Osobni podaci: može li se korištenje temeljnog prava trgovati?
Pravni nadzor br. 54 – Prosinac 2022.
Osobni podaci: može li se korištenje temeljnog prava trgovati? Komentiranje postupka protiv Mete, matične tvrtke Facebooka, WhatsAppa i Instagrama, moglo bi postati zamorno jer privlači gnjev tijela za zaštitu podataka.
Tvrtka je zapravo najstrože sankcionirana od svih GAFAM-ovih tvrtki otkako je GDPR stupio na snagu i upravo je kažnjena s dodatnih 390 milijuna eura.
Međutim, nedavne odluke Europskog odbora za zaštitu podataka (EDPB), koje je irsko tijelo za zaštitu podataka provelo početkom ove godine, zaslužuju našu pozornost iz više razloga.
S jedne strane, zato što predstavljaju epilog rata riječima između irskog tijela za zaštitu podataka i njegovih europskih kolega, a s druge strane, zato što pojašnjavaju pravni okvir za profiliranje oglašavanja u kontekstu koji nadilazi specifičan slučaj Mete.
Odluke koje je EDPB donio 6. prosinca donesene su u okviru europskog postupka rješavanja sporova (članak 65. GDPR-a). između nacionalnih tijela za zaštitu podataka.
Nakon toga uslijedila je objava konačnog stava irskog tijela 4. siječnja, koji je u skladu sa zaključcima EDPB-a.
Kao predvodnica u ovom pitanju, Irska se našla u sukobu sa svojim kolegama oko pitanja koja se tiču nekoliko operacija obrade podataka koje provode Facebook, WhatsApp i Instagram.
Odluke koje je donio EDPB rješavaju spor o tri glavne točke: pravnoj osnovi za obradu (čl. 6. GDPR-a), načelima zaštite podataka (čl. 5. GDPR-a) i korištenju korektivnih mjera, uključujući novčane kazne.
Točka koja nas posebno zanima je pitanje pravne osnove za obradu podataka od strane tvrtke, pri čemu Meta razmatra – uz podršku irskog tijela – da bi se korisnički podaci mogli prikupljati u svrhu bihevioralnog oglašavanja (ili poboljšanja usluge u slučaju WhatsAppa), koristeći pravnu osnovu izvršenja ugovora.
Treba napomenuti da je Meta do stupanja na snagu GDPR-a legitimirala bihevioralno oglašavanje dobivanjem privole korisnika.
Tvrtka je 25. svibnja 2018. izmijenila svoje opće uvjete kako bi uključila ovu svrhu ciljanog oglašavanja, koja se sada smatra sastavnim dijelom usluge koju nudi i de facto ograničava kontrolu korisnika nad korištenjem njihovih podataka.
Tvrtka je tvrdila da nije trebala dobiti privolu jer je ovo online ciljanje dio usluge koju pruža korisnicima.
Podsjetimo se da je privola, kao i nužnost podataka u kontekstu izvršenja ugovora, među šest pravnih osnova iz članka 6(1) GDPR-a koje omogućuju opravdanje zakonitosti obrade.
Jesu li ove pravne osnove zamjenjive?
Europska doktrina o ovom pitanju je jasna i upravo je potvrđena: ugovorna nužnost mora se usko tumačiti, a prikupljeni podaci moraju biti strogo potrebni za pruženu uslugu, kao što je slučaj, na primjer, s prikupljanjem podataka o kreditnim karticama za online plaćanje.
U svom mišljenju od 8. listopada 2019. o online uslugama, EDPB je već smatrao da bihevioralno oglašavanje nije nužan element online usluga.
Internetski trgovac koji želi, na primjer, stvoriti profile ukusa i životnog stila korisnika na temelju posjeta svojoj web stranici ne može se oslanjati na sklapanje ugovora o kupnji za izradu tih profila.
Čak i ako je profiliranje izričito navedeno u ugovoru, sama ta činjenica ne čini ga „nužnim“ za izvršenje ugovora.
Ako online trgovac želi provesti ovo profiliranje, mora se osloniti na drugu pravnu osnovu.
Ovaj stav potvrdio je EDPB u svojim smjernicama od 13. travnja 2021. o ciljanju korisnika društvenih mreža.
Međutim, primjećuje se da se sve veći broj online usluga predstavlja kao besplatne, dok se u stvarnosti plaćaju korisničkim podacima, što predstavlja ekvivalent online usluge.
