Απόφαση WhatsApp: Τέλος στην ατιμωρησία για την GAFAM στην Ευρώπη;

Νομική Παρακολούθηση Αρ. 38 – Αύγουστος 2021

Απόφαση WhatsApp: Τέλος στην ατιμωρησία για την GAFAM στην Ευρώπη; Σε προηγούμενο άρθρο ειδήσεων, αναφερθήκαμε στις δυσκολίες επίτευξης συμφωνίας σε ευρωπαϊκό επίπεδο σχετικά με την εφαρμογή του Γενικού Κανονισμού για την Προστασία Δεδομένων. 

Η πρόσφατη απόφαση της ιρλανδικής ρυθμιστικής αρχής σχετικά με το WhatsApp καταδεικνύει περαιτέρω πρόοδο στη συνεργασία μεταξύ των εποπτικών αρχών που θεσπίστηκε από τον ΓΚΠΔ.

Το διοικητικό πρόστιμο ύψους 225 εκατομμυρίων ευρώ που επιβλήθηκε στην WhatsApp στις 2 Σεπτεμβρίου από την Ιρλανδία ακολουθεί αρκετές ανατροπές εντός του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB).

Σύμφωνα με τη διαδικασία επίλυσης διαφορών που προβλέπεται στο άρθρο 65 του ΓΚΠΔ, η Επιτροπή ανάγκασε την Ιρλανδία να επανεξετάσει τα συμπεράσματά της. : ως εκ τούτου, έπρεπε να διευρύνει τα στοιχεία του αδικήματος, να αυξήσει σημαντικά το ποσό του προστίμου και να συντομεύσει τις προθεσμίες που είχαν δοθεί στην Whatsapp για να συμμορφωθεί με την απόφαση.

Κατά τον υπολογισμό του προστίμου, η Επιτροπή έκρινε ότι θα πρέπει να ληφθεί υπόψη όχι μόνο ο κύκλος εργασιών του WhatsApp, αλλά και αυτός της μητρικής της εταιρείας, του Facebook.

Επίσης, έκρινε ότι σε περίπτωση πολλαπλών παραβάσεων για την ίδια επεξεργασία δεδομένων, οι παραβάσεις θα πρέπει να αθροίζονται – παραμένοντας παράλληλα κάτω από το ανώτατο όριο των 4% κύκλου εργασιών που προβλέπεται από τον ΓΚΠΔ.

Πρέπει να σημειωθεί ότι το πρόστιμο, όσο σημαντικό κι αν φαίνεται, αντιπροσωπεύει μόνο 0,08% του κύκλου εργασιών του Facebook.

Κάτι που προκαλεί σκέψη αν σκεφτεί κανείς ότι οι ιρλανδικές αρχές σχεδίαζαν αρχικά πρόστιμο 50 εκατομμυρίων ευρώ.

Ας το θυμόμαστε αυτό Η αρχή προστασίας δεδομένων του Λουξεμβούργου επέβαλε πρόστιμο 746 εκατομμυρίων ευρώ στην Amazon στις αρχές Αυγούστου., το μεγαλύτερο πρόστιμο που έχει επιβληθεί ποτέ βάσει του ΓΚΠΔ.

Το κύριο ζήτημα της έρευνας ήταν το κατά πόσον το WhatsApp συμμορφωνόταν με τις υποχρεώσεις πληροφόρησης προς τους χρήστες του, καθώς και προς τους μη χρήστες των οποίων τα δεδομένα συλλέγονται επίσης.

Οι ενημερωτικές ανακοινώσεις κρίθηκαν περίπλοκες, καθιστώντας αδύνατη την ορθή κατανόηση των έννομων συμφερόντων που επιδιώκει η εταιρεία.

Η χρήση της λειτουργικότητας «πρόσβαση στις επαφές» από τους χρήστες είναι εντελώς αδιαφανής για τις εν λόγω επαφές, τα δεδομένα των οποίων υποβάλλονται σε επεξεργασία παρόλο που οι ίδιοι δεν χρησιμοποιούν απαραίτητα την εφαρμογή.

Πέραν της παραβίασης των άρθρων 12, 13 και 14 του ΓΚΠΔ σχετικά με τις υποχρεώσεις ενημέρωσης, η Επιτροπή καταλήγει στο συμπέρασμα ότι οι παραβιάσεις είναι αρκούντως σοβαρές ώστε να συνιστούν παραβίαση του άρθρου 5(1)(α) του ΓΚΠΔ σχετικά με τη γενική αρχή της διαφάνειας.

Η απόφαση της ιρλανδικής αρχής, η οποία υποστηρίχθηκε από την Επιτροπή, αποτελεί χρήσιμο ορόσημο για τους υπεύθυνους επεξεργασίας δεδομένων όσον αφορά τις υποχρεώσεις πληροφόρησης του ΓΚΠΔ.

