Μερικές φορές είμαστε πιο υπεύθυνοι από όσο νομίζουμε... ή από όσο θέλουμε να είμαστε.

Legal Watch – Σεπτέμβριος 2019.

Αυτό συμβαίνει όταν εγκαθιστάτε ένα απλό πρόσθετο (plug-in) στον ιστότοπό σας, ακόμη και αν δεν έχετε πρόσβαση στα δεδομένα που συλλέγονται μέσω αυτού του τρόπου.

Μια πρόσφατη απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης, γνωστή ως «Fashion ID», επιβεβαιώνει αυτήν την παρατήρηση διευκρινίζοντας την ευθύνη των διαχειριστών ιστοσελίδων που εισάγουν ένα εικονίδιο «μου αρέσει» του Facebook στη σελίδα τους.

Η εισαγωγή αυτού του απλού πρόσθετου (plug-in) μπορεί επομένως να έχει ως αποτέλεσμα να καταστεί ο διαχειριστής του ιστότοπου συνυπεύθυνος για την επεξεργασία με το κοινωνικό δίκτυο που συλλέγει αυτά τα δεδομένα.

Από τεχνικής άποψης, η απλή εισαγωγή ενός πρόσθετου (plug-in) σε μια ιστοσελίδα επιτρέπει την αυτόματη κοινοποίηση των δεδομένων σύνδεσης των επισκεπτών αυτής της σελίδας στο σχετικό κοινωνικό δίκτυο, ανεξάρτητα από το αν οι επισκέπτες κάνουν κλικ στο εικονίδιο του πρόσθετου. Σε αυτήν την περίπτωση, τα δεδομένα των επισκεπτών του ιστότοπου Fashion ID, ενός γερμανικού διαδικτυακού λιανοπωλητή ρούχων μόδας, διαβιβάζονταν συστηματικά στο Facebook. Αυτό συμβαίνει στην πραγματικότητα με πολλούς ιστότοπους σήμερα, είτε πρόκειται για διαδικτυακές πωλήσεις, ιστότοπους ειδήσεων είτε για ιστολόγια. Και η συλλογιστική που στοχεύει το Facebook σε αυτήν την περίπτωση μπορεί να επεκταθεί σε οποιοδήποτε κοινωνικό δίκτυο ή άλλη οντότητα που χρησιμοποιεί την ίδια τεχνολογία.

Το Δικαστήριο διευκρίνισε ότι το γεγονός ότι ο διαχειριστής του ιστότοπου δεν έχει πρόσβαση στα δεδομένα που διαβιβάζονται κατ' αυτόν τον τρόπο δεν μειώνει την ευθύνη του. Το γεγονός ότι καθορίζει, από κοινού με το Facebook, τους σκοπούς και τα μέσα της επεξεργασίας παραμένει ο καθοριστικός παράγοντας. Το Δικαστήριο συνάγει την πιθανή κοινή ευθύνη του ιστότοπου και του Facebook από τα αμοιβαία οικονομικά οφέλη που αποκομίζουν από αυτή τη συνεργασία: για το Facebook, τον εμπλουτισμό της βάσης δεδομένων του και για τον διαχειριστή του ιστότοπου, τη βελτιστοποίηση της διαφήμισης των προϊόντων του στο κοινωνικό δίκτυο Facebook μόλις ένας επισκέπτης κάνει κλικ στο εικονίδιο «μου αρέσει».

Το Δικαστήριο διευκρινίζει ότι οι νομικές ευθύνες και υποχρεώσεις ποικίλλουν ανάλογα με τις διαφορετικές πτυχές της επεξεργασίας: στην προκειμένη περίπτωση, η Fashion ID δεν μπορεί να θεωρηθεί υπεύθυνη για τον τρόπο με τον οποίο το Facebook επεξεργάζεται στη συνέχεια τα δεδομένα. Το Facebook πρέπει επίσης να παρέχει μια συγκεκριμένη νομική βάση για αυτήν την επεξεργασία. Ωστόσο, ο διαχειριστής του ιστότοπου υποχρεούται να ενημερώνει και να λαμβάνει τη συγκατάθεση των επισκεπτών του ξεχωριστά σχετικά με τη συλλογή και τη διαβίβαση αυτών των δεδομένων στο κοινωνικό δίκτυο.

Από αυτή τη σημαντική απόφαση μπορούν να αντληθούν πολλά διδάγματα. Συνεπώς, συνιστάται:

• Ελέγχετε συστηματικά τους όρους χρήσης των plug-ins στον ιστότοπό σας και τις πιθανές συνθήκες διαβίβασης δεδομένων σε τρίτους,
• Ελέγξτε τις ρήτρες ευθύνης στις συμβάσεις με αυτά τα τρίτα μέρη.
• Ενημερώστε τους επισκέπτες συγκεκριμένα σχετικά με αυτήν τη συλλογή και λάβετε τη δική τους ξεχωριστή συγκατάθεση.

