Den 21 januari 2019 var inte en bra dag för Google LLC (”Google”). Den svåraste nyheten att smälta var nog att den franska dataskyddsmyndigheten CNIL beslutade att ålägga Google en sanktionsavgift om EUR 50 miljoner. Som lök på laxen har även den svenska dataskyddsmyndigheten, Datainspektionen, valt att påbörja en tillsyn av Googles personuppgiftsbehandling, en nyhet som publicerades den 21 januari 2019.
Google fick miljonböter av CNIL
Bakgrunden till CNIL:s granskning av Google är det från det klagomål som lämnades in redan den 25 maj 2018 av två organisationer med fokus på integritetsfrågor. Efter utredning har CNIL bedömt att Google brister avseende transparens, att otillräcklig information lämnas till berörda personer och att det insamlade samtycket avseende anpassning av annonser brister i sin laglighet. Google har inte lämnat någon utförlig kommentar på beslutet än men har meddelat att man för tillfället går igenom beslutet för att kunna bestämma nästa steg i processen.
Så vad föll Google på i Frankrike?
CNIL fann att Google hade spridit ut viktig information för den registrerade över flertalet sidor i en informationsskrift, att det krävdes att flertalet steg genomfördes för individen kunde tillgodogöra sig fullständig information och att den registrerade omöjligen kunde förstå omfattningen av Googles behandling från informationen. De största bristerna i samtycket var att valet för riktade annonser var förifyllt i kryssrutan, flertalet samtycken var sammanslagna och det var svårt för individer att förstå den omfattning av behandling som de samtyckte till.
Lärdomen från CNIL:s beslut (även om det inte är direkt tillämpligt i Sverige) är att information måste vara tydlig, konkret, uppfylla alla krav i GDPR men ändå vara lättläst och att man inte kan tumma på samtycket. Samtycket måste vara aktivt, specifikt och inte omfatta mer än ett ändamål per kryssruta.
Datainspektionen påbörjar tillsyn
Datainspektionen publicerade igår, den 21 januari 2019, nyheten att tillsyn inleds mot Google. Ärendet föranleds av att Datainspektionen tagit emot klagomål avseende Googles behandling av personuppgifter genom Sveriges Konsumenter för en registrerads räkning i november 2018. Klagomålet stödjer sig på Forbrukerrådets (norska konsumentrådet) rapport Every Step You Take som avhandlar Googles spårning av individer.
I korthet handlar klagomålet om att Google har tillgodogjort sig åtkomst till Androidanvändares lokaliseringsdata genom s.k. Location History och Webb & App Activity. Det påstås i klagomålet att Google använt sig av bedräglig design, vilseledande information och återkommande pushnotiser för att manipulera användare till att godkänna att Google alltid spårar av användarens lokalisering. Google har fram till den 1 februari 2019 på sig att lämna in tre kategorier av dokument, nämligen register över behandling, personuppgiftspolicys avseende tjänster och konsekvensbedömningar av behandlingen. Därtill måste Google svara på elva frågor.
Vad resultatet av tillsynen för Google kommer att bli är fortsatt oklart, men det finns en risk att även svenska Datainspektionen kommer att besluta om en sanktionsavgift. Men en sak är troligen säker, Google kommer inte att följa oss i varje steg vi tar i framtiden.
Klicka här om du vill läsa Datainspektionens skrift till Google daterad 18 januari 2019 i sin helhet.