Données à caractère personnel : peut-on marchander l’usage d’un droit fondamental ?

Asmens duomenys: ar galima prekiauti pagrindinės teisės naudojimu?

Teisinis stebėjimas Nr. 54 – 2022 m. gruodis

Asmens duomenys: ar galima prekiauti pagrindinės teisės naudojimu? Komentuoti procesą prieš „Meta“, „Facebook“, „WhatsApp“ ir „Instagram“ patronuojančiąją bendrovę, gali tapti varginantis, nes tai užsitraukia duomenų apsaugos institucijų rūstybę. 

Iš tiesų, bendrovė buvo griežčiausiai nubausta iš GAFAM bendrovių nuo BDAR įsigaliojimo ir ką tik buvo nubausta dar 390 mln. eurų bauda.

Tačiau pastarieji Europos duomenų apsaugos valdybos (EDAV) sprendimai, kuriuos Airijos duomenų apsaugos institucija įgyvendino šių metų pradžioje, nusipelno mūsų dėmesio ne dėl vienos priežasties.

Viena vertus, todėl, kad jie yra žodžių karo tarp Airijos duomenų apsaugos institucijos ir jos Europos institucijų epilogas, kita vertus, todėl, kad jie paaiškina reklamos profiliavimo teisinę sistemą kontekste, kuris peržengia konkretaus „Meta“ atvejo ribas.

Gruodžio 6 d. EDAV priimti sprendimai buvo priimti pagal Europos ginčų sprendimo procedūrą (BDAR 65 straipsnis). tarp nacionalinių duomenų apsaugos institucijų.

Po to, sausio 4 d., buvo paskelbta galutinė Airijos institucijos pozicija, kuri atitinka Europos duomenų apsaugos valdybos išvadas.

Airija, kaip šio klausimo lyderė, susidūrė su nesutarimais su kolegomis dėl klausimų, susijusių su keliomis „Facebook“, „WhatsApp“ ir „Instagram“ atliekamomis duomenų tvarkymo operacijomis.

EDAV priimti sprendimai išsprendžia ginčą dėl trijų pagrindinių punktų: dėl duomenų tvarkymo teisinio pagrindo (BDAR 6 straipsnis), duomenų apsaugos principų (BDAR 5 straipsnis) ir dėl taisomųjų priemonių, įskaitant baudas, taikymo.

Mus ypač domina bendrovės duomenų tvarkymo teisinio pagrindo klausimas. „Meta“, remiama Airijos valdžios institucijos, svarsto, kad vartotojų duomenys galėtų būti renkami elgsena grįstos reklamos (arba „WhatsApp“ atveju – paslaugų tobulinimo) tikslais, remiantis sutarties vykdymo teisiniu pagrindu.

Reikėtų pažymėti, kad iki BDAR įsigaliojimo „Meta“ įteisino elgesiu grindžiamą reklamą gaudama naudotojų sutikimą.

Bendrovė 2018 m. gegužės 25 d. pakeitė savo bendrąsias sąlygas, įtraukdama šį reklamos tikslinį tikslą, kuris dabar laikomas neatsiejama jos siūlomos paslaugos dalimi ir de facto riboja vartotojų kontrolę dėl savo duomenų naudojimo.

Bendrovė teigė, kad jai nereikia gauti sutikimo, nes ši internetinė tikslinė rinkodara yra jos teikiamos paslaugos vartotojams dalis.

Prisiminkime, kad sutikimas, kaip ir duomenų būtinybė vykdant sutartį, yra vieni iš šešių BDAR 6(1) straipsnio teisinių pagrindų, leidžiančių pateisinti tvarkymo teisėtumą.

Ar šie teisiniai pagrindai yra tarpusavyje pakeičiami?

Europos doktrina šiuo klausimu yra aiški ir ką tik patvirtinta: sutartinė būtinybė turi būti aiškinama siaurai, o renkami duomenys turi būti griežtai būtini teikiamai paslaugai, kaip, pavyzdžiui, yra renkant kredito kortelių duomenis mokėjimams internetu.

