GDPR: az 50 millió eurós gigabírság háttere

2019. 01. 24., 16:16

A francia adatvédelmi hatóság (CNIL) 2019. január 21-én 50 millió eurós (kb. 16 milliárd Ft) bírsággal sújtotta a Google-t az általános adatvédelmi rendelet (GDPR) szabályainak megsértése miatt. A bírság nagysága az eddigi legnagyobb a GDPR 2018. május 25-i hatályba lépése óta.

A CNIL által megvizsgált adatkezelési műveleteket és két jogsértést dr. Vári Csaba, a DLA Piper Posztl, Nemescsói, Györfi-Tóth és Társai Ügyvédi Iroda ügyvédje tekintette át az Advocatus blog legfrissebb cikkében.

Az eljárást két szervezet, a None Of Your Business (NOYB) és a La Quadrature du Net (LQDN) kezdeményezte, pontosan a GDPR hatálybalépésének napján. A két szervezet azt állította, hogy a Google-nek nincs megfelelő jogalapja a személyes adatok kezeléséhez a szolgáltatásai nyújtása, így kiváltképpen a reklámok személyre szabása kapcsán.

A CNIL 2018. június elején megküldte a két kifogást az európai adatvédelmi hatóságok részére, hogy megállapítható legyen, hogy melyik hatóság illetékes. Megállapították, hogy a jelen ügyekben a GDPR-ban előírt egyablakos rendszert – mely alapján a fő felügyeleti hatóság jár el hasonló ügyekben – nem kell alkalmazni, tekintettel arra, hogy az Európában egyébként írországi központú Google-nek nem az európai, ír leányvállalata volt felelős az adatkezelési tevékenységekért.

A CNIL megvizsgálta a kifogásolt adatkezelési műveleteket, és kétfajta jogsértést állapított meg.

Az átláthatóság és tájékoztatás követelményének megsértése: a CNIL véleménye szerint a felhasználóknak nyújtott tájékoztatás nem érhető el könnyen az érintettek részére. Fontos információk, mint például az adatkezelési célok, az adattárolás időtartama vagy a kezelt adatok kategóriái teljesen szétszórva találhatók meg a különböző dokumentumokban, melyek egy sor gombra és hivatkozásra történő kattintással érhetők csak el. A releváns információhoz gyakran csak 5-6 lépést követően lehet eljutni, mint pl. amikor a felhasználó arra kíváncsi, hogy milyen adatait használják a geolokációs követéshez. A CNIL azt is megállapította, hogy néhány információ nem minden esetben egyértelmű vagy teljes körű, és a felhasználók számára a Google által alkalmazott adatkezelések nem teljesen érthetőek. A Google által nyújtott szolgáltatások nagy száma miatt az adatkezelési műveletek kifejezetten tömegesek és agresszívek, továbbá a cég túlságosan is általános jelleggel nyújt tájékoztatást az adatkezelési célokról és a kezelt adatok köréről. Végső soron a felhasználók számára nem egyértelmű, hogy a reklámok személyre szabása a hozzájárulásuk vagy a Google jogos érdeke alapján történik, és néhány esetben az adattárolás időtartamát sem közli a cég.

A reklámok személyre szabásához szükséges jogalappal kapcsolatos jogsértés: A Google azt állítja, hogy ehhez a felhasználók hozzájárulása alapján kezeli a személyes adatokat, azonban a CNIL megállapította, hogy a hozzájárulásokat nem szerzi be jogszerűen a cég, mégpedig a következő két ok miatt. Először is, az érintett nem kellő információ alapján adja meg a hozzájárulást. A reklámok személyre szabásával kapcsolatos információk szét vannak forgácsolva különböző dokumentumokban és nem teszik lehetővé, hogy a felhasználó megismerje a tartalmukat. Például az „Ads Personalization” pontban nem lehetséges felmérni a szolgáltatások, weboldalak és alkalmazások sokaságát és az általuk kezelt adatokat. Másodszor, a hozzájárulás nem kellően kifejezett és nem egyértelmű. Bár egy Google-fiók létrehozásakor lehetőség van a személyre szabott reklámok beállításához, azonban ez nem jelenti azt, hogy ez a GDPR-nak megfelelően történik. A hozzájárulás előre ki van pipálva a beállítások között, ami sérti azt a szabályt, hogy a felhasználónak aktív megerősítéssel – pl. egy üres jelölőnégyzet kipipálásával – kell kifejeznie egyértelmű hozzájárulását. Ugyancsak sérti az előírásokat, hogy a hozzájárulás minden adatkezelési műveletre vonatkozik, és nincs lehetőség adatkezelési célonként külön-külön hozzájárulni az adatkezelésekhez.

