Datainspektionen bötfäller Google för brott mot GDPR

Datainspektionen bötfäller Google för brott mot GDPR

Datainspektionen menar att Googles hantering av sökresultat brister, och utfärdar en sanktionsavgift på 75 miljoner kronor.

Läs hela artikeln här

Inte ens kaffepengar.

75 miljoner. Ooooo något iaf! SEK.

Skrivet av IKEA Billy Bokhylla:

Inte ens kaffepengar.

Nja det är ju ca 650kr per anställd på google. Så ungefär kostnaden för kaffet per anställd.
Men sätt till deras tillgångar så registrar det knappt på kontot. 0.00006043448% av deras tillgångar (2014).

Total assets 131,133,000,000 US dollar (2014)

Högt för att vara Sverige så det kan vara en bra början med en viss avskräckande effekt på mindre aktörer. Ibland händer det att andra länder hakar på med hänvisning till tidigare fall inom EU.

Billig avgift för Google.

Böter till företag gör aldrig någon riktig skillnad. Som jag brukar säg så tycker jag det skall vara personligt straffansvar för de ansvariga (givetvis med mekanismer för att komma åt målvakter) samt fängelse och näringsförbud för de ansvariga.

Lite förvirrad, hur är ett meddelande till hemsidans ägare om ett beslut dåligt? Skulle google inte också vara skyldig att ge ut den datan under GDPR eftersom det är personliga uppgifter om en hemsida?

Skrivet av Ozzed:

Böter till företag gör aldrig någon riktig skillnad. Som jag brukar säg så tycker jag det skall vara personligt straffansvar för de ansvariga (givetvis med mekanismer för att komma åt målvakter) samt fängelse och näringsförbud för de ansvariga.

Om det är tillräckligt höga böter och de återkommer vid liknande händelser kan det ju påverka. Sen tycker jag också att återkommande brott bör kunna landa i någon sorts personligt ansvar, men har ingen inblick alls i hur det fungerar idag och hur man skulle kunna förändra det.

Det var ett väldigt lindrigt straff: https://digitalajuristerna.se/straffet-vid-brott-mot-gdpr/

2% av omsättningen hade nog kunna göra lite: https://www.svd.se/googles-omsattning-okar-mindre-an-vantat

Om jag inte räknar helt åt pipan så blir det 920 miljoner.

Jag ser ett problem i att kriminella/bedragare kan städa undan sig själva från internet med hjälp av denna funktion, utan att då exempelvis nyhetssidan blir informerad.

Oj 75 miljoner med dom pengarna rök ju inkomsten från 3 annonsörer!

Skrivet av Klarspråkarn:

Om det är tillräckligt höga böter och de återkommer vid liknande händelser kan det ju påverka. Sen tycker jag också att återkommande brott bör kunna landa i någon sorts personligt ansvar, men har ingen inblick alls i hur det fungerar idag och hur man skulle kunna förändra det.

Det som möjligen händer om det är redigt saftiga böter är att företagen kompenserar det genom att höja priserna, så att kunderna i praktiken får pröjsa företagens böter, fast att de är oskydiga, eller också skär man ser på sådant som lönekostnader, vilket då istället drabbar anställda som inte borde straffas för det ledningen pysslar med. Men ledningen klarar sig alltid utan påverkan syns det.

Skrivet av Swedman18:

Oj 75 miljoner med dom pengarna rök ju inkomsten från 3 annonsörer!

Vilka tre annonsörer?

Känns som ett väl avvägt belopp, högt nog för att vara värt det från Sveriges sida, men lågt nog för att google inte ska orka krångla.

Så precis lagom nivå, förutsatt att planen var att fylla på stats-kassan lite.

Skrivet av wowsers:

Lite förvirrad, hur är ett meddelande till hemsidans ägare om ett beslut dåligt? Skulle google inte också vara skyldig att ge ut den datan under GDPR eftersom det är personliga uppgifter om en hemsida?

Gdpr ska skydda personliga uppgifter om personer. En hemsida är inte en person så därför har den ingen skydd i ramen för Gdpr.

