490 millioner i GDPR-bot for Google i Frankrike

Av Pål Karlsen 7. mar 2019

490 millioner i GDPR-bot for Google i FrankrikeDet franske datatilsynet har satt en foreløpig rekord for bøtelegging av brudd på GDPR-regelverket. Det amerikanske søkeselskapet Google har fått en bot på 50 millioner euro, eller om lag 490 millioner kroner – for brudd personvernreglene nedfelt i EUs personvernforordning (GDPR). Boten skyldes manglende åpenhet ved innhenting av samtykke fra brukerne når de samler inn personopplysninger om dem.

Sammenliknet med Norge hvor Datatilsynet har varslet en GDPR-bot for Bergen kommune på 1,6 millioner kroner, er det svimlende beløp det er snakk om i Frankrike. Det skyldes selvsagt omfanget av Googles virksomhet og at konsekvensene av brudd på personvernreglene dermed blir store. Men det er samtidig en påminnelse om hvor alvorlig det ses på at det nye GDPR-regelverket ikke følges.

Brudd på personopplysningssikkerheten

Den norske og den franske boten viser også at det er mange typer krav GDPR stiller, som skal oppfylles. Bergen kommune fikk varsel om overtredelsesgebyr, som er den formelle betegnelsen, fordi de ikke hadde sikret personopplysningene som finnes i grunnskolens datasystemer godt nok. Det viste seg å være mulig ved innlogging å få tilgang til brukeres navn, passord, fødselsnummer, adresse, skoletilhørighet og skoleklasse for 35.000 brukere.

Brudd på samtykkereglene

Google har fått kjempeboten i Frankrike for brudd på regelverket om samtykke. De har utarbeidet interne rutiner for innhenting av samtykke. Disse rutinene mener tilsynet ikke er gode nok. Google har ifølge dem ikke gitt god nok informasjon og samtykket er ikke spesifikt eller entydig nok.

Det kreves at Google får på plass et internt regelverk i overensstemmelse med GDPR-reglene. Hvis ikke kan nye bøter komme. 

Informasjonsplikt

Etter at GDPR er blitt en del av personopplysningsloven, er det felles personvernregler i Europa. Hendelser i andre land er derfor interessante også i vårt land. Det er her snakk om fersk lovgivning med liten rettspraksis. Tolkning av lovverket i andre europeiske land kan derfor bli førende for tolkninger i Norge. Kjempeboten viser tydelig at Google og det franske datatilsynet har ulik tolkning om sentrale GDPR-krav.

Det franske datatilsynet nevner i forbindelse med saken tre helt sentrale prinsipper i GDPR, som må følges. Det er prinsippene om samtykke, åpenhet og informasjon. Av dette følger det at virksomheter har en omfattende informasjonsplikt. Det vil si at de som skal gi samtykke, må få informasjon om hvilke personopplysninger som samles inn, hvordan de samles inn, hvordan de behandles og hva de skal brukes til. De skal også informeres om retten til å bli slettet og hvordan sletting skjer når samtykket trekkes tilbake, eller det av andre årsaker ikke lenger er grunnlag for å ha opplysningene lagret. Denne informasjonsplikten er leders ansvar.  

Sikker makulering

Et annet grunnleggende og viktig krav i GDPR er at personopplysninger ikke skal komme på avveie og bli misbrukt av uvedkommende. For å oppfylle dette kravet, må sletting av personopplysningene skje på en sikker måte. Norsk Makulering kan tilby en slik sikker sletting ved makulering av data både på digitale lagringsmedier og i papirdokumenter. Vår metode er kverning. Etter kverning blir det så små biter at det ikke er mulig å gjenskape det sensitive innholdet. Vi legger vekt på sikkerhet i alle ledd i makuleringsprosessen vår.

Temaer: sikker makulering, GDPR, informasjonsplikt


Pål Karlsen's photo

Av: Pål Karlsen

Pål karlsen har jobbet som daglig leder i Norsk Makulering siden august 2016. Han har erfaring fra reklamebransjen hvor han var eier og daglig leder i Selskapet Markèr fra 1990 – 2000. Etter det har han vært 13 år i mediebransjen – både som adm. direktør i lokalavisen Sarpsborg Arbeiderblad, og som mediehusleder for (den gang) A-pressens aviser i Nedre Glomma og Halden. Fra 2013 – 2016 jobbet han for Ishockeyklubben Sparta Sarpsborg som daglig leder.

Epost

Kommentarer