Googles GDPR bot på 50 millioner Euro - Hva kan vi lære?

Google ble klaget inn til det franske datatilsynet (CNIL) av organisasjonene None of your Business («NOYB») og La Quadrature du Net («LQDN»). Avgjørelsen gjaldt forespørsler som brukere av Googles sitt operativsystem Android får ved oppsett av sin telefon. CNIL kom til at Personvernforordningen (heretter GDPR) sine regler om åpenhet og samtykke var brutt. Disse reglene er sentrale for mange virksomheter.

Det foreløpige resultatet er en bot på 50 millioner Euro, dette utgjør omtrent 488 millioner kroner.

Hvordan forklarer vi omfattende Big-Data bruk til sluttbrukeren

For det første fokuserer CNIL på at Google ikke har vært åpne nok om sin behandling av personopplysninger. Krav til åpenhet er et grunnleggende prinsipp for alle som behandler personopplysninger (GDPR art 5.1.a).

Åpenhet går ut på at informasjonen til den registrerte er blant annet;

«kortfattet, forståelig, lett tilgjengelig, og preget av klart og enkelt språk» (GDPR art 12.1.).

Når det gjelder avansert teknologi som Big Data og maskinlæring kan det være utfordrende å gi informasjon preget av åpenhet. Balansegangen kan beskrives på flere måter.

Gi informasjon kortfattet, men uten at det går på bekostning av oversikten

Informasjonen skal være «kortfattet» og samtidig «lett tilgjengelig». Å imøtekomme begge hensynene samtidig kan være utfordrende. En mye brukt løsning som også er anbefalt er anbefalt av europeiske tilsynsmyndigheter (Personvernrådet) er å presentere informasjonen i flere lag. Det innebærer at vi starter i et oversiktsdokument som er kortfattet, også kan brukeren klikke på teksten for å dermed få opp flere lag med detaljer.

Google har tilsynelatende presentert informasjon i flere lag, allikevel bøtelegges Google for å ikke presentere informasjonen «lett tilgjengelig». Google avgjørelsen illustrerer en ytterligere nyanse for hva som er «lett tilgjengelig» når det gjelder strukturering av personverndokumentene. Tilsynet går konkret til verks og finner eksempler på at brukeren må klikke seg frem opp til 5-6 ganger for å få full oversikt over formål med behandlingen, lagringstid, og kategorier av personopplysninger. Tilsynet vurderer dette som utilstrekkelig. Det vi kan lære av dette er at struktureringen av dokumentet bør gjøres slik at alle formål, lagringstid og kategorier av personopplysninger er på den første siden som møter sluttbrukeren.

Dette betyr at spørsmålet om hvorfor behandlingen av personopplysninger gjøres bør kunne svares på, kun ved å se det første dokumentet som møter sluttbrukeren. I tillegg bør lagringstiden angis som et tall om mulig, og kategorier av personopplysninger må presenteres.

Hvordan forklarer vi Big Data og maskinlæring teknologi som vi ikke forstår fullt ut selv

Utfordringene for Google og andre moderne teknologibedrifter med utøvelse av åpenhet etter GDPR strekker seg lenger enn struktur og språk i personverndokumentene. Teknologien er ikke alltid fullt ut «forståelig» selv for de som har laget den, og vern av forretningshemmeligheter kan stå i konflikt med åpenhet.

Å forklare teknologi som Big Data og maskinlæring på en «forståelig» måte for sluttbrukeren er utfordrende. Forutsetningen er langt på vei at skaperen selv forstår behandlingen, dette er ikke alltid tilfelle. For eksempel ved maskinlæring og Big Data kan det oppstå behandling som skaperen ikke forstår. Vi mater for eksempel en algoritme med data om en brukers aktivitet på internett, deretter indikerer algoritmen brukerens preferanser og personlige egenskaper. Hvordan algoritmen kom til sitt resultat kan delvis forklares, men en del av analysen kan kanskje ikke forklares. Det som ikke kan forklares er populært kalt «den sorte boks». I «den sorte boks» har ikke en gang skaperen fullt innsyn. Årsaker kan være at dataene som algoritmen mates med i seg selv i liten grad er objektiv informasjon, noe som påvirker algoritmens resultat. Årsaker kan også knytte seg til hvordan algoritmen i seg selv behandler dataene. Dette er tekniske utfordringer for åpenhet.

En annen side av saken er at algoritmene for en virksomhet som Google sammen med deres store mengder med data er sentralt i deres forretningsmodell. Å utøve åpenhet om dette kan komme i konflikt med vern av forretningsmodellen.

Hvor mye åpenhet må virksomheter utøve etter GDPR?

