Ötvenmillió euróra bírságolta a Google-t a francia adatvédelmi hatóság a GDPR-szabályok megsértése miatt.
A francia adatvédelmi hatósághoz érkezett bejelentés azt állította, hogy a Google nem rendelkezik megfelelő jogalappal a felhasználók személyes adatainak a kezelésére, különös tekintettel a reklámok személyre szabhatóságát biztosító szolgáltatás kapcsán akkor, amikor a felhasználók Google fiókot kívánnak létrehozni Android operációs rendszert használó mobil eszközükön – számol be az ügyről a RSM adótanácsadó cég blogja.
A lefolytatott vizsgálat pedig az alábbi főbb megállapításokkal zárult, amely a vállalatok számára is iránymutatást jelent.
A Google adatvédelemmel kapcsolatos tájékoztató információi nehezen – csak több, egymásra épülő aktív cselekmény után – hozzáférhetőek.
Az adatkezelés céljának és a kezelt adatok kategóriáinak a meghatározása túlságosan általános.
A tájékoztatás alapján a felhasználó nem tudja egyértelműen megállapítani azt, hogy az érintett szolgáltatás kapcsán az adatkezelés jogalapja az ő hozzájárulása és nem pedig az adatkezelő jogos érdeke.
A kezelt személyes adatok tárolásának az időtartama nincs minden esetben meghatározva.
A Google által az adatkezelés jogalapjaként hivatkozott érintetti hozzájárulás érvénytelen.
A felhasználók részére adott tájékoztatás (mint a hozzájárulás előfeltétele) nem megfelelő tájékoztatáson alapul, az érdemi információk rendszertelenül, több dokumentumban elszórtan találhatóak meg.
A hozzájárulás megadására vonatkozó érintetti akarat kinyilvánítása nem konkrét, mivel az általánosságban az összes adatkezelési műveletre vonatkozik.
Ezen túlmenően nem egyértelmű, mert hiányzik az aktív megerősítő cselekvés a felhasználó részéről, mivel a felületen egy előre bejelölt jelölőnégyzet volt feltüntetve.
GDPR, már megint. Vagy inkább mostantól mindig?
A tavaly május óta kötelezően alkalmazandó európai uniós adatvédelmi rendelet, a GDPR, jelentős változásokat hozott a hazai adatvédelmi jog területén. Az adatvédelemmel kapcsolatos jogsértések kapcsán potenciálisan kiszabható bírságok mértéke kiemelkedő, az adatvédelmi jogsértések bírságának felső határa akár 20 millió euró, vagy vállalkozások esetén az előző pénzügyi év világpiaci árbevétel 4 százalékának megfelelő összegű közigazgatási bírság lehet.
Senki nem dőlhet hátra, a GDPR folyamatosan új feladatot ad a cégvezetőknek
Jövőbeni GDPR-kötelezettségek
A GDPR alkalmazására lelkiismeretesen felkészülő vállalkozások közül sokan megnyugodva hátra is dőltek mondván a megfelelőség kialakításra került, most már semmi baj nem történhet. A valóság azonban az, hogy az adatvédelmi jogi megfelelőség nem statikus, hanem dinamikus hozzáállást és szemléletmódot követel meg az adatkezelőktől, adatfeldolgozóktól. Egy, a GDPR rendelkezéseinek megfelelően kialakított és szövegezett adatvédelmi szabályrendszer önmagában nem elég, ha annak rendelkezései nem kerülnek átültetésre és alkalmazásra a mindennapok gyakorlatában, vagy nem követik dinamikusan az időközben bekövetkezett változásokat. Arról nem is beszélve, hogy vannak olyan esetek, amikor az elérni kívánt változásnak előfeltétele valamilyen adatvédelmi cselekvés. Jó példa lehet erre a GDPR által bevezetett adatvédelmi hatásvizsgálat.
A témáról bővebben az RSM blogján lehet olvasni.
Forrás: turizmus.com