dec 20, 2021 | Blog
Csak ötmillió forintos bírságról van szó a NAIH október végén közzétett határozatában, ámde látszik, hogy az ügyfélelégedettséggel kapcsolatos adatkezelésnél is figyelni kell a GDPR betartására.
A kép csak illusztráció. Forrás: pixabay.com
Az ügy röviden arról szól, hogy a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) forduló fogyasztó egy szervíznél megvizsgáltatta vagy megjavíttatta autóját. A szervíz elkérte e-mail címét is. Erre az e-mail címre 2021 elején kéretlen e-mail kapott az autó importőrétől, amiben arra kérték, hogy a szervíznél tett látogatásával kapcsolatban töltsön ki egy elégedettségi kérdőívet.
A február 12-én érkezett levélre nem reagált a fogyasztó, így az importőr újból küldött egy második kéretlen levelet február 19-én, amelyben ismételten megkérték, hogy töltse ki az elégedettségi kérdőívet.
Minőségi munkát vártak el
Amint az a hatóság határozatából kiderült, a szervíz és az adott autó importőre között olyan szerződés létezett, melynek értelmében a szervíz csakis minőségi munkát végezhet. Az elvégzett munka minőségét pedig csak úgy tudta megállapítani az importőr, ha megkérdezi az ügyfeleket.
Vagyis a szervizt kötelezte az importőr, hogy az ügyfél adatokat továbbítsa számára. A két fél közötti szerződés másik fontos pontja az volt, hogy az importőr kikötötte, a szerződés egyoldalúan felmondhatja, ha az ügyfélelégedettség nem az általa meghatározott, megfelelő szintű.
Az autó márkájáról és a szervízről nem árultak el adatokat, a határozatból kiderült, hogy francia márkáról van szó, vagyis Citroen, Dacia, Peugeot vagy Renault szervízről és importőrről beszélünk. (Képünk csak illusztráció.)
Autó alvázszámra semmi szükség
Ezzel eddig minden rendben. Azonban problémás, hogy az importőr számára a szervizeléshez köthető személyes adatokat személyhez köthetően továbbították, az ügyfélelégedettség méréséhez és az ügyfélkapcsolatok javításához az ügyfélazonosításra szükségük van.
Még az autó alvázszámát is feltüntették a felmérésre felkérő levélben, amire semmi szükség sem lett volna – hányan ismerjük kívülről saját autónk alvázszámát?
Azt is kifogásolták, hogy az e-mailben nem volt semmilyen információ arra vonatkozóan, hogy a személyes adatok forrása mi volt, és ki milyen jogalappal kezeli az ügyfél személyes adatait. Emiatt az ügyfél nem tudta gyakorolni érintetti jogait, tájékoztatást sem tudott kérni az importőrtől. Az adatfeldolgozó adatkezeléssel kapcsolatos tájékoztatását sem találhatták az e-mailben.
A NAIH az ötmillió forintos bírság meghatározásánál figyelembe vette, hogy:
– az importőr nem megfelelően tájékoztatta az ügyfeleket
– megsértette a GDPR alapelveit
– az érintett nem tudott tiltakozni előre az adatkezeléssel szemben, mert azt nem is láthatta előre.
Az importőrnek jogos érdeke volt az ügyfelek véleményét kikérdezni, de ez a jogos alap a többi feltételtől (megfelelő tájékoztatás és ebből adódóan az érintett joggyakorlásának képessége) függetlenül nem lehet érvényes. Ugyanakkor ez a jogos érdek nem jelent jogalapot az adatok kezelésére.
A NAIH teljes határozata itt olvasható el.
okt 6, 2021 | Blog
225 millió euró a második legnagyobb GDPR bírság. A 2018-ban indított GDPR ügyet a WhatsApp megtámadta, így az még sokáig elhúzódhat.
Az ír adatvédelmi hatóság még 2018-ban indította el a WhatsApp elleni vizsgálódását. A hatóságok szerint az üzenetküldő óriás vállalat nem megfelelően tájékoztatta az ügyfeleit arra vonatkozóan, hogy az adatait hogyan kezelte, több téren is hiányosságokat találtak.
Elnéző és lassú írek
Az ír hatóságok 2020 decemberében ismertették a többi adatvédelmi hatóságnak az elmarasztalás javaslatot. Az írek csak 30-50 millió eurós bírságot javasoltak, ám a javaslat nyolc megjegyzést kapott több adatvédelmi hatóság képviselőitől. Az ír adatvédelmi gyakorlatot a többi európai országok túl lassúnak és túl elnézőnek találják.
