Zadeva AMAZON – GDPR

Luksemburški nadzorni organ je družbi Amazon Europe Core S.à r.l. (v nadaljevanju tudi Amazon ali upravljavec) izdal do sedaj najvišjo denarno kazen za kršitev varstva osebnih podatkov na podlagi Splošne uredbe o varstvu podatkov (GDPR), in sicer v višini 746 milijonov EUR. Upravljavec je moral dnevno plačevati dobrih 660 tisoč EUR, dokler ni Luksemburško upravno sodišče odločbo o prekršku zadržalo.

Ozadje

Prijava je bila sprožena v Franciji v imenu 10.000 uporabnikov platforme Amazon, katerih navade in povpraševanja je upravljavec spremljal zaradi primernejše uvrstitve v ciljno skupino. Upravljavcu se med drugim očitata neupravičeno sledenje in posredovanje podatkov zunanjim uporabnikom. Luksemburški nadzorni organ je ocenil, da obdelava osebnih podatkov tako ni temeljila na zakoniti podlagi iz 6. člena GDPR. V kolikor je verjeti žvižgačem, je družba Amazon tako osredotočena na rast, da se ne posveča varstvu osebnih podatkov dovolj dosledno. Med drugim so bile izpostavljene splošne pomanjkljivosti na področju informacijske varnosti in malomarnost pri odpravi varnostnih napak. Dejstvo je, da družba Amazon poleg evidence o nakupih vodi tudi zbirke podatkov, ki zajemajo občutljive podatke, zlasti informacije o kreditnih karticah uporabnikov. Prav tako upravljavec hrani občutljive podatke uporabnikov, ki jih pridobi z uporabo t. i. pametnih zvočnikov Alexa. V nekaterih primerih se je izkazalo, da Alexa zvočniki spremljajo pogovore uporabnikov in nato ob ključnih besedah podatke posredujejo zunanjim uporabnikom osebnih podatkov za namene trženja.[1]

Odziv upravljavca

Družba Amazon je zoper odločitev nadzornega organa vložila pritožbo pri Luksemburškem upravnem sodišču z izjavo, da odločno nasprotujejo izjavam nadzornega organa in da do same kršitve varstva osebnih podatkov ni prišlo. Upravljavec je trdil, da osebne podatke obdeluje z namenom izboljšanja uporabniške izkušnje in ima stroga interna pravila glede obdelave zbranih podatkov.[2]

Odločitev upravnega sodišča

Upravno sodišče je odločilo, da odredbe luksemburškega nadzornega organa niso bile »dovolj jasne, natančne in brez negotovosti«, da bi upravljavcu omogočile izpolnitev »ultimata«. Upravljavec namreč trdi, da ni jasno, kaj bi moral storiti, da se doseže skladnost z določbami GDPR. Na tej podlagi je Luksemburško upravno sodišče zadržalo izvajanje odločbe.[3]

Razrešitev zadeve bomo pozorno spremljali! Do takrat si preberite še prispevek o sankciji zoper družbo Meta, ki predstavlja drugo najvišjo denarno kazen na podlagi kršitev določb GDPR: WhatsApp posodobil politiko zasebnosti po prejemu visoke upravne globe.

Pripravil: J.D.

[1] Scott Ikeda, Record GDPR Fine Handed to Amazon Over Targeted Advertising, 4. avgust 2021. Dostopno na: https://www.cpomagazine.com/data-protection/record-gdpr-fine-handed-to-amazon-over-targeted-advertising/.

[2] Lindsay Clark, Luxembourg judge hits pause on Amazon’s daily payments of disputed $844m GDPR fine, 20. december 2021. Dostopno na: https://www.theregister.com/2021/12/20/luxembourg_amazon_fine/.

[3] Prav tam.