Kémkedő fontok miatt kapott GDPR-bírságot egy német webhely-üzemeltető

München regionális bírósága 100 eurós (átszámítva kb. 35 ezer forintos) kártérítés megfizetésére kötelezte egy weboldal üzemeltetőjét, amiért a Google Fonts könyvtárán keresztül felhasználói beleegyezés nélkül gyűjtött személyes adatokat. A bíróság szerint a Google Fonts weboldalra történő beágyazásával, a weboldal látogatóinak IP címei átadásra kerültek a Google-nak, ahol aztán az összegyűjtött adatokat más, harmadik féltől származó adatokkal összevetve meghatározhatóak voltak az IP címek felhasználói.

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

Az Európai Unió általános adatvédelmi rendeleténej (GDPR) értelmében minden azonosításra alkalmas információ (Personal Identifiable Information – PII) – beleértve az IP címeket, hirdetésazonosítókat, cookie-kat stb. – kizárólag a felhasználók egyértelmű hozzájárulásával gyűjthetők. A bíróság mindamellett, hogy az adatgyűjtés megszüntetésére kötelezte a weboldalt, felszólította arra is, hogy tájékoztassa az adatgyűjtésben ezidáig érintett felhasználókat a weboldal által tárolt és feldolgozott személyes adatokról.

A Google Fonts könyvtár jelenleg 1358, könnyen beágyazható betűtípust tartalmaz, a rendszert globálisan mintegy 50 millió weboldal használja.

A német esethez hasonló határozat született nemrég Ausztriában is, ahol a helyi adatvédelmi hatóság a NetDoktor nevű e-health weboldal számára megtiltotta a Google Analytics kódok használatát, mivel a szervezet szerint az üzemeltető megsérti a GDPR rendelkezéseit azzal, hogy a látogatói adatokat a Google a tengerentúli szerverein tárolja.

(via NKI, via The Hacker News)