Miért perlik be 27 állam a 23andMe-t?

Megpróbálják megakadályozni, hogy a csődbe ment vállalat értékesítse az ügyfelek genetikai adatait, és azt állítják, hogy a 23andMe nem védte megfelelően az adatokat, valamint félrevezette a fogyasztókat a 2023-as adatszivárgás súlyosságával kapcsolatban.

Hány embert érintett a 2023-as adatszivárgás?

A kereset szerint az adatszivárgás közel 7 millió ember érzékeny egészségügyi adatait szolgáltatta ki.

Értékesíthetők-e a 23andMe genetikai adatai egy új tulajdonosnak?

A kereset azzal érvel, hogy csőd esetén az adatok olyan vevőhöz kerülhetnek, akit nem kötnek az eredeti hozzájárulási feltételek. Néhány állam, például Florida, tiltja az ilyen értékesítést kifejezett beleegyezés nélkül, de nem minden állam rendelkezik ilyen védelemmel.

Miért nem tudják az olyan eszközök, mint a VPN-ek, megvédeni a genetikai adatokat?

A VPN-ek és a titkosítás a továbbítás alatt lévő adatokat védik, de a genetikai adatokat egy fizikai nyálmintából gyűjtik és a vállalat szerverein tárolják. Ettől a ponttól kezdve semmilyen hálózati szintű eszköz nem alkalmazható, és az adatvédelem kizárólag a vállalat biztonsági intézkedéseitől és jogi garanciáitól függ.

Hogyan vezette félre állítólag a 23andMe az ügyfeleket az adatszivárgás után?

A koalíció azt állítja, hogy a 23andMe lekicsinyelte az incidens kiterjedését, megakadályozva ezzel az ügyfeleket abban, hogy felismerjék, mennyire súlyos volt, és esetleg lépéseket tegyenek maguk védelmére vagy adataik törlésének kérésére.

27 állam pereli be a 23andMe-t, hogy megakadályozza a genetikai adatok értékesítését a 2023-as adatszivárgás után

Huszonhét állam és a District of Columbia pert indított a 23andMe ellen, hogy megakadályozza a csődbe ment DNS-tesztelő vállalatot ügyfelei genetikai adatainak értékesítésében. A csődbíróságra benyújtott kereset középpontjában egy 2023-as adatszivárgás áll, amely közel 7 millió ember érzékeny egészségügyi adatait szolgáltatta ki, és azzal érvel, hogy a 23andMe félrevezette a fogyasztókat az incidens súlyosságával kapcsolatban. A tét becslések szerint 15 millió ügyfél genetikai adata, akik soha nem járultak hozzá ahhoz, hogy legbensőségesebb biológiai információikat a legtöbbet ígérő licitálónak elárverezzék.

Ez az ügy nem csupán a vállalati hanyagságról szól. Egy ennél nehezebb, kényelmetlenebb kérdést is felvet az adatvédelemre érzékeny fogyasztók számára: mi történik akkor, ha az adatvédelmi kockázat nem egy jelszó, egy IP-cím vagy egy e-mail cím, hanem a tényleges DNS-ünk?

Mit állít pontosan a kereset?

Az államügyészek koalíciója két fő irányvonalon érvel. Először is, hogy a 23andMe nem védte megfelelően a felhasználói adatokat a 2023-as adatszivárgás előtt és alatt, így több millió ügyfelet tett ki olyan károknak, amelyekre semmilyen módon nem számíthattak. Másodszor, hogy a vállalat lekicsinyelte az incidens kiterjedését, félrevezetve azokat az ügyfeleket, akik egyébként lépéseket tettek volna maguk védelmére vagy adataik törlésének kérésére.

Most, hogy a 23andMe csődvédelmet kért, a félelem az, hogy az egyfajta ígéretek mellett gyűjtött genetikai adatok egy teljesen más szabályok szerint működő új tulajdonoshoz kerülhetnek. Azok az ügyfelek, akik eredetileg hozzájárultak DNS-ük megosztásához származáskutatás vagy egészségügyi betekintések céljából, azt tapasztalhatják, hogy adataikat egy ismeretlen harmadik fél szerzi meg, akit semmi sem kötelez az eredeti felhasználási feltételek betartására.

Több államnak már léteznek kifejezetten erre a helyzetre vonatkozó törvényei. Florida például tiltja a genetikai adatok értékesítését az ügyfél kifejezett beleegyezése nélkül, amit büntetőjogi szankciók és pénzbírságok is alátámasztanak. De nem minden állam rendelkezik ilyen védelemmel, éppen ezért vált szükségessé az összehangolt, több államra kiterjedő per.

Miért nem védhetik meg az adatvédelmi eszközök a genetikai adatokat?

Ez az a része a történetnek, amely felett a legtöbb digitális adatvédelmi tudósítás átsiklik. A VPN-ek, a titkosított üzenetküldő alkalmazások, a privát böngészők és hasonló eszközök hatékonyan védik az adatok egyik kategóriáját: azokat az információkat, amelyeket digitálisan továbbít vagy előállít. Megvédhetik az IP-címét, a böngészési előzményeit és a kommunikációját a lehallgatástól.

