Jautrūs duomenys: ypač plati taikymo sritis

„Legal Watch“ Nr. 50 – 2022 m. rugpjūčio mėn.

Gali būti sunku įvertinti, ar renkami duomenys yra jautrūs, ar ne, ir nuspręsti, ar šiems duomenims reikalinga speciali apsauga pagal BDAR.

Šiuos interpretavimo sunkumus pakartojome savo vasario mėnesio redakcijos straipsnyje.

Europos Sąjungos Teisingumo Teismas ką tik patikslino 2022 m. rugpjūčio 1 d. sprendimo taikymo sritį. neskelbtinų duomenų sąvokos arba, tiksliau sakant, konkrečių duomenų kategorijų.

Ir, anot Teismo, ši taikymo sritis yra itin plati.

Reikėtų prisiminti, kad BDAR 9 straipsnis taikomas duomenims, atskleidžiantiems tariamą rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat genetinių duomenų, biometrinių duomenų tvarkymui siekiant unikaliai identifikuoti fizinį asmenį, duomenų apie sveikatą arba duomenų apie fizinio asmens lytinį gyvenimą ar seksualinę orientaciją tvarkymui.

Aptariamas sprendimas susijęs su Lietuvos įstatymo, skirto kovai su korupcija, nuostatomis, kurios įpareigoja tam tikrus viešojo sektoriaus darbuotojus deklaruoti savo privačius interesus, taip pat informaciją apie sutuoktinius ir šeimas, o beveik visa ši informacija bus paviešinta internete.

Gavęs su šiuo įpareigojimu susijusio asmens prieštaravimą, Teismas privalo priimti sprendimą

• Dėl būtinybės internete atskleisti su sutuoktiniu susijusius duomenis
• Dėl to, ar šie duomenys apie sutuoktinį turėtų būti laikomi jautriais duomenimis pagal BDAR 9 straipsnį, nes jie leidžia daryti išvadą apie atitinkamų asmenų seksualinę orientaciją, Teismas pirmiausia mano, kad šių duomenų platinimas internete neatrodo būtinas siekiant numatyto tikslo kovoti su korupcija, o tada patikslina, kad jautrių duomenų sąvoka turi būti aiškinama plačiai.

Iki šiol išliko klausimų dėl skirtingų 9 straipsnio formuluotės terminų, vartojamų reglamentuojant duomenis, kurie, viena vertus, „atskleidžia“ politines pažiūras, narystę profesinėse sąjungose ir pan., arba, kita vertus, „susiję“ su sveikata ar seksualine orientacija.

Teismas mano, kad visos specialios duomenų kategorijos turi būti aiškinamos plačiai, atsižvelgiant į kontekstą ir kitas BDAR nuostatas.

Taigi šiuo atveju tai apima duomenis, kurie, atlikus intelektualinę palyginimo ar dedukcijos operaciją, gali atskleisti fizinio asmens seksualinę orientaciją.

Šis sprendimas galėtų turėti didelės įtakos asmenų, atsakingų už „potencialiai“ jautrių duomenų tvarkymą, įsipareigojimų apimčiai.

Atrodo, kad CNIL iki šiol šiuos įsipareigojimus aiškino griežčiau: praėjusių metų sausį ji nurodė, kad „vien tik vaizdo, iš kurio gali būti išvedami tam tikri asmens duomenys, fotografavimo ar filmavimo veiksmas.“ Tai, kad duomenys yra neskelbtini, savaime nereiškia, kad tvarkomi neskelbtini duomenys (...). Tai Tik tuo atveju, jei šie vaizdai tvarkomi siekiant išgauti, interpretuoti ar panaudoti minėtus neskelbtinus duomenis, tvarkymas bus laikomas patenkančiu į neskelbtinų duomenų tvarkymo tvarkos taikymo sritį.

Lemiamas elementas Teismo samprotavimuose, regis, yra tai, kad duomenys yra viešai prieinami: nuo to momento bet kas gali juos rinkti, iš jų išgauti neskelbtiną informaciją ir tvarkyti ją visiškai su pirminiu tikslu nesusijusiu tikslu, o tai gali sukelti pasekmių atitinkamiems asmenims.

Taip pat reikėtų nepamiršti, kad išvados, padarytos iš turimų duomenų, nebūtinai turi būti teisingos, kad atitiktų BDAR reikalavimus: iš tiesų svarbu ne tai, ar išvados pagrįstos, ar ne: klaidingos išvados gali turėti dar žalingesnių pasekmių duomenų subjektams.

Tikimasi, kad šis sprendimas turės įtakos duomenų valdytojams, kurie tvarko duomenis dideliu mastu ir profiliuoja interneto vartotojus, ypač socialinių tinklų kontekste, nes jiems bus būtinas aiškus sutikimas.

Galiausiai pridurkime, kad būsimuose skaitmeninių paslaugų ir skaitmeninių rinkų reglamentuose numatytas draudimas naudoti jautrius duomenis tikslinei reklamai.

Kartu su plačiu ESTT jautrių duomenų aiškinimu, galime įsivaizduoti griežtesnį nei tikėtasi elgsena grįstos reklamos apribojimą Europos lygmeniu.

Ir taip pat

Prancūzija:

„ACCOR“ ką tik skirta 600 000 eurų bauda. už tai, kad vykdė komercinę žvalgybą be atitinkamų asmenų sutikimo ir nepaisė klientų bei potencialių klientų teisių.

Užsakymo formose pagal numatytuosius nustatymus buvo iš anksto pažymėta parinktis, leidžianti automatiškai siųsti klientams naujienlaiškį su partnerių komerciniais pasiūlymais.

CNIL taip pat atkreipė dėmesį į pasikartojančius techninius sutrikimus, dėl kurių daugelis žmonių negalėjo atsisakyti gauti žinučių.

CNIL sprendimas buvo priimtas taikant bendradarbiavimo procedūrą su kitų ES šalių, kuriose ACCOR grupė tvarko duomenis, institucijomis, po kurios Europos duomenų apsaugos komitetas įpareigojo CNIL padidinti baudos dydį, kad taikoma priemonė būtų labiau atgrasanti.

Tarp atsižvelgiama į pažeidimų skaičių, tai, kad šie pažeidimai susiję su keliais pagrindiniais asmens duomenų apsaugos principais ir sudaro esminį asmenų teisių pažeidimą, taip pat atitinkamų asmenų skaičių ir įmonės finansinę padėtį.

Rugpjūtį tapo neįmanoma prisijungti prie „France Connect“ naudojant „Ameli“ prisijungimo duomenis., Bercy išjungė ryšio mygtuką.

Priežastis – sugrįžusios sukčiavimo atakos, naudojant šiuos prisijungimo duomenis. Pranešama, kad Viešųjų finansų generalinis direktoratas stengiasi užtikrinti „France Connect“ saugumą ir planuoja palaipsniui pereiti nuo jautriausių procedūrų, ypač tų, kurios leidžia atlikti finansinius mokėjimus, prie saugesnių identifikavimo paslaugų.

Rugpjūčio 25 d. NVO „noyb.eu“ pateikė skundą CNIL prieš „Google“..

„Google“ kaltinama ignoravusi Europos Teisingumo Teismo (ETT) sprendimą dėl tiesioginės rinkodaros el. laiškų ir naudojusi savo el. pašto platformą „Gmail“, siųsdama nepageidaujamus reklaminius el. laiškus be galiojančio vartotojų sutikimo.

Prancūzijos reklamos technologijų milžinei „Criteo“ gali būti skirta 60 mln. eurų bauda

kaip CNIL pradėto tyrimo dalis.

Šiame etape tai yra preliminarus sprendimas, kurį rugpjūčio 5 d. paviešino skundą pateikusi organizacija „Privacy International“.

Europa:

Kritikuojami ES šnipinėjimo programų tyrimo įgaliojimai antradienį, rugpjūčio 30 d., vykusiame parlamentiniame klausyme, kurio metu Europolo atstovas pareiškė, kad agentūros įgaliojimai apsiriboja valstybių narių, kurios nusprendžia pradėti tyrimą, rėmimu.

Iki šiol žinoma, kad mažiausiai 14 Europos vyriausybių įsigijo šnipinėjimo programų iš „NSO Group“, kuri sukūrė šnipinėjimo programas „Pegasus“, o ekspertai mano, kad ES veikia daug kitų pardavėjų.

Buvęs „Twitter“ saugumo vadovas Peiteris „Mudge“ Zatko pateikė bendrovei ieškinį, kuris neseniai buvo paviešintas.

Dokumente išsamiai aprašoma virtinė kaltinimų dėl saugumo, privatumo ir duomenų apsaugos problemų (be kita ko), taip pat teiginiai, kad „Twitter“ klaidino arba ketino suklaidinti regionines priežiūros institucijas dėl savo atitikimo vietos įstatymams.

Airijos ir Prancūzijos priežiūros institucijos ėmėsi nagrinėti bylą.

Airijos duomenų apsaugos komisija skyrė 405 mln. eurų baudą socialinės žiniasklaidos platformai „Instagram“., priklausanti „Meta“, dėl BDAR pažeidimo.

Ši bauda yra antra pagal dydį pagal BDAR po 746 mln. eurų baudos, skirtos „Amazon“, ir trečia pagal dydį bauda, kurią Airijos reguliavimo institucija skyrė „Meta“ priklausančiai bendrovei.

Nutarimas yra nukreiptas prieš „Instagram“ vykdomus vaikų privatumo pažeidimus, įskaitant vaikų el. pašto adresų ir telefono numerių skelbimą.

Kelno Aukštesnysis apygardos teismas (OLG Köln) priteisė asmeniui 500 eurų dėl... duomenų valdytojo delsimo pateikiant prašomą informaciją pagal BDAR 15 straipsnio 1 dalį (per GDPRhub).

Panašiu atveju Italijos duomenų apsaugos institucija skyrė „Deutsche Bank“ 20 000 eurų baudą už tai, kad laiku neatsakė į duomenų subjekto prašymą susipažinti su duomenimis (per „GDPRhub“).

Graikijos duomenų apsaugos agentūra (DPA) skyrė 30 000 eurų baudą medicinos diagnostikos centrui už... pažeidė duomenų vientisumo ir konfidencialumo principą Dėl nepakankamų techninių ir organizacinių priemonių vadovas prarado mamogramos vaizdus.

Be baudos, DPA įpareigojo centrą pranešti duomenų subjektams apie pažeidimą (per GDPRhub).

Ispanijos Aukščiausiasis Teismas nusprendė, kad asmens teisių įgyvendinimas duomenų valdytojo atžvilgiu (BDAR 15–22 straipsniai) nėra būtina sąlyga skundui pateikti. su duomenų apsaugos institucija: pastaroji gali imtis veiksmų net jei duomenų subjektas pirmiausia nesusisiekė su duomenų valdytoju (per GDPRhub).

Šveicarijoje naujas duomenų apsaugos įstatymas įsigalios 2023 m. rugsėjo 1 d.

Kai kurie komentatoriai pažymi, kad keli principai būtų mažiau ribojantys nei BDAR principai, ypač susiję su sutikimu ir duomenų apsaugos pareigūnu.

Kita vertus, saugumo reikalavimai yra ypač išsamūs.

Tarptautinis:

Europos subjektai gali patekti į Debesijos įstatymo taikymo sritį, net jei jie yra įsikūrę už jos ribų. Jungtinių Valstijų vardu advokatų kontoros atliktas tyrimas Nyderlandų teisingumo ir saugumo ministerija, o viešai paskelbta liepos 26 d.

Europos įmonės gali sumažinti šią riziką įkurdamos „kinų sieną“ su Jungtinėmis Valstijomis, visų pirma neįdarbindamos amerikiečių ir neturėdamos amerikiečių klientų, o tai galėtų pateisinti JAV intervenciją pagal Debesijos įstatymą.

Tačiau net ir ši apsauga būtų nepakankama, jei subjektas naudotų JAV technologijas, nes Debesų kompiuterijos įstatymas leidžia debesų kompiuterijos paslaugų teikėjams ir iš jų prieigą prie duomenų per subrangovus / techninės ir programinės įrangos tiekėjus.

Šie rezultatai sukėlė diskusijas dėl tokių pasiūlymų kaip „Bleu“ „Trusted Cloud“ („Microsoft“ technologijos, kurias siūlo „Orange“ ir „Capgemini“) ir „S3ns“ („Google“ su „Thales“).

Jungtinėse Valstijose „Facebook“ sutiko susitarti dėl „Cambridge Analytica“ skandalo, susijusio su bendrovės prieiga prie dešimčių milijonų „Facebook“ naudotojų privačių duomenų rinkimų kampanijos metu. Skandalas kilo po to, kai 2018 m. „Cambridge Analytica“ informatorius atskleidė informaciją „Observer“, dėl kurios „Facebook“ jau buvo sumokėta milijardų eurų bauda.

Kuboje galioja asmens duomenų apsaugos įstatymas. buvo paskelbtas Oficialiajame leidinyje rugpjūčio 25 d. Jis įsigalios praėjus 180 dienų nuo jo paskelbimo.

Rusija iš dalies pakeitė savo duomenų apsaugos įstatymą po to, kai buvo pasirašyta Europos Tarybos konvencija Nr. 108+.

Naujasis 2022 m. liepos 14 d. federalinis įstatymas Nr. 266 iš esmės pakeičia kai kuriuos teisės aktus, reglamentuojančius asmens duomenų tvarkymą Rusijoje, ir dabar apima įpareigojimą pranešti apie duomenų saugumo pažeidimus.

Auganti politinė ir saugumo įtampa tarp Pekino ir Vakarų paskatino JK raginimus... genetinių duomenų perdavimo Kinijai peržiūra iš biomedicininės duomenų bazės, kurioje yra pusės milijono Didžiosios Britanijos piliečių DNR.

Geriausios saugumo priemonės neapsaugo nuo subrangovų pažeidžiamumų.

Rugpjūčio 24 d. „Twilio“ pranešė, kad įsilaužėliai įsilaužė į jos sistemas.

„Twilio“ teikia patvirtinimo paslaugas savo klientams, įskaitant šifruotų pranešimų siuntimo įmonę „Signal“.

Kai vartotojas užregistruoja savo telefono numerį, „Twilio“ jam išsiunčia SMS žinutę su patvirtinimo kodu, kurį jis įveda į „Signal“.

Nors poveikis „Signal“ ir jos vartotojams yra ribotas dėl paslaugos struktūros, tai yra įspėjimas bet kuriai platformai ar paslaugai, kuria galima manipuliuoti, kad būtų perduoti prisijungimo duomenys užpuolikui.

Australijoje „Google LLC“ skirta 60 mln. dolerių bauda dolerių už vartotojų klaidinimą dėl jų asmeninės vietos duomenų rinkimo ir naudojimo „Android“ telefonuose.

Anne Christine Lacoste

„Olivier Weber Avocat“ advokatų kontoros partnerė Anne Christine Lacoste yra teisininkė, kurios specializacija – duomenų teisė; ji buvo Europos duomenų apsaugos priežiūros pareigūno tarptautinių santykių vadovė ir... dirbo siekdamas įgyvendinti BDAR Europos Sąjungoje.