Læren fra det franske datatilsyns Google-afgørelse

Det er næppe gået mange i branchens opmærksomhed forbi, at det franske datatilsyn, CNIL, i sidste uge udstedte en afgørelse inkl. en bøde til Google på € 50 mio. for utilstrækkeligt samtykke til personaliseret annoncering. Det har sat gang i spekulationer om potentielle konsekvenser for det øvrige digitale annonceøkosystem.

”Afgørelsen indeholder en masse interessant information om, hvad CNIL har valgt at lægge vægt på, som formentlig vil inspirere de øvrige europæiske datatilsyn, der har en erklæret målsætning om en ensartet implementering på tværs af EU. Det er værd at notere sig, at det franske datatilsyn lægger op til en hidtil uset stram udlægning af GDPR, men samtidig ikke tager stilling til spørgsmålet, om man må kræve samtykke for at give adgang til indhold og tjenester,” udtaler Allan Sørensen, digital chef i Danske Medier.

Derfor er der god grund til at se nærmere på følgende elementer i afgørelsen: 1) informationen skal være let tilgængelig; 2) den skal være klar og fyldestgørende, 3) samtykket skal være specifikt og 4) det må ikke være tvetydigt.

Informationen skal være let tilgængelig, klar og fyldestgørende
I forbindelse med tilgængelighed anfægter CNIL i den konkrete sag, at informationerne er spredt over 5-6 forskellige sider. Heraf kan vi udlede, at det i forbindelse med indhentning af samtykke er en god idé at holde informationer samlet på ét sted, eller i hvert fald at samle alle centrale dele og linke til mere udførlige specifikationer, såfremt disse qua deres omfang modvirker, at informationen også skal være overskuelig og nem at forstå.

Informationen vurderes også som uklar og ikke fyldestgørende, hvilket medfører, at brugerne ikke er i stand til at forstå omfanget af databehandlingen, som anses for særdeles massiv og påtrængende, fordi den omfatter ca. 20 forskellige tjenester samt i kraft af kombinationen af mængden og indholdet i data.

”Grunden til, at brugerne ikke er i stand til at forstå omfanget af databehandlingen, ifølge CNIL, er den mangelfulde og overfladiske beskrivelse af formål og kategorier af data, der behandles,” siger Allan Sørensen.

Specifikt samtykke – ikke tvetydigt
Google er verdens største databehandler, hvilket kan medvirke til at andre aktører fremstår små i sammenligning, men der er faktisk ikke klarhed om hvad datatilsynet i Frankrig anser som mange tjenester og meget data. Det er dog vigtigt at være opmærksom på, at volumen af data spiller ind, og at når der er tale om mere end én tjeneste, så skal man være helt specifik om hvilke tjenester, der er tale om.

”Følsomheden af data kan vi bedre forholde os til, idet GDPR konkret lister information om race, etnicitet, politiske observans, religion/filosofisk holdning, fagforeningsmedlemskab, genetik, biometri til identificering, helbredsdata samt information om sexliv og seksuel orientering som følsomme data,” siger Allan Sørensen og understreger, at information om, hvilke websites man besøger og hvor man fysisk opholder sig, i visse sammenhænge vil omfatte sådanne følsomme informationer.

Husk lovgrundlaget for behandling
CNIL påpeger, at det i Googles tilfælde er uklart, at målretningen af annoncering sker på grundlag af samtykke og ikke legitim interesse, samt at der i visse tilfælde ikke er anført, hvor længe data opbevares.

En afgørelse, der kan tjene som god påmindelse for annonceaktørerne – også i Danmark:

”Afgørelsen understreger, hvor væsentligt det er at skrive helt tydeligt hvilket lovgrundlag, der anvendes til databehandlingen og hvilke saglige kriterier, der anvendes til at afgøre, hvor længe data opbevares. Her vil jeg minde om, at når personoplysninger ikke længere er nødvendige til det formål de er indsamlet til, skal de som udgangspunkt slettes eller anonymiseres,” siger Allan Sørensen.

Det kritiseres i afgørelsen fra det franske datatilsyn også, at Googles formål med behandlingen er for generelt og uklart beskrevet. Det er ikke nok at skrive, at formålet er målrettet annoncering, sikkerhed og at forbedre tjenester. Det samme gælder for beskrivelse af kategorier af data.