De semmit sem tehetnek azokkal az adatokkal, amelyeket ön már fizikai formában önként átadott. Amikor postán elküld egy nyálmintát egy DNS-tesztelő cégnek, a hálózati szintű adatvédelem semmilyen formája nem alkalmazható. Az adatokat a vállalat szerverein gyűjtik, dolgozzák fel és tárolják. Innentől kezdve az adatvédelem kizárólag a vállalat biztonsági gyakorlatától, szerződéses kötelezettségeitől és az ön joghatóságában elérhető jogi védelemtől függ.

Ez a megkülönböztetés azért számít, mert megváltoztatja a kockázat természetét. A legtöbb digitális adatvédelmi fenyegetés esetén a felhasználók folyamatos cselekvési lehetőséggel rendelkeznek. Abbahagyhatják egy szolgáltatás használatát, törölhetik adataikat, vagy válthatnak egy privátabb alternatívára. A genetikai adatok esetében az információ megváltoztathatatlan. A DNS-ét nem lehet megváltoztatni, visszaállítani vagy visszavonni. Ha egyszer kiszivárgott vagy eladták, a kitettség végleges.

Mit jelent ez önnek?

Ha ön 23andMe-ügyfél, a per azt jelenti, hogy jelenleg aktív jogi erőfeszítés zajlik annak megakadályozására, hogy adatait a beleegyezése nélkül értékesítsék. A jogi eljárások azonban időt vesznek igénybe, és az eredmény soha nem garantált a csődbíróságon, ahol a hitelezők érdekei gyakran közvetlenül ütköznek a fogyasztóvédelemmel.

Vannak konkrét lépések, amelyeket érdemes most megtenni. Először is ellenőrizze, hogy már benyújtott-e adattörlési kérelmet a 23andMe-hez. A vállalat korábban kínálta ezt a lehetőséget, és bár a csődeljárás bonyolítja a helyzetet, a hivatalos törlési kérelem benyújtása dokumentált nyomot hagy a szándékáról. Másodszor, tekintse át a fiók létrehozásakor aláírt hozzájárulási megállapodásokat, mivel ezek a dokumentumok felvázolhatják a vállalatátruházás során fennálló jogait.

A 23andMe-n túlmutatóan ez az ügy hasznos alkalom arra, hogy szélesebb körben gondolkodjunk a genetikai adatvédelemről. Bármely szolgáltatás, amely biometrikus vagy biológiai adatokat gyűjt – akár egészségügyi, fitnesz, származási vagy kutatási célból –, olyan információkat birtokol, amelyek kívül esnek a hagyományos adatvédelmi eszközök hatókörén. Az ezeket az adatokat védő jogi keret államonként jelentősen eltér, és még mindig csak próbálja utolérni a technológiát.

Azok számára, akiket érdekel, hogyan fejlődik a szélesebb körű adatvédelmi jogszabályi környezet az Egyesült Államokban, a Lofgren-Tillis törvényjavaslat hasznos betekintést nyújt abba, hogyan gondolkodnak a törvényhozók a digitális adatokhoz fűződő jogokról és a meglévő védelem korlátairól.

A nagyobb kép az adatbróker-kockázatokról

A 23andMe helyzet arra is emlékeztet, hogyan működnek az adatbróker-ökoszisztémák. Még a jóindulatú célból gyűjtött adatok is olyan felek kezébe kerülhetnek, akiknek a szándékai és gyakorlata teljesen ismeretlen az eredeti fogyasztó előtt. A csődértékesítés ennek egyik útja. A vállalati felvásárlások, az adatlicenc-megállapodások és a biztonsági rések más lehetőségek.

A genetikai adat a létező legérzékenyebb személyes információ kategóriái közé tartozik. Betegségekre való hajlamokat, családi kapcsolatokat és etnikai örökséget tárhat fel. Rossz kezekben biztosítók, munkaadók vagy bűnüldöző szervek olyan módon használhatják fel, amire a fogyasztók soha nem számítottak és nem is járultak hozzá.

A 23andMe elleni több állam által indított per jelentős pillanat a genetikai adatvédelmi jogok szempontjából az Egyesült Államokban. Akár sikerül megakadályoznia az értékesítést, akár nem, már most bebizonyította, hogy az államügyészek hajlandók agresszíven összehangolni fellépésüket a fogyasztói adatügyekben, és hogy a genetikai adatokat egyre inkább olyan kategóriaként kezelik, amely fokozott jogi védelmet érdemel.

Ha bármely tesztelő cégnél tárolt genetikai adatokkal rendelkezik, itt az ideje, hogy áttekintse fiókbeállításait, megértse törlési jogait, és alaposan gondolja meg, mielőtt biológiai adatokat ad át bármely szolgáltatásnak a jövőben. Egyetlen VPN sem védheti meg a DNS-ét, de az adatmegosztás előtt meghozott megalapozott döntések a rendelkezésre álló legerősebb adatvédelmi eszközt jelentik.