Αναλυτικά εργαλεία: ο αντίκτυπος μιας δικαστικής απόφασης – και των υπηρεσιών πληροφοριών – στους ιστότοπούς μας.

Νομική Παρακολούθηση Αρ. 44 – Φεβρουάριος 2022

Αναλυτικά εργαλεία: ο αντίκτυπος μιας δικαστικής απόφασης – και οι υπηρεσίες πληροφοριών – στους ιστότοπούς μαςΗ απόφαση «Schrems II» του Δικαστηρίου της Ευρωπαϊκής Ένωσης θεωρούνταν ήδη, κατά τη δημοσίευσή της τον Ιούλιο του 2020, μια σημαντική απόφαση στο πλαίσιο της προστασίας των προσωπικών δεδομένων και, πιο συγκεκριμένα, των διαβιβάσεων προς τις Ηνωμένες Πολιτείες.

Σήμερα, έχει ολοένα και πιο εκτεταμένες συνέπειες, μια λογική συνέπεια των ευρημάτων του Δικαστηρίου σχετικά με τους κινδύνους πρόσβασης των αμερικανικών υπηρεσιών πληροφοριών σε ευρωπαϊκά δεδομένα.

Αυτές οι συνέπειες επηρεάζουν πλέον εργαλεία που χρησιμοποιούνται συνήθως, όπως λύσεις μέτρησης κοινού και γραμματοσειρές Google.

Τον περασμένο μήνα αναφέραμε ήδη τις διαδοχικές αποφάσεις που έλαβαν οι αρχές προστασίας δεδομένων της Αυστρίας, της Ολλανδίας, της Νορβηγίας και της Γερμανίας, στις οποίες προστίθενται και αυτές της η CNIL και το Λιχτενστάιν.

Αυτές οι αποφάσεις λαμβάνονται μετά από καταγγελίες (101 συνολικά) που υπέβαλαν στις αρχές ο Max Schrems και η ένωσή του NOYB (Ευρωπαϊκό Κέντρο Ψηφιακών Δικαιωμάτων) με στόχο να διασφαλιστεί ότι η GAFAM συμμορφώνεται με την απόφαση του Δικαστηρίου.

Τα συμπεράσματα των αρχών έχουν ως εξής:

• Τα δεδομένα αναγνώρισης cookie και οι μη ανώνυμες διευθύνσεις IP, όπως χρησιμοποιούνται από την Google Analytics, αποτελούν προσωπικά δεδομένα.

Μπορούν επίσης να συνδυαστούν με άλλα αναγνωρίσιμα δεδομένα που κατέχονται από τρίτους (υπηρεσίες πληροφοριών).

• Το γεγονός το γεγονός ότι τα δεδομένα συλλέγονται μέσω ευρωπαϊκού ιστότοπου δεν είναι σχετικό με την αξιολόγηση του κινδύνου πρόσβασης από τρίτους : τι είναι, είναι η μεταφορά δεδομένων στις Ηνωμένες Πολιτείες

• Οι μεταφορές προς τις Ηνωμένες Πολιτείες επιτρέπονται μόνο εφόσον υπάρχουν οι κατάλληλες εγγυήσεις. πρέπει να ληφθούν μέτρα, επιπλέον των τυποποιημένων συμβατικών ρητρών για παράδειγμα, για την εξάλειψη του κινδύνου πρόσβασης τρίτων κυβερνητικών φορέων σε δεδομένα.

• Οι αρχές προστασίας δεδομένων έκριναν ότι η οι πρόσθετες εγγυήσεις που έλαβε η Google δεν ήταν αρκετές να αποκλειστεί η πιθανότητα πρόσβασης σε δεδομένα από τις αμερικανικές υπηρεσίες πληροφοριών.

Οι κυρώσεις επί του παρόντος συνίστανται κυρίως σε προειδοποιήσεις και εντολές για την παρεμπόδιση της χρήσης των ενοχοποιημένων εργαλείων από τους διαχειριστές ιστοσελίδων. Η CNIL αναφέρει ότι έχει κινήσει αρκετές διαδικασίες επίσημης ειδοποίησης σχετικά με αυτό.

Ενώ το Google Analytics χρησιμοποιείται ευρέως, ο αντίκτυπος αυτών των αποφάσεων δεν θα περιοριστεί σε αυτό: οι αρχές προστασίας δεδομένων επεκτείνουν την ανάλυσή τους «σε άλλα εργαλεία που χρησιμοποιούνται από ιστότοπους και τα οποία έχουν ως αποτέλεσμα τη μεταφορά δεδομένων από Ευρωπαίους χρήστες του Διαδικτύου στις Ηνωμένες Πολιτείες ".

Πολλοί Ευρωπαίοι φορείς εκμετάλλευσης, διαχειριστές εγκαταστάσεων στον δημόσιο ή τον ιδιωτικό τομέα, ανησυχούν, επομένως.

