„WhatsApp“ sprendimas: GAFAM nebaudžiamumo pabaiga Europoje?

Teisinis stebėjimas Nr. 38 – 2021 m. rugpjūtis

„WhatsApp“ sprendimas: GAFAM nebaudžiamumo pabaiga Europoje? Ankstesnėje naujienoje pranešėme apie sunkumus, su kuriais susiduriama siekiant susitarimo Europos lygmeniu dėl Bendrojo duomenų apsaugos reglamento įgyvendinimo. 

Neseniai Airijos reguliavimo institucijos priimtas sprendimas dėl „WhatsApp“ rodo tolesnę pažangą bendradarbiaujant priežiūros institucijoms, kurios yra įtvirtintos BDAR.

Rugsėjo 2 d. „WhatsApp“ skirta 225 mln. eurų administracinė bauda. Airijos sprendimas priimtas po kelių Europos duomenų apsaugos valdybos (EDAV) vidaus vingių.

Pagal BDAR 65 straipsnyje numatytą ginčų sprendimo procedūrą Komitetas privertė Airiją peržiūrėti savo išvadas todėl ji turėjo išplėsti nusikaltimo elementus, gerokai padidinti baudos dydį ir sutrumpinti „WhatsApp“ suteiktus terminus sprendimui įvykdyti.

Skaičiuodamas baudą, Komitetas atsižvelgė į tai, kad reikia atsižvelgti ne tik į „WhatsApp“, bet ir į jos patronuojančios bendrovės „Facebook“ apyvartą.

Taip pat buvo nuspręsta, kad kelių to paties duomenų tvarkymo pažeidimų atveju pažeidimai turėtų būti sumuojami, tačiau neviršijant BDAR numatytos 4% apyvartos ribos.

Reikėtų pažymėti, kad bauda, kad ir kokia didelė ji atrodytų, sudaro tik 0,081 TP3T „Facebook“ apyvartos.

Kas verčia susimąstyti, turint omenyje, kad Airijos valdžia iš pradžių planavo 50 milijonų eurų baudą.

Prisiminkime tai Liuksemburgo duomenų apsaugos institucija rugpjūčio pradžioje skyrė „Amazon“ 746 mln. eurų baudą., didžiausia kada nors pagal BDAR skirta bauda.

Pagrindinis tyrimo klausimas buvo tas, ar „WhatsApp“ laikėsi savo informacijos teikimo įsipareigojimų savo vartotojams, taip pat ir ne vartotojams, kurių duomenys taip pat renkami.

Informaciniai pranešimai buvo pripažinti sudėtingais, todėl neįmanoma tinkamai suprasti bendrovės teisėtų interesų.

Naudotojų naudojimasis „prieiga prie kontaktų“ funkcija yra visiškai nepermatomas minėtiems kontaktams, kurių duomenys tvarkomi, net jei jie patys nebūtinai naudojasi programa.

Be BDAR 12, 13 ir 14 straipsnių pažeidimo dėl informavimo įpareigojimų, Komitetas daro išvadą, kad pažeidimai yra pakankamai rimti, kad būtų galima laikyti BDAR 5 straipsnio 1 dalies a punkto pažeidimu dėl bendrojo skaidrumo principo.

Airijos institucijos sprendimas, kurį patvirtino Komitetas, yra naudingas etapas duomenų valdytojams, susijęs su BDAR numatytais informavimo įpareigojimais.

Išlaikomos šios gairės:

–           Venkite informacijos išsklaidymo skirtinguose puslapiuose, kuriuose vartotojas turi spustelėti kelias nuorodas, taip pat begaliniuose išskleidžiamuosiuose meniu ir informacijos sutelkime vienoje vietoje.

–           Aprašykite apdorojimo operacijas, surinktus duomenis ir kiekvieno nustatyto tikslo teisinį pagrindą.

Taip pat nurodykite šią informaciją apie kiekvieną trečiąją šalį, turinčią prieigą prie duomenų.

Šių skirtingų elementų pateikimas lentelės forma gali padėti juos aiškiai suprasti.

–           Pateikite informacijąn apie „ne naudotojus“ atskirai ir lengvai prieinamu būdu.

–           Nurodykite aplinkybes, kuriomis duomenys bus saugomi / ištrinta, su konkrečiomis iliustracijomis.

–           Nurodykite teisinį pagrindą leidžiant perduoti duomenis už Europos Sąjungos ribų, nurodant, jei nėra sprendimo dėl tinkamumo, alternatyvų teisinį pagrindą.

Bendro pobūdžio nuorodos į Europos Komisijos tinklalapį nepakanka.

.

Ir taip pat

Prancūzija:

CNIL tęsia savo atitikties veiksmus dėl slapukų.

Ji kalbėjo antroje laidų serijoje oficialūs pranešimai vasarą prieš kelis internetinės prekybos dalyvius, pagrindines skaitmeninės ekonomikos platformas, vietos valdžios institucijas ir bankų sektorių.

