:

Szerző: Habók Lilla

2019. január 22. 08:00

GDPR: 50 millió eurós bírságot kapott a Google

Eddigi legnagyobb összegű bírságát rótta ki a francia adatvédelmi hivatal a Google-re a GDPR több pontjának megsértése miatt. A CNIL szerint Androidon a Google-fiókok létrehozása során a cég nem közli érthetően, hogy milyen adatokat fog feldolgozni, és nem elég egyértelmű a személyre szabott hirdetések jogalapja sem.

Kiszabta a francia adatvédelmi hatóság vagyis a CNIL az európai uniós általános adatvédelmi rendelet megsértése miatt az első 50 millió eurós büntetését a Google-re, mivel két fontos pontban is azonosította a keresőóriás GDPR szabályozásába ütköző tevékenységét az androidos készülékeken. A hatóság a vizsgálatot két panaszra alapozta, amelyek rögtön a 2018. május 25-i GDPR alkalmazásba lépést követően érkeztek meg. Az osztrák adatvédelmi aktivista Max Schrems (és a hozzá kapcsolódó NOYB nonprofit szervezet) akciójáról a HWSW is beszámolt, melynek keretében a Google mellett a Facebookot is az adatvédelmi rendelet megsértésével panaszolta be különböző országok nemzeti hatóságainak, hogy ezzel is "tesztelje" a GDPR valódi alkalmazását a gyakorlatban. A másik panaszt pedig a 10 ezer felhasználót képviselő La Quadrature du Net (LQDN) nyújtotta be Franciaországban.

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

Ennek megfelelően a CNIL már tavaly június elsején elkezdte vizsgálni a Google ügyét, és a kijelölt bizottságnak sikerült is megállapítani az Android jogsértéseit, méghozzá két pontban is. Egyrészt a francia hivatal szerint a Google az átláthatósági és tájékoztatási kötelezettségben vétett, mivel az információk nem érhetőek el könnyen a felhasználók számára. Olyan lényeges információk, mint például az adatfeldolgozási célok, az adattárolásik időszakok vagy a személyre szabott hirdetésekhez használt személyes adatok kategóriái csak több dokumentumból szedhetőek össze, akár 5-6 interakción (gombnyomáson és linken) keresztül.

Például a felhasználónak alaposan át kell rágnia magát a leírásokon, ha a személyre szabott hirdetésekkel vagy a helykövető szolgáltatásokkal kapcsolatban róla tárolt adatok listáját keresi. Ráadásul ezek a leírások nem is mindig eléggé egyértelműek vagy átfogóak, az adatfeldolgozás célja és a feldolgozott adatok kategóriái túl általánosak és homályosak. Néhány esetben pedig még az adatok megőrzési időszakára vonatkozó információk sem állnak rendelkezésre.

Másrészt pedig a Google a hirdetések személyre szabásával kapcsolatban jogalapot is vét, egyébként részben az előző pontból következően. A keresőóriás ugyanis azt állítja, hogy a felhasználók beleegyezése az adatfeldolgozás jogalapja, de valójában a felhasználók nem hozhatnak erről eléggé tájékozott döntést. A hirdetések személyre szabásáról szóló leírásban ugyanis nem szerepel, hogy ez valójában a Google több szolgáltatására is kiterjed, köztük a keresésre, a YouTube-ra, a Google Mapsre és a Google Play-re is. Ezenkívül a bizottság szerint a begyűjtött hozzájárulás sem elég "konkrét" és "egyértelmű".

google-fiok-letrehozas

Egy fiók létrehozásakor a felhasználónak rá kell kattintani a "további lehetőségekre", ahol ráadásul a személyre szabott hirdetések jelölőnégyzete eleve be van jelölve, ami kifejezetten sérti a GDPR-t. Ha pedig a felhasználó végül rákattint a fiók létrehozása gombra, és azzal együtt a bejelölt "beleegyezem az adataim fent leírt, valamint az adatvédelmi irányelvekben részletezett módon történő feldolgozásába" mezőre, akkor azzal elfogad minden "belegyezéses jogalapú" adatfeldolgozást, köztük például a személyre szabott hirdetéseket vagy a hangfelismerést is.

"Megérdemelte az 50 millió eurót"

A CNIL, mint írja, először alkalmazza az 50 millió eurós bírságot, de indoklása szerint az összeget a GDPR alapvető elveivel kapcsolatban megállapított jogsértések súlyossága indokolja. A hatóság hozzáteszi, hogy naponta (francia) felhasználók ezrei hoznak létre Google profilt az androidos operációs rendszereken, miközben a keresőóriás üzleti modellje részben pont a személyre szabott reklámokon alapul, melynek következtében különösen meg kellene felelnie az adatvédelmi rendeletnek. Ráadásul a GDPR megsértése nem egyszeri és időkorlátos volt, hanem teljesen folyamatos, és a mai napig megfigyelhető. Egyúttal a bizottság felhívja a Google figyelmét, hogy tegye lehetővé a felhasználói számára az adataik megfelelő kezelésének lehetőségét, a tájékoztatást, és az érvényes beleegyezést az adataik feldolgozásába.

Bár a kiszabott 50 millió eurós büntetés az eddigiekhez képest rekord nagyságú, és az első olyan, amelyet internetes óriáscég kapott, de az összeg lehetett volna ennél nagyobb is. Valójában a panaszt benyújtó Max Schrems is az elérhető legnagyobb bírságot kérvényezte, amely a Google 4 százalékos forgalma alapján 3,7 milliárd euró lett volna. Ha viszont a keresőóriás nem javítaná a GDPR-t sértő problémákat, akkor a bírság újra és újra kiszabható lenne.

Részben ennek elkerülése érdekében a vállalat szóvivője közölte, hogy a cég mélyen elkötelezett a magas szintű átláthatóság és ellenőrzés mellet, úgyhogy alaposan tanulmányozni fogja a CNIL döntését, és ennek megfelelően dönt a következő lépésről. A Google helykövető tevékenysége kapcsán egyébként egy másik vizsgálat is folyik hét különböző európai országban, amelynek eredményeire, továbbá Schrems Facebookal szemben benyújtott panaszainak eredményére még várni kell.

Az üzemeltetői szakmát számos nagyon erős hatás érte az elmúlt években. A történet pedig messze nem csak a cloudról szól, hiszen az on-prem világ is megváltozott.

a címlapról