Odluka o WhatsAppu: Kraj nekažnjivosti za GAFAM u Europi?

Pravni nadzor br. 38 – Kolovoz 2021.

Odluka o WhatsAppu: Kraj nekažnjivosti za GAFAM u Europi? U prethodnoj vijesti izvijestili smo o poteškoćama u postizanju dogovora na europskoj razini u vezi s provedbom Opće uredbe o zaštiti podataka. 

Nedavna odluka irskog regulatora u vezi s WhatsAppom pokazuje daljnji napredak u suradnji između nadzornih tijela uspostavljenih GDPR-om.

Administrativna kazna od 225 milijuna eura izrečena WhatsAppu 2. rujna od strane Irske slijedi nekoliko obrata unutar Europskog odbora za zaštitu podataka (EDPB).

U skladu s postupkom rješavanja sporova predviđenim člankom 65. GDPR-a, Odbor je prisilio Irsku da preispita svoje zaključke Stoga je morao proširiti elemente prekršaja, značajno povećati iznos kazne i skratiti rokove dane Whatsappu za poštivanje odluke.

Pri izračunu kazne, Odbor je smatrao da treba uzeti u obzir ne samo promet WhatsAppa, već i promet njegove matične tvrtke, Facebooka.

Također je smatralo da bi se u slučaju višestrukih kršenja za istu obradu podataka, kršenja trebala zbrajati – pritom ostajući ispod gornje granice od 4% prometa predviđene GDPR-om.

Treba napomenuti da kazna, koliko god se činila značajnom, predstavlja samo 0,08% prometa Facebooka.

Što je poticajno na razmišljanje kada se uzme u obzir da su irske vlasti isprva planirale kaznu od 50 milijuna eura.

Sjetimo se toga Luksemburško tijelo za zaštitu podataka kaznilo je Amazon s 746 milijuna eura početkom kolovoza., najveća kazna ikad izrečena prema GDPR-u.

Glavno pitanje istrage bilo je je li WhatsApp ispunjavao svoje obveze informiranja prema svojim korisnicima, kao i prema nekorisnicima čiji se podaci također prikupljaju.

Obavijesti su smatrane složenima, zbog čega je nemoguće pravilno razumjeti legitimne interese koje tvrtka slijedi.

Korištenje funkcionalnosti "pristup kontaktima" od strane korisnika je potpuno netransparentno za navedene kontakte, čiji se podaci obrađuju iako oni sami ne koriste nužno aplikaciju.

Osim kršenja članaka 12., 13. i 14. GDPR-a u vezi s obvezama informiranja, Odbor stoga zaključuje da su kršenja dovoljno ozbiljna da predstavljaju kršenje članka 5. stavka 1. točke (a) GDPR-a u vezi s općim načelom transparentnosti.

Odluka irskog tijela, koju je potvrdio Odbor, predstavlja korisnu prekretnicu za kontrolore podataka u pogledu obveza informiranja iz GDPR-a.

Sljedeće smjernice se zadržavaju:

–           Izbjegavajte raspršivanje informacija na različitim stranicama koje zahtijevaju od korisnika da klikne na više poveznica, kao i beskrajne padajuće izbornike i koncentraciju informacija na jednom mjestu.

–           Opišite operacije obrade, prikupljene podatke i pravnu osnovu za svaku utvrđenu svrhu.

Također navedite ove podatke za svaku treću stranu koja ima pristup podacima.

Prikaz ovih različitih elemenata u tabličnom obliku može pomoći u njihovom jasnom razumijevanju.

–           Učinite informacije dostupniman o „nekorisnicima“ na zaseban i lako dostupan način.

–           Navedite okolnosti pod kojima će se podaci čuvati / izbrisano, s konkretnim ilustracijama.

–           Navedite pravnu osnovu dopuštanje prijenosa podataka izvan Europske unije, uz navođenje alternativne pravne osnove, ako ne postoji odluka o adekvatnosti.

Generičko upućivanje na mrežnu stranicu Europske komisije nije dovoljno.

.

I također

Francuska:

CNIL nastavlja s mjerama usklađenosti u vezi s kolačićima.

Obratila se drugoj seriji službene obavijesti tijekom ljeta, protiv nekoliko online prodajnih igrača, glavnih platformi digitalnog gospodarstva, lokalnih vlasti i bankarskog sektora.