Γνωρίζουμε ότι η πρόληψη είναι καλύτερη από τη θεραπεία και, σε αυτήν την περίπτωση, θα πρέπει να στραφούμε – εφόσον υπάρχουν – σε εργαλεία που δεν συλλέγουν προσωπικά δεδομένα ούτε τα αποθηκεύουν σε τοπικούς διακομιστές.

Συνεπώς, η CNIL συνιστά τα εργαλεία να χρησιμοποιούνται μόνο για την παραγωγή ανώνυμων στατιστικών δεδομένων, κάτι που επιτρέπει επίσης εξαίρεση από την απαίτηση συγκατάθεσης του χρήστη.

Έχει ξεκινήσει μια διαδικασία αξιολόγησης υφιστάμενων λύσεων και δημοσιεύει στον ιστότοπό του λύσεις που πληρούν αυτές τις απαιτήσεις, όπως για παράδειγμα οι Matomo, Wysistat, Beyable ή Compass.

Ας επισημάνουμε ότι ακόμη και τα πιο χρήσιμα εργαλεία μπορούν μερικές φορές να διαμορφωθούν με διαφορετικούς τρόπους: Είναι ευθύνη του διαχειριστή του ιστότοπου να επαληθεύσει ότι η προεπιλεγμένη διαμόρφωση πληροί τις απαιτήσεις του νόμου..

Στο τρέχον πλαίσιο, ο περιορισμός της πρόσβασης σε δεδομένα σε τρίτους αποτελεί σε κάθε περίπτωση μια πρακτική που πρέπει να ενθαρρύνεται, ανεξάρτητα από το εάν οι κίνδυνοι πρόσβασης προέρχονται από την άλλη πλευρά του Ατλαντικού ή από αλλού.

Και επίσης

Γαλλία:

Η CNIL υποβάλλει σχέδιο θέσης για δημόσια διαβούλευση έως τις 11 Μαρτίου 2022, σχετικά με τις «έξυπνες» κάμερες. ή «επαυξημένα» σε δημόσιους χώρους.

Δημοσιεύει επίσης το νέο στρατηγικό του σχέδιο για την περίοδο 2022-2024., γύρω από τρεις άξονες προτεραιότητας για μια αξιόπιστη ψηφιακή κοινωνία: «προώθηση του σεβασμού των δικαιωμάτων, προώθηση του ΓΚΠΔ ως πλεονεκτήματος και στόχευση της ρύθμισης σε θέματα υψηλού διακυβεύματος».

Τα θέματα ελέγχου προτεραιότητας για το έτος 2022 είναι η εμπορική αναζήτηση νέων επενδυτών, το cloud και η παρακολούθηση της τηλεργασίας.

Η Γαλλία λανσάρει ένα εθνική εκστρατεία ευαισθητοποίησης για το έγκλημα στον κυβερνοχώρο, σε συνεργασία με τα μέσα ενημέρωσης, με στόχο την καθοδήγηση του κοινού προς λύσεις κυβερνοασφάλειας. 

Ευρώπη:

Στην ολομέλειά της στις 22 Φεβρουαρίου, η Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) εξέδωσε επιστολή σχετικά με τη Σύμβαση του Συμβουλίου της Ευρώπης για το Κυβερνοέγκλημα και το 2ο Πρόσθετο Πρωτόκολλό της, επιστολή στην οποία εκφράζει ανησυχία σχετικά με τις δυνατότητες τρίτων κυβερνήσεων να ζητούν απευθείας δεδομένα από ευρωπαίους παρόχους υπηρεσιών.

Δημοσίευσε επίσης κατευθυντήριες γραμμές σχετικά με τους κώδικες δεοντολογίας ως μέσα για τις διεθνείς μεταφορές δεδομένων, καθώς και μια επιστολή σχετικά με ζητήματα ευθύνης στο πλαίσιο της τεχνητής νοημοσύνης.

Στις 15 Φεβρουαρίου, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ξεκίνησε επίσης την πρώτη του συντονισμένη δράση επιβολής του νόμου σχετικά με τη χρήση του cloud από τον δημόσιο τομέα.

Η χρήση του cloud, η οποία έχει διπλασιαστεί σε έξι χρόνια στην ΕΕ, έχει σημειώσει περαιτέρω αύξηση κατά τη διάρκεια της πανδημίας, με επιπτώσεις στη συμμόρφωση με τους ευρωπαϊκούς νομικούς κανόνες. Είκοσι δύο αρχές προστασίας δεδομένων, συμπεριλαμβανομένης της CNIL, θα στείλουν ερωτηματολόγια σε 75 δημόσιες αρχές για να επαληθεύσουν τη συμμόρφωση με τον GDPR και, εάν χρειαστεί, να ξεκινήσουν επίσημους ελέγχους.

Η CISPE, ο οργανισμός παρόχων υπηρεσιών υποδομής cloud, ανακοίνωσε την έγκριση του κώδικα δεοντολογίας προστασίας δεδομένων από την EDPB..

Αρκετές εταιρείες το έχουν ήδη υπογράψει, συμπεριλαμβανομένων των Aruba, Amazon Web Services, Elogic, Leaseweb, Outscale και OVHCloud.

