Ευαίσθητα δεδομένα: ένα ιδιαίτερα ευρύ πεδίο εφαρμογής

Νομικό Περιοδικό Αρ. 50 – Αύγουστος 2022.

Μπορεί να είναι δύσκολο να αξιολογήσετε εάν τα δεδομένα που συλλέγετε είναι ευαίσθητα ή όχι και να αποφασίσετε εάν αυτά τα δεδομένα απαιτούν ειδική προστασία βάσει του ΓΚΠΔ.

Αναφερθήκαμε ξανά σε αυτές τις δυσκολίες ερμηνείας στο κύριο άρθρο μας τον περασμένο Φεβρουάριο.

Το Δικαστήριο της Ευρωπαϊκής Ένωσης μόλις διευκρίνισε το πεδίο εφαρμογής της απόφασης της 1ης Αυγούστου 2022. της έννοιας των ευαίσθητων δεδομένων ή, για την ακρίβεια, των ειδικών κατηγοριών δεδομένων.

Και σύμφωνα με το Δικαστήριο, το πεδίο εφαρμογής είναι ιδιαίτερα ευρύ.

Θα πρέπει να υπενθυμιστεί ότι το Άρθρο 9 του ΓΚΠΔ εφαρμόζεται σε δεδομένα που αποκαλύπτουν την φερόμενη φυλετική ή εθνοτική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και στην επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση ενός φυσικού προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό ενός φυσικού προσώπου.

Η εν λόγω απόφαση αφορά τις διατάξεις ενός λιθουανικού νόμου που αποσκοπεί στην καταπολέμηση της διαφθοράς, ο οποίος απαιτεί από ορισμένους εργαζόμενους του δημόσιου τομέα να δηλώνουν τα ιδιωτικά τους συμφέροντα, καθώς και πληροφορίες σχετικά με τους συζύγους και τις οικογένειές τους, οι οποίες σχεδόν όλες θα δημοσιοποιηθούν στο διαδίκτυο.

Κατόπιν της ένστασης ενός προσώπου που εμπλέκεται σε αυτήν την υποχρέωση, το Δικαστήριο υποχρεούται να αποφανθεί

• Σχετικά με την αναγκαιότητα της διαδικτυακής γνωστοποίησης δεδομένων που αφορούν τον/την σύζυγο
• Σχετικά με το εάν τα δεδομένα αυτά που αφορούν τον/την σύζυγο θα πρέπει να θεωρούνται ευαίσθητα δεδομένα κατά την έννοια του άρθρου 9 του ΓΚΠΔ, επειδή επιτρέπουν την εξαγωγή πληροφοριών σχετικά με τον σεξουαλικό προσανατολισμό των εν λόγω προσώπων. Το Δικαστήριο κρίνει καταρχάς ότι η διαδικτυακή διάδοση αυτών των δεδομένων δεν φαίνεται απαραίτητη για τον επιδιωκόμενο στόχο της καταπολέμησης της διαφθοράς και στη συνέχεια διευκρινίζει ότι η έννοια των ευαίσθητων δεδομένων πρέπει να ερμηνεύεται ευρέως.

Μέχρι σήμερα, εξακολουθούσαν να υπάρχουν ορισμένα ερωτήματα σχετικά με τη διαφορά στους όρους που χρησιμοποιούνται στη διατύπωση του Άρθρου 9, για τη ρύθμιση δεδομένων τα οποία αφενός «αποκαλύπτουν» πολιτικές απόψεις, συμμετοχή σε συνδικάτα κ.λπ. ή αφετέρου «αφορούν» την υγεία ή τον σεξουαλικό προσανατολισμό.

Το Δικαστήριο θεωρεί ότι όλες οι ειδικές κατηγορίες δεδομένων πρέπει να ερμηνεύονται ευρέως, λαμβάνοντας υπόψη το πλαίσιο και άλλες διατάξεις του ΓΚΠΔ.

Επομένως, περιλαμβάνει, στην προκειμένη περίπτωση, δεδομένα τα οποία είναι πιθανό να αποκαλύψουν, μέσω μιας πνευματικής πράξης σύγκρισης ή επαγωγής, τον σεξουαλικό προσανατολισμό ενός φυσικού προσώπου.

Αυτή η απόφαση θα μπορούσε να έχει σημαντικό αντίκτυπο στο πεδίο εφαρμογής των υποχρεώσεων των υπευθύνων για την επεξεργασία «δυνητικά» ευαίσθητων δεδομένων.

