Uniós polgárok adataival kereskednek Amerikában?
Súlyos következményei lehetnek, ha az amerikai Szövetségi Kereskedelmi Bizottság (FTC) vizsgálatot indít az amerikai adatgyűjtő cégek ellen. Egy civil szervezet hivatalos panasza szerint számos, háttérben működő vállalat illegális adatgyűjtést végez, ami ellenkezik az Európai Unióval kötött Safe Harbor egyezmény kitételeivel.
Bepanaszolt harminc amerikai vállalatot az amerikai Center for Digital Democracy, mivel a civil szervezet szerint azok nem tartják be az EU-amerikai Safe Harbor egyezmény kitételeit. A nemzetközi szerződés betartásáért amerikai oldalon az FTC (amerikai szövetségi kereskedelmi bizottság) felel, a CDD így ehhez a szervhez nyújtotta be hivatalos panaszát. A cégek a felhasználók számára jobbára ismeretlenek, azonban a háttérben folyó adatgyűjtést, adatfeldolgozást, aggregációt és profilozást ezen vállalatok platformjai végzik, láthatatlanul.
"Az uniós polgárok kereskedelmi célú megfigyelése amerikai vállalatok által ellentétes az EU alapvető elveivel és az európai adatvédelmi törvényekkel, illetve megsérti a Safe Harbor mechanizmust, amely az uniós polgárok Amerikában tárolt adatait hivatott kielégítően védeni." - mondja a szervezet. A dokumentum szerint a harminc bepanaszolt cégben az a közös, hogy "adatokat gyűjtenek, dolgoznak fel és osztanak meg uniós polgárokról annak érdekében, hogy digitális profilt építsenek, elemezzék viselkedésüket és az adatokat marketing és hasonló döntések során használják fel". A CDD szerint a cégek "jobbára ismeretlenek az EU-s felhasználók előtt, azonban azzal büszkélkednek, hogy mindent tudnak az egyedi felhasználókról és részletes profillal, valamint a célzáshoz szükséges adatokkal rendelkeznek."
A CDD által benyújtott listán kisebb cégek tömege szerepel, de néhány nagy névvel is találkozhatunk, mint az Adobe, az AOL vagy a Salesforce.com. A teljes lista: Acxiom, Adara Media, Adobe, Adometry, Alterian, AOL, AppNexus, Bizo, BlueKai, Criteo, Datalogix, DataXu, EveryScreen Media, ExactTarget, Gigya, HasOffers, Jumptap, Lithium, Lotame, Marketo, MediaMath, Merkle, Neustar, PubMatic, Salesforce.com, SDL, SpredFast, Sprinklr, Turn, és Xaxis.
Véletlenszerűen kiemelt cég reklámvideója. Nem a felhasználót tájékoztatják.
Amennyiben a területet felügyelő FTC úgy dönt, hogy a cégek megsértik a Safe Harbor mechanizmust, azzal az adott vállalkozás elveszíti a jogot ahhoz, hogy uniós polgárok személyes adatait tárolja, kezelje és dolgozza fel. Ez a legtöbb fenti cég esetében súlyos zavarokat okozna, jellemző üzleti tevékenységük ugyanis pontosan ezt a területet érinti.
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
A CDD három fő panaszt fogalmaz meg. Eszerint a vállalatok (szándékosan) félrevezetően mutatják be az adatgyűjtés célját és gyakorlatát, nem közlik expliciten a felhasználóval, hogy mire és hogyan gyűjtenek adatokat. A második probléma a civil szervezet szerint, hogy az EU-s jogi koncepciókat (mint anonimizált adatok vagy adatfeldolgozás) nem megfelelően használják saját tevékenységük leírására, a fogalmak használata nincs összhangban az uniós definíciókkal. A harmadik és talán legérdekesebb panasz, hogy a cégek felvásárlás és egyesülés útján terjesztik ki adathalmazaikat, olyan módon, ami az eredeti adatgyűjtés során nyújtott tájékoztatás fényében illegális.
Még egyszer: Safe Harbor?
Mint ismeretes, az Európai Unió és az Egyesült Államok érvényes szabályozása látványosan eltérő a személyes adatok védelmét illetően. Míg az EU-ban igen erős, explicit védelem illeti az ilyen adatokat, az Egyesült Államokban jobbára a piaci szereplők belátására, önszabályozására van bízva a kérdés. A két régióban ennek megfelelően egészen eltérő adatvédelmi gyakorlat honosodott meg, például az amerikai cégek között általános a felhasználók adataival való kereskedelem, ez az EU-ban a szigorú szabályozás miatt elvben sem lehetséges. Ugyan az amerikai hatóságok a kihágásokra újra és újra belebegtetik a terület törvényes szabályozását, mint büntetést, eddig erre nem került sor.
A két, igen eltérő adatvédelmi rezsim átjárhatóságát az úgynevezett Safe Harbor keretegyezmény teszi lehetővé. Ez egy folyamatot implementál, amelyet végigzongorázva amerikai cégek végezhetnek tevékenységet az Európai Unióban, a felhasználók személyes adatait pedig kivihetik amerikai szervereikre. A folyamat során az érintett cégek vállalják, hogy az EU-s szabályozást betartják az összes európai adatra vonatkozóan, függetlenül attól, hogy azt fizikailag mely joghatóság alá tartozik. A vállalások ellenőrzése nem szigorú, nincs kötelező külső minősítés vagy audit, ezt a cégek jobbára önbevallás alapján vállalják, ellenőrzési (és büntetési) joga azonban az FTC-nek van a kérdésben.