A végső döntés az European Data Protection Board (EDPB) vagyis az Európai Adatvédelmi Tanács kezébe került, aki 2021. június 3-án tárgyalta az ügyet. Az európai bürokráciához képest relatíve gyorsan, nyolc hét múlva már döntöttek is. A tanács nyolcszorosára növelte a javasolt bírságot. Álláspontja szerint annak kiszámításakor figyelembe kell venni az anyacég (Facebook) forgalmát is.
A második legnagyobb bírság
A hatóságok döntése értelmében a WhatsApp-nak módosítani kell adatkezelési gyakorlatán, amit részben meg is tett 2018 óta. A vállalat egyébként teljesen aránytalannak tartja a bírságot és fellebbez a döntés ellen. Az ír adatvédelmi hatóságnak egyébként tavaly év végén 14 nyitott ügye volt a Facebook és leányvállalataival, WhatsApp-pal és az Instagram-mal szemben.
Ez a második legnagyobb GDPR bírság. A rekordot az Amazon ellen kiszabott büntetés tartja, 746 millió euróval, ezt a luxembourgi adatvédelmi hatóság írta elő.
aug 23, 2021 | Blog
A német adatvédelmi hivatal szerint a Zoom on-demand verziója nem GDPR kompatibilis, így azt Hamburg városa nem használhatná.
Hamburg adatvédelmi biztosa, Ulrich Kühn arra figyelmeztette a város hatóságait, hogy a Zoom on-demand verziója nem felel meg az EU adatátviteli és adatvédelmi elvárásainak. Az adatvédelmi biztos szerint vannak más, kipróbált és tesztelt videókonferencia megoldások, melyeket a város használhatna.
Azt nem tudjuk, hogy a döntés mögött az adatvédelmi biztos hazafiassága húzódhat meg, amikor a Zoom-ot GDPR inkompatibilisnek titulálta. Az biztos, hogy a Zoom igyekszik a felhasználói engedélyeket begyűjtő sütik nélkül működni.
Az adatvédelmi biztos szerint a felhasználók explicit magatartása (használom a szolgáltatást, tehát adataim kezelését rábízom az EU-n kívüli szolgáltatóra) nem elegendő jogi alap az adatok kezelésére ebben az esetben.
A Schrems-ítélet
Az Európai Unió és az Amerikai Egyesült Államok közötti adattranszfert a Privacy Shield egyezmény biztosította. A gyakorlatban ez azt jelentette, hogy az EU adatvédelem szempontjából biztonságosnak találta az Amerikai Egyesült Államok területén lévő adatközpontokat. Így GDPR kompatibilisek voltak azok a szolgáltatások, melyek amerikai szerverek segítségével dolgozták fel az EU-s személyes adatokat.
Azonban 2020 júliusától ez az egyezmény semmis. Azt ugyanis az Európai Bíróságon támadta meg egy osztrák adatvédelmi harcos, Max Schrems. Szerinte az európai adatok nem voltak biztonságban amerikai földön. Például az amerikai bíróságok rutinszerűen kikérték és meg is kapták az EU felhasználók adatait a nagy technológiai cégektől. A bíróság szerint emiatt az EU felhasználók adatait nem lehet továbbítani amerikai szerverekre a Privacy Shield egyezmény értelmében.
Nem minden süti finom
A gyakorlatban az amerikai vállalatok úgy oldották meg ezt a kérdést (legalább is addig, míg más államközi egyezmény nem születik), hogy sütik vagy más megoldások segítségével megszerzik az EU-s felhasználók engedélyét adataik kezelésére. A Zoom viszont a saját, zero-load cookies szabályzata értelmében nem használ sütiket, még az EU-s felhasználók esetében sem.
A Zoom egy klasszikus PR nyilatkozattal válaszolt a vádakra. Ezek szerint a vállalat top prioritásai közé tartoznak a felhasználók és az adatok biztonsága és mindent megtesz, hogy az előírások szerint működjön.
A cikk forrása: az ITPro Portal cikke
aug 4, 2021 | Blog
A szokásos EU-s bürokrácián felülkerekedve, elég gyorsan döntött Luxembourg az Amazont sújtó 746 millió eurós rekord GDPR-bírságról.
