Õiguslikud meetmed: uus dünaamika kollektiivhagides?

Õiguslik valve nr 53 – November 2022

Õiguslikud meetmed: uus dünaamika kollektiivhagides? Isikuandmete kaitse küsimustes on õiguskaitsevahendid Prantsusmaal ja Euroopas endiselt haruldased.

Kuigi ajakirjandus kajastab regulaarselt tehnoloogiahiiglaste vastaseid sanktsioone, on need sanktsioonid peamiselt järelevalveasutuste töö.

Eelkõige on kahjutasu sageli raske hinnata privaatsuse rikkumise juhtumites, arvestades kohtumenetluse kulusid.

Olukord võib peagi muutuda, kui esindushagisid käsitlev direktiiv (EL) 2020/1828 võetakse üle riiklikul tasandil.

Liikmesriikidel on selle direktiivi järgimiseks aega selle aasta 25. detsembrini, mille eesmärk on kaitsta tarbijate kollektiivseid huve.

Prantsusmaal on juba olemas kollektiivhagid ja nende ulatus on järk-järgult laienenud. Kollektiivhagid on eksisteerinud alates 17. märtsi 2014. aasta tarbijakaitse seadusest.

Seda laiendati järk-järgult erinevatele valdkondadele, sealhulgas isikuandmetele, 18. novembri 2016. aasta seadusega, mis lõi andmekaitseseadusesse uue artikli 43ter.

Tekst piirab siiski õigust esitada kollektiivhagi heakskiidetud tarbijakaitseühingutele, üle viie aasta vanustele ühendustele, mille põhikirjaline eesmärk on privaatsuse kaitse, ja ametiühingutele, mis esindavad töötajaid või riigiteenistujaid.

See õigusraamistik ei võimaldanud asjaomastele isikutele kahju hüvitamist.

See on nüüd võimalik alates 20. juuni 2018. aasta seadusest, mis kohandab andmekaitseseadust isikuandmete kaitse üldmäärusega.

Kollektiivhagi võimaldab nüüd kohtus hüvitada materiaalset ja moraalset kahju.

Samuti lubab isikuandmete kaitse üldmäärus sellist õiguskaitset saada, volitades asutusi, organisatsioone või ühendusi esitama nende nimel kaebuse järelevalveasutusele.

Seega pole Prantsusmaa esindushagide osas täna kõige halvemas seisus, nagu näitavad näiteks selliste organisatsioonide nagu La Quadrature du Net hagid, mis on andmekaitse valdkonnas väga aktiivne.

Teised riigid lähevad aga kaugemale.

Prantsusmaal põhineb kollektiivhagi nn vabatahtlikul hagi esitamisel. ja hõlmab ainult neid isikuid, kes menetlusega sõnaselgelt ühinevad, erinevalt „kollektiivhagist“, mis a priori hõlmab kõiki kannatanu profiilile vastavaid isikuid ja annab neile võimaluse menetlusest loobuda. Sellisel juhul räägime „loobumisest“.

Kuigi need kaks menetlusliiki on Euroopas veel suhteliselt haruldased, on kollektiivhagi nn loobumismenetluse tähenduses veelgi haruldasem.

Holland lubab mõlemat tüüpi apellatsioonkaebusi.

Viimase kahe aasta jooksul on seal loodud mitu sihtasutust, mille eesmärk on esitada kollektiivhagisid.

Need sihtasutused on näiteks rünnanud Apple'i ja Google'i konkurentsivastast käitumist, TikToki, Salesforce'i ja Oracle'i ning Airbusi ja Airbnb andmekogumistavasid.

Asjaolu, et esindusorganisatsioon saab nõuda kahjutasu terve hagejate rühma eest, välja arvatud juhul, kui nad sellest loobuvad, muudab oluliselt andmekaitsealaste kollektiivhagide mängu, kus individuaalsed kahjutasud on üldiselt väikesed.

