Ένα ξεκίνημα του καλοκαιριού που σημαδεύτηκε από πρωτοφανείς κυρώσεις και νέα μέτρα στήριξης.

Legal Watch – Ιούλιος-Αύγουστος 2019.

Η έναρξη του καλοκαιριού συνοδεύεται από άνοδο της θερμοκρασίας, αλλά και από αύξηση των προστίμων για παραβίαση των κανόνων απορρήτου.

Συγκεκριμένα, η ICO, η βρετανική εποπτική αρχή, ανακοίνωσε την πρόθεσή της να επιβάλει δύο κυρώσεις («ειδοποίηση πρόθεσης επιβολής προστίμου») συνολικού ύψους άνω των 280 εκατομμυρίων λιρών, κατά του ξενοδοχειακού ομίλου Marriot International για ποσό ισοδύναμο με 111 εκατομμύρια ευρώ, και της British Airways για ποσό άνω των 200 εκατομμυρίων ευρώ.

Και στις δύο περιπτώσεις, οι παραβιάσεις του GDPR αφορούσαν παραβιάσεις του νόμου περί παραβίασης δεδομένων (hacking), οι οποίες κατέστησαν δυνατές λόγω αστοχιών στην ασφάλεια δεδομένων και οι οποίες εξέθεσαν τα δεδομένα εκατοντάδων χιλιάδων πελατών.

Το ICO επέβαλε επίσης πρόστιμο 80 εκατομμυρίων λιρών σε έναν κτηματομεσίτη του Λονδίνου στις 19 Ιουλίου επειδή δεν κατάφερε να εξασφαλίσει περισσότερα από 18.000 αρχεία πελατών για δύο χρόνια.

Θα πρέπει να σημειωθεί ότι οι περισσότερες πρόσφατες κυρώσεις επικεντρώνονται σε παραβιάσεις ασφαλείας και παράνομη πρόσβαση εντός και εκτός εταιρειών.

Στην άλλη πλευρά του Ατλαντικού, η Ομοσπονδιακή Επιτροπή Εμπορίου των Ηνωμένων Πολιτειών διαπραγματεύτηκε μια εντολή διακανονισμού ύψους πέντε δισεκατομμυρίων δολαρίων με το Facebook για παραβίαση της ιδιωτικότητας των χρηστών του Διαδικτύου.

Αυτό το πρόστιμο είναι πρωτοφανές στην ιστορία της FTC και παραμένει ένα από τα υψηλότερα που έχουν επιβληθεί ποτέ από το αμερικανικό κράτος.

Ωστόσο, παραμένει σχετικό σε σύγκριση με τα ετήσια έσοδα του Facebook, τα οποία ανέρχονται σε 55,8 δισεκατομμύρια δολάρια. Στο δελτίο τύπου της 24ης Ιουλίου, η FTC αναλύει τους λόγους της ενέργειάς της, οι οποίοι σχετίζονται με τη μη συμμόρφωση με τις εντολές προστασίας δεδομένων του 2012.

Εκτός από αυτό το πρόστιμο, η εταιρεία αναγκάζεται να αναδιαρθρώσει το μοντέλο προστασίας δεδομένων της, συμπεριλαμβανομένης μιας πιο ανεξάρτητης επιτροπής εποπτείας από τον Διευθύνοντα Σύμβουλό της, και αυστηρότερων κανόνων για τη διαχείριση εφαρμογών τρίτων και δεδομένων χρηστών, ιδίως όσον αφορά την αναγνώριση προσώπου, τη διαχείριση κωδικών πρόσβασης και την κρυπτογράφηση δεδομένων.

Ενώ οι εποπτικές αρχές κάνουν ολοένα και μεγαλύτερη χρήση των ελεγκτικών τους εξουσιών, διασφαλίζουν επίσης ότι οι πρακτικές των εταιρειών καθοδηγούνται από το νομικό πλαίσιο.

Έτσι, η CNIL ανακοίνωσε στις 18 Ιουλίου τους κανόνες που ισχύουν για τα cookies, αυτούς τους ιχνηλάτες που εγκαθίστανται στα τερματικά των χρηστών και οι οποίοι επιτρέπουν ιδίως τη στόχευση διαφημίσεων.

Η CNIL ενημερώνει τις απαραίτητες απαιτήσεις για την απόκτηση συγκατάθεσης από τους χρήστες του Διαδικτύου: αυτή η συγκατάθεση δεν μπορεί πλέον να είναι έμμεση και πρέπει να προκύπτει από σαφή ενέργεια του ατόμου.

