Teisiniai veiksmai: nauja kolektyvinių ieškinių dinamika?

Teisinis stebėjimas Nr. 53 – 2022 m. lapkritis

Teisiniai veiksmai: nauja kolektyvinių ieškinių dinamika? Teisinės priemonės dėl asmens duomenų apsaugos klausimų Prancūzijoje ir Europoje vis dar retos.

Nors spauda reguliariai praneša apie sankcijas technologijų milžinams, šias sankcijas daugiausia taiko priežiūros institucijos.

Visų pirma, žalą dažnai sunku įvertinti privatumo pažeidimo bylose, atsižvelgiant į teisinių veiksmų išlaidas.

Padėtis gali netrukus pasikeisti, perkėlus Direktyvą (ES) 2020/1828 dėl atstovaujamųjų ieškinių į nacionalinę teisę.

Valstybės narės turi laiko iki šių metų gruodžio 25 d. įgyvendinti šią direktyvą, kuria siekiama apsaugoti kolektyvinius vartotojų interesus.

Prancūzijoje jau egzistuoja grupiniai ieškiniai, ir jų taikymo sritis palaipsniui plėtėsi. Grupiniai ieškiniai egzistuoja nuo 2014 m. kovo 17 d. vartotojų teisių įstatymo.

Jis buvo palaipsniui išplėstas į įvairias sritis, įskaitant asmens duomenis, 2016 m. lapkričio 18 d. įstatymu, kuriuo Duomenų apsaugos įstatyme buvo sukurtas naujas 43ter straipsnis.

Vis dėlto tekste teisė pareikšti kolektyvinį ieškinį ribojama patvirtintomis vartotojų teisių gynimo asociacijomis, asociacijomis, kurios veikia daugiau nei penkerius metus ir kurių įstatyminis tikslas yra privatumo apsauga, ir profesinių sąjungų organizacijomis, atstovaujančiomis darbuotojams ar valstybės tarnautojams.

Ši teisinė sistema nenumatė kompensacijos už žalą atitinkamiems asmenims.

Tai dabar įmanoma nuo 2018 m. birželio 20 d. įstatymo, kuriuo Duomenų apsaugos įstatymas suderinamas su BDAR.

Kolektyvinis ieškinys dabar leidžia teisme reikalauti materialinės ir moralinės žalos atlyginimo.

BDAR taip pat leidžia gauti tokią teisių gynimo priemonę įgaliojant įstaigas, organizacijas ar asociacijas pateikti skundą jų vardu priežiūros institucijai.

Todėl Prancūzija šiandien nėra blogiausia pagal atstovaujamuosius ieškinius, ką rodo, pavyzdžiui, tokių organizacijų kaip „La Quadrature du Net“, kuri labai aktyviai veikia duomenų apsaugos srityje, veiksmai.

Tačiau kitos šalys eina toliau.

Grupiniai ieškiniai Prancūzijoje grindžiami „pasirinkimo“ principu. ir apima tik tuos asmenis, kurie aiškiai prisijungia prie procedūros, kitaip nei „kolektyvinis ieškinys“, kuris a priori apima visus asmenis, atitinkančius nukentėjusiųjų šalių profilį, ir suteikia jiems galimybę pasitraukti iš procedūros. Tokiu atveju kalbame apie „atsisakymą nuo dalyvavimo“.

Nors šių dviejų tipų procedūros Europoje vis dar gana retos, kolektyviniai ieškiniai „atsisakymo“ procedūros prasme yra dar retesni.

Nyderlandai leidžia abiejų rūšių apeliacijas.

Per pastaruosius dvejus metus ten buvo įsteigti keli fondai, kurių tikslas – pareikšti kolektyvinius ieškinius.

Šie fondai, pavyzdžiui, užsipuolė „Apple“ ir „Google“ antikonkurencinį elgesį, „TikTok“, „Salesforce“ ir „Oracle“ bei „Airbus“ ir „Airbnb“ duomenų rinkimo praktiką.

Tai, kad atstovaujanti organizacija gali reikalauti žalos atlyginimo visos ieškovų grupės vardu, nebent jie „atsisakytų“, yra reikšmingas pokytis duomenų apsaugos kolektyvinių ieškinių srityje, kur individualios žalos atlyginimo sumos paprastai yra mažos.

