Mellékleteink: HUP | Gamekapocs
Keres

Már indul is a GDPR-per a Facebook és a Google ellen

Habók Lilla, 2018. május 28. 10:30

Négy panaszt nyújtott be Max Schrems adatvédelmi aktivista jogász a Facebook és a Google ellen, az EU négy különböző adatvédelmi hatóságához. A tervek szerint ebből majd kiderül, hogy mennyire vehető komolyan a GDPR és az előirányzott büntetések.

Május 25-én alkalmazásba lépett az európai adatvédelmi rendelet (GDPR), amelynek be nem tartása akár 20 millió eurós vagy a globális bevétel 4 százalékát elérő bírsággal is járhat. Max Schrems osztrák jogász és adatvédelmi aktivista - korábban ő buktatta meg a Safe Harbor mechanizmust - pedig már az első napon a hatóságokhoz fordult a NOYB nonprofit szervezetén keresztül, hogy tesztelje, a Facebook és a Google esetében elegendőek-e a GDPR-ral összefüggésben tett változtatások. A jogász szerint ugyanis az említett vállalatok "elfogadod a szabályzatunkat vagy törlünk" opciói nem felelnek meg a rendelet követelményeinek, de hogy a hatóság is kivizsgálja a kérdést, négy hasonló panaszt nyújtott be az említett technológiai óriások ellen - szerepel az összefoglalóban, amelyből a panaszok egyesével is elérhetőek.

Az európai koordináció érdekében az Android ügyének kivizsgálását a francia CNIL kapta meg. Magára a Facebookra vonatkozó panaszt Schrems az osztrák DSB-nek küldte be, továbbá a szintén a közösségi óriáshoz tartozó Instagram panaszát a belga DPA-nak, a WhatsApp ügyét pedig a hamburgi adatvédelmi hivatalnak (HmbBfDI). Ezenkívül a jogász megemlíti, hogy a Facebookra vonatkozó kérdésekbe várhatóan az ír adatvédelmi biztost is bevonják a hatóságok, mivel a közösségi óriás európai központja Írországban található.

A panasz tartalma szerint a GDPR egyértelműen szabályozza, hogy a cégeknek meg kell indokolni minden egyes felhasználói adatról, milyen célból tárolják. A felhasználónak pedig külön-külön kell tudni nyilatkozni, hogy milyen adatai kezeléséhez járul hozzá. Kötelező a beleegyezés kérése a hozzájárulásnál, a profilalkotásnál, a külföldi adattovábbításnál és az emailes direkt marketingnél (eDM) külön-külön. Ezek közül pedig a felhasználó mondhatja meg, hogy például hírlevelet kér, de nem továbbíthatják az adatait az EU határain kívülre, ami a Facebooknál és a Google-nél eleve problémás terület. Úgyhogy a vállalatok a tárolt adatok listázása helyett inkább úgy döntöttek, hogy összevonják a beleegyezés kéréseket, és kényszerítik a felhasználóikat az eddig is kezelt adatok elfogadására vagy máskülönben nem használhatják a szolgáltatást.

gdpr_facebook_beleegyezes

A Facebook csak egy "Elfogadom" lehetőséget adott

Schrems indoklása szerint sok felhasználó egyáltalán nincs is tudatában, hogy ez a kényszerítés az adatvédelmi rendelet szerint a legtöbb esetben kifejezetten tilos, az így megszerzett adatkezelési hozzájárulás nem érvényes. A vállalatok csak azokat az adatokat használhatják fel, amelyek a szolgáltatás szempontjából szükségesek, és ezekhez a cégeknek nem is kell hozzájárulást kérni. Azonban a hirdetések személyre szabása a Facebook adatai alapján például nem tartozik közvetlenül a Facebook vagy Instagram fő szolgáltatásai közé, ezért erről a felhasználóktól külön beleegyezést kellene kérni - és az sem elegendő, ha ezt utólag ki lehet kapcsolni, de hozzájárulást nem kért a cég.

Tehát Schrems szerint a Facebook és a Google egyértelműen több ponton is megsérti a GDPR-t, amely miatt az Androidnak 3,7 milliárd eurót, a Facebooknak, az Instagramnak és a WhatsAppnak fejenként akár 1,3 milliárd eurót kellene fizetnie büntetésként. Ahogy a NOYB közleménye is megjegyzi, egyértelmű, hogy a hatóságok nem fognak rögtön milliárd eurós büntetéseket kiszabni a vállalatokra. Azonban a jogászok szeretnének rávilágítani, hogy a vállalatok törvényt sértenek, és megérdemelnek valamekkora büntetést. Egyúttal a szervezet a panaszok benyújtásával a GDPR-t is szeretné tesztelni, hogy mennyire lehet komolyan venni a rendelet által megszabott követeléseket.

GDPR: a történet csak most kezdődik

A múlt heti, hisztériába hajló GDPR-határidő nyomán sokan azt gondolhatták, hogy vége, immár túl vagyunk rajta. A valóságban azonban a tulajdonképpeni bevezetés hetekig-hónapokig, sőt, akár évekig is eltarthat, ahogy fokozatosan tovagyűrűzik a vállalatoknál, és a különböző szinteken álló döntéshozók lefordítják a napi rutin nyelvére a GDPR megkötéseit. És ne feledjük el, hogy a GDPR-ban a G az általánosat jelenti, vagyis ez az élet minden területére kiterjed, az eDM és internet után lassabban ébredő cégeknél is alapvetően átalakítja, ahogy a személyes adatokkal foglalkoznak.

Ebben nagyon fontos szerepe lesz a hatóságok és az igazságszolgáltatás munkájának, a szabályozás igazi karmait az jelenti majd, ha a betartáson és betartatáson dolgozók is komolyan veszik feladatukat. Ez pedig még erősen kétesélyes: a már említett Safe Harbor is nagyon sokáig élt, annak ellenére, hogy egyértelműen sértette az uniós alapjogokat. Így fontos szerepe lesz majd a civil szervezeteknek és a helyi hatóságoknak abban, hogy a szabályozás korlátait bírósági úton is teszteljék, jöjjenek majd az első fontos ítéletek, amelyek alapján ki lehet alakítani az iparági best practice-ek rendszerét.

Aki pedig nem akarja mégegyszer átélni a GDPR okozta őrült pár hetet-hónapot, az már most elkezdhet készülni a következő körre. Várhatóan valamikor 2019-ben élesedik az új ePrivacy direktíva, amely az általános GDPR-ral szemben kimondottan az internetes adatvédelmet szabályozza újra, és sok tekintetben új szigorításokat hoz a GDPR-hoz viszonyítva is. Itt kimondottan az elektronikus kommunikáció és követés, a cookie-k, az eDM és hasonló csatornák lesznek újra fókuszban, és várhatóan újra feje tetejére állítja majd az internetet. Az ePrivacy tervezete itt olvasható.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.