Google er GDPRs første store offer

De nye personvernreglene trådte i kraft i EU 25. mai 2018 og i Norge 20 juli 2018. Første store rekordbot er gitt til Google.

IT & Media

I fjor fikk vi irriterende mange meldinger hvor mange leverandører desperat ville ha ditt samtykke til å behandle dine personopplysninger. Årsaken var at vi fikk nye personvernvilkår ved at EUs generelle personvernforordning (GDPR)trådte i kraft som lov i Norge og i EU.

 

Det nye regelsettet fikk stor oppmerksomhet blant privat og offentlig virksomhet i Norge bl.a. fordi overtredelsesgebyrene kan bli vesentlig høyere etter de nye reglene. I verste fall risikerer en virksomhet å få et overtredelsesgebyr på det høyeste beløp av 20 millioner euro eller 4 % av dets samlede globale årsomsetning.

 

50 millioner Euro i bot til Google – svir å være en stor aktør

Det franske datatilsynet ga Google i januar 2019 den høyeste boten noen har fått til nå for å bryte GDPR.

 

Allerede samme dag som GDPR trådte i kraft i EU mottok det franske datatilsynet CNIL dets første klage om Google. Tre dager senere mottok CNIL enda en klage som gikk ut på det samme, og samlet hadde ca. 10.000 mennesker underskrevet klagene.

 

Klagene gjaldt flere brudd på GDPR fra Google sin side når det gjelder opprettelse av en Google konto til en bruker, bl.a. ugyldig samtykke fra brukeren til personlig markedsføring. Google baserer sitt behandlingsgrunnlag på samtykke fra brukerne.

 

CNIL ila Google LLC et overtredelsesgebyr 21. januar 2019 på 50 millioner Euro.

 

Fransk datatilsyn om bøtenivået

CNIL publiserte samme dag dets avgjørelse på fransk og dets engelske oppsummering om Googles rekordbot. Det mest oppsiktsvekkende med denne avgjørelsen er botens størrelse.

 

Boten ble så høy grunnet flere alvorlige brudd på grunnleggende krav etter GDPR: Åpenhet, informasjon og samtykke. Google hadde ikke overholdt GDPRs overordnede krav om åpenhet, dets plikt til å gi informasjon til brukerne og dets krav til å innhente gyldig samtykke fra brukerne etter GDPR.

 

CNIL la også vekt på det store antall brukere av slike kontoer samt at kontoene brukes hver dag. Til slutt nevner CNIL at Googles forretningsmodell baserer seg på inntekter fra tilpasset markedsføring, og det er stilles derfor ekstra strenge krav til Google om å overholde disse reglene.tillegg frarøves brukerne mulighetene til å ha kontroll på egne personopplysninger. Videre er dette ikke snakk om ett enkelt brudd på GDPR, men flere brudd som Google fortsatt bryter.

 

Fransk datatilsyn om informasjonskrav

CNIL konkluderte med at viktig informasjon fra Google ble fremstilt på en uklar måte, og noe av denne informasjonen manglet helt. Det var bl.a. utydelig hva som var formålet med behandlingen, hvor lenge personopplysninger skulle oppbevares, og hvilke personopplysninger som skulle behandles.

 

Vilkårene var for vanskelig tilgjengelig. Vilkårene var spredt i flere dokumenter. I tillegg måtte brukerne klikke 5-6 ganger for å få fullstendig informasjon om bl.a. tilpasset markedsføring.

 

Fransk datatilsyn om samtykkekrav

Samtykkekravene etter GDPR ble ikke ansett oppfylt. CNIL påpekte at samtykkeboksene var huket av på forhånd av Google, var gjemt bak en «more options»-knapp og ikke var informert om godt nok.

 

CNIL gikk også inn på krav til paraplysamtykke når Google skal innhente mange samtykker. CNIL uttalte at brukerne må gis muligheten til å gi faktisk samtykke til hvert enkelt formål før brukerne kan avgi et paraplysamtykke til alle formål.

