50 MILLIÓ EURÓS GIGA GDPR-BÍRSÁG A GOOGLE-NEK – EHHEZ NEKÜNK IS VAN EGY-KÉT SZAVUNK!

06 February 2019

A GDPR előkészítése során többször elhangzott szakmai körökben, hogy a világ legszigorúbb adatvédelmi szabályozásának fő célpontja a Google és Facebook. Nos, kicsivel több mint fél évvel a GDPR hatályba lépése után a Google-ra le is sújtott a francia adatvédelmi hatóság kardja. Lássuk miért is kínálta meg hatóság a tech óriást egy szerény 50 Millió Eurós bírsággal?

1. Miért is indult vizsgálat?

Alig virradt fel a GDPR alkalmazásának első napja, a None of Your Business és a La Quadrature du Net nevű érdekképviseleti szervezetek már rohantak is a francia adatvédelmi hatósághoz (CNIL) bepanaszolni a Google-t.

A két szervezet majd 10.000 érintett panaszát gyűjtötte össze és hasonló alapon kifogásolták a Google adatkezelését és adatvédelmi politikáját.

A szervezetek fő problémája az volt, hogy a Google-nak nincs érvényes jogalapja a személyes adatok kezelésére, különösen ami a személyre szabott hirdetések biztosítása érdekében történő adatkezelést illeti. A None Of Your Business panasza alapvetően az Android operációs rendszer használatával kapcsolatos adatkezelésre vonatkozott.

2. Miért a francia hatóság járt el?

Attól, hogy az érdekvédelmi szervezetek a CNIL-hez nyújtották be a panaszaikat, még nem volt teljesen egyértelmű, hogy a francia hatóság fog eljárni. A Google ugyanis arra hivatkozott, hogy Európában a fő tevékenységi központja Írországban van, tehát az ír adatvédelmi hatóságnak kellene eljárnia a panaszok kapcsán.

A CNIL viszont nem engedte magát ilyen könnyen lekoptatni. Körültekintő vizsgálatot követően megállapította, hogy az írországi Google leányvállalat nem minősül fő tevékenységi központnak, mert nincs valódi döntési jogköre az adatkezeléssel, pontosabban az adatkezelés céljának és eszközeinek meghatározásával kapcsolatban.

A hatásköri „akadály” leküzdése után a CNIL immár belevethette magát az érdemi kérdésekbe és a vizsgálódásba.

3. Mi a baj a Google adatvédelmi tájékoztatójával?

A CNIL elsősorban górcső alá vette, hogy a Google hogyan tájékoztatja a felhasználókat a személyes adataik kezeléséről és finoman szólva nem volt lenyűgözve attól, amit megtudott.

A CNIL már a tájékoztató(k) elérhetőségét is problémásnak találta. Ahhoz ugyanis, hogy a felhasználó összeszedje az információkat, több dokumentumot is át kell(ene) néznie, amelyeket sokszor csak 5-6 klikkelést követően ér el.

Ezen kívül a CNIL szerint a tájékoztatók nem alkalmasak arra, hogy a felhasználók megértsék belőle a Google által végzett adatkezelések lényegét és azt, hogy ez milyen hatással van rájuk.

Például a Google túl általánosan fogalmazta meg a tájékoztatókban, hogy milyen célokra használja az adatokat, illetve többnyire az sem derül ki, hogy meddig tárolja az adatokat.

4. Mi a probléma a Google által begyűjtött hozzájárulással?

A Google úgy gondolta, hogy nem lehet gond az általa végzett adatkezelésekkel, hiszen a felhasználó hozzájárult ahhoz, például amikor Google felhasználói fiókot nyitott.

Igen ám, csakhogy ez a hozzájárulás a CNIL szerint nem érvényes, méghozzá több okból sem. Mivel a Google adatkezelésről adott tájékoztatása – a korábban részletezettek szerint – nem megfelelő, így nyilván az annak alapján adott hozzájárulás sem lehet az. A hozzájárulás érvényességének feltétele ugyanis az, hogy megfelelő tájékoztatáson alapuljon.

A másik, talán még ennél is súlyosabb probléma, hogy a Google által a felhasználóktól begyűjtött „hozzájárulás” nem konkrét és egyértelmű.

A Google ugyanis sokszor előre bepipált checkboxokat használt a hozzájárulás iránti kérelmeknél. Vagyis a felhasználónak azért kellett volna extra lépéseket tennie, hogy ne egyezzen bele az adatkezelésbe és nem pedig azért, hogy hozzájáruljon. A „hallgatás beleegyezés” módszer viszont a GDPR alapján nem működik.

Ezen kívül a Google a hozzájárulást nem külön adatkezelési célonként kérte, hanem egy (általa előre odarakott) pipával a felhasználót mindezhez „hozzájárultatta”. Nem kell nagy adatvédelmi szakértőnek lenni ahhoz, hogy leszűrjük, hogy ez így nincs rendben.

5. Miért lett 50 Millió Euró a bíróság?

Na de nézzük, hogy miért fogott ilyen vastagon a CNIL ceruzája.

Kezdjük azzal, hogy a CNIL úgy értékelte, hogy a Google olyan lényeges adatvédelmi kötelezettségeket szegett meg, méghozzá elég súlyosan, mint hogy megfelelő jogalapja legyen az adatkezelésre és hogy az érintetteket megfelelően tájékoztassa az adatkezelésről.

A bírság mérlegelésénél ehhez még hozzájött a Google piaci szerepe, vagyis hogy a Google rengeteg felhasználó nagyszámú adatát kezeli, hiszen Franciaországban naponta ezrek csinálnak Google-fiókot.

Az adatok között ráadásul olyanok is vannak, amelyek meglehetősen érzékenyek, például hogy a felhasználó milyen applikációkat használ vagy milyen vásárlási szokásai vannak. A Google üzleti modellje pedig részben a személyre szabott hirdetéseken alapul, tehát elvárható, hogy ha már csinálják, akkor csinálják rendesen (legalábbis adatvédelmi szempontól).

Végül a CNIL azt is figyelembe vette, hogy nem egyszeri, elszigetelt jogsértésről van szó, hanem a Google már régóta, mind a mai napig GDPR-ellenesen működik.

Kíváncsian várjuk, hogy mi lesz a döntés utóélete, mivel az még nem jogerős. Az ügynek ugyanis hatása lehet az összes Android-ra fejlesztett alkalmazásra és minden adatkezelésre, amihez a Google-nek köze van, így például a honlapok Google Analytics-al történő elemzésére. Ha valamilyen fejlemény lesz az ügyben, akkor természetesen arról is tudósítani fogunk.