 |
| Kép forrása: Freepik |
Az legnagyobb játékosok az adatvédelmi kihágásokban
A Meta a rengeteg bírság árnyékában
A transzatlanti adatátviteli egyezménytől függ a Meta Facebook és Instagram platformjaival kapcsolatban több bírság is, miután 2022-ben az ír adatvédelmi hatóság átmenetileg megtiltotta a Metának az európaiak adatainak átvitelét. Amíg a cég a hasonló eseteket megpróbálja elsimítani, az európai intézményrendszerben újabb és újabb aggodalmak merülnek fel az új adatvédelmi egyezmény tervezete körül. Több bírósági ügy közül a legutolsó akár 746 millió eurós (280 milliárd Ft) nagyságú is lehet, és ez már a harmadik bírság idén amit a cég kapott. Ez az ügy is lényegében az USA titkosszolgálati adatgyűjtésének és az EU-s adatvédelmi elvárások össztüzében szerepel. A bírság a GDPR történetének második legnagyobb bírságának helyét foglalhajta el.
Az eddigi második helyen is a Meta áll, még 2021-ben a WhatsApp által a GDPR sok pontjának megsértése miatt. A Meta platformjai közötti összefonódás miatt a felhasználók adatai a Facebook és az Instagram szolgáltatásaiban is felhasználásra kerültek, erről persze a cég nem értesítette a felhasználóit. Ezt súlyosbítja, hogy a két platform third-party cégei is hozzáférhettek ezekhez az adatokhoz, mintha a felhasználó elfogadta volna a Facebook és az Instagram továbbítási feltételeit is a WhatsApp használatával. A WhatsAppot gyerekek is gyakran használták, ezért ennek a tájékoztatásnak nemcsak, hogy meg kellett volna jelennie, de olyan egyértelműnek kellett volna lenniük, hogy egy kiskorú is megértse őket. Ezek a kihágások akkor 220 millió euróban (82 milliárd Ft) tornyosodtak ki az Amazon bírsága után.
További nagy bírságok
Az ír adatvédelmi hatóság határokon átívelő ügyeinek 87%-a a Meta, Google, Airbnb, Yahoo!, Twitter, Microsoft, Apple, és a Tinder cégekkel kapcsolatos. Ehhez még félelmetes adat, hogy az ír hatóság döntéseinek 75%-át (általában a súlyosbító irányban) felülírja az Európai Adatvédelmi Hatóság (EDPB).
Emlékezhetünk a legnagyobb bírságra az Amazon kapcsán 2021-ben, 760 millió euró értékben (285 milliárd Ft). A cég székelye szerint a Luxemburgi Bíróság ítélte el, mert a felhasználók értesítése nélkül használta fel az adataikat kereskedelmi előrejelzésekhez, sőt anélkül, hogy bármiféle opt-out lehetőséget biztosított volna.
Sokszor a bírságok a cégek gondatlansága miatt kerülnek kiszabásra. A British Airways esetében a hanyag biztonsági intézkedések miatt került ki hekkerek kezébe félmillió állampolgár adata, beleértve belépési adatokat, foglalásokat, neveket, lakcímeket és nem mellesleg bankkártyaadatokat is. A bírság 211,7 millió euró (79 milliárd Ft) volt, ami mellett érdekes módon eltörpült a Marriot International 110,3 millió eurós bírsága (41 milliárd Ft), annak ellenére, hogy az adatlopás során 300 millió ügyfél személyes adatai kerültek ki, születési dátumok és útlevélszámok. Mindemellett a társaság 4 évig titkolta az incidenst, amire csak 2018-ban figyeltek fel az adatvédelmi hatóságok.
Az egyik érdekesebb ügy a holland adóhatóság feketelistája körül forgott. Az adóhatóság listát vezetett olyan emberekről, akik vagy elkövettek vagy gyanúsítottak voltak különféle adócsalásokban. Az érintettek elvesztették az adóvisszatérítéshez való jogukat, anélkül, hogy egy bíróság elítélte volna őket. A lista továbbá tele volt etnikai és rasszista elemekkel: a lengyel vezetéknevek vagy mecseteknek való adakozás megemelték a rizikófaktort. A legtöbb esettel ellentétben nem egy civil szervezet perelte be az adóhatóságot, hanem a saját országának adatvédelmi hivatala. A nem mindennap önellenőrzése az államnak 3,7 millió eurós (1,38 milliárd Ft) bírságot szabott ki az adóhatóságra, amit a saját államának kellett megfizetnie.
Elég sokszor fordul elő a sütikezelések kihágása miatti bírságolás is. A Google és a Facebook külön-külön 150 millió és 60 millió eurós bírságot kaptak a francia adatvédelmi hatóságtól 2022-ben, amiatt hogy a sütik elfogadásának egy kattintásával szemben, azok elutasításához sokkal több kattintást volt szükséges. A Google 2020 végén egy 100 millió eurós (37 milliárd Ft) bírságot kapott Írországtól ugyanezekért, ahogy a spanyol hatóság 30 ezer euróra büntette a Twittert, és az olasz hatóság 12 millióra a helyi Vodaphone-t.
