Menu

CNIL, det franske datatilsyn, har idømt Google LLC en bøde på € 50 mio.

Google LLC blev den 25. og 28. maj 2018 indklaget for CNIL af organisationerne NOYB (None Of Your Business) og LQDN (La Quadrature du Net), hvor sidstnævnte organisation repræsenterede ikke mindre end 10.000 brugere.

CNIL fandt – efter dets undersøgelse heraf – at være rette tilsynsmyndighed og dermed kompetent til at behandle klagesagerne, da one-stop-shop mekanismen ikke fandt anvendelse.

På baggrund af tilsynsmyndighedens inspektioner, konkluderede CNIL den 21. januar 2019, at Google havde overtrådt databeskyttelsesforordningen i form af manglede iagttagelse af princippet om god databehandlingsskik samt kravet om et lovligt behandlingsgrundlag.

Princippet om god databehandlingsskik
I forbindelse med den enkelte statsborgers oprettelse af en Gmail konto, blev den pågældende givet informationer om Googles behandling af dennes personoplysninger, hvilket i udgangspunktet er i overensstemmelse med forordningens artikel 13.

Imidlertid var informationen ikke struktureret på let tilgængelig måde for brugeren, da oplysningerne fremgik af flere dokumenter, hvor det f.eks. krævede 5-6 klik at få bestemte pligtmæssige informationer, såsom formålene med databehandlingen og opbevaringsperioden.

CNIL bemærkede endvidere, at flere af informationerne ikke altid var klart beskrevet, ligesom blandt andet formålene med databehandlingen var udformet for vagt og generelt.

Ulovligt behandlingsgrundlag
Et af Googles formål med behandlingen af Gmail brugerens personoplysninger var blandt andet til brug for dets annoncering, hvilket ifølge CNIL krævede brugerens samtykke.

Googles indhentede samtykke var dog ugyldigt som følge af, at brugeren forinden samtykket ikke på en tilstrækkelig klar måde blev informeret om behandlingen, ligesom samtykket ikke var tilstrækkelig specifikt eller blev afgivet ved en utvetydig viljestilkendegivelse.

Sidstnævnte skyldtes for det første, at brugeren ikke ved en aktiv handling havde givet sit samtykke, da Google oprettelsesservice indeholdt forudafkrydsede felter og for det andet, da brugeren kun kunne give samtykke til samtlige behandlingsformål og ikke kun samtykke til hvert formål.

Bødens størrelse
Bødens størrelse på € 50 mio. er nævneværdig, da forordningens artikel 83, stk. 5 i udgangspunktet indeholder et bødeloft på € 20 mio. kr. Forklaringen er, at Google er en virksomhed. Af den grund udgør bødeloftet 4 % af Googles samlede globale årlige omsætning i det foregående regnskabsår.

Det er første gang, at CNIL træffer en afgørelse, hvor de forstærkede bødestørrelser er trådt i kraft.

Har du spørgsmål i relation til persondataret er du velkommen til at kontakte LOU Advokater på telefon 70 300 500 eller personadata@lou.dk.

1. februar 2019

Tilbage til publikationer
Tilbage til publikationer