GDPR: sudska praksa postaje jasnija!

GDPR: sudska praksa postaje jasnija! CNIL se već istaknuo izričući Googleu rekordnu kaznu od 50 milijuna eura prošlog siječnja zbog toga što nije informirao svoje korisnike prilikom korištenja Androida, kaznu koju je u lipnju potvrdilo Državno vijeće.

Francusko tijelo za zaštitu podataka danas je izreklo kaznu Carrefour France i Carrefour Banque u iznosu od 2.250.000, odnosno 800.000 eura.

Iako je CNIL već poduzeo brojne represivne mjere od stupanja na snagu GDPR-a, rasprava od 18. studenog govori nam malo više o njegovoj procjeni kršenja zakona i razlozima koji vode njegove odluke.

Okidači za istragu

Općenito govoreći, CNIL započinje istragu ili nakon podnošenja pritužbe ili određenog izvješća, ili na vlastitu inicijativu kao dio svojih misija praćenja.

U potonjem slučaju, kontrole će opsežnije obuhvatiti one odgovorne za prethodno utvrđeni sektor. 

CNIL je stoga u svojoj strategiji kontrole za 2020. godinu definirao nekoliko prioriteta koji podliježu detaljnijim provjerama: zdravstveni podaci, geolokacija za lokalne usluge, kao i kolačići i drugi alati za praćenje.

U ovom slučaju, dvije tvrtke Carrefour France i Carrefour Banque bile su predmet istrage nakon podnošenja 15 pritužbi CNIL-u između lipnja 2018. i travnja 2019.

Ove su se pritužbe odnosile na komercijalne prakse istraživanja podataka i nepoštivanje prava pristupa i brisanja podataka.

CNIL je proveo nekoliko online provjera u prostorijama tvrtki i pokrenuo formalnu istragu krajem siječnja 2019.

Suprotstavljeni postupak doveo je do nekoliko razmjena zapažanja između tvrtke i izvjestitelja CNIL-a, što je kulminiralo službenom raspravom 18. studenog.

Razlozi za odluku

CNIL primjećuje nepoštivanje brojnih članaka GDPR-a:

• Obveza informiranja pojedinaca (članak 13. GDPR-a)

Informacije koje su pojedincima pružene u vezi s obradom njihovih podataka bile su teško dostupne, nepotpune i zakopane u dugim tekstovima o drugim temama.

CNIL kritizira korištenje previše nejasnih pojmova: Korištenje, gotovo sustavno (...), pojmova kao što su "ovi tretmani uključuju posebno, iz jednog ili više sljedećih razloga" Ili "Vaši podaci mogu biti korišteni" ne dopuštaju dotičnim osobama da u potpunosti razumiju provedenu obradu.

• Kolačići (članak 82. Zakona o zaštiti podataka)

Po dolasku na web stranicu, svakom posjetitelju je predstavljeno 39 kolačića prije nego što ih je uopće imao priliku prihvatiti ili odbiti.

Tri od ovih kolačića pripadala su rješenju Google Analytics, s ciljem ciljanog oglašavanja na korisnike interneta.

Podaci posjetitelja web stranice Carrefour.fr stoga su prikupljeni kršeći članak 82. Zakona o zaštiti podataka.

Za više informacija o praćenju korisnika interneta, CNIL je 1. listopada objavio ažuriranje svojih smjernica.

• Razdoblje čuvanja podataka (članak 5.1.e GDPR-a)

CNIL smatra da je razdoblje čuvanja podataka o kupcima (4 godine) predugo: kupac koji nije trgovao s tvrtkom nekoliko godina više se ne bi trebao smatrati aktivnim kupcem. 

Komisija se poziva na svoju doktrinu o toj temi koja preporučuje maksimalno razdoblje čuvanja od tri godine: citira stari pojednostavljeni standard br. 48 koji se odnosi na datoteke potencijalnih kupaca i online prodaju te svoj nedavni nacrt referentnog okvira koji se odnosi na obradu osobnih podataka provedenu u svrhu upravljanja komercijalnim aktivnostima.

• Ostvarivanje prava (članak 12. GDPR-a)

Postupak koji je provodio Carrefour France zahtijevao je dokaz identiteta od podnositelja zahtjeva u okolnostima u kojima to nije bilo potrebno jer je identitet kupaca utvrđen.

Nadalje, vrijeme obrade zahtjeva u nekoliko je slučajeva premašilo zakonske propise.

• Poštovanje prava (članci 15., 17. i 21. GDPR-a i L34-5 Zakona o pošti i elektroničkim komunikacijama)

CNIL je zabilježio nekoliko slučajeva nedostatka odgovora na zahtjeve podnositelja pritužbi za pristup, prigovor i brisanje podataka.

• Obveza poštene obrade podataka (članak 5. GDPR-a)

Određeni podaci (poštanska adresa, telefonski broj, broj djece) koji su dostavljeni prilikom online prijave za Carrefour kreditnu karticu (Pass kartica) preneseni su u Carrefour program vjernosti, što je u suprotnosti s informacijama koje su dostavljene dotičnim osobama.

• Kršenje sigurnosti (članak 32. GDPR-a)

CNIL je konačno uočio ranjivost koja omogućuje online pristup računima kupaca te naglašava da uvedena mjera, naime dodavanje niza nasumičnih znakova, sama po sebi nije dovoljna za prevladavanje takve ranjivosti.

CNIL ističe da ANSSI upozorava na ovu ranjivost povezanu s URL adresama još od 2013. godine.

Nakon otkrivanja ranjivosti trebao je biti implementiran obvezni sustav prethodne autentifikacije.

Napori za usklađivanje i odgovarajuće sankcije

Tvrtke su surađivale s CNIL-om tijekom postupka i poduzele sve potrebne mjere kako bi obradu svojih podataka uskladile sa zakonom.

Iako CNIL ističe ovu suradnju, ipak sankcionira odgovorne zbog ozbiljnosti kršenja: radi se o ozbiljnim propustima i utječe na značajan broj ljudi.

Međutim, još smo daleko od maksimalne kazne koju je CNIL mogao izreći, a koja iznosi 4% prometa. 

Za izračun ovog prometa, koji služi kao osnova za izračun osnove za kaznu, CNIL prvo identificira dotičnu tvrtku.

Smatra da je, radi procjene koncepta poduzeća u skladu s člancima 101. i 102. UFEU-a, primjereno uzeti u obzir promet koji je ostvarilo društvo CARREFOUR FRANCE i podružnice u njegovom vlasništvu, a koje su imale koristi od obrade. 

Promet ove tvrtke (...) tako iznosi 14,9 milijardi eura u 2019. godini.

Ograničena obuka CNIL-a, međutim, uzima u obzir i specifičnu prirodu ekonomskog modela masovne distribucije, koji karakterizira posebno visoka fluktuacija, ali niske marže. 

Ti su elementi doveli do odluke o izricanju kazne od 2.250.000 eura za Carrefour France i 800.000 eura za Carrefour Banque.

Ozbiljnost kršenja također opravdava javnost odluke i predstavlja način informiranja mnogih dotičnih ljudi.

Lijekovi

Odluka CNIL-a predstavlja akt upravnog tijela i podložna je žalbi Državnom vijeću u roku od dva mjeseca od njezine objave. 

I također

Francuska:

• Događaj koji je CNIL organizirao 23. studenog prenosivost podataka dostupan je online na web stranici tijela.

• Kako bi se podigla svijest među općinama i međuopćinskim zajednicama o – vrlo stvarnim – rizicima kibernetičkih napada, ANSSI objavljuje vodič za pitanja kibernetičke sigurnostiOvaj vodič ima za cilj uvjeriti izabrane dužnosnike da ulažu u razvoj zaštite svojih informacijskih sustava.

Europa:

• Belgijsko tijelo za zaštitu privatnosti sklopilo je nagodbu 26. studenog memorandum o razumijevanju s DNS Belgium obustaviti domene ".be" web-mjesta koja krše GDPR.

• Prije 8. siječnja Europska komisija će odlučiti oGoogle preuzima FitBit, akvizicija koja postavlja pitanja u područjima zaštite podataka i tržišnog natjecanja.

• Europska komisija objavila je 12. studenog nacrt standardnih ugovornih klauzula, a nacrt je bio otvoren za komentare četiri tjedna.

Ova revidirana verzija ima za cilj otkloniti posljedice sada već poznate presude Schrems II i omogućiti prijenos podataka u Sjedinjene Američke Države u skladu s europskim zakonodavstvom.

Također se pozivamo na preporuke Europskog odbora za zaštitu podataka o istoj temi, usvojene 10. studenog.

• Očekuje se da će nova europska uredba o digitalnim uslugama biti objavljena početkom prosinca.

Cilj Komisije je da regulirati "velike tehnološke tvrtke" tako što će malim i srednjim poduzećima/minim poduzećima omogućiti razvoj usluga, osnažiti digitalne igrače i boriti se protiv dezinformacija na internetu.

Međunarodno:

• Novi kanadski zakon o zaštiti osobnih podataka postao je učinkovitiji, uz znatne novčane kazne za kršenje njegovih načela.

• Sjedinjene Američke Države: Zakon o pravima privatnosti Kalifornije („CPRA“) usvojen je 3. studenog.

Ovim novim tekstom uspostavlja se nadzorno tijelo, Kalifornijska agencija za zaštitu privatnosti, s ovlastima izricanja financijskih kazni.

To je prvo nadzorno tijelo u ovom sektoru u Sjedinjenim Državama.

Anne Christine Lacoste

Partnerica u tvrtki Olivier Weber Avocat, Anne Christine Lacoste, odvjetnica je specijalizirana za pravo podataka; bila je voditeljica međunarodnih odnosa u Europskom nadzorniku za zaštitu podataka i radila je na provedbi GDPR-a u Europskoj uniji.