A francia adatvédelmi hatóság (CNIL) január 21-én 50 millió eurós bírságot szabott ki a Google LLC-re. Cikkünkben részletesen bemutatjuk, pontosan mi is történt.

Korábbi cikkünkben már beszámoltunk arról a két esetről, melyben a GDPR szerint büntettek meg európai vállalatokat, azonban jelenleg ez az 50 millió eurós (közel 16 milliárd forintos) összeg a legmagasabb bírság, melyet a 2018. május 25-től alkalmazandó, egységes európai adatvédelmi rendelet alapján szabtak ki. Bejegyzésünkben a hatóság hivatalos közleménye alapján ismertetjük a határozatot.

Mi történt?

A CNIL közleménye szerint a francia hatóság 2018. májusában több civil szervezettől kapott bejelentést, miszerint a Google nem megfelelő jogalap szerint kezel és dolgoz fel személyes adatokat a szolgáltatásai - különös tekintettel a hirdetések személyre szabására és az Android operációs rendszer - működtetése során.

A nyomozást június elsején indították, melynek során felvették a kapcsolatot az ír adatvédelmi hatósággal, hiszen a Google európai központja az Ír Köztársaságban található. Azonban mivel az ír hatóság nem rendelkezett döntéshozói erővel az ügyben, a GDPR által biztosított "one-stop-shop mechanism", azaz határokon átívelő együttműködés nem valósulhatott meg, a CNIL - mint kompetens fél - az Európai Adatvédelmi Testület irányelve alapján járt el.

Ennek megfelelően szeptemberben megkezdték az online vizsgálatot, melynek célja az volt, hogy meggyőződjenek arról, hogy a Google a francia adatvédelmi törvénynek és a GDPR-nak megfelelő módon végzi-e az adatok gyűjtését és feldolgozását. A vizsgálat során egy Androidos mobil eszköz beállításakor történő Google fiók létrehozását analizálták, kitérve arra, hogy milyen dokumentumokhoz, és milyen módon férhet hozzá a regisztráló az adatkezeléssel kapcsolatos információhoz.

A felderített problémák

A vizsgálat során két fő területet érintő problémát találtak az ellenőrök:

A tájékoztatással és átláthatósággal kapcsolatos hiányosságok

Az első megállapítás szerint a Google nem gondoskodott megfelelően arról, hogy a felhasználók könnyen és egyszerűen hozzáférhessenek az adatkezeléssel kapcsolatos információkhoz. A CNIL külön kiemelte, hogy a cég több gombnyomás mögé, és több dokumentumban szétválasztva hozza tudomásra az olyan alapvető információkat, melyek az adatkezelés céljával, illetve az adatkezelés hosszát érintően adnának tájékoztatást a felhasználók számára. Példaképp említenek egy olyan szituációt, melyben az érdeklődő a reklámok testreszabása és a geolokációs adatok kezelésével kapcsolatos információt csak 5 vagy 6 lépés megtételével szerezheti meg.

Külön probléma, hogy az így olvasott információ nem minden esetben közérthető és átlátható, így a felhasználóknak különösen nagy nehézséget okoz a dokumentumokban leírtak értelmezése. A jelentés mulasztásként említi, hogy az adatfeldolgozás túlságosan általános módon, kifejezetten csak nagy vonalakban fogalmazva kerül leírásra, melynek következményeként az érintett számára nem értelmezhető könnyen az sem, hogy milyen jogalap szerint történik az adatok feldolgozása.

Mindezen felül bizonyos adatok tárolásának időszakára sem térnek ki a tájékoztatók szövegében, így több ponton is megsértik az egységes európai adatvédelmi rendelet előírásait.

Egyénreszabott hirdetések alkalmazásának jogalapját érintő hiányosságok

A CNIL megállapítása szerint a felhasználók adatainak kezelése és feldolgozása a hirdetések testreszabásának céljából nem jogszerű, hiszen hiába állítja a Google, hogy ezeket az adatokat az érintett hozzájárulása alapján kezelik, a hatóság álláspontja szerint ezeket a hozzájárulásokat két okból kifolyólag sem a megfelelő módon szerzik be.

A hozzájárulások érvényessége nem valósul meg, mert a bizottság vizsgálata szerint a felhasználó tájékoztatása nem történik meg a szükséges szinten, így az érintett nem is adhat tájékozott, tudatos beleegyezést. Példaképp mutatják be, hogy a hirdetések esetén a szerteágazó szolgáltatási porftólió (Google kereső, Youtube, Google térképek, stb.) miatt a tájékoztató nem fogalmazza meg elég egyértelműen, hogy a gyűjtött és feldolgozott adatok hol, és milyen módon kerülnek felhasználásra.

A kiszabott büntetés

A CNIL bizottsága 50 millió eurós (kb. 16 milliárd forintos) bírság kiszabása, -  először élve a GDPR szerint meghatározott új büntetési korlátok lehetőségeivel - valamint az ügy nyilvánosságra hozatala mellett döntött. Ennek oka, hogy a GDPR olyan alapvető elveit sértette meg a Google, mint az átláthatóság, a tájékoztatás és a hozzájárulás.

Mivel a vállalat olyan nagy mennyiségű adatot kezel és dolgoz fel, amely fontos részleteket tárhat fel az érintettek magánéletével kapcsolatban, valamint az Android operációs rendszer olyan nagy mértékű piaci részesedéssel rendelkezik a francia okostelefonpiacon, hogy naponta több ezer ember készít ilyen módon Google fiókot annak érdekében, hogy használhassa az eszközeit, a CNIL jogosnak gondolja a kiszabott bírság mértékét.

A jelentés végén külön felhívják a figyelmet, hogy a jogsértés nem egyszeri eset, a mai napig tapasztalható, a teljes működési folyamatot érintő probléma, így a büntetés kiszabása mellett felszólították a céget, hogy felelős vállalatként tartsa be az ügyben megkövetelt előírásokat, és feleljen meg a GDPR elvárásainak.

A döntéssel kapcsolatban a Google LLC. még nem nyilatkozott, a cég fellebbezhet.