Pravni postupak: nova dinamika za kolektivne tužbe?

Pravni nadzor br. 53 – Studeni 2022.

Pravni postupak: nova dinamika za kolektivne tužbe? Pravna zaštita u vezi s pitanjima zaštite osobnih podataka još je uvijek rijetka u Francuskoj i Europi.

Iako tisak redovito izvještava o sankcijama protiv tehnoloških divova, te su sankcije uglavnom djelo nadzornih tijela.

Posebno je štetu često teško procijeniti u slučajevima kršenja privatnosti, s obzirom na troškove pravnog postupka.

Situacija bi se uskoro mogla promijeniti, s prenošenjem Direktive (EU) 2020/1828 o reprezentativnim tužbama na nacionalnu razinu.

Države članice imaju rok do 25. prosinca ove godine da se usklade s ovom direktivom, koja ima za cilj zaštititi kolektivne interese potrošača.

Kolektivne tužbe već postoje u Francuskoj, a njihov opseg se postupno širio. Kolektivne tužbe postoje od zakona o potrošačkim pitanjima od 17. ožujka 2014.

Postupno je proširen na različita područja, uključujući osobne podatke, zakonom od 18. studenog 2016., kojim je stvoren novi članak 43ter u Zakonu o zaštiti podataka.

Tekst ipak ograničava pravo na podnošenje kolektivne tužbe na odobrene udruge za zaštitu potrošača, na udruge starije od pet godina čija je zakonska svrha zaštita privatnosti te na sindikalne organizacije koje predstavljaju zaposlenike ili državne službenike.

Ovaj pravni okvir nije dopuštao naknadu štete dotičnim osobama.

To je sada moguće, od donošenja zakona od 20. lipnja 2018. kojim se Zakon o zaštiti podataka prilagođava GDPR-u.

Kolektivna tužba sada omogućuje naknadu materijalne i moralne štete pred sudovima.

GDPR također omogućuje da se takva pravna zaštita ostvari ovlastima tijela, organizacija ili udruga da u njihovo ime podnesu pritužbu nadzornom tijelu.

Francuska stoga danas nije u najgorem položaju što se tiče zastupničkih tužbi, što pokazuju, na primjer, postupci organizacija poput La Quadrature du Net, koja je vrlo aktivna na području zaštite podataka.

Druge zemlje, međutim, idu dalje.

Kolektivna tužba u Francuskoj temelji se na „prijavi“ i uključuje samo osobe koje se izričito pridruže postupku, za razliku od „kolektivne tužbe“ koja a priori uključuje sve osobe koje odgovaraju profilu oštećenika i daje im mogućnost povlačenja iz postupka. U takvom slučaju govorimo o „odjavi“.

Iako su ove dvije vrste postupaka još uvijek relativno rijetke u Europi, kolektivna tužba u smislu postupka „isključivanja“ još je rjeđa.

Nizozemska dopušta obje vrste žalbe.

Tijekom protekle dvije godine ondje je osnovano nekoliko zaklada s ciljem pokretanja kolektivnih tužbi.

Te su zaklade, na primjer, napale antikonkurentsko ponašanje Applea i Googlea, prakse prikupljanja podataka TikToka, Salesforcea i Oraclea te Airbusa i Airbnb-a.

Činjenica da organizacija koja predstavlja tužitelje može tražiti odštetu za cijelu skupinu tužitelja, osim ako se oni "ne odluče", značajno mijenja pravila igre za kolektivne tužbe za zaštitu podataka, gdje su pojedinačne odštete općenito niske.

Ekonomski isplativa priroda takvih tužbi učinila je Nizozemsku vodećom europskom jurisdikcijom za kolektivne tužbe., a dolazi i do porasta financiranja ove vrste organizacija od strane trećih strana.

Twitter se danas tuži u Nizozemskoj zbog praćenja svojih korisnika.

Isto vrijedi i za druge popularne aplikacije, uključujući Shazam, Vinted, ali i osjetljivije aplikacije poput Grindra i aplikacija za praćenje menstrualnog ciklusa.

Europska direktiva dopušta zemljama EU-a da odaberu model sudjelovanja ili sudjelovanja, osim tužbe za sudsku zabranu koja - logično - predviđa sudjelovanja.

Treba napomenuti da tekst daje organizacijama mogućnost pokretanja prekograničnih postupaka i daje im izbor između nekoliko jurisdikcija. Tužba se može podnijeti u državi članici u kojoj tuženo društvo ima registrirano sjedište, ali i u bilo kojoj državi članici u kojoj ima podružnicu te u državi prebivališta oštećene osobe.

Francuska će se stoga morati pripremiti za rješavanje paneuropskih žalbi.

Također će morati prilagoditi svoj pravni okvir Princip "gubitnik plaća" u vezi s odvjetničkim honorarima i troškovima postupka te predvidjeti postupak otkrivanja, kakav postoji u zemljama običajnog prava, a koji dopušta, obrazloženom odlukom suca, predočavanje dokumenata korisnih za spor (kao što je identitet oštećenih stranaka).