 

Skammekroken – inn på rektors kontor

Første varsel om bot i Norge er på et langt lavere nivå enn i Google-saken. I desember 2018 sendte Datatilsynet varsel til Bergen kommune om et overtredelsesgebyr på 1,6 millioner kroner, grunnet manglende sikkerhet.

 

En skoleelev i Bergen varslet skolen om at det var mulig å få tilgang til andre elevers og ansattes brukernavn og passord i skolens IKT system. Dette ble det ikke gjort noe med. Et par måneder senere skjer det flere sikkerhetsbrudd, bl.a. logget samme elev seg inn i systemet og sendte meldinger fra rektors konto.

 

I dette varslet går Datatilsynet gjennom momentlisten i GDPR artikkel 83 for å ta stilling til bøtenivået. Størrelsen er begrunnet med flere forhold bl.a. kommunens manglende evne til å reagere på problemet da det ble varslet av eleven, at Datatilsynet etter en kontroll i 2013 påla kommunen å ta i bruk sterk autentisering i forbindelse med et annet IKT-system i skolen,  at kommunen hadde fått tilbud fra dets leverandør om bl.a. tofaktorautentisering i 2017 uten at dette ble benyttet og at personvernombudet i kommunen tidligere hadde påpekt behovet for tofaktorautentisering.

 

Hva forteller de første GDPR-bøtene oss?

GDPR har medført at de europeiske datatilsyn skal samarbeide mer, og det innebærer blant annet at de skal legge seg på en lik linje når det gjelder størrelsen på overtredelsesgebyrer. Det er derfor interessant også for virksomheter i Norge å se på bøtenivået fra andre lands datatilsyn i sammenlignbare saker.

 

Størrelsen på slike bøter fastsettes etter en helhetlig vurdering, der det fremste formålet er å sikre at virksomheter overholder regelverket for vern om personopplysningene. Ethvert overtredelsesgebyr som et datatilsyn pålegger en virksomhet for overtredelse av GDPR, skal stå i rimelig forhold til overtredelsen, være virkningsfull, virke avskrekkende og samtidig ta en rekke andre momenter med i betraktningen.

 

Datatilsynet i Østerrike ga sitt første overtredelsesgebyr i september 2018, til et selskap som hadde satt opp kamera uten lovlig behandlingsgrunnlag og i strid med de overordnede prinsippene. Gebyret lød på 5.280 Euro.

 

I november 2018 fikk chat-tjenesten Knuddels i Tyskland et overtredelsesgebyr grunnet sikkerhetsbrudd. Minst 330.000 brukernavn og passord hadde blitt hacket. Siden Knuddels hadde vist eksemplarisk samarbeidsvilje med det aktuelle datatilsynet i Tyskland, ble overtredelsesgebyret begrenset til kun 20.000 Euro.

 

Disse eksemplene viser at datatilsynene bruker momentlisten i GDPR slik at bøtenivået tilpasses den konkrete sitasjonen. Det er de største aktørene med enorm omsetning og mange brukere som risikerer de virkelig høye bøtene.

 

Ved å passe på at de viktigste kravene GDPR stiller oppfylles og ved å reagere raskt om et datatilsynet påpeker brudd eller gir anbefalinger, er risikoen for høy bot reelt sett meget lav for små og mellomstore bedrifter.

 

Denne artikkelen (skrevet av advokatfullmektig Grete Eline Brunsvig og partner|advokat Magnus Ødegaard) er også publisert på Hegnar.no.

Bing Hodnelands avdeling for IT & Media dekker alle de sentrale rettsområdene som er relevante for IT- og mediebransjen: Opphavsrett, varemerkerett, markedsrett, ytringsfrihet, personvern, medierett, ehandels- og ekomrett samt reglene om offentlige anskaffelser.

 

Vi har bred kompetanse – blant annet rundt spørsmål om GDPR.

 

Ta gjerne kontakt i dag for en uforpliktende samtale hvis du har spørsmål – så finner vi sammen den beste løsningen.

Forfatter

Magnus Ødegaard

  • partner | advokat

Grete Eline Brunsvig

  • advokatfullmektig