A DATA D blogján júniusban írhattunk arról a pletykáról, hogy Európa egyik legkisebb állama, Luxembourg a legnagyobb GDPR bírságot készül kiszabni az Amazon online kereskedő óriásra. A
kkor még az elemzők sem sejthették, hogy az ügy hamar átszalad az EU bürokrata gépezetén és már idén nyáron, pontosabban július 16-án kirótta a 746 millió eurós gigabírságot.
Lazán kezelik a személyes adatokat
A bírságot a luxembourg-i adatvédelmi hatóság (CNDP) azért szabta ki, mert az amerikai kereskedő óriás eléggé lazán kezeli a felhasználók személyes adatait, ahogy azt a Politico magazin vizsgálata is alátámasztotta 2018-ban. A hatóságok azt kifogásolták, hogy az Amazon elítélendő módon csikarta ki a hozzáegyezést ügyfeleiből, hogy célzott hirdetésekkel bombázza majd őket.
Akkoriban a helyi adatvédelmi hatóság képviselője azt nyilatkozta, hogy nem az óriási bírságokkal tudják megvédeni az európai felhasználók személyes adatait. A helyzetet másképp látta Viviane Reding, az ország ellenzéki képviselője (nem mellesleg a GDPR szülőanyja), aki erőteljesen bírálta gyengeségük miatt a helyi hatóságokat.
Civilek jelentették fel őket
A cikk nyomában végül egy civil szervezet, a francia La Quadrature de Net jelentette fel az Amazont a luxembougi adatvédelmi hatóságnál, ezután kezdett el vizsgálódni az adatvédelmi hatóság. Idén a The Wall Street Journal szellőztette meg a rekordbírság lehetőségét.
Az Amazon rögtön meg is támadta a határozatot. Szerintük a luxembourgi adatvédelmi hatóság döntése megalapozatlan és nyomatékosan védekezni fognak a vádak ellen. Azért Luxembourg adatvédelmi hatósága járt el az ügyben, mert az Amazon itt jelentette be európai székhelyét – a kis ország laza adótörvényeiről közismert.
jún 21, 2021 | Blog
A The Wall Street Journal értesülései szerint az Amazon online áruházóriás GDPR gigabírság elé néz az Európai Unióban.
A kereskedő a GDPR adatvédelmi törvény megsértése miatt 452 millió dolláros bírságot kockáztat. A GDPR szerint ugyanis a legnagyobb bírság, ami egy vállalatra kiszabható, az az éves bevételének maximum 2 százaléka. A nagyvállalat bevétele 2,1 milliárd dollár volt 2020-ban.
A pénzügyi lap értesüléseit sem az EU hatóságok, de az Amazon sem kommentálta. A lap szerint a luxembourgi adatvédelmi hatóság (CNPD) egy olyan tervezetet köröztetett meg a többi EU-s tagország adatvédelmi hatóságai között, mely szerint az Amazon adatvédelmi gyakorlata kívánni valót hagy maga után és emiatt terveznék őt megbüntetni.
Egyelőre csak terv
A kifogásolt viselkedést a lap továbbá nem részletezi, de azt még kiderült, hogy a rossz GDPR gyakorlatot az online kereskedési tevékenység során észlelték, az AWS felhőszolgáltatás nem érintett az ügyben.
A gigabüntetés egyelőre csak terv formájában létezik. Ahhoz, hogy véglegessé váljék, a többi tagország adatvédelmi hatósága is jóvá kell hagyja. Ez a folyamat több hónapot is eltarthat, miközben maga a tervezet is jelentősen átalakulhat.
211 millió a legnagyobb GDPR bírság
Ahogy erről a DATA D blogján is írtunk, a tavalyi legnagyobb GDPR bírság 50 millió eurónál állt meg, a Google-ra szabták ki a francia hatóságok a reklámok elhelyezésére szolgáló személyes adatok gyűjtésével kapcsolatban.
Azóta két vállalatnak is sikerült ezt az összeget megelőznie, 2021-ben a British Airways légitársaságot 211,7 millió euróra bírságolták, mert fél millió ügyféladat kiszivárgott egy támadás során. A másik nagyvállalat, a Marriott International hotellánc 110,3 millió eurós büntetést kapott egy 2014-ben történt, de csak négy évvel később felfedett támadást miatt, ahol ugyancsak ügyféladatok vesztek el.
A GDPR büntetés a többek között azzal is elkerülhető, ha az életciklusuk végén levő eszközök adatait megfelelően tanúsított eszközökkel töröljük.
Forrás: The Wall Street Journal
