BDAR: teismų praktika tampa aiškesnė!

BDAR: teismų praktika tampa aiškesnė! CNIL jau pasižymėjo praėjusių metų sausį skyrusi rekordinę 50 mln. eurų baudą „Google“ už tai, kad ši neinformavo savo klientų apie „Android“ naudojimą. Birželį šią baudą patvirtino Valstybės taryba.

Šiandien Prancūzijos duomenų apsaugos tarnyba skyrė „Carrefour France“ ir „Carrefour Banque“ atitinkamai 2 250 000 ir 800 000 eurų baudas.

Nors CNIL nuo BDAR įsigaliojimo jau ėmėsi daugybės represinių veiksmų, lapkričio 18 d. svarstymai šiek tiek daugiau papasakoja apie jos atliekamą įstatymų pažeidimų vertinimą ir sprendimus lėmusias priežastis.

Tyrimo priežastys

Paprastai CNIL pradeda tyrimą gavusi skundą ar konkretų pranešimą arba savo iniciatyva, vykdydama stebėsenos misijas.

Pastaruoju atveju kontrolė bus plačiau taikoma tiems, kurie yra atsakingi už anksčiau nustatytą sektorių. 

Todėl CNIL savo 2020 m. kontrolės strategijoje apibrėžė keletą prioritetų, kurie bus išsamiau tikrinami: sveikatos duomenys, vietos paslaugų geografinė padėtis, taip pat slapukai ir kiti sekimo įrankiai.

Šiuo atveju dvi bendrovės „Carrefour France“ ir „Carrefour Banque“ buvo tyrimo objektas po to, kai nuo 2018 m. birželio iki 2019 m. balandžio mėn. CNIL buvo pateikta 15 skundų.

Šie skundai buvo susiję su komercinės paieškos praktika ir teisės susipažinti su duomenimis bei jų ištrynimo nesilaikymu.

CNIL atliko keletą internetinių patikrinimų bendrovių patalpose ir 2019 m. sausio pabaigoje pradėjo oficialų tyrimą.

Prieštaravimų procedūra paskatino kelis bendrovės ir CNIL pranešėjo pasikeitimus pastabomis, o oficialus svarstymas įvyko lapkričio 18 d.

Sprendimo priežastys

CNIL atkreipia dėmesį į daugelio BDAR straipsnių nesilaikymą:

• Pareiga informuoti asmenis (BDAR 13 straipsnis)

Asmenims teikiama informacija apie jų duomenų tvarkymą buvo sunkiai prieinama, neišsami ir paslėpta ilguose tekstuose kitomis temomis.

CNIL kritikuoja pernelyg neaiškių terminų vartojimą: beveik sistemingai (...) vartojami tokie terminai kaip „šis gydymas apima visų pirma dėl vienos ar kelių iš šių priežasčių“ Arba „Jūsų duomenys gali būti naudojami“ neleisti suinteresuotiems asmenims iki galo suprasti vykdomo tvarkymo.

• Slapukai (Duomenų apsaugos įstatymo 82 straipsnis)

Atvykus į svetainę, kiekvienam lankytojui buvo pateikti 39 slapukai, dar prieš tai, kai jis galėjo juos priimti arba atmesti.

Trys iš šių slapukų priklausė „Google Analytics“ sprendimui, kurio tikslas – nukreipti reklamą interneto vartotojams.

Taigi Carrefour.fr svetainės lankytojų duomenys buvo renkami pažeidžiant Duomenų apsaugos įstatymo 82 straipsnį.

Daugiau informacijos apie interneto vartotojų stebėjimą CNIL spalio 1 d. paskelbė atnaujintas gaires.

• Duomenų saugojimo laikotarpis (BDAR 5.1.e straipsnis)

CNIL mano, kad klientų duomenų saugojimo laikotarpis (4 metai) yra per ilgas: klientas, kuris keletą metų nevykdė prekybos su bendrove, nebeturėtų būti laikomas aktyviu klientu. 

Komisija remiasi savo doktrina šiuo klausimu, kurioje rekomenduojamas maksimalus trejų metų saugojimo laikotarpis: ji cituoja seną supaprastintą standartą Nr. 48, susijusį su potencialių klientų bylomis ir internetiniais pardavimais, ir savo neseniai parengtą asmens duomenų tvarkymo, įgyvendinamo komercinės veiklos valdymo tikslais, pamatinės sistemos projektą.

• Teisių įgyvendinimas (BDAR 12 straipsnis)

„Carrefour France“ įgyvendinta procedūra reikalavo, kad pareiškėjai pateiktų tapatybės įrodymą tais atvejais, kai tai nebuvo būtina, nes klientų tapatybė buvo nustatyta.

Be to, keliais atvejais prašymų apdorojimo laikas viršijo teisės aktų reikalavimus.

• Teisių gerbimas (BDAR 15, 17 ir 21 straipsniai ir Pašto ir elektroninių ryšių kodekso L34-5 straipsnis)

CNIL atkreipė dėmesį į kelis atvejus, kai nebuvo atsakyta į skundų pateikėjų prašymus susipažinti su duomenimis, juos prieštarauti ir ištrinti.

• Pareiga sąžiningai tvarkyti duomenis (BDAR 5 straipsnis)

Tam tikri duomenys (pašto adresas, telefono numeris, vaikų skaičius), pateikti registruojantis internetu „Carrefour“ kreditinei kortelei („Pass“ kortelei) gauti, buvo perduoti „Carrefour“ lojalumo programai, o tai prieštarauja informacijai, pateiktai atitinkamiems asmenims.

