skip to Main Content

NOYB: támadás az ír hatóság és egy pofátlan adatkezelő ellen

A None of Your Business (noyb) osztrák civil adatvédelmi szervezet már sokat szerepelt híreinkben. Alapítójuk, Max Schrems nevéhez köthető az Európai Bíróság Schrems II névre keresztelt döntése is, mely többek között azzal járt, hogy érvénytelenítette az EU és harmadik országok közötti adattovábbítási megállapodást (Privacy Shield), melynek legnagyobb elszenvedői az amerikai óriáscégek voltak.

Schrems azóta 101 céget perelt be a döntés figyelmen kívül hagyása miatt, de közben folyamatos harcban áll a Facebookkal, a Google-lel és természetesen az ügyben illetékes Ír Adatvédelmi Hatósággal, melynek munkájával egyáltalán nincs megelégedve. Mai cikkünk első fele is ennek a háborúnak a legújabb csatájával foglalkozik.

Bírósági felülvizsgálat a DPC ellen

2020. október 22-én az Ír Legfelsőbb Bíróság jóváhagyta a NOYB felülvizsgálati kérelmét az Ír Adatvédelmi Hatóság (DPC) döntésével kapcsolatban. Az ügy abból indult, hogy 2013-ban a NOYB beadott egy panaszt a Facebook európai cége ellen, amiért az jogalap nélkül megosztotta az adatait az amerikai Facebookkal, mely ügyben azóta sem született döntés.

Az akkori panasz alapja szintén a FISA702 szabályozás volt, melynek értelmében az amerikai titkosszolgálati szervek a szabályozás hatálya alá eső (főkent telekommunikációs) cégektől bármikor bekérhetnek európai polgárokra vonatkozó személyes adatokat is, mely ellen az érintettnek megfelelő jogorvoslati lehetősége sincs.

Az ügy tárgyában az elmúlt 7 évben 5 ítélet születetett, köztük a Schrems II, mely érvénytelenítette a Privacy Shieldet, a DPC azonban azóta sem hozott végleges döntést, sőt, múlt hónapban bizonytalan időtartamra felfüggesztette az eljárást. Emellett, ez nem az egyetlen ügy, amiben le van maradva a Hatóság; számos döntés áll az asztalukon befejezetlenül.

A felfüggesztéssel egyidőben azonban a Hatóság indított egy másik, „párhuzamos” eljárást ugyanebben a tárgyban, melyre nem tudott a NOYB számára elfogadható magyarázattal szolgálni. Látszólag az egyetlen különbség a két eljárás között, hogy a másodikban Max Schrems nem kerül majd meghallgatásra, mivel nem a panaszán alapul.

Természetesen ennek a párhuzamos eljárásnak sem örült különösebben a Facebook. Mi sem mutatja ezt jobban, mint hogy a techóriás rövid időn belül felülvizsgálatot kért az ügyben, ezzel effektíve megállítva a második folyamatot is.

A mostani, Schrems által a felfüggesztéssel kapcsolatban kezdeményezett felülvizsgálat azt célozza, hogy a DPC nyissa újra a 2013-as eljárást és minél hamarabb hozzon döntést az ügyben.

A NOYB szintén figyelmeztet, hogy az elmúlt hetekben olyan dokumentumok kerültek birtokába, melyek azt bizonyítják, hogy a Facebook már 2016-ban sem a Privacy Shieldet vagy az SCC-ket használta az adatátvitelek „jogalapjaként”, ezeket a dokumentumokat a DPC azonban „elrejtette” a szervezet és a bíróságok elől. A felülvizsgálat részben arra irányul, hogy az említett dokumentumokat megosszák az eljárás minden résztvevőjével.

Az első meghallgatás az ügyben ez év végére várható.

A pofátlan lakcím „bróker” esete

Hogy ne mindig csak a NOYB óriáscégek elleni harcáról beszéljünk és nagyobb rálátást biztosítsunk a szervezet egyéb munkájára, érdemes megvizsgálnunk egy olyan esetet, amely Ausztriában történt.

2020. október 13-án a panaszt nyújtottak be egy bécsi adatkezelő, az AZ Direct Österreich ellen, mert a cég a GDPR szabályaival ellentétesen kezelt személyes adatokat. A cég egyébként állampolgárok címeinek marketing célú értékesítésével foglalkozik.

A noyb egy állampolgár képviseletében indított eljárást, aki a GDPR 15. cikkének megfelelő hozzáférési kérelmet nyújtott be az AZ Direct-hez, melyben többek között arról érdeklődött, hogy a cég honnan szerezte meg címét, illetve ezeket milyen harmadik feleknek továbbította. Válaszában az AZ azt állította, hogy arra nem tud választ adni, hogy jutott a kérdéses adatokhoz.

Az AZ nem tudott semmilyen igazolást felmutatni az adatok eredetével kapcsolatban, holott a GDPR erre kifejezetten kötelezi, ennek már a 14. cikk szerinti tájékoztatásban is szerepelnie kellene, az átláthatóság, tisztességesség és elszámoltathatóság elveiről nem is beszélve. A cég állítása szerint az egyes adatok forrásának nyilvántartása „túlzó erőfeszítésbe került volna a cégnek a DSG (osztrák adatvédelmi törvény) értelmében”. A baj csak az, hogy ilyen kivétel a helyi szabályozásban, de a GDPR-ban sem található, a NOYB szerint ez egy nyilvánvalóan gyenge próbálkozás a hiányosságok elfedésére.

Ha ez nem lenne elég, a cég az általuk továbbított adatok címzettjeire vonatkozóan sem tudott információval szolgálni. A 15. cikk által biztosított hozzáférési jog gyakorlásakor az érintettnek joga van tudomást szerezni a rá vonatkozó adatok címzettjeiről is. Az AZ Direct ezzel kapcsolatban is csak általánosságokat tudott mondani, konkrét címzetteket képtelen volt megnevezni.

Pontosan nem tudható, hogy a cég csak ennyire inkompetens, vagy megjátszott tudatlansággal próbálja elfedni a jogtalanul megszerzett adatok jogtalan. Azt azonban biztosra vehetjük, hogy a NOYB nem annyira naiv, hogy bedőljön hasonló kifogásoknak, meglátjuk, hogy a hatósággal mekkora szerencséje lesz az AZ-nak.

Back To Top