Google hit med rekord 50 miljoner euro bra för skumma annonser

0 Shares

Google har fått en bötesrekord på 50 miljoner euro (56 miljoner dollar) av den franska sekretessvakthunden CNIL.

Efter en undersökning av Googles reklampraxis fann CNIL och andra EU-sekretessreglerare att företaget bryter mot EU: s allmänna dataskyddsförordningar (GDPR) – några av de strängaste kontrollerna av konsumentuppgifter i världen.

Så vad gjorde Google fel och vad betyder det för Google-användare och för andra företag som är bundna av GDPR?

Vad gjorde Google fel?

Enligt CNIL gjorde Google det inte tillräckligt enkelt för vardagliga användare att hitta och smälta information om vad Google skulle göra med de uppgifter de gav företaget.

För att vara tydlig tillhandahöll Google informationen. Men CNIL sa att detaljerna var för gömda:

”Viktig information, såsom databehandlingsändamål, datalagringsperioder eller kategorierna av personuppgifter som används för anpassning av annonser, sprids alltför mycket över flera dokument,

”Den relevanta informationen är tillgänglig endast efter flera steg, vilket antyder ibland upp till 5 eller 6 åtgärder. Detta är till exempel fallet när en användare vill ha fullständig information om sin data samlad för personaliseringsändamål eller för geo-spårningstjänsten. ”

Tydlighet kring insamling och användning av kunddata är en av de centrala pelarna i GDPR-reglerna, som AlienVaults Javvad Malik förklarar:

”Böterna kan sammanfattas i bristande transparens. Företagen måste vara transparenta och tydliga med sina användare om vilken data de samlar in och för vilka syften. I det här fallet har CNIL beslutat att Google varken var transparent eller tydligt med användarna – vilket resulterade i att användare gjorde felinformerade val. ”

CNIL fann också att Google misslyckades med att på ett giltigt sätt få användarens samtycke för att anpassa de annonser som de matade till användarna. Detta är den allvarligare avgiften som sökjätten riktas mot, eftersom företag måste hoppa igenom en serie bågar för att lagligt anpassa annonser för EU-invånare.

CNIL säger att Google bryter mot den normala lagliga insamlingen av data för personlig annonsbehandling på två sätt:

”Först … användarnas samtycke är inte tillräckligt informerat.

“Då … det samlade samtycket är varken” specifikt “eller” entydigt. “

Effektivt har Google åsidosatt GDPR-reglerna genom att inte berätta för användarna att de uppgifter de tillhandahöll skulle användas för att skicka riktade annonser på deras sätt. Närmare detaljer förklarade CNIL:

”När ett konto skapas kan användaren visserligen ändra vissa alternativ som är associerade med kontot genom att klicka på knappen« Fler alternativ », tillgänglig ovanför knappen« Skapa konto ». Det är särskilt möjligt att konfigurera visningen av personliga annonser.

”Det betyder inte att GDPR respekteras. Faktum är att användaren inte bara måste klicka på knappen “Fler alternativ” för att få tillgång till konfigurationen, men visningen av annonsanpassningen är … förmarkerad … Slutligen, innan du skapar ett konto, ombeds användaren att kryssa i rutorna « Jag godkänner Googles användarvillkor »och« Jag godkänner behandlingen av min information som beskrivs ovan och ytterligare förklaras i sekretesspolicyn »för att skapa kontot. Därför ger användaren sitt samtycke till fullo för alla bearbetningsändamål som utförs av Google baserat på detta samtycke (anpassning av annonser, taligenkänning etc.). Enligt GDPR är samtycket endast “specifikt” om det ges tydligt för varje syfte. “

Anna Russell, VP på dataskyddsföretaget comforte AG, förklarar att “När det gäller GDPR” måste företag förklara vad de gör med användardata “genom att berätta för användarna på vanligt språk” och “be användarna att aktivt visa samtycke genom en åtgärder som att klicka på en knapp ”och” alltid se till [their] integritetspolicy [is] lätt att hitta.”

Vad betyder detta för Google-användare?

Om du inte bor i EU betyder det väldigt lite. GDPR-reglerna sträcker sig inte utanför EU: s gränser, och med tanke på hur lukrativa personanpassade annonser är för Google är det osannolikt att företaget kommer att sluta samla och bearbeta den information som användarna lämnar för annonser.

Om du befinner dig inom EU finns det dock möjligheten att du kan se några nya popup-fönster när du använder Googles tjänster och informerar dig om sekretesspolicyer och liknande. Dessa bör ge dig en bättre förståelse för hur Google kommer att använda den information du lämnar ut i utbyte mot gratis användning av Gmail, YouTube, Play Store och mer.

Trots de starkt formulerade uttalandena från CNIL och rekordböterna verkar Google dock ha blivit ganska lätt och potentiellt skottsfritt.

Tim Erlin, VP på cybersäkerhetsföretaget Tripwire, är trött på att stora företag kommer undan med det:

”Jag skulle vilja se rubrikerna när dessa böter faktiskt betalas. Innan GDPR trädde i kraft fanns det oändliga rubriker om de massiva böterna som kunde tas ut. 50 miljoner euro kan tyckas mycket, men GDPR tillåter maximalt 4% av de årliga intäkterna. I Googles fall skulle det vara cirka 3,5 miljarder euro (3,9 miljarder dollar).

”Framgångsrik tillämpning av GDPR är ett oerhört viktigt steg för att bestämma effektiviteten i förordningen. Utan tänder kan ingen reglering göra en väsentlig skillnad. ”

Så även om det är bra att se tillsynsmyndigheter vidta åtgärder mot Google, finns det fortfarande en lång väg att gå innan alla är fullt informerade och medvetna om hur deras data används. Och med regeringar runt om i världen som misslyckas med att få någon form av dataskyddsföreskrifter på plats, kommer det inte att räcka för polisens praxis bara inom EU.

Läs mer om dataskydd på Tech.co

Bildkredit: Ben Nuttall

0 Shares