Uklart samtykke og manglende gennemsigtighed koster dyrt
Det franske datatilsyn har afgjort, at Google skal betale 50 millioner euro for overtrædelse af persondataforordningen. Overtrædelserne bestod i manglende gennemsigtighed, utilstrækkelig information og manglende gyldigt samtykke i relation til målrettede annoncer.
Principperne om gennemsigtighed og information
Gennemsigtighed og information er nogle af de grundlæggende principper og forpligtelser i persondatareglerne. Det betyder fx, at virksomheden skal oplyse om formålet med behandling af oplysninger, hvilke oplysninger der behandles, og hvem der behandler dem. Informationen skal være let at forstå og må ikke være svær at tilgå.
I afgørelsen bemærkede det franske datatilsyn, at Googles information til deres brugere ikke er ”let tilgængelig”. Vigtig information, som fx formålet med behandlingen af oplysninger og opbevaringsperiode, var spredt over flere dokumenter med links og knapper mm. I nogle tilfælde var det nødvendigt med op til 5 til 6 klik, før brugerne kom frem til den relevante information.
Derudover var noget af informationen uklar og utilstrækkelig. Eksempelvis var formålet med behandlingen beskrevet for generelt og vagt. Det var også uklart, at det legale grundlag for behandlingen af oplysninger til målrettede annoncer faktisk var samtykke og ikke legitime interesser. Brugerne kan derfor have svært ved at forstå omfanget af behandlingen. Der er tale om en omfattende behandling af personoplysninger, der kombinerer oplysninger med op til tyve forskellige services og mange typer af personlige data.
Samtykke til målrettede annoncer
En stor del af Googles forretning er baseret på at benytte brugernes data til at målrette personlige annoncer. Men det kræver et legalt grundlag, som fx et frivilligt, specifikt, informeret og utvetydigt samtykke. Det franske datatilsyn mente ikke, at Google har indhentet et gyldigt samtykke til behandlingen.
For det første skal et samtykke være informeret. Det betyder, at man skal vide præcis, hvad man giver samtykke til, inden man giver samtykket. I denne sag var informationen om behandling af oplysninger til målrettede annoncer spredt over forskellige dokumenter, og det var svært at vide, hvor omfattende behandlingen var, og fx hvor mange services (Google search, Youtube, Google home etc.) der var involveret.
Et gyldigt samtykke skal også være specifikt og utvetydigt. Ifølge det franske datatilsyn er samtykket ikke utvetydigt, når det ”pre-ticked”. For at oprette en konto hos google skal brugerne krydse af i ”I agree to Google’s Terms of Service” og ”I agree to the processing of my information as described above and further explained in the Privacy Policy”. En bruger giver altså et samlet samtykke for al behandling af persondata. Det er i strid med persondataforordningen, da et gyldigt samtykke skal være specifikt og altså givet til det enkelte formål.
Straffen for overtrædelsen
Det er den første sag, som det franske datatilsyn afsiger med de nye regler og bødeniveau. Selve størrelsen på beløbet og offentligheden omkring den er begrundet i alvoren i overtrædelserne af de grundlæggende principper i persondataforordningen: gennemsigtighed, information og samtykke.
Det franske datatilsyn noterede sig også, at der ikke var tale om en enkeltstående overtrædelse, men at der var tale om vedvarende overtrædelser, som stadig foregår. At Android samtidig har en betydelig placering på det franske marked, og at der hver dag oprettes tusindvis af Google kontoer på smartphones i Frankrig, har også betydning. Da Googles forretningsmodel i høj grad er baseret på persontilrettede annoncer er det centralt, at de overholder reglerne.
IUNO mener
Afgørelsen giver et klart signal om, at virksomheder skal sørge for at give klar og tilgængelig information om deres behandling af oplysninger. Og et samtykke er ikke gyldigt, hvis det ikke er specifikt og informeret. Det er med andre ord slut med ”pre-ticked” og generelle samtykker til flere vage formål.
Afgørelsen betyder, at virksomheder ikke må opbygge annonceprofiler på deres brugere, før brugerne klart og tydeligt har modtaget information om, hvad deres oplysninger bruges til og på den baggrund afgiver et gyldigt samtykke til den konkrete behandling. Fremover må vi se, om denne ”klarhed” over hvad informationen bruges til, kommer til at afskrække brugerne.
