Första större sanktionsavgiften enligt GDPR – femtio miljoner Euro för Google

Nu har det första beslutet om administrativ sanktionsavgift enligt art 83.5 meddelats. Den 21 januari meddelade CNIL (den franska motsvarigheten till Datainspektionen) ett beslut mot Google LLC om en administrativ sanktionsavgift om 50 000 000 EUR.

Publicerat: 6 februari, 2019

CNIL har inledningsvis konstaterat att det var Google LLC som var ansvarig för den aktuella behandlingen, inte Googles huvudkontor på Irland. CNIL har därför, liksom alla andra tillsynsmyndigheter, varit behörig att granska Google LLC.

CNIL har granskat Google sedan klagomålen lämnades in, avseende insamling av användares personuppgifter på mobila enheter som använder operativsystemet Android.

CNIL har konstaterat att Google LLC inte har iakttagit viktiga principer som följer av GDPR avseende information till användaren, såsom de ändamål för vilka uppgifterna behandlas, datalagringsperioden och kategorier av data som används för individualisering av reklam. Uppgifterna finns utspridda i flera dokument, och man måste aktivera dessa olika dokument – ibland i fem eller sex steg – vilket gör det svårt att få en överblick över hur behandlingen faktiskt sker. Den information som lämnades ansågs inte heller tydlig och begriplig.

Uppgifterna som behandlas är omfattande, och avser ungefär 20 olika tjänster (Gmail, You Tube, Google Home etc).

Informationen är alltför generellt och vagt, och särskilt avseende individualiseringen av annonserna är den rättsliga grunden för behandlingen oklar.

CNIL har därvid konstaterat att samtycke för individualisering av annonsering inte uppfyller lagkraven på att vara informerat, och det samtycke som erhålls är därför inte specifikt och entydigt. Användaren förstår helt enkelt inte att man accepterar en omfattande och kombinerad behandling avseende en stor mängd tjänster genom ett enda generellt samtycke som lämnas då man registrerar ett användarkonto. Dessutom är default-inställningen att individualiserade annonser är godkänt.

Slutsatsen för CNIL blev alltså att Google LLC har brutit mot GDPR, dels genom att inte inhämta ett korrekt samtycke, dels genom att inte informera på ett tillräckligt transparent sätt hur man behandlar personuppgifter (artiklarna 6, 12 och 13, GDPR).

Den administrativa sanktionsavgiften som utdömdes baserades på Art 85(5), som är det högre segmentet, och kan medföra att man får betala det högsta av 20 M€ eller 4 % av den globala omsättningen. Grunden för fastställande av beloppet 50 M€ menade CNIL var att Google LLC på ett allvarligt sätt brutit mot de aktuella bestämmelserna, att det handlar om en stor mängd data, ett brett utbud av tjänster och möjligheter till en nästan obegränsad kombination av behandlingar. Det är inte heller en tillfällig brist, utan den kvarstod när CNIL meddelade sitt beslut. CNIL menade också att operativsystemet har en dominerande ställning på den franska marknaden, och att Google LLCs affärsmodell delvis bygger på anpassning av reklam vilket också var en grund för fastställande av det hittills högst fastställda sanktionsavgiften inom EU.

Det kan konstateras att 50 M€ inte uppgår till 4 % av Google LLC:s globala omsättning, utan maxbeloppet för Google torde landa på runt 3,5 miljarder €.

Slutligen är det värt att nämna att detta kan ses som ytterligare en framgång för den numera f.d studenten Max Schrems som anmälde Facebook till EU Kommissionen och fick framgång med den anmälan 2015, genom att EU förklarade den då gällande överenskommelsen mellan EU och USA (”Safe Harbour”) som ogiltig. CNIL påbörjade sin utredning av Google med anledning av att organisationerna None of Your Business (NYOB) och LQDN (La Quadrateur du Net) lämnade in klagomål hos CNIL mot Google. Det är Max Schrems som grundat NYOB.

_______________________

Sara Malmgren, advokat, Foyen Advokatfirma sara.malmgren@foyen.se

Liknande artiklar

Skog där ljuset letar sig fram mellan stammarna
Mark och miljö2023.03.09

Tjäder och färsk översiktsplan inget hinder för bergtäkt enligt MÖD

Den 9 februari 2023 meddelade Mark- och miljööverdomstolen (”MÖD”) dom i mål M 11988-21. Ett bolag hade ansökt om tillstånd för bergtäkt i Sigtuna kommun där Mark- och miljödomstolen vid Nacka tingsrätt (”MMD”) meddelat tillstånd. I MMD kom domstolen bland annat fram till att det inte var möjligt att åstadkomma en tillräcklig buffertzon mellan verksamhetsområdet och ett område där tjäder spelade och häckade, således behövde andra skyddsåtgärder föreskrivas. Det resulterade i att tillståndet förenades med villkor som innebar att bullrande arbeten inte fick bedrivas under vissa tidsperioder. Sigtuna kommun överklagade domen och yrkade på att ansökan skulle avvisas på grund av bristande miljökonsekvensbeskrivnings alternativt avslås. Vidare hade kommunen i maj 2022 antagit en ny översiktsplan, d.v.s. efter att domen meddelats i MMD, och ansåg att denna skulle få stor betydelse i målet. Bolaget motsatte sig kommunens överklagande och yrkade för egen del att bullervillkoren i tillståndet skulle upphävas. Bolaget yrkade även på artskyddsdispens för det fall MÖD skulle anse att verksamheten kräver dispens. Rättsfallet berör flertalet frågor men den centrala frågan gäller översiktsplanens betydelse jämte artskyddet, vilket är vad den här artikeln kommer att fokusera på.

Energi och innovation2023.02.24

Foyen biträder vid försäljning av SCiBreak AB

Foyen har biträtt KIC InnoEnergy SE och grundarna vid försäljningen av SCiBreak AB till Mitsubishi Electric Corporation.

Gruppbild på Anders, Helena och Per
Energi och innovation, Entreprenad, Om Foyen2023.02.22

Foyen stärker upp med två nya delägare

Foyen fortsätter sin starka expansion och värvar två nya delägare. Anslutningen av Anders och Helena stärker byråns erbjudande mot marknaden ytterligare.

Fler nyheter