Norvégia betiltaná a Facebook viselkedésalapú reklámozását Európában
Mielőtt a Meta belekezdhetett volna a felhasználók engedélyének kérésébe, Norvégia az Európai Adatvédelmi Testülethez (EDPB) fordult azzal a javaslattal, hogy tiltsák be a Meta felhasználói adatok gyűjtését a Facebookon és az Instagramon reklámozás céljából. A cél az, hogy ez a tilalom egész Európában érvényesüljön.
A skandináv ország Adatvédelmi Hatósága, a Datatilsynet, eddig megakadályozta a Facebook anyavállalatát, a Metát az állampolgáraik adatainak gyűjtésében, fenyegetve őket napi egymillió koronás (körülbelül 94 000 dollár) bírsággal, amennyiben nem tesznek eleget a követelményeknek.
Augusztusban közölték, hogy a Meta nem működik együtt, ezért napi bírságokat róttak ki rájuk. A korlátozást, amelyet júliusban vezettek be és mely büntetést eredményezett, november 3-án vonják vissza. Ebből ered Norvégia “kötelező döntés” iránti kérésének indoka.
A júliusi korlátozást az Európai Unió Bíróságának az azt megelőző hónapban hozott ítélete alapján vezették be. Ebben az ítéletben kifejtették, hogy a Meta adatfeldolgozási tevékenysége során védett adatokat is gyűjtött, amikor viselkedésalapú hirdetéseket készített.
Bár Norvégia nem EU-tag, az európai egységes piacnak részese. Az EU legfelsőbb bíróságának, a CJEU-nak a feladata az európai szerződéseknek megfelelő jogalkalmazás és értelmezés biztosítása, beleértve a Norvégiára vonatkozó rendelkezéseket, valamint az EU által elfogadott jogszabályok egységes alkalmazásának garantálása.
A Datatilsynet szerint az amerikai cég által végzett adatfeldolgozás a GDPR-ral ellentétes. A Meta korábban azt állította, hogy rendelkeznek a felhasználók hozzájárulásával a célzott hirdetésekhez, mivel a felhasználók elfogadták az ÁSZF-et regisztráláskor. Azonban a CJEU ezt az érvet elutasította.
Ezen a héten a Datatilsynet így nyilatkozott:
„Úgy gondoljuk, hogy ideiglenes tilalmunkat állandóvá kellene tenni. Emellett úgy véljük, hogy a GDPR-t egységesen kell értelmezni az EU/EGT területén, és kérjük, hogy a tilalom az egész kontinensen legyen érvényes.”
A Meta vitatja az ügyet és az EDPB-hez való benyújtását. A Datatilsynet szerint a vállalat többek között úgy véli, hogy a norvég DPA döntése érvénytelen és nincs jogalapja egy kötelező döntés kérésére az EDPB-től.
A Meta már évek óta szembenéz GDPR-rel kapcsolatos perekkel Európában és az Egyesült Királyságban. Múlt hónapban bejelentették, hogy kifejezett hozzájárulást kérnek az EU, az EGT és Svájc polgáraitól, mielőtt adataikat személyre szabott hirdetésekhez használnák.
A Facebook anyavállalatának szóvivője elmondta, hogy “meglepetten” értesült a norvég hatóság intézkedéseiről, tekintettel arra, hogy a Meta már elköteleződött az EU/EGT területén történő reklámozás jogalapjának módosítása mellett.
Hozzátette: “Folyamatosan egyeztetünk a releváns adatvédelmi hatóságokkal az Írországi Adatvédelmi Bizottság révén, és hamarosan további információkat közlünk.”
Az Egyesült Királyság hiányzik a listáról, ahol a Meta a “hozzájárulás” alapján működik, annak ellenére, hogy az előírások nagyjából megegyeznek az UK GDPR-rel.
A brit kormány éppen azon dolgozik, hogy helyettesítse az EU jogszabályt – mely még mindig az Egyesült Királyság jogrendjének része az Adatvédelmi Törvény alapján – az Adatvédelmi és Digitális Információ törvényével.