Možemo li stoga „platiti svojim podacima“?
Ovo pitanje kontraktalizacije podataka nije novo, ali se danas javlja s određenom oštrinom.
Čak i ako oglasi služe za podršku usluzi, obrada u svrhu izravnog marketinga u načelu se smatra različitom od objektivne svrhe ugovora između ispitanika i pružatelja usluge, što implicira da korisnik mora ostati slobodan dati privolu za ciljano oglašavanje ili ne.
Europski nadzornik za zaštitu podataka u 2017. godini upozorio je u mišljenju o ugovorima o pružanju digitalnih usluga „protiv svake nove odredbe koja bi uvela ideju da ljudi mogu plaćati svojim podacima na isti način na koji mogu plaćati novcem“.
Doista, temeljna prava, poput prava na zaštitu osobnih podataka, ne mogu se svesti isključivo na interese potrošača, a osobni podaci ne mogu se smatrati jednostavnom robom.
Neki će smatrati da plaćanje vašim podacima ne znači odricanje od vaših temeljnih prava.
Također treba napomenuti dvosmislen stav CNIL-a o temi „platnih zidova“ koji uvjetuju pristup web stranici plaćanjem za korisnike koji odbijaju korištenje kolačića, pri čemu Komisija na svojoj web stranici navodi da ta pitanja ispituje od slučaja do slučaja.
Trebamo li stoga očekivati da će Meta naplaćivati korisnicima koji odbijaju profiliranje oglašavanja?
Kao što s pravom ističe nevladina organizacija NOYB, koja je podnijela tužbu protiv Mete, spor koji je riješio EDPB odnosi se samo na ovo profiliranje i nema utjecaja na druge oblike oglašavanja poput kontekstualnog oglašavanja, na temelju sadržaja stranice.
Stav EDPB-a zasigurno će utjecati na financije Mete, ali ne isključuje u potpunosti oglašavanje.
Naprotiv, trebalo bi obnoviti zdravu konkurenciju između Mete i drugih pružatelja online usluga, kao i između tvrtki koje podliježu irskom zakonodavstvu i onih osnovanih drugdje u Europi.
I također
Francuska:
Dana 19. prosinca 2022. CNIL je sankcionirao tvrtku MICROSOFT IRELAND OPERATIONS LIMITED u iznosu od 60 milijuna eura zbog nezakonite upotrebe kolačića na tražilici “bing.com”.
Tvrtka se optužuje da nije implementirala mehanizam koji bi ljudima omogućio da odbiju kolačiće jednako lako kao što ih prihvaćaju.
CNIL opravdava ovaj iznos opsegom obrade, brojem uključenih osoba i profitom koji tvrtka ostvaruje od prihoda od oglašavanja neizravno generiranih iz podataka prikupljenih kolačićima.
Dana 30. studenog 2022. CNIL je tvrtki FREE izrekao kaznu od 300.000 eura.
Inspekcije su otkrile nekoliko kršenja, posebno u pravima dotičnih osoba (pravo pristupa i pravo na brisanje) i u sigurnosti podataka: Komisija je istaknula slabu snagu lozinki, pohranu i prijenos lozinki u čistom tekstu te recirkulaciju oko 4100 loše obnovljenih kutija "Freebox".
Nadalje je odbacio argument da bi se izvori osobnih podataka kontrolora trebali smatrati „poslovnim tajnama“.
U publikaciji od 5. prosinca 2022., CNIL podsjeća na pravila koja treba poštovati prilikom prodaje korisničke datoteke u komercijalne svrhe: Datoteka mora sadržavati samo podatke aktivnih kupaca i u razdoblju od najviše tri godine nakon završetka poslovnog odnosa mogu se prodavati samo podaci kupaca koji se nisu protivili prijenosu svojih podataka ili su na to pristali, a kupac mora osigurati da se poštuju prava pojedinaca (posebno jasne informacije i pristanak na elektroničko istraživanje potencijalnih klijenata).
CNIL je konačno odobrio 4. siječnja MEĐUNARODNA DISTRIBUCIJA APPLE-A do 8 milijuna eura zbog toga što nisu prikupili privolu francuskih korisnika iPhonea koji koriste staru verziju iOS-a 14.6 prije pohranjivanja i/ili zapisivanja identifikatora koji se koriste u reklamne svrhe na njihovim uređajima.
