GDPR: kohtupraktika muutub selgemaks!

GDPR: kohtupraktika muutub selgemaks! CNIL oli juba silma paistnud, määrates eelmise aasta jaanuaris Google'ile rekordilise 50 miljoni euro suuruse trahvi klientide teavitamata jätmise eest Androidi kasutamisel, trahvi, mille kinnitas juunis riiginõukogu.

Prantsuse andmekaitseamet määras täna Carrefour France'ile ja Carrefour Banque'ile vastavalt 2 250 000 ja 800 000 euro suurused trahvid.

Kuigi CNIL on pärast GDPR-i jõustumist juba võtnud arvukalt repressiivseid meetmeid, annab 18. novembri arutelu meile veidi rohkem teavet selle kohta, kuidas CNIL hindab seaduserikkumisi ja millised on selle otsuste põhjused.

Uurimise käivitajad

Üldiselt alustab CNIL uurimist kas pärast kaebuse või konkreetse aruande esitamist või omal algatusel osana oma järelevalvemissioonidest.

Viimasel juhul hõlmavad kontrollid laiemalt neid, kes vastutavad eelnevalt kindlaksmääratud sektori eest. 

Seega on CNIL oma 2020. aasta kontrollistrateegias määratlenud mitu prioriteeti, mida kontrollitakse põhjalikumalt: terviseandmed, kohalike teenuste geolokatsioon ning küpsised ja muud jälgimisvahendid.

Käesoleval juhul olid kaks ettevõtet, Carrefour France ja Carrefour Banque, uurimise objektiks pärast seda, kui CNIL-ile esitati ajavahemikus juuni 2018 kuni aprill 2019 15 kaebust.

Need kaebused puudutasid ärilise luure tavasid ning andmetele juurdepääsu ja nende kustutamise õiguste mittejärgimist.

CNIL viis ettevõtete ruumides läbi mitu veebikontrolli ja algatas ametliku uurimise 2019. aasta jaanuari lõpus.

Võistlusmenetlus andis alust mitmele märkuste vahetusele ettevõtte ja CNILi raportööri vahel, mille tulemusel toimus ametlik arutelu 18. novembril.

Otsuse põhjused

CNIL märgib ära mitmete GDPR-i artiklite rikkumisi:

• Kohustus teavitada üksikisikuid (GDPR artikkel 13)

Üksikisikutele antud teave nende andmete töötlemise kohta oli raskesti ligipääsetav, puudulik ja mattunud pikkadesse tekstidesse muudel teemadel.

CNIL kritiseerib liiga ebamääraste terminite kasutamist: selliste terminite peaaegu süstemaatiline kasutamine (...), näiteks "need ravimeetodid hõlmavad eelkõige ühte või mitut järgmist põhjust" Või "Teie andmeid võidakse kasutada" ei võimalda andmesubjektidel täielikult mõista teostatud töötlemist.

• Küpsised (andmekaitseseaduse artikkel 82)

Veebisaidile saabudes esitati igale külastajale 39 küpsist, enne kui neil oli isegi võimalus nendega nõustuda või neist keelduda.

Kolm neist küpsistest kuulusid Google Analyticsi lahendusele, mille eesmärk oli suunata reklaame internetikasutajatele.

Seega koguti Carrefour.fr veebisaidi külastajate andmeid andmekaitseseaduse artiklit 82 rikkudes.

Lisateabe saamiseks internetikasutajate jälgimise kohta avaldas CNIL oma suuniste värskenduse 1. oktoobril.

• Andmete säilitamise periood (GDPR-i artikkel 5.1.e)

CNIL leiab, et kliendiandmete säilitamise tähtaeg (4 aastat) on liiga pikk: klienti, kes pole ettevõttega mitu aastat kaubelnud, ei tohiks enam aktiivseks kliendiks pidada. 

Komisjon viitab oma doktriinile selles küsimuses, mis soovitab maksimaalselt kolmeaastast säilitusperioodi: see tsiteerib vana lihtsustatud standardit nr 48, mis käsitleb klientide ja potentsiaalsete klientide faile ning veebimüüki, ning oma hiljutist võrdlusraamistiku eelnõu, mis käsitleb isikuandmete töötlemist äritegevuse haldamise eesmärgil.

• Õiguste teostamine (GDPR artikkel 12)

Carrefour France'i rakendatud menetlus nõudis taotlejatelt isiku tõendamist olukordades, kus see polnud vajalik, kuna klientide isik oli kindlaks tehtud.

Lisaks ületas taotluste menetlemise aeg mitmel juhul seaduses sätestatud nõudeid.

• Õiguste austamine (isikuandmete kaitse üldmääruse artiklid 15, 17 ja 21 ning posti- ja elektroonilise side seadustiku paragrahv L34-5)

CNIL märkis mitmeid juhtumeid, kus kaebuse esitajate juurdepääsu-, vastuväidete ja andmete kustutamise taotlustele ei vastatud.

• Kohustus andmeid õiglaselt töödelda (GDPR artikkel 5)

Teatud andmed (postiaadress, telefoninumber, laste arv), mis edastati Carrefouri krediitkaardi (Pass-kaardi) veebis registreerumisel, edastati Carrefouri lojaalsusprogrammi, mis on vastuolus asjaomastele isikutele esitatud teabega.

