Analītiskie rīki: tiesas lēmuma un izlūkdienestu ietekme uz mūsu tīmekļa vietnēm.

Juridiskā uzraudzība Nr. 44 — 2022. gada februāris

Analītiskie rīki: tiesas lēmuma un izlūkdienestu ietekme uz mūsu tīmekļa vietnēmEiropas Savienības Tiesas nolēmums lietā “Schrems II” jau tā publicēšanas brīdī 2020. gada jūlijā tika uzskatīts par nozīmīgu nolēmumu personas datu aizsardzības kontekstā un, konkrētāk, datu pārsūtīšanas uz Amerikas Savienotajām Valstīm kontekstā.

Mūsdienās tam ir arvien tālejošākas sekas, kas ir loģiskas sekas Tiesas konstatējumiem par riskiem, kas saistīti ar Amerikas izlūkdienestu piekļuvi Eiropas datiem.

Šīs sekas tagad ietekmē tādus bieži lietotus rīkus kā auditorijas mērīšanas risinājumus un Google fontus.

Pagājušajā mēnesī mēs jau minējām Austrijas, Nīderlandes, Norvēģijas un Vācijas datu aizsardzības iestāžu pieņemtos kaskādes lēmumus, kuriem vēl jāpievieno [valsts/valsts/valsts] lēmumi. CNIL un Lihtenšteina.

Šie lēmumi seko sūdzībām (kopā 101), ko varas iestādēm iesniedza Makss Šrems un viņa apvienība NOYB (Eiropas Digitālo tiesību centrs), lai nodrošinātu, ka GAFAM ievēro Tiesas nolēmumu.

Varas iestāžu secinājumi ir šādi:

• Sīkfailu identifikācijas dati un neanonimizētas IP adreses, ko izmanto Google Analytics, ir personas dati.

Tos var apvienot arī ar citiem identificējamiem datiem, kas ir trešo pušu (izlūkdienestu) rīcībā.

• Fakts Tas, ka dati tiek vākti, izmantojot Eiropas tīmekļa vietni, nav būtiski, lai novērtētu trešo personu piekļuves risku. : kas ir datu pārsūtīšana uz Amerikas Savienotajām Valstīm

• Pārsūtīšana uz Amerikas Savienotajām Valstīm ir atļauta tikai tad, ja ir ieviesti atbilstoši drošības pasākumi. papildus, piemēram, standarta līguma klauzulām, jāveic pasākumi, lai novērstu risku, ka trešo personu valdība piekļūst datiem.

• Datu aizsardzības iestādes uzskatīja, ka Google sniegtās papildu garantijas nebija pietiekamas lai izslēgtu iespēju, ka datiem varētu piekļūt Amerikas izlūkdienesti.

Pašlaik sankcijas galvenokārt sastāv no brīdinājumiem un rīkojumi par inkriminēto rīku izmantošanas bloķēšanu tīmekļa vietņu pārvaldnieki. CNIL ziņo, ka šajā sakarā ir uzsākusi vairākas oficiālas paziņošanas procedūras.

Lai gan Google Analytics tiek plaši izmantots, šo lēmumu ietekme neaprobežosies tikai ar to: datu aizsardzības iestādes paplašina savu analīzi "līdz citi vietņu izmantotie rīki, kuru rezultātā dati tiek pārsūtīti no Eiropas interneta lietotājiem uz Amerikas Savienotajām Valstīm ".

Tāpēc daudzi Eiropas operatori, objektu pārvaldnieki publiskajā vai privātajā sektorā, ir noraizējušies.

Mēs zinām, ka profilakse ir labāka nekā ārstēšana, un šajā gadījumā mums vajadzētu pievērsties — ja tādi pastāv — rīkiem, kas nevāc personas datus un neuzglabā tos lokālos serveros.

Tāpēc CNIL iesaka šos rīkus izmantot tikai anonīmu statistikas datu iegūšanai, kas arī ļauj atbrīvot no lietotāja piekrišanas.

Tā ir uzsākusi procedūru esošo risinājumu izvērtēšanai un publicē savā tīmekļa vietnē risinājumi, kas atbilst šīm prasībām, tostarp, piemēram, Matomo, Wysistat, Beyable vai Compass.

Atzīmēsim, ka pat visefektīvākos rīkus dažreiz var konfigurēt dažādos veidos: Vietnes pārvaldnieka pienākums ir pārbaudīt, vai noklusējuma konfigurācija atbilst likuma prasībām..

Pašreizējā kontekstā datu pieejamības ierobežošana trešajām personām jebkurā gadījumā ir prakse, kas ir jāveicina neatkarīgi no tā, vai piekļuves riski rodas no otras Atlantijas okeāna puses vai citur.

Un arī

Francija:

CNIL iesniedz nostājas projektu sabiedriskajai apspriešanai līdz 2022. gada 11. martam par “viedajām” kamerām. vai “papildināts” publiskās vietās.

Tā publicē arī savu jauno stratēģisko plānu 2022.–2024. gadam., ap trim prioritārajām asīm uzticamas digitālās sabiedrības veidošanai: “tiesību ievērošanas veicināšana, GDPR popularizēšana kā vērtīgs aktīvs un regulējuma mērķtiecīga piemērošana svarīgiem tematiem”.

Tās prioritārās kontroles tēmas 2022. gadam ir komerciālā izpēte, mākonis un attālinātā darba uzraudzība.

Francija uzsāk valsts mēroga kibernoziegumu izpratnes veicināšanas kampaņasadarbībā ar plašsaziņas līdzekļiem, kuras mērķis ir virzīt sabiedrību uz kiberdrošības risinājumiem. 

