Analitinės priemonės: teismo sprendimo ir žvalgybos tarnybų poveikis mūsų svetainėms.

Teisinis stebėjimas Nr. 44 – 2022 m. vasaris

Analitinės priemonės: teismo sprendimo ir žvalgybos tarnybų poveikis mūsų svetainėmsEuropos Sąjungos Teisingumo Teismo sprendimas „Schrems II“ byloje, jo paskelbimo metu 2020 m. liepos mėn., jau buvo laikomas svarbiu sprendimu asmens duomenų apsaugos, o konkrečiau – perdavimo Jungtinėms Amerikos Valstijoms, kontekste.

Šiandien tai turi vis platesnio masto pasekmių – logiška Teismo išvadų dėl Amerikos žvalgybos prieigos prie Europos duomenų rizikos pasekmė.

Šios pasekmės dabar paveikia dažniausiai naudojamas priemones, tokias kaip auditorijos matavimo sprendimai ir „Google“ šriftai.

Praėjusį mėnesį jau minėjome Austrijos, Nyderlandų, Norvegijos ir Vokietijos duomenų apsaugos institucijų priimtus pakopinius sprendimus, prie kurių pridedami ir [data/įmonės/įstaiga] sprendimai. CNIL ir Lichtenšteinas.

Šie sprendimai priimti po to, kai Maxas Schremsas ir jo asociacija NOYB (Europos skaitmeninių teisių centras) pateikė valdžios institucijoms skundus (iš viso 101), kuriais siekiama užtikrinti, kad GAFAM laikytųsi Teisingumo Teismo sprendimo.

Valdžios institucijų išvados yra tokios:

• „Google Analytics“ naudojami slapukų identifikavimo duomenys ir neanoniminiai IP adresai yra asmens duomenys.

Jie taip pat gali būti derinami su kitais trečiųjų šalių (žvalgybos tarnybų) turimais identifikuojamais duomenimis.

• Faktas Tai, kad duomenys renkami per Europos svetainę, nėra svarbu vertinant trečiųjų šalių prieigos riziką. : kas yra duomenų perdavimas į Jungtines Valstijas

• Perdavimas į Jungtines Amerikos Valstijas leidžiamas tik tuo atveju, jei yra įdiegtos tinkamos apsaugos priemonės. be standartinių sutarčių sąlygų, reikėtų imtis ir kitų priemonių, siekiant pašalinti trečiųjų šalių vyriausybės prieigos prie duomenų riziką.

• Duomenų apsaugos institucijos manė, kad Papildomų „Google“ suteiktų garantijų nepakako kad būtų užkirstas kelias Amerikos žvalgybos tarnybų prieigai prie duomenų.

Šiuo metu sankcijos daugiausia susideda iš įspėjimų ir nurodymus uždrausti naudoti inkriminuotus įrankius svetainių valdytojų. CNIL praneša, kad šiuo klausimu pradėjo kelias oficialias pranešimo procedūras.

Nors „Google Analytics“ yra plačiai naudojama, šių sprendimų poveikis tuo neapsiribos: duomenų apsaugos institucijos plečia savo analizę „iki kitos svetainių naudojamos priemonės, dėl kurių duomenys iš Europos interneto vartotojų perduodami Jungtinėms Amerikos Valstijoms ".

Todėl daugelis Europos operatorių, viešojo ar privačiojo sektoriaus objektų valdytojų, yra susirūpinę.

Žinome, kad prevencija yra geriau nei gydymas, ir šiuo atveju turėtume kreiptis – jei tokių yra – į priemones, kurios nerenka asmens duomenų ir nesaugo jų vietiniuose serveriuose.

Todėl CNIL rekomenduoja, kad įrankiai būtų naudojami tik anoniminiams statistiniams duomenims gauti, o tai taip pat leidžia atleisti nuo reikalavimo gauti naudotojo sutikimą.

Ji pradėjo esamų sprendimų vertinimo procedūrą ir skelbia savo svetainėje sprendimai, atitinkantys šiuos reikalavimus, įskaitant, pavyzdžiui, „Matomo“, „Wysistat“, „Beyable“ arba „Compass“.

Atkreipkime dėmesį, kad net ir pačius efektyviausius įrankius kartais galima sukonfigūruoti skirtingais būdais: Svetainės administratoriaus pareiga yra patikrinti, ar numatytoji konfigūracija atitinka įstatymų reikalavimus..

Dabartinėmis aplinkybėmis duomenų prieinamumo trečiosioms šalims ribojimas bet kokiu atveju yra skatintina praktika, nepriklausomai nuo to, ar prieigos rizika kyla iš anapus Atlanto, ar iš kitur.

Ir taip pat

Prancūzija:

CNIL teikia viešoms konsultacijoms projekto pozicijos dėl „išmaniųjų“ kamerų projektą iki 2022 m. kovo 11 d. arba „papildytas“ viešosiose erdvėse.

Taip pat ji skelbia savo naują 2022–2024 m. strateginį planą., suskirstytas į tris prioritetines kryptis, skirtas patikimai skaitmeninei visuomenei: „skatinti pagarbą teisėms, propaguoti BDAR kaip turtą ir orientuoti reguliavimą į svarbius klausimus“.

Jos prioritetinės kontrolės temos 2022 m. yra komercinė paieška, debesų kompiuterija ir nuotolinio darbo stebėsena.

Prancūzija pradeda nacionalinė kibernetinių nusikaltimų informavimo kampanija, bendradarbiaujant su žiniasklaida, kuria siekiama nukreipti visuomenę kibernetinio saugumo sprendimų link. 

