemsigtighed og information

Gennemsigtighed og information er nogle af de grundlæggende principper og forpligtelser i persondatareglerne. Det betyder fx, at virksomheden skal oplyse om formålet med behandling af oplysninger, hvilke oplysninger der behandles, og hvem der behandler dem. Informationen skal være let at forstå og må ikke være svær at tilgå.

I afgørelsen bemærkede det franske datatilsyn, at Googles information til deres brugere ikke er ”let tilgængelig”. Vigtig information, som fx formålet med behandlingen af oplysninger og opbevaringsperiode, var spredt over flere dokumenter med links og knapper mm. I nogle tilfælde var det nødvendigt med op til 5 til 6 klik, før brugerne kom frem til den relevante information.

Derudover var noget af informationen uklar og utilstrækkelig. Eksempelvis var formålet med behandlingen beskrevet for generelt og vagt. Det var også uklart, at det legale grundlag for behandlingen af oplysninger til målrettede annoncer faktisk var samtykke og ikke legitime interesser. Brugerne kan derfor have svært ved at forstå omfanget af behandlingen. Der er tale om en omfattende behandling af personoplysninger, der kombinerer oplysninger med op til tyve forskellige services og mange typer af personlige data.

Samtykke til målrettede annoncer

En stor del af Googles forretning er baseret på at benytte brugernes data til at målrette personlige annoncer. Men det kræver et legalt grundlag, som fx et frivilligt, specifikt, informeret og utvetydigt samtykke. Det franske datatilsyn mente ikke, at Google har indhentet et gyldigt samtykke til behandlingen.

For det første skal et samtykke være informeret. Det betyder, at man skal vide præcis, hvad man giver samtykke til, inden man giver samtykket. I denne sag var informationen om behandling af oplysninger til målrettede annoncer spredt over forskellige dokumenter, og det var svært at vide, hvor omfattende behandlingen var, og fx hvor mange services (Google search, Youtube, Google home etc.) der var involveret.

Et gyldigt samtykke skal også være specifikt og utvetydigt. Ifølge det franske datatilsyn er samtykket ikke utvetydigt, når det ”pre-ticked”. For at oprette en konto hos google skal brugerne krydse af i ”I agree to Google’s Terms of Service” og ”I agree to the processing of my information as described above and further explained in the Privacy Policy”. En bruger giver altså et samlet samtykke for al behandling af persondata. Det er i strid med persondataforordningen, da et gyldigt samtykke skal være specifikt og altså givet til det enkelte formål.

Straffen for overtrædelsen

Det er den første sag, som det franske datatilsyn afsiger med de nye regler og bødeniveau. Selve størrelsen på beløbet og offentligheden omkring den er begrundet i alvoren i overtrædelserne af de grundlæggende principper i persondataforordningen: gennemsigtighed, information og samtykke.

Det franske datatilsyn noterede sig også, at der ikke var tale om en enkeltstående overtrædelse, men at der var tale om vedvarende overtrædelser, som stadig foregår. At Android samtidig har en betydelig placering på det franske marked, og at der hver dag oprettes tusindvis af Google kontoer på smartphones i Frankrig, har også betydning. Da Googles forretningsmodel i høj grad er baseret på persontilrettede annoncer er det centralt, at de overholder reglerne.

IUNO mener

Afgørelsen giver et klart signal om, at virksomheder skal sørge for at give klar og tilgængelig information om deres behandling af oplysninger. Og et samtykke er ikke gyldigt, hvis det ikke er specifikt og informeret. Det er med andre ord slut med ”pre-ticked” og generelle samtykker til flere vage formål.

Afgørelsen betyder, at virksomheder ikke må opbygge annonceprofiler på deres brugere, før brugerne klart og tydeligt har modtaget information om, hvad deres oplysninger bruges til og på den baggrund afgiver et gyldigt samtykke til den konkrete behandling. Fremover må vi se, om denne ”klarhed” over hvad informationen bruges til, kommer til at afskrække brugerne.

Principperne om gennemsigtighed og information

Gennemsigtighed og information er nogle af de grundlæggende principper og forpligtelser i persondatareglerne. Det betyder fx, at virksomheden skal oplyse om formålet med behandling af oplysninger, hvilke oplysninger der behandles, og hvem der behandler dem. Informationen skal være let at forstå og må ikke være svær at tilgå.

I afgørelsen bemærkede det franske datatilsyn, at Googles information til deres brugere ikke er ”let tilgængelig”. Vigtig information, som fx formålet med behandlingen af oplysninger og opbevaringsperiode, var spredt over flere dokumenter med links og knapper mm. I nogle tilfælde var det nødvendigt med op til 5 til 6 klik, før brugerne kom frem til den relevante information.

