GDPR: 50 millió eurós bírságot kapott a Google
Eddigi legnagyobb összegű bírságát rótta ki a francia adatvédelmi hivatal a Google-re a GDPR több pontjának megsértése miatt. A CNIL szerint Androidon a Google-fiókok létrehozása során a cég nem közli érthetően, hogy milyen adatokat fog feldolgozni, és nem elég egyértelmű a személyre szabott hirdetések jogalapja sem.
Kiszabta a francia adatvédelmi hatóság vagyis a CNIL az európai uniós általános adatvédelmi rendelet megsértése miatt az első 50 millió eurós büntetését a Google-re, mivel két fontos pontban is azonosította a keresőóriás GDPR szabályozásába ütköző tevékenységét az androidos készülékeken. A hatóság a vizsgálatot két panaszra alapozta, amelyek rögtön a 2018. május 25-i GDPR alkalmazásba lépést követően érkeztek meg. Az osztrák adatvédelmi aktivista Max Schrems (és a hozzá kapcsolódó NOYB nonprofit szervezet) akciójáról a HWSW is beszámolt, melynek keretében a Google mellett a Facebookot is az adatvédelmi rendelet megsértésével panaszolta be különböző országok nemzeti hatóságainak, hogy ezzel is "tesztelje" a GDPR valódi alkalmazását a gyakorlatban. A másik panaszt pedig a 10 ezer felhasználót képviselő La Quadrature du Net (LQDN) nyújtotta be Franciaországban.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Ennek megfelelően a CNIL már tavaly június elsején elkezdte vizsgálni a Google ügyét, és a kijelölt bizottságnak sikerült is megállapítani az Android jogsértéseit, méghozzá két pontban is. Egyrészt a francia hivatal szerint a Google az átláthatósági és tájékoztatási kötelezettségben vétett, mivel az információk nem érhetőek el könnyen a felhasználók számára. Olyan lényeges információk, mint például az adatfeldolgozási célok, az adattárolásik időszakok vagy a személyre szabott hirdetésekhez használt személyes adatok kategóriái csak több dokumentumból szedhetőek össze, akár 5-6 interakción (gombnyomáson és linken) keresztül.
Például a felhasználónak alaposan át kell rágnia magát a leírásokon, ha a személyre szabott hirdetésekkel vagy a helykövető szolgáltatásokkal kapcsolatban róla tárolt adatok listáját keresi. Ráadásul ezek a leírások nem is mindig eléggé egyértelműek vagy átfogóak, az adatfeldolgozás célja és a feldolgozott adatok kategóriái túl általánosak és homályosak. Néhány esetben pedig még az adatok megőrzési időszakára vonatkozó információk sem állnak rendelkezésre.
Másrészt pedig a Google a hirdetések személyre szabásával kapcsolatban jogalapot is vét, egyébként részben az előző pontból következően. A keresőóriás ugyanis azt állítja, hogy a felhasználók beleegyezése az adatfeldolgozás jogalapja, de valójában a felhasználók nem hozhatnak erről eléggé tájékozott döntést. A hirdetések személyre szabásáról szóló leírásban ugyanis nem szerepel, hogy ez valójában a Google több szolgáltatására is kiterjed, köztük a keresésre, a YouTube-ra, a Google Mapsre és a Google Play-re is. Ezenkívül a bizottság szerint a begyűjtött hozzájárulás sem elég "konkrét" és "egyértelmű".
Egy fiók létrehozásakor a felhasználónak rá kell kattintani a "további lehetőségekre", ahol ráadásul a személyre szabott hirdetések jelölőnégyzete eleve be van jelölve, ami kifejezetten sérti a GDPR-t. Ha pedig a felhasználó végül rákattint a fiók létrehozása gombra, és azzal együtt a bejelölt "beleegyezem az adataim fent leírt, valamint az adatvédelmi irányelvekben részletezett módon történő feldolgozásába" mezőre, akkor azzal elfogad minden "belegyezéses jogalapú" adatfeldolgozást, köztük például a személyre szabott hirdetéseket vagy a hangfelismerést is.
"Megérdemelte az 50 millió eurót"
A CNIL, mint írja, először alkalmazza az 50 millió eurós bírságot, de indoklása szerint az összeget a GDPR alapvető elveivel kapcsolatban megállapított jogsértések súlyossága indokolja. A hatóság hozzáteszi, hogy naponta (francia) felhasználók ezrei hoznak létre Google profilt az androidos operációs rendszereken, miközben a keresőóriás üzleti modellje részben pont a személyre szabott reklámokon alapul, melynek következtében különösen meg kellene felelnie az adatvédelmi rendeletnek. Ráadásul a GDPR megsértése nem egyszeri és időkorlátos volt, hanem teljesen folyamatos, és a mai napig megfigyelhető. Egyúttal a bizottság felhívja a Google figyelmét, hogy tegye lehetővé a felhasználói számára az adataik megfelelő kezelésének lehetőségét, a tájékoztatást, és az érvényes beleegyezést az adataik feldolgozásába.
Bár a kiszabott 50 millió eurós büntetés az eddigiekhez képest rekord nagyságú, és az első olyan, amelyet internetes óriáscég kapott, de az összeg lehetett volna ennél nagyobb is. Valójában a panaszt benyújtó Max Schrems is az elérhető legnagyobb bírságot kérvényezte, amely a Google 4 százalékos forgalma alapján 3,7 milliárd euró lett volna. Ha viszont a keresőóriás nem javítaná a GDPR-t sértő problémákat, akkor a bírság újra és újra kiszabható lenne.
Részben ennek elkerülése érdekében a vállalat szóvivője közölte, hogy a cég mélyen elkötelezett a magas szintű átláthatóság és ellenőrzés mellet, úgyhogy alaposan tanulmányozni fogja a CNIL döntését, és ennek megfelelően dönt a következő lépésről. A Google helykövető tevékenysége kapcsán egyébként egy másik vizsgálat is folyik hét különböző európai országban, amelynek eredményeire, továbbá Schrems Facebookal szemben benyújtott panaszainak eredményére még várni kell.