A norvég Datatilsynet szóvivője elmondta, hogy sürgősen várnak a Meta által ígért módosításokra, de egyelőre nem kaptak részletes tájékoztatást ezekről a változtatásokról.
Forrás: www.theregister.com
Vállalati környezetben nagyon nehéz eldönteni, hogy hogyan is kezeljük az adatokat. Mikor töröljünk? Mit töröljünk? Ehhez adunk rövid útmutatót összefoglalónkban.
Nem egyszerű eldönteni vállalati környezetben, hogy milyen adatot mikor érdemes törölni. Vannak vállalatok, akik biztosra mennek és minden adatot – és annak másolatait is – tárolják. Ezzel nemcsak költséges adattárolási szolgáltatást tartanak fenn, hanem a hatóságok szigorú büntetéseit is kockáztatják.
Takarítás, takarítás
Mint ahogy évente tartunk nagytakarítást házunkban, úgy érdemes az adatok között is körülnézni válogatni – és törölni. A személyes adatok esetében Maria Kondo japán tanácsadó és rendszerező tanácsait érdemes követni: ha valamihez több mint egy évig nem nyúltunk hozzá és érzelmi töltete sincs neki, akkor megköszönjük, hogy segített bennünket és töröljük.
A vállalati adatok esetében azonban az érzelmi és praktikus megfontolások mellett egy sor iparági törvény, szabályozás és előírás határozza meg, hogy az adatokat – jellegüknél fogva – hogyan kezeljük, meddig tároljuk és mikor semmisítsük meg pontosan őket.
Még mielőtt tippjeinket felsoroljuk, érdemes körülnézni, hogy egy szervezet életében milyen jellegű adatokat találunk.
Milyen adatokat tárol a vállalat?
Általában vállalati berkekben három féle vállalati adatot különböztet meg. Persze, a vállalat tevékenységétől függően ezen adatok köre tovább bővülhet. Az ügyféladatok tartalmazzák a GDPR hatálya alá eső személyes adatok döntő többségét, mint neveket, címeket, számlaszámokat, pénzügyi adatokat, rendelési tételeket – vagyis mindent, amit ügyfelünkről tudhatunk. A személyes adatok közé tartoznak az egészségügyi adatok is, de ezek csak az egészségügyi szolgáltatóknál jelennek meg.
A második kategóriába esnek az alkalmazottakra vonatkozó adatok, amely a személyes adatok mellett tartalmazza a fizetésre és a teljesítményre vonatkozó információkat is. Egyes cégeknél egészségügyi adatokat is tárolnak, de ez egészen ritka.
A harmadik kategória a vállalati adat, ami a know-how-t, a különböző kutatási és fejlesztési információkat, terveket, marketing és értékesítési stratégiát tartalmazza, de kiterjed az ügyféllistákra is, pénzügyi eredményeket tartalmaz, belső kommunikációt is bele kell érteni. Az utóbbi időben egyre növekvő mértékben az IoT adat is a vállalati adat része: az érzékelőkből, szenzorokból származó nyers adatokról van szó, legyen szó az ellátási láncról, ipari berendezésekről vagy más tevékenységekről.
Ezek az adatok mind-mind egy adatszivárogtatás célpontjai, legyen a kiszivárogtató egy belső alkalmazott, külső partner vagy a hálózatunkba beférkőző hacker. De nem kell feltétlenül csak a rosszra gondolni, hanem elég például egy átvilágításra, auditra: minél több a feleslegesen tárolt adat, annál lassabb ez a folyamat és annál nagyobb a kockázata, hogy nem felelünk meg egy adott előírásnak, szabványnak.
Mikor kell törölni az adatokat?
Érdemes már keletkezésükkor kategorizálni az adatokat, dokumentumoka, hogy később könnyen lehessen őket rendszerezni. Ám de sok esetben erre nincs lehetőség, főként az emailben, alkalomszerűen érkező adatokra és megkeresésekre gondolva. A kategorizálás, az adatbázisba kezelés, a vállalati adatvagyon ismerete sokban segít az adatok megsemmisítésekor is.
