Ismét egy nem a GDPR hatálya alá tartozó esetre, hanem az annál sokkal lazább amerikai rendszerben kiszabott bírságra és annak mértékére szeretném felhívni a figyelmet.

Ennek során ugyanis az USA Szövetségi Távközlési hivatala elmarasztalta a négy legnagyobb Amerikai mobiltelefon szolgáltatót amiatt, hogy harmadik felek számára értékesítették a felhasználók helymeghatározási adatait. Ennek alapján pedig ~200 millió USD bírság kiszabását kezdeményezték,

Ami a szolgáltatók forgalmához képest bár elenyésző, ám "kezdetnek" mindenképpen meglelő mértékű. Ami miatt pedig ez a hír különösen érdekes Európa számára is az az, hogy:

- mivel az USA-ban nincs GDPR, ezért a bírság összegét lehet vitatni, csökkenteni (a javasolt bírsághoz képest növelni már nem), tehát önmagában a mértékén is lehet vitatkozni. Ez a GDPR hatálya már nem lehetne kérdés, mivel a maximalizált(!) büntetési tételek miatt önmagában a kiszabott bírság mértéke nem képezhetné vitat tárgyát

- ebben az esetben is egy tipikus magyarországi hiba köszön vissza a szolgáltatók "védekezésében". Ez pedig az, hogy arra hivatkoztak, hogy az általuk és az adatokat megkapó intézmények vagy vállalkozások szerződéseibe beírták azt, hogy "nekik meg kell szerezni a felhasználáshoz az érintett hozzájárulását". Ez azonban ugyanúgy nem érv, ahogy a jogos érdek sem, mivel ehhez nem a partnerek ígéretét, hanem az ügyfeleik, az érintettek hozzájárulását kellett volna szerezniük.

Jól látható, hogy ez az érvrendszer már az USA-ban sem állja meg a helyét, Európában tehát biztosan nem.

És akkor most, a történet végére jöjjön a csattanó.

Vajon azt hitték, hogy visszaélés történt, vagy hogy valakinek köze nem volt a kért adatokhoz? Éppen ellenkezőleg. Az egész ügylet ott bukott le, hogy egy sheriff kérte el ezeket az adatokat, és ennek érdekében, a "jogos érdek" alátámasztására többször is olyan dokumentumokat mutatott be, mint az egészségügyi biztosítási irányelvek, az autójának a biztosítási feltételei, és a sheriffek oktatási tananyagából idézett részletek.

Ez persze első látásra nevetségesnek tűnik, azonban ez még mindig sokkal komolyabban vehető, mint néhány megoldás, amivel a "jogos érdek" alátámasztására próbálkoznak Európában. A legfontosabb megállapítása ugyanis az FCC-nek is az volt ebben az esetben, hogy ezek a dokumentumok nem helyettesítik az érintett Hozzájárulását, és nem pótolják az érintett Előzetes tájékoztatását.

A fentiek alapján nyomatékosan javasolom, hogy a vállalkozók és vállalkozások tekintsék át az Adatkezelésüket, és legalább egy minimális, alapszinten igyekezzenek megfelelni a GDPR-nak. Az ügyeskedés ugyanis már a garantált büntetés szinonimája ebben az új rendszerben.