skip to Main Content

Hva innebærer Google-boten for norske bedrifter?

Av Marte S. Hatling og Werner Frimanslund
25 januar 2019
Hva innebærer Google-boten for norske bedrifter?

Nyheten om den historiske GDPR-boten har spredd seg. Det franske datatilsynet, CNIL (Comission Nationale de I’Informatique et des Libertés), ila 21. januar 2019 Google Frankrike  en bot på 50 millioner Euro for brudd på GDPR. Manglende transparens, utilstrekkelig informasjon og mangel på tilstrekkelig gyldig samtykke angående bruk av personrettet markedsføring, er bakgrunnen for avgjørelsen til CNIL.

Denne avgjørelsen er ikke overraskende og vi har lenge kunnet forutse et slikt utfall. Det har tradisjonelt vært stor grad av selvregulering i IT-bransjen, og dette har smittet over til den samlede teknologibransjen. Selv om lovgivningen søker å motvirke dette, har store globale aktører likevel omfattende samtykkeerklæringer i sine brukeravtaler som gjør at de i realiteten bestemmer over det som egentlig er brukernes og bedriftenes data. Tolkingsrommet i GDPR utnyttes til skade for individene.

Av denne grunn har vi lenge rådet våre klienter til å være forsiktige med bruken av Googles tjenester for deling av personopplysninger, spesielt sensitive personopplysninger. Problemet er nettopp at man ikke vet hvor personopplysningene havner og hvordan de brukes. Databehandlere og behandlingsansvarlige kan ikke fraskrive seg et hvert ansvar ved å bruke tjenestene til Google.

Dersom avgjørelsen fra CNIL blir stående, blir den retningsgivende for andre bedrifter. Det franske datatilsynet legger seg her på en linje som kan følges opp av det norske datatilsynet og som følgelig kan få konsekvenser for norske bedrifter som bruker Googles tjenester eller ikke oppfyller kravene til transparens, informasjon og samtykke. Har norske bedrifter grunn til å være bekymret?

Vår oppfatning er at det fortsatt skal en del til før bedrifter bøtelegges. Det er de åpenbare bruddene på GDPR som i første omgang sanksjoneres. Vi erfarer en viss problematikk knyttet til informasjon som kan være av kommersiell betydning. For å unngå å miste kunder eller brukere, tilsløres informasjon om bruk og behandling av personopplysninger gjennom generelle formuleringer.

Hvordan takle dette?

Spørsmålet er hvordan din bedrift kan innhente samtykke eller avgi informasjon om behandling av personopplysninger uten å gå i Google-fellen? For å besvare dette spørsmålet, kan man videre stille seg spørsmålet; er behandlingen av personopplysningene informasjon som individet ville forvente å få kjennskap til? I tilfelle ja, bør praksisen endres.

Vårt råd er å være så transparente som mulig om bruken av persondata. Dersom man av ulike grunner ikke kan informere om egen praksis når det gjelder bruk av persondata, bør man vurdere å endre praksis.

 

Dersom du eller din har bedrift har spørsmål knyttet til GDPR, ta gjerne kontakt.

 

Av Marte S. Hatling og Werner Frimanslund

Les mer om oss...

Werner Frimanslund

Advokat & Partner

Werner Frimanslund hånd illustreret - visitkort, advokat, ejuris advokatfirma, oslo, www.ejuris.no

Marte S. Hatling

Advokatfullmektig

Marte S. Hatling hånd illustreret - visitkort, advokat, ejuris advokatfirma, oslo,

Ejuris

Advokatfirmaet

Advokatfirmaet Ejuris illustration med hender
Tilbake til forsiden på Ejuris Advokatfirma sin forside illustration

Følg oss på sosiale medier

Velkommen til Ejuris

Følg oss på de sosiale medier

close-link
Scroll Up