GDPR: az 50 millió eurós gigabírság háttere

2019. 01. 24., 16:16

A francia adatvédelmi hatóság (CNIL) 2019. január 21-én 50 millió eurós (kb. 16 milliárd Ft) bírsággal sújtotta a Google-t az általános adatvédelmi rendelet (GDPR) szabályainak megsértése miatt. A bírság nagysága az eddigi legnagyobb a GDPR 2018. május 25-i hatályba lépése óta.

A CNIL által megvizsgált adatkezelési műveleteket és két jogsértést dr. Vári Csaba, a DLA Piper Posztl, Nemescsói, Györfi-Tóth és Társai Ügyvédi Iroda ügyvédje tekintette át az Advocatus blog legfrissebb cikkében.

Az eljárást két szervezet, a None Of Your Business (NOYB) és a La Quadrature du Net (LQDN) kezdeményezte, pontosan a GDPR hatálybalépésének napján. A két szervezet azt állította, hogy a Google-nek nincs megfelelő jogalapja a személyes adatok kezeléséhez a szolgáltatásai nyújtása, így kiváltképpen a reklámok személyre szabása kapcsán.

A CNIL 2018. június elején megküldte a két kifogást az európai adatvédelmi hatóságok részére, hogy megállapítható legyen, hogy melyik hatóság illetékes. Megállapították, hogy a jelen ügyekben a GDPR-ban előírt egyablakos rendszert – mely alapján a fő felügyeleti hatóság jár el hasonló ügyekben – nem kell alkalmazni, tekintettel arra, hogy az Európában egyébként írországi központú Google-nek nem az európai, ír leányvállalata volt felelős az adatkezelési tevékenységekért.

A CNIL megvizsgálta a kifogásolt adatkezelési műveleteket, és kétfajta jogsértést állapított meg.

Az átláthatóság és tájékoztatás követelményének megsértése: a CNIL véleménye szerint a felhasználóknak nyújtott tájékoztatás nem érhető el könnyen az érintettek részére. Fontos információk, mint például az adatkezelési célok, az adattárolás időtartama vagy a kezelt adatok kategóriái teljesen szétszórva találhatók meg a különböző dokumentumokban, melyek egy sor gombra és hivatkozásra történő kattintással érhetők csak el. A releváns információhoz gyakran csak 5-6 lépést követően lehet eljutni, mint pl. amikor a felhasználó arra kíváncsi, hogy milyen adatait használják a geolokációs követéshez. A CNIL azt is megállapította, hogy néhány információ nem minden esetben egyértelmű vagy teljes körű, és a felhasználók számára a Google által alkalmazott adatkezelések nem teljesen érthetőek. A Google által nyújtott szolgáltatások nagy száma miatt az adatkezelési műveletek kifejezetten tömegesek és agresszívek, továbbá a cég túlságosan is általános jelleggel nyújt tájékoztatást az adatkezelési célokról és a kezelt adatok köréről. Végső soron a felhasználók számára nem egyértelmű, hogy a reklámok személyre szabása a hozzájárulásuk vagy a Google jogos érdeke alapján történik, és néhány esetben az adattárolás időtartamát sem közli a cég.

A reklámok személyre szabásához szükséges jogalappal kapcsolatos jogsértés: A Google azt állítja, hogy ehhez a felhasználók hozzájárulása alapján kezeli a személyes adatokat, azonban a CNIL megállapította, hogy a hozzájárulásokat nem szerzi be jogszerűen a cég, mégpedig a következő két ok miatt. Először is, az érintett nem kellő információ alapján adja meg a hozzájárulást. A reklámok személyre szabásával kapcsolatos információk szét vannak forgácsolva különböző dokumentumokban és nem teszik lehetővé, hogy a felhasználó megismerje a tartalmukat. Például az „Ads Personalization” pontban nem lehetséges felmérni a szolgáltatások, weboldalak és alkalmazások sokaságát és az általuk kezelt adatokat. Másodszor, a hozzájárulás nem kellően kifejezett és nem egyértelmű. Bár egy Google-fiók létrehozásakor lehetőség van a személyre szabott reklámok beállításához, azonban ez nem jelenti azt, hogy ez a GDPR-nak megfelelően történik. A hozzájárulás előre ki van pipálva a beállítások között, ami sérti azt a szabályt, hogy a felhasználónak aktív megerősítéssel – pl. egy üres jelölőnégyzet kipipálásával – kell kifejeznie egyértelmű hozzájárulását. Ugyancsak sérti az előírásokat, hogy a hozzájárulás minden adatkezelési műveletre vonatkozik, és nincs lehetőség adatkezelési célonként külön-külön hozzájárulni az adatkezelésekhez.