Savo 2019 m. spalio 8 d. nuomonėje dėl internetinių paslaugų Europos duomenų apsaugos valdyba jau yra nurodžiusi, kad elgesiu grįsta reklama nėra būtinas internetinių paslaugų elementas.

Internetinis mažmenininkas, norintis, pavyzdžiui, sukurti naudotojų skonio ir gyvenimo būdo pasirinkimų profilius, remdamasis apsilankymais jo svetainėje, negali pasikliauti pirkimo-pardavimo sutarties vykdymu, kad sukurtų šiuos profilius.

Net jei profiliavimas yra konkrečiai paminėtas sutartyje, vien šis faktas dar nereiškia, kad jis yra „būtinas“ sutarčiai vykdyti.

Jei internetinis mažmenininkas nori atlikti šį profiliavimą, jis turi remtis kitu teisiniu pagrindu.

Šią poziciją Europos duomenų apsaugos valdyba patvirtino savo 2021 m. balandžio 13 d. gairėse dėl tikslinės reklamos socialinės žiniasklaidos vartotojams.

Vis dėlto pastebima, kad vis daugiau internetinių paslaugų pateikiamos kaip nemokamos, nors iš tikrųjų už jas mokama naudojant vartotojų duomenis, kurie yra internetinės paslaugos atitikmuo.

Ar tada galime „atsiskaityti savo duomenimis“?

Šis duomenų sutartinio sudarymo klausimas nėra naujas, tačiau šiandien jis iškyla gana aštriai.

Net jei reklama skirta paslaugai paremti, tvarkymas tiesioginės rinkodaros tikslais iš principo laikomas skirtingu nuo objektyvaus duomenų subjekto ir paslaugų teikėjo sutarties tikslo, o tai reiškia, kad vartotojas turi turėti galimybę laisvai sutikti su tiksline reklama arba jos nesutikti.

2017 m. Europos duomenų apsaugos priežiūros pareigūnas nuomonėje dėl skaitmeninių paslaugų teikimo sutarčių perspėjo „prieš bet kokias naujas nuostatas, kuriomis būtų siūloma, kad žmonės galėtų mokėti savo duomenimis taip pat, kaip ir pinigais“.

Iš tiesų, pagrindinės teisės, tokios kaip teisė į asmens duomenų apsaugą, negali būti susiaurintos iki vien vartotojų interesų, o asmens duomenys negali būti laikomi paprasta preke.

Kai kurie manys, kad mokėjimas savo duomenimis nereiškia pagrindinių teisių atsisakymo.

Taip pat reikėtų atkreipti dėmesį į dviprasmišką CNIL poziciją dėl „mokamų sienų“, kurios suteikia prieigą prie svetainės tik su mokėjimu vartotojams, kurie atsisako naudoti slapukus, o Komisija savo svetainėje teigia, kad šiuos klausimus nagrinėja kiekvienu atveju atskirai.

Ar turėtume tikėtis, kad „Meta“ ims mokestį iš vartotojų, kurie atsisako reklaminio profiliavimo?

Kaip teisingai pažymi NVO NOYB, pateikusi skundą prieš „Meta“, Europos duomenų apsaugos valdybos išspręstas ginčas susijęs tik su šiuo profiliavimu ir neturi jokios įtakos kitoms reklamos formoms, tokioms kaip kontekstinė reklama, pagrįsta puslapio turiniu.

EDAV pozicija neabejotinai turės įtakos „Meta“ finansams, tačiau visiškai neatmeta reklamos galimybės.

Priešingai, tai turėtų atkurti sveiką konkurenciją tarp „Meta“ ir kitų internetinių paslaugų teikėjų, taip pat tarp bendrovių, kurioms taikoma Airijos teisė, ir tų, kurios įsteigtos kitur Europoje.

Ir taip pat

Prancūzija:

2022 m. gruodžio 19 d. CNIL skyrė bendrovei sankcijas. MICROSOFT IRELAND OPERATIONS LIMITED iki 60 milijonų eurų bauda už neteisėtą slapukų naudojimą savo paieškos sistemoje „bing.com“.

Bendrovė kaltinama neįdiegusi mechanizmo, leidžiančio žmonėms taip pat lengvai atsisakyti slapukų, kaip ir juos priimti.

CNIL šią sumą pagrindžia tvarkymo apimtimi, atitinkamų asmenų skaičiumi ir pelnu, kurį bendrovė gauna iš reklamos pajamų, netiesiogiai gautų iš slapukų surinktų duomenų.

2022 m. lapkričio 30 d. CNIL skyrė bendrovei „FREE“ 300 000 eurų baudą.

Patikrinimų metu nustatyta keletas pažeidimų, ypač susijusių asmenų teisių (teisė susipažinti su duomenimis ir teisė juos ištrinti) ir duomenų saugumo srityje: Komisija atkreipė dėmesį į silpną slaptažodžių stiprumą, slaptažodžių saugojimą ir perdavimą atviro teksto formatu bei apie 4 100 prastai atnaujintų „Freebox“ dėžučių pakartotinį platinimą.

Ji taip pat atmetė argumentą, kad duomenų valdytojo asmens duomenų šaltiniai turėtų būti laikomi „komercinėmis paslaptimis“.

2022 m. gruodžio 5 d. publikacijoje CNIL primena taisykles, kurių reikia laikytis parduodant klientų bylas komerciniais tikslais: byloje turi būti tik aktyvių klientų duomenys ir ne ilgiau kaip trejus metus po komercinių santykių pabaigos gali būti parduodami tik tų klientų duomenys, kurie neprieštaravo savo duomenų perdavimui arba davė tam sutikimą, o pirkėjas privalo užtikrinti, kad būtų gerbiamos asmenų teisės (ypač aiški informacija ir sutikimas dėl elektroninės žvalgybos).

CNIL pagaliau patvirtino šių metų sausio 4 d. „APPLE“ TARPTAUTINIS PLATINIMAS iki 8 milijonų eurų už tai, kad prieš įdiegdami ir (arba) įrašydami reklamos tikslais naudojamus identifikatorius į jų įrenginius, negavo senąją „iOS 14.6“ versiją naudojančių Prancūzijos „iPhone“ naudotojų sutikimo.

Europa:

Gruodžio 14 d. ES Tarybai pirmininkaujanti Švedija paskelbė savo prioritetus ateinantiems šešiems mėnesiams: skaitmeninės technologijos nėra darbotvarkės viršuje., atsižvelgiant į dabartines diskusijas dėl ekonominio ir energetinio saugumo bei atsparumo Rusijos ir Ukrainos konflikto kontekste.

Vis dėlto Švedija nurodo, kad tęs pradėtą darbą, susijusį su duomenų reglamentu („Duomenų aktu“), „privatumo ir elektroninių ryšių“ reglamentu, taip pat su pasiūlymu dėl reglamento, susijusio su Europos sveikatos duomenų erdve.

Europos Komisija 2022 m. gruodžio 13 d. paskelbė ilgai lauktą tinkamumo sprendimo projektą dėl duomenų apsaugos lygio Jungtinėse Valstijose.

Šiuo sprendimu siekiama suteikti ilgalaikį teisinį pagrindą duomenų perdavimui tarp ES ir JAV po 2020 m. liepos mėn. ES Teisingumo Teismo sprendimo „Schrems II“, kuriuo „Privatumo skydas“ buvo panaikintas.

Prieš priimant galutinį sprendimą, projektą dar turi peržiūrėti Europos duomenų apsaugos valdyba (EDAV) ir patvirtinti ES valstybių narių atstovų komitetas.

Europos Parlamentas taip pat turi teisę peržiūrėti sprendimus dėl tinkamumo.

Europos Komisija 2022 m. gruodžio 15 d. paskelbė deklaraciją dėl skaitmeninių teisių ir principų skaitmeniniam dešimtmečiui.

Deklaracijos tikslas – padėti politikos formuotojams įgyvendinti savo skaitmeninės transformacijos viziją šiomis kryptimis: piliečių poreikius atitinkanti skaitmeninė transformacija, remianti solidarumą ir įtrauktį, priminimas apie pasirinkimo laisvės svarbą sąveikaujant su algoritmais ir dirbtinio intelekto sistemomis, bei didesnis saugumas, apsauga ir įgalinimas, ypač vaikams ir jaunimui, kartu užtikrinant asmenų teisę į privatumą ir teisę kontroliuoti savo duomenis.

Po metus trukusio tyrimo ES ombudsmenė paskelbė savo 2022 m. gruodžio 19 d. sprendimą dėl Airijos pilietinių laisvių tarybos (ICCL) skundo prieš Europos Komisiją dėl nepakankamos BDAR taikymo Airijoje stebėsenos.

Šis sprendimas pabrėžia, kad Europos Komisija turi geriau stebėti kiekvienos Airijos duomenų apsaugos komisijai pateiktos didžiųjų technologijų bendrovių bylos nagrinėjimo eigą.

Gruodžio 8 d. sprendime Europos Sąjungos Teisingumo Teismas išaiškino sąlygas, kuriomis Europos piliečiai gali reikalauti, kad „Google“ pašalintų su jais susijusius paieškos rezultatus.

Byloje dalyvavo du investicijų valdytojai, kurie paprašė „Google“ pašalinti jų vardais atliktos paieškos rezultatus, kuriuose buvo pateiktos nuorodos į tam tikrus straipsnius, kritikuojančius jų investavimo modelį.

Teismas nusprendė, kad „teisė į saviraiškos ir informacijos laisvę negali būti taikoma, kai bent dalis – kuri nėra nereikšminga – nurodytame turinyje esančios informacijos pasirodo esanti netiksli“. Žmonės, norintys pašalinti netikslius rezultatus iš paieškos sistemų, turi pateikti pakankamai (ir pagrįstų) įrodymų, kad tai, kas apie juos sakoma, yra melaginga.

Nyderlandų duomenų apsaugos tarnyba gruodžio 22 d. paskelbė pareiškimą dėl savo įgaliojimų prižiūrėti algoritmus skaidrumo, diskriminacijos ir savivalės klausimais.

Taip pat Nyderlanduose atliktas olandų privatumo grupės „Incogni“ tyrimas atskleidžia, kad kad daugelyje populiarių apsipirkimo programėlių, įskaitant „Amazon“, taikomos abejotinos praktikos, susijusios su prieigos leidimų bendrinimu su reklamos bibliotekomis, o tai leidžia reklamos tinklams netiesiogiai pasiekti įrenginį. 

Graikijos valdžia Duomenų apsaugos tarnyba skyrė „Vodafone PANAFON SA“ 150 000 eurų baudą už tai, kad ši nesiėmė tinkamų techninių ir organizacinių priemonių savo elektroninių ryšių paslaugų saugumui apsaugoti.

Islandijos valdžia Duomenų apsaugos institucija įpareigojo automobilių remonto dirbtuves patenkinti prašymą susipažinti su duomenimis pagal BDAR 15 straipsnį ir pateikti duomenų subjektui duomenis, susijusius su visais jo automobilio remonto ir techninės priežiūros darbais, kurie buvo atlikti jam priklausant.

Portugalijos valdžios institucija Duomenų apsaugos tarnyba skyrė Setubalio savivaldybei 170 000 eurų baudą už vientisumo ir konfidencialumo principo, saugojimo apribojimo principo, BDAR 13 straipsnyje numatytų informacijos teikimo įsipareigojimų pažeidimą ir duomenų apsaugos pareigūno, susijusio su Ukrainos pabėgėlių, kurie naudojosi telefono pagalbos linija Portugalijoje, asmens duomenų rinkimu, nepaskyrimą.

Portugalijos duomenų apsaugos institucija taip pat skyrė sankcijas Nacionaliniam statistikos institutui už BDAR nesilaikymą, įskaitant asmens duomenų iš 2021 m. surašymo siuntimą į Jungtines Valstijas ir duomenų apsaugos poveikio vertinimo neatlikimą.

