Googles annoncetjenester udløser stor GPDR-bøde

Google har fået en bøde på €50 million (ca. 373 millioner kroner) af det franske datatilsyn (CNIL) for at undlade at give brugerne klar, forståelig og lettilgængelig information om, hvordan deres data bliver brugt til at målrette markedsføring.

Datatilsynet i Frankrig udtaler, at Googles ’udbredte og påtrængende’ brug af personlige data overtræder flere elementer i EU’s GDPR-regelsæt. De tilføjer, at det, at data bliver brugt til at eksponere brugerne for personaliserede annoncer, gør Googles overtrædelse ”særligt alvorligt”, og at det udgør et ”betydeligt angreb på privatlivet”.

Google oplyser, at de ”analyserer dommen for at fastlægge næste skridt”, men at de er ”dybt forpligtede til at overholde samtykkereglerne i GDPR” og til ”den høje forventning til transparens og kontrol”, som folk har til Google.

World Federation of Advertiser – som Dansk Annoncørforening er et aktivt medlem af – er i gang med at analysere de juridiske konsekvenser af dommen, og hvad afgørelsen kan betyde for de mange virksomheder, der annoncerer gennem Google.

Detaljerne om dommen

CNIL’s afgørelse fokuserede på den information, som brugerne får, når de installerer Android-styresystemet på en mobiltelefon og i den forbindelse opretter en Google-konto. De konkluderer at:

  • Informationen til brugerne om, hvordan deres data bliver brugt til at målrette markedsføring er ikke lettilgængelig, klar eller letforståelig.
  • Når brugerne opretter en Google-konto (på en Android-telefon), får de ikke nok information til at forstå, hvordan deres data bliver brugt til at skræddersy markedsføring på tværs af alle Googles kanaler.
  • Informationen om skræddersyet markedsføring er fragmenteret og gemt bag for mange lag, så det kræver 5 til 6 handlinger at samle alt relevant information.
  • Informationen om, til hvilket formål data bliver indsamlet og brugt, er for generisk og vag.
  • Brugerne kan ikke give samtykke til specifikke typer af databehandling. I stedet skal de acceptere samtlige vilkår og kan kun fravælge skræddersyede annoncer ved at gå ind i ”flere muligheder” og fjerne fluebenet i en forhåndsudfyldt boks.

Google blev informeret om dommen i december og har siden indleveret to indsigelser, der forsvarer deres praksis. CNIL oplyser, at Google anfører at:

  • Sagen bør behandles af det irske datatilsyn og ikke det franske.
  • CNIL skulle have arbejdet tættere sammen med datatilsynene i de andre europæiske lande gennem GDPR’s one-stop shop mekanisme.
  • Googles ret til en fri retssag blev overtrådt af CNIL, fordi de kun kommunikerer på fransk, og dermed giver Google for lidt tid til at svare.
  • Klagerne burde have været afvist af retstekniske årsager.
  • CNIL brugte en gammel version af Android til deres analyse og kun 7 % af alle brugere oplever samme kunderejse som CNIL, fordi de allerede har en Google-konto, inden de installerer Android.
  • Flere privatlivsværktøjer som ”Google Privacy Checkup” og ”Google Dashboard” giver brugerne transparens.

CNIL afviser argumenterne i deres dom.

Klagerne, der førte til CNILs undersøgelse, blev indsendt af to forbrugerorganisationer, La Quadrature du Net og None of Your Business.

Næste skridt

  • Det er ikke klart, om Google vil appellere dommen, men det virker sandsynligt i lyset af deres indsigelser. I så fald har de en frist på 4 måneder til at indlevere en appel. Dansk Annoncørforening følger sagen og informerer, når der er nyt.
  • World Federation of Advertisers er ved at undersøge de mulige juridiske implikationer for annoncører. Dansk Annoncørforening informerer også her, når der er nyt i form af eksempelvis guidelines.

Update: 29. januar

Google har nu meddelt, at de vil appellere CNILs afgørelse. World Federation of Advertisers, som Dansk Annoncørforening er et aktivt medlem af, har i den forbindelse tre anbefalinger til annoncører:

  • Følg Google vs. CNIL sagen med særligt fokus på de ændringer, som Google muligvis laver i sit sign-up eller sine brugerbetingelser i løbet af appelsagen.
  • Undersøg om ens nuværende databehandleraftale med Google adresserer fælles dataansvar og i så fald hvordan.
  • Sørg for at GDPR og andre relevante regelsæt bliver overholdt; især når det gælder brug af data til marketingformål.

Dansk Annoncørforening vil fortsætte med at følge sagen og opdatere sine medlemmer, når der er relevant nyt.

Holger Wilcks