Analüütilised tööriistad: kohtuotsuse – ja luureteenistuste – mõju meie veebisaitidele.

Õiguslik valve nr 44 – Veebruar 2022

Analüütilised tööriistad: kohtuotsuse – ja luureteenistuste – mõju meie veebisaitideleEuroopa Liidu Kohtu otsust „Schrems II“ peeti juba selle avaldamise ajal 2020. aasta juulis isikuandmete kaitse ja täpsemalt Ameerika Ühendriikidesse edastamise kontekstis oluliseks otsuseks.

Tänapäeval on sellel üha ulatuslikumad tagajärjed, mis on loogiline tagajärg kohtu järeldustele Ameerika luure Euroopa andmetele juurdepääsu ohtude kohta.

Need tagajärjed mõjutavad nüüd üldkasutatavaid tööriistu, nagu publiku mõõtmise lahendused ja Google'i fondid.

Eelmisel kuul mainisime juba Austria, Madalmaade, Norra ja Saksamaa andmekaitseasutuste tehtud astmelisi otsuseid, millele lisanduvad veel CNIL ja Liechtenstein.

Need otsused järgnevad kaebustele (kokku 101), mille Max Schrems ja tema ühendus NOYB (Euroopa Digitaalõiguste Keskus) esitasid ametivõimudele eesmärgiga tagada, et GAFAM järgiks Euroopa Kohtu otsust.

Ametivõimude järeldused on järgmised:

• Google Analyticsi poolt kasutatavad küpsiste identifitseerimisandmed ja mitte-anonümiseeritud IP-aadressid on isikuandmed.

Neid võidakse kombineerida ka muude tuvastatavate andmetega, mida hoiavad kolmandad isikud (luureteenistused).

• Fakt Asjaolu, et andmeid kogutakse Euroopa veebisaidi kaudu, ei ole kolmandate isikute juurdepääsuriski hindamisel asjakohane. : mis on andmete edastamine Ameerika Ühendriikidesse

• Andmete edastus Ameerika Ühendriikidesse on lubatud ainult tingimusel, et on kehtestatud asjakohased kaitsemeetmed. Lisaks näiteks tüüptingimustele tuleks võtta meetmeid, et välistada kolmandate isikute valitsuse juurdepääsu oht andmetele.

• Andmekaitseasutused leidsid, et Google'i antud lisagarantiidest ei piisanud välistada Ameerika luureteenistuste juurdepääs andmetele.

Praegused sanktsioonid koosnevad peamiselt hoiatustest ja korraldused süüdistatavate tööriistade kasutamise blokeerimiseks veebisaidi haldajate poolt. CNIL teatab, et on sellega seoses algatanud mitu ametlikku teavitusmenetlust.

Kuigi Google Analyticsi kasutatakse laialdaselt, ei piirdu nende otsuste mõju sellega: andmekaitseasutused laiendavad oma analüüsi "... muud saitide kasutatavad tööriistad, mille tulemusel edastatakse andmeid Euroopa internetikasutajatelt Ameerika Ühendriikidesse ".

Seetõttu on paljud Euroopa ettevõtjad, nii avaliku kui ka erasektori objektide haldajad, mures.

Me teame, et ennetamine on parem kui ravi, ja sel juhul peaksime pöörduma – kui need on olemas – tööriistade poole, mis ei kogu isikuandmeid ega salvesta neid kohalikesse serveritesse.

Seetõttu soovitab CNIL, et tööriistu kasutataks ainult anonüümsete statistiliste andmete saamiseks, mis võimaldab ka kasutaja nõusoleku nõudest vabastamist.

See on algatanud menetluse olemasolevate lahenduste hindamiseks ja avaldab oma veebisaidil lahendused, mis vastavad neile nõuetele, sealhulgas näiteks Matomo, Wysistat, Beyable või Compass.

Märgime ära, et isegi kõige tõhusamaid tööriistu saab mõnikord konfigureerida erinevalt: Saidi halduri kohustus on kontrollida, kas vaikekonfiguratsioon vastab seaduse nõuetele..

Praeguses kontekstis on kolmandatele isikutele andmetele ligipääsu piiramine igal juhul soovitatav praktika, olenemata sellest, kas juurdepääsuriskid tulenevad Atlandi ookeani tagant või mujalt.

Ja ka

Prantsusmaa:

CNIL esitab avalikuks konsultatsiooniks kuni 11. märtsini 2022 seisukoha kavandi „nutikaamerate” kohta. või avalikes kohtades „täiustatud“.

Samuti avaldab see oma uue strateegilise plaani aastateks 2022–2024....usaldatava digiühiskonna kolme prioriteetse suuna ümber: „õiguste austamise edendamine, isikuandmete kaitse üldmääruse kui eelise tutvustamine ja reguleerimise suunamine olulistele teemadele“.

Selle 2022. aasta prioriteetsed juhtimisteemad on äriline luure, pilveteenused ja kaugtöö jälgimine.

Prantsusmaa käivitab riiklik küberkuritegevuse teadlikkuse kampaaniakoostöös meediaga, mille eesmärk on suunata avalikkust küberturvalisuse lahenduste poole. 

