Berta Sándor
Megsértette a Google a GDPR-t?
A Brave Írországban nyújtott be panaszt a webes konszern ellen.
A böngészőfejlesztő cég az Ír Adatvédelmi Hivatalhoz (IDPC) beadott keresetében azt állította, hogy a Google megsértette a 2018. május 25. óta hatályos európai uniós általános adatvédelmi rendelet (GDPR) 5. cikkelyének (1)b pontját. A Brave ezért azt követelte a társaságtól, hogy haladéktalanul közölje azt, hogy milyen célokra dolgozza fel a birtokába kerülő személyes adatokat és hogy ezt a tevékenységét milyen megfelelő jogi alapok alapján végzi. Az adott pont arról szól, hogy minden vállalat, intézmény és szervezet köteles a személyes információkat csak egy bizonyos célra gyűjtheti és dolgozhatja fel, s ezt a célt a felhasználók felé egyértelműen jeleznie kell.
Johnny Ryan, a Brave ügyvédje a Google adatvédelmi előírásait reménytelenül homályosaknak és meghatározatlanoknak nevezte, s a konszernnek az adatfelhasználás céljára megadott válaszai, illetve indokai (például az új szolgáltatások fejlesztése) rossz praktikákat tükröznek. Sajnos ezeket a GDPR jelenleg nem fedi le. Ryan továbbá azt állította, hogy a cég csak korlátozott mértékben tájékoztatja a fogyasztókat az információ-feldolgozás céljáról. Az ügyvéd a keresetben többek között hangsúlyozta, hogy a Google adatvédelmi irányelvéből nem derül ki, hogy melyik tevékenységet, terméket vagy interakciót melyik cél fedi le, ezért nehéz, sőt, lehetetlen kibogozni, hogy mikor történik az adatgyűjtés és -feldolgozás például a YouTube videomegosztó platformmal vagy a Google Térképpel kapcsolatban. A személyes információk birtoklása ugyanakkor önmagában nem jelenti azt, hogy ezeket a társaság tetszőleges célokra felhasználhatja. Ehelyett minden egyes különleges célra külön jogi alapot kell keresnie és ezeket a folyamatokat átláthatókká kell tennie. A tapasztalatok azonban azt mutatják, hogy a vállalat a birtokába kerülő személyes információkat újra és újra felhasználja a különböző cégei és termékei között. Ez a módszer pedig sérti a GDPR előírásait.
2019 elején a Commission Nationale de L'Informatique et des Libertés (CNIL) francia adatvédelmi hivatal 50 millió eurós pénzbüntetéssel sújtotta a webes konszernt a tavaly május óta hatályos új európai uniós adatvédelmi rendelet (GDPR) megsértése miatt. A beadványok szerint a Google ott hibázott, amikor 2018. május 25. után arra kényszerítette a felhasználókat, hogy elfogadják az új adatvédelmi előírásokat. Amennyiben valaki erre nem volt hajlandó, akkor számára az egyetlen alternatíva az adott Google-fiók törlése volt. A társaság fellebbezett a határozat ellen, majd tavaly májusban változtatásokat eszközölt, így új beállítások váltak hozzáférhetővé a tartózkodási helyre vonatkozó és a webes, illetve alkalmazás-tevékenységi adatok automatikus törlésével kapcsolatban.
A böngészőfejlesztő cég az Ír Adatvédelmi Hivatalhoz (IDPC) beadott keresetében azt állította, hogy a Google megsértette a 2018. május 25. óta hatályos európai uniós általános adatvédelmi rendelet (GDPR) 5. cikkelyének (1)b pontját. A Brave ezért azt követelte a társaságtól, hogy haladéktalanul közölje azt, hogy milyen célokra dolgozza fel a birtokába kerülő személyes adatokat és hogy ezt a tevékenységét milyen megfelelő jogi alapok alapján végzi. Az adott pont arról szól, hogy minden vállalat, intézmény és szervezet köteles a személyes információkat csak egy bizonyos célra gyűjtheti és dolgozhatja fel, s ezt a célt a felhasználók felé egyértelműen jeleznie kell.
Johnny Ryan, a Brave ügyvédje a Google adatvédelmi előírásait reménytelenül homályosaknak és meghatározatlanoknak nevezte, s a konszernnek az adatfelhasználás céljára megadott válaszai, illetve indokai (például az új szolgáltatások fejlesztése) rossz praktikákat tükröznek. Sajnos ezeket a GDPR jelenleg nem fedi le. Ryan továbbá azt állította, hogy a cég csak korlátozott mértékben tájékoztatja a fogyasztókat az információ-feldolgozás céljáról. Az ügyvéd a keresetben többek között hangsúlyozta, hogy a Google adatvédelmi irányelvéből nem derül ki, hogy melyik tevékenységet, terméket vagy interakciót melyik cél fedi le, ezért nehéz, sőt, lehetetlen kibogozni, hogy mikor történik az adatgyűjtés és -feldolgozás például a YouTube videomegosztó platformmal vagy a Google Térképpel kapcsolatban. A személyes információk birtoklása ugyanakkor önmagában nem jelenti azt, hogy ezeket a társaság tetszőleges célokra felhasználhatja. Ehelyett minden egyes különleges célra külön jogi alapot kell keresnie és ezeket a folyamatokat átláthatókká kell tennie. A tapasztalatok azonban azt mutatják, hogy a vállalat a birtokába kerülő személyes információkat újra és újra felhasználja a különböző cégei és termékei között. Ez a módszer pedig sérti a GDPR előírásait.
2019 elején a Commission Nationale de L'Informatique et des Libertés (CNIL) francia adatvédelmi hivatal 50 millió eurós pénzbüntetéssel sújtotta a webes konszernt a tavaly május óta hatályos új európai uniós adatvédelmi rendelet (GDPR) megsértése miatt. A beadványok szerint a Google ott hibázott, amikor 2018. május 25. után arra kényszerítette a felhasználókat, hogy elfogadják az új adatvédelmi előírásokat. Amennyiben valaki erre nem volt hajlandó, akkor számára az egyetlen alternatíva az adott Google-fiók törlése volt. A társaság fellebbezett a határozat ellen, majd tavaly májusban változtatásokat eszközölt, így új beállítások váltak hozzáférhetővé a tartózkodási helyre vonatkozó és a webes, illetve alkalmazás-tevékenységi adatok automatikus törlésével kapcsolatban.