Europa:

Plenariniame posėdyje, vykusiame vasario 22 d. Europos duomenų apsaugos valdyba (EDAV) priėmė laišką dėl Europos Tarybos konvencijos dėl elektroninių nusikaltimų ir jos Antrojo papildomo protokolo, laiškas kuriame jis reiškia susirūpinimą dėl trečiųjų šalių vyriausybių galimybių tiesiogiai prašyti duomenų iš Europos paslaugų teikėjų.

Ji taip pat paskelbė elgesio kodeksų, kaip tarptautinio duomenų perdavimo priemonių, gaires ir laišką dėl atsakomybės klausimų dirbtinio intelekto kontekste.

Vasario 15 d. Europos duomenų apsaugos valdyba taip pat pradėjo pirmuosius koordinuotus vykdymo užtikrinimo veiksmus dėl debesijos naudojimo viešajame sektoriuje.

Debesijos naudojimas, kuris per šešerius metus ES padvigubėjo, pandemijos metu dar labiau išaugo, o tai turi įtakos Europos teisės aktų laikymuisi. Dvidešimt dvi duomenų apsaugos institucijos, įskaitant CNIL, išsiųs klausimynus 75 valdžios institucijoms, kad patikrintų, ar laikomasi BDAR, ir prireikus inicijuos oficialius patikrinimus.

Debesų kompiuterijos infrastruktūros paslaugų teikėjų organizacija CISPE paskelbė, kad Europos duomenų apsaugos valdyba (EDV) patvirtino jos duomenų apsaugos elgesio kodeksą..

Kelios įmonės jau jį pasirašė, įskaitant „Aruba“, „Amazon Web Services“, „Elogic“, „Leaseweb“, „Outscale“ ir „OVHCloud“.

Kodekse visų pirma numatyta galimybė vartotojams pasirinkti saugoti duomenis Europos ekonominėje erdvėje.

NVO taip pat gali būti kontroliuojamos: Belgijos duomenų apsaugos tarnyba (BDA), gavusi kreipimąsi į CNIL, skyrė dvi sankcijas nevyriausybinei organizacijai „EU DisinfoLab“ ir vienam iš jos tyrėjų. Nustatyti BDAR pažeidimai susiję su masiniu duomenų rinkimu atliekant tyrimą, kuriuo siekiama nustatyti asmenų, kurie tviteryje paskelbė žinutes apie „Benallos bylą“, politines pažiūras.

Svarbiu sprendimu Belgijos duomenų apsaugos institucija taip pat skyrė 250 000 eurų baudą Europos interaktyvios reklamos biurui (IAB Europe). už teisėtumo, lojalumo ir skaidrumo principų pažeidimą, techninių ir organizacinių duomenų apsaugos priemonių trūkumą, registro nebuvimą, poveikio analizės trūkumą ir duomenų apsaugos pareigūno paskyrimą. Už šio nusikaltimų sąrašo slypi „realaus laiko pasiūlymų teikimo“ principas (interneto vartotojų duomenų pardavimas aukcione per sutikimo valdymo platformas – CMP), kuris yra sankcionuojamas dėl visiško jo neskaidrumo atitinkamiems asmenims.

Italijos duomenų apsaugos institucija sankcionavo privatų klubą iki 2 000 EUR už tai, kad stebėjimo kameras nukreipė į viešąjį kelią be aiškių ženklų, pažeisdama BDAR 5(1)(a) ir 5(1)(c) straipsnius bei 13 straipsnį. 

Nyderlanduose Hagos apygardos teismas skyrė sankcijas darbdaviui, kuris slapta įrašinėjo savo darbuotojo pokalbį telefonu.Teismui įtarti darbuotoją susisiekus su savo klientais siekiant įkurti savo verslą nepakanka, kad būtų pateisintas slaptas skambučių įrašymas.

Taip pat Nyderlanduose Duomenų apsaugos tarnyba skyrė žiniasklaidos bendrovei 525 000,00 eurų baudą: Pastarasis paprašė žmonių, besinaudojančių savo teise susipažinti su savo duomenimis, pateikti jų asmens tapatybės kortelės kopiją, tačiau šis prašymas buvo laikomas nepagrįstu ir pažeidžiančiu BDAR 12(2) straipsnį.

Ispanijos duomenų apsaugos tarnyba skyrė 200 000 eurų baudą prieš Ispanijos futbolo federaciją už vaizdo konferencijos įrašo bendrinimą „Zoom“ platformoje be išankstinio dalyvių informavimo ar sutikimo. 

Taip pat Ispanijoje „Amazon“ kelių transportui skirta 2 000 000 eurų bauda. už neteisėtą teistumo informacijos rinkimą jų įdarbinimo proceso metu.

Tarptautinis:

Tarptautinis Raudonojo Kryžiaus komitetas ką tik tapo itin sudėtingos kibernetinės atakos, galinčios turėti reikšmingų pasekmių, auka. atsižvelgiant į organizacijos tvarkomų duomenų jautrumą. Svetainėje pateikiama pavyzdinė informacija visuomenei nuo vasario 16 d., kurioje paaiškinamos išpuolio aplinkybės, galimos rizikos ir veiksmai, kurių imtasi šiai rizikai sušvelninti.

Anne Christine Lacoste

„Olivier Weber Avocat“ partnerė Anne Christine Lacoste yra teisininkė, kurios specializacija – duomenų teisė; ji buvo Europos duomenų apsaugos priežiūros pareigūno tarptautinių santykių vadovė ir dirbo įgyvendinant BDAR Europos Sąjungoje.