Personas dati: vai pamattiesību izmantošanu var tirgot?

Juridiskā uzraudzība Nr. 54 — 2022. gada decembris

Personas dati: vai pamattiesību izmantošanu var tirgot? Komentēt tiesvedību pret Meta, Facebook, WhatsApp un Instagram mātesuzņēmumu, varētu kļūt nogurdinoši, jo tas piesaista datu aizsardzības iestāžu dusmas. 

Uzņēmums faktiski ir bijis GAFAM uzņēmums, kam piemērotas vislielākās sankcijas kopš GDPR stāšanās spēkā, un tam tikko tika piemērots vēl 390 miljonu eiro sods.

Tomēr nesen pieņemtie Eiropas Datu aizsardzības kolēģijas (EDPB) lēmumi, kurus Īrijas datu aizsardzības iestāde īstenoja šī gada sākumā, ir pelnījuši mūsu uzmanību vairāk nekā viena iemesla dēļ.

No vienas puses, tāpēc, ka tie ir vārdu kara epilogs starp Īrijas datu aizsardzības iestādi un tās Eiropas iestādēm, un, no otras puses, tāpēc, ka tie precizē reklāmas profilēšanas tiesisko regulējumu kontekstā, kas sniedzas tālāk par konkrēto Meta gadījumu.

EDAK 6. decembrī pieņemtie lēmumi tika pieņemti Eiropas strīdu izšķiršanas procedūras ietvaros (VDAR 65. pants). starp valstu datu aizsardzības iestādēm.

Pēc tam 4. janvārī tika publicēta Īrijas iestādes galīgā nostāja, kas atbilst EDAK secinājumiem.

Kā līdere šajā jautājumā, Īrija nonāca domstarpībās ar saviem kolēģiem jautājumos par vairākām datu apstrādes darbībām, ko veic Facebook, WhatsApp un Instagram.

EDAK pieņemtie lēmumi atrisina strīdu trīs galvenajos punktos: apstrādes juridiskais pamats (VDAR 6. pants), datu aizsardzības principi (VDAR 5. pants) un korektīvu pasākumu, tostarp naudas sodu, izmantošana.

Mūs īpaši interesē jautājums par uzņēmuma apstrādes juridisko pamatu, un Meta – ar Īrijas iestādes atbalstu – apsver, ka lietotāju dati varētu tikt vākti uzvedības reklāmas (vai pakalpojumu uzlabošanas WhatsApp gadījumā) nolūkos, izmantojot līguma izpildes juridisko pamatu.

Jāatzīmē, ka līdz GDPR stāšanās spēkā Meta leģitimizēja uzvedības reklāmu, iegūstot lietotāja piekrišanu.

Uzņēmums 2018. gada 25. maijā grozīja savus vispārējos nosacījumus, iekļaujot šo reklāmas mērķauditorijas atlases mērķi, kas tagad tiek uzskatīts par neatņemamu tā piedāvātā pakalpojuma sastāvdaļu un de facto ierobežo lietotāju kontroli pār savu datu izmantošanu.

Uzņēmums apgalvoja, ka tam nav jāsaņem piekrišana, jo šī tiešsaistes mērķauditorijas atlase ir daļa no pakalpojuma, ko tas sniedz lietotājiem.

Atgādināsim, ka piekrišana, tāpat kā datu nepieciešamība līguma izpildes kontekstā, ir starp sešiem VDAR 6. panta 1. punkta juridiskajiem pamatiem, kas ļauj pamatot apstrādes likumību.

Vai šie juridiskie pamati ir savstarpēji aizvietojami?

Eiropas doktrīna šajā jautājumā ir skaidra un tikko ir apstiprināta: līgumiskā nepieciešamība ir jāinterpretē šauri, un apkopotajiem datiem ir jābūt stingri nepieciešamiem sniegtajam pakalpojumam, kā tas ir, piemēram, kredītkaršu datu vākšanas gadījumā tiešsaistes maksājumiem.

Savā 2019. gada 8. oktobra atzinumā par tiešsaistes pakalpojumiem EDAK jau pauda viedokli, ka uzvedības reklāma nav nepieciešams tiešsaistes pakalpojumu elements.

Tiešsaistes mazumtirgotājs, kas, piemēram, vēlas izveidot lietotāja gaumes un dzīvesveida izvēles profilus, pamatojoties uz apmeklējumiem tā tīmekļa vietnē, nevar paļauties uz pirkuma līguma izpildi, lai izveidotu šos profilus.

Pat ja profilēšana līgumā ir īpaši minēta, šis fakts vien nepadara to par “nepieciešamu” līguma izpildei.

