Læren fra det franske datatilsyns Google-afgørelse

Det er næppe gået mange i branchens opmærksomhed forbi, at det franske datatilsyn, CNIL, i sidste uge udstedte en afgørelse inkl. en bøde til Google på € 50 mio. for utilstrækkeligt samtykke til personaliseret annoncering. Det har sat gang i spekulationer om potentielle konsekvenser for det øvrige digitale annonceøkosystem.

”Afgørelsen indeholder en masse interessant information om, hvad CNIL har valgt at lægge vægt på, som formentlig vil inspirere de øvrige europæiske datatilsyn, der har en erklæret målsætning om en ensartet implementering på tværs af EU. Det er værd at notere sig, at det franske datatilsyn lægger op til en hidtil uset stram udlægning af GDPR, men samtidig ikke tager stilling til spørgsmålet, om man må kræve samtykke for at give adgang til indhold og tjenester,” udtaler Allan Sørensen, digital chef i Danske Medier.

Derfor er der god grund til at se nærmere på følgende elementer i afgørelsen: 1) informationen skal være let tilgængelig; 2) den skal være klar og fyldestgørende, 3) samtykket skal være specifikt og 4) det må ikke være tvetydigt.

Informationen skal være let tilgængelig, klar og fyldestgørende
I forbindelse med tilgængelighed anfægter CNIL i den konkrete sag, at informationerne er spredt over 5-6 forskellige sider. Heraf kan vi udlede, at det i forbindelse med indhentning af samtykke er en god idé at holde informationer samlet på ét sted, eller i hvert fald at samle alle centrale dele og linke til mere udførlige specifikationer, såfremt disse qua deres omfang modvirker, at informationen også skal være overskuelig og nem at forstå.

Informationen vurderes også som uklar og ikke fyldestgørende, hvilket medfører, at brugerne ikke er i stand til at forstå omfanget af databehandlingen, som anses for særdeles massiv og påtrængende, fordi den omfatter ca. 20 forskellige tjenester samt i kraft af kombinationen af mængden og indholdet i data.

”Grunden til, at brugerne ikke er i stand til at forstå omfanget af databehandlingen, ifølge CNIL, er den mangelfulde og overfladiske beskrivelse af formål og kategorier af data, der behandles,” siger Allan Sørensen.

Specifikt samtykke – ikke tvetydigt
Google er verdens største databehandler, hvilket kan medvirke til at andre aktører fremstår små i sammenligning, men der er faktisk ikke klarhed om hvad datatilsynet i Frankrig anser som mange tjenester og meget data. Det er dog vigtigt at være opmærksom på, at volumen af data spiller ind, og at når der er tale om mere end én tjeneste, så skal man være helt specifik om hvilke tjenester, der er tale om.

”Følsomheden af data kan vi bedre forholde os til, idet GDPR konkret lister information om race, etnicitet, politiske observans, religion/filosofisk holdning, fagforeningsmedlemskab, genetik, biometri til identificering, helbredsdata samt information om sexliv og seksuel orientering som følsomme data,” siger Allan Sørensen og understreger, at information om, hvilke websites man besøger og hvor man fysisk opholder sig, i visse sammenhænge vil omfatte sådanne følsomme informationer.

Husk lovgrundlaget for behandling
CNIL påpeger, at det i Googles tilfælde er uklart, at målretningen af annoncering sker på grundlag af samtykke og ikke legitim interesse, samt at der i visse tilfælde ikke er anført, hvor længe data opbevares.

En afgørelse, der kan tjene som god påmindelse for annonceaktørerne – også i Danmark:

”Afgørelsen understreger, hvor væsentligt det er at skrive helt tydeligt hvilket lovgrundlag, der anvendes til databehandlingen og hvilke saglige kriterier, der anvendes til at afgøre, hvor længe data opbevares. Her vil jeg minde om, at når personoplysninger ikke længere er nødvendige til det formål de er indsamlet til, skal de som udgangspunkt slettes eller anonymiseres,” siger Allan Sørensen.

Det kritiseres i afgørelsen fra det franske datatilsyn også, at Googles formål med behandlingen er for generelt og uklart beskrevet. Det er ikke nok at skrive, at formålet er målrettet annoncering, sikkerhed og at forbedre tjenester. Det samme gælder for beskrivelse af kategorier af data.

Kritikken er meget håndgribelig, men sværere at imødekomme i praksis, anerkender Allan Sørensen:

”På den ene side skal man være præcis omkring beskrivelse af formål og data, på den anden side skal teksten også være klar og forstålig for brugere, der ikke kan antages at have forudsætninger til at kunne forstå betydningen af fagtermer som fx IP-numre, geo-lokation, look-alikes, cookies, adfærdsbaseret målretning etc. Det kan med andre ord ikke understreges nok, at man skal være meget omhyggelig med at udarbejde sine formålsbeskrivelser og gerne teste dem af på helt udeforstående. Det nytter ikke noget, at teksterne er udarbejdet af eksperter, der sidder med området til dagligt.”

