Osjetljivi podaci: posebno široko područje primjene

Pravni nadzor br. 50 – kolovoz 2022.

Može biti teško procijeniti jesu li podaci koje prikupljate osjetljivi ili ne te odlučiti zahtijevaju li ti podaci posebnu zaštitu prema GDPR-u.

Ove poteškoće u tumačenju ponovili smo u našem uvodniku prošlog veljače.

Sud Europske unije upravo je pojasnio opseg presude od 1. kolovoza 2022. pojma osjetljivih podataka, ili točnije, posebnih kategorija podataka.

A prema Sudu, taj je opseg posebno širok.

Treba imati na umu da se članak 9. GDPR-a primjenjuje na podatke koji otkrivaju navodno rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu, kao i na obradu genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije fizičke osobe, podataka o zdravlju ili podataka o spolnom životu ili spolnoj orijentaciji fizičke osobe.

Predmetna presuda odnosi se na odredbe litavskog zakona usmjerenog na borbu protiv korupcije, koji od određenih radnika u javnom sektoru zahtijeva da prijave svoje privatne interese, kao i podatke o svojim supružnicima i obiteljima, a gotovo svi će biti javno dostupni na internetu.

Nakon prigovora osobe na koju se odnosi ova obveza, Sud je dužan odlučiti

• O nužnosti online otkrivanja podataka koji se odnose na supružnika
• O tome treba li ove podatke o supružniku smatrati osjetljivim podacima u smislu članka 9. GDPR-a, jer omogućuju zaključivanje o seksualnoj orijentaciji dotičnih osoba. Sud prvo smatra da online širenje tih podataka nije nužno za željeni cilj borbe protiv korupcije, a zatim precizira da se koncept osjetljivih podataka mora široko tumačiti.

Do sada su ostala neka pitanja o razlici u terminima korištenim u formulaciji članka 9., za reguliranje podataka koji s jedne strane "otkrivaju" politička mišljenja, članstvo u sindikatu itd. ili koji se s druge strane "tiču" zdravlja ili seksualne orijentacije.

Sud smatra da se sve posebne kategorije podataka moraju tumačiti široko, uz poštovanje konteksta i drugih odredbi GDPR-a.

U ovom slučaju, to stoga uključuje podatke koji intelektualnom operacijom usporedbe ili dedukcije vjerojatno otkrivaju spolnu orijentaciju fizičke osobe.

Ova presuda mogla bi imati značajan utjecaj na opseg obveza onih koji su odgovorni za obradu „potencijalno“ osjetljivih podataka.

Čini se da je CNIL do sada imao restriktivnije tumačenje tih obveza: prošlog siječnja je naznačio da „sam čin fotografiranja ili snimanja slike iz koje je moguće da određeni elementi omogućuju zaključivanje o osobnim podacima“ predstavljanje osjetljivih podataka samo po sebi ne predstavlja obradu osjetljivih podataka (...). Ovo Samo ako se te slike obrađuju radi izdvajanja, tumačenja ili korištenja navedenih osjetljivih podataka, smatrat će se da obrada spada u režim za obradu osjetljivih podataka.

Čini se da je odlučujući element u obrazloženju Suda činjenica da su podaci javno dostupni: od tog trenutka nadalje svatko može prikupljati podatke, iz njih izvoditi osjetljive informacije i obrađivati ih u svrhu koja je potpuno nepovezana s izvornom svrhom, s posljedicama kojih bi se dotične osobe mogle bojati.

Također treba imati na umu da zaključci izvedeni iz dostupnih podataka ne moraju biti točni da bi se uklopili u zahtjeve GDPR-a: doista, nije važno jesu li zaključci valjani ili ne: pogrešni zaključci mogu imati još štetnije posljedice za ispitanike.

Očekuje se da će ova odluka utjecati na kontrolore podataka koji obrađuju podatke u velikim razmjerima i profiliraju korisnike interneta, posebno u kontekstu društvenih mreža, tako što će izričitu suglasnost učiniti potrebnom.

Na kraju, dodajmo da budući propisi za digitalne usluge i digitalna tržišta predviđaju zabranu korištenja osjetljivih podataka za ciljano oglašavanje.

U kombinaciji sa širokim tumačenjem osjetljivih podataka od strane Suda pravde EU-a, možemo predvidjeti ograničenje bihevioralnog oglašavanja na europskoj razini koje je strože od očekivanog.

I također

Francuska:

ACCOR je upravo kažnjen sa 600.000 eura zbog provođenja komercijalnog istraživanja bez pristanka dotičnih osoba i zbog nepoštivanja prava kupaca i potencijalnih klijenata.

Obrasci za rezervaciju su prema zadanim postavkama uključivali unaprijed označenu opciju koja je omogućavala automatsko slanje biltena kupcima s komercijalnim ponudama partnera.

CNIL je također primijetio ponovljene tehničke anomalije koje su mnogim ljudima onemogućavale odbijanje primanja poruka.

Odluka CNIL-a bila je predmet postupka suradnje s tijelima drugih zemalja EU-a u kojima ACCOR grupa obrađuje podatke, na kraju kojeg je Europski odbor za zaštitu podataka naložio CNIL-u da poveća iznos kazne kako bi poduzeta mjera bila odvraćajuća.

Među elementima koji se uzimaju u obzir su broj povreda, činjenica da se te povrede odnose na nekoliko temeljnih načela zaštite osobnih podataka i predstavljaju značajno kršenje prava pojedinaca, kao i broj dotičnih pojedinaca i financijska situacija tvrtke.

U kolovozu je postalo nemoguće povezati se s France Connectom s vašim Ameli pristupnim podacima., gumb za povezivanje je deaktivirao Bercy.

Uzrok je ponovni porast phishing napada korištenjem ovih vjerodajnica. Glavna uprava za javne financije navodno radi na osiguranju France Connecta i planira postupno prenijeti najosjetljivije postupke, posebno one koji omogućuju pristup financijskim plaćanjima, na sigurnije usluge identifikacije.

Dana 25. kolovoza, nevladina organizacija noyb.eu je podnio žalbu protiv Googlea CNIL-u..

Google je optužen da ignorira presudu Europskog suda pravde (ECJ) o e-porukama izravnog marketinga i koristi svoju platformu za e-poštu Gmail za slanje neželjenih reklamnih e-poruka bez valjanog pristanka korisnika.

Francuski adtech div Criteo mogao bi biti kažnjen sa 60 milijuna eura

kao dio istrage koju je pokrenuo CNIL.

Ovo je preliminarna odluka u ovoj fazi, koju je 5. kolovoza objavila organizacija koja je podnijela pritužbu, Privacy International.

Europa:

Kritizirane ovlasti EU za istragu špijunskog softvera tijekom parlamentarne rasprave u utorak, 30. kolovoza, na kojoj je predstavnik Europola rekao da je mandat agencije ograničen na podršku državama članicama koje su odlučile pokrenuti istragu.

Do danas je poznato da je najmanje 14 europskih vlada kupilo špijunski softver od NSO Grupe, koja je stvorila špijunski softver Pegasus, a stručnjaci vjeruju da mnogi drugi dobavljači posluju u EU.

Bivši šef sigurnosti Twittera Peiter "Mudge" Zatko podnio je tužbu protiv tvrtke, koja je nedavno objavljena.

Dokument detaljno opisuje niz teških optužbi o pitanjima sigurnosti, privatnosti i zaštite podataka (između ostalog), kao i tvrdnje da je Twitter obmanuo ili je namjeravao obmanuti regionalne nadzorne organe u vezi s poštivanjem lokalnih zakona.

Irska i francuska nadzorna tijela preuzela su slučaj.

Irska Komisija za zaštitu podataka kaznila je društvenu mrežu Instagram s 405 milijuna eura., u vlasništvu tvrtke Meta, zbog kršenja GDPR-a.

Kazna je druga najveća prema GDPR-u nakon kazne od 746 milijuna eura protiv Amazona, a treća za tvrtku u vlasništvu Mete koju je nametnuo irski regulator.

Presuda se odnosi na Instagramovo kršenje privatnosti djece, uključujući objavljivanje adresa e-pošte i telefonskih brojeva djece.

Viši regionalni sud u Kölnu (OLG Köln) dosudio je pojedincu 500 eura zbog kašnjenja koje je voditelj obrade imao u pružanju traženih informacija u skladu s člankom 15. stavkom 1. GDPR-a (putem GDPRhuba).

U sličnom slučaju, talijansko tijelo za zaštitu podataka kaznilo je Deutsche Bank s 20.000 eura zbog toga što nije pravovremeno odgovorilo na zahtjev ispitanika za pristup podacima (putem GDPRhuba).

Grčka agencija za zaštitu podataka kaznila je medicinski dijagnostički centar s 30.000 eura zbog prekršio načelo integriteta i povjerljivosti podataka : voditelj je izgubio mamografske snimke zbog nedovoljnih tehničkih i organizacijskih mjera.

