adozona.hu
Gyanúsan aktuális hirdetések: gigabírságokkal próbálják visszaszorítani a hatóságok
//adozona.hu/gdpr_adatvedelem/Gigabirsagokkal_probaljak_visszaszoritani_a_Y808B7
Gyanúsan aktuális hirdetések: gigabírságokkal próbálják visszaszorítani a hatóságok
Egyre több tagállami adatvédelmi hatóság kifogásolja azt a körülményt, hogy az egyes honlapok, illetve tartalomszolgáltatók a látogatókról különféle adatokat gyűjtenek.
Személyes adat kezeléséről van szó
A GDPR szerint "személyes adat" az azonosított vagy azonosítható természetes személyre ("érintett") vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható. Az tehát biztos, hogy abban az esetben is adatkezelésről, mégpedig a GDPR hatálya alá tartozó adatkezelésről van szó, amennyiben nem tudjuk név szerint megnevezni azokat a személyeket, akikről adatokat gyűjtünk (de be tudjuk őket más módon azonosítani).
Nem követhető az adatkezelés célja
A honlapokba épített Google analytics vagy egyéb, hasonló célból elhelyezett – például Facebook sütik – funkciója a honlaplátogatók, tartalomfogyasztók szokásainak elemzése, viselkedésük megértése. Ezek a szolgáltatók ráadásul nem csupán azon adatokat gyűjtik és használják fel, amelyek gyűjtésével őket megbízzuk. Először is mint nagy szolgáltatók, már eleve rendelkeznek rólunk személyes adatokkal. Ebből következőleg a megbízások teljesítésekor ezeket az adatokat is felhasználják, értékelik, illetve saját célra is használják. Ebből ered a problémák egy része.
Ha ugyanis a szolgáltató nem csupán a megrendelés keretei között jár el, hanem saját célra is adatokat gyűjt, már nem adatfeldolgozónak, hanem adatkezelőnek tekintendő. Adatkezelő ugyanis az, aki az adatkezelés célját és eszközeit maga határozza meg. Ráadásul, ha a felek közösen alakítják ki a célokat és módszereket (a megbízó előfizető és például a Google vagy Facebook), akár közös adatkezelőknek is minősülhetnek. A közös adatkezelés pedig egyetemleges felelősséget keletkeztet.
Harmadik országbeli szolgáltatókról van szó
Fontos azt is tudni, hogy a Google Inc. és a Facebook harmadik országbeli, azaz nem az EGT területéhez kapcsolódó szolgáltatók, így az általuk kezelt személyes adatok – a GDPR-ban nevesített garanciák hiányában – kerülnek ki a GDPR védelmi szintjéből. Ennek következtében az európai tagállami hatóságok meglehetősen nagy szigorral lépnek fel a megrendelő adatkezelőkkel és a Google-lal szemben. Nem fogadják el a Google adatfeldolgozói minőségét, hanem adatkezelőnek vagy közös adatkezelőnek minősítik.
Ahogyan az az osztrák adatvédelmi hatóság nemrégiben hozott döntéséből kiderül, az Európai Bizottság ezen célra kialakított általános szerződési feltételeinek alkalmazását sem tartják elegendőnek, hanem kiegészítő szerződéses, technikai és szervezési intézkedések elfogadását írják elő. Hasonló álláspontra helyezkednek a német tartományi hatóságok, a francia adatvédelmi hatóság pedig a Google sütik alkalmazási gyakorlata miatt két döntésében 60, illetve 90 millió euró adatvédelmi bírságot is kiszabott a Google-ra. Tekintettel arra, hogy nem egyedi döntésekről van szó, érdemes erre Magyarországon is figyelmet fordítani.
Hozzászólások (0)