Analitički alati: utjecaj sudske odluke – i obavještajnih službi – na naše web stranice.

Pravni nadzor br. 44 – Veljača 2022.

Analitički alati: utjecaj sudske odluke – i obavještajnih službi – na naše web stranicePresuda Suda Europske unije u slučaju „Schrems II“ već se, u vrijeme objave u srpnju 2020., smatrala važnom presudom u kontekstu zaštite osobnih podataka, a posebno prijenosa podataka u Sjedinjene Američke Države.

Danas to ima sve dalekosežnije posljedice, što je logična posljedica nalaza Suda u vezi s rizicima pristupa američkih obavještajnih službi europskim podacima.

Ove posljedice sada utječu na često korištene alate poput rješenja za mjerenje publike i Google fontova.

Prošli mjesec već smo spomenuli kaskadne odluke koje su donijela tijela za zaštitu podataka Austrije, Nizozemske, Norveške i Njemačke, kojima se dodaju i one od CNIL i Lihtenštajn.

Ove odluke donesene su nakon pritužbi (ukupno 101) koje su vlastima podnijeli Max Schrems i njegova udruga NOYB (Europski centar za digitalna prava) s ciljem osiguranja da GAFAM poštuje presudu Suda pravde.

Zaključci vlasti su sljedeći:

• Podaci za identifikaciju kolačića i neanonimizirane IP adrese, kako ih koristi Google Analytics, osobni su podaci.

Također se mogu kombinirati s drugim podacima koji se mogu identificirati, a koje posjeduju treće strane (obavještajne službe).

• Činjenica činjenica da se podaci prikupljaju putem europske web stranice nije relevantna za procjenu rizika pristupa trećih strana što je, je prijenos podataka u Sjedinjene Države

• Prijenosi u Sjedinjene Američke Države dopušteni su samo pod uvjetom da su na snazi odgovarajuće zaštitne mjere. treba poduzeti, uz standardne ugovorne klauzule, na primjer, kako bi se uklonio rizik pristupa podataka od strane treće strane.

• Tijela za zaštitu podataka smatrala su da Dodatna jamstva koja je Google preuzeo nisu bila dovoljna isključiti mogućnost pristupa podacima američkim obavještajnim službama.

Sankcije se trenutno sastoje uglavnom od upozorenja i naredbe za blokiranje upotrebe inkriminiranih alata od strane upravitelja web stranica. CNIL izvještava da je u tom pogledu pokrenuo nekoliko postupaka formalne obavijesti.

Iako se Google Analytics široko koristi, utjecaj ovih odluka neće biti ograničen samo na to: tijela za zaštitu podataka proširuju svoju analizu "na ostali alati koje koriste web-stranice, a koji rezultiraju prijenosom podataka od europskih korisnika interneta u Sjedinjene Američke Države ".

Mnogi europski operateri, upravitelji lokacija u javnom ili privatnom sektoru, stoga su zabrinuti.

Znamo da je bolje spriječiti nego liječiti i u ovom slučaju trebali bismo se okrenuti – ako postoje – alatima koji ne prikupljaju osobne podatke niti ih pohranjuju na lokalnim poslužiteljima.

CNIL stoga preporučuje da se alati koriste samo za izradu anonimnih statističkih podataka, što također omogućuje izuzeće od privole korisnika.

Pokrenuta je procedura za procjenu postojećih rješenja i objavljuje na svojoj web stranici rješenja koja zadovoljavaju te zahtjeve, uključujući, na primjer, Matomo, Wysistat, Beyable ili Compass.

Istaknimo da se čak i najvrliji alati ponekad mogu konfigurirati na različite načine: Odgovornost je upravitelja lokacije provjeriti ispunjava li zadana konfiguracija zakonske zahtjeve..

U trenutnom kontekstu, ograničavanje podataka dostupnih trećim stranama u svakom je slučaju praksa koju treba poticati, bez obzira dolaze li rizici pristupa s druge strane Atlantika ili odnekud drugdje.

I također

Francuska:

CNIL podnosi nacrt stajališta za javnu raspravu do 11. ožujka 2022., u vezi s „pametnim“ kamerama. ili „proširene“ u javnim prostorima.

Također objavljuje svoj novi strateški plan za razdoblje 2022.-2024., oko tri prioritetne osi za pouzdano digitalno društvo: „promicanje poštovanja prava, promicanje GDPR-a kao prednosti i ciljanje regulacije na teme od visokog značaja“.

Njegove prioritetne kontrolne teme za 2022. godinu su komercijalno istraživanje, oblak i praćenje rada na daljinu.

Francuska pokreće nacionalna kampanja za podizanje svijesti o kibernetičkom kriminalu, u suradnji s medijima, s ciljem usmjeravanja javnosti prema rješenjima za kibernetičku sigurnost. 

