Google gjennomførte i 2012 en omfattende endring av selskapets personvernpolicy, til relativt store protester fra blant annet europeiske datatilsyn. Google tidligere hadde separate personvernregler for de fleste av selskapets tjenester. Regelverket som ble innført i 2012, gjelder derimot for de fleste av selskapets tjenester. Noe av hensikten med endringen var å kunne dele brukerdataene på tvers av tjenestene, noe som blant annet har gjort Google Now mulig.
Kort tid etter at Google innførte den nye policyen, startet de europeiske datatilsynene en etterforskning for å se om Googles nye personvernpolicy er i overensstemmelse med europeisk datavern-lovgivning. Senere har også flere europeiske land etterforsket de samme forholdene, basert på nasjonal lovgivning.
Denne uken sendte Article 29 Data Protection Working Party, en uavhengig sammenslutning av datatilsynene i EU-landene, et brev til Google-sjef Larry Page hvor det opplyses at etterforskningen har avdekket flere problemer knyttet til personvernpolicyen og kombineringen av data på tvers av tjenester.
I brevet går det fram at Article 29 Data Protection Working Party har utarbeidet et dokument som ikke bare presenterer hva datatilsynene krever at Google gjør endringer i, men som også kommer med forslag om hvordan endringene kan gjennomføres.
Dokumentet, eller veiledningen, er tilgjengelig her.
Der opplyses det blant annet at man ikke kan vente at brukere leser oppdateringer i tjenestevilkårene til Google for å bli gjort kjent med viktige, nye hensikter med innsamling, prosessering, deling og annen bruk av brukernes personlige data, men at slike hensikter må presenteres i personvernreglene.
– Når Google lar nye instanser samle inn data, må selskapet tydelig informere brukerne om de nye mottakerne og dataene som de tillates å samle inn. For eksempel la Google nylig til uttrykket «and our partners» til utvalget av instanser som kan samle inn anonyme identifikatorer når brukere besøker Google-tjenester. Men Google opplyser ikke om hva slags type instanser disse partnerne er eller hvordan de vil bruke de innsamlede dataene.
De europeiske datatilsynene skriver at Google i større grad må informere og innhente samtykke fra passive brukere før deres personlige data prosesseres. Dette kan blant annet gjelde på nettsteder hvor Google Analytics eller DoubleClick-annonser er i bruk. Blant løsningsforslagene som presenteres, er en mulighet for brukerne til å deaktivere Google Analytics på midlertidig eller permanent basis.
Det kreves også at Google tydeliggjør hva selskapet faktisk gjør, i stedet for å skrive at uttrykk som «… kan det hende vi …» og «dette kan for eksempel omfatte …». Det bør i stedet uttrykkes som «dersom du bruker tjenestene A og B, vil vi …». For Google kan dette dog bety at betingelsene og reglene oftere må endres.
Article 29 Data Protection Working Party krever også at alle brukere, både de som er logget inn på Googles tjenester, de som bruker tjenestene uten å være logget inn, samt de passive brukerne, gis bedre mulighet til å kontrollere bruken av sine personlige data.
Datatilsynene mener dette dels kan løses ved å gjøre dagens dashbord for kontoinnstillingene lettere tilgjengelig, å sørge for at dette inkluderer alle Google-tjenestene, å gjøre valg om samtykke tilgjengelig via denne siden, samt å tilby en tilsvarende løsning for brukere som ikke er innlogget, men som kjennes igjen ved hjelp av blant annet cookies.
Det kreves også at de europeiske datatilsynene får innsyn i eller tilgang til Googles policyer og prosesser for lagring av alle personlige data og anonymiseringen av disse. Selskapet bør også begrunne lagringsperiodene for ulike typer data.
I hvilken grad Google vil følge kravene, er dog uklart. Sanksjonsmidlene for personvernbrudd i de europeiske landene ser ut til å være ganske begrensede, sammenlignet med inntektene til selskapet. Til Reuters sier Al Verney, en talsperson for Google, at selskapet er mottakelige for tilbakemeldingene fra tilsynene og ser fram til å diskutere listen med retningslinjer.
Leave a Reply