Αυτές οι προφυλάξεις καθίστανται ακόμη πιο σημαντικές, δεδομένου ότι η CNIL διευκρίνισε πρόσφατα τις αυστηρές προϋποθέσεις για την απόκτηση συγκατάθεσης όσον αφορά τη στόχευση της διαδικτυακής διαφήμισης και ανακοίνωσε ότι θα επικεντρώσει τις δραστηριότητες παρακολούθησης το 2019 σε ζητήματα κατανομής ευθυνών μεταξύ των διαφόρων μερών που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα. 

Αυτά τα ζητήματα αντιμετωπίζονται επίσης σε ευρωπαϊκό επίπεδο. Το EDPB, το οποίο συγκεντρώνει τις αρχές προστασίας δεδομένων της Ευρωπαϊκής Ένωσης (CNIL), έχει ξεκινήσει συζητήσεις με τη συμμετοχή διαφόρων τομεακών οργανισμών για την ενημέρωση της γνωμοδότησης αναφοράς των εποπτικών αρχών σχετικά με τον προσδιορισμό και τον ρόλο των υπευθύνων επεξεργασίας, των από κοινού υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία.

Και επίσης:

• στην Ευρώπη:

Brexit:

Ποιες θα ήταν οι προϋποθέσεις για τις μεταφορές δεδομένων προς το Ηνωμένο Βασίλειο σε περίπτωση που η χώρα αποχωρήσει από την Ευρωπαϊκή Ένωση χωρίς συμφωνία; Το EDPB δημοσίευσε ένα σημείωμα στις αρχές του 2019 που περιέγραφε λεπτομερώς τους όρους και τις διάφορες ισχύουσες νομικές βάσεις. Η βρετανική αρχή προστασίας δεδομένων απαντά επίσης σε πολλές ερωτήσεις στον επίσημο ιστότοπό της.

Βιομετρικά στοιχεία:

Η Σουηδική Αρχή Προστασίας Δεδομένων εξέδωσε την πρώτη της κύρωση βάσει του ΓΚΠΔ στις 21 Αυγούστου. Επιβλήθηκε πρόστιμο 20.000 ευρώ σε ένα σχολείο για την εφαρμογή συστήματος αναγνώρισης προσώπου για μαθητές κατά παράβαση αρκετών αρχών του ΓΚΠΔ: μη έγκυρη συγκατάθεση, ευαίσθητα βιομετρικά δεδομένα, έλλειψη προηγούμενης εκτίμησης επιπτώσεων και μη διαβούλευση με την αρχή προστασίας δεδομένων.

Cloud και προστασία δεδομένων:

Η προοπτική ενός ευρωπαϊκού cloud με εναρμονισμένους κανόνες πλησιάζει. Στις 29 Αυγούστου, πραγματοποιήθηκε στη Χάγη η πρώτη συνάντηση ενδιαφερόμενων μερών του δημόσιου και του ιδιωτικού τομέα, σε ευρωπαϊκό και διεθνές επίπεδο.

• στον κόσμο:

Ηλεκτρονικά αποδεικτικά στοιχεία:

Οι όροι υπό τους οποίους οι δικαστικές αρχές μπορούν να έχουν πρόσβαση σε ηλεκτρονικά αποδεικτικά στοιχεία («e-evidence») που κατέχουν εταιρείες αποτελούν αντικείμενο εξελίξεων στην Ευρώπη και διεθνώς. Στόχος είναι η εναρμόνιση αυτών των κανόνων στην Ευρώπη, αλλά και η επίτευξη συμφωνίας με τις Ηνωμένες Πολιτείες σχετικά με τους όρους πρόσβασης σε αυτά τα δεδομένα, στο πλαίσιο της καταπολέμησης του εγκλήματος. Σύμφωνα με τον αμερικανικό «Νόμο περί Νέφους», οι Ηνωμένες Πολιτείες έχουν πρόσβαση στα δεδομένα αμερικανικών εταιρειών με έδρα την Ευρώπη από τον Μάρτιο του 2018. Στόχος είναι η επίτευξη συμφωνίας σχετικά με αυτούς τους όρους πρόσβασης και στις δύο πλευρές του Ατλαντικού, σύμφωνα με τους κανόνες προστασίας δεδομένων.

Πρότυπο ISO:

Το νέο πρότυπο ISO/IEC/27701 δημοσιεύθηκε στις αρχές Αυγούστου. Αποτελεί επέκταση των προτύπων ISO/IEC 27001 και ISO/IEC 27002 για την κάλυψη της διαχείρισης απορρήτου και λαμβάνει επίσης υπόψη τις απαιτήσεις του ΓΚΠΔ.

1 Η απόφαση εφαρμόζει την οδηγία 95/46/ΕΚ, η οποία καταργήθηκε έκτοτε με τον κανονισμό (ΕΕ) 2016/679 ή τον ΓΚΠΔ. Ωστόσο, οι διατάξεις σχετικά με τη (συν)ευθύνη παρέμειναν ίδιες στον νέο κανονισμό.