Selliste hagide majanduslik tasuvus on teinud Hollandist Euroopa juhtiva jurisdiktsiooni kollektiivhagide puhul.ja seda tüüpi organisatsioonide kolmandate osapoolte rahastamine on suurenenud.

Täna kaevatakse Hollandis Twitterit kohtusse oma kasutajate jälgimise eest.

Sama kehtib ka teiste populaarsete rakenduste, sealhulgas Shazami ja Vintedi, aga ka tundlikumate rakenduste, näiteks Grindri ja menstruaaltsükli jälgimise rakenduste kohta.

Euroopa direktiiv lubab ELi riikidel valida osalemis- või loobumismudeli, välja arvatud ettekirjutust taotleva hagi puhul, mis loogiliselt võttes näeb ette loobumisvõimaluse.

Tuleb märkida, et tekst annab organisatsioonidele võimaluse esitada piiriüleseid hagisid ja valida mitme jurisdiktsiooni vahel. Hagi võib esitada liikmesriigis, kus on kostjaks oleva äriühingu registreeritud asukoht, aga ka mis tahes liikmesriigis, kus tal on filiaal, ja kannatanu elukohariigis.

Seetõttu peab Prantsusmaa valmistuma üleeuroopaliste apellatsioonidega tegelemiseks.

Samuti peab see oma õigusraamistikku kohandama vastavalt "kaotaja maksab" põhimõte advokaaditasude ja menetluskulude osas ning ette näha avastamisprotseduur, nagu see kehtib tavaõiguse riikides ja mis lubab kohtuniku põhjendatud otsusega esitada vaidluse seisukohast kasulikke dokumente (näiteks kannatanud poolte isikut tõendavaid dokumente).

Kuigi direktiivi kohaldamise tingimused selguvad lähikuudel, tundub juba praegu kindel, et see mõjutab esindushagide arvu Euroopas.

Hea oleks selleks valmistuda ja Prantsusmaal selle ülevõtmist tähelepanelikult jälgida.

Ja ka

Prantsusmaa:

CNIL trahvis DISCORD INC.-i 800 000 euroga. mitmete isikuandmete kaitse üldmääruse (GDPR) kohustuste täitmata jätmise eest, eelkõige seoses andmete säilitamise tähtaegade ja isikuandmete turvalisusega.

CNIL toob esile ka vaikimisi andmekaitse puudumise: kasutajaid ei teavitatud, et nende vestlusi saab ikkagi kuulda, kui nad arvavad, et on häälvestlusruumist lahkunud.

Lõpuks kritiseeriti ettevõtet selle eest, et ta ei teinud enne töötluste rakendamist mõjuanalüüsi.

Samuti avaldas komisjon 24. novembril tegevuskava, mille eesmärk on toetada mobiilirakenduste vastavust nõuetele ja kaitsta kasutajate privaatsust.

See kavatseb süvendada oma asjatundlikkust, toetada spetsialiste ja teavitada kodanikke, näiteks juhendite ja soovituste vormis.

Lõpuks viib see läbi sihipäraseid kontrolle ja vajadusel võtab repressiivseid meetmeid organisatsioonide vastu, kes oma kohustusi ei täida.

Pärast suurt hulka kaebusi on CNIL selgitanud tingimusi, mille alusel täiendava tervisekindlustuse organisatsioonid saavad terviseandmeid koguda.

See märgib, et kohaldatavad tekstid ei ole piisavalt täpsed ja soovitab seaduse vastuvõtmist.

1. jaanuar 2023 tähistab paberkviitungite lõppu.

See „raiskamisvastane“ meede tekitab küsimusi privaatsuse kaitse kohta, sest jaemüüjad saavad tuvastada kogu oma kliendibaasi, sealhulgas need, kellel pole kliendikaarti.

CNIL rõhutas oma valges raamatus, et kviitungi või elektroonilise makse saatmise eesmärgil kogutud e-posti aadressi ei saa kasutada ärilisel eesmärgil, kuna need kaks eesmärki on üsna erinevad.