Principperne om gennemsigtighed og information
Gennemsigtighed og information er nogle af de grundlæggende principper og forpligtelser i persondatareglerne. Det betyder fx, at virksomheden skal oplyse om formålet med behandling af oplysninger, hvilke oplysninger der behandles, og hvem der behandler dem. Informationen skal være let at forstå og må ikke være svær at tilgå.
I afgørelsen bemærkede det franske datatilsyn, at Googles information til deres brugere ikke er ”let tilgængelig”. Vigtig information, som fx formålet med behandlingen af oplysninger og opbevaringsperiode, var spredt over flere dokumenter med links og knapper mm. I nogle tilfælde var det nødvendigt med op til 5 til 6 klik, før brugerne kom frem til den relevante information.
Derudover var noget af informationen uklar og utilstrækkelig. Eksempelvis var formålet med behandlingen beskrevet for generelt og vagt. Det var også uklart, at det legale grundlag for behandlingen af oplysninger til målrettede annoncer faktisk var samtykke og ikke legitime interesser. Brugerne kan derfor have svært ved at forstå omfanget af behandlingen. Der er tale om en omfattende behandling af personoplysninger, der kombinerer oplysninger med op til tyve forskellige services og mange typer af personlige data.
Samtykke til målrettede annoncer
En stor del af Googles forretning er baseret på at benytte brugernes data til at målrette personlige annoncer. Men det kræver et legalt grundlag, som fx et frivilligt, specifikt, informeret og utvetydigt samtykke. Det franske datatilsyn mente ikke, at Google har indhentet et gyldigt samtykke til behandlingen.
For det første skal et samtykke være informeret. Det betyder, at man skal vide præcis, hvad man giver samtykke til, inden man giver samtykket. I denne sag var informationen om behandling af oplysninger til målrettede annoncer spredt over forskellige dokumenter, og det var svært at vide, hvor omfattende behandlingen var, og fx hvor mange services (Google search, Youtube, Google home etc.) der var involveret.
Et gyldigt samtykke skal også være specifikt og utvetydigt. Ifølge det franske datatilsyn er samtykket ikke utvetydigt, når det ”pre-ticked”. For at oprette en konto hos google skal brugerne krydse af i ”I agree to Google’s Terms of Service” og ”I agree to the processing of my information as described above and further explained in the Privacy Policy”. En bruger giver altså et samlet samtykke for al behandling af persondata. Det er i strid med persondataforordningen, da et gyldigt samtykke skal være specifikt og altså givet til det enkelte formål.
Straffen for overtrædelsen
Det er den første sag, som det franske datatilsyn afsiger med de nye regler og bødeniveau. Selve størrelsen på beløbet og offentligheden omkring den er begrundet i alvoren i overtrædelserne af de grundlæggende principper i persondataforordningen: gennemsigtighed, information og samtykke.
Det franske datatilsyn noterede sig også, at der ikke var tale om en enkeltstående overtrædelse, men at der var tale om vedvarende overtrædelser, som stadig foregår. At Android samtidig har en betydelig placering på det franske marked, og at der hver dag oprettes tusindvis af Google kontoer på smartphones i Frankrig, har også betydning. Da Googles forretningsmodel i høj grad er baseret på persontilrettede annoncer er det centralt, at de overholder reglerne.
IUNO mener
Afgørelsen giver et klart signal om, at virksomheder skal sørge for at give klar og tilgængelig information om deres behandling af oplysninger. Og et samtykke er ikke gyldigt, hvis det ikke er specifikt og informeret. Det er med andre ord slut med ”pre-ticked” og generelle samtykker til flere vage formål.
Afgørelsen betyder, at virksomheder ikke må opbygge annonceprofiler på deres brugere, før brugerne klart og tydeligt har modtaget information om, hvad deres oplysninger bruges til og på den baggrund afgiver et gyldigt samtykke til den konkrete behandling. Fremover må vi se, om denne ”klarhed” over hvad informationen bruges til, kommer til at afskrække brugerne.
Lignende
Flere medarbejdere indberetter psykisk arbejdsmiljø til Datatilsynet