A múlt évben pár hónapig a csapból is a GDPR folyt, de a betűszó sokak számára nem jelentett semmit, legfeljebb azt, hogy kaptunk egy rakás idegesítő e-mailt felhasználói feltételek megváltozásáról. Ahogy akkor is írtuk, a General Data Protection Regulation (Általános Adatvédelmi Szabályozás) valójában jó dolgot jelent: az európai szabályozásnak köszönhetően a szervezetek könnyebben tudnak felhasználói érdekeket érvényesíteni a nagy techcégekkel szemben. Ez alapvetően meghatározza majd, hogy az interneten megosztott adatainkat hogyan használhatják fel a cégek a következő pár évtizedben.
Ez már csak azért is fontos, mert a korábban hatályos, 1995 óta használt adatvédelmi szabályozás már nem tudott reagálni az interneten tapasztalható gyors változásokra, és akkor még hol volt az adatainkból pénzt csináló Facebook vagy az Android operációs rendszer.
Fotó: ThinkStockA rendelet alkalmazásának kezdete óta a héten született meg az első komolyabb határozat. A CNIL nevet viselő francia adatvédelmi hatóság 50 millió eurós, azaz körülbelül 16 milliárd forintos pénzbüntetést szabott ki a Google-re, amiért a keresőcég több ponton is megsértette a felhasználói adatok kezeléséről szóló szabályokat Android platformon.
A GDPR tavaly májusi érvénybe lépése óta ez az első komolyabb bírság, az első ledobott bomba,ami robbanhatott volna nagyobbat, mert ez még így is csak aprópénz a cégnek.
Korábban voltak már büntetések az új adatvédelmi törvény miatt, de csak kisebb tételek: egy portugál kórház 400 ezer eurónyi bírságot kapott a betegadatok nem megfelelő felhasználása miatt, a német Knuddels.de-nek pedig szabálytalan jelszótárolás miatt kellett 20 ezer eurót kicsengetnie.
Na de mit vétett a Google?
A hatóság indoklása szerint több téren is kérdéses a Google szabályzatának átláthatósága, és két fontos kitételnek sem tesznek eleget. Egyrészt nem nyújtanak elegendő információt az adatvédelmi irányelvekkel kapcsolatosan és hogy miként tudják kezelni a felhasznált adataikat. A másik a szerződések elfogadásával és a személyre szabott reklámokkal kapcsolatos.
Amikor a felhasználó Androidon egy új Google-fiókot hoz létre, a cég nem közli eléggé egyértelműen, hogy a későbbiekben milyen adatokat dolgoz fel.A GDPR egyrészt éppen azt szabályozza, hogy a cégeknek minden egyes felhasználói adattal kapcsolatban meg kell indokolniuk, hogy miért tárolják azt, és ezekről külön-külön kell nyilatkoznia a felhasználónak. Kötelező a beleegyezés kérése például a profilalkotáshoz, a külföldre való adattovábbításhoz, a hírlevélkéréshez.
Forrás: AFPA tavaly június elején indult vizsgálat szerint a Google nem átlátható módon tájékoztat, mert fontos információk csak több lépésben (akár 5-6 kattintással) érhetők el, több oldalon keresztül, a rólunk tárolt adatok megtalálásig is több leíráson kell átrágni magunkat, ezen ráadásul az is nehezít, hogy a cég általános kategóriákat használ homályos fogalmazással.
Mivel a felhasználók hiányos tájékoztatást kapnak, ezért nem is tudhatják pontosan, mit fogadnak el, így nem hozhatnak megfontolt döntést.A személyre szabásról szóló leírásban nem szerepel benne, hogy egyszerre több Google-szolgáltatásra is kiterjed, így például a YouTube-ra, a térképre, a Google Play-re, ráadásul a személyre szabott hirdetések opciójának jelölőnégyzete alapértelmezetten be van jelölve. Tehát bőven van mit átalakítania a cégnek.
A CNIL közleménye szerint az 50 millió eurós bírságot a jogsértés súlyossága indokolja: mivel a naponta franciák ezrei hoznak létre új Google-profilt androidos eszközökön, így a keresőóriásnak különösen nagy a felelőssége abban, hogy megfeleljen az adatvédelmi rendeletnek, amelyet azonban folyamatosan sértett meg, nem pedig egyszeri alkalommal és időszakosan.
