CNIL har inledningsvis konstaterat att det var Google LLC som var ansvarig för den aktuella behandlingen, inte Googles huvudkontor på Irland. CNIL har därför, liksom alla andra tillsynsmyndigheter, varit behörig att granska Google LLC.
CNIL har granskat Google sedan klagomålen lämnades in, avseende insamling av användares personuppgifter på mobila enheter som använder operativsystemet Android.
CNIL har konstaterat att Google LLC inte har iakttagit viktiga principer som följer av GDPR avseende information till användaren, såsom de ändamål för vilka uppgifterna behandlas, datalagringsperioden och kategorier av data som används för individualisering av reklam. Uppgifterna finns utspridda i flera dokument, och man måste aktivera dessa olika dokument – ibland i fem eller sex steg – vilket gör det svårt att få en överblick över hur behandlingen faktiskt sker. Den information som lämnades ansågs inte heller tydlig och begriplig.
Uppgifterna som behandlas är omfattande, och avser ungefär 20 olika tjänster (Gmail, You Tube, Google Home etc).
Informationen är alltför generellt och vagt, och särskilt avseende individualiseringen av annonserna är den rättsliga grunden för behandlingen oklar.
CNIL har därvid konstaterat att samtycke för individualisering av annonsering inte uppfyller lagkraven på att vara informerat, och det samtycke som erhålls är därför inte specifikt och entydigt. Användaren förstår helt enkelt inte att man accepterar en omfattande och kombinerad behandling avseende en stor mängd tjänster genom ett enda generellt samtycke som lämnas då man registrerar ett användarkonto. Dessutom är default-inställningen att individualiserade annonser är godkänt.
Slutsatsen för CNIL blev alltså att Google LLC har brutit mot GDPR, dels genom att inte inhämta ett korrekt samtycke, dels genom att inte informera på ett tillräckligt transparent sätt hur man behandlar personuppgifter (artiklarna 6, 12 och 13, GDPR).
Den administrativa sanktionsavgiften som utdömdes baserades på Art 85(5), som är det högre segmentet, och kan medföra att man får betala det högsta av 20 M€ eller 4 % av den globala omsättningen. Grunden för fastställande av beloppet 50 M€ menade CNIL var att Google LLC på ett allvarligt sätt brutit mot de aktuella bestämmelserna, att det handlar om en stor mängd data, ett brett utbud av tjänster och möjligheter till en nästan obegränsad kombination av behandlingar. Det är inte heller en tillfällig brist, utan den kvarstod när CNIL meddelade sitt beslut. CNIL menade också att operativsystemet har en dominerande ställning på den franska marknaden, och att Google LLCs affärsmodell delvis bygger på anpassning av reklam vilket också var en grund för fastställande av det hittills högst fastställda sanktionsavgiften inom EU.
Det kan konstateras att 50 M€ inte uppgår till 4 % av Google LLC:s globala omsättning, utan maxbeloppet för Google torde landa på runt 3,5 miljarder €.
Slutligen är det värt att nämna att detta kan ses som ytterligare en framgång för den numera f.d studenten Max Schrems som anmälde Facebook till EU Kommissionen och fick framgång med den anmälan 2015, genom att EU förklarade den då gällande överenskommelsen mellan EU och USA (”Safe Harbour”) som ogiltig. CNIL påbörjade sin utredning av Google med anledning av att organisationerna None of Your Business (NYOB) och LQDN (La Quadrateur du Net) lämnade in klagomål hos CNIL mot Google. Det är Max Schrems som grundat NYOB.
_______________________
Sara Malmgren, advokat, Foyen Advokatfirma sara.malmgren@foyen.se
