hotline

Megszületett az első érezhető GDPR alapú büntetés

Az első komolyabb, érezhetőbb, GDPR alapú büntetést a francia adatvédelmi hatóság a CNIL hozta meg, 2019 január 21-én: 50 millió EUR a Google LLC ellen, „az átláthatóság, a nem megfelelő információk hiánya és a hirdetések személyre szabása tekintetében érvényes jóváhagyás hiánya miatt.”
Az eljárás 2018 május 25-én indult, amikor a CNIL csoportos panaszokat kapott a „NOYB” (None Of Your Business – az osztrák Max Schrems szervezete) és a „La Quadrature du Net”-től („LQDN”). Az LQDN-t 10 000 ember felhatalmazta arra, hogy az ügyet a CNIL-hez utalja. A két panaszban azt állították, hogy a Google nem rendelkezik érvényes jogalappal a szolgáltatásainak felhasználóinak személyes adatainak feldolgozására, különösen a hirdetések személyre szabása céljából.
A hatóság 2018 június elsején indította el a vizsgálatát, és 2008 szeptemberében végzett online ellenőrzéseket. A cél az volt, hogy „ellenőrizzék a Google által a francia adatvédelmi törvényben és a GDPR-ben végrehajtott feldolgozási műveleteknek a felhasználó böngészési mintázatának és az általa hozzáférhető dokumentumok elemzésének a megfelelőségét, amikor Google fiókot hoz létre a beállítás során egy mobileszközön, amely Androidot használ.
A hatóság két jogsértést állapított meg:

  • Az átláthatósági és tájékoztatási kötelezettségek megsértése, illetve;
  • A hirdetések személyre szabott feldolgozásának jogalapjának megsértése.

Először is, a hatóság megállapította, hogy a Google által nyújtott információk nem érhetők el elég könnyen a felhasználók számára.
A felhasználók nem láthatják át teljes egészében a Google által végzett feldolgozási műveletek mértékét, a kínált szolgáltatások száma, a feldolgozott és összevont adatok összege és jellege miatt. A hatóság különösen azt vette figyelembe, hogy a feldolgozás céljait túl általános és homályos módon írják le, és így az ilyen célokra feldolgozott adatok kategóriáit is. Hasonlóképpen, a közölt információ nem elég világos ahhoz, hogy a felhasználó megértse, hogy a hirdetések személyre szabásának feldolgozási műveleteinek jogalapja a felhasználó hozzájárulása.
Másrészt a hirdetések személyre szabására vonatkozó feldolgozási műveletekre vonatkozó információk több dokumentumban „hígításra” kerülnek, és nem teszik lehetővé, hogy a felhasználó tudatában legyen annak mértékének. Például a „Hirdetések személyre szabása” részben nem lehet tudni, hogy a feldolgozási műveleteknek számos szolgáltatása, webhelye és alkalmazása van (Google keresés, Youtube, Google térképek, Playstore, Google pictures…) amelyek kombinálják és feldolgozzák a gyűjtött adatokat.
A hatóság azt is megállapította, hogy a begyűjtött hozzájárulás nem „konkrét” vagy „egyértelmű”.
Egy google fiók létrehozásakor a felhasználónak van lehetősége néhány, a fiókhoz kapcsolódó opciót változtatni, de például a hirdetések személyre szabásának megjelenítése is előre be van jelölve. Azonban, amint azt a GDPR előírja, a hozzájárulás „egyértelmű”, csak a felhasználó által egyértelműen jóváhagyott lépésekkel történhet (pl. egy jelölőnégyzet bejelölésével).
Végezetül, a fiók létrehozása előtt a be kell jelölnie az „Elfogadom a Google általános szerződési feltételeit” és a „Beleegyezem az adataim fent leírt, valamint az adatvédelmi irányelvekben részletezett módon történő feldolgozásába” négyzeteket. Ezzel a felhasználó a beleegyezés alapján teljes mértékben megadja hozzájárulását a Google által végzett feldolgozási műveletekhez (hirdetések személyre szabása, beszédfelismerés stb.). Azonban a GDPR előírja, hogy a hozzájárulás csak akkor „specifikus”, ha minden célra egyértelműen megadják (azaz adatkezelési célonként kell kérni a hozzájárulást).
Mindezekért a hatóság 50 millió EUR-s büntetést szabott ki a Google-re.
Ráadásul a jogsértések folyamatosak, mivel ezek a mai napig is megfigyelhetőek.
A hatóság figyelembe vette, hogy a franciák ezrei készítenek naponta Google fiókokat, és hogy a vállalat gazdasági modellje részben a hirdetések személyre szabása. Ezért „a legnagyobb felelősséggel tartozik az e területen meglévő kötelezettségeinek teljesítésére”.
A francia hatóság az új – GDPR – gyakorlatnak megfelelően és azt alakítva, más EU-s adatvédelmi hatóságokkal (különösen az írekkel) is együttműködött a bírság kiszabása előtti vizsgálat során.