Dėl tokių ieškinių ekonomiškai perspektyvaus pobūdžio Nyderlandai tapo pirmaujančia Europos jurisdikcija kolektyviniams ieškiniams., ir didėja trečiųjų šalių finansavimas tokio tipo organizacijoms.

Šiandien Nyderlanduose ieškinys dėl „Twitter“ vartotojų sekimo yra paduotas į teismą.

Tas pats pasakytina ir apie kitas populiarias programėles, įskaitant „Shazam“, „Vinted“, bet taip pat ir jautresnes programėles, tokias kaip „Grindr“ ir menstruacinio ciklo stebėjimo programėles.

Europos direktyva leidžia ES šalims pasirinkti dalyvavimo arba atsisakymo modelį, išskyrus ieškinį dėl draudimo, kuriame, logiška, numatyta galimybė atsisakyti.

Reikėtų pažymėti, kad tekste organizacijoms suteikiama galimybė pareikšti tarpvalstybinius ieškinius ir pasirinkti vieną iš kelių jurisdikcijų. Ieškinys gali būti pareikštas valstybėje narėje, kurioje yra atsakovės bendrovės registruota buveinė, bet taip pat bet kurioje kitoje valstybėje narėje, kurioje ji turi filialą, ir nukentėjusio asmens gyvenamosios vietos valstybėje.

Todėl Prancūzija turės ruoštis nagrinėti visos Europos masto prašymus.

Ji taip pat turės pritaikyti savo teisinę sistemą prie „pralaimėtojas moka“ principas dėl advokato honorarų ir procesinių išlaidų ir numatyti atradimo procedūra, kaip yra bendrosios teisės šalyse ir kuri leidžia, motyvuotu teisėjo sprendimu, pateikti ginčui naudingus dokumentus (pvz., nukentėjusiųjų šalių tapatybę).

Nors ateinančiais mėnesiais bus patikslintos direktyvos taikymo sąlygos, jau dabar atrodo neabejotina, kad ji turės įtakos atstovaujamųjų ieškinių skaičiui Europoje.

Būtų gerai tam pasiruošti ir atidžiai stebėti jo perkėlimą į Prancūziją.

Ir taip pat

Prancūzija:

CNIL skyrė „DISCORD INC.“ 800 000 eurų baudą. už kelių BDAR įsipareigojimų, ypač susijusių su duomenų saugojimo laikotarpiais ir asmens duomenų saugumu, nesilaikymą.

CNIL taip pat atkreipia dėmesį į numatytosios duomenų apsaugos trūkumą: vartotojai nebuvo informuoti, kad jų pokalbius vis tiek galima girdėti, net jei jie manė, kad išėjo iš balso pokalbių kambario.

Galiausiai bendrovė buvo kritikuojama už tai, kad prieš įgyvendindama procedūras neatliko poveikio analizės.

Lapkričio 24 d. Komisija taip pat paskelbė veiksmų planą, kuriuo siekiama paremti mobiliųjų programėlių atitiktį reikalavimams ir apsaugoti naudotojų privatumą.

Ji ketina gilinti savo patirtį, remti specialistus ir informuoti piliečius, pavyzdžiui, rengdama vadovus ir rekomendacijas.

Galiausiai, ji atliks tikslinius patikrinimus ir, jei reikia, imsis represinių veiksmų prieš organizacijas, kurios nesilaiko savo įsipareigojimų.

Gavusi daugybę skundų, CNIL išaiškino sąlygas, kuriomis papildomojo sveikatos draudimo organizacijos gali rinkti sveikatos duomenis.

Ji pažymi, kad taikytini tekstai nėra pakankamai tikslūs, ir rekomenduoja priimti įstatymą.

2023 m. sausio 1 d. nebebus naudojami popieriniai kvitai.

Ši „prieššvaistymo“ priemonė kelia klausimų dėl privatumo apsaugos, nes mažmenininkai galės identifikuoti visą savo klientų bazę, įskaitant ir tuos, kurie neturi lojalumo kortelės.

CNIL savo baltojoje knygoje pabrėžė, kad el. pašto adresas, surinktas siekiant išsiųsti kvitą ar elektroninį mokėjimą, negali būti naudojamas komerciniais tikslais, nes šie du tikslai yra gana skirtingi.

