GDPR: az 50 millió eurós gigabírság háttere

2019. 01. 24., 16:16

A francia adatvédelmi hatóság (CNIL) 2019. január 21-én 50 millió eurós (kb. 16 milliárd Ft) bírsággal sújtotta a Google-t az általános adatvédelmi rendelet (GDPR) szabályainak megsértése miatt. A bírság nagysága az eddigi legnagyobb a GDPR 2018. május 25-i hatályba lépése óta.

A CNIL által megvizsgált adatkezelési műveleteket és két jogsértést dr. Vári Csaba, a DLA Piper Posztl, Nemescsói, Györfi-Tóth és Társai Ügyvédi Iroda ügyvédje tekintette át az Advocatus blog legfrissebb cikkében.

Az eljárást két szervezet, a None Of Your Business (NOYB) és a La Quadrature du Net (LQDN) kezdeményezte, pontosan a GDPR hatálybalépésének napján. A két szervezet azt állította, hogy a Google-nek nincs megfelelő jogalapja a személyes adatok kezeléséhez a szolgáltatásai nyújtása, így kiváltképpen a reklámok személyre szabása kapcsán.

A CNIL 2018. június elején megküldte a két kifogást az európai adatvédelmi hatóságok részére, hogy megállapítható legyen, hogy melyik hatóság illetékes. Megállapították, hogy a jelen ügyekben a GDPR-ban előírt egyablakos rendszert – mely alapján a fő felügyeleti hatóság jár el hasonló ügyekben – nem kell alkalmazni, tekintettel arra, hogy az Európában egyébként írországi központú Google-nek nem az európai, ír leányvállalata volt felelős az adatkezelési tevékenységekért.

A CNIL megvizsgálta a kifogásolt adatkezelési műveleteket, és kétfajta jogsértést állapított meg.

Az átláthatóság és tájékoztatás követelményének megsértése: a CNIL véleménye szerint a felhasználóknak nyújtott tájékoztatás nem érhető el könnyen az érintettek részére. Fontos információk, mint például az adatkezelési célok, az adattárolás időtartama vagy a kezelt adatok kategóriái teljesen szétszórva találhatók meg a különböző dokumentumokban, melyek egy sor gombra és hivatkozásra történő kattintással érhetők csak el. A releváns információhoz gyakran csak 5-6 lépést követően lehet eljutni, mint pl. amikor a felhasználó arra kíváncsi, hogy milyen adatait használják a geolokációs követéshez. A CNIL azt is megállapította, hogy néhány információ nem minden esetben egyértelmű vagy teljes körű, és a felhasználók számára a Google által alkalmazott adatkezelések nem teljesen érthetőek. A Google által nyújtott szolgáltatások nagy száma miatt az adatkezelési műveletek kifejezetten tömegesek és agresszívek, továbbá a cég túlságosan is általános jelleggel nyújt tájékoztatást az adatkezelési célokról és a kezelt adatok köréről. Végső soron a felhasználók számára nem egyértelmű, hogy a reklámok személyre szabása a hozzájárulásuk vagy a Google jogos érdeke alapján történik, és néhány esetben az adattárolás időtartamát sem közli a cég.

A reklámok személyre szabásához szükséges jogalappal kapcsolatos jogsértés: A Google azt állítja, hogy ehhez a felhasználók hozzájárulása alapján kezeli a személyes adatokat, azonban a CNIL megállapította, hogy a hozzájárulásokat nem szerzi be jogszerűen a cég, mégpedig a következő két ok miatt. Először is, az érintett nem kellő információ alapján adja meg a hozzájárulást. A reklámok személyre szabásával kapcsolatos információk szét vannak forgácsolva különböző dokumentumokban és nem teszik lehetővé, hogy a felhasználó megismerje a tartalmukat. Például az „Ads Personalization” pontban nem lehetséges felmérni a szolgáltatások, weboldalak és alkalmazások sokaságát és az általuk kezelt adatokat. Másodszor, a hozzájárulás nem kellően kifejezett és nem egyértelmű. Bár egy Google-fiók létrehozásakor lehetőség van a személyre szabott reklámok beállításához, azonban ez nem jelenti azt, hogy ez a GDPR-nak megfelelően történik. A hozzájárulás előre ki van pipálva a beállítások között, ami sérti azt a szabályt, hogy a felhasználónak aktív megerősítéssel – pl. egy üres jelölőnégyzet kipipálásával – kell kifejeznie egyértelmű hozzájárulását. Ugyancsak sérti az előírásokat, hogy a hozzájárulás minden adatkezelési műveletre vonatkozik, és nincs lehetőség adatkezelési célonként külön-külön hozzájárulni az adatkezelésekhez.

A fentieket mérlegelve döntött a CNIL az 50 millió eurós bírság kiszabása mellett, először alkalmazva a GDPR által lehetővé tett bírság mértékét. A bírság kiszabásánál a GDPR alapelveinek – átláthatóság, tájékoztatás, hozzájárulás – súlyos megsértését vette figyelembe a hatóság. Bár a Google alkalmaz bizonyos eszközöket, ezek azonban nem akadályozzák meg azt, hogy a felhasználókat a személyes adataik kezeléséhez kapcsolódó szükséges garanciáktól ne fosszák meg. Márpedig ezen adatkezelések a nagyságrendjüknél és komplexitásuknál fogva a magánéletre jelentős hatással vannak, és szükségessé teszik a megfelelő tájékoztatást, az ellenőrzés lehetőségét és az érvényes hozzájárulás beszerzését.

