+36304177429 info@datad.hu

TIKTOK: Írországban rekord GDPR bírság

REKORD BÍRSÁG A TIKTOKNAK GDPR MEGSÉRTÉSE MIATT

A TikTok számára komoly anyagi terhet jelenthet az írek által kiszabott bírság, de mégis kérdéses, hogy ez elrettentő hatással lesz-e rájuk.

A nagy közösségi médiaplatformokat sokszor vizsgálják különböző okokból, de csak ritkán kapnak milliárdos büntetéseket. A TikTok esetében azonban ez most másképp alakult, bár a bírság kevesebb, mint amit más tech óriások már kaptak korábban.

 

A Ír Adatvédelmi Bizottság (DPC) döntése alapján a TikTok 345 millió eurós büntetést kapott.

Az eljárás évek óta tartott, és a 2020-ban elkövetett adatvédelmi jogsértések miatt indult. A hatóság szerint a TikTok nem kezelte helyesen a fiatalkorúak adatait. Az írek 2021-ben indították az eljárást, mely során a TikTok próbálta késleltetni az ügy menetét.

Már augusztusban hallottunk arról a Politico-tól, hogy a DPC esetleges büntetést szabhat ki. A vizsgálat során a hatóság a TikTok gyermekekkel kapcsolatos adatvédelmi gyakorlatait értékelte. Kiemelendő, hogy a TikTokot különösen sok fiatal használta ebben az időszakban.

A vizsgálat során többek között a „Family Pairing” felügyeleti funkciót, az alapértelmezett beállításokat és az életkor-ellenőrzést vették górcső alá. A vizsgálat során több hiányosságot is találtak, és kiderült, hogy a TikTok alapértelmezésben minden profilt nyilvánosságra állított, ami ellentmond a GDPR szabályozásnak.

Az ír hatóság az Európai Adatvédelmi Testülettel is egyeztetett, így széleskörű szakértelmet alkalmaztak. A vizsgálat rávilágított arra is, hogy bár a platformon csak 13 éven felülieknek lett volna szabad regisztrálni, mégis sok fiatalabb felhasználója volt.

A 345 millió eurós büntetés nem elhanyagolható. Ezelőtt a TikTok még nem kapott ekkora büntetést. A platform azonban a közelmúltban több szabályozást is igyekezett betartani, így az elrettentő hatás kérdéses.

2020-ban a Meta 405 millió eurós büntetést kapott, mivel az Instagram nem kezelt helyesen bizonyos adatokat. Ezen kívül már láthattunk 1,2 milliárd eurós bírságot is, amit a Meta kapott.

A GDPR alapján a legnagyobb büntetés a cég előző éves bevételének 4%-a lehet. Nagy tech cégek esetében ez jelentős összeg lehet, de kisebb vállalatoknál a maximum büntetés 10 és 20 millió euró között mozog.

 

Elégedetlen volt az ügyfél az ügyfélelégedettségi felmérés GDPR megsértése miatt

Csak ötmillió forintos bírságról van szó a NAIH október végén közzétett határozatában, ámde látszik, hogy az ügyfélelégedettséggel kapcsolatos adatkezelésnél is figyelni kell a GDPR betartására.

A kép csak illusztráció. Forrás: pixabay.com

 

Az ügy röviden arról szól, hogy a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) forduló fogyasztó egy szervíznél megvizsgáltatta vagy megjavíttatta autóját. A szervíz elkérte e-mail címét is. Erre az e-mail címre 2021 elején kéretlen e-mail kapott az autó importőrétől, amiben arra kérték, hogy a szervíznél tett látogatásával kapcsolatban töltsön ki egy elégedettségi kérdőívet.

A február 12-én érkezett levélre nem reagált a fogyasztó, így az importőr újból küldött egy második kéretlen levelet február 19-én, amelyben ismételten megkérték, hogy töltse ki az elégedettségi kérdőívet.

Minőségi munkát vártak el

Amint az a hatóság határozatából kiderült, a szervíz és az adott autó importőre között olyan szerződés létezett, melynek értelmében a szervíz csakis minőségi munkát végezhet. Az elvégzett munka minőségét pedig csak úgy tudta megállapítani az importőr, ha megkérdezi az ügyfeleket.

Vagyis a szervizt kötelezte az importőr, hogy az ügyfél adatokat továbbítsa számára. A két fél közötti szerződés másik fontos pontja az volt, hogy az importőr kikötötte, a szerződés egyoldalúan felmondhatja, ha az ügyfélelégedettség nem az általa meghatározott, megfelelő szintű.