A fentieket mérlegelve döntött a CNIL az 50 millió eurós bírság kiszabása mellett, először alkalmazva a GDPR által lehetővé tett bírság mértékét. A bírság kiszabásánál a GDPR alapelveinek – átláthatóság, tájékoztatás, hozzájárulás – súlyos megsértését vette figyelembe a hatóság. Bár a Google alkalmaz bizonyos eszközöket, ezek azonban nem akadályozzák meg azt, hogy a felhasználókat a személyes adataik kezeléséhez kapcsolódó szükséges garanciáktól ne fosszák meg. Márpedig ezen adatkezelések a nagyságrendjüknél és komplexitásuknál fogva a magánéletre jelentős hatással vannak, és szükségessé teszik a megfelelő tájékoztatást, az ellenőrzés lehetőségét és az érvényes hozzájárulás beszerzését.

A hatóság azt is figyelembe vette, hogy a jogsértés folyamatos, nem csak egyszeri vagy időben korlátozott. Az Android franciaországi piaci jelentősége is fontos szempont volt a bírság kiszabásánál (naponta franciák ezrei hoznak létre okostelefonjukon Google-fiókot), valamint az, hogy a cég üzleti modellje részben a hirdetések személyre szabásán alapul.

A CNIL-nél a Google ellen bejelentést tevő NOYB a napokban az osztrák adatvédelmi hatósághoz fordult, mert állításuk szerint egy sor streaming szolgáltató nem teljesíti a GDPR 15. cikkében foglalt érintetti jogokkal kapcsolatos kötelezettségeit, azaz az érintett hozzáféréshez való jogát. Az eljárás olyan szolgáltatókat érint, mint az Amazon, Apple, Netflix, Spotify, SoundCloud vagy a YouTube. Magyarországon is indultak hatósági eljárások GDPR hatályba lépése óta, azonban bírság kiszabására – tekintettel arra, hogy a hatóság csak kisebb súlyú jogsértéseket állapított meg – a mai napig nem került sor.

Ha tetszett a cikk, kövesse az ÜZLETEMET
a Facebookon!

Még több friss hír

2023. 03. 20., 16:40
Nem jellemezte magas cégfluktuáció a faipari szektort 2022-ben, alapvetően stagnált az itt működő cégek száma. Az egyéni vállalkozók köre tavaly közel 100 fővel tovább csökkent. A jövő rövidtávon várhatóan nem hoz jelentős kiugrást, 2023-ban csökkenő cégszámmal érdemes számolni – írja elemzésében az Opten.
2023. 03. 14., 13:43
Tíz év alatt sikerült egy marginális szereplőnek számító magyar kisvállalatból Magyarország elsőszámú fejvadász cégét felépíteni – mondta az Üzletemnek dr. Molontay Patrik, a HumanField Vezető- és Specialistakiválasztó Kft. ügyvezető igazgatója és Executive-üzletágvezetője.
2023-03-20 17:10:55
A klasszikus irodai munkakörök esetében elterjedtek a távmunkavégzés és annak flexibilis megjelenési formái: a határon átnyúló home office, a „mobile working” vagy akár a „workation”. A Grant Thornton összefoglalta a határon átnyúló munkavégzéssel kapcsolatos legfontosabb adózási kérdéseket.

  BIZNISZPLUSZ PODCAST

Miért és hogyan érdemes különbséget tenni vállalkozás és női vállalkozás között? Hogyan segítheti ez a szekció a VOSZ-on belül a hazai társas vállalkozások női vezetőit és dolgozóit? Mi az, amit egy női vállalkozás csípőből tud, de a cégeknek – még a nagyobbaknak is – még mindig tanulni kell? A szövetség legújabb szervezetét, a Női Vállalkozói Szekciót az elnök, Lakatosné Lukács Zsuzsanna mutatja be.
Mire számíthatnak a hazai vendéglátók és a szálláshely-szolgáltatók 2023-ban? Melyek az ágazat legfőbb problémái és kiugrási lehetőségei, mely régiók reménykedhetnek leginkább jó eredményekben? Hogyan támogatja a Vállalkozók és Munkáltatók Országos Szövetsége az ágazat szereplőit? A kérdésekre Duska Sándor, az Idegenforgalmi, Szálláshely-szolgáltatók és Vendéglátó-ipari szekció elnöke válaszol.
2022. 11. 29., 23:30
epizód: 2022 / 12   |   hossz: 24:09
Étvágygerjesztő sikertörténetet tálalunk fel a vendéglátóiparból. Az encsi Anyukám mondta titkát elsősorban nem az olaszos hangulatban, hanem a hazai alapanyagokban, a család- és vendégszeretetben kereshetjük. Dudás Szabolcs, az étterem egyik vezetője arról is beszél, hogy miként lett a főzés szeretetéből, átgondolt stratégiával, üzleti vállalkozás. A sztori 1995-ben egy olaszországi pizzakóstolós utazással kezdődött, és ma már a kiváló helyeknek járó Bib Gourmand-díjnál tart.

  Rovathírek: GUSTO

Nekem nagyon tetszik, annyira, hogy kiálltam mellette főszerkesztőnkkel szemben is, aki szerint csak szokványos ipari képlettel van dolgunk.

  Rovathírek: ATOMBUSINESS