Europa:

Na svojoj plenarnoj sjednici 22. veljače, Europski odbor za zaštitu podataka (EDPB) usvojio je pismo u vezi s Konvencijom Vijeća Europe o kibernetičkom kriminalu i njezinim Drugim dodatnim protokolom, pismo u kojem izražava zabrinutost zbog mogućnosti da vlade trećih strana izravno zatraže podatke od europskih pružatelja usluga.

Također je objavila smjernice o kodeksima ponašanja kao instrumentima za međunarodni prijenos podataka te pismo o pitanjima odgovornosti u kontekstu umjetne inteligencije.

Dana 15. veljače, Europski odbor za zaštitu podataka također je pokrenuo svoju prvu koordiniranu provedbenu akciju o korištenju oblaka od strane javnog sektora.

Korištenje oblaka, koje se u EU udvostručilo u šest godina, dodatno je poraslo tijekom pandemije, što ima implikacije na usklađenost s europskim pravnim propisima. Dvadeset dva tijela za zaštitu podataka, uključujući CNIL, poslat će upitnike 75 javnih tijela kako bi provjerili usklađenost s GDPR-om i, ako je potrebno, pokrenuli formalne inspekcije.

CISPE, organizacija pružatelja usluga infrastrukture u oblaku, objavila je da je EDPB odobrio njezin kodeks ponašanja za zaštitu podataka..

Nekoliko tvrtki ga je već potpisalo, uključujući Arubu, Amazon Web Services, Elogic, Leaseweb, Outscale i OVHCloud.

Zakonik posebno predviđa mogućnost korisnicima da odaberu pohranu podataka u Europskom gospodarskom prostoru.

Nevladine organizacije također mogu biti predmet kontrola: Belgijsko tijelo za zaštitu podataka izdalo je dvije sankcije protiv nevladine organizacije EU DisinfoLab i jednog od njezinih istraživača, nakon prijave CNIL-u. Utvrđena kršenja GDPR-a odnose se na masovno prikupljanje podataka kao dio studije usmjerene na utvrđivanje političkih sklonosti ljudi koji su objavljivali tweetove o "aferi Benalla".

U važnoj odluci, belgijsko tijelo za zaštitu podataka također je kaznilo Europski ured za interaktivno oglašavanje (IAB Europe) s 250.000 eura. zbog kršenja načela zakonitosti, lojalnosti i transparentnosti, nedostatka tehničkih i organizacijskih mjera zaštite podataka, nedostatka registra, analize utjecaja i imenovanja službenika za zaštitu podataka. Iza ovog popisa prekršaja stoji načelo „nadmetanja u stvarnom vremenu“ (aukcija podataka korisnika interneta putem platformi za upravljanje pristankom – CMP) koje je sankcionirano s obzirom na njegovu potpunu netransparentnost za dotične osobe.

Talijansko tijelo za zaštitu podataka sankcioniralo je privatni klub do 2000 eura zbog usmjeravanja nadzornih kamera prema javnoj prometnici, bez jasne signalizacije, kršeći članke 5(1)(a), 5(1)(c) i 13. GDPR-a. 

U Nizozemskoj je Okružni sud u Haagu sankcionirao poslodavca koji je tajno snimao telefonski razgovor svog zaposlenika.Za sud, sumnja da je zaposlenik kontaktirao svoje klijente kako bi osnovao vlastiti posao nije dovoljna za legitimizaciju tajnog snimanja poziva.

Također u Nizozemskoj, Agencija za zaštitu podataka kaznila je medijsku tvrtku s 525.000,00 eura: Potonji je od ljudi koji koriste svoje pravo pristupa podacima zatražio kopiju osobne iskaznice, zahtjev koji se smatrao neopravdanim i kršenjem članka 12(2) GDPR-a.

Španjolska agencija za zaštitu podataka izrekla je kaznu od 200.000 eura protiv Španjolskog nogometnog saveza zbog dijeljenja snimke videokonferencije na Zoomu, bez prethodne obavijesti ili pristanka sudionika. 

Također u Španjolskoj, Amazonov cestovni prijevoz kažnjen je s 2.000.000,00 eura. zbog nezakonitog prikupljanja podataka iz kaznene evidencije kao dijela njihovog procesa zapošljavanja.

Međunarodno:

Međunarodni odbor Crvenog križa upravo je postao žrtvom vrlo sofisticiranog kibernetičkog napada s potencijalno značajnim posljedicama. s obzirom na osjetljivost podataka koje organizacija obrađuje. Web stranica pruža primjerne informacije za javnost od 16. veljače, objašnjavajući okolnosti napada, potencijalne rizike i poduzete mjere za ublažavanje tih rizika.

Anne Christine Lacoste

Partnerica u tvrtki Olivier Weber Avocat, Anne Christine Lacoste, odvjetnica je specijalizirana za pravo podataka; bila je voditeljica međunarodnih odnosa u Europskom nadzorniku za zaštitu podataka i radila je na provedbi GDPR-a u Europskoj uniji.