Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A 2019-es viszonylag kevés adatvédelmi hatósági eljárás után 2020-ban az eljárások drasztikus növekedésével szembesültünk az EU-ban.
A GDPR hatályba lépése óta eltelt több mint két év alatt kezdenek kirajzolódni a jogalkalmazás trendjei. Megismerhettük, hogy az EU tagállamok adatvédelmi hatóságai a GDPR mely területeire koncentrálnak és milyen céllal folytatnak vizsgálatokat.
A tagállamok adatvédelmi hatóságai tavaly 318 bírságot szabtak ki, amely az eddig összesen kiszabott 471 bírság jelentő része.
Cikkünkben összefoglaljuk a 2020-as hatósági eljárásokból levonható tanulságokat. Azt is elemezzük, hogy vajon mire számíthatnak az adatkezelők 2021-ben.
A vizsgált adatkezelők
A 2019-es viszonylag kevés eljárás után az adatvédelmi hatóságok tömegesen indítottak eljárásokat tavaly. Időnként hatalmas bírságokat szabtak ki, és az eljárások a kis és nagy adatkezelőket egyaránt célozták, de különös figyelmet fordítottak a technológiai iparra.
Az Ír Adatvédelmi Bizottság (IDPC) – az EU egyik legaktívabb adatvédelmi hatósága – több vizsgálatot indított különféle nagy technológiai cégek ellen [A technológiai világcégek többségének európai központja Írországban van – a szerk].
Az egyik ügyben például az vizsgálta az IDPC, hogy a Twitter eleget tett-e a GDPR 33. cikk (1) és (5) bekezdésének, bejelentette-e és orvosolta-e az adatvédelmi incidenst. Az IDPC megállapítása szerint a Twitter megsértette a GDPR fenti rendelkezéseit, ezért 450.000 eurós bírságot szabott ki a 2019 januárjában történt adatvédelmi incidens ügyében.
Az IDPC emellett vizsgálatot indított a Facebook ellen a kiskorúak adatainak Instagramon történő kezelésével kapcsolatban, és hivatalos figyelmeztetést adott ki a Facebook (amerikai) választások napjára emlékeztető funkciójával kapcsolatban. Bár még nagyon kevés döntés született, az IDPC továbbra is tömegesen folytat vizsgálatot a nagy techcégekkel szemben, és bár e vizsgálatok üteme nem minden esetben elégíti ki a GDPR kritikusainak elvárásait, de az eljárások nagy száma mutatja, hogy az IDPC mennyire komolyan veszi a GDPR érvényre juttatását, legalábbis ami az amerikai vállalatokat illeti.
Az IDPC nem az egyetlen adatvédelmi hatóság, amely eljárásokat indított a nagy amerikai techcégekkel szemben. A francia adatvédelmi hatóság (CNIL) szintén számos figyelemre méltó eljárást folytatott ezen cégek ellen a tavalyi évben, és még keményebben lépett fel, mint az IDPC. A tavalyi évben Franciaország legfelsőbb közigazgatási bírósága (a Conseil d’Etat) helybenhagyta a CNIL 50 millió eurós bírságát, amelyet a francia adatvédelmi hatóság a Google-re szabott ki az adatkezelés átláthatóságával és a személyes adatok kezelésének jogalapjával kapcsolatos hiányosságok miatt. Akkor ez a bírság volt a legmagasabb, amelyet bármely adatvédelmi hatóság valaha kiszabott.
A CNIL folytatta a nagy techcégek elleni vizsgálatokat, amelyek még magasabb bírságokat eredményeztek. A CNIL két nagy bírságot szabott ki, egyet a Google-re (100 millió euró) és egyet az Amazon-ra (35 millió euró) a két cég francia weboldalain használt cookiekra vonatkozó felhasználói hozzájárulás bizonyos hiányosságai miatt. Noha ezeket a vizsgálatokat nem a GDPR alapján végezteék (hanem az EU elektronikus hírközlésről szóló irányelvének hatálya alá tartoztak), ezek azt mutatják, hogy a CNIL egyre növekvő mértékben folytat eljárásokat és bírságolja a cégeket a GDPR-on kívül más jogszabályok alapján is sok és nagy bírságot szabnak ki, amely azt jelzi, hogy nem csak a GDPR fókuszálnak, hanem más jogszabályokat is igénybe vesznek.
A kis és nagy techcégeknek küldött üzenet teljesen világos: Az adatvédelmi hatóságok kreatív jogalkalmazással maximalizálják a hatékonyságot. 2021-be lépve látható, hogy az Európában működő összes techcégnek folyamatosan felül kell vizsgálnia adatvédelmi gyakorlatát.
