GDPR-gigabírság – az Amazon harcol az igazáért
Az eddigi legsúlyosabb, 746 millió eurós (275 milliárd forintos), még kimondani is fájdalmas bírsággal sújtotta az Amazont a luxemburgi adatvédelmi hatóság a GDPR-szabályok megsértéséért. A panasztevő civil szervezet ujjong, az amerikai óriás már jelezte, hogy a végsőkig harcol az igazáért – miközben egyelőre a pontos okot sem részletezték.
Mintha csak megérezte volna, hogy Tokióban e magasztos célokért nemzetük sportolói hiába küzdenek, az idén nyáron a Luxemburgi Nemzeti Adatvédelmi Bizottság (CNPD) egyszerűen magára vállalta a törpeállam világcsúcsszerzését. Majd csendben hátra is dőlt, a világgá kürtöléssel már nem fáradozott. A földgolyó vélhetően bármely téren valaha volt legnagyobb büntetésének ugyanis már a napvilágra kerülése is különleges: a 764 millió eurós adatvédelmi bírságot (tegyük hozzá, az ottani jogszabályi rendelkezések okán) nem annak kiszabója jelentette be – ahogyan azt például idehaza a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) rendszeresen megteszi. A hírt maga az Amazon Europe Core S.à r.l., mint a Luxemburgban bejegyzett európai leányvállalat tudatta az amerikai tőzsdefelügyeletnek címzett saját értékpapír-jelentésében.
A világ vezető médiumai persze azonnal lecsaptak a hírre, és mondhatjuk, az amerikaiak, mint a The Wall Street Journal vagy a Bloomberg érthetően kicsit védelmükbe is vették honfitársukat. Azt emelve ki, hogy az Amazon, ártatlanságát hangsúlyozva túlzónak, ráadásul alaptalannak minősíti a döntést, jelezve, hogy fellebbez, és – nevéhez méltóan – a végsőkig harcol az igazáért. „Az, hogy hogyan jelenítsük meg az ügyfeleknek a releváns reklámokat, az EU-s jogszabályok szubjektív és nem tesztelt értelmezésein alapul, és a javasolt bírság még ezzel az értelmezéssel is teljesen aránytalan” – replikázott a vállalat.
A New York-i médiamogul még az európai hatóságok egyre „agresszívabb” adatvédelmi álláspontjára utalva hozzáteszi, hogy miközben a GDPR-rendelet szerint a kiszabható büntetés felső határa a felelősségre vont szervezet éves árbevételének 4%-a lehet(ne), addig az Amazon bírsága az online-kiskereskedő cég tavalyi 21,3 milliárd dolláros bevételének (dollárban számolva) már a 4,2%-a. Más kérdés, hogy a luxemburgi hatóság érveit nem is nagyon sorolhatná senki, azok ugyanis egyelőre nem nyilvánosak; az Amazon idézett jelentéséből csak annyi derül ki, hogy a hatóság szerint „nem az európai adatvédelmi rendeletnek megfelelően kezelte a felhasználók adatait”.
További érdekesség, hogy a nagyhercegség adatvédelmi szervezete ugyanazon civil digitális jogvédő, a francia La Quadrature du Net még 2018-as panasza nyomán vizsgálta az Amazont, amelynek egy másik beadványa az eddigi rekordot jelentő GDPR-bírság, a Google 50 millió eurós büntetéséhez vezetett. Képviselőjük érthetően örömmel nyugtázta és áttörésnek nevezte a döntést, hozzátéve, hogy a panasz és a bírság az Amazon célzott hirdetésekkel kapcsolatos adatkezelésére vezethető vissza, amelyre vonatkozóan adatkezelőként nem kért megfelelő hozzájárulást a felhasználóktól. Így pedig jócskán túlmutat az Amazonon, hiszen a jogvédők szerint a Big-Tech cégek jó része hasonló adatkezelési gyakorlatot folytat.
A horrorisztikus összeg után szerényebb hazai vizeinkre evezve megjegyezzük, hogy bár az arányok mások, ám a NAIH sem pihenéssel tölti a nyarat. Mi több, egyik legfrissebb, 10 millió forintos bírságával egy harmadik személy által tévesen megadott e-mail-cím miatti kéretlen elektronikus levelezés – tehát a hétköznapi gyakorlatban könnyen bárki által elkövethető hiba – nyomán sújtotta a Magyar Telekomot.
Az eset részleteiről, ahogy a NAIH összes publikált bírságáról pedig a Crosssec önálló weboldalán, a https://gdprbirsagok.hu/ oldalon olvashatnak részleteket az érdeklődők.