• Saugumo pažeidimas (BDAR 32 straipsnis)

CNIL pagaliau pastebėjo pažeidžiamumą, leidžiantį internetu pasiekti klientų sąskaitas faktūras, ir pabrėžia, kad vien įdiegtos priemonės, t. y. atsitiktinių simbolių eilutės pridėjimo, nepakanka tokiam pažeidžiamumui pašalinti.

CNIL atkreipia dėmesį, kad ANSSI apie šį su URL adresais susijusį pažeidžiamumą perspėja nuo 2013 m.

Aptikus pažeidžiamumą, turėjo būti įdiegta privaloma išankstinio autentifikavimo sistema.

Atitikties pastangos ir tinkamos sankcijos

Procedūros metu bendrovės bendradarbiavo su CNIL ir ėmėsi visų būtinų priemonių, kad jų duomenų tvarkymas atitiktų įstatymus.

Nors CNIL pabrėžia šį bendradarbiavimą, ji vis dėlto skiria sankcijas atsakingiems asmenims dėl pažeidimų rimtumo: tai rimti trūkumai, paveikiantys nemažą skaičių žmonių.

Tačiau mes dar toli gražu neviršijame maksimalios baudos, kurią CNIL galėjo skirti ir kuri siekia 4% apyvartos. 

Norėdama apskaičiuoti šią apyvartą, kuri yra baudos pagrindo apskaičiavimo pagrindas, CNIL pirmiausia nustato atitinkamą įmonę.

Ji mano, kad norint įvertinti įmonės sąvoką pagal SESV 101 ir 102 straipsnius, tikslinga atsižvelgti į bendrovės CARREFOUR FRANCE ir jai priklausančių dukterinių įmonių, kurios gavo naudos iš tvarkymo, apyvartą. 

Šios bendrovės apyvarta (...) 2019 m. siekia 14,9 mlrd. eurų.

Tačiau CNIL riboti mokymai taip pat atsižvelgia į specifinį masinio platinimo ekonominio modelio pobūdį, kuriam būdinga ypač didelė apyvarta, bet maža marža. 

Dėl šių veiksnių buvo nuspręsta skirti 2 250 000 eurų baudą „Carrefour France“ ir 800 000 eurų baudą „Carrefour Banque“.

Pažeidimų rimtumas taip pat pateisina sprendimo viešinimą ir yra būdas informuoti daugelį susijusių žmonių.

Gynimo priemonės

CNIL sprendimas yra administracinės institucijos aktas, kurį per du mėnesius nuo jo pranešimo galima apskųsti Valstybės tarybai. 

Ir taip pat

Prancūzija:

• CNIL organizuotas renginys lapkričio 23 d. duomenų perkeliamumas yra prieinama internete institucijos svetainėje.

• Siekdama didinti savivaldybių ir tarpsavivaldybių informuotumą apie labai realią kibernetinių atakų riziką, ANSSI skelbia kibernetinio saugumo klausimų vadovasŠio vadovo tikslas – įtikinti išrinktus pareigūnus investuoti į savo informacinių sistemų apsaugos plėtrą.

Europa:

• Belgijos privatumo institucija sudarė susitarimą lapkričio 26 d. susitarimo memorandumas su DNS Belgium sustabdyti svetainių, pažeidžiančių BDAR, domenų vardus „.be“.

• Iki sausio 8 d. Europos Komisija nuspręs dėl„Google“ įsigyja „FitBit“, įsigijimas, keliantis klausimų duomenų apsaugos ir konkurencijos srityse.

• Europos Komisija lapkričio 12 d. paskelbė standartinių sutarčių sąlygų projektą, dėl kurio keturias savaites buvo galima teikti pastabas.

Šia pataisyta versija siekiama ištaisyti dabar jau garsaus Schrems II sprendimo pasekmes ir leisti duomenų perdavimas į Jungtines Valstijas laikantis Europos teisės aktų.

Taip pat remiamės Europos duomenų apsaugos komiteto rekomendacijomis tuo pačiu klausimu, priimtomis lapkričio 10 d.

• Tikimasi, kad naujasis Europos skaitmeninių paslaugų reglamentas bus paskelbtas gruodžio pradžioje.

Komisijos tikslas yra reguliuoti „didžiąsias technologijas“ taip pat sudarant sąlygas labai mažoms įmonėms / MVĮ plėtoti savo paslaugas, įgalinti skaitmeninius veikėjus ir kovoti su internetine dezinformacija.

Tarptautinis:

• Naujasis Kanados asmens duomenų apsaugos įstatymas buvo veiksmingesnis, o už jo principų pažeidimus numatytos didelės baudos.

• Jungtinės Valstijos: Kalifornijos privatumo teisių įstatymas („CPRA“) buvo priimtas lapkričio 3 d.

Šiuo nauju tekstu įsteigiama priežiūros institucija – Kalifornijos privatumo apsaugos agentūra, turinti įgaliojimus skirti finansines baudas.

Tai pirmoji šio sektoriaus priežiūros institucija Jungtinėse Valstijose.

Anne Christine Lacoste

„Olivier Weber Avocat“ partnerė Anne Christine Lacoste yra teisininkė, kurios specializacija – duomenų teisė; ji buvo Europos duomenų apsaugos priežiūros pareigūno tarptautinių santykių vadovė ir dirbo įgyvendinant BDAR Europos Sąjungoje.