Ja tiešsaistes mazumtirgotājs vēlas veikt šo profilēšanu, tam jāpaļaujas uz citu juridisko pamatu.

Šo nostāju EDAK apstiprināja savās 2021. gada 13. aprīļa vadlīnijās par sociālo mediju lietotāju mērķauditorijas atlasi.

Tomēr tiek atzīmēts, ka arvien vairāk tiešsaistes pakalpojumu tiek pasniegti kā bezmaksas, lai gan patiesībā par tiem tiek maksāts, izmantojot lietotāju datus, kas ir tiešsaistes pakalpojuma ekvivalents.

Vai tāpēc mēs varam "maksāt ar saviem datiem"?

Šis datu līgumiskuma jautājums nav jauns, taču mūsdienās tas rodas ar zināmu asumu.

Pat ja reklāmas kalpo pakalpojuma atbalstam, apstrāde tiešā mārketinga nolūkos principā tiek uzskatīta par atšķirīgu no datu subjekta un pakalpojumu sniedzēja līguma objektīvā mērķa, kas nozīmē, ka lietotājam ir jāpatur brīvība piekrist vai nepiekrist mērķtiecīgai reklāmai.

2017. gadā Eiropas Datu aizsardzības uzraudzītājs atzinumā par līgumiem digitālo pakalpojumu sniegšanai brīdināja "no jebkādiem jauniem noteikumiem, kas ieviestu ideju, ka cilvēki var norēķināties ar saviem datiem tāpat kā ar naudu".

Patiešām, pamattiesības, piemēram, tiesības uz personas datu aizsardzību, nevar reducēt tikai uz patērētāju interesēm, un personas datus nevar uzskatīt par vienkāršu preci.

Daži uzskatīs, ka maksāšana ar saviem datiem nenozīmē atteikšanos no savām pamattiesībām.

Jāatzīmē arī CNIL neskaidrā nostāja attiecībā uz "maksas sienām", kas padara piekļuvi tīmekļa vietnei atkarīgu no maksas lietotājiem, kuri atsakās no sīkfailu izmantošanas, un Komisija savā tīmekļa vietnē norāda, ka tā izskata šos jautājumus katrā gadījumā atsevišķi.

Vai tāpēc mums vajadzētu sagaidīt, ka Meta iekasēs maksu no lietotājiem, kuri atsakās no reklāmas profilēšanas?

Kā pareizi norāda NVO NOYB, kas iesniedza sūdzību pret Meta, EDAK atrisinātais strīds attiecas tikai uz šo profilēšanu un neietekmē citus reklāmas veidus, piemēram, kontekstuālo reklāmu, kas balstīta uz lapas saturu.

EDAK nostājai noteikti būs ietekme uz Meta finansēm, taču tā pilnībā neizslēdz reklāmu.

Gluži pretēji, tam vajadzētu atjaunot veselīgu konkurenci starp Meta un citiem tiešsaistes pakalpojumu sniedzējiem, kā arī starp uzņēmumiem, uz kuriem attiecas Īrijas tiesību akti, un tiem, kas dibināti citur Eiropā.

Un arī

Francija:

2022. gada 19. decembrī CNIL noteica uzņēmumam sankcijas. MICROSOFT IRELAND OPERATIONS LIMITED līdz 60 miljonu eiro apmērā par nelikumīgu sīkfailu izmantošanu savā meklētājprogrammā “bing.com”.

Uzņēmums tiek apsūdzēts par to, ka nav ieviesis mehānismu, kas ļautu cilvēkiem tikpat viegli atteikties no sīkdatnēm, kā tās pieņemt.

CNIL pamato šo summu ar apstrādes apjomu, attiecīgo personu skaitu un peļņu, ko uzņēmums gūst no reklāmas ieņēmumiem, kas netieši iegūti no sīkfailu apkopotajiem datiem.

2022. gada 30. novembrī CNIL uzņēmumam FREE piesprieda 300 000 eiro sodu.

Pārbaudēs tika atklāti vairāki pārkāpumi, jo īpaši attiecībā uz attiecīgo personu tiesībām (piekļuves tiesības un tiesības uz dzēšanu) un datu drošību: Komisija izcēla paroļu vājo drošību, paroļu glabāšanu un pārsūtīšanu skaidrā tekstā, kā arī aptuveni 4100 slikti atjaunotu "Freebox" kastīšu atkārtotu apriti.

Tā arī noraidīja argumentu, ka pārziņa personas datu avoti būtu jāuzskata par "komercnoslēpumiem".