Oluline on saada asjaomase isiku nõusolek või juhul, kui tegemist on ettevõtte pakutavate toodete või teenustega sarnaste toodete või teenuste uurimisega, teavitada teda andmete kogumise ajal eelnevalt eesmärkidest ja vastuväidete esitamise võimalusest.

Kassatsioonikohus leidis oma 7. novembri otsuses, et telefoni avakuva avamiskood võib kujutada endast „dekrüpteerimisvõtit“.

Kui on tõenäoline, et seda on kasutatud kuriteo või süüteo ettevalmistamisel või toimepanemisel, on selle omanik kohustatud andma uurijatele avakuva avamiskoodi.

Kui ta keeldub seda koodi edastamast, paneb ta toime kuriteo "salajase dekrüpteerimislepingu edastamisest keeldumine", mille eest karistatakse rahatrahvi ja vangistusega.

Euroopa:

16. novembril 2022 jõustus digiteenuste määrus (DSA).

See määrus annab digiplatvormidele uusi kohustusi, et piirata ebaseadusliku sisu ja toodete levitamist, suurendada alaealiste kaitset ning anda kasutajatele rohkem valikuvõimalusi ja paremat teavet.

Euroopa Andmekaitsenõukogu (EDPB) on avaldanud oma soovitused andmetöötlejate siduvate kontsernisiseste eeskirjade (BCR) kinnitamismenetluse ja elementide kohta.

Dokument on avalikuks aruteluks avatud kuni 10. jaanuarini 2023.

Euroopa Andmekaitseinspektor (EDPS) on avaldanud oma arvamuse küberturvalisuse määruse ettepaneku kohta.

Teksti eesmärk on määratleda kogu ELi hõlmavad küberturvalisuse nõuded paljudele riist- ja tarkvaratoodetele, nagu brauserid, operatsioonisüsteemid, tulemüürid, võrguhaldussüsteemid, nutikad arvestid või ruuterid.

Euroopa andmekaitseinspektor soovitab käesolevasse teksti integreerida nii lõimitud kui ka vaikimisi andmekaitse põhimõtted.

Ta rõhutas ka, et Euroopa küberturvalisuse sertifikaat ei saa asendada GDPR-i sertifikaati.

Euroopa andmekaitseinspektor kommenteeris ka meediateenuste ühise raamistiku kehtestamise määruse ettepanekut: Oma 14. novembri arvamuses rõhutab ta ajakirjanike, nende allikate ja meediateenuste osutajate kaitsmiseks kavandatud meetmete ebapiisavust.

See soovitab selgitada, et iga ajakirjanik saaks sellest kaitsest kasu, ning kutsub üles veelgi kitsendama erandeid, mis lubavad side pealtkuulamist nuhkvara või muude jälgimisvormide abil.

Pärast kaheaastast läbirääkimist Microsoftiga on Saksamaa föderaalse andmekaitseameti ja 16 liidumaa regulaatori ühiskomitee avaldanud avalduse, millel on tõenäoliselt kaugeleulatuvad tagajärjed: andmetöötlejad ei saa praegu GDPR-i alusel seaduslikult MS365-t kasutada.

Hollandi andmekaitseamet andis 14. novembril oma valitsusele hoiatuse, milles heidutas seda Ameerika pilveteenuste kasutamisest. Ta kutsub valitsust üles kasutama Euroopa alternatiive.

Ungari andmekaitseamet (DPA) andis ilmaennustuste veebisaidi operaatorile korralduse lõpetada andmete edastamine Google'i kaudu Ameerika Ühendriikidesse.

Andmekaitseamet (DPA) leidis, et veebisaidi operaator kasutas Google Analyticsi ilma piisavaid kaitsemeetmeid rakendamata andmete edastamiseks Ameerika Ühendriikidesse.

17. novembril juhtis Iirimaa Kodanikuvabaduste Nõukogu Euroopa Komisjonile saadetud kirjas tähelepanu sellele, et Meta rikub isikuandmete kaitse üldmäärust ega saa järgida digitaalsete turgude määrust (DMA).