Derudover var noget af informationen uklar og utilstrækkelig. Eksempelvis var formålet med behandlingen beskrevet for generelt og vagt. Det var også uklart, at det legale grundlag for behandlingen af oplysninger til målrettede annoncer faktisk var samtykke og ikke legitime interesser. Brugerne kan derfor have svært ved at forstå omfanget af behandlingen. Der er tale om en omfattende behandling af personoplysninger, der kombinerer oplysninger med op til tyve forskellige services og mange typer af personlige data.

Samtykke til målrettede annoncer

En stor del af Googles forretning er baseret på at benytte brugernes data til at målrette personlige annoncer. Men det kræver et legalt grundlag, som fx et frivilligt, specifikt, informeret og utvetydigt samtykke. Det franske datatilsyn mente ikke, at Google har indhentet et gyldigt samtykke til behandlingen.

For det første skal et samtykke være informeret. Det betyder, at man skal vide præcis, hvad man giver samtykke til, inden man giver samtykket. I denne sag var informationen om behandling af oplysninger til målrettede annoncer spredt over forskellige dokumenter, og det var svært at vide, hvor omfattende behandlingen var, og fx hvor mange services (Google search, Youtube, Google home etc.) der var involveret.

Et gyldigt samtykke skal også være specifikt og utvetydigt. Ifølge det franske datatilsyn er samtykket ikke utvetydigt, når det ”pre-ticked”. For at oprette en konto hos google skal brugerne krydse af i ”I agree to Google’s Terms of Service” og ”I agree to the processing of my information as described above and further explained in the Privacy Policy”. En bruger giver altså et samlet samtykke for al behandling af persondata. Det er i strid med persondataforordningen, da et gyldigt samtykke skal være specifikt og altså givet til det enkelte formål.

Straffen for overtrædelsen

Det er den første sag, som det franske datatilsyn afsiger med de nye regler og bødeniveau. Selve størrelsen på beløbet og offentligheden omkring den er begrundet i alvoren i overtrædelserne af de grundlæggende principper i persondataforordningen: gennemsigtighed, information og samtykke.

Det franske datatilsyn noterede sig også, at der ikke var tale om en enkeltstående overtrædelse, men at der var tale om vedvarende overtrædelser, som stadig foregår. At Android samtidig har en betydelig placering på det franske marked, og at der hver dag oprettes tusindvis af Google kontoer på smartphones i Frankrig, har også betydning. Da Googles forretningsmodel i høj grad er baseret på persontilrettede annoncer er det centralt, at de overholder reglerne.

IUNO mener

Afgørelsen giver et klart signal om, at virksomheder skal sørge for at give klar og tilgængelig information om deres behandling af oplysninger. Og et samtykke er ikke gyldigt, hvis det ikke er specifikt og informeret. Det er med andre ord slut med ”pre-ticked” og generelle samtykker til flere vage formål.

Afgørelsen betyder, at virksomheder ikke må opbygge annonceprofiler på deres brugere, før brugerne klart og tydeligt har modtaget information om, hvad deres oplysninger bruges til og på den baggrund afgiver et gyldigt samtykke til den konkrete behandling. Fremover må vi se, om denne ”klarhed” over hvad informationen bruges til, kommer til at afskrække brugerne.

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Pia

Mark

Advokat

Kirsten

Astrup

Advokatfuldmægtig

Lignende nyt

logo
Persondata HR-jura

12. april 2019

Manglende træning af virksomhedens medarbejdere kan udløse bøder

logo
HR-jura Persondata

22. februar 2019

Er vikarer og konsulenter databehandlere?

logo
Persondata Corporate

22. januar 2019

Har din virksomhed styr på persondata inden revisionen?

logo
Persondata

18. januar 2019

Husk oplysningspligten

logo
Persondata

8. januar 2019

Behandling af persondata i frivillige foreninger

EU-Kommissionen fremlægger nødplan for ”no-deal” Brexit

Events

logo
HR-jura Persondata
17. januar 2018

Morgenmøde om den nye persondataforordning

logo
HR-jura Persondata
17. januar 2018

Morgenmøde om den nye persondataforordning (webinar)

logo
HR-jura Persondata
10. november 2015

Morgenmøde om persondata

logo
HR-jura Persondata
11. november 2014

Nordic Seminar i København om privacy og databeskyttelse i de nordiske lande

logo
HR-jura Persondata
25. april 2012

Morgenmøde om HR-persondataret