Prvi dan uveljavitve zakona o GDPR avstrijski zasebniki za zasebnost tožili Google in Facebook.
Max Schrems, avstrijski aktivist za zasebnost, je že dolgo čakal na ta dan. Google je tožil za 3,7 milijard evrov, Facebook pa za 3,9 milijard. Tožbe so razčlenjene, da ciljajo na določene izdelke, kot so Instagram, WhatsApp in Android OS.
Shrems je družbi Financial Times že povedal, da “v celoti vedo, da bo to kršitev … Tega niti ne skušajo skriti.”
Google in Facebook se s tem ne strinjata. Pri Googlu pravijo, da so zgradili zasebnost in varnost že v najzgodnejših fazah in se zavzemajo za uskladitev z EU GDRP. Pri Facebook-u pa navajajo, da so se preteklih 18 mesecev pripravljali na GDRP in se uskladili z le-tem.
GDRP, ki je postal izvršljiv 25. maja, zahteva, da podjetja spoštujejo pravice evropskih državljanov glede podatkov, med drugim s prenosom podatkov, pravico do pozabe in z jasnimi obvestili, ki sporočajo posamezniku, na katerega se podatki nanašajo, kateri podatki se zbirajo in v kakšen namen.
Schrems trdi, da podjetja silijo uporabnike, da sprejmejo njihovo prakso profiliranja uporabnikov. Schrems pravi, da Facebook uporabnikom ponudi dve možnosti, da se strinjajo z njihovimi pogoji ali pa izbrišejo svoj Facebook račun.
Tožbe so bile vložene v številnih sodnih oblasteh vključno z Avstrijo, Belgijo in Hamburgom, v zvezi z Androidovim arhiviranjem podatkov v Franciji. Možno je, da se vprašanje o Facebooku preusmerijo v irsko komisijo za varstvo podatkov v okviru mehanizma za vseživljenjsko učenje, ki je del sistema GDPR, saj je sedež družbe Facebook v Dublinu.
Kaj je pri teh tožbah tako zanimivo? Da so prvi svoje vrste in bodo prva praktična uporaba novih predpisov, odkar so postali izvršljivi.
Eden od vidikov GDPR, ki ga bodo ti primeri postavili v precedens, je poravna podlaga, ki se zahteva kot utemeljitev za obdelavo. Na primer, Facebook Privacy Policy navaja vseh šest, ne da bi omenil, na kakšni osnovi utemeljujejo obdelavo. Poleg tega v tožbah trdijo, da podatki, ki jih zbirajo storitve – z uporabo vprašljivih praks soglasij – niso nujno uporabljene za izbrano storitev. Namesto tega se podatki zbirajo in obdelujejo za drugačen namen – uporabljajo se za oglaševanje.
Namen teh tožb je preprečiti večjim podjetjem, da izsilijo od uporabnikov več podatkov, kot je nujno potrebno. GDPR namreč dovoljuje obdelavo podatkov, ki so nujno potrebni za storitev, vendar pa je uporaba dodatnih podatkov za oglaševanje ali prodajo le-teh dovoljena samo s predhodnim brezplačnim soglasjem uporabnikov.