Skrivet av wowsers:

Lite förvirrad, hur är ett meddelande till hemsidans ägare om ett beslut dåligt? Skulle google inte också vara skyldig att ge ut den datan under GDPR eftersom det är personliga uppgifter om en hemsida?

Google har ingen laglig grund (legal basis) för att delge anmälarens personuppgifter till site-ägaren. Laglig grund är en av grundpelarna i GDPR och måste finnas.

Skrivet av Cebor:

Känns som ett väl avvägt belopp, högt nog för att vara värt det från Sveriges sida, men lågt nog för att google inte ska orka krångla.

Så precis lagom nivå, förutsatt att planen var att fylla på stats-kassan lite.

Google blir tvugna att agera. Förvisso är sanktionsavgiften en engångssumma, men Lena Schelin skriver på LinkedIn att flera granskningar kan göras och hittas samma problem igen blir det ytterligare avgifter.

Edit: Lena Schelin är generaldirektör på Datainspektionen

Hur mycket har utredningen som kommit fram till detta kostat?
Synd att de inte la på en nolla. Hade varit med effektfullt då pengar är det ÄNDA sättet att få företag av den storleken att ändra på sig.
Om det inte är Kina eller Ryssland förstås. Då kan de bara försvinna en dag ;=)

Skrivet av LemurenSwe:

Vilka tre annonsörer?

Det är möjligt att jag överdrev men google får ju pengar ju mer man klickar på det som står "ANNONS:" och då lär det ju finnas annonsörer som har betalat 75 miljoner kronor till google

75 miljoner och ett beslut om att de måste sluta med det kan kanske fungera, men då måste det finnas något slags hot om miljardkostnader om de inte följer beslutet i framtiden.

Skrivet av coll:

Google har ingen laglig grund (legal basis) för att delge anmälarens personuppgifter till site-ägaren. Laglig grund är en av grundpelarna i GDPR och måste finnas.

Jo självfallet ska de inte ge ut personuppgifter, men här handlar det enligt artikeln enbart om att informera en sajt om att uppgifter raderas, inte om varför eller vem som har lagt förfrågan. (dvs. ingen personlig information)

Hade det varit som youtube kan jag förstå det, där ger man automatiskt ut alla sina uppgifter om man väljer att bestrida någon annans påstående till upphovsrätt.

Skrivet av wowsers:

Jo självfallet ska de inte ge ut personuppgifter, men här handlar det enligt artikeln enbart om att informera en sajt om att uppgifter raderas, inte om varför eller vem som har lagt förfrågan. (dvs. ingen personlig information)

Hade det varit som youtube kan jag förstå det, där ger man automatiskt ut alla sina uppgifter om man väljer att bestrida någon annans påstående till upphovsrätt.

Direkt klippt från Datainspektionen:

3. Datainspektionen konstaterar att Google sedan den 25 maj 2018 regelmässigt informerar webbansvariga för webbplatser när bolaget har tagit bort en webbadress till följd av en begäran om borttagande. Google behandlar genom detta personuppgifter i strid med

  • artikel 5.1 b i dataskyddsförordningen genom att förfarandet utgör en personuppgiftsbehandling som är oförenlig med det ursprungliga ändamål för vilket uppgifterna samlades in.

  • artikel 6 i dataskyddsförordningen genom att inte ha en rättslig grund för behandlingen.

Hela texten finns att läsa i Datainspektionens beslut

Ännu tydligare är det i det engelskspråkiga pressmeddelandet:

When Google removes a search result listing, it notifies the website to which the link is directed in a way that gives the site-owner knowledge of which webpage link was removed and who was behind the delisting request. This allows the site-owner to re-publish the webpage in question on another web address that will then be displayed in a Google search. This in practice puts the right to delisting out of effect.