Ji taip pat turi sankcionuotas Liepos 27 d. „Figaro“ bendrovė sumokėjo 50 000 eurų. už reklaminių slapukų įdėjimą be interneto vartotojų sutikimo.

Ji naudojasi proga priminti atsakomybės pasidalijimą tarp svetainių leidėjų ir jų komercinių partnerių.

Kompiuterio gedimas yra prieinama maždaug 700 000 žmonių, kurie atliko COVID-19 testą, asmens duomenys.

Šis saugumo pažeidimas pabrėžia skirtingą vaistininkų naudojamų vyriausybės SI-DEP platformos duomenų perdavimo paslaugų patikimumą.

Nors pati SI-DEP platforma yra saugi, ne visa tarpinė programinė įranga yra saugi.

Sveikatos apsaugos generalinis direktoratas (DGS) išsiuntė vaistininkams el. laišką, primindamas jiems apie patvirtintą ir su SI-DEP suderinamą programinę įrangą.

„Francetest“ atliktas tyrimas, kurio klaida buvo atskleista rugpjūčio 31 d., nebuvo to dalis.

CNIL prisiminti atsižvelgiant į dabartinę mokslo metų pradžią, reikalavimus, kuriuos reikia įvykdyti naudojant biometrinius duomenis mokyklose.

Jame nagrinėjamas rankos kontūro atpažinimas siekiant patekti į mokyklų valgyklas ir apibrėžiami informacijos, sutikimo ir duomenų saugumo reikalavimai.

Ji priduria, kad atsisakymas tvarkyti biometrinius duomenis ir dėl to patekti į valgyklą kitu būdu neturi pakenkti atitinkamam studentui.

Europa:

Vartojimo kreditas: Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) rugpjūčio 26 d. paskelbė nuomonę dėl Europos Komisijos siūlomos direktyvos.

Priežastis – nauji kredito vertinimo metodai, naudojant skaitmenines technologijas.

Jei tokie vertinimai yra būtini suteikiant vartotojui kreditą, EDAPP prašo, kad tam tikri duomenys nebūtų įtraukiami į vertinimo procedūras.

Be sveikatos ir socialinės žiniasklaidos duomenų, EDAPP nori, kad draudimas būtų taikomas visiems neskelbtiniems duomenims (pavyzdžiui, susijusiems su religija ir politinėmis pažiūromis), taip pat interneto vartotojų naršymo duomenims.

Kontrolierius taip pat atkreipia dėmesį į poreikį geriau reglamentuoti trečiųjų šalių, teikiančių kredito analizės paslaugas, vaidmenį ir dirbtinio intelekto sistemų sertifikavimą šiame sektoriuje.

Veido atpažinimas: Europos Taryba paskelbė gaires, kuriomis siekiama pateikti orientacinių priemonių rinkinį vyriausybėms, veido atpažinimo technologijų kūrėjams, gamintojams, paslaugų teikėjams ir subjektams, naudojantiems veido atpažinimo technologijas.

Tikslas – užtikrinti, kad juos dislokuojant nebūtų pažeidžiamas žmogaus orumas, žmogaus teisės ir pagrindinės laisvės, įskaitant teisę į asmens duomenų apsaugą.

Italija: Duomenų apsaugos tarnyba (Garante) skyrė „Deliveroo“ 2,5 mln. eurų baudą.už neskaidrų algoritmo naudojimą pristatymo tvarkyklėms valdyti ir neproporcingą jų asmens duomenų rinkimą, pažeidžiant BDAR teisėtumo, skaidrumo, minimizavimo ir apribojimo principus.

Tarptautinis:

Kinijos Liaudies Respublika priėmė rugpjūčio 20 d. įstatymas dėl asmeninės informacijos apsaugos (PIPL).

Šis įstatymas įsigalios 2021 m. lapkričio 1 d. 

Juo siekiama ne tik apsaugoti asmeninius duomenis, bet ir valstybės saugumą bei šalies ekonominius interesus, susijusius su GAFAM.

Įstatyme numatyti griežti įpareigojimai dėl vietinio duomenų saugojimo ir tarptautinių perdavimų apribojimai.

Talibano užgrobtas Afganistanas taip pat turi pasekmių duomenų apsaugos srityje.

Keli failai, įskaitant Vidaus reikalų ir Gynybos ministerijų valdomą, būtų saugoma ypač jautri informacija.

Aptariami duomenys apima pusės milijono žmonių policijos ir armijos duomenis: pavardę, vardą, taip pat su biometriniu profiliu susietą asmens kodą, karjeros duomenis ir šeimos ryšius, taip pat dviejų genčių „vyresniųjų“, kurie verbavimo metu veikia kaip laiduotojai, asmens duomenis.

Visa ši informacija, jai pasikeitus savininkams, gali padėti nustatyti ryšius tarp vietos bendruomenių ir etninių grupių.