Tilsynet i Google avgjørelsen er opptatt av at sluttbrukerne skal forstå utstrekningen av behandlingen. Dette kan forstås som at de er tilbakeholdne med å kreve fullt innsyn av Google, så lenge Google kommuniserer omfanget av behandlingen og mulige konsekvenser for brukerne. Selv om vi ikke kan forklare behandlingen fullt ut, så blir det sentralt å kommunisere hvilke personopplysninger som behandles, og hvilke beslutninger resultatet av denne behandlingen kan brukes til i etterkant. Om det er en «sort boks» mellom disse to punktene, bør vi fortsatt forklare hva som behandles, og hva det brukes til i etterkant.

Tilsynet fremhever at formål og kategorier av personopplysninger ikke kommer tydelig nok frem. Mye av fleksibiliteten for en Big Data virksomhet som Google ligger i vaghet i formålet. Ved å angi et bredt formulert formål kan virksomheten senere iverksette nye prosesser på data som opprinnelig var innhentet for noe annet. Til en viss utstrekning er det mulig etter GDPR å gjøre dette i det åpne (Art 6.4.), men om formål er vage nok kan det og gjøres i det skjulte. Sistnevnte er overraskende vanlig i praksis og juridisk risikabelt.

Det er ikke mye praksis knyttet direkte til spørsmålet om akkurat hvor mye åpenhet som må utøves enda.

GDPR kan ved automatiske avgjørelser stille krav til at virksomheter i noen tilfeller gir informasjon om den underliggende logikken av behandlingen. Dette kan forstås som et svar på minstekravet til åpenhet for algoritmer. At dette er minstekravet understøttes også av at fortalen i GDPR (pkt. 63) åpner for en avveining mellom vern av forretningshemmeligheter og immaterielle verdier og personvern.

Vilkåret «forståelig» kan og forstås som at lovgiverne plasserer risikoen for det som ikke er forståelig hos virksomheten. Uansett om virksomheten selv ikke forstår behandlingen, eller på legitimt vis verner kjernen av forretningsmodellen. Personvernrådets veiledning peker i denne retning. Det er virksomheten som velger hvilke algoritmer som skal kjøres og formål med behandlingen, da er virksomheten også nærmere til å bære risikoen enn brukerne.

Dette bringer oss over til tilsynets merknader om manglende samtykke.

Samtykke på internett - svakheter ved vanlige løsninger

Samtykke er ofte et av de aktuelle grunnkravene for behandling av personopplysninger (art 6.1.a). Samtykke skal blant annet være «informert» for å være gyldig (art. 4.11). Tilsynet mener at Google ikke har sørget for dette. Dette henger sammen med det som er sagt ovenfor om åpenhet ellers. Tilsynet begrunner manglende samtykke med strukturen til informasjonen som er gitt, og at utstrekningen av behandlingen ikke er klarlagt. Tilsynet trekker blant annet frem at Google kunne ha vært mer åpne om sammenstilling av data mellom forskjellige nettsider og apper. Google search, Youtube, Google home, Google maps, Playstore og Google pictures, som kan sammenstilles ved skreddersøm av reklame er et eksempel.

Samtykke skal og være «spesifikt» og «utvetydig» (art 4.11.). Samtykke er ikke «utvetydig» i de tilfellene hvor Google på forhånd har avkrysset for sluttbrukeren bak en knapp i nedre høyre hjørne som heter «More options». Dette bør nok også en rekke andre virksomheter som opptrer på internett ta til etterretning.

Veldig aktuelt for mange virksomheter er og det forhold at samtykke heller ikke anses som «spesifikt» ved avkrysning av « I agree to Google's Terms of Service» and « I agree to the processing of my information as described above and further explained in the Privacy Policy».

Mange bruker disse fremgangsmåtene på nett fortsatt, og det franske tilsynet har i denne saken tydelig sagt at dette ikke er gyldig samtykke etter GDPR. Flere tilsyn vil nok følge etter.

Oppsummering

• Gi informasjon kortfattet, men pass på at å ha en god struktur som ivaretar oversikten for sluttbrukeren. Legg spesielt fokus på formål, lagringstid og kategorier av personopplysninger.
• Selv om vi ikke selv forstår alle sider ved egen teknologi, bør omfanget av behandlingen og mulige konsekvenser for brukerne ved teknologien kommuniseres klart.
• Vær forsiktig med hva som plasseres bak en «more options» knapp ved samtykkeinnhenting. Generelle samtykker som avkrysning av «I agree to Google's Terms of Service» er sjeldent gyldig for personopplysninger.

Advokatfullmektig Anders A Christie er tilknyttet Bull & Co sin avdeling for teknologi. Han arbeider med IT, personvern- og sikkerhetsrett. Han har skrevet masteroppgave om bruk av Big Data innenfor rammene av Personvernforordningen (GDPR). Anders kan nås på aac@bull.no eller mobil 92 21 69 60.