Év elején érdemes átvizsgálni, hogy melyek azok az számlák, kimutatások, melyeket már nem kell tárolnunk. A számlákat – az éves beszámolót vagy a könyvelés dokumentumait – 8 évig olvasható formában kell megőriznünk. Azonban az üzleti évről készült beszámoló és az ehhez tartozó főkönyvi kivonatot, leltárt és értékelést már 10 évig kell tárolnunk.
Ezekből a dokumentumoknak egy része papír alapú, nagyobb része elektronikus – nyugodtan töröljük őket a törvényi határidő lejárta után. A GDPR határozza meg vállalat által tárolt, személyes adatok megőrzési idejét – ez nagyjából mindaddig kell, míg a szerződéses viszony fel nem áll az adott emberrel. A szerződéses viszony megszűnése után azonban törölni kell.
Töröljünk, ha erre kérnek
A marketing jellegű adatokat többnyire az adott marketing akció céljának lejártáig kell megőrizni, azután törölni kell. Akkor is törölni kell az adatokat, ha a személy erre külön megkér. A szervezetnek képes kell lennie feltárnia és összesítenie minden, adott személyről tárolt adatot.
Egészségügyi adatok estében az adott ország előírásai határozzák meg, hogy az adatokat törölni kell vagy lehet egyáltalán – egy adott páciens kórelőzményére például sok ideig szükség lehet, ezt nem feltétlenül kell törölni.
A vállalati know-how-t minden szervezet igyekszik jól és erősen őrizni, ezt nagy valószínűséggel nem is szeretné senki sem törölni. A vállalati know-how-hoz adatokat szolgáltató IoT adatok esetében pedig érdemes a feldolgozott adatokat tárolni, a nyers forrás adatokat pedig időközönként felülvizsgálni és törölni.
Ausztrália legnagyobb adatszivárgásának tanulságai: GDPR jellegű büntetéseket vezetnének be.
Ausztrália legnagyobb adatszivárgásának hatására az európai GDPR-hoz hasonló büntetések bevezetésén gondolkodnak a hatóságok. Ugyanakkor köteleznék a vállalatot, hogy fizesse meg az adatszivárgásban érintett személyi okmányok cseréjének költségét. A nagy médiafigyelem miatt a hacker törölte az adatokat és visszalépett a váltságdíjtól is.
Kibertámadás fél Ausztrália ellen
Optus Ausztrália második legnagyobb távközlési szolgáltatója. Összesen 10 millió ügyfele van (Ausztrália lakosságának 40 százaléka), ezeknek pedig sok adatát összegyűjtötte és tárolta. A távközlési szolgáltató szeptember 22-én jelezte egy rövid közleményben, hogy rendszereit kibertámadás érte, ennek következtében az ügyfelek adatai illetéktelenek kezébe került.
A szolgáltató olyan adatokat tárolt az ügyfelekről, mint nevek születési adatok, az útlevelek sorszáma, a jogosítvány sorszáma, az egészségbiztosítói azonosító szám (ami nemzeti személyazonossági igazolvány hiányában az adott személyt azonosítja), telefonszámok és otthoni címek.
Törölték az adatokat
Az azonosítatlan támadó első körben 1 millió dollárt kért az adatokért cserébe, miután egy online webes fórumon 10 ezer ügyfél adatát nyilvánosságra hozta – ezzel is bizonyítva, hogy ő az igazi támadó. Majd a támadás nagyságát és a szolgáltató válaszát látva (aki bevonta közben a helyi nyomozó hatóságokat is), a hacker meggondolta magát: azonnal törölte a már közzétett adatokat, elnézést kért és próbált eltűnni.
Politikai vihart kavart az ügy
Az ügy azonban innen önálló életre kelt. Az Optus vezetője, Kelly Bayer Rosmarin azt mondta, hogy a vállalat egy bonyolult támadás áldozata lett, a támadás az első adatok szerint egy európai IP címről érkezett és hogy a nyomozó hatóságok forró nyomon vannak. Azonban a köd leszálltával kiderült, hogy a hackernek eléggé könnyű dolga volt bejutni a rendszerbe: a távközlési vállalat egy olyan alkalmazás programozási interfészt működtetett, mely nem kérte a felhasználók azonosítását, de hozzáférést biztosított az ügyfeleik adataihoz. Egyszerűen egy amatőr hackernek szerencséje volt.
