Millió eurós adatvédelmi bírságok Spanyolországból és Görögországból, az online hirdetési piacot érintő adatvédelmi hatósági döntés Belgiumból és több más érdekesség az elmúlt hét adatvédelmi világát érintő hírei közül:
- A belga adatvédelmi hatóság online hirdetési piacot érintő döntése: A belga adatvédelmi hatóság az Interactive Advertising Bureau Europe (IAB Europe) által kialakított transzparencia és hozzájárulási keretrendszer (Transparency & Consent Framework; TCF) kapcsán állapította meg, hogy ez nem áll teljesen összhangban a GDPR követelményeivel és 250 ezer eurós bírságot szabott ki az IAB-ra, továbbá kötelezte, hogy a TCF-et hozza összhangba a GDPR elvárásaival. A keretrendszerrel kapcsolatos adatvédelmi hiányosságok hatása azért lehet jelentős, mert a valós idejű licit rendszerek (Real Time Bidding) működését érintheti (a TCF-en alapuló OpenRTB protokollt széles körben használják). A hatóság többféle jogsértést is megállapított, így többek között, az adatkezelés jogalapját, az átláthatóságot és felhasználói tájékoztatást, beépített- és alapértelmezett adatvédelem elveit érintően. (A döntés ellen helye van jogorvoslatnak.)
- Az Apple által végrehajtott adatvédelmi változtatások 10 milliárd dolláros nagyságrendű negatív hatást gyakorolhatnak a Facebook bevételére ("Facebook says Apple iOS privacy change will result in $10 billion revenue hit this year"): A Facebook (Meta) árfolyama hatalmasat zuhant a negyedéves jelentés publikálását követően. Az árfolyam csökkenéséhez hozzájáruló tényezők több okra vezethetők vissza, de ezek között az online hirdetési piacot érintő kihívások is megtalálhatók. Ebben a körben érdekesség, hogy "a Meta pénzügyi igazgatója, Dave Wehner a jelentés utáni konferenciahíváson az elemzőknek elmondta, hogy az Apple adatvédelmi módosításainak hatása "10 milliárd dollár nagyságrendű" lehet 2022-re. Ezek arról szólnak, hogy az Apple operációs szoftverének módosításai lehetőséget adnak a felhasználóknak arra, hogy megakadályozzák, hogy az alkalmazások reklámok céljából nyomon kövessék online tevékenységüket, ami megnehezíti az adatokra támaszkodó hirdetők számára, hogy új termékeket fejlesszenek ki és megismerjék piacukat." (Lásd a Portfolio cikkét itt.) Tavaly év végén a lengyel versenyhatóság vizsgálatot is indított az Apple-vel szemben annak kiderítésére, hogy az adatvédelmi beállítások változtatását nem arra használja-e a cég, hogy a versenytársait hátrányos helyzetbe hozza.
- Összesen több, mint 9 millió eurós bírságot szabott ki a görög adatvédelmi hatóság telekommunikációs cégekre: Egy adatvédelmi incidens nyomán indult vizsgálatot követően a hatóság - többek között - az adatkezelés transzparenciáját érintően, illetve adatbiztonsági téren, továbbá a két társaság közötti feladatok/szerepek elhatárolása kapcsán állapított meg jogsértéseket, amelyre tekintettel a Cosmote S.A. 6 millió eurós, míg az OTE S.A. 3.25 millió eurós bírságot kapott.
- Spanyolországban 3 millió eurós bírságot szabtak ki profilalkotásra vonatkozó tájékoztatási és hozzájárulási követelmények megsértése miatt: A spanyol adatvédelmi hatóság (AEPD) a profilozáshoz és az ezen alapuló marketing tevékenységhez kapcsolódóan nem megfelelő tájékoztatáson alapuló hozzájárulások gyűjtése miatt szabott ki bírságot a Caixabankra. Az alapvető problémát az okozta, hogy csak túl általános információk voltak elérhetők az adatkezeléssel kapcsolatban, így a hozzájárulás megadása során nem lehetett egyértelmű az érintetteknek, hogy pontosan mihez is adnak hozzájárulást. (A teljes határozat spanyol nyelven elérhető itt.) [Egy másik szintén jelentős bírságot eredményező döntésében az AEPD a Vodafone Espana-t bírságolta 3.94 millió eurós összeggel, az azonosítási szabályok hiányosságai miatt. (A határozat spanyolul itt található meg.)]
- Tanulmány az Európai Unió folyamatban lévő digitális jogalkotási kezdeményezésekről ("Identification and assessment of existing and draft EU legislation in the digital field"): Az Európai Parlament számára készített friss (2022. januári) tanulmány áttekintést ad az EU folyamatban lévő digitális jogalkotási kezdeményezéseiről. A tanulmány az adatvédelem mellett - többek között - kitér a fogyasztóvédelem és verseny, az online szolgáltatások és e-kereskedelem, szerzői jogok és audio-vizuális kérdések, illetve az e-Kormányzat témaköreire. (Érdemes megnézni az International Association of Privacy Professionals (IAPP) által készített infografikát is, amely képet ad a jelenleg az EU-ban folyamatban lévő adatokat érintő kezdeményezésekről, beleértve az EU adatsratégiájából, a mesterséges intelligencia stratégiából, illetve a kiberbiztonsági stratégiából fakadó jogalkotási kezdeményezéseket is.)
- A Nemzeti Adatvédelmi- és Információszabadság Hatóság jelentése a Pegazus szoftver magyarországi alkalmazásáról: A NAIH közzétette a jelentését, amelyben a szoftver alkalmazásának a jogszerűségét vizsgálta. A jelentés szerint "[a] Hatóság vizsgálata során nem merült fel arra vonatkozó információ, hogy az Nbtv. 56. §-a szerinti külső engedélyhez kötött titkos információgyűjtésre felhatalmazott szervek, a gyártó által meghatározott célokon (bűncselekmények és terrorcselekmények megelőzése és felderítése), valamint törvényben meghatározott feladataik ellátásán túl, egyéb célra használtak volna kémszoftvert" (50. o.), továbbá "[a] Hatóság vizsgálata során nem merült fel arra vonatkozó adat, amely kétségessé tenné azt, hogy a technikai eszköz alkalmazása során a Nemzetbiztonsági Szakszolgálat a vonatkozó jogszabályok, közigazgatási szervezetszabályozó eszközök előírásainak, valamint szerződéses jogviszony esetén a szerződésben vállalt kötelezettségeknek a teljesítésével járt és jár el." (50. o.)
