Tilsynsmyndighederne afviser klage over Googles standardindstillinger

Datatilsynet har afvist at behandle en borgers klage mod Google med begrundelsen om, at behandlingen kræver for mange ressourcer. Sagen angik, om Googles måde at indsamle samtykke til behandling af personoplysninger er i strid med databeskyttelsesforordningen, eller om brugerne nemt selv kan forhindre at give uønsket samtykke. Bliv klogere på sagen i denne nyhed.

En borger var utilfreds med måden, hvorpå Google indsamlede samtykke til behandling af personoplysninger, idet samtykkeerklæringen var udfyldt på forhånd med flueben ved en række indstillinger i Googles tjenester. De pågældende standardindstillinger indebar blandt andet, at brugeren automatisk samtykkede til, at Google måtte anvende historik på søgemaskinen til at tilbyde mere relevante resultater og anbefalinger og til at vise visse personlige reklamer til brugeren.

Efter borgerens opfattelse var der tale om en overtrædelse af databeskyttelsesforordningens artikel 25, stk. 2. Bestemmelsen forpligter den dataansvarlige til at opbygge standardindstillinger således, at der ikke bliver indsamlet flere personoplysninger end dem, der er nødvendige til at opfylde formålet med behandlingen.

Datatilsynet har endnu ikke afsagt en afgørelse vedrørende overtrædelse af databeskyttelsesforordningens artikel 25. I Datatilsynets vejledning vedrørende databeskyttelse gennem design og standardindstillinger fremgår det dog, at bestemmelsen indebærer et princip om databeskyttelse gennem standardindstillinger, hvorefter den dataansvarlige skal sikre, at “de indstillingsmuligheder, som systemer indeholder, som standard indstilles på en måde, der understøtter forordningens krav i artikel 25, stk. 2 om bl.a. formålsspecifik behandling af personoplysninger”. Det betyder, at konfigurérbare muligheder i standardindstillingerne, der vedrører indsamling af personoplysninger, skal indstilles til det minimalt nødvendige for behandlingen.

Læs vejledningen fra Datatilsynet

Tilsynsmyndigheden begrundede afvisningen med ressourcehensyn, samt at det ville være uforholdsmæssigt at forfølge klagen, da brugeren selv kunne fjerne fluebenet. Afvisningen af klagen skyldes muligvis også, at Datatilsynet har vurderet, at de af Google forhåndsafkrydsede felter var udtryk for en standardindstilling, der var i overensstemmelse med princippet om formålsspecifik behandling, og altså var indstillet til det minimalt nødvendige for behandlingen.

Det svenske datatilsyn, Datainspektionen, har afvist at behandle en lignende klage mod Google om standardindstillinger, der gav samtykke til, at Google kunne bruge lokationsdata fra svenske borgere med Android-telefoner. Myndighedens begrundelse adskilte sig dog fra den danske begrundelse, idet Datainspektionen i stedet har oplyst, at man vil over-lade behandlingen af klagen til det irske datatilsyn, da Googles europæiske hovedkvarter ligger i Irland.

Læs Datainspektionens pressemeddelse


Kromann Reumerts bemærkninger

En ny afgørelse fra EU-Domstolen tyder på, at klageren snarere bør have påberåbt sig forordningens artikel 4 om kravene til et gyldigt samtykke. Den 1. oktober 2019 traf EU-Domstolen en præjudiciel afgørelse, hvori det blev fastslået, at et forudafkrydset felt ikke udgør et gyldigt samtykke til internetsiders brug af cookies. Et gyldigt indhentet samtykke forudsætter nemlig en aktiv handling fra brugerens side.

Læs vores tidligere nyhed om brug af cookies på internetsider

På baggrund heraf må det forventes, at Datatilsynet ikke fremover kan begrunde en afvisning med, at brugeren selv kan fjerne fluebenet.

 

 

Læs flere nyheder her

Artiklen er forfattet af: