Vijesti nadzornih tijela: proslave i nadzor

Pravni nadzor br. 31 – Siječanj 2021.

Vijesti nadzornih tijela: proslave i nadzorPosljednjih nekoliko dana bila je prilika za (virtualno) slavlje nekoliko rođendana.

Dana 28. siječnja, dionici za zaštitu privatnosti u Europi, Africi, Americi i azijsko-pacifičkoj regiji organizirali su nekoliko događaja kako bi obilježili 15. obljetnicu Dan zaštite podataka.

Dodajmo da Konvencija 108 (Konvencija Vijeća Europe o zaštiti osobnih podataka) ove godine slavi svoju 40. obljetnicu.

Prigoda za procjenu i službenu deklaraciju kojom se naglašava potreba očuvanja „ljudskog dostojanstva i integriteta u eri automatiziranih odluka koje donose umjetna inteligencija i algoritmi“ te razvoj zajedničkog pravnog prostora na međunarodnoj razini kako bi se olakšala cirkulacija podataka između zemalja.

Digitalna tehnologija je stoga u središtu aktualnih rasprava, s deklaracijom Odbora ministara Vijeća Europe o zaštiti prava na zaštitu podataka u digitalnom okruženju i usvajanjem smjernica o prepoznavanju lica.

Jedna od najvažnijih međunarodnih konferencija o zaštiti podataka, „Računala, privatnost i zaštita podataka“, koji se održao krajem siječnja, potvrđuje te zabrinutosti trodnevnim online raspravama na temu „provedbe prava u svijetu koji se mijenja“. 

Iako su tijela za zaštitu podataka dobila povećane ovlasti za provedbu GDPR-a, ostaju pitanja o njihovoj strategiji, europskoj suradnji i učinkovitosti sankcija s obzirom na utjecaj "velikih tehnoloških" tvrtki poput Googlea i Amazona.

Ukupno izrečene kazne u Europi u 2020. godini iznose 272,5 milijuna eura, a tri najaktivnije zemlje u tom pogledu su Italija, Njemačka i Francuska, kako je naznačeno u nedavnom izvješću DLA Pipera o toj temi.

CNIL-u ne nedostaje sankcija, bilo protiv velikih digitalnih igrača ili mikropoduzeća ili malih i srednjih poduzeća, s kaznama prilagođenim prometu odgovornih.

No, iako multinacionalne kompanije mogu izdvojiti određene iznose kao dio postupka sankcija, utjecaj na manje strukture može biti značajan, u financijskom smislu ili u smislu javne slike.

Konkretno, najnovije sankcije CNIL-a za kršenje GDPR-a opravdane su kršenjem sigurnosnih pravila i nepoštivanjem pravila o komercijalnom istraživanju.

Dakle, Tvrtka Nestor kažnjena je s 20.000 eura zbog propusta u pribavljanju privole potencijalnih klijenata i zbog nepoštivanja prava dotičnih osoba (informacije, pristup).

Nedostatak odgovarajućih sigurnosnih mjera također je na meti CNIL-a, u ovom slučaju kao i u nedavnom koji uključuje napad kršenjem vjerodajnica: menadžer i njegov podizvođač izostavio je određene bitne zaštite poput ograničavanja broja dopuštenih zahtjeva na web stranici i korištenja CAPTCHA-e.

U ovom slučaju CNIL je izrekao kazne od 150.000 odnosno 75.000 euraIskoristila je priliku da na svojoj web stranici podsjeti ljude na mjere usmjerene na zaštitu osobnih podataka od ove vrste napada.

CNIL se također usredotočuje na upotrebu kolačića i na to kako se web stranice pridržavaju njegovih smjernica.

Podsjećamo, krajem 2020. objavila je smjernice o toj temi, u kojima se posebno navodi kako dobiti privolu korisnika interneta za korištenje uređaja za praćenje.

I također

Francuska:

Dana 26. siječnja, CNIL je izdao svoje mišljenje o zakon o globalnoj sigurnosti.

Ima rezerve prema korištenju dronova i zalaže se za prethodno eksperimentiranje, navodeći prošireno snimanje slika koje ova tehnologija omogućuje, s praćenjem ljudi u njihovim kretnjama, bez njihovog znanja i tijekom potencijalno dugog vremenskog razdoblja.

Dodaje da će ovi nadzorni uređaji vjerojatno imati veći utjecaj od tradicionalnih kamera na ostvarivanje drugih temeljnih sloboda građana (pravo na demonstracije, sloboda vjeroispovijesti, sloboda izražavanja).

Također se dovode u pitanje uvjeti korištenja kamera instaliranih u određenim vozilima, kao i video nadzor, posebno prijenos slika u stvarnom vremenu policiji.

Europa:

• Norveško nadzorno tijelo namjerava nametnuti Grindr kazna od 10 milijuna eura

Aplikacija ne samo da nudi uvjete i odredbe tipa "uzmi ili ostavi" koji ne dopuštaju korisnicima da pristanu ili ne na dijeljenje svojih podataka, već im nisu pružene nikakve informacije o ovom dijeljenju (osjetljivih) podataka s oglašivačkom platformom MoPub koju koristi Twitter, što omogućuje naknadno dijeljenje s više od stotinu klijenata. 

• U Italiji je tijelo za zaštitu podataka naložilo blokiranje od strane TikTok di bilo kakvo korištenje podataka korisnika čija dob nije provjerena. 

Optužuje TikTok za manjkav sustav provjere koji riskira izlaganje maloljetnika mlađih od 13 godina neprikladnom sadržaju.

Ova odluka, donesena hitno, uslijedila je nakon tragedije u kojoj je život izgubila desetogodišnja djevojčica koja je sudjelovala u izazovu na društvenoj mreži koji je postao viralan (igra šalova).

• Belgijsko tijelo za zaštitu podataka upozorilo je vladu na uvjete, koji se smatraju preširokima, pod kojima Nacionalni ured za socijalno osiguranje može dijeliti osobne podatke. zdravstveni podaci o covidu.

Poziva se na prilagodbu teksta kraljevskog dekreta kojim se određuju uvjeti za dijeljenje podataka.

Međunarodno:

Država New York upravo je donijela zakon kojim se obustavlja korištenje i kupnja tehnologije prepoznavanja lica i drugih biometrijskih identifikatora u školama do srpnja 2022.

Guverner New Yorka nalaže povjereniku za obrazovanje da provede studiju o prikladnosti ove tehnologije u obrazovnom okruženju.

Anne Christine Lacoste

Partnerica u tvrtki Olivier Weber Avocat, Anne Christine Lacoste, odvjetnica je specijalizirana za pravo podataka; bila je voditeljica međunarodnih odnosa u Europskom nadzorniku za zaštitu podataka i radila je na provedbi GDPR-a u Europskoj uniji.