Europa:
Švedsko predsjedništvo Vijeća EU-a objavilo je 14. prosinca svoje prioritete za sljedećih šest mjeseci: digitalna tehnologija nije na vrhu dnevnog reda., s obzirom na aktualne rasprave o ekonomskoj i energetskoj sigurnosti i otpornosti u kontekstu rusko-ukrajinskog sukoba.
Švedska ipak navodi da će nastaviti započeti rad u vezi s uredbom o podacima („Zakon o podacima“), uredbom o „privatnosti i elektroničkim komunikacijama“, kao i prijedlogom uredbe koja se odnosi na europski prostor zdravstvenih podataka.
Ova odluka ima za cilj osigurati trajnu pravnu osnovu za prijenose podataka između EU i SAD-a nakon odluke Suda EU-a u predmetu „Schrems II“ iz srpnja 2020., kojom je „Štit privatnosti“ poništen.
Prije donošenja konačne odluke, nacrt još treba pregledati Europski odbor za zaštitu podataka (EDPB) i odobriti odbor predstavnika država članica EU-a.
Europski parlament također ima pravo preispitati odluke o adekvatnosti.
Europska komisija objavila je 15. prosinca 2022. deklaraciju o digitalnim pravima i načelima za digitalno desetljeće.
Deklaracija ima za cilj voditi kreatore politika u njihovoj viziji digitalne transformacije u sljedećim smjernicama: digitalna transformacija usmjerena na građane, podrška solidarnosti i uključivosti, podsjetnik na važnost slobode izbora u interakcijama s algoritmima i sustavima umjetne inteligencije te povećana sigurnost, zaštita i osnaživanje, posebno za djecu i mlade, uz jamstvo prava na privatnost i kontrolu pojedinaca nad njihovim podacima.
Nakon godinu dana istrage, Ombudsmanica EU objavila je svoju odluku od 19. prosinca 2022. u vezi s pritužbom Irskog vijeća za građanske slobode (ICCL) protiv Europske komisije zbog neadekvatnog praćenja primjene GDPR-a u Irskoj.
Ova odluka naglašava potrebu da Europska komisija bolje prati napredak svakog slučaja velikih tehnoloških tvrtki koji se podnosi Irskoj komisiji za zaštitu podataka.
U presudi od 8. prosinca, Sud Europske unije pojasnio je uvjete pod kojima europski građani mogu od Googlea dobiti uklanjanje rezultata pretraživanja koji se na njih odnose.
Slučaj je uključivao dva investicijska menadžera koji su zatražili od Googlea da ukloni rezultate pretraživanja provedenog pod njihovim imenima, a koje je pružalo poveznice na određene članke koji kritiziraju njihov investicijski model.
Sud je presudio da se „pravo na slobodu izražavanja i informiranja ne može uzeti u obzir kada se, barem, dio – koji nije od manje važnosti – informacija pronađenih u navedenom sadržaju pokaže netočnim.“ Ljudi koji žele ukloniti netočne rezultate iz tražilica moraju pružiti dovoljne (i razumne) dokaze da je ono što se o njima govori lažno.
Nizozemska agencija za zaštitu podataka objavila je 22. prosinca izjavu u vezi sa svojim ovlastima za nadzor algoritama u pitanjima transparentnosti, diskriminacije i arbitrarnosti.
Također u Nizozemskoj, studija nizozemske grupe za zaštitu privatnosti Incogni otkriva da mnoge popularne aplikacije za kupovinu, uključujući Amazonovu, dolaze s upitnim praksama u vezi s dijeljenjem dozvola pristupa s oglasnim knjižnicama, što oglasnim mrežama omogućuje neizravan pristup uređaju.
Grčka vlast Agencija za zaštitu podataka kaznila je Vodafone PANAFON SA s 150.000 eura zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera za zaštitu sigurnosti svojih elektroničkih komunikacijskih usluga.
Islandska vlast Tijelo za zaštitu podataka naložilo je automehaničarskoj radionici da udovolji zahtjevu za pristup prema članku 15. GDPR-a i da ispitaniku dostavi podatke koji se odnose na sve popravke i usluge izvršene na njihovom automobilu dok je bio u njihovom posjedu.
