Andmekaitseuudised

GDPRKollektiivhagi USA tehnoloogiahiidude vastu GDPR alusel

Kollektiivhagi USA tehnoloogiahiidude vastu GDPR alusel

Postitatud

Privaatsuseksperte ühendav sihtasutus Privacy Collective  (TPC) on esitanud Hollandi kohtule kollektiivhagi USA tehnoloogiahiidude Salesforce and Oracle vastu. TPC väidab, et Salesforce ja Oracle on rikkunud GDPR-i reegleid ning nõuavad 500€ suurust kahjuhüvitist mõlemalt firmalt iga internetikasutaja kohta, kelle andmeid ebaseaduslikult töödeldi.

Väidetav isikuandmete väärkasutus

TPC on seisukohal, et Oracle ja Salesforce väärkasutasid Hollandi internetikasutajate isikuandmeid neid ilma nõusolekuta kogudes (collecting), rühmitades (bundling), rikastades (enriching) ja müües (selling).

Oracle’l ja Salesforce’il on oluline roll andmete kogumisel ja töötlemises andmetöötlusplatvormide (Data Management Platforms, DPM) tarbeks. DPM-id järjestavad (rank) internetikasutajate andmeid, mis tähendab, et käitumisharjumustel põhinev suunamine (behavioral targeting) toimub online oksjonitel reaalajas toimuvate pakkumiste (real-time bidding e RTB) abil.

RTB on keerukas oksjonite süsteem, kus reklaamipakkujad kauplevad reaalajas veebisaidil reklaamipinna  saamiseks ning kõrgeim pakkuja saab võimaluse kuvada internetikasutajale isikustatud reklaamiriba (bänner). See kõik toimub umbes 200 millisekundi jooksul.

Selleks, et välja selgitada, milline külastaja on just nende tootemargi (bränd) jaoks huvitav, vahetavad ettevõtted omavahel lehitsemiskäitumist (surfing behaviour), asukohaandmeid, IP aadresse ning muud isiklikku infot nagu krediitkaardid, sotsiaalmeedia ja finantsandmed. Andmeid kogutakse küpsiste (cookies) abil.

TPC väidab oma hagis, et kirjeldatud isikuandmete väärkasutus rikub Euroopa Liidu põhiõiguste harta artikleid 7 ja 8, GDPR-i ja Hollandi telekommunikatsiooniseadust.

TPC hinnangul rikuvad Oracle ja Salesforce GDPR-i mitmes punktis, eelkõige:

  • Kasutades automatiseeritud töötlusel põhinevaid otsuseid
  • Töödeldes isikuandmeid ilma õigusliku aluseta
  • Mitte arvestades läbipaistvusnõuet
  • Rikkudes minimaalsuse põhimõtet
  • Edastades isikuandmeid ebaseaduslikult USA-sse

GDPR ja hüvitis

GDPR sätestab, et igal isikul, kes on kandnud GDPR rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest (artikkel 82).

Kahjuhüvitise kontseptsiooni GDPR-i tähenduses tuleb siseriiklikel kohtutel tõlgendada vahetult GDPR alusel ning kooskõlas EL kohtu õiguspraktikaga.

Tänase seisuga selleteemaline EL kohtu praktika veel puudub, mistõttu ei ole lihtne ennustada, milliseks võiksid erinevate riikide kohtute otsused kahju hüvitamise nõuete puhul edaspidi kujuneda. Hollandis on seni suurim mittemateriaalse kahju eest välja mõistetud hüvitis 500€.

Ka Hollandi seisukohalt on tegu uue olukorra testimisega. Kohtuasi võib luua uue standardi privaatsusrikkumiste hüvitamises nii Hollandis kui ka teistes EL liikmersriikides, sh Eestis. Hollandi kohus peab kõigepealt tõlgendama GDPR-st isikutele tulenevaid õigusi ning määrama nendele nö. „hinna“.

Kategooriad: GDPR