JÖN AZ ELSŐ GDPR-BÍRSÁG?

08 October 2018

Néhány hete robbant a hír, hogy az Egyesült Királyság adatvédelmi hatósága (ICO) meghozta az első GDPR-el kapcsolatos határozatát. A célpont az AggregateIQ Data Services nevű kanadai cég, amely állítólag brit állampolgárok személyes adatait használta fel politikai üzenetek terjesztéséhez. Olvasd el a cikkünket, hogy megtudhasd az ügy részleteit és azt, hogy miért tartom különösen érdekesnek.

Tények

A kanadai AggregateIQ (AIQ) adatkezelőként Egyesült Királyságbeli politikai szervezetek, mint a Vote Leave és a BeLeave megbízásából brit állampolgárok adatait kezelte a Brexit kampány ideje alatt.

Az AIQ többek között a magánszemélyek nevét és e-mail címét kapta meg, akiket politikai kampányüzenetekkel kellett megcéloznia különböző közösségi média platformokon. Bár az üzeneteket a GDPR hatálybalépése előtt küldték, az AIQ az ICO által végzett vizsgálat során elismerte, hogy még mindig tárolja a kérdéses személyes adatokat.

Állítólag egyébként az AIQ a kétes hírnevet szerző Cambridge Analytica nevű céghez kapcsolódik, azonban ezt az AIQ következetesen tagadta.

Az ICO megállapításai

Az ICO alapos vizsgálódást követően arra jutott, hogy az AIQ a GDPR számos előírását megszegte.

Az AIQ ugyanis bármiféle jogalap nélkül úgy kezelt személyes adatokat, hogy az érintettek erről nem tudtak és olyan célokból, amelyekre nem is számíthattak. Az AIQ tehát megszegte a jogszerűség, tisztesség és átláthatóság követelményét, illetve a célhoz kötöttség elvét.

Az ICO szerint az AIQ valószínűsíthetően kárt, illetve kellemetlenséget okozott az érintetteknek azzal, hogy elvette tőlük annak lehetőségét, hogy megértsék, hogy az adataikat hogyan kezelik és hogy hatékonyan gyakorolhassák az adatvédelmi tárgyú jogaikat.

Az ICO intézkedése

A júliusban kiadott határozatában az ICO 30 napos határidőt adott az AIQ-nak arra, hogy fejezze be a jogellenes adatkezelést, vagyis a brit állampolgárok adatait ne kezelje politikai kampány, illetve hirdetési célokra.

Amennyiben az AIQ nem tesz eleget a kötelezésnek, 20 millió Eurónak vagy az éves nettó árbevétele 4 %-nak megfelelő adatvédelmi bírságnak néz elébe. Az AIQ-nak ugyanakkor lehetősége volt megtámadni a határozatot a kézhezvételtől számított 28 napon belül.

A legfrissebb hírek szerint az AIQ fellebbezést nyújtott be az ICO döntése ellen, így az még nem végleges.

Területi és időbeli hatály

Amellett, hogy az ügy már önmagában is kifejezetten érdekes, mivel nemcsak jogi, hanem etikai kérdéseket is felvet, a határozat két fontos témára hívja fel a figyelmet, nevezetesen a GDPR területi és időbeli hatályára.

Ahogyan azt korábban említettem az AIQ egy kanadai cég, vagyis a székhelye az Európai Unión kívül található. Vagyis az ICO döntése és annak utóélete a GDPR kiterjesztett területi hatályának első igazi próbája lehet, értve ezalatt azt, hogy alkalmazni kell ez Európai Uniós érintettek adatainak kezelésére akkor is, ha az adatkezelést az Unión kívül egy nem EU-s vég végzi. Kíváncsian várom, hogy a határozatot hogyan lehet majd végrehajtani, ha hatályban tartják.

A másik dolog, amit érdemes megemlíteni, hogy az ICO döntése olyan adatkezelési tevékenységekkel kapcsolatban tartalmaz megállapításokat, amelyeket a GDPR hatályba lépése előtt végeztek. Az érvelés emögött az, hogy az AIQ a GDPR hatálya alatt is folytatta az adatkezelést illetve az adatok tárolását.

Összefoglalás

Most biztos azt kérdezed, hogy miért kellene, hogy ez az egész érdekeljen téged, hiszen gazdasági társaságként valószínűleg sohasem fogsz politikai célokra felhasználni személyes adatokat.

Ebben igazad van, viszont nem szabad elfelejteni az ügy „mellékes” üzeneteit, ami viszont már a te cégedet is érintheti.

Egyrészt, hogy a GDPR-t a hatálybalépése előtt elkezdett adatkezelési tevékenységekre is lehet alkalmazni, ha nem felelteted meg ezeket a GDPR-nek. Másrészt, ha a céged nem is az EU- ban tevékenykedik, a GDPR utolérhet, ha EU-s magánszemélyek adatait kezeled.