Svarbu gauti suinteresuoto asmens sutikimą arba, jei ieškoma produktų ar paslaugų, panašių į tas, kurias jau teikia įmonė, iš anksto informuoti jį apie tikslus ir galimybę nesutikti renkant duomenis.

Kasacinis teismas lapkričio 7 d. nutartyje nusprendė, kad telefono pagrindinio ekrano atrakinimo kodas gali būti laikomas „iššifravimo raktu“.

Jei tikėtina, kad jis buvo panaudotas nusikaltimui ar nusižengimui rengti ar įvykdyti, jo turėtojas privalo tyrėjams pateikti pagrindinio ekrano atrakinimo kodą.

Jei jis atsisako perduoti šį kodą, jis padaro nusikaltimą – „atsisakymą perduoti slaptą iššifravimo susitarimą“, už kurį baudžiama bauda ir laisvės atėmimu.

Europa:

2022 m. lapkričio 16 d. įsigaliojo Skaitmeninių paslaugų reglamentas (DSR).

Šis reglamentas numato naujas skaitmeninių platformų pareigas, siekiant apriboti neteisėto turinio ir produktų platinimą, padidinti nepilnamečių apsaugą ir suteikti vartotojams daugiau pasirinkimo bei geresnės informacijos.

Europos duomenų apsaugos valdyba (EDAV) paskelbė savo rekomendacijas dėl patvirtinimo procedūros ir elementų, kurie turi būti įtraukti į duomenų valdytojams taikomas privalomas įmonių taisykles (PIT).

Dokumentas viešoms konsultacijoms teikiamas iki 2023 m. sausio 10 d.

Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) paskelbė savo nuomonę dėl siūlomo kibernetinio saugumo reglamento.

Teksto tikslas – apibrėžti visoje ES galiojančius kibernetinio saugumo reikalavimus įvairiems aparatinės ir programinės įrangos produktams, pavyzdžiui, naršyklėms, operacinėms sistemoms, užkardoms, tinklo valdymo sistemoms, išmaniesiems skaitikliams ar maršrutizatoriams.

EDAPP rekomenduoja į šį tekstą integruoti pritaikytosios ir standartizuotosios duomenų apsaugos principus.

Jis taip pat pabrėžė, kad Europos kibernetinio saugumo sertifikatas negali pakeisti BDAR sertifikavimo.

EDAPP taip pat pateikė pastabas dėl pasiūlymo dėl reglamento, kuriuo nustatoma bendra žiniasklaidos paslaugų sistema: Savo lapkričio 14 d. nuomonėje ji pabrėžia, kad numatytos priemonės, skirtos žurnalistams, jų šaltiniams ir žiniasklaidos paslaugų teikėjams apsaugoti, yra nepakankamos.

Rekomenduojama patikslinti, kad bet kuris žurnalistas galėtų pasinaudoti šia apsauga, ir ragina dar labiau susiaurinti išimtis, leidžiančias perimti ryšius šnipinėjimo programomis ar kitomis stebėjimo formomis.

Po dvejus metus trukusių derybų su „Microsoft“, Vokietijos federalinės duomenų apsaugos tarnybos ir 16 valstijų reguliavimo institucijų jungtinis komitetas paskelbė pareiškimą, kuris greičiausiai turės toli siekiančių pasekmių: duomenų valdytojai šiuo metu negali teisėtai naudoti MS365 pagal BDAR.

Nyderlandų duomenų apsaugos institucija lapkričio 14 d. įspėjo savo vyriausybę, atgrasydama ją nuo amerikiečių debesijos paslaugų naudojimo. Ji ragina vyriausybę pasinaudoti europietiškomis alternatyvomis.

Vengrijos duomenų apsaugos agentūra (DPA) nurodė orų prognozių svetainės operatoriui nutraukti duomenų perdavimą į Jungtines Valstijas per „Google“.

Duomenų apsaugos agentūra (DPA) nustatė, kad svetainės operatorius naudojo „Google Analytics“ neįdiegus tinkamų apsaugos priemonių duomenų perdavimui į Jungtines Valstijas.

