Úgysem bírságolnak meg! Mondta az Amazon, aztán kifizette a 746 millió eurót


Kategória
Hírek

Az adatvédelemmel (GDPR) kapcsolatos legutóbbi cikkünk során a 2018. májusában hatályba lépő általános adatvédelmi rendeletet néztük meg és olyan kérdések körül vizsgálódtunk, hogy mi történik, ha megadta egy vállalkozásnak a személyes adatait? Regisztrált egy eseményre a személyes adataival, utána pedig marketing tartalmú leveleket kapott? A rendelet tartalmát illetően elsősorban azokat a rendelkezéseket ismertettük, melyek a természetes személy (ügyfél, vásárló stb.) jogait és kötelezettségeit érintik. A mai alkalommal azonban megnézzük a másik oldalt. Néhány példával bemutatjuk, hogy az adatvédelmet és a jogszabály általi kötelezettségeket érdemes tényleg komolyan venniük a vállalkozásoknak.

Az általános adatvédelmi rendelettel (GDPR) az uniós jogalkotóknak az volt a szándékuk, hogy egységesítsék az adatvédelmi politikákat és szabályozást az EU-ban, melyeket szigorú szankciókkal érvényre is szeretnétek juttatni. A hatálybalépés óta folyamatosan növekszik az adatvédelmi hatóságok aktivitása. 2021-ben mind az eddig kiszabott GDPR-bírságok száma, mind az egyedi bírságok összege jelentősen nőtt.

2020. júliusa és 2021. júliusa között a GDPR rendelkezések megsértésének száma 113,5%-kal. Ugyanebben az időszakban a GDPR-bírságok száma pedig 124,92%-kal nőtt.

A címben említett Amazonnak (746 millió euró) és a WhatsApp-nak (225 millió euró) kiszabott bírságok egyértelműen mutatják, hogy komolyan kell venni a rendelkezéseket.

Az eddigi legnagyobb GDPR-bírságok

Az EU tagállamai közül a legmagasabb GDPR-bírságot Luxemburg, Írország, Franciaország, Németország, Olaszország és az Egyesült Királyság szabta ki. Nézzünk is meg ezek közül párat és kezdjük rögtön a két említett példával.

Amazon – 746 millió eurós GDPR bírság

2021. július 16-án a Luxemburgi Nemzeti Adatvédelmi Bizottság (CNDP) a valaha volt legnagyobb bírságot szabta ki a GDPR megsértése miatt, melynek összege 746 millió euró.

A bírságot az Amazon ellen 2018. májusában egy alapvető szabadságjogokat védelmező francia személyiségi jogi csoport benyújtott panasza eredményeként szabták ki.

Az Adóhatóság vizsgálatot indított azzal kapcsolatban, hogy az Amazon hogyan dolgozza fel ügyfelei személyes adatait. A jogsértéseket az Amazon hirdetési célzási rendszerével kapcsolatban állapította meg, amelyeket az érintett megfelelő hozzájárulása nélkül alkalmaztak.

A hozzájárulás azt jelenti, hogy

„az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.”

WhatsApp – 225 millió eurós GDPR bírság

2021. szeptember 2-án az ír adatvédelmi hatóság, a Data Privacy Commission (DPC), egy hároméves vizsgálatot követően GDPR-bírságot szabott ki a Facebook tulajdonában lévő a WhatsApp Ireland-re. A bírság összege 225 millió euró volt.

A bírság kiszabásának az oka az átláthatóság megsértése volt.

A DPC megállapításain túl az EDPB (Európai Adatvédelmi Testület) is kijelentette:

a WhatsApp súlyosan megsértette az általános adatvédelmi rendeletet (nevezetesen a 12., 13. és 14. cikkeket) az egyéneknek nyújtandó információkkal kapcsolatban.

Google LLC – 90 millió eurós GDPR bírság

2021. december 31-én a CNIL (a francia adatvédelmi hatóság) 90 millió eurós bírságot szabott ki a GOOGLE LLC-re, mert a franciaországi Youtube-felhasználók számára nem tették lehetővé azt, hogy olyan könnyen visszautasítsák a cookie-kat, mint amilyen könnyen el tudták fogadni azokat.

A CNIL arra kötelezte a céget, hogy a Franciaországban élő felhasználók számára három hónapon belül biztosítsanak olyan egyszerű módot a cookie-k visszautasítására, mint amit azok elfogadásakor használnak.

Végül, hogy egy frissebb esetet is megnézzünk, itt van nekünk a META GDPR bírsága, amely 17 millió eurós összeget jelentett.

2022. március 15-én az ír adatvédelmi bizottság (DPC) 17 millió eurós bírságot szabott ki a Meta Platforms Ireland Limitedre (korábban Facebook Ireland Limited) az általános adatvédelmi rendelet megsértése miatt.

A vizsgálat tárgya az volt, hogy a META megfelelően biztosítja-e a GDPR előírásait tizenkét jogsértési bejelentéshez kapcsolódóan. A vizsgálat feltárta a GDPR 5. cikkének (2) bekezdésének és 24. cikkének (1) bekezdésének megsértését, amely szerint a Meta az uniós felhasználók személyes adatainak védelme érdekében nem biztosított megfelelő technikai és szervezési intézkedéseket.