Francia bírság a Google adatkezelése miatt

A francia adatvédelmi felügyeleti hatóság (CNIL) 2019. január 21-én kelt döntésében az eddigi legnagyobb, 50 millió eurós bírságot szabta ki a GDPR rendelkezéseinek megsértéséért. A döntés egyértelművé teszi, hogy az adatkezelőknek igenis kötelessége betartani az adatvédelem új adatvédelmi szabályozását. Másrészt pedig rávilágít az átláthatóság és a jogszerűség elvéből származó kötelezettségek fontosságára.

Az ügy alapját az képezte, hogy 2018 májusában két szervezet bejelentéssel fordult a CNIL-hez, amelyben azt kifogásolták, hogy a Google megfelelő jogalap nélkül kezeli a felhasználók személyes adatait, különös tekintettel a targetált hirdetésekre. Tekintettel arra, hogy a Google vonatkozásában nem volt, az Általános Adatvédelmi Rendelet (GDPR) szerinti fő felügyleti hatóság, amely a vizsgálat lefolytatására kizárólagos hatáskörrel rendelkezett volna, a CNIL eljárást indított. Ennek keretében pedig számos jogsértést tárt fel a Google tevékenységét illetően.

Egyrészt a vállalat nem tett eleget az átláthatóság elvének, illetve az érintettek tájékoztatáshoz való jogát is megsértette. A felhasználók személyes adatinak kezeléséről szóló tájékoztató ugyanis nem volt könnyen elérhető, valamint – sok esetben – a közérthetőség követelményének sem felelt meg (GDPR 5. cikk (1) bekezdés a) pont és 12. cikk (1) bekezdés). Nem volt megfelelő az érintettek hozzájárulása sem a Google által végzett, személyre szabott hirdetések esetében. A hozzájárulás ugyanis nem volt tájékozott, konkrét és egyértelmű (GDPR 4. cikk 11. pont).

A CNIL mindezek alapján 50 millió euró bírságot szabott ki a Google-re. Ez a jogkövetkezmény a GDPR alkalmazásának kezdete, vagyis 2018. május 25. óta a legsúlyosabb büntetés, amit a felügyeleti hatóságok kiszabtak. Noha a vállalat nyilvánvalóan jogorvoslattal él majd a döntés ellen, de már látható, hogy rendelet jogvédelmi mechanizmusa rényleg mozgásba lendült.

Forrás: https://www.cnil.fr/