Διατηρούνται οι ακόλουθες οδηγίες:

–           Αποφύγετε τη διασπορά πληροφοριών σε διαφορετικές σελίδες που απαιτούν από τον χρήστη να κάνει κλικ σε πολλαπλούς συνδέσμους, καθώς και ατελείωτα αναπτυσσόμενα μενού και συγκέντρωση πληροφοριών σε ένα μέρος.

–           Περιγράψτε τις διαδικασίες επεξεργασίας, τα δεδομένα που συλλέγονται και η νομική βάση για κάθε προσδιορισμένο σκοπό.

Επίσης, προσδιορίστε αυτές τις πληροφορίες για κάθε τρίτο μέρος που έχει πρόσβαση στα δεδομένα.

Η εμφάνιση αυτών των διαφορετικών στοιχείων σε μορφή πίνακα μπορεί να βοηθήσει στην σαφή κατανόησή τους.

–           Διαθέσιμοι πληροφορίεςn σχετικά με τους «μη χρήστες» με ξεχωριστό και εύκολα προσβάσιμο τρόπο.

–           Καθορίστε τις συνθήκες υπό τις οποίες θα διατηρηθούν τα δεδομένα / διαγράφηκε, με συγκεκριμένες εικόνες.

–           Αναφέρετε τη νομική βάση που επιτρέπει τη μεταφορά δεδομένων εκτός της Ευρωπαϊκής Ένωσης, προσδιορίζοντας, εάν δεν υπάρχει απόφαση επάρκειας, την εναλλακτική νομική βάση.

Μια γενική παραπομπή σε ιστοσελίδα της Ευρωπαϊκής Επιτροπής δεν επαρκεί.

.

Και επίσης

Γαλλία:

Η CNIL συνεχίζει τις ενέργειες συμμόρφωσης σχετικά με τα cookies.

Ασχολήθηκε με μια δεύτερη σειρά επίσημες ειδοποιήσεις κατά τη διάρκεια του καλοκαιριού, εναντίον αρκετών φορέων διαδικτυακών πωλήσεων, μεγάλων πλατφορμών ψηφιακής οικονομίας, τοπικών αρχών και του τραπεζικού τομέα.

Έχει επίσης καθιερωμένος Στις 27 Ιουλίου, η εταιρεία Figaro πλήρωσε 50.000 ευρώ για την κατάθεση διαφημιστικών cookies χωρίς τη συγκατάθεση των χρηστών του Διαδικτύου.

Με την ευκαιρία αυτή, υπενθυμίζει την κατανομή ευθυνών μεταξύ των εκδοτών ιστοσελίδων και των εμπορικών τους συνεργατών.

Ένα σφάλμα στον υπολογιστή έχει προσβάσιμο τα προσωπικά δεδομένα περίπου 700.000 ατόμων που υποβλήθηκαν σε τεστ Covid.

Αυτή η παραβίαση ασφαλείας υπογραμμίζει την ποικίλη αξιοπιστία των υπηρεσιών μεταφοράς που χρησιμοποιούνται από τους φαρμακοποιούς για την τροφοδότηση της κυβερνητική πλατφόρμας SI-DEP.

Ενώ η ίδια η πλατφόρμα SI-DEP είναι ασφαλής, δεν είναι όλα τα middleware.

Η Γενική Διεύθυνση Υγείας (DGS) έστειλε email στους φαρμακοποιούς για να τους υπενθυμίσει το λογισμικό που έχει εγκριθεί και είναι συμβατό με το SI-DEP.

Αυτό από το Francetest, που εντοπίστηκε στο ελάττωμα που δημοσιοποιήθηκε στις 31 Αυγούστου, δεν ήταν μέρος αυτού.

Η CNIL θυμάμαι στο τρέχον πλαίσιο της έναρξης της σχολικής χρονιάς, οι απαιτήσεις που πρέπει να πληρούνται στο πλαίσιο της χρήσης βιομετρικών στοιχείων στα σχολεία.

Εξετάζει την αναγνώριση περιγράμματος του χεριού για την πρόσβαση στις σχολικές καντίνες και περιγράφει τις απαιτήσεις για πληροφορίες, συγκατάθεση και ασφάλεια δεδομένων.

Προσθέτει ότι η άρνηση επεξεργασίας βιομετρικών δεδομένων και, ως εκ τούτου, η πρόσβαση στην καντίνα με άλλο τρόπο δεν πρέπει να προκαλεί βλάβη στον εν λόγω φοιτητή.