Η CNIL φαίνεται να είχε, μέχρι τώρα, μια πιο περιοριστική ερμηνεία αυτών των υποχρεώσεων: ανέφερε τον περασμένο Ιανουάριο ότι «η απλή πράξη της φωτογράφισης ή της κινηματογράφησης μιας εικόνας από την οποία είναι δυνατόν ορισμένα στοιχεία να επιτρέπουν την εξαγωγή δεδομένων προσωπικού χαρακτήρα» η συνισταμένη ευαίσθητων δεδομένων δεν συνιστά από μόνη της επεξεργασία ευαίσθητων δεδομένων (…). Αυτό Μόνο εάν οι εν λόγω εικόνες υποβάλλονται σε επεξεργασία με σκοπό την εξαγωγή, ερμηνεία ή χρήση των εν λόγω ευαίσθητων δεδομένων, η επεξεργασία θα θεωρείται ότι εμπίπτει στο καθεστώς επεξεργασίας ευαίσθητων δεδομένων.

Ένα καθοριστικό στοιχείο στη συλλογιστική του Δικαστηρίου φαίνεται να είναι το γεγονός ότι τα δεδομένα είναι προσβάσιμα στο κοινό: από εκείνη τη στιγμή και μετά, οποιοσδήποτε μπορεί να συλλέξει τα δεδομένα, να συναγάγει ευαίσθητες πληροφορίες από αυτά και να τα επεξεργαστεί για έναν σκοπό εντελώς άσχετο με τον αρχικό σκοπό, με τις συνέπειες που θα μπορούσε να φοβάται κανείς για τα ενδιαφερόμενα πρόσωπα.

Θα πρέπει επίσης να υπενθυμίζεται ότι τα συμπεράσματα που προκύπτουν από τα διαθέσιμα δεδομένα δεν χρειάζεται να είναι σωστά για να εμπίπτουν στις απαιτήσεις του ΓΚΠΔ: μάλιστα, αυτό που έχει σημασία δεν είναι το αν τα συμπεράσματα είναι έγκυρα ή όχι: τα εσφαλμένα συμπεράσματα μπορούν να έχουν ακόμη πιο επιζήμιες συνέπειες για τα υποκείμενα των δεδομένων.

Η απόφαση αυτή αναμένεται να επηρεάσει τους υπεύθυνους επεξεργασίας δεδομένων που επεξεργάζονται δεδομένα σε μεγάλη κλίμακα και καταγράφουν το προφίλ των χρηστών του Διαδικτύου, ιδίως στο πλαίσιο των κοινωνικών δικτύων, καθιστώντας απαραίτητη τη ρητή συγκατάθεση.

Τέλος, ας προσθέσουμε ότι οι μελλοντικοί κανονισμοί για τις ψηφιακές υπηρεσίες και τις ψηφιακές αγορές προβλέπουν απαγόρευση της χρήσης ευαίσθητων δεδομένων για στόχευση διαφημίσεων.

Σε συνδυασμό με την ευρεία ερμηνεία των ευαίσθητων δεδομένων από το ΔΕΕ, μπορούμε να προβλέψουμε έναν περιορισμό της συμπεριφορικής διαφήμισης σε ευρωπαϊκό επίπεδο που είναι αυστηρότερος από τον αναμενόμενο.

Και επίσης

Γαλλία:

Η ACCOR μόλις τιμωρήθηκε με πρόστιμο 600.000 ευρώ για διεξαγωγή εμπορικής αναζήτησης χωρίς τη συγκατάθεση των εμπλεκομένων προσώπων και για μη σεβασμό των δικαιωμάτων των πελατών και των υποψήφιων πελατών.

Οι φόρμες κράτησης περιλάμβαναν από προεπιλογή μια προεπιλεγμένη επιλογή, η οποία προέβλεπε την αυτόματη αποστολή ενημερωτικού δελτίου στους πελάτες που περιείχε εμπορικές προσφορές από συνεργάτες.

Η CNIL σημείωσε επίσης επανειλημμένες τεχνικές ανωμαλίες που εμπόδισαν πολλούς ανθρώπους να αρνηθούν να λάβουν μηνύματα.

Η απόφαση της CNIL υποβλήθηκε σε διαδικασία συνεργασίας με τις αρχές άλλων χωρών της ΕΕ στις οποίες ο όμιλος ACCOR επεξεργάζεται δεδομένα, στο τέλος της οποίας η Ευρωπαϊκή Επιτροπή Προστασίας Δεδομένων διέταξε την CNIL να αυξήσει το ποσό του προστίμου, ώστε το μέτρο που ελήφθη να είναι πιο αποτρεπτικό.