Azonban a kiberbiztonsági miniszter, Clare O’Neill megkérdőjelezte az Optus szavahihetőségét és aggasztónak nevezte, hogy mennyire egyszerű volt bejutni a távközlési szolgáltató rendszerébe, hiszen a vállalat egyszerűen nyitva hagyta az ablakot a hacker előtt.
Szankciók GDPR mintára
Az ügy hatására az is felmerült, hogy az ausztrál adatvédelmi intézkedésekbe az európai GDPR mintájára komoly szankciókat kellene beépíteni, ami arra sarkalná a cégeket, hogy sokkal jobban odafigyeljenek az adatok biztonságára. Egy kormányzati forrás azt a lehetőséget is megszellőztette, hogy a távközlési vállalat fizesse ki a támadás következtében kicserélendő útlevelek és vezetői jogosítványok költségét.
Az biztos, hogy az ausztrál rendőrség egy külön projektet indított annak a 10 ezer ausztrál állampolgárnak a megvédésére, kinek az adatait a hacker első körben nyilvánosságra hozta, majd törölte is őket, a többi 10 millió adattak együtt.
A jogilag kétes gyakorlat egy per miatt került a napvilágra. Ezzel a hatósági megkeresésének akart elébe menni a közösségi oldal.
Brennan Lawson, a Facebooknál dolgozott tartalom moderátorként. Egy 2018-as értekezlet során a közösségi oldal Global Escalation Csapata bemutatta azt az eszközt, mellyel a felhasználók által törölt üzeneteket, egyéb tartalmakat vissza tudta állítani. A moderátor állítása szerint már akkor megkérdőjelezte az eszköz törvényességét, majd fél évvel később, egy Facebook adminisztratív eszköz nem megfelelő használata miatt kirúgták.
Jó színben a hatóságok előtt
A volt moderátor szerint ez csupán kifogás, az igazi ok a törölt adatokat visszaállító gyakorlattal szembeni ellenállása volt, ami lássuk be, elég sok szabálynak és törvénynek ellentmond. A közösségi oldal munkatársai a megszokott protokollokat áthágva támasztották fel a régi, törölt üzeneteket.
Ezzel a hatóságok kéréseinek kívántak eleget tenni, akik egy-egy ügyben hozzájuk fordultak tisztázni, hogy történt-e adott üzenetváltás a gyanúsítottak között, mikor küldték el az adott üzenetet és mit is tartalmazott az üzenet.
A Global Escalation Team minden esetet egyénileg megvizsgált és megnézték, milyen adatokat törölt az adott felhasználó, majd eldöntötték, mit és hogyan osztanak meg a hatóságokkal. Noha értendő, hogy a közösségi oldal a nyomozók munkáját szerette volna támogatni, az törölt adatok feltámasztásával maga is törvénytelenül járt el. Már ha igaz, amit a kirúgott alkalmazott állít.
Az ügy neve Lawson v. Meta Platforms Inc., 22-civ-02723, Kaliforniában tárgyalja a bíróság.
Négy éve, 2018. május 25-én lépett életbe a General Data Protection Regulation, vagyis leánynevén GDPR. Az évforduló apropóján megnézzük, hogyan kell az adatokat törölni GDPR kompatibilisan.
A GDPR életbe lépése előtt a magyar adatvédelmi törvények és rendelkezések európai szinten is szigorúak voltak. Az Európai Unió Általános Adatvédelmi Rendelete után mindenki számára nyilvánvalóvá vált, hogy az adattörlés folyamatos és állandó feladatokat ad a vállalatoknak.
Miért kell az adatokat törölni?
Röviden azért, mert a törvény ezt előírja.