I forhold til, at et samtykke skal være specifikt og utvetydigt, bør det bemærkes, at CNIL i afgørelsen giver udtryk for en opfattelse af, at brugere skal tilbydes muligheden for at samtykke til hvert enkelt individuelle formål (opt-in ikke opt-out), inden de tilbydes muligheden for at acceptere eller afvise alle formål på én gang, og at muligheden for at vælge mellem forskellige formål ikke må placeres på undersider, som fx et link til ”flere indstillinger”. Det sidste er en meget stram tolkning af GDPR, som ikke er set andre steder før nu.

Man skal tage reglerne seriøst
Bødestørrelsen på € 50 mio. er af CNIL blandt andet vurderet ved, at Googles tjenester er vidt udbredt, at omfanget af data er omfattende og at der er tale om overtrædelser af fundamentale principper i GDPR – gennemsigtighed, oplysningspligten og samtykke.

”Her skal man måske drage den største lære af, at CNIL vælger at udstikke en bøde og ikke blot en advarsel i første omgang, samt at bøden er rekordstor i sammenhæng med databeskyttelse. Der er altså tale om en klar udmelding fra tilsynet om, at man skal tage reglerne seriøst. Om denne tilgang er særlig over for Google, eller om man kan forvente en tilsvarende hård linje over for mindre aktører og i andre lande, er dog endnu uklart,” siger Allan Sørensen.

Den oprindelige klage fra NOYB indeholdte også et afsnit om, hvorvidt samtykket var tilstrækkeligt frivilligt, når det var en betingelse for at kunne anvende Googles tjenester. Det spørgsmål har CNIL valgt, ikke at forholde sig til.

Det understreges, at denne artikel ikke bør læses som juridisk rådgivning og på ingen måde er udtømmende i forhold til de krav, der gælder for et gyldigt samtykke. Artiklen er udtryk for Danske Mediers udvalgte observationer i  CNIL’s afgørelse. Hertil skal det bemærkes, at der er tale om en afgørelse af en konkret sag, som allerede er anket, hvorfor man skal være påpasselig med at generalisere afgørelsen.

Mest læste

Læs også

Gå-hjem-møde om afslørende journalistik

Danske Medier inviterer medlemmerne til gå-hjem-møde 30. september. Her vil journalisterne Asger Havstein Eriksen og Morten Halskov fra Fagbladet 3F fortælle om arbejdet med afsløringerne af slumlejre i Padborg, der hviler på et tungt og imponerende stykke gravearbejde.

Årets nomineringer til Prix Radio

Her er de nominerede til Prix Radio 2019 i kategorierne: Årets podcast, Årets nyskabelse, Årets dokumentar og dokumentariske feature, Årets Radioprogram, Årets Morgenflade, Årets musikprogram, Årets vært/værtspar, Årets Interview – Den gode samtale, Årets Interview – Den kritiske, Årets nyheds- / Aktualitets-program, Årets radiopersonlighed, Årets Lytterinddragelse, Årets øjeblik, Årets satire, Årets kommercielle samarbejde og Årets promotion, Årets reklame, Årets event.

Redaktørernes Dag – nu med samtalesaloner og særudgave af Presselogen

Den årlige konference for redaktører ”Redaktørernes Dag 2019” afholdes i år 12. november på Kvægtorvet ved TV 2 i Odense. Konferencen er en ny og fokuseret udgave af mediebranchens traditionsrige fætter-kusine-fest i Svendborg, Redaktørernes Døgn. I år bliver klog konstruktivitet og kærlig kollegialitet konferencens bærende søjler.

Velkommen til Danske Mediers Nyhedsbreve

Modtag Aktuelt fra Danske Medier.

Danske Mediers nyhedsbreve giver dig aktuelt indhold fra og viden om mediebranchen. Samtidig indeholder nyhedsbrevene holdninger og nyt fra Danske Medier – herunder om events, gå-hjem-møder og kurser. Nyhedsbrevet Danske Medier kan herudover indeholde annoncer fra interessenter i mediebranchen. 

Danske Medier udkommer med følgende nyhedsbreve: 

  • Nyhedsbrevet Danske Medier udkommer hver fredag i ulige uger, undtagen i ferieperioder.
  • Nyhedsbrevet Digitalt udkommer hver fredag i lige uger, undtagen i ferieperioder.
  • Nyhedsbrevene Radio, Ugeaviser og Research, udkommer flere gange årligt, når der er relevant og aktuelt indhold.

Ved tilmelding til nyhedsbrevet samtykker du til, at Danske Medier må sende dig de valgte nyhedsbreve via e-mail. Du kan til enhver tid trække samtykket tilbage. Afmelding kan ske ved at klikke på linket i bunden af nyhedsbrevene eller skrive til mail@danskemedier.dk. Du kan her læse mere om, hvordan vi håndterer dine personoplysninger.

Vælg nyhedsbrev(e)