Iako će se u nadolazećim mjesecima pojasniti uvjeti za primjenu direktive, već se čini izvjesnim da će ona utjecati na broj reprezentativnih tužbi u Europi.

Bilo bi dobro pripremiti se za to i pomno pratiti njegovu transpoziciju u Francuskoj.

I također

Francuska:

CNIL je kaznio DISCORD INC. s 800.000 eura zbog nepoštivanja nekoliko obveza iz GDPR-a, posebno u pogledu razdoblja čuvanja podataka i sigurnosti osobnih podataka.

CNIL također ističe nedostatak zaštite podataka po defaultu: korisnici nisu bili obaviješteni da se njihovi razgovori i dalje mogu čuti kada su mislili da su napustili sobu za glasovni chat.

Konačno, tvrtka je kritizirana jer nije provela analizu utjecaja prije implementacije tretmana.

Komisija je 24. studenog također objavila akcijski plan usmjeren na podršku usklađenosti mobilnih aplikacija i zaštitu privatnosti korisnika.

Namjerava produbiti svoju stručnost, podržati stručnjake i informirati građane, na primjer u obliku vodiča i preporuka.

Konačno, provodit će ciljane provjere i, ako je potrebno, poduzeti represivne mjere protiv organizacija koje ne poštuju svoje obveze.

Nakon velikog broja pritužbi, CNIL je pojasnio uvjete pod kojima organizacije dopunskog zdravstvenog osiguranja mogu prikupljati zdravstvene podatke.

Napominje da primjenjivi tekstovi nisu dovoljno precizni i preporučuje donošenje zakona.

1. siječnja 2023. označit će kraj papirnatih računa.

Ova "mjera protiv rasipanja" postavlja pitanja o zaštiti privatnosti jer će trgovci moći identificirati cijelu svoju bazu kupaca, uključujući i one koji nemaju karticu vjernosti.

CNIL je u svojoj bijeloj knjizi naglasio da se adresa e-pošte prikupljena u svrhu slanja potvrde ili elektroničkog plaćanja ne može koristiti u komercijalne svrhe istraživanja i istraživanja, budući da su te dvije svrhe prilično različite.

Bit će važno dobiti privolu dotične osobe ili, u slučaju istraživanja proizvoda ili usluga sličnih onima koje tvrtka već pruža, unaprijed je obavijestiti o svrhama i mogućnosti prigovora u trenutku prikupljanja.

Kasacijski sud je u svojoj presudi od 7. studenog smatrao da kod za otključavanje početnog zaslona telefona može predstavljati "ključ za dešifriranje".

Ako je vjerojatno da je korišten u pripremi ili počinjenju zločina ili prekršaja, njegov vlasnik dužan je istražiteljima dati kod za otključavanje početnog zaslona.

Ako odbije priopćiti ovaj kod, čini prekršaj "odbijanja dostave tajnog sporazuma o dešifriranju", kažnjiv novčanom kaznom i zatvorom.

Europa:

Dana 16. studenog 2022. stupila je na snagu Uredba o digitalnim uslugama (DSA).

Ova uredba pruža nove odgovornosti za digitalne platforme kako bi se ograničilo širenje ilegalnog sadržaja i proizvoda, povećala zaštita maloljetnika te korisnicima pružio veći izbor i bolje informacije.

Europski odbor za zaštitu podataka (EDPB) objavio je svoje preporuke o postupku odobravanja i elementima koji će biti uključeni u Obvezujuća korporativna pravila (BCR) za voditelje obrade podataka.

Dokument je otvoren za javnu raspravu do 10. siječnja 2023.

Europski nadzornik za zaštitu podataka (EDPS) objavio je svoje mišljenje o predloženoj uredbi o kibernetičkoj sigurnosti.

Cilj teksta je definirati zahtjeve kibernetičke sigurnosti na razini cijele EU za širok raspon hardverskih i softverskih proizvoda kao što su preglednici, operativni sustavi, vatrozidovi, sustavi za upravljanje mrežom, pametna brojila ili usmjerivači.

EDPS preporučuje integriranje načela zaštite podataka u ovaj tekst već na početku i po zadanim postavkama.

Također je naglasio da europski certifikat za kibernetičku sigurnost ne može zamijeniti GDPR certifikaciju.

EDPS je također komentirao prijedlog uredbe o uspostavljanju zajedničkog okvira za medijske usluge: U svom mišljenju od 14. studenog ističe neadekvatnost mjera predviđenih za zaštitu novinara, njihovih izvora i pružatelja medijskih usluga.

Preporučuje pojašnjenje da bi svaki novinar imao koristi od ove zaštite te potiče daljnje sužavanje iznimki koje dopuštaju presretanje komunikacija špijunskim softverom ili drugim oblicima nadzora.