A GDPR egyik alapeleme, hogy egy bizonyos időszakra korlátozza a személyes adatok tárolását. Az adatokat csak addig lehet tárolni, amíg az információra szüksége van a szervezetnek. Persze, ezt nem azt jelenti, hogy például a vásárlói adatokat az érintett hozzájárulása nélkül marketing célokra is felhasználja a vállalat. Az adatok gyűjtésének okát meg kell adni, jelölni. Amint ez az ok megszűnik, az adatokat törölni kell. A vállalatoknak törlési és rendszeres felülvizsgálati határidőket is meg kell állapítani, ezen eseményekről nyilvántartást kell vezetniük.
Mikor kell törölni az adatokat?
A GDPR és a 2011-es Infotörvény (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról) pontosan leírja azokat az eseteket, amikor az adatokat a cégnek törölnie kell:
Ha az adatok kezelése jogellene
Ha az érintett (az adat tulajdonosa) kéri
Ha az adat hiányos vagy téves, és ez a helyzet csak adattörléssel orvosolható (feltéve, hogy a törlést a törvény nem zárja ki)
Az adatkezelés célja megszűnt vagy az adatok tárolásának ideje lejárt
Az adattörlést valamely bíróság vagy hatóság elrendelte
A rendelkezések szerint az adattörlést a magyar vállalatoknak a rendelkezésre álló legbiztonságosabb technológiával kell végrehajtani, minősítetten.
Hogyan töröljük az adatokat?
A vállalatok számára a minősített adattörlés a járható út, amikor egy szoftver használatával egy zárt láncba bekerült adathordozót többszörösen felülírják véletlenszerű 0-val és 1-sel. Ezzel garantáljuk, hogy a rajta lévő információt senki, semmilyen szoftverrel vagy egyéb megoldással nem tudja visszanyerni. A törlésnél használt algoritmusok katonai szintűek, így az adatok megsemmisítése garantált.
Például a Blancco által is használt DoD 5220.22-M szabvány olyan eljárást határoz meg, amely az adathordozók felülírását egyesek és nullák mintáival végzi el, három felülírási ciklusban, melyeket az eljárás végén egy visszaellenőrzés követ. Ennek során minden elérhető terület felülírásnak először (bináris) nullákkal, aztán egyesekkel, végül pedig véletlenszerű mintával. Ezt követően az utolsó felülírási ciklus visszaellenőrzése következik.
Az adathordozók kivezetése
Szintén fontos GDPR szempontból az adathordozók dokumentált kivezetése. Ezeket nem lehet például egyszerűen kiszerelni a használt eszközből, majd eladni. A rajtuk lévő adatokat jegyzőkönyvezetten, minősítetten törölni kell. Ehhez külső vállalattól – például a Data Clear-tól – is igénybe vehetünk adattörlési szolgáltatást.
A minősített adattörlés nagy előnye, hogy az adathordozók nem semmisülnek meg, azokat el lehet adni vagy oda lehet adományozni másoknak.
Vannak esetek, amikor az adatokat csak az adathordozó fizikai megsemmisítésével lehet minősítetten törölni: amikor például az adathordozó fizikailag sérült és az adatokat nem tudjuk elolvasni róluk. A fizikai megsemmisítéskor a keletkezett hulladék megterheli a környezetet, így csakis indokolt esetben vegyük igénybe.
A minősített adattörlés vagy a fizikai megsemmisítés is garantálja, hogy az adatok megsemmisülnek, így azok nem kerülhetnek illetéktelenek kezébe. Hiszen GDPR kompatibilisan töröltük őket.
Az adatok törlése a legutolsó feladat, ami eszébe jut a rendszergazdának az életciklusuk végét elért eszközök kiselejtezésekor. Pedig gyakran kifizetődő az alapos adattörlés.
Érdemes az adattörléssel foglakozni, négy okot is mondunk rá
Az adatokra mindenki kíváncsi
Az én adataim senkinek sem érdekesek. Az adatokat nem kell törölni, úgysem ért belőlük senki semmit. Mert pont az én adattárolóm tartalmával foglalkozna valaki …
Ehhez hasonló kifogások merülhetnek fel a vállalatokban, amikor az életciklusuk végét elért számítógépek leselejtezése szóba kerül. Elég nagy macera volt beszerezni az új gépeket, konfigurálni őket, megtalálni a felhasználóját és átadni neki. Most már a feladat véget is ér, nyugodtan pihenhetek – gondolhatja a lusta rendszergazda.
