A szervezet szerint a közösségi oldal "súlyos és nagyon súlyos módon" több rendben is megsértette a spanyol adatvédelmi törvényt, a felhasználókról különleges adatokat, vagyis ideológiai, vallási hovatartozásra, nemi orientációra, személyes ízlésre valamint internetes keresési szokásokra vonatkozó információkat gyűjtött. Az AEPD indoklásában kifejtette, hogy a Facebook minderről nem tájékoztatta megfelelően a felhasználókat, akiknek ehhez nem szerezte meg az „egyértelmű, konkrét és tájékozott” beleegyezését sem. A cég felhasználói adatokra vonatkozó tájékoztatása „általános és kevéssé világos” kifejezéseket tartalmaz, és a felhasználókat védtelenül hagyja, mert egy átlagos technológiai ismeretekkel rendelkező személy számára nem derült belőle, hogy mi történik az adataival.
A hatóság rámutatott: a cookie-k használatával az adatgyűjtés nemcsak a Facebookon történik, hanem más oldalakon is, amelyeken elérhető a Facebook „Tetszik” gombja. Ráadásul ezeken keresztül olyan személyek böngészési szokásairól is információt szereznek, akik nem tagjai a közösségi oldalnak. Az AEPD kifogásolta azt is, hogy a törölt Facebook-felhasználó adatait 17 hónapig megőrzi a cég.
A magyar cégeknek is jön a határidő
A cégek számára kevesebb, mint kilenc hónap áll rendelkezésre ahhoz, hogy teljes mértékben megfeleljenek az Európai Unió (EU) általános adatvédelmi rendelet (GDPR) követelményeinek. Elképzelhető hogy ez elegendő időnek tűnik, azonban sok helyen nincs kidolgozva szabályzat az ügyfelek és az alkalmazottak adatainak védelme érdekében.
A vállalatok eddig a legtöbb esetben megúszták az alkalmazottakat vagy ügyfeleket érintő adatvesztések következményeit, de a jövőben a hatóságok jelentős bírságot szabhatnak ki ilyen esetekben, amik akár egy cég teljes bukását is eredményezheti. Személyes adat lehet akár egy e-mail cím, IP-cím, de akár GPS koordináta is.