Ευρώπη:

Καταναλωτική πίστη: Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (ΕΕΠΔ) δημοσίευσε γνώμη σχετικά με την προτεινόμενη οδηγία της Ευρωπαϊκής Επιτροπής στις 26 Αυγούστου.

Η αιτία είναι οι νέες μέθοδοι αξιολόγησης πιστοληπτικής ικανότητας που χρησιμοποιούν ψηφιακές τεχνολογίες.

Εάν οι εν λόγω αξιολογήσεις είναι απαραίτητες για τη χορήγηση πίστωσης στον καταναλωτή, ο ΕΕΠΔ ζητά να εξαιρεθούν ορισμένα δεδομένα από τις διαδικασίες αξιολόγησης.

Εκτός από τα δεδομένα υγείας και τα δεδομένα κοινωνικής δικτύωσης, ο ΕΕΠΔ επιθυμεί η απαγόρευση να επεκταθεί σε όλα τα ευαίσθητα δεδομένα (για παράδειγμα, σχετικά με τη θρησκεία και τις πολιτικές απόψεις), καθώς και στα δεδομένα περιήγησης των χρηστών του Διαδικτύου.

Ο Ελεγκτής επισημαίνει επίσης την ανάγκη καλύτερης ρύθμισης του ρόλου των τρίτων μερών που παρέχουν υπηρεσίες ανάλυσης πιστώσεων και της πιστοποίησης συστημάτων τεχνητής νοημοσύνης σε αυτόν τον τομέα.

Αναγνώριση προσώπου: Το Συμβούλιο της Ευρώπης δημοσιεύει κατευθυντήριες γραμμές που αποσκοπούν στην παροχή ενός συνόλου μέτρων αναφοράς για κυβερνήσεις, προγραμματιστές αναγνώρισης προσώπου, κατασκευαστές, παρόχους υπηρεσιών και οντότητες που χρησιμοποιούν τεχνολογίες αναγνώρισης προσώπου.

Στόχος είναι να διασφαλιστεί ότι κατά την ανάπτυξή τους δεν παραβιάζουν την ανθρώπινη αξιοπρέπεια, τα ανθρώπινα δικαιώματα και τις θεμελιώδεις ελευθερίες, συμπεριλαμβανομένου του δικαιώματος προστασίας των προσωπικών δεδομένων.

Ιταλία: Η Αρχή Προστασίας Δεδομένων (Garante) επέβαλε πρόστιμο 2,5 εκατομμυρίων ευρώ στην Deliverooγια αδιαφανή χρήση αλγορίθμου για τη διαχείριση των προγραμμάτων παράδοσης και δυσανάλογη συλλογή των προσωπικών τους δεδομένων κατά παράβαση των αρχών της νομιμότητας, της διαφάνειας, της ελαχιστοποίησης και του περιορισμού του ΓΚΠΔ.

Διεθνές:

Η Λαϊκή Δημοκρατία της Κίνας υιοθέτησε στις 20 Αυγούστου ένας νόμος σχετικά με την προστασία των προσωπικών δεδομένων (PIPL).

Ο παρών νόμος θα τεθεί σε ισχύ την 1η Νοεμβρίου 2021. 

Στόχος του δεν είναι μόνο η προστασία των ατομικών δεδομένων, αλλά και η κρατική ασφάλεια και τα οικονομικά συμφέροντα της χώρας σε σχέση με την GAFAM.

Ο νόμος περιέχει αυστηρές υποχρεώσεις σχετικά με την τοπική αποθήκευση δεδομένων και περιορισμούς στις διεθνείς μεταφορές.

Η κατάληψη του Αφγανιστάν από τους Ταλιμπάν έχει επίσης επιπτώσεις στον τομέα της προστασίας δεδομένων.

Πολλαπλά αρχεία, συμπεριλαμβανομένου αυτού που διαχειρίζονται τα Υπουργεία Εσωτερικών και Άμυνας, θα περιείχε ιδιαίτερα ευαίσθητες πληροφορίες.

Τα εν λόγω δεδομένα περιλαμβάνουν δεδομένα της αστυνομίας και του στρατού για μισό εκατομμύριο άτομα: επώνυμο, όνομα, αλλά και αριθμό ταυτότητας που συνδέεται με βιομετρικό προφίλ, δεδομένα σταδιοδρομίας και οικογενειακές σχέσεις, καθώς και τα προσωπικά δεδομένα δύο «πρεσβυτέρων» από φυλές, οι οποίοι λειτουργούν ως εγγυητές κατά τη στρατολόγηση.

Τόσες πολλές πληροφορίες που, αλλάζοντας χέρια, μπορούν να βοηθήσουν στη χαρτογράφηση των συνδέσεων μεταξύ των τοπικών κοινοτήτων και εθνοτήτων.