Az új számítógép átadásával csak a feladat felével végeztünk. El kell dönteni, mi legyen a régi gépekkel, hogyan kezeljük a rajtuk lévő adatokat – egy sor döntést csak most kell meghozni.
Cégen belül is vannak szenzitív adatok
Gyors és kézenfekvő megoldásnak tűnhet, hogy házon belül hasznosítjuk újra a számítógépet. Például a frissen felvett kollégának nem feltétlenül kell egy vadonatúj számítógép. Még akkor is, ha cégen belül marad a számítógép, a rajta lévő adatokkal foglalkozni kell.
Nem biztos, hogy az új kollégának látnia kell a munkatársa levelezését, esetleg hozzáfér személyes adataihoz, fizetési információihoz. GDPR incidenst kockáztatunk, ha cégen belül illetéktelen kolléga fér hozzá az ügyféladatokhoz.
Ezért mindenképp érdemes minősítetten és alaposan letörölni az adatokat a régi számítógépről, mielőtt odaadjuk az új kollégának. És ha már frissítés, akkor a rég halogatott szoftverpatchelést is megoldhatjuk.
GDPR incidenst kockáztatunk
Amikor illetéktelen kezekbe kerülnek a vállalat által kezelt, személyes információkat tartalmazó ügyféladatok, akkor lényegében GDPR incidenst kockáztatunk. A személyes adatok védelméről szóló törvény értelmében a vállalatoknak az adatszivárgást is jelenteniük kell az adatvédelmi hatóságnak. A cégen kívülre kerülő, ellenőrizetlen adathordozókkal gyakorlatilag adatszivárgás történik.
Még ha a törvény szigorától nem is félünk, biztos, hogy szeretnénk, ha ügyfeleink adatai a konkurenciához jutna? Ha sorra elveszítenénk ügyfeleinket, csak azért, mert egy számítógép adathordozóját elfelejtettük vagy lusták voltunk törölni?
Adattörléssel is védhetjük a környezetet
Amennyiben a számítógép merevlemezét minősítetten töröltük, a régi gép újrahasznosíthatóvá válik. Évről-évre a számítógépek már nem változnak olyan sokat technikai szempontból, hogy megérje a gyorsabb processzor vagy újabb operációs rendszer miatt váltani. Az új operációs rendszerek gépigénye sem olyan nagy, hogy a régebbi gépeken ne futnának el gond nélkül.
Az újrahasznosított számítógép azt jelenti, hogy kicsit többet használjuk a tervezettnél. Vagyis nem kell az amúgy szűkös erőforrásokat egy újabb számítógép gyártására, szállítására felhasználni.
Még lehet, hogy pénzt is kapunk érte
Amikor a DataClear-t bízzák meg a vállalatok, hogy a régi számítógép flottát felvásárolja, akkor elképzelhető, hogy mi fizetünk a gépekért. A felvásárlás menete a következő:
Miután a használatból kivont eszközöket műszaki szempontból átvizsgáljuk, megállapítjuk annak piaci értékét. Ezután következik az adattörlés, amikor minősítetten és tanúsított módon az adatokat véglegesen megsemmisítjük.
A következő lépés a működőképes, piaci értéket képviselő számítógépek felvásárlása. Ha azok piaci értéke magasabb, mint a minősített adattörlés, akkor a DataClear fizet ügyeleinknek a gépekért.
Ezután már csak a felfrissített, adatok szempontjából tiszta számítógép értékesítése marad hátra.
Ugye, hogy mégiscsak fontos az adattörlés, érdemes vele foglalkozni?