Portugalska vlast Tijelo za zaštitu podataka opomenulo je i kaznilo općinu Setubal novčanom kaznom od 170.000 eura zbog kršenja načela integriteta i povjerljivosti, načela ograničenja pohrane, obveza informiranja predviđenih člankom 13. GDPR-a te zbog neimenovanja službenika za zaštitu podataka u vezi s prikupljanjem osobnih podataka ukrajinskih izbjeglica koje su koristile telefonsku liniju za pomoć u Portugalu.
Portugalsko tijelo za zaštitu podataka također je sankcioniralo Nacionalni zavod za statistiku zbog nepoštivanja GDPR-a, uključujući slanje osobnih podataka iz popisa stanovništva iz 2021. u Sjedinjene Države i neprovođenje procjene utjecaja na zaštitu podataka.
Talijanska vlast Agencija za zaštitu podataka kaznila je Alpha Exploration s 2.000.000 eura zbog upravljanja društvenom mrežom Clubhouse kršeći odredbe GDPR-a o zakonitosti i transparentnosti, zbog neprocjenjivanja rizika koji proizlaze iz obrade i zbog imenovanja predstavnika EU bez potrebnog mandata za djelovanje u ime kontrolora.
Talijansko tijelo za zaštitu podataka kaznilo je telekomunikacijskog operatera Vodafone Italia s 500.000 eura zbog obrade osobnih podataka u svrhu izravnog marketinga bez pravne osnove, zbog dobivanja generičkog pristanka za odvojene operacije obrade podataka i zbog davanja informacija o obradi osobnih podataka na nerazumljiv način.
Španjolska vlast Tijelo za zaštitu podataka kaznilo je 16-godišnjeg tinejdžera s 5000 eura zbog korištenja videozapisa i fotografija primljenih putem WhatsAppa za ucjenjivanje 13-godišnjeg maloljetnika koji nije mogao dati valjanu suglasnost. Tijelo je također naložilo tinejdžeru da izbriše sve ostale osobne podatke koji se odnose na dotičnu osobu i da izvijesti o poduzetim mjerama u tu svrhu.
Međunarodni
SJEDINJENE AMERIČKE DRŽAVE: Epic Games, proizvođač videoigre Fortnite, morat će platiti više od pola milijarde dolara zbog kršenja Zakona o zaštiti privatnosti djece (COPPA), promjene zadanih postavki privatnosti i navođenja korisnika na neželjene kupnje.
Nagodbe Federalne trgovinske komisije (FTC) s Epic Gamesom objavljene su od strane FTC-a 15. prosinca.
U objavi od 29. prosinca, Guardian izvještava da je kineski proizvođač nadzornih kamera Hikvision razvio softversku platformu za pomoć policiji. pratiti aktivnosti prosvjednika.
Kineska policija bi tako mogla postaviti upozorenja za različite vrste demonstracija, poput "okupljanja mnoštva koje remeti red na javnim mjestima", "nezakonitih okupljanja, povorki, demonstracija" i prijetnji "peticijom".
Zemlje OECD-a usvojile su prvi međuvladin sporazum o privatnosti 14. prosinca 2022. prilikom pristupanja osobnim podacima u svrhu nacionalne sigurnosti i provedbe zakona.
Načela definiraju kako pravni okviri reguliraju pristup vlade, pravne standarde koji se primjenjuju kada se traži pristup, kako se pristup odobrava i kako se obrađuju rezultirajući podaci te napore za osiguranje transparentnosti za javnost.
Od tehnička rješenja razvijaju se kako bi omogućili korisnicima kontrolu korištenja svojih podataka i kontrolorima podataka upravljanje online podacima u skladu s načelima zaštite podataka.
Uz Global Privacy Control, čija se upotreba sada širi u kontekstu upravljanja online privolama, platforma za upravljanje privolama CookieFirst nudi korisnicima naprednu kontrolu nad uslugama trećih strana i kolačićima koje postavljaju te koristi podizvođače sa sjedištem u EU za pohranu podataka.
Anne Christine Lacoste
Partnerica u tvrtki Olivier Weber Avocat, Anne Christine Lacoste, odvjetnica je specijalizirana za pravo podataka; bila je voditeljica međunarodnih odnosa u Europskom nadzorniku za zaštitu podataka i radila je na provedbi GDPR-a u Europskoj uniji.
HR 
FR 
EN 
DE 
ES 
EL 
IT 
PT 
NL 
DE_AT 
ET 
FI 
LV 
LT 
SK 
SL