Ο κώδικας προβλέπει ιδίως τη δυνατότητα στους χρήστες να επιλέξουν την αποθήκευση δεδομένων στον Ευρωπαϊκό Οικονομικό Χώρο.

Οι ΜΚΟ ενδέχεται επίσης να υπόκεινται σε ελέγχους: Η Βελγική Αρχή Προστασίας Δεδομένων επέβαλε δύο κυρώσεις κατά της ΜΚΟ EU DisinfoLab και ενός από τους ερευνητές της, μετά από παραπομπή στην CNIL. Οι παραβιάσεις του GDPR που εντοπίστηκαν σχετίζονται με τη μαζική συλλογή δεδομένων στο πλαίσιο μελέτης που αποσκοπεί στον εντοπισμό των πολιτικών πεποιθήσεων ατόμων που δημοσίευσαν tweets σχετικά με την «υπόθεση Benalla».

Σε μια σημαντική απόφαση, η βελγική αρχή προστασίας δεδομένων επέβαλε επίσης πρόστιμο 250.000 ευρώ στο Ευρωπαϊκό Γραφείο Διαδραστικής Διαφήμισης (IAB Europe). για παραβίαση των αρχών της νομιμότητας, της αφοσίωσης και της διαφάνειας, έλλειψη τεχνικών και οργανωτικών μέτρων προστασίας δεδομένων, έλλειψη μητρώου, ανάλυσης επιπτώσεων και διορισμού ΥΠΔ. Πίσω από αυτόν τον κατάλογο αδικημάτων, βρίσκεται η αρχή της «πλειστηριασμού σε πραγματικό χρόνο» (η δημοπρασία δεδομένων χρηστών του Διαδικτύου μέσω πλατφορμών διαχείρισης συναίνεσης – CMPs), η οποία τιμωρείται δεδομένης της πλήρους αδιαφάνειάς της για τα εμπλεκόμενα πρόσωπα.

Η ιταλική αρχή προστασίας δεδομένων έχει επιβάλει κυρώσεις σε ιδιωτικό σύλλογο έως και 2.000 ευρώ επειδή έστρεψε τις κάμερες παρακολούθησης προς τον δημόσιο δρόμο, χωρίς σαφή σήμανση, κατά παράβαση των άρθρων 5(1)(α), 5(1)(γ) και 13 του ΓΚΠΔ. 

Στην Ολλανδία, το Περιφερειακό Δικαστήριο της Χάγης επέβαλε κυρώσεις σε έναν εργοδότη που ηχογράφησε κρυφά την τηλεφωνική συνομιλία του υπαλλήλου του.Για το δικαστήριο, η υποψία ότι ένας υπάλληλος επικοινωνεί με τους πελάτες του για να δημιουργήσει τη δική του επιχείρηση δεν αρκεί για να νομιμοποιήσει την μυστική καταγραφή των κλήσεων.

Επίσης, στην Ολλανδία, η Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο 525.000,00 ευρώ σε μια εταιρεία μέσων ενημέρωσης: Το τελευταίο ζήτησε από άτομα που ασκούν το δικαίωμα πρόσβασης στα δεδομένα τους αντίγραφο της ταυτότητάς τους, αίτημα που θεωρήθηκε αδικαιολόγητο και παραβίαζε το άρθρο 12(2) του ΓΚΠΔ.

Η Ισπανική Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο 200.000 ευρώ κατά της Ισπανικής Ποδοσφαιρικής Ομοσπονδίας για κοινοποίηση της ηχογράφησης μιας βιντεοδιάσκεψης στο Zoom, χωρίς προηγούμενη ενημέρωση ή συγκατάθεση των συμμετεχόντων. 

Επίσης στην Ισπανία, στις οδικές μεταφορές της Amazon επιβλήθηκε πρόστιμο 2.000.000,00 €. για την παράνομη συλλογή πληροφοριών ποινικού μητρώου στο πλαίσιο της διαδικασίας πρόσληψής τους.

Διεθνές:

Η Διεθνής Επιτροπή του Ερυθρού Σταυρού μόλις έπεσε θύμα μιας εξαιρετικά εξελιγμένης κυβερνοεπίθεσης με δυνητικά σημαντικές συνέπειες. δεδομένης της ευαισθησίας των δεδομένων που επεξεργάζεται ο οργανισμός. Ο ιστότοπος παρέχει ενδεικτικές πληροφορίες για το κοινό από τις 16 Φεβρουαρίου, εξηγώντας τις συνθήκες της επίθεσης, τους πιθανούς κινδύνους και τα μέτρα που ελήφθησαν για τον μετριασμό αυτών των κινδύνων.

Άννα Κριστίν Λακόστ

Η Anne Christine Lacoste, συνεργάτιδα της Olivier Weber Avocat, είναι δικηγόρος με εξειδίκευση στο δίκαιο των δεδομένων. Διετέλεσε επικεφαλής διεθνών σχέσεων στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εργάστηκε για την εφαρμογή του GDPR στην Ευρωπαϊκή Ένωση.