Az autó márkájáról és a szervízről nem árultak el adatokat, a határozatból kiderült, hogy francia márkáról van szó, vagyis Citroen, Dacia, Peugeot vagy Renault szervízről és importőrről beszélünk. (Képünk csak illusztráció.)

Autó alvázszámra semmi szükség

Ezzel eddig minden rendben. Azonban problémás, hogy az importőr számára a szervizeléshez köthető személyes adatokat személyhez köthetően továbbították, az ügyfélelégedettség méréséhez és az ügyfélkapcsolatok javításához az ügyfélazonosításra szükségük van.

Még az autó alvázszámát is feltüntették a felmérésre felkérő levélben, amire semmi szükség sem lett volna – hányan ismerjük kívülről saját autónk alvázszámát?

Azt is kifogásolták, hogy az e-mailben nem volt semmilyen információ arra vonatkozóan, hogy a személyes adatok forrása mi volt, és ki milyen jogalappal kezeli az ügyfél személyes adatait. Emiatt az ügyfél nem tudta gyakorolni érintetti jogait, tájékoztatást sem tudott kérni az importőrtől. Az adatfeldolgozó adatkezeléssel kapcsolatos tájékoztatását sem találhatták az e-mailben.

A NAIH az ötmillió forintos bírság meghatározásánál figyelembe vette, hogy:

–  az importőr nem megfelelően tájékoztatta az ügyfeleket

– megsértette a GDPR alapelveit

– az érintett nem tudott tiltakozni előre az adatkezeléssel szemben, mert azt nem is láthatta előre.

Az importőrnek jogos érdeke volt az ügyfelek véleményét kikérdezni, de ez a jogos alap a többi feltételtől (megfelelő tájékoztatás és ebből adódóan az érintett joggyakorlásának képessége) függetlenül nem lehet érvényes. Ugyanakkor ez a jogos érdek nem jelent jogalapot az adatok kezelésére.

A NAIH teljes határozata itt olvasható el.

Röpködnek a GDPR gigabírságok: 225 millió eurót kell fizetnie a WhatsApp-nak

225 millió euró a második legnagyobb GDPR bírság. A 2018-ban indított GDPR ügyet a WhatsApp megtámadta, így az még sokáig elhúzódhat.

Az ír adatvédelmi hatóság még 2018-ban indította el a WhatsApp elleni vizsgálódását. A hatóságok szerint az üzenetküldő óriás vállalat nem megfelelően tájékoztatta az ügyfeleit arra vonatkozóan, hogy az adatait hogyan kezelte, több téren is hiányosságokat találtak.

Elnéző és lassú írek

Az ír hatóságok 2020 decemberében ismertették a többi adatvédelmi hatóságnak az elmarasztalás javaslatot. Az írek csak 30-50 millió eurós bírságot javasoltak, ám a javaslat nyolc megjegyzést kapott több adatvédelmi hatóság képviselőitől. Az ír adatvédelmi gyakorlatot a többi európai országok túl lassúnak és túl elnézőnek találják.

A végső döntés az European Data Protection Board (EDPB) vagyis az Európai Adatvédelmi Tanács kezébe került, aki 2021. június 3-án tárgyalta az ügyet. Az európai bürokráciához képest relatíve gyorsan, nyolc hét múlva már döntöttek is. A tanács nyolcszorosára növelte a javasolt bírságot. Álláspontja szerint annak kiszámításakor figyelembe kell venni az anyacég (Facebook) forgalmát is.

A második legnagyobb bírság

A hatóságok döntése értelmében a WhatsApp-nak módosítani kell adatkezelési gyakorlatán, amit részben meg is tett 2018 óta. A vállalat egyébként teljesen aránytalannak tartja a bírságot és fellebbez a döntés ellen. Az ír adatvédelmi hatóságnak egyébként tavaly év végén 14 nyitott ügye volt a Facebook és leányvállalataival, WhatsApp-pal és az Instagram-mal szemben.

Ez a második legnagyobb GDPR bírság.  A rekordot az Amazon ellen kiszabott büntetés tartja, 746 millió euróval, ezt a luxembourgi adatvédelmi hatóság írta elő.

Nem GDPR kompatibilis a Zoom?

A német adatvédelmi hivatal szerint a Zoom on-demand verziója nem GDPR kompatibilis, így azt Hamburg városa nem használhatná.

Hamburg adatvédelmi biztosa, Ulrich Kühn arra figyelmeztette a város hatóságait, hogy a Zoom on-demand verziója nem felel meg az EU adatátviteli és adatvédelmi elvárásainak. Az adatvédelmi biztos szerint vannak más, kipróbált és tesztelt videókonferencia megoldások, melyeket a város használhatna.

