Bakgrund. Efter ett klagomål av noyb och ett liknande klagomål av den franska NGO:n "La Quadrature du Net" har CNIL (den franska dataskyddsmyndigheten) böter på 50 miljoner euro till Google på Google på grund av företagets ogenomskinliga integritetspolicy och avsaknad av rättslig grund för personanpassade annonser. Detta är hittills det högsta böter som en dataskyddsmyndighet har antagit som ett slutligt beslut. Det ligger dock långt under det maximala bötesbeloppet enligt GDPR på 4% av Googles globala omsättning (vilket skulle motsvara 3,7 miljarder euro). CNIL:s beslut fokuserade främst på två specifika GDPR-överträdelser: bristen på tillräcklig information till användarna och avsaknaden av en rättslig grund för behandling av personuppgifter för reklamändamål.
Max Schrems, hedersordförande i noyb: "Beloppet är litet för Google, men ändå en viktig symbol för att visa att GDPR-böter kan uppgå till allvarliga belopp".
Beslutet överklagades av Google till franska Conseil d'Etat (den högsta förvaltningsdomstolen) med motiveringen att den franska datainspektionen inte har jurisdiktion över Googles europeiska huvudkontor. Google hävdade bland annat att den irländska dataskyddsmyndigheten borde leda eventuella fall eller utredningar om företagets metoder. Conseil d'Etat fastställer CNIL:s beslut på alla punkter.
Google kan inte välja den irländska tillsynsmyndigheten. I dagens beslutbekräftade Conseil d'Etat den franska dataskyddsmyndighetens sanktion och jurisdiktion över Google. Google har försökt fly till Irland, eftersom den irländska tillsynsmyndigheten ("DPC") hittills inte har utfärdat ett enda bötesbelopp enligt GDPR mot en privat aktör. Till skillnad från den irländska tillsynsmyndigheten, som tog mer än 18 månader på sig att färdigställa en rapport om klagomål mot Facebook, Instagram och Whatsapp, utfärdade CNIL sin rapport inom fem månader den 22 oktober 2018 och fattade ett slutligt beslut inom åtta månader.
Max Schrems: "Det är mycket viktigt att företag som Google inte bara kan förklara sig vara "irländska" för att undkomma integritetsmyndigheternas tillsyn."
Kamp om nationella befogenheter. Inom EU är det "huvudetableringen" som avgör vilken medlemsstat som har ansvaret för att se till att GDPR efterlevs. Om det inte finns något "huvudkontor" kan varje myndighet själv besluta om detta. Conseil d'Etat bekräftade att även om Googles europeiska huvudkontor låg i Irland hade det irländska verksamhetsstället inte beslutanderätt över den behandling som var aktuell vid tidpunkten för beslutet. Eftersom "one-stop-shop"-mekanismen därför inte var tillämplig var CNIL behörig att fatta beslut om behandlingar som utförts av Google, precis som alla andra dataskyddsmyndigheter i EU.
Information som inte är lättillgänglig. Conseil d'Etat bekräftade CNIL:s bedömning att informationen i Googles integritetspolicy inte var lättillgänglig för användarna. Den grundläggande information som ska tillhandahållas är utspridd på alltför många dokument och är tillgänglig först efter flera steg (ibland upp till 5 eller 6 åtgärder). Den var därför inte förenlig med GDPR.
Informationen är inte tydlig. CNIL drog också slutsatsen att viss information inte alltid är tydlig eller heltäckande. Användarna kan inte på ett realistiskt sätt förstå vad Google gör med deras personuppgifter. Till exempel ansågs skälen till varför Google använder data, den rättsliga grunden för behandlingen av dem eller kategorierna av data som behandlas vara för vaga.
Inget giltigt samtycke för personanpassade annonser. Google anser sig ha fått användarens samtycke till att behandla uppgifter för att anpassa annonser, men CNIL drog slutsatsen att ett sådant samtycke inte var giltigt av två skäl:
(1) Samtycket är inte tillräckligt informerat och kan varken vara "specifikt" eller "otvetydigt" med tanke på att informationen är utspädd i flera dokument.
(2) Dessutom föreskrivs i dataskyddsförordningen att ett samtycke är "specifikt" endast om det ges separat för varje ändamål. Google har dock begärt ett samtycke till all behandling.
Konsekvenser. Max Schrems: "Detta beslut kräver betydande förbättringar från Googles sida. Deras integritetspolicy måste nu verkligen göra det kristallklart vad de gör med användarnas data. Användarna måste också få möjlighet att samtycka till endast vissa delar av vad Google gör med deras data och vägra andra saker".