Jag kan förstå problematiken i att vissa sidor blir informerade om att deras innehåll blir censurerat, då de kan lägga upp det igen. Men är inte motsatsen också absurd. Nu tvingas Google censurera internet och staten stoppar dem från att överhuvudtaget informera den påverkade sidan. Sidor har väl sedan tidigare inte haft så stor möjlighet att bestrida censuren men detta är ytterligare en nivå. Ska media bolagen rutinmässigt söka efter allt deras innehåll på samtliga sökmotorer för att få veta att de är censurerade? Om de inte gör det kommer säkert mycket allmännyttig information begäras borttagen, till exempel kommunpolitiker kan säkert välja att radera information om deras skandaler och nu skulle inte utgivarna ha möjlighet att utmana det.

@johanandersson: "Mediabolagen" omfattas oftast inte av GDPR.

1. Tryckfrihetsförordningen samt yttrandefrihetsgrundlagen går före GDPR om reglerna krockar.
2. Behandling som sker för journalistiska ändamål är undantagna från tillämpning av artiklarna 5–30 och 35–50 i GDPR.

Rätten att bli glömd gäller långt ifrån alltid. En begäran av att ett sådant sökresultat du skriver om ska försvinna från google kommer antagligen inte godkännas.

Skrivet av scienta:

Det var ett väldigt lindrigt straff: https://digitalajuristerna.se/straffet-vid-brott-mot-gdpr/

2% av omsättningen hade nog kunna göra lite: https://www.svd.se/googles-omsattning-okar-mindre-an-vantat

Om jag inte räknar helt åt pipan så blir det 920 miljoner.

Högsta sanktionsavgifterna som kan utdelas är 4% av omsättningen vilket Datainspektionen beräknade till 51,2 miljarder kronor. Fast sen kommer en proportionalitetsbedömning in i bilden.

I verkligheten funkar den bedömningen ungefär såhär:

Först kan man titta på konkreta saker som hur grov överträdelsen är och i vilken omfattning den skett. I det här fallet måste man isolera det till Sverige och det är två pers som har klagat och det har inte skickats jättemånga meddelanden till webredaktörer.

Sen ska förstås sanktionen ha en avskräckande effekt också.

Det man nu gör är att bolla frågan i grupp tills man hittat en siffra som känns bra i magen.

Skrivet av coll:

--snip--

Ännu tydligare är det i det engelskspråkiga pressmeddelandet:

When Google removes a search result listing, it notifies the website to which the link is directed in a way that gives the site-owner knowledge of which webpage link was removed and who was behind the delisting request. This allows the site-owner to re-publish the webpage in question on another web address that will then be displayed in a Google search. This in practice puts the right to delisting out of effect.

Detta förtydligade det ganska mycket, i artikeln lät det som att google enbart rapporterade att en sida blivit nertagen pga ett klagomål.

Att folk ändrar URL fattar jag omkringgår systemet, men de kan ju lätt göra samma om de spårar traffikmängd och märker att sidor plötsligt blir besökt mindre ofta, vilket gör googles involvering ganska orelevant.

@wowsers: Nja, jag tror det kan vara rätt skönt att få bort sitt namn från google. Om jag stod med på furrycon.se besökslista tillsammans med 2000 andra personer, så hade jag nog uppskattat att den sidan inte kom upp när rekryteraren googlade mitt namn.

Skrivet av coll:

@wowsers: Nja, jag tror det kan vara rätt skönt att få bort sitt namn från google. Om jag stod med på furrycon.se besökslista tillsammans med 2000 andra personer, så hade jag nog uppskattat att den sidan inte kom upp när rekryteraren googlade mitt namn.

Om lurvsidan publicerar namnen på alla deltagare som helst är anonyma så är väl det ett fall för datainspektionen....

Skrivet av henkiii:

Om lurvsidan publicerar namnen på alla deltagare som helst är anonyma så är väl det ett fall för datainspektionen....

Det beror på, jag kan ju faktiskt ha givit med medgivande till publiceringen på den sidan. Det betyder inte automatiskt att jag medger att google visar det i sökresultaten.

Nu gav jag bara detta som ett enkelt exempel, men det kan ju finnas andra, rimligare, scenarios där denna problematik kan uppstå.