Manglende åpenhet og informasjon
Ifølge CNIL var informasjonen om hvordan Google behandlet personopplysninger ikke tilstrekkelig tilgjengelig for brukere. CNIL pekte på at brukere måtte klikke seg igjennom 5 til 6 ulike sider for å få komplett informasjon om hvordan data ble innsamlet for profilering og for geografisk sporing. Dette gjorde at det var vanskelig for brukere å forstå hvordan data ble innsamlet og brukt.
Det ble også påpekt at informasjonen var for generisk og ikke tilstrekkelig “klar” eller” forståelig” til at brukere kunne forstå omfanget av behandlingsaktivitetene, hvilke kategorier av personopplysninger som ble samlet inn, eller de ulike behandlingsformålene til Google. Den manglende informasjonen ble sett på som ekstra alvorlig som følge av det store antallet av Google sine tjenester som samler inn, analyserer og sammenstiller personopplysninger.
Manglende behandlingsgrunnlag
CNIL kom også til at samtykkene Google benyttet som behandlingsgrunnlag for målrettet reklame ikke var gyldig innhentet. Samtykkene Google hadde innhentet ga ikke brukerne tilstrekkelig informasjon om omfanget av behandlingen eller antallet tjenester involvert. Samtykkene oppfylte heller ikke kravene til å være “spesifikke” eller “utvetydige”. CNIL poengterte at samtykke skal gis i form av en tydelig bekreftelse, noe som utelukker forhåndsavkryssede bokser for målrettet reklame. For å lage en konto måtte brukere også avkrysse på Google sine generelle brukervilkår og personvernerklæring. CNIL poengterte at samtykke er bare spesifikt hvis det er gitt spesifikt for hvert enkelt behandlingsformål.
Det er viktig å merke seg at CNIL ikke tok stilling til om den aktuelle behandlingen av personopplysninger måtte baseres på samtykke. Det kan derfor ikke utelukkes at også andre rettslige grunnlag, f.eks. berettiget interesse, etter forholdene kan være anvendelige.
Omgåelse av one stop shop-mekanismen?
One-stop-shop mekanismen i GDPR innebærer at et selskap med virksomhet i flere land som hovedregel kun skal måtte forholde seg til tilsynsmyndigheten i det landet hovedvirksomheten ligger. CNIL mente at Google sitt hovedkvarter i Irland ikke kunne anses som Google “hovedvirksomhet” i henhold til GDPR, da det irske selskapet ikke hadde tilstrekkelig innflytelse på tjenestene som det var klaget på. CNIL anså seg altså kompetent til å handle selvstendig overfor Google LLC (USA) uten å samarbeide med andre berørte tilsynsmyndigheter. Det betyr i så fall at det ikke kan utelukkes at andre tilsynsmyndigheter også vil rette sanksjoner mot Google LLC for tilsvarende brudd på forordningen.
Ubesvarte spørsmål
CNIL tok ikke stilling til om samtykkene Google innhenter er å anse som frivillig avgitt. Flere av behandlingsaktivitetene er gjort obligatoriske for at brukere skal kunne opprette konto hos Google. Dette var ett av hovedspørsmålene LQDN ønsket å få avklart, og organisasjonen har uttalt at de håper dette blir behandlet i de pågående sakene om Youtube, Google Search og Gmail.
Avgjørelsen avklarte heller ikke i hvilken grad virksomheter som driver med målrettet reklame bør benytte seg av samtykke eller berettiget interesse som behandlingsgrunnlag. Selv om Google anførte at samtykke var deres behandlingsgrunnlag for behandling av personopplysninger for målrettet reklame, er det mange andre aktører i bransjen som benytter berettigede interesser i henhold til artikkel 6 (1) f) som behandlingsgrunnlag. En innstramming av kravene til behandlingsgrunnlag for målrettet reklame vil kunne få betydelige konsekvenser for annonseindustrien.
Flere avgjørelser og avklaringer i vente?
Google har uttalt at de vil anke avgjørelsen, så siste ord er ikke sagt i denne saken. Etterforskningen fra CNIL startet som følge av klager levert henholdsvis 25. og 28. mai 2018 av organisasjonene None Of Your Business (NOYB) og La Quadrature Du Net (LQDN) på vegne av tusenvis av brukere. Dette ble gjort i samsvar med GDPR artikkel 80 som gjør det mulig for ideelle organisasjoner å levere inn klager på vegne av enkeltindivider.
Google var ikke det eneste selskapet organisasjonene klaget på. Også Facebook, Amazon, Microsoft og Apple fikk klager rettet mot seg av NOYB og LQDN, men disse sakene er enda ikke avgjort. Avgjørelsen til CNIL omfatter kun Google og er begrenset til operativsystemet Android og hvordan behandling av personopplysninger blir presentert i personvernerklæringen til Google når en bruker setter opp en Google-konto i dette operativsystemet. NOYB og LQDN leverte også inn klager på Google sin bruk av persontilpassede annonser via tjenestene Youtube, Google Search og Gmail. Utfallet av disse klagene er ikke klart enda.