Απαγορεύονται τα τείχη των cookies, τα οποία εμποδίζουν την πρόσβαση σε έναν ιστότοπο εάν δεν αποδέχεστε τα cookies.

Αυτή η ερμηνεία της εγκυρότητας της συγκατάθεσης είχε ήδη διευκρινιστεί από την Ευρωπαϊκή Επιτροπή Προστασίας Δεδομένων σε δελτίο τύπου του Μαΐου 2018.

Αυτό επιβεβαιώνεται από τη διατύπωση του ΓΚΠΔ και θα πρέπει να εξηγηθεί περαιτέρω στον μελλοντικό κανονισμό «ιδιωτικότητα και ηλεκτρονικές επικοινωνίες», ο οποίος θα αντικαταστήσει την οδηγία 2002/58/ΕΚ «ηλεκτρονική προστασία προσωπικών δεδομένων».

Μια νέα σύσταση της CNIL θα διευκρινίσει τις πρακτικές ρυθμίσεις για την απόκτηση συγκατάθεσης και θα δοθεί στις εταιρείες μια εξάμηνη περίοδος προσαρμογής για να τους επιτραπεί να συμμορφωθούν με τον νόμο.

Και επίσης:

Στην Ευρώπη:

Στις 24 Ιουλίου, η Ευρωπαϊκή Επιτροπή δημοσίευσε μια έκθεση στην οποία έκανε απολογισμό, ένα χρόνο αργότερα, της εφαρμογής του ΓΚΠΔ.

Προσδιορίζει τις δράσεις που εφαρμόζονται από τις εποπτικές αρχές, την ενίσχυση της συνεργασίας τους, καθώς και τις προσπάθειες συμμόρφωσης του ιδιωτικού τομέα.

Η Επιτροπή ανακοινώνει την πρόθεσή της να υποστηρίξει αυτές τις προσπάθειες με διάφορα εργαλεία, όπως τυποποιημένες συμβατικές ρήτρες, κώδικες δεοντολογίας και μηχανισμούς πιστοποίησης, με ιδιαίτερη έμφαση στις ΜΜΕ.

Από διεθνή άποψη, η Νότια Κορέα θα μπορούσε να είναι η επόμενη χώρα που θα επωφεληθεί από ένα επαρκές επίπεδο προστασίας που θα διευκολύνει τις μεταφορές δεδομένων. Η Επιτροπή εξετάζει άλλα είδη πολυμερών συμφωνιών για τη διευκόλυνση της διεθνούς ανταλλαγής δεδομένων.

Στον κόσμο:

• ΗΝΩΜΕΝΕΣ ΠΟΛΙΤΕΙΕΣ:

Υπάρχουν εκκλήσεις στη Γερουσία των ΗΠΑ για την υιοθέτηση ενός ομοσπονδιακού νόμου για την προστασία δεδομένων.

Η νομοθεσία προς τούτο κατατέθηκε από τον γερουσιαστή Ρον Γουάιντεν τον Νοέμβριο του 2018.

Σε επίπεδο πολιτείας, η Καλιφόρνια είναι πρωτοπόρος: ο CCPA, ο Νόμος περί Προστασίας Προσωπικών Δεδομένων των Καταναλωτών της Καλιφόρνια, θα τεθεί σε ισχύ την 1η Ιανουαρίου 2020, αλλά επί του παρόντος υπόκειται σε τροποποιήσεις από τη Γερουσία των ΗΠΑ. Συχνά συγκρίνεται με τον ΓΚΠΔ, ειδικά όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων στην ενημέρωση και την αντίρρηση, διαφέρει ιδιαίτερα ως προς το πεδίο εφαρμογής του, το οποίο επικεντρώνεται στην προστασία των καταναλωτών.

Ασία:

Μια σειρά εκδηλώσεων σχετικά με την προστασία των προσωπικών δεδομένων πραγματοποιήθηκε στη Σιγκαπούρη κατά το πρώτο δεκαπενθήμερο του Ιουλίου, φέρνοντας σε επαφή επαγγελματίες του τομέα σε διαφορετικούς χώρους.

 Οι συζητήσεις στο Φόρουμ Ασίας-Ειρηνικού συνοψίστηκαν από την IAPP.

Δίνουν έμφαση στην εταιρική λογοδοσία και την εποπτεία από τις ρυθμιστικές αρχές.