Azt nem tudjuk, hogy a döntés mögött az adatvédelmi biztos hazafiassága húzódhat meg, amikor a Zoom-ot GDPR inkompatibilisnek titulálta. Az biztos, hogy a Zoom igyekszik a felhasználói engedélyeket begyűjtő sütik nélkül működni.

Az adatvédelmi biztos szerint a felhasználók explicit magatartása (használom a szolgáltatást, tehát adataim kezelését rábízom az EU-n kívüli szolgáltatóra) nem elegendő jogi alap az adatok kezelésére ebben az esetben.

A Schrems-ítélet

Az Európai Unió és az Amerikai Egyesült Államok közötti adattranszfert a Privacy Shield egyezmény biztosította. A gyakorlatban ez azt jelentette, hogy az EU adatvédelem szempontjából biztonságosnak találta az Amerikai Egyesült Államok területén lévő adatközpontokat. Így GDPR kompatibilisek voltak azok a szolgáltatások, melyek amerikai szerverek segítségével dolgozták fel az EU-s személyes adatokat.

Azonban 2020 júliusától ez az egyezmény semmis. Azt ugyanis az Európai Bíróságon támadta meg egy osztrák adatvédelmi harcos, Max Schrems. Szerinte az európai adatok nem voltak biztonságban amerikai földön. Például az amerikai bíróságok rutinszerűen kikérték és meg is kapták az EU felhasználók adatait a nagy technológiai cégektől. A bíróság szerint emiatt az EU felhasználók adatait nem lehet továbbítani amerikai szerverekre a Privacy Shield egyezmény értelmében.

Nem minden süti finom

A gyakorlatban az amerikai vállalatok úgy oldották meg ezt a kérdést (legalább is addig, míg más államközi egyezmény nem születik), hogy sütik vagy más megoldások segítségével megszerzik az EU-s felhasználók engedélyét adataik kezelésére. A Zoom viszont a saját, zero-load cookies szabályzata értelmében nem használ sütiket, még az EU-s felhasználók esetében sem.

A Zoom egy klasszikus PR nyilatkozattal válaszolt a vádakra. Ezek szerint a vállalat top prioritásai közé tartoznak a felhasználók és az adatok biztonsága és mindent megtesz, hogy az előírások szerint működjön.

A cikk forrása: az ITPro Portal cikke

 

746 millió euró az új GDPR gigabírság

A szokásos EU-s bürokrácián felülkerekedve, elég gyorsan döntött Luxembourg az Amazont sújtó 746 millió eurós rekord GDPR-bírságról.

A DATA D blogján júniusban írhattunk arról a pletykáról, hogy Európa egyik legkisebb állama, Luxembourg a legnagyobb GDPR bírságot készül kiszabni az Amazon online kereskedő óriásra. A

kkor még az elemzők sem sejthették, hogy az ügy hamar átszalad az EU bürokrata gépezetén és már idén nyáron, pontosabban július 16-án kirótta a 746 millió eurós gigabírságot.

Lazán kezelik a személyes adatokat

A bírságot a luxembourg-i adatvédelmi hatóság (CNDP) azért szabta ki, mert az amerikai kereskedő óriás eléggé lazán kezeli a felhasználók személyes adatait, ahogy azt a Politico magazin vizsgálata is alátámasztotta 2018-ban. A hatóságok azt kifogásolták, hogy az Amazon elítélendő módon csikarta ki a hozzáegyezést ügyfeleiből, hogy célzott hirdetésekkel bombázza majd őket.

Akkoriban a helyi adatvédelmi hatóság képviselője azt nyilatkozta, hogy nem az óriási bírságokkal tudják megvédeni az európai felhasználók személyes adatait. A helyzetet másképp látta Viviane Reding, az ország ellenzéki képviselője (nem mellesleg a GDPR szülőanyja), aki erőteljesen bírálta gyengeségük miatt a helyi hatóságokat.

Civilek jelentették fel őket

A cikk nyomában végül egy civil szervezet, a francia La Quadrature de Net jelentette fel az Amazont a luxembougi adatvédelmi hatóságnál, ezután kezdett el vizsgálódni az adatvédelmi hatóság. Idén a The Wall Street Journal szellőztette meg a rekordbírság lehetőségét.

Az Amazon rögtön meg is támadta a határozatot. Szerintük a luxembourgi adatvédelmi hatóság döntése megalapozatlan és nyomatékosan védekezni fognak a vádak ellen. Azért Luxembourg adatvédelmi hatósága járt el az ügyben, mert az Amazon itt jelentette be európai székhelyét – a kis ország laza adótörvényeiről közismert.