Datatilsynet afviser at bruge kræfter på klage mod Google: Kræver for mange ressourcer

Datatilsynet har afvist at undersøge, om Googles tjenester lever op til GDPR. Eksperter på området er splittede i spørgsmålet om, hvorvidt det var den rigtige beslutning.

Det kræver for mange ressourcer, og din interesse i at få sagen behandlet er ikke stærk nok.

Klagen mod Google Klagen tager afsæt i persondataforordningen artikel 25, som blandt skal sikre, at dataansvarlige kun behandler de personoplysninger, der er nødvendige til det specifikke formål med en tjeneste. En borger har derfor klaget til Datatilsynet over Google, fordi der som standard er sat en række flueben på Googles tjenester, der giver samtykke til indsamling af brugeroplysninger. Google har blandt andet indstillet som standard, at brugernes historik på søgemaskinen »bliver brugt til at hjælpe Google med at tilbyde mere relevante resultater og anbefalinger«, selvom brugeren er logget ud af sin Google-konto.

Desuden klager brugeren over, at der som udgangspunkt er givet samtykke til, at Google må indsamle oplysninger til at vise personlige reklamer til brugeren. Ifølge klageren er det ikke nødvendigt for, at søgemaskinen kan fungere, og derfor bør denne funktion også være slået fra som standard.

Også for Googles videoplatform, Youtube, er der som udgangspunkt givet automatisk samtykke til indsamling af brugeroplysninger. Det gælder eksempelvis søgehistorik på Youtube, som bliver brugt til at lave personlige videoanbefalinger. Ifølge klageren er indsamling af den slags oplysninger ikke nødvendige for at tjenesterne kan fungere, og derfor mener han, at der er tale om et brud på persondataforordningens artikel 25.

Sådan lyder Datatilsynets begrundelse for ikke at tage en sag op fra en borger, der har klaget til GDPR-myndigheden over Googles behandling af personoplysninger. Det viser en sagsafgørelse, som Version2 har fået adgang til.

Borgeren bag klagen hedder Christian Schmidt. Han har klaget til Datatilsynet, fordi han er utilfreds med, at der som udgangspunkt er sat flueben ved en række indstillinger i Googles tjenester, som betyder, at der indsamles oplysninger om ham.

Ifølge Christian Schmidt er der nemlig tale om indsamling af oplysninger, som ikke er nødvendige for at tjenesterne kan fungere, og derfor mener han, at der er tale om et brud på persondataforordningens artikel 25, som handler om databeskyttelse gennem design og standardindstillinger.

Klageren blev dog mødt af et afslag, da han henvendte sig til Datatilsynet i håb om at få sagen behandlet for at finde ud af, om Googles praksis var tilladt. Ifølge den danske GDPR-myndighed havde han som bruger af tjenesterne ikke stærk nok interesse i, at sagen blev taget op.

»Det er i den foreliggende sag Datatilsynets opfattelse, at det er uforholdsmæssigt at indlede en klagesag henset til din interesse i, at klagen behandles,« skriver Datatilsynet i afgørelsen.

En tung opgave

Den danske persondata-myndighed begrunder sit valg om at lade sagen ligge med to argumenter.

Først og fremmest har Datatilsynet lagt vægt på, at det er nemt for brugeren at fjerne flueben, som Google har sat på forhånd, hvis brugeren ikke har lyst til, at tech-giganten skal behandle oplysningerne om ham.

»Datatilsynet har lagt vægt på, at det på baggrund af det af dig indsendte materiale kan lægges til grund, at behandlingen af oplysninger om dig kan slås fra uden større indsats fra din side. Dette alene er efter Datatilsynets umiddelbare opfattelse ikke i strid med databeskyttelsesforordningens artikel 25, stk 1 eller 2,« skriver myndigheden.

Det andet argument går på, at en sag mod Google vil være en meget tung opgave for Datatilsynet at kaste sig over.

»Datatilsynet har endvidere lagt vægt på, at sagens behandling, herunder sagsoplysningsskridt som partshøring må forventes at indebære et ikke ubetydeligt forbrug af tilsynets ressourcer, som ikke står mål med din interesse i, at sagen behandles og den beskyttelse af privatlivet, som en behandling af sagen vil medføre,« skriver myndigheden i begrundelsen.

Har ledt efter en kattelem

Jon Lauritzen, der er advokat med speciale i persondataret og GDPR ved advokatfirmaet DLA-Piper, har kigget på afgørelsen. Han mener, at der er grund til at forholde sig kritisk overfor, at Datatilsynet har afvist at gå ind i sagen, og ifølge ham er det tydeligt, at myndigheden »har fundet en kattelem« for at undgå at skulle bruge tid på at afgøre sagen.

»Jeg er kritisk overfor, at Datatilsynet synes at lægge vægt på, at det er let for brugeren at slå de her samtykker fra. Jeg mener, at det er et uvedkommende hensyn, og at det er argument, som ikke skal have nogen særlig stor vægt – måske endda slet ingen,« siger han til Version2.

Derudover undrer Jon Lauritzen sig over argumentationen om, at klageren ikke har tilstrækkelig stærk interesse i at få sagen behandlet.

»Datatilsynet vejer brugerens interesse i at få behandlet sagen op mod de ressourcer, som der ville skulle bruges på sagsbehandlingen. Jeg kan godt følge Datatilsynet i, at det her vil kræve mange ressourcer, men Google er også en meget anvendt tjeneste, og hvis brugerne ikke har stærkt interesse i at få en sag behandlet, hvem har egentlig så?«

Ikke den ideelle verden

Det er dog ikke alle, der mener, at Datatilsynet burde have handlet anderledes. Overfor Version2 fortæller Peter Blume, der er professor med fokus på persondataret ved Københavns Universitet, at han ville have gjort det samme som Datatilsynet i den her sag.

»Selvom Datatilsynet har fået flere penge de seneste år, så er der spørgsmål om persondata over alt. Jeg kan forestille mig, at der er et stort arbejdspres, og at der derfor må være en prioritering. Hvis Datatilsynet skulle behandle den her sag, så ville det gå ud over arbejdet med andre sager. Der kan være situationer, hvor sagens karakter i forhold til et tilsyns arbejdsbyrde ikke står mål i forhold til hinanden,« siger han og tilføjer:

»I den ideelle verden kunne den her sag sagtens behandles, men det her er ikke den ideelle verden.«

Klageren holder fast

Ophavsmanden til klagen, Christian Schmidt, er ærgerlig over, at Datatilsynet ikke kaster sig ind i kampen mod Google på grund af for få ressourcer.

Ifølge ham er det netop den slags sager, som er vigtige at prioritere, fordi det vil give svar på, hvordan persondataforordningens artikel 25 skal fortolkes i praksis.

For nu må han og andre brugere af Googles tjenester dog afvente, at GDPR-myndigheder, som det danske Datatilsynet, tager en lignende sag op og træffer en bindende beslutning på området. I mellemtiden holder Christian Schmidt fast i, at Google efter hans mening er galt afmarcheret.

»Jeg mener ikke, at Google overholder princippet om databeskyttelse via design og standardindstillinger. Det tror jeg også godt, at de er klar over,« siger han.

Version2 har været i kontakt med Google og Datatilsynet, men ingen af dem har ønsket at kommentere sagen yderligere.