Find artikler om GDPR her på Lexoforms.com. Vi skriver løbende nyt om GDPR, persondata og vores online GDPR-værktøj.

Det franske datatilsyn giver stor bøde til Google

Det franske datatilsyn CNIL har givet en bøde til Google på 50 millioner euro, svarende til 373 millioner danske kroner. Bøden er givet, da Google ikke må udnytte data på den måde, de gør, til at målrette reklame til deres brugere. CNIL vurderer, at Google udnytter den data de indsamler, og de gør det på en ugennemsigtig måde. Der kræves alt for meget arbejde og mange trin, for at en bruger kan se, hvilke data Google har på brugeren, og dette er ikke hensigtsmæssigt.

Undersøgelserne forud for bøden startede sidste år i juni efter bla. en anmeldelse fra den østrigske organisation None Of Your Business (NOYB), etableret af den østrigske privacy-aktivist Max Schrems.

Google selv siger, at man indhenter accept fra brugerne til at benytte det indsamlede data, men dette samtykke mener CNIL ikke er tilstrækkeligt nok.

Læs mere om sagen her:

Artikel på Version2

Artikel på Computerworld

Risikovurderinger – og kravene til dem

Både den dataansvarlige og databehandleren skal være i stand til at påvise, at behandling er i overensstemmelse med forordningen, jf. artikel 24, og Datatilsynet siger i deres vejledning, at den dataansvarlige, allerede før en behandling foretages, skal foretage en kortlægning over risikoen for de registreredes rettigheder.

Virksomhederne skal derfor altid kunne redegøre for deres risikoovervejelser, forstået på den måde, at de skal have overvejet dels, hvor stor en risiko der er for et brud, og dels hvilke konsekvenser dette brud måtte have for de registrerede personer.

For eksempel vil en hacking af navne og adresser på kunder typisk ikke have nogen særlige konsekvenser for de registrerede personer, medmindre de har hemmelige adresser. I sådanne tilfælde vil virksomheden formentlig kunne nøjes med at henvise til den interne fortegnelse, der dokumenterer, at der ikke er følsomme, særlige eller fortrolige oplysninger i nogen af IT-systemerne eller i nogen af de fysiske registre, og at virksomheden derfor har vurderet, at risikoen er meget lav.

Men har virksomheden følsomme eller fortrolige oplysninger, som man efter den almindelige opfattelse i samfundet ikke ønsker at få offentliggjort, vil der skulle passes særligt meget på disse oplysninger. I så fald vil det være vigtigt at have en skriftlig risikovurdering, der danner grundlag for de sikkerhedsforanstaltninger, som virksomheden har truffet, så virksomheden har dokumentation for dens risikovurderinger.

Oprindelig udgivet den 17. jan 2019, opdateret den 19. maj 2020