Facebook, Facebook…
Július 12-én jelentek meg az első biztos hírek a Facebook várható 5 milliárd USD bírságáról és a Szövetségi Kereskedelmi Bizottsággal (FTC) tervezett egyezségről. A piac fellélegzett, a részvényárfolyam kissé emelkedett, a demokrata FTC tagok és parlamenti képviselők magukból kikelve ostorozták a döntést, mondván, hogy a parkolási bírság szintjét sem éri el összeg, amely egyébként a tech óriás 2018-s árbevételének csaknem 9 %-a, messze a legmagasabbnak számítva az FTC történetében.
Fontos tudni, hogy 2011-ben már folytatott az FTC egy vizsgálatot a Facebook-nál, amely szintén egyezséggel zárult 2012-ben, és amelyben a cég egyértelműen vállalta, hogy nem gyűjt adatot a felhasználók tudta nélkül, és harmadik féllel nem osztja meg a userek adatát a hozzájárulásuk nélkül. Az újabb vizsgálatot a sokak által ismert Cambridge Analytica (CA) botrány eredményezte, amikor a CA által alkalmazott ’thisisyourdigitallife’ kvíz kb. 90 millió Facebook felhasználó adatait gyűjtötte, elemezte és használta fel megtévesztő kommunikáció érdekében, az USA-ban folyó választási hajrában is. A Facebook tudott az adatgyűjtésről, de nem hogy nem tett ellene semmit, éppen ő alakította és tartotta fent ezt a gyakorlatot, ahogyan Six4Three perben fellelt bizonyítékok mutatják. Érdemes tudni, hogy az FTC a Facebook mellett az időközben megszűnt CA elsőszámú vezetői ellen is folytat eljárást, a legapróbb részletekig vizsgálva az inkriminált kvíz által az adatok minél nagyobb számú megszerzése érdekében folytatott megtévesztő gyakorlatot.
Az FTC vizsgálatát már februárban lezárta, és azóta a következmények finomítása, véglegesítése történt. A Facebook (ügyvédjei) sokak szerint sikerrel zárták a hatósággal folytatott alkudozást, mert a cég első számú embere, Mark Zuckerberg személyes büntetőjogi felelősségre vonása elmaradt, a büntetési tétel nem egy nagyságrenddel nagyobb és nem terjesztették ki a vizsgálatot a CA-n kívüli egyéb ismert ügyekre.
Az FTC-vel megkötött egyezség igazi hatása ma még beláthatatlan, azonban biztosan kijelenthető, hogy új dimenziót hozott az adatvédelmi eljárások, stratégiák területén. A GDPR megfogalmazza az elvárásait az adatkezelő vállalkozásokkal szemben, de nem szabályozza, hogyan, milyen szervezeti struktúra mellett tesz az adott cég eleget a jogszabályi elvárásoknak. Ezzel szemben az FTC biztosra ment: egészen pontosan felvázolt vállalatirányítási struktúra kialakítására kötelezi a Facebook-ot adatvédelmi ügyekben, a vezérigazgató és az adatvédelmi felelősök személyes polgárjogi és büntetőjogi felelőssége mellett. A Facebook Igazgatóságában ki kell alakítani egy új, adatvédelmi ügyekkel foglalkozó, független szakértőkből álló bizottságot. Ez a testület, és nem a vezérigazgató, hozza a jövőben az adatvédelmi kérdésekre vonatozó döntéseket. A tagok az Igazgatóság 2/3-s döntésével mozdíthatók csupán el. Ez a bizottság új adatvédelmi felelősöket is kijelöl a cég egyes területeire a helyi napi működés jogi megfelelőségének biztosítása érdekében. Az adatvédelmi felelősöket csak a bizottság mozdíthatja el.
Alapértelmezett feladat az egyezség szerint a Facebook számára egy új, átfogó adatbiztonsági program kidolgozása és a független Facebook applikáció fejlesztők és alkalmazók alaposabb felügyelete. Emellett minden új adatkezelési eljárás vagy létező, de módosítandó megkezdése előtt mélyreható vizsgálatot kell lefolytatnia az érintett területnek az adott adatvédelmi felelős bevonásával. A Facebook-nak minden negyedévben jelentést kell küldenie a saját maga által felállított programnak való megfelelőségéről az FTC felé az auditorokkal történt egyeztetést követően és két évente független adatvédelmi auditorok is felülvizsgálják (és riportálják) a cég működését a „szokásos”, a bizottság felé megküldött negyedéves jelentéseken túl. Az auditorokat a Facebook fizeti, de nem utasíthatja őket és nem mondhatja fel a megbízásukat. Az adatbiztonsági elvárások között is szerepel egészen konkrét megfogalmazás is, amely szerint az 500 felhasználónál többet érintő adatszivárgásról 30 napon belül értesítenie kell a cégnek a megbízott auditort.
Az egyezség 20 évig tart és írja elő a Facebook kötelezettségeit. A vállalások, előírások nem enyhíthetők a Facebook javára, de terhesebbé válhatnak egy újabb vizsgálat eredményeként.
Független hatóságként eljárva, a befektetők megtévesztése miatt a Securities and Exchange Commission is kiszabott 100 millió dolláros büntetést a CA ügy miatt, eddig történetének legmagasabb bírságtételét alkalmazva.
A szakirodalom elkezdett egy új kifejezést használni, „information governance risk”, amelyet minden bizonnyal sokat fogunk még hallani a jövőben, mert bármennyire is elméletiek vagy gyakorlatiak legyenek a jogszabályi elvárások, az adatkezelő gyakorlatát az alakítja, aki az egyedi döntést meghozza. Ha a döntéshozatali folyamatokba beépül a tudatosság, a „privacy by design” és „privacy by default” alapelvek, akkor azt az egész szervezet magáénak fogja érezni és annak jegyében működik.
A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.
Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.
Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.