Lapkričio 17 d. Airijos pilietinių laisvių taryba laiške Europos Komisijai atkreipė dėmesį, kad „Meta“ pažeidė BDAR ir negalėjo laikytis Skaitmeninių rinkų reglamento (DMA).

ICCL cituoja neseniai Kalifornijoje paviešintus teismo dokumentus, kuriuose teigiama, kad „Meta“ neatsakė į prašymą pateikti informaciją apie 149 jos duomenų apdorojimo sistemų veikimą, o tai rodo, kad tų sistemų veikimas nebuvo suprantamas žmonėms.

Airijos duomenų apsaugos komisija lapkričio 25 d. paskelbė sprendimą dėl „Facebook“ duomenų išgavimo, susijusio su daugiau nei 530 milijonų vartotojų asmens duomenų prieinamumu internete.

Svarstomi principai buvo susiję su pritaikytąja ir standartizuotaja duomenų apsauga, kaip numatyta BDAR.

Sprendimu skiriamos administracinės baudos, kurių bendra suma siekia 265 mln. eurų, ir taisomosios priemonės.

„Meta“ Europoje susiduria su dar trimis BDAR pažeidimo procedūromis.

Tai susiję su bendrosiomis „Facebook“, bet taip pat ir su „Instagram“ bei „WhatsApp“ sąlygomis.

Tikimasi, kad EDAV išvados dėl pastarojo atvejo bus paskelbtos gruodžio 5 d. ir jų nekantriai laukiama. 

Jie susiję su teisiniu pagrindu rinkti duomenis iš socialinių tinklų naudotojų.

„Meta“ pakeitė šį teisinį pagrindą iš sutikimo į būtinybę tvarkyti duomenis pagal sutartį, o tai turi teisinių pasekmių, kurios, jei jas patvirtintų duomenų apsaugos institucijos, gerokai peržengtų šios bylos kontekstą.

Informacijos komisaro biuras lapkričio 17 d. paskelbė atnaujintas savo tarptautinių duomenų perdavimų gaires.

Šiame atnaujinime yra naujas skyrius apie perdavimo rizikos vertinimus (TRA) ir įrankis duomenų valdytojams.

JK sudarė susitarimą su Korėja dėl asmens duomenų perdavimo, kuris įsigalios gruodžio 19 d.

Ji teigia, kad jos susitarimas yra „platesnis“ nei ES susitarimas, leidžiantis įmonėms perduoti su kredito informacija susijusius duomenis.

Tarptautinis:

„Google“ sutiko sumokėti rekordinę 391,5 mln. JAV dolerių sumą pagal susitarimą dėl privatumo pažeidimų 40 JAV valstijų.

Byla susijusi su bendrovės geolokacijos praktika: generalinių prokurorų teigimu, vartotojai buvo klaidinami dėl geolokacijos išjungimo sąlygų savo paskyros nustatymuose.

Europos duomenų apsaugos institucijos perspėjo, kad dvi Kataro valdžios nustatytos programėlės „Ehteraz“ ir „Hayya“, leidžiančios patekti į šalį, sukelia didelius privatumo pažeidimus. suteikiant plačią prieigą prie naudotojų duomenų, įskaitant vietos duomenis ir skambučių duomenis.

CNIL rekomendavo į Katarą keliaujantiems žmonėms naudoti tuščią arba iš naujo nustatytą telefono parametrą.

2020 m. spalio mėn. sukurta Visuotinė privatumo kontrolė dabar vis labiau naudojama, nes ją pritaikė didieji leidėjai ir internetinės sutikimų valdymo platformos.

GPC leidžia vartotojams naršyklės lygmeniu vienu spustelėjimu atsisakyti asmeninės informacijos pardavimo visose arba kai kuriose svetainėse.

Kitaip nei atsisakymo tvarkyklės, kurios dažnai įkelia turinį ir pradeda rinkti duomenis dar prieš vartotojui spėjant atsisakyti, GPC atsižvelgia į vartotojo pasirinkimą prieš įkeliant svetainę.

Anne Christine Lacoste

„Olivier Weber Avocat“ partnerė Anne Christine Lacoste yra teisininkė, kurios specializacija – duomenų teisė; ji buvo Europos duomenų apsaugos priežiūros pareigūno tarptautinių santykių vadovė ir dirbo įgyvendinant BDAR Europos Sąjungoje.