Μεταξύ των στοιχείων που λαμβάνονται υπόψη είναι ο αριθμός των παραβιάσεων, το γεγονός ότι οι εν λόγω παραβιάσεις αφορούν διάφορες θεμελιώδεις αρχές της προστασίας των προσωπικών δεδομένων και συνιστούν ουσιαστική παραβίαση των δικαιωμάτων των ατόμων, καθώς και ο αριθμός των εμπλεκόμενων ατόμων και η οικονομική κατάσταση της εταιρείας.

Τον Αύγουστο, κατέστη αδύνατο να συνδεθείτε στο France Connect με τα διαπιστευτήριά σας στο Ameli., το κουμπί σύνδεσης έχει απενεργοποιηθεί από τον Bercy.

Η αιτία είναι η αναζωπύρωση των επιθέσεων ηλεκτρονικού "ψαρέματος" (phishing) που χρησιμοποιούν αυτά τα διαπιστευτήρια. Η Γενική Διεύθυνση Δημοσίων Οικονομικών φέρεται να εργάζεται για την ασφάλεια του France Connect και σχεδιάζει να μετατρέψει σταδιακά τις πιο ευαίσθητες διαδικασίες, ιδίως εκείνες που επιτρέπουν την πρόσβαση σε χρηματοοικονομικές πληρωμές, σε πιο ασφαλείς υπηρεσίες ταυτοποίησης.

Στις 25 Αυγούστου, η ΜΚΟ Η noyb.eu υπέβαλε καταγγελία κατά της Google στην CNIL.

Η Google κατηγορείται ότι αγνόησε την απόφαση του Ευρωπαϊκού Δικαστηρίου (ΔΕΚ) σχετικά με τα email άμεσου μάρκετινγκ και ότι χρησιμοποίησε την πλατφόρμα email της Gmail για την αποστολή ανεπιθύμητων διαφημιστικών email χωρίς την έγκυρη συγκατάθεση των χρηστών.

Ο γαλλικός γίγαντας της διαφημιστικής τεχνολογίας Criteo ενδέχεται να του επιβληθεί πρόστιμο 60 εκατομμυρίων ευρώ

στο πλαίσιο έρευνας που ξεκίνησε η CNIL.

Αυτή είναι μια προκαταρκτική απόφαση σε αυτό το στάδιο, η οποία δημοσιοποιήθηκε στις 5 Αυγούστου από τον οργανισμό που υπέβαλε την καταγγελία, την Privacy International.

Ευρώπη:

Επικρίσεις για τις εξουσίες της ΕΕ στον τομέα της έρευνας για το spyware κατά τη διάρκεια κοινοβουλευτικής ακρόασης την Τρίτη 30 Αυγούστου, κατά την οποία ένας εκπρόσωπος της Europol δήλωσε ότι η εντολή του οργανισμού περιοριζόταν στην υποστήριξη των κρατών μελών που επέλεγαν να ξεκινήσουν έρευνα.

Μέχρι σήμερα, τουλάχιστον 14 ευρωπαϊκές κυβερνήσεις είναι γνωστό ότι έχουν αγοράσει λογισμικό κατασκοπείας από τον όμιλο NSO, ο οποίος δημιούργησε το λογισμικό κατασκοπείας Pegasus, και οι ειδικοί πιστεύουν ότι πολλοί άλλοι προμηθευτές δραστηριοποιούνται στην ΕΕ.

Ο πρώην επικεφαλής ασφαλείας του Twitter, Peiter "Mudge" Zatko, υπέβαλε αγωγή κατά της εταιρείας, η οποία δημοσιοποιήθηκε πρόσφατα.

Το έγγραφο περιγράφει λεπτομερώς μια σειρά από καταδικαστικούς ισχυρισμούς σχετικά με ζητήματα ασφάλειας, απορρήτου και προστασίας δεδομένων (μεταξύ άλλων), καθώς και ισχυρισμούς ότι το Twitter είχε παραπλανήσει ή σκόπευε να παραπλανήσει τις περιφερειακές εποπτικές αρχές σχετικά με τη συμμόρφωσή του με τους τοπικούς νόμους.

Οι ιρλανδικές και γαλλικές εποπτικές αρχές έχουν αναλάβει την υπόθεση.