Nakon dvije godine pregovora s Microsoftom, zajednički odbor njemačke Savezne agencije za zaštitu podataka i 16 državnih regulatora izdao je izjavu koja će vjerojatno imati dalekosežne implikacije: kontrolori podataka trenutno ne mogu legalno koristiti MS365 prema GDPR-u.

Nizozemsko tijelo za zaštitu podataka izdalo je 14. studenog upozorenje svojoj vladi, odvraćajući je od korištenja američkih usluga u oblaku. Poziva vladu da koristi europske alternative.

Mađarska agencija za zaštitu podataka (DPA) naredila je operateru web stranice za vremensku prognozu da prestane prenositi podatke u Sjedinjene Države putem Googlea.

DPA je utvrdio da je operater web stranice koristio Google Analytics bez primjene odgovarajućih zaštitnih mjera za prijenos podataka u Sjedinjene Američke Države.

Irsko vijeće za građanske slobode 17. studenog u pismu upućenom Europskoj komisiji istaknulo je da Meta krši GDPR i da se ne može pridržavati Uredbe o digitalnim tržištima (DMA).

ICCL citira nedavno otpečaćene sudske dokumente u Kaliforniji koji kažu da Meta nije odgovorila na zahtjev za informacijama o tome što radi 149 njezinih sustava za obradu podataka, što ukazuje na to da rad tih sustava nije bio razumljiv ljudima.

Irska Komisija za zaštitu podataka donijela je 25. studenog odluku u svojoj istrazi o Facebookovom prikupljanju podataka, koja se odnosi na online dostupnost osobnih podataka više od 530 milijuna korisnika.

Načela o kojima je riječ odnosila su se na zaštitu podataka već u fazi dizajna i po zadanim postavkama kako je predviđeno GDPR-om.

Odlukom se nameću administrativne kazne u ukupnom iznosu od 265 milijuna eura i korektivne mjere.

Meta se suočava s još tri postupka za kršenje GDPR-a u Europi.

To se odnosi na opće uvjete Facebooka, ali i na Instagram i WhatsApp.

Očekuje se da će nalazi EDPB-a o potonjem biti objavljeni 5. prosinca i s nestrpljenjem se očekuju. 

Oni se odnose na pravnu osnovu za prikupljanje podataka od korisnika društvenih mreža.

Meta je promijenila ovu pravnu osnovu od privole do nužnosti obrade na temelju ugovora, s pravnim posljedicama koje bi, ako ih odobre tijela za zaštitu podataka, nadilazile kontekst ovog slučaja.

Ured povjerenika za informiranje objavio je 17. studenog ažuriranje svojih smjernica o međunarodnim prijenosima.

Ovo ažuriranje uključuje novi odjeljak o procjenama rizika prijenosa (TRA) i alat za kontrolore.

Ujedinjeno Kraljevstvo sklopilo je sporazum o prijenosu osobnih podataka s Korejom, koji će stupiti na snagu 19. prosinca.

Tvrdi se da je njihov sporazum "širi" od sporazuma EU-a, omogućujući tvrtkama prijenos podataka koji se odnose na kreditne informacije.

Međunarodno:

Google je pristao platiti rekordnih 391,5 milijuna dolara u nagodbi zbog kršenja privatnosti u 40 američkih saveznih država.

Slučaj se odnosi na geolokacijske prakse tvrtke: prema glavnim odvjetnicima, korisnici su bili obmanuti u vezi s uvjetima za deaktivaciju svoje geolokacije u postavkama svog računa.

Europska tijela za zaštitu podataka upozorila su da dvije aplikacije Ehteraz i Hayya, koje su katarske vlasti nametnule za ulazak u zemlju, stvaraju masovna kršenja privatnosti, dopuštanjem opsežnog pristupa korisničkim podacima, uključujući podatke o lokaciji i podatke o pozivima.

CNIL je preporučio da ljudi koji putuju u Katar koriste prazan ili resetirani telefon.

Globalna kontrola privatnosti, stvorena u listopadu 2020., sada bilježi porast upotrebe zahvaljujući prihvaćanju od strane velikih izdavača i platformi za upravljanje online pristankom.

GPC omogućuje korisnicima da se jednim klikom odjave od prodaje osobnih podataka na razini preglednika, za sve ili neke web-lokacije.

Za razliku od obrađivača za isključivanje, koji često učitavaju sadržaj i počinju prikupljati podatke prije nego što korisnik ima priliku isključiti se, GPC poštuje korisnikov izbor prije nego što se web-mjesto učita.

Anne Christine Lacoste

Partnerica u tvrtki Olivier Weber Avocat, Anne Christine Lacoste, odvjetnica je specijalizirana za pravo podataka; bila je voditeljica međunarodnih odnosa u Europskom nadzorniku za zaštitu podataka i radila je na provedbi GDPR-a u Europskoj uniji.