Kritikken er meget håndgribelig, men sværere at imødekomme i praksis, anerkender Allan Sørensen:

”På den ene side skal man være præcis omkring beskrivelse af formål og data, på den anden side skal teksten også være klar og forstålig for brugere, der ikke kan antages at have forudsætninger til at kunne forstå betydningen af fagtermer som fx IP-numre, geo-lokation, look-alikes, cookies, adfærdsbaseret målretning etc. Det kan med andre ord ikke understreges nok, at man skal være meget omhyggelig med at udarbejde sine formålsbeskrivelser og gerne teste dem af på helt udeforstående. Det nytter ikke noget, at teksterne er udarbejdet af eksperter, der sidder med området til dagligt.”

I forhold til, at et samtykke skal være specifikt og utvetydigt, bør det bemærkes, at CNIL i afgørelsen giver udtryk for en opfattelse af, at brugere skal tilbydes muligheden for at samtykke til hvert enkelt individuelle formål (opt-in ikke opt-out), inden de tilbydes muligheden for at acceptere eller afvise alle formål på én gang, og at muligheden for at vælge mellem forskellige formål ikke må placeres på undersider, som fx et link til ”flere indstillinger”. Det sidste er en meget stram tolkning af GDPR, som ikke er set andre steder før nu.

Man skal tage reglerne seriøst
Bødestørrelsen på € 50 mio. er af CNIL blandt andet vurderet ved, at Googles tjenester er vidt udbredt, at omfanget af data er omfattende og at der er tale om overtrædelser af fundamentale principper i GDPR – gennemsigtighed, oplysningspligten og samtykke.

”Her skal man måske drage den største lære af, at CNIL vælger at udstikke en bøde og ikke blot en advarsel i første omgang, samt at bøden er rekordstor i sammenhæng med databeskyttelse. Der er altså tale om en klar udmelding fra tilsynet om, at man skal tage reglerne seriøst. Om denne tilgang er særlig over for Google, eller om man kan forvente en tilsvarende hård linje over for mindre aktører og i andre lande, er dog endnu uklart,” siger Allan Sørensen.

Den oprindelige klage fra NOYB indeholdte også et afsnit om, hvorvidt samtykket var tilstrækkeligt frivilligt, når det var en betingelse for at kunne anvende Googles tjenester. Det spørgsmål har CNIL valgt, ikke at forholde sig til.

Det understreges, at denne artikel ikke bør læses som juridisk rådgivning og på ingen måde er udtømmende i forhold til de krav, der gælder for et gyldigt samtykke. Artiklen er udtryk for Danske Mediers udvalgte observationer i  CNIL’s afgørelse. Hertil skal det bemærkes, at der er tale om en afgørelse af en konkret sag, som allerede er anket, hvorfor man skal være påpasselig med at generalisere afgørelsen.

Læs også

Executive Assistant til Danske Medier

Er du passioneret for ledelses- og forandringsprocesser? Har du lyst til at blive en del af en organisation i udvikling midt i den politiske samtale i Danmark? Har du flair for koordinering og processtyring? Så kunne jobbet som executive assistant til den adm. direktør i Danske Medier måske være et næste skridt i din karriere.

Danske Mediers høringssvar til ny dansk frekvensstrategi

Danske Medier har med interesse konstateret, den igangværende høring om udkast til ny dansk frekvens strategi. Danske Medier undrer sig over, at foreningen ikke er på høringslisten, men går ud fra at foreningens bemærkninger vil blive inddraget i det videre arbejde.

Da norsk lokalmedie ignorerede antallet af klik, strømmede abonnenterne til

Da Janne Rygh og hendes kolleger begyndte det analysearbejde, som i første omgang endte med 12.000 kategoriserede – og manuelt indtastede – artikler i et excel-ark, havde Amedia næsten ingen rent digitale abonnenter. Tværtimod var de loyale læsere næsten alle sammen bundet op på printavisen. I dag, otte år senere, er halvdelen af abonnenterne rent digitale.

Velkommen til Danske Mediers Nyhedsbrev

Modtag AKTUELT fra Danske Medier

Danske Mediers nyhedsbrev giver dig aktuelt indhold fra- og viden om mediebranchen. Samtidig indeholder nyhedsbrevene holdninger og nyt fra Danske Medier – herunder en fast digital klumme og information om events og kurser. 

Nyhedsbrevet AKTUELT udkommer hver fredag i ulige uger, undtagen i ferieperioder.

Ved tilmelding til nyhedsbrevet samtykker du til, at Danske Medier må sende dig de valgte nyhedsbreve via e-mail. Du kan til enhver tid trække samtykket tilbage. Afmelding kan ske ved at klikke på linket i bunden af nyhedsbrevene eller skrive til  mail@danskemedier.dk. Du kan her læse mere om, hvordan vi håndterer dine personoplysninger.

Vælg nyhedsbrev