Η Ιρλανδική Επιτροπή Προστασίας Δεδομένων επέβαλε πρόστιμο 405 εκατομμυρίων ευρώ στην πλατφόρμα κοινωνικής δικτύωσης Instagram., ιδιοκτησίας της Meta, για παραβίαση του GDPR.

Το πρόστιμο είναι το δεύτερο μεγαλύτερο βάσει του GDPR, μετά από πρόστιμο 746 εκατομμυρίων ευρώ κατά της Amazon, και το τρίτο που επιβλήθηκε από την ιρλανδική ρυθμιστική αρχή σε μια εταιρεία που ανήκει στην Meta.

Η απόφαση αφορά την παραβίαση της ιδιωτικής ζωής των παιδιών από το Instagram, συμπεριλαμβανομένης της δημοσίευσης των διευθύνσεων ηλεκτρονικού ταχυδρομείου και των αριθμών τηλεφώνου των παιδιών.

Το Ανώτερο Περιφερειακό Δικαστήριο της Κολωνίας (OLG Köln) επιδίκασε 500 ευρώ σε ένα άτομο, λόγω της καθυστέρησης που επήλθε από έναν υπεύθυνο επεξεργασίας δεδομένων στην παροχή των ζητούμενων πληροφοριών σύμφωνα με το άρθρο 15 παράγραφος 1 του ΓΚΠΔ (μέσω του GDPRhub).

Σε παρόμοια περίπτωση, η ιταλική Αρχή Προστασίας Δεδομένων (DPA) επέβαλε πρόστιμο 20.000 ευρώ στην Deutsche Bank επειδή δεν απάντησε εγκαίρως στο αίτημα πρόσβασης ενός υποκειμένου των δεδομένων (μέσω του GDPRhub).

Η ελληνική Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο 30.000 ευρώ σε ιατρικό διαγνωστικό κέντρο για... παραβίασε την αρχή της ακεραιότητας και της εμπιστευτικότητας των δεδομένων : ο διευθυντής είχε χάσει εικόνες μαστογραφίας λόγω ανεπαρκών τεχνικών και οργανωτικών μέτρων.

Εκτός από το πρόστιμο, η DPA διέταξε το κέντρο να γνωστοποιήσει την παράβαση στα υποκείμενα των δεδομένων (μέσω του GDPRhub).

Το Ανώτατο Δικαστήριο της Ισπανίας έκρινε ότι η άσκηση των δικαιωμάτων ενός ατόμου ενώπιον του υπεύθυνου επεξεργασίας δεδομένων (άρθρα 15 έως 22 του ΓΚΠΔ) δεν αποτελεί προϋπόθεση για την υποβολή καταγγελίας. με μια αρχή προστασίας δεδομένων: η τελευταία μπορεί να ενεργήσει ακόμη και αν το υποκείμενο των δεδομένων δεν έχει επικοινωνήσει πρώτα με τον υπεύθυνο επεξεργασίας (μέσω του GDPRhub).

Στην Ελβετία, ένας νέος νόμος για την προστασία δεδομένων θα τεθεί σε ισχύ την 1η Σεπτεμβρίου 2023.

Ορισμένοι σχολιαστές σημειώνουν ότι αρκετές αρχές θα ήταν λιγότερο περιοριστικές από εκείνες του ΓΚΠΔ, ιδίως εκείνες που αφορούν τη συγκατάθεση και τον ΥΠΔ.

Από την άλλη πλευρά, οι απαιτήσεις ασφαλείας είναι ιδιαίτερα λεπτομερείς.

Διεθνές:

Οι ευρωπαϊκές οντότητες ενδέχεται να εμπίπτουν στο πεδίο εφαρμογής του νόμου για το cloud, ακόμη και αν βρίσκονται εκτός των Ηνωμένων Πολιτειών, αποφασίζει μια μελέτη που διεξήχθη από δικηγορικό γραφείο για λογαριασμό του Υπουργείο Δικαιοσύνης και Ασφάλειας της Ολλανδίας και δημοσιοποιήθηκε στις 26 Ιουλίου.

Είναι δυνατό για τις ευρωπαϊκές εταιρείες να ελαχιστοποιήσουν αυτόν τον κίνδυνο δημιουργώντας ένα «κινεζικό τείχος» με τις Ηνωμένες Πολιτείες, ιδίως μη απασχολώντας κανέναν Αμερικανό ή έχοντας κανέναν Αμερικανό πελάτη, κάτι που θα μπορούσε να δικαιολογήσει την παρέμβαση των ΗΠΑ βάσει του νόμου περί cloud.

