182M bírság családfakutatást segítő cégnek uniós képviselő hiánya miatt
A GDPR-nak 2018-as bevezetése óta egyik alap elvárása, hogy olyan adatkezelőknek és adatfeldolgozóknak, amelyek ez Európai Unión kívül működnek és a GDPR hatálya alá tartozó adatkezelést végeznek, rendelkezniük kell egy uniós, tehát az Unión belül tartozkodó képviselővel. Ezt egyébként roppant kevés cég tartja be valójában, ami még önmagában talán nem is lenne akkora baj, ha emellé a weblapján nem lennének több millió uniós tagállam állampolgárának adatai is megosztva jogellenesen. Ez ugyanis már jó eséllyel bírságot fog jelenteni.
A GDPR 27. cikke foglalkozik azon adatkezelők és adatfeldolgozók kötelezettségével, amelyek nem rendelkeznek az Unióban tevékenységi hellyel. Ilyen esetben kötelező a cégeknek olyan uniós képviselőt kinevezni, aki tevékenységi hellyel rendelkeznik az egyik olyan tagállamban, ahol azon érintettek tartózkodnak, akiknek személyes adatait áruknak vagy szolgáltatásoknak a részükre történő nyújtása során kezelik vagy akiknek a magatartását megfigyelik. Ezt a szabályt az adatkezelők különösebben nem veszik komolyan, tekintettel arra, hogy a GDPR extraterritoriális hatálya mellé egyelőre nem társulnak valós „kényszerítő eszközök” is. Ilyen lehetne például, ha azoknak a weboldalaknak az elérését a tagállami hatóságok ellehetetlenítik, amelyek nem tartják be a GDPR rendelkezéseit, azonban eddig a hatóságok részéről általánosságban erre vonatkozóan sem volt szándék. Ezt a megoldást tervezi a belga hatóság is bevezetni.
A holland adatvédelmi hatóság a fenti követelmények megszegéséért 525.000 euró (182,4M Ft) bírságot szabott ki a Locatefamily.com oldalra. A bírságolásra elsősorban amiatt került sor, mert a személyes adatok publikus gyűjtésére és megosztására a weboldal nem rendelkezett jogalappal. A döntés értelmében az oldalnak képviselőt is ki kell jelölnie az EU-ban, vagy további 20.000 eurót (~7M Ft) fizetnie minden két hétre ezen elvárás teljesítéséig. A Hatóság május 12-én hozta nyilvánosságra az ügy részleteit, mely időpontig a cég még nem tett eleget a döntésben foglaltaknak.
Az oldal maga számtalan személy adatait kezeli, köztük a teljes nevüket, címüket, sok esetben a telefonszámukat is. Az eredeti cél, hogy olyan személyek, akik korábban egy rokonukkal, vagy barátukkal elvesztették a kapcsolatot, az oldalon keresztül ismét kapcsolatba léphetnek egymással. Az oldal azonban a személyes adatokat az érintettek előzetes vagy utólagos tájékoztatása és hozzájárulása nélkül teszi közzé, akik erről maximum úgy szerezhetnek tudomást, hogy rákeresnek saját adataikra.
A DPA vezetője szerint teljességgel elfogadhatatlan és a GDPR-ral ellentétes európai állampolgárok személyes adatait azok tudomása nélkül közzétenni az interneten. Ennek következtében könnyedén ellopható az érintettek személyazonossága, illetve telefonszámukon és egyéb elérhetőségeiken keresztül további csalási kísérleteknek lehetnek kitéve. Természetesen a megfelelő hozzájárulás megszerzésével engedélyezhető az adatok közzététele, azonban ez az oldal nem így működik.
A DPA vizsgálata kimutatta, hogy mintegy 700.000 holland állampolgár adatai voltak szabadon elérhetők a weboldalon, mindenféle előzetes regisztráció vagy akár az érintettek tudomása nélkül, mely lehetőséget ad rá, hogy az adatokhoz bárki tömegesen hozzáférhessen, azok alapján listákat, profilokat hozhasson létre. A Hatóság ebben az esetben közvetítőként vett részt az oldal és az érintettek között, segítve azokat adataik eltávolításában. A jelentés nyilvánosságra hozatalakor a DPA jelentése szerint az oldal minden, hozzájárulás nélkül közzétett személyes adatot eltávolított.
Ez azonban nem minden esetben ilyen egyszerű. Beszámolók alapján az oldal ugyan válaszol a törlési kérelmekre, ezeket azonban nem teljesíti, ha a kérelem nem az érintett nevével azonos e-mail címről érkezik. Az oldal adatvédelmi nyilatkozata még egy hasonló dokumentum alapfeltételeit sem teljesíti, egy ponton pedig kifejezetten állítja, hogy nem oszt meg harmadik felekkel személyes adatokat. Ezzel szemben az oldal saját Twitter fiókján is rendszeresen osztja meg európai érintettek személyes adatait.
Az oldal nemzetközileg működik és a Hatóság többszöri megkérdezés után sem kapott egyértelmű választ azon kérdésére, hogy melyik országban található a székhelyük. Saját vizsgálatuk eredményeképpen viszont megállapították, hogy kanadai cégről lehet szó.
Nem csak a holland hatóság kapott bejelentéseket egyébként az oldal gyanús működésével kapcsolatban; a DPA kilenc másik ország hatóságával működött együtt az oldal vizsgálatában, ezért elképzelhető, hogy a jövőben más hatóságok is hasonló lépéseket tesznek.