Euroopa:

Oma plenaaristungil 22. veebruaril Euroopa Andmekaitsenõukogu (EDPB) on vastu võtnud kirja Euroopa Nõukogu küberkuritegevuse konventsiooni ja selle teise lisaprotokolli kohta, kiri milles ta väljendab muret kolmandate riikide valitsuste võimaluste pärast taotleda andmeid otse Euroopa teenusepakkujatelt.

Samuti avaldas see suunised käitumisjuhendite kohta rahvusvahelise andmeedastuse vahenditena ja kirja vastutusküsimuste kohta tehisintellekti kontekstis.

15. veebruaril algatas Euroopa Andmekaitsenõukogu ka oma esimese koordineeritud jõustamismeetme pilveteenuste kasutamise kohta avaliku sektori poolt.

Pilveteenuste kasutamine, mis on ELis kuue aastaga kahekordistunud, on pandeemia ajal veelgi kasvanud, millel on mõju Euroopa õigusnormide järgimisele. Kakskümmend kaks andmekaitseasutust, sealhulgas CNIL, saadavad 75 avaliku sektori asutusele küsimustikud, et kontrollida vastavust isikuandmete kaitse üldmäärusele ja algatada vajadusel ametlikke kontrolle.

Pilveinfrastruktuuri teenusepakkujate organisatsioon CISPE on teatanud oma andmekaitse käitumisjuhendi heakskiitmisest Euroopa Andmekaitsenõukogu (EDPB) poolt..

Mitmed ettevõtted on sellele juba alla kirjutanud, sealhulgas Aruba, Amazon Web Services, Elogic, Leaseweb, Outscale ja OVHCloud.

Eeskirjas on eelkõige sätestatud kasutajate võimalus valida andmete salvestamine Euroopa Majanduspiirkonnas.

Samuti võidakse kontrollida valitsusväliseid organisatsioone: Belgia andmekaitseamet on pärast CNIL-ile suunamist määranud kaks sanktsiooni vabaühenduse EU DisinfoLab ja ühe selle teadlase vastu. Tuvastatud isikuandmete kaitse üldmääruse (GDPR) rikkumised on seotud massilise andmete kogumisega uuringu raames, mille eesmärk oli tuvastada "Benalla afääri" kohta säutsu postitanud inimeste poliitilisi vaateid.

Olulise otsusega trahvis Belgia andmekaitseamet ka Euroopa Interaktiivse Reklaami Bürood (IAB Europe) 250 000 euroga. seaduslikkuse, lojaalsuse ja läbipaistvuse põhimõtete rikkumise, tehniliste ja korralduslike andmekaitsemeetmete puudumise, registri puudumise, mõjuanalüüsi puudumise ja andmekaitseametniku määramise eest. Nende rikkumiste loetelu taga on „reaalajas pakkumise“ põhimõte (internetikasutajate andmete enampakkumine nõusoleku haldamise platvormide – CMP-de – kaudu), mis on karistatav selle täieliku läbipaistmatuse tõttu asjaomaste isikute jaoks.

Itaalia andmekaitseamet on eraklubile sanktsioonid andnud. kuni 2000 eurot selle eest, et ettevõte suunas oma valvekaamerad avalikule maanteele ilma selgete siltideta, rikkudes GDPRi artikleid 5(1)(a), 5(1)(c) ja 13. 

Hollandis määras Haagi ringkonnakohus sanktsioonid tööandjale, kes salvestas salaja oma töötaja telefonivestlust.Kohtu jaoks ei piisa töötaja kahtlustamisest oma klientidega oma ettevõtte asutamiseks ühenduse võtmises, et kõnede salajast salvestamist õigustada.

Samuti Hollandis trahvis andmekaitseamet meediaettevõtet 525 000 euroga: Viimane palus oma andmetele juurdepääsu õigust kasutavatel inimestelt isikutunnistuse koopiat, mida peeti põhjendamatuks ja GDPR-i artikli 12 lõike 2 rikkumiseks.

Hispaania andmekaitseamet määras 200 000 euro suuruse trahvi Hispaania Jalgpalliliidu vastu videokonverentsi salvestuse jagamise eest Zoomi vahendusel ilma osalejate eelneva teavitamise või nõusolekuta. 

Samuti Hispaanias määrati Amazoni maanteetranspordile 2 000 000 euro suurune trahv. karistusregistri andmete ebaseadusliku kogumise eest osana nende värbamisprotsessist.

Rahvusvaheline:

Punase Risti Rahvusvaheline Komitee langes äsja ülimalt keeruka küberrünnaku ohvriks, millel võivad olla märkimisväärsed tagajärjed. arvestades organisatsiooni töödeldavate andmete tundlikkust. Veebisait pakub avalikkusele näitlikku teavet 16. veebruari seisuga, selgitades rünnaku asjaolusid, võimalikke riske ja nende riskide leevendamiseks võetud meetmeid.

Anne Christine Lacoste

Olivier Weber Avocati partner Anne Christine Lacoste on andmeõigusele spetsialiseerunud jurist; ta oli Euroopa Andmekaitseinspektori rahvusvaheliste suhete juht ja tegeles GDPR-i rakendamisega Euroopa Liidus.