GDPR

Adatvédelem mindenkinek / Data protection for everyone

Közel 750 millió eurós GDPR bírság

2021. július 31. 09:00 - poklaszlo

Július végén robbant a hír, hogy a luxemburgi adatvédelmi hatóság (CNPD) rekord összegű bírságot szabhatott ki az Amazonra az adatvédelmi szabályok megsértése miatt. Úgy látszik, hogy az olimpiai időszakban nem csak a sportpályákon, hanem a GDPR végrehajtása kapcsán is rekordöntésre kerülhet sor, méghozzá nem is kevéssel, hiszen eddig a Google-ra Franciaországban kiszabott 50 millió eurós GDPR szerinti bírság jelentette a csúcsot. A bírság kiszabására az Amazon által a U.S. Securities and Excahange Commission (SEC; az Egyesült Államok Értékpapír- és Tőzsdefelügyelete) részére benyújtott dokumentumból derült fény, a határozatot a CNPD még nem hozta nyilvánosságra korábban. A jogi eljárásokra vonatkozó részben az alábbi információkat tette közzé a vállalat:

2021. július 16-án a Luxemburgi Nemzeti Adatvédelmi Bizottság ("CNPD") határozatot hozott az Amazon Europe Core S.à r.l.-al szemben, amelyben arra a megállapításra jutott, hogy az Amazon adatkezelése nem felelt meg az EU Általános Adatvédelmi Rendeletének. A határozat 746 millió euró összegű bírságot szab ki és előírja a gyakorlat megváltoztatását. Véleményünk szerint a CNPD határozata megalapozatlan és ebben az ügyben határozottan meg kívánjuk védeni az álláspontunkat. (13. o.)     

Az ügy részleteiről a SEC-nek benyújtott beadványból nem derülnek ki részletek és - ahogy fentebb is jeleztem - eddig a CNPD sem tett közzé részleteket az eljárás tárgyáról és megállapításairól. A bírság ugyanakkor vélhetően 2018-ban egy civil szervezet (La Quadrature du Net) által, 10.065 magánszemély képviseletében tett panaszra vezethető vissza (ez franciául elérhető itt), a szervezet által közzétett blogbejegyzés szerint a döntést még nem kapták meg, ugyanakkor a bejegyzés alapján a - SEC beadvány alapján megjelent hírekben szereplő - bírság az Amazon célzott hirdetésekkel kapcsolatos adatkezelésére vezethető vissza, amelyre vonatkozóan nem állt megfelelő hozzájárulás az adatkezelő rendelkezésére. (Érdekesség, hogy az előzetesen kiszivárgott hírek még jelentősen kisebb összegű, a SEC beadványban szereplő összeg kevesebb, mint felét jelentő bírságról szóltak.)

A döntést nyilván azt követően lehet majd érdemben értékelni, miután a részletek is nyilvánosan elérhetőek lesznek és képet kaphatunk arról, hogy pontosan milyen jogsértéseket állapított meg a luxemburgi hatóság, illetve milyen körben írt elő kötelezettséget az adatkezelőnek a gyakorlata megváltoztatására. Néhány érdekes szempontot azért talán már most is érdemes kiemelni: 

  • A közel 750 millió eurós bírság összeg jelentős áttörést jelentene a GDPR alkalmazása kapcsán, hiszen eddig bár kiszabásra kerültek jelentős, több millió, illetve akár tízmillió eurós bírságok, de az igazán "nagy dobás" még váratott magára.   
  • Egy ilyen jelentős összegű bírság kiszabása egy big tech cégre még komolyabb nyomás alá helyezheti az ír adatvédelmi hatóságot (Data Protection Commission, DPC), amely már eddig is jelentős kritikákat kapott amiatt, hogy a legtöbb nagy technológiai cég tekintetében vezető hatóságként nem teszi meg a szükséges lépéseket a GDPR kikényszerítése érdekében. (A hamburgi adatvédelmi biztos miután pár hónappal ezelőtt távozott a hivatalából, erősen bírálta az egykapus ügyintézés működését.) Ismeretes, hogy eddig az ír hatóság által kiszabott legnagyobb bírság 450 ezer euró volt, amelyet  a Twitternek kellett megfizetnie egy adatvédelmi incidens kapcsán. Az ír hatóság által a Twittert érintően előterjesztett döntéstervezet kapcsán kialakult vitában az Európai Adatvédelmi Testületnek kellett döntenie a GDPR 65. cikke alapján. Egy másik, friss GDPR 65. cikk szerinti döntést pedig szintén azért kellett meghoznia az Európai Adatvédelmi Testületnek, mert az ír hatóságnak nem sikerült a WhatsApp-ot érintő eljárásban konszenzusra jutnia a többi érintett adatvédelmi hatósággal. (Szintén érdekes fejlemény volt néhány hete, hogy a Testület sürgősségi döntést hozott a GDPR 66. cikk (2) bekezdése alapján, miután a hamburgi adatvédelmi hatóság megtiltotta, hogy a WhatsApp a Facebook Ireland-nek továbbítsa a WhatsApp felhasználók adatait. A Testület úgy döntött, hogy ennek az intézkedésnek a feltételei nem álltak fenn, így nem tartható fenn, ugyanakkor az ír hatóságot, amely az FB írországi letelepedése miatt vezető hatóság, felhívta arra, hogy prioritással kezelje az ügyet.)
  • Amennyiben valóban a célzott hirdetések kapcsán folytatott gyakorlatot találta a GDPR-ral össze nem egyeztethetőnek a CNPD, akkor ennek az Amazonon messze túlnyúló hatásai lehetnek és más szereplők (különösen a Google és Facebook) gyakorlatát illető vizsgálatok kapcsán is érdekes fejleményekre kerülhet sor a jövőben. 
Szólj hozzá!
Címkék: bírság egyablakos ügyintézés portfolioblogger Google Facebook Amazon Luxemburg HU Rendelet Európai Adatvédelmi Testület Ír Hatóság egységességi mechanizmus

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr3016643844

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása