Det var under gårdagen som Frankrikes motsvarighet till datainspektionen (CNIL) slog fast att Google skulle betala 512 miljoner kronor i sanktion. Sökjätten har inte varit tydlig nog i information om behandlingen av användarnas personuppgifter.
– CNIL i Frankrike har helt enkelt satt ner foten och markerat att jättar som Google påverkas av GDPR och kan fällas, säger Julia Karlsson, GDPR specialist på Secify. I det här fallet har Google misslyckats med att vara tydlig i hur man använder de registrerades personuppgifter, vilket för övrigt är ett av lagens viktigaste syften, fortsätter hon.
Sanktionen grundar sig i två huvudpunkter
– Först och främst har Google inte uppfyllt GDPR:s krav på transparens vid förmedling av information till deras användare, rörande inhämtning och behandling av personuppgifter, säger Tobias Granlund, IT-Säkerhetsjurist på Secify. Google anses heller inte ha uppnått de krav som ställs på information och specificering av syfte, vid inhämtande av samtycke. Den nuvarande formuleringen för samtycket innebär i praktiken att varje individuell tjänst från Google, medför att en person tillåter att sina personuppgifter behandlas av Googles samtliga tjänster, vilket inte är förenligt med GDPR, fortsätter han.
Datainspektionen i Sverige har efter klagomål från bland annat Sveriges Konsumenter, nu börjat granska Google i ett annat ärende. I det här fallet handlar det om hur Google samlar in platsdata från Google Android telefoner.
– Detta innebär ju ett ytterligare slag mot Googles redan försvagade trovärdighet, särskilt i anslutning till gårdagens sanktionsbesked. Orsaken till att platsdata tas på så stort allvar är att dessa uppgifter möjliggör för företag som Google att genom användarens position, kartlägga bland annat en persons levnadsätt, sociala förhållanden, religiös inriktning och hälsoinformation. Denna möjlighet till insyn i människors privatliv sätter ett ytterligare ansvar på företag som Google och dess tjänster, säger Granlund.
Samma påföljd är tänkbar
– Google kan absolut få en sträng påföljd i Sverige som i Frankrike om datainspektionen finner att Googles insamling av platsdata bryter mot GDPR, säger Karlsson
Hade kunnat undvikas
– Google har väldigt många användare och innehar en viktig roll i vårt digitala samhälle, men detta innebär även att de har ett ännu större ansvar att vara transparanta gentemot sina användare. Den viktigaste lärdomen är att man som företag anpassar sin hantering av personuppgifter med användaren i ständig åtanke, säger Granlund