Den store skrekken
Publisert: 20.07.2019
Av de mest profilerte GDPR sakene det siste året finner vi det franske datatilsynets (CNIL) gebyr på 50 millioner Euro til Google. Et beløp som skal betales av søkemotorgigantens amerikanske morselskap. Nylig fikk også British Airways føle pisken med ileggelse av bot på et gigantbeløp tilsvarende neste 2 milliarder NOK.
Av: Torger Bjørnstad
Ifølge det franske datatilsynet har Google gjennomført noen tiltak etter at personvernforordningen GDPR ble innført, men CNIL slår fast at Google gir brukerne altfor dårlig informasjon og at dette gjør det vanskelig for den enkelte å forstå hvor massiv og invaderende selskapets informasjonsinnsamling er.
Men tilsynet mener at søkemotorgiganten likevel bryter GDPR-lovgivningen både når det gjelder åpenhet og transparens overfor brukere og når selskapet innhenter brukeres samtykke for å innhente data så Google kan personalisere annonser som vises til brukerne.
Ikke tilstrekkelig for samtykke
Tilsynet mener nemlig at samtykkeinnhentingen for det første ikke gir nok informasjon om innhenting av data, og for det andre at det innhentede samtykket hverken er «spesifikt» eller «entydig».
– Dett er første gang at CNIL tar i bruk de nye sanksjonsmulighetene som er gitt av GDPR. Beløpet og offentliggjøringen av boten er begrunnet i alvorlighetsgraden av overtrampene. Videre skriver tilsynet at GDPR-bruddene fremdeles pågår, og at boten derfor ikke nødvendigvis er et engangstilfelle.
Nylig annonserte det irske datatilsynet at de vil granske Google. Datatilsynet i Storbritannia har gransket datameglere i forbindelse med innsamling og videresalg av personopplysninger i valgkampsammenheng.
Vil studere beslutningen
Google kommenterte saken slik overfor DN:
– Folk forventer en høy grad av innsyn og kontrollverktøy fra oss. Vi tar dette på dypt alvor, og jobber for å innfri disse forventningene og GDPRs krav til samtykke. Vi studerer nå denne beslutningen for å avgjøre hva våre neste steg blir.
Større enn Facebook-boten
I fjor kunne flyselskapet British Airways opplyse om at et sikkerhetsbrudd hadde ført til at kredittkortdetaljer for rundt 500.000 kunder hadde kommet på avveie. Hackerne klarte ikke å få tilgang til reisedetaljer og passinformasjon, men både persondata og kortinformasjon ble kompromittert.
Rekord-bot
Nå har Storbritannias informasjonskommissærs kontor (ICO) gjort det klart at British Airways må betale 1,975 milliarder kroner i bot for brudd på GDPR-lovgivningen. Boten tilsvarer 1,5 prosent av flyselskapets totale omsetning.
ICO mener hendelsen var mulig på grunn av «svake sikkerhetsmekanismer».
British Airways reagerte raskt på den kriminelle handlingen som stjal kundedata.
– Vi har ikke funnet bevis for svindel eller svindelaktivitet på kontoer som kan knyttes til angrepet, uttalte administrerende direktør og styreformann i British Airways Alex Cruz til BBC.
Flyselskapet har anket dommen.
Det vil ta tid
Datatilsynet i Norge erkjenner at det å få annonseindustrien til å etterleve kravene i personvernforordningen vil ta tid og kreve store ressurser av datatilsynsmyndighetene i Europa. Hvis datatilsynene klarer å koordinere seg godt, kan imidlertid GDPR være med på å rette opp i den skjeve maktfordelingen på internett.
Innføringen av personvernforordningen her i Norge i juli i fjor, var ikke en deadline for å få alt på plass. Det var heller slutten på begynnelsen av arbeidet med å sørge for at nye løsninger og systemer utvikles og brukes på en måte som ivaretar folks personvern. Det er mange ting å jobbe videre med når GDPR nå går inn i sitt andre leveår. Det finnes for eksempel fortsatt mange dårlig utformede samtykker der ute som gjør det utfordrende for enkeltindividet å ta informerte valg, uttaler Datatilsynet.
Kilder: Datatilsynet, BBC, IT-magasinet og Dagen Næringsliv.