隱私國際今天宣布,它已對七家據稱違反歐洲隱私法的大公司提出投訴。已向法國、愛爾蘭和英國的數據保護機構提出正式投訴。
據英國主要倡導組織稱,所有七家公司都在藐視 5 月份生效的歐盟 GDPR 立法。這些投訴是第一個確鑿的證據,表明大公司可能正在系統性地利用消費者數據,儘管出台了旨在保護消費者數據的通用數據保護條例。隱私國際在評論這些指控時表示:
“我們的投訴針對的公司儘管利用了數百萬人的數據,但並不是家喻戶曉的名字,因此他們的做法很少受到挑戰。”
擺脫它,直到現在
在 2018 年 5 月推出的 GDPR 規則中,公司必須能夠證明其使用人員數據的方式具有法律依據。據隱私國際 (PI) 稱,它分析了 50 多個數據主體訪問請求,發現了許多大型公司實踐中存在的麻煩漏洞。該研究導致 PI 對以下公司提出正式投訴:
數據經紀人:安客誠、甲骨文
廣告科技公司:Criteo、Quantcast、Tapad
信用諮詢機構: Equifax、益百利
PI 聲稱,所有七家公司都違反了透明度、公平性、合法性、目的限制、數據最小化和準確性的原則——所有這些都是歐盟處理消費者數據的法律要求。 PI 確信它所發現的只是“冰山一角”。該組織預計監管機構將在調查過程中發現“大規模、系統性違反 GDPR 的行為”。
令人鼓舞的跡象
PI 已經聲稱其活動取得了一定程度的成功;英國信息專員辦公室 (ICO) 已向 Acxiom、Equifax 和 Experian 發出評估通知。現在,PI 希望說服 ICO 擴大調查範圍,將 Criteo、Oracle、Quantcast 和 Tapad 納入調查範圍。如果 PI 是正確的,數據保護機構應該很容易發現據稱正在發生的系統故障的範圍。
PI 有理由相信,進一步調查將表明,部分或全部相關公司既沒有獲得處理其所擁有數據所需的同意,也沒有合法權益。此外,PI 聲稱這些公司沒有處理“特殊類別”個人數據的適當法律依據。
該數據是指敏感信息,包括人們的種族和民族血統、宗教或哲學信仰、政治觀點、工會會員資格、用於識別個人身份的生物識別數據、遺傳數據、健康數據以及與性偏好、性生活和/或性取向相關的數據。
“當他們聲稱同意是處理的有效基礎時,他們未能證明同意是如何收集的,以及同意是自由給予的、具體的、知情的和明確的。當他們依賴合法利益時,他們會塑造這種同意以適應他們的自主利益,而沒有證明必要性或充分考慮對個人權利的影響。”
可能面臨巨額罰款
如果相關七家公司被發現違反 GDPR,他們可能面臨高達 2000 萬歐元的罰款,或相當於其全球年營業額的 4%(以較高者為準)。
就在上個月,英國的 ICOFacebook 因劍橋分析醜聞期間違反隱私法規而被判有罪。然而,扎克伯格和他的同事們。很幸運,因為調查在 GDPR 正式生效之前就已經開始了。因此,ICO 只能對 Facebook 處以 GDPR 之前最高 50 萬英鎊的罰款。如果被判有罪,PI 所投訴的公司可能就沒那麼幸運了。
加入活動
最後,PI 相信它已經發現了消費者在行使數據保護權利時面臨障礙的證據。這包括信息權(GDPR 第 13 條和第 14 條)、訪問權(第 15 條)、刪除權(第 17 條)以及與自動化決策相關的權利,包括分析權(GDPR 第 22 條)。
考慮到這一點,PI 今天發起了一項活動,旨在讓人們更容易地要求公司在收到要求時正確處理和刪除他們的數據。鼓勵任何對此活動感興趣的人訪問隱私國際的網站。 PI 法律官員 Ailidh Callander 評論道:
“數據經紀人和廣告技術行業的前提是利用人們的數據。大多數人可能從未聽說過這些公司,但他們卻在盡可能多地收集有關我們的數據,並為我們的生活建立復雜的檔案。GDPR 對個人數據的濫用設定了明確的限制。PI 的投訴說明了為什麼我們認為這些公司的做法未能達到標準 - 但我們只能觸及他們數據利用做法的表面。GDPR 給了監管機構牙齒,現在是是時候利用它們讓這些公司承擔責任了。”
圖片來源:SB_photos/Shutterstock.com、arretera/Shutterstock.com