Ωστόσο, ακόμη και αυτή η ασπίδα θα ήταν ανεπαρκής εάν η οντότητα χρησιμοποιεί τεχνολογίες των ΗΠΑ, καθώς ο νόμος για το cloud επιτρέπει την πρόσβαση σε δεδομένα μέσω υπεργολάβων/προμηθευτών υλικού και λογισμικού, προς/από παρόχους cloud.

Αυτά τα ευρήματα έχουν πυροδοτήσει συζήτηση σχετικά με προσφορές όπως το Bleu "Trusted Cloud" (τεχνολογίες της Microsoft που προσφέρονται από την Orange και την Capgemini) και το S3ns (της Google με την Thales).

Στις Ηνωμένες Πολιτείες, το Facebook συμφώνησε να διευθετήσει μια υπόθεση στο σκάνδαλο Cambridge Analytica, το οποίο αφορά την πρόσβασή του στα προσωπικά δεδομένα δεκάδων εκατομμυρίων χρηστών του Facebook κατά τη διάρκεια μιας προεκλογικής εκστρατείας. Το σκάνδαλο ξέσπασε μετά από αποκαλύψεις ενός πληροφοριοδότη της Cambridge Analytica στην εφημερίδα Observer το 2018, οι οποίες είχαν ήδη οδηγήσει το Facebook στην καταβολή προστίμου δισεκατομμυρίων ευρώ.

Στην Κούβα, ο νόμος για την προστασία των προσωπικών δεδομένων δημοσιεύθηκε στην Επίσημη Εφημερίδα στις 25 Αυγούστου. Θα τεθεί σε ισχύ 180 ημέρες μετά τη δημοσίευσή της.

Η Ρωσία τροποποίησε τη νομοθεσία της για την προστασία των δεδομένων μετά την υπογραφή της Σύμβασης 108+ του Συμβουλίου της Ευρώπης.

Ο νέος ομοσπονδιακός νόμος αριθ. 266 της 14ης Ιουλίου 2022 τροποποιεί ουσιαστικά ορισμένες από τις νομοθετικές πράξεις που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα στη Ρωσία και πλέον περιλαμβάνει την υποχρέωση κοινοποίησης παραβιάσεων δεδομένων.

Οι αυξανόμενες πολιτικές εντάσεις και οι εντάσεις ασφαλείας μεταξύ Πεκίνου και Δύσης έχουν προκαλέσει εκκλήσεις στο Ηνωμένο Βασίλειο για επανεξέταση της μεταφοράς γενετικών δεδομένων στην Κίνα από μια βιοϊατρική βάση δεδομένων που περιέχει το DNA μισού εκατομμυρίου Βρετανών πολιτών.

Τα καλύτερα μέτρα ασφαλείας δεν προστατεύουν από τα τρωτά σημεία των υπεργολάβων.

Στις 24 Αυγούστου, η Twilio ανέφερε ότι χάκερ είχαν παραβιάσει τα συστήματά της.

Η Twilio παρέχει υπηρεσίες επαλήθευσης στους πελάτες της, συμπεριλαμβανομένης της εταιρείας κρυπτογραφημένων μηνυμάτων Signal.

Όταν ένας χρήστης καταχωρεί τον αριθμό τηλεφώνου του, το Twilio του στέλνει ένα SMS που περιέχει έναν κωδικό επαλήθευσης, τον οποίο στη συνέχεια εισάγει στο Signal.

Ενώ ο αντίκτυπος στο Signal και τους χρήστες του είναι περιορισμένος λόγω του τρόπου σχεδιασμού της υπηρεσίας, αυτή είναι μια προειδοποίηση για οποιαδήποτε πλατφόρμα ή υπηρεσία που θα μπορούσε να χειραγωγηθεί για τη μετάδοση διαπιστευτηρίων σε έναν εισβολέα.

Πρόστιμο 60 εκατομμυρίων δολαρίων στην Google LLC στην Αυστραλία δολάρια για παραπλάνηση των καταναλωτών σχετικά με τη συλλογή και χρήση των προσωπικών τους δεδομένων τοποθεσίας σε τηλέφωνα Android.

Άννα Κριστίν Λακόστ

Η Anne Christine Lacoste, συνεργάτιδα της δικηγορικής εταιρείας Olivier Weber Avocat, είναι δικηγόρος με εξειδίκευση στο δίκαιο δεδομένων. Διετέλεσε επικεφαλής διεθνών σχέσεων στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων. εργάστηκε για την εφαρμογή του ΓΚΠΔ στην Ευρωπαϊκή Ένωση.