Először robbant a GDPR-bomba: a franciák egyből 50 millió euróra büntették a Google-t

A Google nem tett eleget a 2018 májusában bevezetett új EU-s adatvédelmi rendeletben (GDPR) megszabott alapelveknek, ezért Franciaország adatvédelmi hatósága (CNIL) 50 millió eurós (vagyis közel 16 milliárd forintnyi) büntetésre ítélte a céget. A hatóság már korábban is többször vizsgálta a Google adatvédelmi szabálysértéseit, de a GDPR előtt legfeljebb 150 ezer eurós bírságot lehetett kiszabni ilyen esetekben, míg az új rendelet 20 millió euróban vagy az adott cég előző évi világpiaci forgalmának 4 százalékában (amelyik magasabb) határozza meg a maximum büntetést.

None of Your Business

A döntést, amit egyébként megfellebbezhet a Google, két bejelentés előzte meg. Az egyik a hírhedt osztrák adatvédelmi aktivista, Max Schrems által alapított NOYB (None of Your Business, vagyis „semmi közöd hozzá”) nevű nonprofit szervezettől jött. „A GDPR bevezetése után azt láttuk, hogy a Google-höz hasonló nagyvállalatok egyszerűen másképp értelmezik a rendeletet, és azt csak felületesen ültették át a termékeikre. Fontos, hogy a hatóságok rámutassanak: az nem elég, hogy valaki kijelenti magáról, hogy betartja a szabályokat” – reagált Schrems a hírre. A NOYB a Google mellett az Amazon, az Apple, a Spotify és a Netflix hasonló gyakorlatainak felülvizsgálatára is kérte az adatvédelmi hatóságokat.

A CNIL kétfajta szabálysértő gyakorlatot is talált a Google-nél: az átlátható, megfelelő adatvédelmi tájékoztatás hiánya mellett a hatóság szerint jogtalanul használta fel a felhasználók adatait a személyre szabott hirdetésekhez. „A Google által meghozott lépések (dokumentáció és beállítási lehetőségek) ellenére a megfigyelt szabálysértések megfosztják a felhasználókat az olyan alapvető garanciáktól, amelyek megakadályoznák, hogy magánéletük fontos részeit felfedjék az adatfeldolgozás során” – áll a hatóság közleményében.

A Google továbbra is elkötelezett 

A felhasználók azért is vannak nehéz helyzetben a CNIL szerint, mert a Google GDPR-tájékoztatója túl általános és homályos, több dokumentumra oszlik szét, amik ráadásul azt sem teszik egyértelművé, hogy hány különböző termékre terjed ki az adatgyűjtés. „Képtelenség tájékozódni az adatok feldolgozásában érintett szolgáltások, weboldalak és alkalmazások sokaságáról (Google keresés, Youtube, Google Home, Google Maps, Googe Play stb.) és így a begyűjtött adatok mennyiségéről is” – írta a szervezet.

A Google emailben reagált a bírságra: „Az emberek az átláthatóság és az irányítás magas minőségét várják el tőlünk, és mi mélyen elkötelezettek vagyunk abban, hogy megfeleljünk az elvárásoknak. Tanulmányozzuk a döntést, és ez alapján határozzuk meg a következő lépéseinket”.

Kapcsolódó cikkek a Qubiten: