Kartais esame atsakingesni, nei manome... arba nei norime būti.

„Legal Watch“ – 2019 m. rugsėjis.

Taip yra tuo atveju, kai savo svetainėje įdiegiate paprastą papildinį, net jei neturite prieigos prie šiuo būdu surinktų duomenų.

Neseniai Europos Sąjungos Teisingumo Teismo priimtas sprendimas, žinomas kaip „Fashion ID“, patvirtina šią pastabą, išaiškindamas svetainių valdytojų, kurie savo puslapyje įterpia „Facebook“ „patinka“ piktogramą, atsakomybę.

Todėl įdiegus šį paprastą papildinį, svetainės valdytojas gali tapti bendrai atsakingas už duomenų tvarkymą su socialiniu tinklu, kuris renka šiuos duomenis.

Techniniu požiūriu, paprastas papildinio įterpimas į tinklalapį leidžia automatiškai perduoti šio puslapio lankytojų prisijungimo duomenis atitinkamam socialiniam tinklui, nepriklausomai nuo to, ar lankytojai spusteli papildinio piktogramą. Šiuo atveju Vokietijos internetinės mados drabužių mažmeninės prekybos įmonės „Fashion ID“ lankytojų duomenys buvo sistemingai perduodami „Facebook“. Būtent tai šiandien vyksta daugelyje svetainių – tiek internetinės prekybos, tiek naujienų svetainių, tiek tinklaraščių. Šiuo atveju „Facebook“ taikomi argumentai gali būti taikomi bet kuriam socialiniam tinklui ar kitam subjektui, naudojančiam tą pačią technologiją.

Teisingumo Teismas išaiškino, kad tai, jog svetainės valdytojas neturi prieigos prie tokiu būdu perduotų duomenų, nesumažina jo atsakomybės. Lemiamu veiksniu išlieka tai, kad jis kartu su „Facebook“ nustato tvarkymo tikslus ir priemones. Teismas galimą bendrą svetainės ir „Facebook“ atsakomybę daro išvadą iš abipusės ekonominės naudos, kurią jie gauna iš šio bendradarbiavimo: „Facebook“ atveju – jos duomenų bazės praturtinimas, o svetainės valdytojui – jos produktų reklamos optimizavimas „Facebook“ socialiniame tinkle, kai tik lankytojas paspaudžia piktogramą „patinka“.

Teismas išaiškina, kad teisinė atsakomybė ir įsipareigojimai skiriasi priklausomai nuo skirtingų tvarkymo aspektų: šiuo atveju „Fashion ID“ negali būti laikoma atsakinga už tai, kaip „Facebook“ vėliau tvarko duomenis. „Facebook“ taip pat privalo pateikti konkretų teisinį pagrindą šiam tvarkymui. Tačiau svetainės operatorius privalo atskirai informuoti savo lankytojus apie šių duomenų rinkimą ir perdavimą socialiniam tinklui ir gauti jų sutikimą.

Iš šio svarbaus sprendimo galima pasimokyti iš kelių dalykų. Todėl patartina:

• Sistemingai tikrinkite savo svetainėje esančių įskiepių naudojimo sąlygas ir galimas duomenų perdavimo trečiosioms šalims sąlygas.
• Patikrinkite atsakomybės sąlygas sutartyse su šiomis trečiosiomis šalimis;
• Informuokite lankytojus apie šį duomenų rinkimą ir gaukite jų atskirą sutikimą.

Šios atsargumo priemonės yra dar aktualesnės, nes CNIL neseniai paaiškino griežtas sutikimo dėl internetinės reklamos gavimo sąlygas ir paskelbė, kad 2019 m. savo stebėsenos veiklą sutelks į atsakomybės pasidalijimo tarp skirtingų šalių, tvarkančių asmens duomenis, klausimus. 

Šie klausimai taip pat sprendžiami Europos lygmeniu. Europos duomenų apsaugos valdyba (EDAV), vienijanti Europos Sąjungos duomenų apsaugos institucijas (CNIL), inicijavo diskusijas su įvairiomis sektorių organizacijomis, siekdama atnaujinti priežiūros institucijų nuomonę dėl duomenų valdytojų, bendrų duomenų valdytojų ir tvarkytojų identifikavimo ir vaidmens.

Taip pat:

• Europoje:

„Brexit“:

Kokios būtų duomenų perdavimo į Jungtinę Karalystę sąlygos, jei šalis pasitrauktų iš Europos Sąjungos be susitarimo? Europos duomenų apsaugos valdyba (EDAV) 2019 m. pradžioje paskelbė pranešimą, kuriame išsamiai aprašė sąlygas ir įvairius taikomus teisinius pagrindus. Jungtinės Karalystės duomenų apsaugos institucija taip pat atsako į daugelį klausimų savo oficialioje svetainėje.

Biometriniai duomenys:

Švedijos duomenų apsaugos tarnyba pirmąją sankciją pagal BDAR skyrė rugpjūčio 21 d. Mokyklai buvo skirta 20 000 eurų bauda už tai, kad ji įdiegė mokinių veido atpažinimo sistemą, pažeisdama kelis BDAR principus: negaliojantį sutikimą, jautrius biometrinius duomenis, išankstinio poveikio vertinimo nebuvimą ir nesikonsultavimą su duomenų apsaugos tarnyba.

Debesijos ir duomenų apsauga:

Europos debesijos su suderintomis taisyklėmis perspektyva artėja. Rugpjūčio 29 d. Hagoje įvyko pirmasis viešojo ir privačiojo sektorių suinteresuotųjų šalių susitikimas Europos ir tarptautiniu lygmeniu.

• pasaulyje:

Elektroniniai įrodymai:

Sąlygos, kuriomis teisminės institucijos gali susipažinti su įmonių turimais elektroniniais įrodymais („e. įrodymais“), keičiasi Europoje ir tarptautiniu mastu. Tikslas – suderinti šias taisykles Europoje, bet taip pat susitarti su Jungtinėmis Valstijomis dėl prieigos prie šių duomenų sąlygų, kovojant su nusikalstamumu. Pagal Amerikos „Debesijos įstatymą“ Jungtinės Valstijos nuo 2018 m. kovo mėn. turi prieigą prie Europoje įsikūrusių Amerikos įmonių duomenų. Tikslas – susitarti dėl šių prieigos sąlygų abiejose Atlanto pusėse, laikantis duomenų apsaugos taisyklių.

ISO standartas:

Naujasis ISO/IEC/27701 standartas buvo paskelbtas rugpjūčio pradžioje. Tai ISO/IEC 27001 ir ISO/IEC 27002 standartų išplėtimas, apimantis privatumo valdymą ir atsižvelgiantis į BDAR reikalavimus.

1 Sprendime taikoma Direktyva 95/46/EB, kuri vėliau buvo panaikinta Reglamentu (ES) 2016/679 arba BDAR. Tačiau nuostatos dėl (bendros) atsakomybės naujajame reglamente išliko identiškos.