Soha nem látott mértékű bírságot szabtak ki a Google-ra

A francia adatvédelmi hatóság (CNIL) január 21-én 50 millió eurós (kb. 16 milliárd forint) bírsággal sújtotta a GOOGLE LLC-t, az általános adatvédelmi rendelet (GDPR) szabályainak megsértése miatt – írja a DLA Piper.

A bírság nagysága az eddigi legnagyobb a GDPR 2018. május 25-i hatályba lépése óta, és a 20 millió eurós maximum nominális bírság helyett a hatóság az adatkezelő GOOGLE LLC éves árbevétele alapján határozta meg a bírság összegét.

Az eljárást két szervezet, a None Of Your Business (NOYB) és a La Quadrature du Net (LQDN) kezdeményezte, pontosan a GDPR hatálybalépésének napján. A két szervezet azt állította, hogy a Google-nek nincs megfelelő jogalapja a személyes adatok kezeléséhez a szolgáltatásai nyújtása, így kiváltképpen a reklámok személyre szabása kapcsán.

A CNIL megvizsgálta a kifogásolt adatkezelési műveleteket, és kétfajta jogsértést állapított meg:

véleményük szerint a felhasználóknak nyújtott tájékoztatás nem érhető el könnyen az érintettek részére és a hozzájárulásokat nem szerzi be jogszerűen a cég.

Fontos információk, mint például az adatkezelési célok, az adattárolás időtartama vagy a kezelt adatok kategóriái teljesen szétszórva találhatók meg a különböző dokumentumokban, a releváns információhoz gyakran csak 5-6 lépést követően lehet eljutni. A CNIL azt is megállapította, hogy néhány információ nem minden esetben egyértelmű vagy teljes körű, és a felhasználók számára a Google által alkalmazott adatkezelések nem teljesen érthetőek. A cég által nyújtott szolgáltatások nagy száma miatt az adatkezelési műveletek kifejezetten tömegesek és agresszívek, továbbá a cég túlságosan is általános jelleggel nyújt tájékoztatást az adatkezelési célokról és a kezelt adatok köréről. Végső soron a felhasználók számára nem egyértelmű, hogy a reklámok személyre szabása a hozzájárulásuk vagy a Google jogos érdeke alapján történik, és néhány esetben az adattárolás időtartamát sem közli a cég.

A bírság kiszabásánál a GDPR alapelveinek – átláthatóság, tájékoztatás, hozzájárulás – súlyos megsértését vette figyelembe a hatóság és azt, hogy a jogsértés folyamatos, nem csak egyszeri vagy időben korlátozott.

A CNIL-nél a Google ellen bejelentést tevő NOYB a napokban az osztrák adatvédelmi hatósághoz fordult, mert állításuk szerint egy sor streaming szolgáltató nem teljesíti a GDPR 15. cikkében foglalt érintetti jogokkal kapcsolatos kötelezettségeit, azaz az érintett hozzáféréshez való jogát. Az eljárás olyan szolgáltatókat érint, mint az Amazon, Apple, Netflix, Spotify, SoundCloud, YouTube.