Megúszta az Amazon a gigászi GDPR bírságot
Mégis megússza az európai általános adatvédelmi rendelet, azaz a GDPR megsértéséért kapott 746 millió eurós bírságot az Amazon a luxemburgi fellebviteli bíróság döntése nyomán. A céget még 2021-ben meszelte el a letelepedés alapján joghatósággal bíró luxemburgi adatvédelmi hatóság, a szervezetnek most új eljárást kell lefolytatnia.
Megúszta az évtized egyik legnagyobb adatvédelmi bírságát az Amazon európai leányvállalata, a Luxemburgban bejegyzett Amazon Europe Core S.à r.l. A helyi fellebviteli bíróság pénteki ítélete megsemmisítette a luxemburgi adatvédelmi hatóság 2021-es, 746 millió eurós bírságoló határozatát, miután bizonyítottnak találta, hogy a szervezet nem megfelelő gondossággal folytatta le eljárását.
A Commission Nationale pour la Protection des Données (CNPD) csaknem öt éve hozott határozata szerint az Amazon európai leányvállalata nem az európai adatvédelmi rendeletnek, azaz a GDPR-nek megfelelően kezelte a felhasználók adatait. A CNPD a rekordbüntetés mellett a jogsértő állapot azonnali megszüntetésére szólította fel az Amazont, ám hogy pontosan milyen intézkedéseket írt elő a luxemburgi hatóság, azt sem a szervezet nem részletezte, sem az e-kereskedelmi multi bedványából nem derült ki.
A határozathozatalt követően az Amazon azonnal közölte, hogy fellebbezni fog, illetve súlyosan aránytalannak ítélte a bírságösszeget, mely egészen a Meta 2023-as 1,2 milliárd eurós GDPR büntetéséig rekordnak számított az Európai Unióban.
Fejleszd tudásod security, ethical hacker, pentester irányba! (x) NIS2-nek megfelelő CyberSecurity képzés az automatizált sérülékenységvizsgálatról. Scope meghatározás, felderítés, validálás, dokumentálás és riportálás. Jelentkezz most!
Bár a bíróság elsőfokon tavaly megerősítette a CNPD határozatában foglaltakat, az amerikai multi jogászainak sikerült másodfokon megfordítaniuk az ítéletet azzal, hogy több, a CNPD eljárását érintő felületességre is felhívták a bíróság figyelmét. A jogászok sajtóbeszámolók szerint sikerrel érveltek azzal, hogy a hatóság nem tudta egyértelműen bizonyítani, hogy az Amazon szándékosan sértette meg az adatvédelmi rendeletben foglaltakat vagy súlyos gondatlanságból, emellett a CNPD nem vizsgálta meg más esetleges büntetési opciók használatát, helyette a lehető legnagyobb összegű bírságot rótta ki a vállalatra.
Az ítélet alapján a CNPD-nek újabb eljárást kell lefolytatnia az ügyben, azt ugyanakkor maga a hatóság is elismerte a másodfokú ítélethirdetést követően, hogy az Amazon az eljárás hatására a jogszabályoknak megfelelően átalakította hirdetési rendszerét, így aligha várható, hogy az ügyben újabb, az eredetileg kiszabotthoz hasonló összegű bírság születik majd.