A hatóság azt is figyelembe vette, hogy a jogsértés folyamatos, nem csak egyszeri vagy időben korlátozott. Az Android franciaországi piaci jelentősége is fontos szempont volt a bírság kiszabásánál (naponta franciák ezrei hoznak létre okostelefonjukon Google-fiókot), valamint az, hogy a cég üzleti modellje részben a hirdetések személyre szabásán alapul.

A CNIL-nél a Google ellen bejelentést tevő NOYB a napokban az osztrák adatvédelmi hatósághoz fordult, mert állításuk szerint egy sor streaming szolgáltató nem teljesíti a GDPR 15. cikkében foglalt érintetti jogokkal kapcsolatos kötelezettségeit, azaz az érintett hozzáféréshez való jogát. Az eljárás olyan szolgáltatókat érint, mint az Amazon, Apple, Netflix, Spotify, SoundCloud vagy a YouTube. Magyarországon is indultak hatósági eljárások GDPR hatályba lépése óta, azonban bírság kiszabására – tekintettel arra, hogy a hatóság csak kisebb súlyú jogsértéseket állapított meg – a mai napig nem került sor.

Ha tetszett a cikk, kövesse az ÜZLETEMET
a Facebookon!

Még több friss hír

2025. 07. 08., 17:40
Az elmúlt időszakban a globális minimumadó kapcsán izgalmas fejlemények játszódtak le. A legfrissebb politikai megegyezések alapján az amerikai vállalatcsoportok kikerülhetnek a globális minimumadó hatálya alól, illetve mentességet kaphatnak a szabályok alkalmazása alól – számolnak be a Deloitte szakértői. Ez a hír kétségtelenül előnyös az amerikai multinacionális cégek számára, ugyanakkor számos kérdést vet fel a még frissnek számító rendszer további működése kapcsán.
2025-07-09 11:40:00
„A mesterséges intelligenciát elsősorban az emberi munkaerő tehermentesítésére használják a HR területén is, az pedig hasonlóan dolgozik az előszűrésnél, mint általában egy szakember: kulcssavakat keres, és a megadott kritériumoknak való megfelelést figyeli.”
2025-07-08 17:20:00
Továbbra is vegyes a kép a logisztika alágazatai között. A légi áruszállítás teljesítménye dinamikusan bővül, az első negyedévben rekordnak számító, 94,5 ezer tonna árut kezeltek a fővárosi repülőtéren. A nagyságrendekkel nagyobb volumenű közúti és vasúti áruforgalom ugyanakkor tovább csökkent. A közúti áruszállítás ismét évtizedes mélypontra süllyedt, miközben a nemzetközi gazdasági környezet hatásai a vasúti teherszállításra nyomták rá a bélyeget.

  Rovathírek: HIPA

  BIZNISZPLUSZ PODCAST

Donald Trump kriptoüzlete – és a piachoz kötődő szabályozó tevékenysége – miatt világszerte egyre nagyobb figyelem irányul a digitális valutákra. Mivel a téma egy 2025. július 1-jével érvénybe lépett kriptopiaci törvény miatt itthon is forró, megkértük Kalocsai Kornélt, a Blockchain Magyarország Egyesület alapító-elnökét, hogy segítsen tisztán látni, egyrészt az amerikai elnök által előidézett változásokkal, másrészt azzal kapcsolatban, hogy a kriptopiacot hogyan kellene mindenki javára megtisztítani. A blockchain és kripto szakértő-tanácsadó a leggyakrabban előforduló buktatókra és csalásokra is felhívta a figyelmet.
Érdekes ingatlanpiaci helyzetet teremt a helyi önazonosság védelméről szóló törvény, amely júliustól már hatályba is lép. Sokan gondolják, hogy önmagában a létezése befolyásolhatja az árakat, de ez szinte kizárólag az önkormányzatokon múlik. Bár Szegő Péterrel még a parlamenti szavazás előtt beszélgettünk a témáról, a Duna House PR és elemzési szakértőjeként átfogó képet tudott adni róla, hogy mi történik lokálisan és országosan a jogszabály bevezetése után.
Az Országos Kereskedelmi Szövetség (OKSZ) közölte: sajnálattal veszi tudomásul, hogy a kormány szakmai egyeztetés nélkül hosszabbította meg a hatósági árak rendszerét, hiszen ezzel a szőnyeg alá söpörték a gazdaságban lappangó feszültségeket, amelyek így csak tovább gyűlnek és mindenképpen felszínre kerülnek. Az árrésstop legnagyobb vesztesei éppen a kisboltok lesznek, hiszen lemaradnak az árversenyben a multikkal szemben – vezeti le ebben az epizódban Kozák Tamás. Az OKSZ főtitkára azt is elmagyarázza, miért nincs rendjén az elmaradt egyeztetés és felvázolja a szövetség szakpolitikai javaslatait, amelyek viszont gyógyírt jelentenének – árrésstop helyett.

  Rovathírek: ATOMBUSINESS