Valójában nem is a pénz a lényeg
A GDPR büntetésekkel próbálja rávenni a cégeket, hogy tegyenek eleget a szabályoknak, a pénzbírság felső határa 20 millió dollár vagy a cég éves forgalmának négy százaléka. Ez egy olyan óriáscég esetében, mint a Google és a Facebook többmilliárd dollárt is jelenthet. A franciák eddig több alkalommal is kifogásolták a Google gyakorlatait, de eddig legfeljebb 150 ezer euróra sikerült büntetniük őket még 2014-ben. Ebből jól látható, hogy ehhez képest az 50 millió euró igen nagy ugrás.
Ám ha a Google bírságát a globális 4 százalékos forgalom alapján határozták volna meg, akkor nem 50 millió eurós, hanem 3,7 milliárd eurós lett volna a számla. E tétel kiszabására még van lehetőség akkor, ha a Google nem tesz eleget a kéréseknek, mert a bírság újra kiszabható. A cég közlése szerint a határozat alapos tanulmányozása után döntenek a következő lépésről.
Az uniós antitrösztszabályok megsértéséért egyébként a globális árbevétel 10 százalékát is ki lehet szabni, ami két és félszerese annak, amennyit az adatvédelmi törvény lehetővé tesz.
Fotó: Tobias SCHWARZ / AFPAhogy Johnny Ryan adatvédelmi szakértő is elmondta a New York Timesnak, a kár immateriális, az igazi fájdalmat az jelentheti, hogy a Google-nek komolyan változtatnia kell pár dolgon, és értékes adatoktól eshet el, ez pedig a hirdetési bevételeinek nagyságát is befolyásolhatja.
A CNIL döntése azért jelentős, mert a Google-nek pontosan el kell mondani a felhasználóknak, hogy mit is csinálnak és mire használják (tehát nem tudható le az egész dolog egy darab Elfogadom gombbal), addig nem építhetnek hirdetési profilt a felhasználóról, amíg ő bele nem egyezik.
Valószínűleg sokan nem fognak beleegyezni az eddigiekbe, miután megtudják az igazat
- mondta a szakértő.
A GDPR egyik legalapvetőbb elvárása, hogy az európai felhasználóktól adatokat begyűjtő cégeknek a felhasználó tájékozott beleegyezésére van szükségük ahhoz, hogy adatokat gyűjthessenek róluk. Ez nagyobb dolog, mint gondolnánk, mert az interneten szinte minden oldal adatokat gyűjt rólunk, anélkül, hogy ezt egyáltalán észrevennénk. A sütiknek és egyéb trackereknek köszönhetően a cégek tudják, mit nézünk, mire keresünk, mi érdekel minket, és ez az adathalmaz gyakran olyan komplett profillá áll össze, amit el se tudunk képzelni. Az internetes hirdetések és kereskedelem gyakorlatilag erre a logikára épült fel: az adatok ingyenesen továbbadhatók elemzésre, ezért is lehet fontos dolog a Google bírsága.
Még csak most kezdődik
A Google ellen már rögtön a GDPR érvénybe lépése után beérkezett a két panasz, jól jelezve azt, hogy megkezdődött a szabályozás valódi erejének tesztelése a nagy cégeken. Az egyiket az osztrák Max Schrems adatvédelmi aktivista jogász, a NOYB (None of Your Business) szervezet alapítója adta be négy különböző uniós hatósághoz. Az aktivista a Google mellett a Facebookot is bepanaszolta az osztrák DSB-nek, míg a Whatsappot a hamburgi adatvédelmi hivatalra bízta. A másik panaszoló a La Quadrature du Net (LQDN) szervezet volt.
A Google ellen egyébként jelenleg egy másik vizsgálat is folyik hét különböző európai országban. Az Európai Fogyasztók Szövetsége (BEUC) tavaly novemberben ment neki a keresőcégnek annak kapcsán, hogy a Google helymeghatározója nem ad valódi választási lehetőséget a felhasználóknak arról, hogy engedélyezik-e vagy sem, továbbá pedig arról sem, hogy mit is takar a helymeghatározás.
Ennek eredményeire még egy ideig még várni kell, de ha a panaszokat az illetékes hatóságok jogosnak találják, újabb hatalmas bírságot akaszthatnak a keresőcég nyakába.
Dömös Zsuzsanna korábbi cikkei
- Hiába törli magát a Facebookról, nem menekülhet előle
- A dohányzáshoz hasonlítják a Facebookot
- A Facebook összefogná a civileket