ICCL viitab hiljuti Californias avalikuks tulnud kohtudokumentidele, mille kohaselt Meta ei vastanud teabenõudele 149 oma andmetöötlussüsteemi toimimise kohta, mis viitab sellele, et nende süsteemide toimimine ei olnud inimestele arusaadav.

Iiri andmekaitsekomisjon avaldas oma otsuse 25. novembril Facebooki andmete kraapimise uurimise käigus, mis puudutab enam kui 530 miljoni kasutaja isikuandmete kättesaadavust veebis.

Kõnealused põhimõtted puudutasid isikuandmete lõimitud ja vaikimisi andmekaitset, nagu on sätestatud isikuandmete kaitse üldmääruses.

Otsusega määratakse haldustrahvid kokku 265 miljoni euro ulatuses ja parandusmeetmed.

Meta seisab silmitsi veel kolme isikuandmete kaitse üldmääruse (GDPR) rikkumismenetlusega Euroopas.

Need puudutavad Facebooki, aga ka Instagrami ja WhatsAppi üldtingimusi.

Euroopa Andmekaitsenõukogu järeldused viimase kohta avaldatakse eeldatavasti 5. detsembril ja neid oodatakse pikisilmi. 

Need puudutavad sotsiaalmeedia kasutajatelt andmete kogumise õiguslikku alust.

Meta on muutnud seda õiguslikku alust nõusolekult lepingulise töötlemise vajaduseks, millel on õiguslikud tagajärjed, mis andmekaitseasutuste heakskiidu korral ulatuks käesoleva juhtumi kontekstist palju kaugemale.

Infovoliniku büroo avaldas 17. novembril oma rahvusvaheliste andmeedastuste suuniste värskenduse.

See värskendus sisaldab uut jaotist ülekanderiski hindamise (TRA) kohta ja tööriista vastutavatele töötlejatele.

Ühendkuningriik on sõlminud Koreaga isikuandmete edastamise lepingu, mis jõustub 19. detsembril.

Ettevõtte sõnul on nende leping „laiem“ kui ELi oma, võimaldades ettevõtetel edastada krediiditeabega seotud andmeid.

Rahvusvaheline:

Google on nõustunud maksma rekordilise 391,5 miljoni dollari suuruse kokkuleppe, mis on seotud privaatsusrikkumistega 40 USA osariigis.

Juhtum puudutab ettevõtte geograafilise asukoha määramise tavasid: peaprokuröride sõnul eksitati kasutajaid nende konto seadetes geograafilise asukoha deaktiveerimise tingimuste osas.

Euroopa andmekaitseasutused on hoiatanud, et kaks rakendust Ehteraz ja Hayya, mille Katari võimud riiki sisenemiseks kehtestasid, rikuvad ulatuslikult privaatsust. lubades ulatuslikku juurdepääsu kasutajaandmetele, sealhulgas asukohaandmetele ja kõneandmetele.

CNIL on soovitanud Katarisse reisijatel kasutada tühja või lähtestatud telefoni.

2020. aasta oktoobris loodud ülemaailmne privaatsuskontroll on nüüdseks tänu suuremate kirjastajate ja veebipõhiste nõusoleku haldamise platvormide poolt omaksvõtule üha enam kasutust leidnud.

GPC võimaldab kasutajatel brauseri tasandil ühe klõpsuga loobuda isikuandmete müügist, olgu see siis kõigil või mõnel veebisaidil.

Erinevalt loobumiskäitlejatest, mis laadivad sisu ja hakkavad andmeid koguma enne, kui kasutajal on võimalus loobuda, austab GPC kasutaja valikut enne saidi laadimist.

Anne Christine Lacoste

Olivier Weber Avocati partner Anne Christine Lacoste on andmeõigusele spetsialiseerunud jurist; ta oli Euroopa Andmekaitseinspektori rahvusvaheliste suhete juht ja tegeles GDPR-i rakendamisega Euroopa Liidus.