Eiropa:

Plenārsēdē 22. februārī Eiropas Datu aizsardzības kolēģija (EDAK) ir pieņēmusi vēstuli Vēstule par Eiropas Padomes Konvenciju par kibernoziegumiem un tās 2. papildprotokolu kurā viņš pauž bažas par trešo valstu valdību iespējām tieši pieprasīt datus no Eiropas pakalpojumu sniedzējiem.

Tā publicēja arī vadlīnijas par rīcības kodeksiem kā instrumentiem starptautiskai datu pārsūtīšanai un vēstuli par atbildības jautājumiem mākslīgā intelekta kontekstā.

15. februārī Eiropas Datu aizsardzības kolēģija arī uzsāka savu pirmo koordinēto izpildes pasākumu attiecībā uz mākoņdatošanas izmantošanu publiskajā sektorā.

Mākoņpakalpojumu izmantošana, kas sešu gadu laikā ES ir divkāršojusies, pandēmijas laikā ir turpinājusi pieaugt, un tas ietekmē atbilstību Eiropas tiesību aktiem. Divdesmit divas datu aizsardzības iestādes, tostarp CNIL, nosūtīs anketas 75 valsts iestādēm, lai pārbaudītu atbilstību GDPR un nepieciešamības gadījumā uzsāktu oficiālas pārbaudes.

Mākoņinfrastruktūras pakalpojumu sniedzēju organizācija CISPE ir paziņojusi, ka Eiropas Datu aizsardzības kolēģija (EDPB) ir apstiprinājusi tās datu aizsardzības rīcības kodeksu..

Vairāki uzņēmumi to jau ir parakstījuši, tostarp Aruba, Amazon Web Services, Elogic, Leaseweb, Outscale un OVHCloud.

Kodekss jo īpaši paredz lietotājiem iespēju izvēlēties glabāt datus Eiropas Ekonomikas zonā.

NVO var tikt pakļautas arī kontrolei: Beļģijas Datu aizsardzības iestāde pēc ziņojuma nosūtīšanas CNIL ir noteikusi divas sankcijas pret NVO EU DisinfoLab un vienu no tās pētniekiem. Konstatētie GDPR pārkāpumi ir saistīti ar masveida datu vākšanu pētījuma ietvaros, kura mērķis ir noteikt to cilvēku politisko nostāju, kuri publicēja tvītus par "Benalla lietu".

Ar nozīmīgu lēmumu Beļģijas datu aizsardzības iestāde arī piesprieda Eiropas Interaktīvās reklāmas birojam (IAB Europe) 250 000 eiro sodu. par likumības, lojalitātes un pārredzamības principu pārkāpumiem, tehnisko un organizatorisko datu aizsardzības pasākumu trūkumu, reģistra trūkumu, ietekmes analīzes trūkumu un datu aizsardzības speciālista iecelšanu. Aiz šī pārkāpumu saraksta slēpjas "reāllaika solīšanas" princips (interneta lietotāju datu izsole, izmantojot piekrišanas pārvaldības platformas — CMP), kas tiek sankcionēts, ņemot vērā tā pilnīgo necaurredzamību attiecīgajām personām.

Itālijas datu aizsardzības iestāde ir sankcionējusi privātu klubu līdz 2000 eiro par novērošanas kameru pavēršanu pret publisko ceļu bez skaidrām norādēm, pārkāpjot VDAR 5. panta 1. punkta a) apakšpunktu, 5. panta 1. punkta c) apakšpunktu un 13. pantu. 

Nīderlandē Hāgas apgabaltiesa ir sodījusi darba devēju, kurš slepeni ierakstīja sava darbinieka telefonsarunu.Tiesas ieskatā, darbinieka aizdomās turēšana par sazināšanos ar saviem klientiem, lai dibinātu savu uzņēmumu, nav pietiekama, lai leģitimizētu slepenu zvanu ierakstīšanu.

Arī Nīderlandē Datu aizsardzības iestāde piesprieda mediju uzņēmumam 525 000,00 eiro sodu: Pēdējā minētā lūdza cilvēkiem, kuri izmantoja savas tiesības piekļūt saviem datiem, iesniegt viņu personas apliecības kopiju, un šis pieprasījums tika uzskatīts par nepamatotu un pretrunā ar GDPR 12. panta 2. punktu.

Spānijas Datu aizsardzības iestāde ir piemērojusi 200 000 eiro sodu pret Spānijas Futbola federāciju par videokonferences ieraksta kopīgošanu platformā Zoom bez iepriekšējas dalībnieku informēšanas vai piekrišanas. 

Arī Spānijā Amazon autotransportam tika piemērots 2 000 000 eiro sods. par nelikumīgu sodāmības reģistra informācijas vākšanu viņu darbā pieņemšanas procesa ietvaros.

Starptautiskās:

Starptautiskā Sarkanā Krusta komiteja tikko ir kļuvusi par ļoti sarežģīta kiberuzbrukuma upuri ar potenciāli ievērojamām sekām. ņemot vērā organizācijas apstrādāto datu sensitīvo raksturu. Tīmekļa vietnē sniegta sabiedrībai paredzēta priekšzīmīga informācija par situāciju no 16. februāra, kurā izskaidroti uzbrukuma apstākļi, iespējamie riski un darbības, kas veiktas šo risku mazināšanai.

Anna Kristīna Lakoste

Olivier Weber Avocat partnere Anna Kristīne Lakosta ir juriste, kas specializējas datu tiesībās; viņa bija Eiropas Datu aizsardzības uzraudzītāja starptautisko attiecību vadītāja un strādāja pie GDPR ieviešanas Eiropas Savienībā.