A fentieket mérlegelve döntött a CNIL az 50 millió eurós bírság kiszabása mellett, először alkalmazva a GDPR által lehetővé tett bírság mértékét. A bírság kiszabásánál a GDPR alapelveinek – átláthatóság, tájékoztatás, hozzájárulás – súlyos megsértését vette figyelembe a hatóság. Bár a Google alkalmaz bizonyos eszközöket, ezek azonban nem akadályozzák meg azt, hogy a felhasználókat a személyes adataik kezeléséhez kapcsolódó szükséges garanciáktól ne fosszák meg. Márpedig ezen adatkezelések a nagyságrendjüknél és komplexitásuknál fogva a magánéletre jelentős hatással vannak, és szükségessé teszik a megfelelő tájékoztatást, az ellenőrzés lehetőségét és az érvényes hozzájárulás beszerzését.

A hatóság azt is figyelembe vette, hogy a jogsértés folyamatos, nem csak egyszeri vagy időben korlátozott. Az Android franciaországi piaci jelentősége is fontos szempont volt a bírság kiszabásánál (naponta franciák ezrei hoznak létre okostelefonjukon Google-fiókot), valamint az, hogy a cég üzleti modellje részben a hirdetések személyre szabásán alapul.

A CNIL-nél a Google ellen bejelentést tevő NOYB a napokban az osztrák adatvédelmi hatósághoz fordult, mert állításuk szerint egy sor streaming szolgáltató nem teljesíti a GDPR 15. cikkében foglalt érintetti jogokkal kapcsolatos kötelezettségeit, azaz az érintett hozzáféréshez való jogát. Az eljárás olyan szolgáltatókat érint, mint az Amazon, Apple, Netflix, Spotify, SoundCloud vagy a YouTube. Magyarországon is indultak hatósági eljárások GDPR hatályba lépése óta, azonban bírság kiszabására – tekintettel arra, hogy a hatóság csak kisebb súlyú jogsértéseket állapított meg – a mai napig nem került sor.

Ha tetszett a cikk, kövesse az ÜZLETEMET
a Facebookon!

Még több friss hír

2022. 08. 17., 09:05
A gazdaság teljesítménye – a nyers, illetve a szezonálisan és naptárhatással kiigazított és kiegyensúlyozott adatok szerint egyaránt – 6,5 százalékkal növekedett az előző év azonos negyedévéhez mérten – tájékoztatott a statisztikai hivatal.

  BIZNISZPLUSZ PODCAST

2022. 07. 26., 10:30
epizód: 2022 / 8   |   hossz: 20:30
Milyen új utakat nyitott az internet a csalók előtt? Hogyan azonosíthatjuk vállalkozóként az átverési kísérleteket? Mikor kell szakértőhöz, esetleg egyenesen a rendőrséghez fordulnunk? És mitől menthet meg bennünket egy kis önképzés? Dr. Kocsis Ildikó ügyvéd olyan céges csalásokra is felhívja a figyelmet, amelyek még a hozzáértők előtt sem feltétlenül nyilvánvalóak.
2022. 06. 26., 09:15
epizód: 2022 / 7   |   hossz: 21:02
Milyen volt a Hannoveri Technológiai Kiállítás és Vásár a Covid után, de háborús időben? Hol tart az ipar 4.0 napjainkban, melyek a digitalizáció legfontosabb új irányai? Mit jelent a virtuális üzembe helyezés? Hogyan hat az automatizálás a munkaerő-piacra? Hogyan szimulálható a Marsra szállás? Mit jelent Európa egyik legnagyobb ipavállalatának, hogy kivonul az orosz piacról, ahol 1851 óta jelen volt? A kérdésekre Jeránek Tamás, a Siemens Zrt. vezérigazgatója válaszol.
2022. 06. 13., 06:35
epizód: 2022 / 6   |   hossz: 19:01
A kamerás megfigyelés csak „célhoz kötött” lehet, de a célok meghatározásakor is körültekintően kell eljárni – hívja fel a figyelmet dr. Szabó Gergely ügyvéd. A Kocsis és Szabó Ügyvédi Iroda irodavezető partnerét a munkavállalók megfigyelésére, a kamerák elhelyezésére vonatkozó szabályokról, az élőképekre vonatkozó speciális előírásokról és a technika fejlődés nyújtotta lehetőségek jogi korlátairól kérdeztük.

  Rovathírek: GUSTO

A fenntartható életmód fontosságára hívja fel a figyelmet a világ első ültethető ceruzája, amiből bazsalikom, zsálya, koriander növényt nevelhetünk, paradicsomot termeszthetünk.

  Rovathírek: ATOMBUSINESS