Óriási adatvédelmi per az Oracle és a Salesforce ellen
A Privacy Collective egy non-profit alapítvány, amely az internethasználók jogainak védelmével foglalkozik, ami sok esetben adatvédelmi per megindítását jelenti különbő cégek, vagy állami szervek ellen, ha azok nem megfelelően kezelik az adatokat. A legutóbbi per, amit az alapítvány augusztus 14-én jelentette be, egy csoportos kereset az Oracle és a Salesforce ellen jogellenes online marketing tevékenység miatt.
Az említett két cég az utóbbi években óriássá nőtte ki magát az online hirdetési piacon. Az általuk és tulajdonukban levő cégek által alkalmazott sütiket a legtöbb nagy online oldal használja (mint pl. Amazon, Booking, Dropbox, Reddit, Spotify). A vádak szerint ezeken az oldalakon megszerzett, felhasználókra vonatkozó információkból a cégek profilt alkotnak, hogy azok alapján aztán személyre szabott hirdetéseket juttassanak el nekik.
Erre a „valós idejű licitet” (RTB) is használják, amely úgy működik, hogy egy hirdetés megjelenése előtt a hirdető cégek online licitálhatnak, hogy melyikük hirdetése jelenjen meg az adott felületen. A technológiával kapcsolatos adatvédelmi kockázatokkal korábban egy amerikai ügy kapcsán foglalkoztunk.
Hollandiában 2020. január 1. óta lehetséges csoportos (adatvédelmi) per esetében nagy számú sértett esetén is kártérítést kérni. A Privacy Collective állítása szerint azért folyamodott ehhez a módszerhez, mert kételkedett benne, hogy különálló panaszok esetén a hatóság(ok) megfelelően felléptek volna a cégek ellen.
Az indított csoportos keresetbe automatikusan részt vesz minden érintett, amennyiben ezt külön kérésben nem ellenzi. Így számítva a követelt kártérítés akár a 10 milliárd eurót is elérheti, hiszen az alapítvány jelentése szerint az ügyben érintett minden holland állampolgár, aki az országban aktívan használja az internetet. A per költségeit az Innsworth nevű, külön erre specializálódott cég finanszírozza.
A kereset szerint a cégek nem rendelkeztek hozzájárulással az érintettektől adataik RTB rendszerben történő felhasználására. Az érintettek nem járultak továbbá hozzá, hogy róluk marketing profilok készülhessenek, melyek megalkotásához így a cégek nem rendelkeztek jogalappal.
További problémát jelent, hogy az RTB sajátossága miatt nagyon nagy mennyiségű felhasználói adathoz férhetnek hozzá cégek rövid idő alatt. A harmadik országba történő adattovábbítással kapcsolatban éppen az utóbbi időben szigorított az EU. Jelentések szerint az Oracle 2 milliárd, míg a Salesforce 3 milliárd eszközhöz, és az azokon lévő cookiekhoz fér hozzá havi szinten.
Az alapítvány hasonló pert kíván indítani a jövőben az Egyesült Királyságban is. Ott már korábban is előkerültek az adtech cégekkel kapcsolatos aggályok, különösen a Google kapcsán. Azokban az ügyekben a vizsgálat kezdete óta nem történt előrelépés, emiatt kritika is érte a hatóságot.
Az Oracle válaszában alaptalannak nevezi a vádakat és az alapítványt a tények elferdítésével vádolja. Állításuk szerint az Oracle nem vesz aktívan részt az RTB folyamatokban, minimális az EU-ban a jelenléte és rendelkezik átfogó GDPR „irányelvekkel”. A cég készen áll megvédeni magát a vádak ellen.
Hasonló közleményt adott ki a Salesforce is, bár kissé általánosabbat. Kijelentik, hogy a cég elkötelezett ügyfeleik adatainak biztonságban tartására, és minden szolgáltatásukat az adatvédelmi irányelvek figyelembevételével tervezik. A Salesforce nem ért egyet az őt ért vádakkal és kész bíróságon bizonyítani azok alaptalanságát.