2022. gada 5. decembra publikācijā CNIL atgādina noteikumus, kas jāievēro, pārdodot klientu failus komerciāliem mērķiem: failā drīkst būt tikai aktīvo klientu dati, un ne ilgāk kā trīs gadus pēc komercattiecību beigām drīkst pārdot tikai to klientu datus, kuri nav iebilduši pret savu datu nosūtīšanu vai ir devuši tam piekrišanu, un pircējam ir jānodrošina fizisko personu tiesību ievērošana (jo īpaši skaidra informācija un piekrišana elektroniskai meklēšanai).

CNIL beidzot piešķīra sankcijas šī gada 4. janvārī. APPLE STARPTAUTISKĀ IZPLATĪŠANA līdz 8 miljoniem eiro par to, ka pirms reklāmas nolūkos izmantojamo identifikatoru ievietošanas un/vai ierakstīšanas viņu ierīcēs netika iegūta no Francijas iPhone lietotājiem, kuri izmanto veco iOS 14.6 versiju.

Eiropa:

ES Padomes Zviedrijas prezidentūra 14. decembrī publicēja savas prioritātes nākamajiem sešiem mēnešiem: digitālās tehnoloģijas nav darba kārtības augšgalā., ņemot vērā pašreizējās debates par ekonomisko un enerģētisko drošību un noturību Krievijas un Ukrainas konflikta kontekstā.

Tomēr Zviedrija precizē, ka tā turpinās iesākto darbu saistībā ar datu regulu ("Datu likums"), "privātuma un elektroniskās komunikācijas" regulu, kā arī priekšlikumu regulai par Eiropas veselības datu telpu.

Eiropas Komisija 2022. gada 13. decembrī publicēja ilgi gaidīto atbilstības lēmuma projektu attiecībā uz datu aizsardzības līmeni Amerikas Savienotajās Valstīs.

Šī lēmuma mērķis ir nodrošināt ilgstošu juridisko pamatu datu pārsūtīšanai starp ES un ASV pēc ES Tiesas 2020. gada jūlija lēmuma “Schrems II” lietā, ar kuru tika atzīts par spēkā neesošu “Privātuma vairogs”.

Pirms galīgā lēmuma pieņemšanas projekts vēl ir jāpārskata Eiropas Datu aizsardzības kolēģijā (EDAK) un jāapstiprina ES dalībvalstu pārstāvju komitejā.

Arī Eiropas Parlamentam ir tiesības pārskatīt lēmumus par atbilstību.

Eiropas Komisija 2022. gada 15. decembrī publicēja deklarāciju par digitālajām tiesībām un principiem digitālajā desmitgadē.

Deklarācijas mērķis ir sniegt norādījumus politikas veidotājiem viņu digitālās transformācijas vīzijā šādos virzienos: uz pilsoņiem vērsta digitālā transformācija, atbalstot solidaritāti un iekļaušanu, atgādinot par izvēles brīvības nozīmi mijiedarbībā ar algoritmiem un mākslīgā intelekta sistēmām, kā arī palielinot drošību, aizsardzību un iespēju paplašināšanu, jo īpaši bērniem un jauniešiem, vienlaikus garantējot tiesības uz privātumu un personu kontroli pār saviem datiem.

Pēc gadu ilgas izmeklēšanas ES ombuds ir publicējis savu 2022. gada 19. decembra lēmumu par Īrijas Pilsoņu brīvību padomes (ICCL) sūdzību pret Eiropas Komisiju par nespēju pienācīgi uzraudzīt GDPR piemērošanu Īrijā.

Šis lēmums uzsver nepieciešamību Eiropas Komisijai labāk uzraudzīt katras lielo tehnoloģiju uzņēmumu lietas virzību, kas iesniegta Īrijas Datu aizsardzības komisijā.

Eiropas Savienības Tiesa 8. decembra spriedumā precizēja nosacījumus, saskaņā ar kuriem Eiropas pilsoņi var panākt, lai Google dzēstu ar viņiem saistītus meklēšanas rezultātus.

Lieta bija saistīta ar diviem investīciju pārvaldniekiem, kuri lūdza Google noņemt meklēšanas rezultātus, kas tika veikti, izmantojot viņu vārdus, un kuros bija saites uz noteiktiem rakstiem, kuros tika kritizēts viņu investīciju modelis.

Tiesa lēma, ka "tiesības uz vārda un informācijas brīvību nevar ņemt vērā, ja vismaz daļa — kas nav mazsvarīga — no atsauces saturā atrodamās informācijas izrādās neprecīza." Personām, kuras vēlas noņemt neprecīzus rezultātus no meklētājprogrammām, ir jāsniedz pietiekami (un pamatoti) pierādījumi, ka par viņām teiktais ir nepatiess.

