Már indul is a GDPR-per a Facebook és a Google ellen
Négy panaszt nyújtott be Max Schrems adatvédelmi aktivista jogász a Facebook és a Google ellen, az EU négy különböző adatvédelmi hatóságához. A tervek szerint ebből majd kiderül, hogy mennyire vehető komolyan a GDPR és az előirányzott büntetések.
Május 25-én alkalmazásba lépett az európai adatvédelmi rendelet (GDPR), amelynek be nem tartása akár 20 millió eurós vagy a globális bevétel 4 százalékát elérő bírsággal is járhat. Max Schrems osztrák jogász és adatvédelmi aktivista - korábban ő buktatta meg a Safe Harbor mechanizmust - pedig már az első napon a hatóságokhoz fordult a NOYB nonprofit szervezetén keresztül, hogy tesztelje, a Facebook és a Google esetében elegendőek-e a GDPR-ral összefüggésben tett változtatások. A jogász szerint ugyanis az említett vállalatok "elfogadod a szabályzatunkat vagy törlünk" opciói nem felelnek meg a rendelet követelményeinek, de hogy a hatóság is kivizsgálja a kérdést, négy hasonló panaszt nyújtott be az említett technológiai óriások ellen - szerepel az összefoglalóban, amelyből a panaszok egyesével is elérhetőek.
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
Az európai koordináció érdekében az Android ügyének kivizsgálását a francia CNIL kapta meg. Magára a Facebookra vonatkozó panaszt Schrems az osztrák DSB-nek küldte be, továbbá a szintén a közösségi óriáshoz tartozó Instagram panaszát a belga DPA-nak, a WhatsApp ügyét pedig a hamburgi adatvédelmi hivatalnak (HmbBfDI). Ezenkívül a jogász megemlíti, hogy a Facebookra vonatkozó kérdésekbe várhatóan az ír adatvédelmi biztost is bevonják a hatóságok, mivel a közösségi óriás európai központja Írországban található.
A panasz tartalma szerint a GDPR egyértelműen szabályozza, hogy a cégeknek meg kell indokolni minden egyes felhasználói adatról, milyen célból tárolják. A felhasználónak pedig külön-külön kell tudni nyilatkozni, hogy milyen adatai kezeléséhez járul hozzá. Kötelező a beleegyezés kérése a hozzájárulásnál, a profilalkotásnál, a külföldi adattovábbításnál és az emailes direkt marketingnél (eDM) külön-külön. Ezek közül pedig a felhasználó mondhatja meg, hogy például hírlevelet kér, de nem továbbíthatják az adatait az EU határain kívülre, ami a Facebooknál és a Google-nél eleve problémás terület. Úgyhogy a vállalatok a tárolt adatok listázása helyett inkább úgy döntöttek, hogy összevonják a beleegyezés kéréseket, és kényszerítik a felhasználóikat az eddig is kezelt adatok elfogadására vagy máskülönben nem használhatják a szolgáltatást.
A Facebook csak egy "Elfogadom" lehetőséget adott
Schrems indoklása szerint sok felhasználó egyáltalán nincs is tudatában, hogy ez a kényszerítés az adatvédelmi rendelet szerint a legtöbb esetben kifejezetten tilos, az így megszerzett adatkezelési hozzájárulás nem érvényes. A vállalatok csak azokat az adatokat használhatják fel, amelyek a szolgáltatás szempontjából szükségesek, és ezekhez a cégeknek nem is kell hozzájárulást kérni. Azonban a hirdetések személyre szabása a Facebook adatai alapján például nem tartozik közvetlenül a Facebook vagy Instagram fő szolgáltatásai közé, ezért erről a felhasználóktól külön beleegyezést kellene kérni - és az sem elegendő, ha ezt utólag ki lehet kapcsolni, de hozzájárulást nem kért a cég.
Tehát Schrems szerint a Facebook és a Google egyértelműen több ponton is megsérti a GDPR-t, amely miatt az Androidnak 3,7 milliárd eurót, a Facebooknak, az Instagramnak és a WhatsAppnak fejenként akár 1,3 milliárd eurót kellene fizetnie büntetésként. Ahogy a NOYB közleménye is megjegyzi, egyértelmű, hogy a hatóságok nem fognak rögtön milliárd eurós büntetéseket kiszabni a vállalatokra. Azonban a jogászok szeretnének rávilágítani, hogy a vállalatok törvényt sértenek, és megérdemelnek valamekkora büntetést. Egyúttal a szervezet a panaszok benyújtásával a GDPR-t is szeretné tesztelni, hogy mennyire lehet komolyan venni a rendelet által megszabott követeléseket.
GDPR: a történet csak most kezdődik
A múlt heti, hisztériába hajló GDPR-határidő nyomán sokan azt gondolhatták, hogy vége, immár túl vagyunk rajta. A valóságban azonban a tulajdonképpeni bevezetés hetekig-hónapokig, sőt, akár évekig is eltarthat, ahogy fokozatosan tovagyűrűzik a vállalatoknál, és a különböző szinteken álló döntéshozók lefordítják a napi rutin nyelvére a GDPR megkötéseit. És ne feledjük el, hogy a GDPR-ban a G az általánosat jelenti, vagyis ez az élet minden területére kiterjed, az eDM és internet után lassabban ébredő cégeknél is alapvetően átalakítja, ahogy a személyes adatokkal foglalkoznak.
Ebben nagyon fontos szerepe lesz a hatóságok és az igazságszolgáltatás munkájának, a szabályozás igazi karmait az jelenti majd, ha a betartáson és betartatáson dolgozók is komolyan veszik feladatukat. Ez pedig még erősen kétesélyes: a már említett Safe Harbor is nagyon sokáig élt, annak ellenére, hogy egyértelműen sértette az uniós alapjogokat. Így fontos szerepe lesz majd a civil szervezeteknek és a helyi hatóságoknak abban, hogy a szabályozás korlátait bírósági úton is teszteljék, jöjjenek majd az első fontos ítéletek, amelyek alapján ki lehet alakítani az iparági best practice-ek rendszerét.
Aki pedig nem akarja mégegyszer átélni a GDPR okozta őrült pár hetet-hónapot, az már most elkezdhet készülni a következő körre. Várhatóan valamikor 2019-ben élesedik az új ePrivacy direktíva, amely az általános GDPR-ral szemben kimondottan az internetes adatvédelmet szabályozza újra, és sok tekintetben új szigorításokat hoz a GDPR-hoz viszonyítva is. Itt kimondottan az elektronikus kommunikáció és követés, a cookie-k, az eDM és hasonló csatornák lesznek újra fókuszban, és várhatóan újra feje tetejére állítja majd az internetet. Az ePrivacy tervezete itt olvasható.