• Turvarikkumine (GDPR artikkel 32)

CNIL on lõpuks märganud haavatavust, mis võimaldab klientide arvetele veebipõhist juurdepääsu, ning rõhutab, et kehtestatud meede, nimelt juhuslike märkide jada lisamine, ei ole iseenesest sellise haavatavuse kõrvaldamiseks piisav.

CNIL juhib tähelepanu sellele, et ANSSI on selle URL-aadressidega seotud haavatavuse eest hoiatanud alates 2013. aastast.

Pärast haavatavuse avastamist oleks tulnud rakendada kohustuslikku eelautentimise süsteemi.

Nõuetele vastavuse tagamise jõupingutused ja asjakohased sanktsioonid

Ettevõtted tegid menetluse käigus CNIL-iga koostööd ja võtsid kõik vajalikud meetmed, et viia oma andmetöötlus seadusega kooskõlla.

Kuigi CNIL rõhutab seda koostööd, karistab ta siiski süüdlasi rikkumiste tõsiduse tõttu: need puudutavad tõsiseid puudujääke ja mõjutavad märkimisväärset hulka inimesi.

Siiski oleme veel kaugel maksimaalsest karistusest, mida CNIL oleks võinud määrata ja mis ulatub 4% käibe ulatuses. 

Selle käibe arvutamiseks, mis on trahvi aluse arvutamise aluseks, tuvastab CNIL kõigepealt asjaomase ettevõtte.

Ta leiab, et ettevõtja mõiste hindamiseks vastavalt ELi toimimise lepingu artiklitele 101 ja 102 on asjakohane võtta arvesse äriühingu CARREFOUR FRANCE ja tema omanduses olevate ning töötlemisest kasu saanud tütarettevõtete käivet. 

Selle ettevõtte käive (…) ulatus 2019. aastal seega 14,9 miljardi euroni.

CNIL-i piiratud koolitus võtab aga arvesse ka massjaotuse majandusmudeli eripära, mida iseloomustab eriti suur käive, kuid madal kasumimarginaal. 

Need elemendid viisid otsuseni määrata Carrefour France'ile 2 250 000 euro suurune ja Carrefour Banque'ile 800 000 euro suurune trahv.

Rikkumiste tõsidus õigustab ka otsuse avalikustamist ja on vahend paljude asjaomaste inimeste teavitamiseks.

Abinõud

CNIL-i otsus on haldusorgani akt, mille peale saab kahe kuu jooksul alates selle teatavakstegemisest edasi kaevata riiginõukogule. 

Ja ka

Prantsusmaa:

• CNIL-i korraldatud üritus 23. novembril andmete teisaldatavus on saadaval ametiasutuse veebisaidil.

• Omavalitsuste ja omavalitsustevaheliste ühenduste teadlikkuse tõstmiseks küberrünnakute – väga reaalsetest – ohtudest avaldab ANSSI küberturvalisuse küsimuste juhendSelle juhendi eesmärk on veenda valitud ametnikke investeerima oma infosüsteemide kaitse arendamisse.

Euroopa:

• Belgia andmekaitseamet sõlmis 26. novembril kokkuleppe vastastikuse mõistmise memorandum DNS Belgiumiga peatada GDPR-i rikkuvate saitide „.be” domeeninimed.

• Enne 8. jaanuari otsustab Euroopa KomisjonGoogle omandab FitBiti, mis tekitab küsimusi andmekaitse ja konkurentsi valdkonnas.

• Euroopa Komisjon avaldas oma tüüptingimuste eelnõu 12. novembril ning selle kohta sai nelja nädala jooksul kommentaare küsida.

Selle muudetud versiooni eesmärk on heastada nüüdseks kuulsa Schrems II otsuse tagajärgi ja võimaldada andmeedastus Ameerika Ühendriikidesse kooskõlas Euroopa õigusega.

Viitame ka Euroopa Andmekaitsekomitee 10. novembril samal teemal vastu võetud soovitustele.

• Uus Euroopa digitaalteenuste määrus peaks avaldatama detsembri alguses.

Komisjoni eesmärk on reguleerida "suurtehnoloogiat" võimaldades ka mikroettevõtetel/VKEdel oma teenuseid arendada, digitaalvaldkonnas tegutsejatele mõjuvõimu anda ja võidelda veebipõhise väärinfo vastu.

Rahvusvaheline:

• Kanada uut isikuandmete kaitse seadust on muudetud tõhusamaks, mille põhimõtete rikkumise eest on ette nähtud märkimisväärsed trahvid.

• Ameerika Ühendriigid: California privaatsusõiguste seadus („CPRA“) võeti vastu 3. novembril.

See uus tekst loob järelevalveasutuse, California privaatsuskaitseameti, millel on õigus määrata rahalisi karistusi.

See on esimene järelevalveasutus selles sektoris Ameerika Ühendriikides.

Anne Christine Lacoste

Olivier Weber Avocati partner Anne Christine Lacoste on andmeõigusele spetsialiseerunud jurist; ta oli Euroopa Andmekaitseinspektori rahvusvaheliste suhete juht ja tegeles GDPR-i rakendamisega Euroopa Liidus.