GDPR: az 50 millió eurós gigabírság háttere

A CNIL által megvizsgált adatkezelési műveleteket és két jogsértést dr. Vári Csaba, a DLA Piper Posztl, Nemescsói, Györfi-Tóth és Társai Ügyvédi Iroda ügyvédje tekintette át az Advocatus blog legfrissebb cikkében.

Az eljárást két szervezet, a None Of Your Business (NOYB) és a La Quadrature du Net (LQDN) kezdeményezte, pontosan a GDPR hatálybalépésének napján. A két szervezet azt állította, hogy a Google-nek nincs megfelelő jogalapja a személyes adatok kezeléséhez a szolgáltatásai nyújtása, így kiváltképpen a reklámok személyre szabása kapcsán.

A CNIL 2018. június elején megküldte a két kifogást az európai adatvédelmi hatóságok részére, hogy megállapítható legyen, hogy melyik hatóság illetékes. Megállapították, hogy a jelen ügyekben a GDPR-ban előírt egyablakos rendszert – mely alapján a fő felügyeleti hatóság jár el hasonló ügyekben – nem kell alkalmazni, tekintettel arra, hogy az Európában egyébként írországi központú Google-nek nem az európai, ír leányvállalata volt felelős az adatkezelési tevékenységekért.

A CNIL megvizsgálta a kifogásolt adatkezelési műveleteket, és kétfajta jogsértést állapított meg.

Az átláthatóság és tájékoztatás követelményének megsértése: a CNIL véleménye szerint a felhasználóknak nyújtott tájékoztatás nem érhető el könnyen az érintettek részére. Fontos információk, mint például az adatkezelési célok, az adattárolás időtartama vagy a kezelt adatok kategóriái teljesen szétszórva találhatók meg a különböző dokumentumokban, melyek egy sor gombra és hivatkozásra történő kattintással érhetők csak el. A releváns információhoz gyakran csak 5-6 lépést követően lehet eljutni, mint pl. amikor a felhasználó arra kíváncsi, hogy milyen adatait használják a geolokációs követéshez. A CNIL azt is megállapította, hogy néhány információ nem minden esetben egyértelmű vagy teljes körű, és a felhasználók számára a Google által alkalmazott adatkezelések nem teljesen érthetőek. A Google által nyújtott szolgáltatások nagy száma miatt az adatkezelési műveletek kifejezetten tömegesek és agresszívek, továbbá a cég túlságosan is általános jelleggel nyújt tájékoztatást az adatkezelési célokról és a kezelt adatok köréről. Végső soron a felhasználók számára nem egyértelmű, hogy a reklámok személyre szabása a hozzájárulásuk vagy a Google jogos érdeke alapján történik, és néhány esetben az adattárolás időtartamát sem közli a cég.

A reklámok személyre szabásához szükséges jogalappal kapcsolatos jogsértés: A Google azt állítja, hogy ehhez a felhasználók hozzájárulása alapján kezeli a személyes adatokat, azonban a CNIL megállapította, hogy a hozzájárulásokat nem szerzi be jogszerűen a cég, mégpedig a következő két ok miatt. Először is, az érintett nem kellő információ alapján adja meg a hozzájárulást. A reklámok személyre szabásával kapcsolatos információk szét vannak forgácsolva különböző dokumentumokban és nem teszik lehetővé, hogy a felhasználó megismerje a tartalmukat. Például az „Ads Personalization” pontban nem lehetséges felmérni a szolgáltatások, weboldalak és alkalmazások sokaságát és az általuk kezelt adatokat. Másodszor, a hozzájárulás nem kellően kifejezett és nem egyértelmű. Bár egy Google-fiók létrehozásakor lehetőség van a személyre szabott reklámok beállításához, azonban ez nem jelenti azt, hogy ez a GDPR-nak megfelelően történik. A hozzájárulás előre ki van pipálva a beállítások között, ami sérti azt a szabályt, hogy a felhasználónak aktív megerősítéssel – pl. egy üres jelölőnégyzet kipipálásával – kell kifejeznie egyértelmű hozzájárulását. Ugyancsak sérti az előírásokat, hogy a hozzájárulás minden adatkezelési műveletre vonatkozik, és nincs lehetőség adatkezelési célonként külön-külön hozzájárulni az adatkezelésekhez.

A fentieket mérlegelve döntött a CNIL az 50 millió eurós bírság kiszabása mellett, először alkalmazva a GDPR által lehetővé tett bírság mértékét. A bírság kiszabásánál a GDPR alapelveinek – átláthatóság, tájékoztatás, hozzájárulás – súlyos megsértését vette figyelembe a hatóság. Bár a Google alkalmaz bizonyos eszközöket, ezek azonban nem akadályozzák meg azt, hogy a felhasználókat a személyes adataik kezeléséhez kapcsolódó szükséges garanciáktól ne fosszák meg. Márpedig ezen adatkezelések a nagyságrendjüknél és komplexitásuknál fogva a magánéletre jelentős hatással vannak, és szükségessé teszik a megfelelő tájékoztatást, az ellenőrzés lehetőségét és az érvényes hozzájárulás beszerzését.

A hatóság azt is figyelembe vette, hogy a jogsértés folyamatos, nem csak egyszeri vagy időben korlátozott. Az Android franciaországi piaci jelentősége is fontos szempont volt a bírság kiszabásánál (naponta franciák ezrei hoznak létre okostelefonjukon Google-fiókot), valamint az, hogy a cég üzleti modellje részben a hirdetések személyre szabásán alapul.

A CNIL-nél a Google ellen bejelentést tevő NOYB a napokban az osztrák adatvédelmi hatósághoz fordult, mert állításuk szerint egy sor streaming szolgáltató nem teljesíti a GDPR 15. cikkében foglalt érintetti jogokkal kapcsolatos kötelezettségeit, azaz az érintett hozzáféréshez való jogát. Az eljárás olyan szolgáltatókat érint, mint az Amazon, Apple, Netflix, Spotify, SoundCloud vagy a YouTube. Magyarországon is indultak hatósági eljárások GDPR hatályba lépése óta, azonban bírság kiszabására – tekintettel arra, hogy a hatóság csak kisebb súlyú jogsértéseket állapított meg – a mai napig nem került sor.