A legújabb játékosok: az AI chatbotok
Eddig még különösebb bírságok nem érkeztek az LLM chatbotokat üzemeltető cégek ellen, de a GDPR-ra hivatkozva számos ország tett lépéseket ellenük, és az EDPB is felállított egy ChatGPT munkacsoportot. Az első mozzanat az volt, amikor az olasz adatvédelmi hatóság betiltotta az OpenAI GPT eszközeit 2023 márciusában. A jogsértés főleg arra irányult, hogy az OpenAI-nak nincs jogalapja az ekkora mértékű adatgyűjtésre, amit a modellei tanítására használ, és hogy az életkor-ellenőrzés is hiányos az oldalon. A felhasználóknak meg kell adni azt a lehetőséget is, hogy az ő adataikat ne használhassa fel a cég a modellet trainingjéhez. Ezt követte a Google Bard betiltása is az egész Unión belül, és az ír és német hatóságok is vizsgálódnak az ügyben.
Erre irányulóan nyújtott be egy abbahagyásra kötelező határozatot (cease and desist order) Alexander Hanff, egy privacy szakértő, az EDPB tagja, akit a ChatGPT "halottnak nyílvánított". A levelében elkérte az ő róla gyűjött összes személyes adatot, azok gyűjtésének minőségét, a jogi alapot a gyűjtésre, az adatok megtartásának időtartamára vonatkozó terveket
A GDPR öt főbb vonása miatt problematikus az ilyen AI chatbotok működése. Az adatgyűjtés esetében kérdéses, hogy milyen jogi alapja van a hatalmas webaratásszerű adatgyűjtésnek, és hogy mennyire van összhangban ez az "adatminimalizációs" elvárásokkal. Hanff szerint több milliárd adatpont ilyen formájú gyűjtése szerződésszegésekhez vezet az internet adott oldalain, ahol a third-party aratás korlátozva van, nem mellesleg a ChatGPT kereskedelmi mivoltából a fair use esete sem áll fenn. Az adatbiztonság érdekében nem tiszta, hogy az OpenAI milyen lépéseket tett az adatok anonimizálása és a szenzitív adatok adatmaszkolása érdekében. Az adatkezelési transzparencia és fairness sincs rendezve, ami alapján tudhatónak kéne lennie, milyen gondolatmenet által lettek a válaszok felépítve és azoknak van-e igazságtartama, választ adva az AI kapcsán a "feketedoboz" problémájára. Az adatkezelési pontosság és megbízhatóság értelmében az adatok tárolásának ideje, az adatok tárolásának pontos helyei is ismertnek kellene lenniük minden egyes állampolgár értelmében, nem mellesleg a törléshez és az elfeledtetéshez való jogot (right to be forgotten) is biztosítani kellene állampolgáronként. Végső soron nincs tisztázva a felelősség szerepe sem, hiszen a jelenlegi helyzetben úgy tűnik, hogy az adatvédelmi onus nem a cégeken, hanem a felhasználókon van.
Kompenzáció az adataink védelmének megsértéséért
Ezek a bírságok általában az adott ország költségvetésébe kerülnek, több esetben az adatvédelmi hivatal költségeit is direkt módon fedezik a tagállamok. Eddig kevés szó esett arról, hogy az állampolgárokat milyen kompenzáció illeti meg, ha visszaélnek személyes adataikkal. Az Európai Bíróság két ítéletet is hozott 2023. május 4-én: a C-300/21-es ítélet a kompenzációval kapcsolatban, a C-487/21 pedig a megszerezhető információkkal kapcsolatban, amikor egy személy a GDPR általi jogával élve elkéri a róla tárolt adatokat.
Az első ítélet értelmezésében nem jár automatikus sérelmi díj az állampolgároknak és a GDPR nem is ejt szót az állampolgárokat érő károk ilyen formájú rendezéséről, az a tagállami jogban keresendő. Viszont a Bíróság kimondta, hogy ezek a károk nem csak anyagi károk lehetnek, és nincs korlátozva a küszöbérték a károk megállapítására. Tehát egy európai állampolgár, ha a személyes adatait érő kihágás miatt frusztrált, aggódik vagy nyugtalan lesz, ez már alapján képezheti egy bírósági feljelentésnek.
A második ítélet kimondja, hogy a cégeknek a teljességre, teljes hitelességre és teljes értelmezhetőségre törekvően kell az adat alanyának szolgáltatnia a gyűjtött adatokat. Ez a korábbi években felmerülő algoritmikus menedzsmenttel szemben lép fel, mint például a botok általi felmondások olyan platformok esetén mint az Uber.
Nincsenek megjegyzések:
Megjegyzés küldése