Ona također ima odobreno Dana 27. srpnja tvrtka Figaro platila je 50.000 eura za pohranu reklamnih kolačića bez pristanka korisnika interneta.

Koristi ovu priliku da podsjeti na podjelu odgovornosti između izdavača web-mjesta i njihovih komercijalnih partnera.

Došlo je do računalne greške učinilo dostupnim osobne podatke oko 700.000 ljudi koji su se testirali na Covid.

Ovo sigurnosno kršenje naglašava različitu pouzdanost usluga prijenosa koje ljekarnici koriste za opskrbu vladine SI-DEP platforme.

Iako je sama SI-DEP platforma sigurna, nisu svi middlewarei sigurni.

Glavna uprava za zdravstvo (DGS) poslala je e-poruku ljekarnicima kako bi ih podsjetila na softver koji je odobren i kompatibilan sa SI-DEP-om.

Onaj od Francetesta, identificiran u grešci objavljenoj 31. kolovoza, nije bio dio toga.

CNIL zapamti u trenutnom kontekstu početka školske godine, zahtjevi koje treba ispuniti u kontekstu korištenja biometrije u školama.

Ispituje prepoznavanje kontura ruku za pristup školskim kantinama i ocrtava zahtjeve za informacije, privolu i sigurnost podataka.

Dodaje da odbijanje obrade biometrijskih podataka, a time i pristupa kantini na drugi način, ne smije uzrokovati štetu dotičnom studentu.

Europa:

Potrošački krediti: Europski nadzornik za zaštitu podataka (EDPS) objavio je 26. kolovoza mišljenje o predloženoj direktivi Europske komisije.

Uzrok su nove metode procjene kreditne sposobnosti korištenjem digitalnih tehnologija.

Ako su takve procjene ključne za odobravanje kredita potrošaču, EDPS zahtijeva da se određeni podaci isključe iz postupaka procjene.

Uz zdravstvene podatke i podatke s društvenih mreža, EDPS želi da se zabrana proširi na sve osjetljive podatke (na primjer, o religiji i političkim uvjerenjima), kao i na podatke o pregledavanju korisnika interneta.

Kontrolor također ističe potrebu boljeg reguliranja uloge trećih strana koje pružaju usluge kreditne analize i certificiranja sustava umjetne inteligencije u ovom sektoru.

Prepoznavanje lica: Vijeće Europe objavljuje smjernice usmjerene na pružanje skupa referentnih mjera za vlade, razvojne programere za prepoznavanje lica, proizvođače, pružatelje usluga i subjekte koji koriste tehnologije prepoznavanja lica.

Cilj je osigurati da prilikom njihovog raspoređivanja ne krše ljudsko dostojanstvo, ljudska prava i temeljne slobode, uključujući pravo na zaštitu osobnih podataka.

Italija: Tijelo za zaštitu podataka (Garante) kaznilo je Deliveroo s 2,5 milijuna eurazbog netransparentne upotrebe algoritma za upravljanje njegovim dostavljačima i nesrazmjernog prikupljanja njihovih osobnih podataka kršeći načela zakonitosti, transparentnosti, minimizacije i ograničenja GDPR-a.

Međunarodno:

Narodna Republika Kina usvojila je 20. kolovoza zakon o zaštiti osobnih podataka (PIPL).

Ovaj zakon stupit će na snagu 1. studenog 2021. godine. 

Cilj mu je ne samo zaštititi individualne podatke, već i državnu sigurnost i ekonomske interese zemlje u vezi s GAFAM-om.

Zakon sadrži stroge obveze u vezi s lokalnim pohranjivanjem podataka i ograničenja međunarodnog prijenosa.

Talibansko preuzimanje Afganistana ima posljedice i na područje zaštite podataka.

Više datoteka, uključujući i onaj kojim upravljaju Ministarstva unutarnjih poslova i obrane, sadržavao bi posebno osjetljive informacije.

Dotični podaci uključuju policijske i vojne podatke o pola milijuna ljudi: prezime, ime, ali i identifikacijski broj povezan s biometrijskim profilom, podatke o karijeri i obiteljskim odnosima, kao i osobne podatke dvojice "starješina" iz plemena, koji djeluju kao jamci tijekom novačenja.

Sve te informacije, kada prođu iz ruke u ruku, mogu pomoći u mapiranju veza između lokalnih zajednica i etničkih skupina.