Az adatvédelmi vizsgálatok fókusza
A tavalyi tendenciák alapján az adatvédelmi hatóságok által vizsgált jogsértésekben is láthatunk trendeket. Figyelembe véve a kiszabott nagyobb bírságokat, az adatvédelmi hatóságok (legalábbis egyelőre) az érintettek hozzájárulására koncentrálnak. Például a Google-re kiszabott 50 millió eurós bírságáról szóló határozatban a CNIL azt állította, hogy a felhasználók hozzájárulása két okból is érvénytelen volt. Először is, a CNIL vizsgálata arra a következtetésre jutott, hogy a felhasználókat nem tájékoztatták megfelelően a hozzájárulásuk megadása előtt, mert a különböző adatkezelési műveletekről szóló információk több különböző dokumentumban voltak szétszórva, ezért nem lehet azokat könnyen megismerni egy egységes dokumentumban.
Másodszor, a CNIL szerint a felhasználóktól kért beleegyezés nem volt kellően „önkéntes”, és „egyértelmű”, mert a felhasználói fiók létrehozásakor a felhasználói beleegyezés megadására szolgáló jelölőnégyzet előre be volt pipálva, és nem kértek minden adatkezelési művelethez, célonként külön hozzájárulást, hanem csak egy általános hozzájárulást.
Az olasz adatvédelmi hatóság, a Garante is kiszabott két nagy bírságot az érintettek hozzájárulásával kapcsolatban. Először, 2020 januárjában több jogsértés miatt a Garante 27,8 millió euró összegű bírságot szabott ki a TIM SpA-ra (olasz távközlési vállalat). A Garante határozatában hangsúlyozta, hogy a TIM SpA nem szerzett külön-külön hozzájárulást az érintettektől a személyes adataik kezelésére minden egyes adatkezelési cél vonatkozásában. A TIM SpA inkább egy általános hozzájárulást kért, amely előtt nem adott megfelelő tájékoztatást az érintettek személyes adatainak különböző célokból történő kezeléséről, ideértve a leendő ügyfelekkel való kapcsolatfelvételt és az ügyfelek személyes adatainak tárolását.
A Garante 16,7 millió eurós bírságot szabott ki a Wind Tre SpA-ra (egy másik olasz távközlési vállalat). Ebben az esetben a Wind Tre nemcsak figyelmen kívül hagyta bizonyos érintettek hozzájárulásának visszavonását (akik továbbra is kaptak promóciós üzeneteket a leiratkozás után), de nem szerezte meg azoknak a felhasználóknak a megfelelő tájékoztatáson alapuló hozzájárulását, akik hozzájárultak a promóciós üzenetküldéshez. Bizonyos érintetteknél a Garante megállapította, hogy a Wind Tre az 1980-as években adott hozzájárulásokra alapította az adatkezelését, így azok nem feleltek meg a mai előírásoknak.
2020-ban továbbra is az érintettek hozzájárulásával kapcsolatos jogsértések vezették a bírságlistát. Ez a tendencia valószínűleg 2021-ben is folytatódik, különösen az EUB Schrems II határozata után, amely érvénytelenítette az Egyesült Államok és az EU Adatvédelmi Pajzsának keretrendszerét, és arra készteti a vállalatokat, hogy inkább a szerződéses kötelezettségvállalásokra alapítsák a személyes adatok nemzetközi továbbítását.
Az IDPC üdvözölte a Schrems II határozatot is, amelyet az adattovábbításra vonatkozó jelenlegi álláspontja jóváhagyásaként értékelt.
Mit tegyünk 2021-ben?
Először is, a vállalatoknak proaktív módon kell módosítaniuk adatvédelmi gyakorlatukat annak érdekében, hogy folyamatosan megfeleljenek a GDPR szabályainak.
Az adatvédelmi hatóságok, különösen az IDPC, nem haboznak, egyszerre több vizsgálatot is készek végezni, és az érintett cégeknél évekig is vizsgálódhatnak a túlterheltség miatt lassan dolgozó adatvédelmi hatóságok.
A cégeknek nem szabad megvárniuk az összes vizsgálat eredményét, mielőtt a saját adatkezelésük tekintetében lépnének, mivel akkor már túl késő lehet.
Másodszor, amint az a fentiekben bemutatott adatvédelmi eljárásokból is kiderül, az érintettek hozzájárulását konkrét, megfelelő tájékoztatáson alapuló és egyértelműen kifejezett módon kell beszerezni, mert ez nagyban hozzájárulhat a költséges vizsgálatok és a nagy bírságok megelőzéséhez.
Ha egy cég a felhasználói adatok gyűjtése és kezelése során a felhasználók hozzájárulására alapítja adatkezelését,
1) a hozzájárulásnak egyértelműnek kell lennie, felsorolva minden olyan célt, amelyre a személyes adatokat használni fogják,
2) tájékoztatni kell a felhasználókat, biztosítva, hogy a felhasználó minden olyan adatkezelési célról, amelyhez a személyes adatait felhasználják és a különböző szolgáltatások nyújtása során kezelt személyes adatairól is megfelelő tájékoztatást kapjon, valamint
3) a hozzájárulásnak egyértelműen kifejezettnek kell lennie, tehát a felhasználó aktív magatartását igényli (vagyis nem elegendő, ha a hozzájárulásra vonatkozó jelölőnégyzetek előre ki vannak pipálva, mert azt a felhasználónak kell megtennie).