Uz novčanu kaznu, DPA je naložio centru da obavijesti subjekte podataka o kršenju (putem GDPRhuba).

Španjolski Vrhovni sud presudio je da ostvarivanje prava pojedinca kod kontrolora podataka (članci 15. do 22. GDPR-a) nije preduvjet za podnošenje pritužbe. s tijelom za zaštitu podataka: potonje može djelovati čak i ako subjekt podataka nije prvo kontaktirao kontrolora (putem GDPRhuba).

U Švicarskoj će novi zakon o zaštiti podataka stupiti na snagu 1. rujna 2023.

Neki komentatori primjećuju da bi nekoliko načela bilo manje restriktivno od onih iz GDPR-a, posebno ona koja se odnose na privolu i DPO.

S druge strane, sigurnosni zahtjevi su posebno detaljni.

Međunarodno:

Europski subjekti mogu biti obuhvaćeni Zakonom o računalstvu u oblaku, čak i ako se nalaze izvan Sjedinjenih Američkih Država, odlučuje o studiji koju je provela odvjetnička tvrtka u ime Ministarstvo pravosuđa i sigurnosti Nizozemske, a objavljeno 26. srpnja.

Europske tvrtke mogu smanjiti taj rizik uspostavom "kineskog zida" sa Sjedinjenim Državama, posebno time da ne zapošljavaju Amerikance niti imaju američke kupce, što bi moglo opravdati intervenciju SAD-a prema Zakonu o računalstvu u oblaku.

Međutim, čak ni ta zaštita ne bi bila dovoljna ako subjekt koristi američke tehnologije, budući da Zakon o oblaku dopušta pristup podacima putem podizvođača/dobavljača hardvera i softvera, do/od pružatelja usluga u oblaku.

Ovi nalazi potaknuli su raspravu o ponudama poput Bleu "Trusted Clouda" (Microsoftove tehnologije koje nude Orange i Capgemini) i S3ns (Googleov s Thalesom).

U Sjedinjenim Državama, Facebook je pristao na nagodbu u skandalu Cambridge Analytica, koji se odnosi na pristup privatnim podacima desetaka milijuna korisnika Facebooka tijekom izborne kampanje. Skandal je izbio nakon otkrića zviždača Cambridge Analytice Observeru 2018. godine, što je već dovelo do toga da Facebook plati kaznu vrijednu milijarde eura.

Na Kubi je na snazi zakon o zaštiti osobnih podataka objavljen je u Službenom listu 25. kolovoza. Stupit će na snagu 180 dana nakon objave.

Rusija je izmijenila svoj zakon o zaštiti podataka nakon potpisivanja Konvencije Vijeća Europe 108+.

Novi Savezni zakon br. 266 od 14. srpnja 2022. značajno mijenja neke od zakonodavnih akata koji reguliraju obradu osobnih podataka u Rusiji, a sada uključuje obvezu obavještavanja o povredama podataka.

Rastuće političke i sigurnosne napetosti između Pekinga i Zapada potaknule su pozive u Velikoj Britaniji za pregled prijenosa genetskih podataka u Kinu iz biomedicinske baze podataka koja sadrži DNK pola milijuna britanskih građana.

Najbolje sigurnosne mjere ne štite od ranjivosti podizvođača.

Dana 24. kolovoza, Twilio je izvijestio da su hakeri provalili u njegove sustave.

Twilio pruža usluge verifikacije svojim korisnicima, uključujući tvrtku za šifrirane poruke Signal.

Kada korisnik registrira svoj telefonski broj, Twilio mu šalje SMS s verifikacijskim kodom, koji zatim unosi u Signal.

Iako je utjecaj na Signal i njegove korisnike ograničen zbog načina na koji je usluga dizajnirana, ovo je upozorenje svakoj platformi ili usluzi koja bi mogla biti manipulirana za slanje vjerodajnica napadaču.

Google LLC kažnjen sa 60 milijuna dolara u Australiji dolara zbog obmanjivanja potrošača o prikupljanju i korištenju njihovih osobnih podataka o lokaciji na Android telefonima.

Anne Christine Lacoste

Partnerica tvrtke Olivier Weber Avocat, Anne Christine Lacoste, odvjetnica je specijalizirana za pravo podataka; bila je voditeljica međunarodnih odnosa pri Europskom nadzorniku za zaštitu podataka i radio je na implementaciji GDPR-a u Europskoj uniji.