Jogsértően kezelte a személyes adatokat az izlandi kormány


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Jogsértően kezelte az adatokat az izlandi turizmus koronavírus okozta válságból való kilábalására létrehozott ajándékkártya applikáció.

Az alapügy

A koronavírus okozta izlandi gazdasági nehézségek miatt az izlandi kormány 2020 elején úgy döntött, hogy megsegíti az idegenforgalmi szektort és a kisvállalkozásokat és ennek érdekében egy 5000 IKR (kb. 34 euró) értékű digitális ajándékutalvány ad minden 18 éven felüli izlandi számára.

Az izlandi kormány szerződést kötött egy olyan céggel, amely digitális ajándékkártya-alkalmazást bocsátott ki a korábban általa már kifejlesztett alkalmazás alapján. Az alkalmazás első közzététele után az izlandi adatvédelmi hatóság bejelentéseket kapott az érintettektől az alkalmazás által használt személyes adatok nagy számával és a felhasználó mobileszközéhez való széles körű hozzáférési jogokkal kapcsolatban.

Az izlandi adatvédelmi hatóság ezt követően úgy döntött, hogy hivatalból eljárást indít és megvizsgálja, hogy a projekt megfelel-e a GDPR-nak.

GDPR

Az izlandi adatvédelmi hatóság megállapításai

Az izlandi adatvédelmi hatóság határozatában kiemelte, hogy a gazdasági helyzet miatt nagy hangsúlyt fektettek mind a programozás, mind az alkalmazás közzétételének gyorsaságára, ami a beállítások nem megfelelő megválasztását eredményezte. Ez jelentős mennyiségű személyes adat jogellenes és szükségtelen gyűjtéséhez, valamint a felhasználó mobileszközeihez való hozzáférési jogok széles körű biztosításához vezetett.

Továbbá nem teljesültek a hozzájárulás követelményei, és az érintettek nem kaptak megfelelő tájékoztatást az alkalmazásba való bejelentkezéskor.

Ezenkívül az adatkezelő és az adatfeldolgozó nem biztosította a személyes adatok megfelelő biztonságát. A 28. cikk (3) bekezdése szerinti adatkezelési megállapodás nem jött létre, és az adatkezelő és az adatfeldolgozó nem valósította meg a beépített és alapértelmezett adatvédelmet, amelynek az adatminimalizálást kellett volna biztosítania az alkalmazás tervezésekor.

A fentiekre tekintettel az izlandi adatvédelmi hatóság 7,5 millió ISK (kb. 50 800 euró) bírságot szabott ki az Ipari és Innovációs Minisztériumra, valamint 4 millió ISK (kb. 27 100 euró) bírságot az alkalmazást fejlesztő YAY ehf-re. A hatóság a bírság meghatározásakor figyelembe vette többek között az adatkezelés jellegét és terjedelmét, valamint a GDPR több rendelkezésének megsértését.

(edpb.europa.eu)




Kapcsolódó cikkek

2024. május 27.

EUB-ítélet a gyanúsítottak jogaira vonatkozó tájékoztatásról

A gyanúsítottaknak vagy a megvádolt személyeknek a büntetőeljárás során biztosítandó, az eljárási jogaikra vonatkozó tájékoztatási kötelezettség értelmezésével kapcsolatos nemzeti és uniós szabályozás összevetését tette meg az EU Bírósága.

2024. május 22.

A releváns piac-meghatározás jelentősége az EU versenyjogának állami támogatási jogában

A releváns piac kifejezése a lehető legmindennapibb fordulat a versenyjogban, azonban leginkább az antitröszt területén taglalják, az állami támogatások joga vonatkozásában a legtöbb szakirodalom és gyakorló jogász adós és néma marad. Lássuk, hogyan szomszédosak egymással a versenyjog alterületei a releváns piac határai mentén, s hogyan válik a releváns piac meghatározása perdöntővé a versenyjog kevésbé ismert területén is.