Norvégia betiltaná a Facebook viselkedésalapú reklámozását Európában
Mielőtt a Meta belekezdhetett volna a felhasználók engedélyének kérésébe, Norvégia az Európai Adatvédelmi Testülethez (EDPB) fordult azzal a javaslattal, hogy tiltsák be a Meta felhasználói adatok gyűjtését a Facebookon és az Instagramon reklámozás céljából. A cél az, hogy ez a tilalom egész Európában érvényesüljön.
A skandináv ország Adatvédelmi Hatósága, a Datatilsynet, eddig megakadályozta a Facebook anyavállalatát, a Metát az állampolgáraik adatainak gyűjtésében, fenyegetve őket napi egymillió koronás (körülbelül 94 000 dollár) bírsággal, amennyiben nem tesznek eleget a követelményeknek.
Augusztusban közölték, hogy a Meta nem működik együtt, ezért napi bírságokat róttak ki rájuk. A korlátozást, amelyet júliusban vezettek be és mely büntetést eredményezett, november 3-án vonják vissza. Ebből ered Norvégia “kötelező döntés” iránti kérésének indoka.
A júliusi korlátozást az Európai Unió Bíróságának az azt megelőző hónapban hozott ítélete alapján vezették be. Ebben az ítéletben kifejtették, hogy a Meta adatfeldolgozási tevékenysége során védett adatokat is gyűjtött, amikor viselkedésalapú hirdetéseket készített.
Bár Norvégia nem EU-tag, az európai egységes piacnak részese. Az EU legfelsőbb bíróságának, a CJEU-nak a feladata az európai szerződéseknek megfelelő jogalkalmazás és értelmezés biztosítása, beleértve a Norvégiára vonatkozó rendelkezéseket, valamint az EU által elfogadott jogszabályok egységes alkalmazásának garantálása.
A Datatilsynet szerint az amerikai cég által végzett adatfeldolgozás a GDPR-ral ellentétes. A Meta korábban azt állította, hogy rendelkeznek a felhasználók hozzájárulásával a célzott hirdetésekhez, mivel a felhasználók elfogadták az ÁSZF-et regisztráláskor. Azonban a CJEU ezt az érvet elutasította.
Ezen a héten a Datatilsynet így nyilatkozott:
„Úgy gondoljuk, hogy ideiglenes tilalmunkat állandóvá kellene tenni. Emellett úgy véljük, hogy a GDPR-t egységesen kell értelmezni az EU/EGT területén, és kérjük, hogy a tilalom az egész kontinensen legyen érvényes.”
A Meta vitatja az ügyet és az EDPB-hez való benyújtását. A Datatilsynet szerint a vállalat többek között úgy véli, hogy a norvég DPA döntése érvénytelen és nincs jogalapja egy kötelező döntés kérésére az EDPB-től.
A Meta már évek óta szembenéz GDPR-rel kapcsolatos perekkel Európában és az Egyesült Királyságban. Múlt hónapban bejelentették, hogy kifejezett hozzájárulást kérnek az EU, az EGT és Svájc polgáraitól, mielőtt adataikat személyre szabott hirdetésekhez használnák.
A Facebook anyavállalatának szóvivője elmondta, hogy “meglepetten” értesült a norvég hatóság intézkedéseiről, tekintettel arra, hogy a Meta már elköteleződött az EU/EGT területén történő reklámozás jogalapjának módosítása mellett.
Hozzátette: “Folyamatosan egyeztetünk a releváns adatvédelmi hatóságokkal az Írországi Adatvédelmi Bizottság révén, és hamarosan további információkat közlünk.”
Az Egyesült Királyság hiányzik a listáról, ahol a Meta a “hozzájárulás” alapján működik, annak ellenére, hogy az előírások nagyjából megegyeznek az UK GDPR-rel.
A brit kormány éppen azon dolgozik, hogy helyettesítse az EU jogszabályt – mely még mindig az Egyesült Királyság jogrendjének része az Adatvédelmi Törvény alapján – az Adatvédelmi és Digitális Információ törvényével.
A norvég Datatilsynet szóvivője elmondta, hogy sürgősen várnak a Meta által ígért módosításokra, de egyelőre nem kaptak részletes tájékoztatást ezekről a változtatásokról.
Forrás: www.theregister.com