Italijos valdžia Duomenų apsaugos tarnyba skyrė 2 000 000 eurų baudą bendrovei „Alpha Exploration“ už socialinio tinklo „Clubhouse“ valdymą pažeidžiant BDAR nuostatas dėl teisėtumo ir skaidrumo, už tai, kad ji neįvertino tvarkymo keliamos rizikos ir paskyrė ES atstovą neturint reikiamo įgaliojimo veikti duomenų valdytojo vardu.

Italijos duomenų apsaugos institucija taip pat skyrė telekomunikacijų operatoriui „Vodafone Italia“ 500 000 eurų baudą už asmens duomenų tvarkymą tiesioginės rinkodaros tikslais be teisinio pagrindo, už bendro sutikimo gavimą atskiroms duomenų tvarkymo operacijoms ir už informacijos apie asmens duomenų tvarkymą pateikimą nesuprantamu būdu.

Ispanijos valdžia Duomenų apsaugos tarnyba (DPA) skyrė 5000 eurų baudą 16 metų paaugliui už tai, kad šis, naudodamasis per „WhatsApp“ gautais vaizdo įrašais ir nuotraukomis, šantažavo 13 metų nepilnametį, kuris negalėjo duoti galiojančio sutikimo. Duomenų apsaugos tarnyba (DPA) taip pat įpareigojo paauglį ištrinti visus kitus su atitinkamu asmeniu susijusius asmens duomenis ir pranešti apie priemones, kurių buvo imtasi šiuo tikslu. 

Tarptautinis

JUNGTINĖS AMERIKOS VALSTIJOS: „Epic Games“, vaizdo žaidimo „Fortnite“ kūrėja, turės sumokėti daugiau nei pusę milijardo dolerių. už Vaikų privatumo apsaugos įstatymo (COPPA) pažeidimą, numatytųjų privatumo nustatymų keitimą ir vartotojų apgaule priviliojimą pirkti nepageidaujamų prekių.

Federalinės prekybos komisijos susitarimus su „Epic Games“ FTC paviešino gruodžio 15 d.

Gruodžio 29 d. publikacijoje „The Guardian“ praneša, kad Kinijos stebėjimo kamerų gamintoja „Hikvision“ sukūrė programinės įrangos platformą, skirtą padėti policijai. sekti protestuotojų veiklą.

Taigi Kinijos policija galėtų nustatyti perspėjimus apie įvairių tipų demonstracijas, tokias kaip „minios susibūrimai, trikdantys tvarką viešose vietose“, „nelegalūs susirinkimai, eitynės, demonstracijos“ ir grasinimai pateikti „peticiją“.

EBPO šalys pirmąjį tarpvyriausybinį susitarimą dėl privatumo priėmė 2022 m. gruodžio 14 d. kai prieiga prie asmens duomenų nacionalinio saugumo ir teisėsaugos tikslais.

Šie principai apibrėžia, kaip teisinės sistemos reglamentuoja vyriausybės prieigą, teisinius standartus, taikomus prašant prieigos, kaip prieiga tvirtinama ir kaip tvarkomi gauti duomenys, bei pastangas užtikrinti skaidrumą visuomenei.

techniniai sprendimai yra kuriami siekiant suteikti tiek vartotojams galimybę kontroliuoti savo duomenų naudojimą, tiek duomenų valdytojams valdyti internetinius duomenis laikantis duomenų apsaugos principų.

Be „Global Privacy Control“, kurios naudojimas dabar plečiamas internetinio sutikimo valdymo kontekste, „CookieFirst“ sutikimo valdymo platforma siūlo vartotojams išplėstinę trečiųjų šalių paslaugų ir jų nustatytų slapukų kontrolę, o duomenų saugojimui naudojasi ES įsikūrusiais subrangovais.

Anne Christine Lacoste

„Olivier Weber Avocat“ partnerė Anne Christine Lacoste yra teisininkė, kurios specializacija – duomenų teisė; ji buvo Europos duomenų apsaugos priežiūros pareigūno tarptautinių santykių vadovė ir dirbo įgyvendinant BDAR Europos Sąjungoje.

Atraskite Viqtor®
lt_LTLT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV sk_SKSK sl_SISL lt_LTLT