Personvern/GDPR – den første store boten til Google
Google ble 21. januar ilagt en bot på 50 mill euro av det franske datatilsynet CNIL. Summen tilsvarer om lag 487 millioner kroner.
Google ble klaget inn for brudd på GDPR av personvernorganisasjonen NOYB.eu, som ble grunnlagt av den østerrikske juristen og internettaktivisten Max Schrems, som i en årrekke har vært i konflikt med store teknologiselskaper grunnet selskapenes personvernpolicy.
Etter det franske datatilsynets vurdering gjør Google det for vanskelig for brukerne å forstå hvordan personlig informasjon brukes, spesielt når det gjelder personalisert reklame. Dette bryter med krav i GDPR til transparens. Google har videre ikke informert de registrerte tilstrekkelig om behandlingene som er påkrevd under GDPR og skal ha behandlet personopplysninger for personalisering av annonser uten gyldig behandlingsgrunnlag, i dette tilfelle samtykke fra de registrerte.
Beløpet og offentliggjøringen av boten er begrunnet i alvorlighetsgraden av overtrampene når det gjelder de grunnleggende prinsippene til GDPR, som er transparens, informasjon og samtykke, skriver CNIL. Google selv uttaler at de nå gransker begrunnelsen for boten for å avgjøre hvordan selskapet skal håndtere saken videre.
Det faktum at europeiske datatilsyn setter søkelys på grunnleggende prinsipper i GDPR om transparens, informasjon og lovlighet ved behandlingen bør får betydning også for hvordan norske aktører arbeider med disse temaene. Særlig bør det fokuseres på å beskrive behandlinger av personopplysninger på en tydelig og forståelig måte. Her er det antakelig en del norske virksomheter som også har en vei å gå.