Nīderlandes Datu aizsardzības iestāde 22. decembrī publicēja paziņojumu par savām pilnvarām uzraudzīt algoritmus pārredzamības, diskriminācijas un patvaļības jautājumos.

Arī Nīderlandē pētījums, ko veica Nīderlandes privātuma grupa Incogni, atklāj, ka ka daudzām populārām iepirkšanās lietotnēm, tostarp Amazon, ir apšaubāma prakse attiecībā uz piekļuves atļauju koplietošanu ar reklāmas bibliotēkām, kas ļauj reklāmas tīkliem netieši piekļūt ierīcei. 

Grieķijas iestāde Datu aizsardzības iestāde ir piemērojusi Vodafone PANAFON SA 150 000 eiro sodu par to, ka tā nav veikusi atbilstošus tehniskus un organizatoriskus pasākumus savu elektronisko sakaru pakalpojumu drošības aizsardzībai.

Islandes iestāde Datu aizsardzības iestāde lika autoservisam izpildīt piekļuves pieprasījumu saskaņā ar VDAR 15. pantu un sniegt datu subjektam datus par visiem remontdarbiem un apkopēm, kas veiktas viņa automašīnai laikā, kad tā atradās viņa īpašumā.

Portugāles iestāde Datu aizsardzības iestāde ir izteikusi Setubalas pašvaldībai rājienu un sodījusi to ar 170 000 eiro lielu naudas sodu par integritātes un konfidencialitātes principa, glabāšanas ierobežojuma principa, GDPR 13. pantā paredzēto informācijas sniegšanas pienākumu pārkāpšanu un datu aizsardzības speciālista neiecelšanu saistībā ar Ukrainas bēgļu, kuri Portugālē izmantoja tālruņa palīdzības līniju, personas datu vākšanu.

Portugāles Datu aizsardzības iestāde arī sodīja Nacionālo statistikas institūtu par neatbilstību GDPR, tostarp par 2021. gada tautas skaitīšanas personas datu nosūtīšanu uz Amerikas Savienotajām Valstīm un par datu aizsardzības ietekmes novērtējuma neveikšanu.

Itālijas iestāde Datu aizsardzības iestāde ir piemērojusi 2 000 000 eiro sodu uzņēmumam “Alpha Exploration” par sociālā tīkla “Clubhouse” darbību, pārkāpjot GDPR noteikumus par likumību un pārredzamību, par to, ka tas nav novērtējis ar apstrādi saistītos riskus, un par ES pārstāvja iecelšanu bez nepieciešamā mandāta rīkoties pārziņa vārdā.

Itālijas datu aizsardzības iestāde arī piesprieda telekomunikāciju operatoram “Vodafone Italia” 500 000 eiro sodu par personas datu apstrādi tiešā mārketinga nolūkos bez juridiska pamata, par vispārējas piekrišanas iegūšanu atsevišķām datu apstrādes darbībām un par informācijas sniegšanu par personas datu apstrādi nesaprotamā veidā.

Spānijas iestāde Datu aizsardzības iestāde piesprieda 16 gadus vecam pusaudzim 5000 eiro naudas sodu par WhatsApp saņemto video un fotoattēlu izmantošanu, lai šantažētu 13 gadus vecu nepilngadīgo, kurš nevarēja sniegt derīgu piekrišanu. Datu aizsardzības iestāde arī lika pusaudzim dzēst visus pārējos attiecīgās personas personas datus un ziņot par šajā sakarā veiktajiem pasākumiem. 

Starptautiskā

ASV: Videospēles Fortnite izstrādātājam Epic Games būs jāmaksā vairāk nekā pusmiljards dolāru par Bērnu privātuma aizsardzības likuma (COPPA) pārkāpšanu, noklusējuma privātuma iestatījumu maiņu un lietotāju maldināšanu, lai tie veiktu nevēlamus pirkumus.

Federālās tirdzniecības komisijas izlīgumus ar Epic Games FTC publiskoja 15. decembrī.

29. decembra publikācijā Laikraksts "The Guardian" ziņo, ka Ķīnas novērošanas kameru ražotājs "Hikvision" ir izstrādājis programmatūras platformu policijas atbalstam. sekot līdzi protestētāju aktivitātēm.

Tādējādi Ķīnas policija varētu iestatīt brīdinājumus par dažāda veida demonstrācijām, piemēram, "pūļa pulcēšanos, kas traucē kārtību sabiedriskās vietās", "nelikumīgu pulcēšanos, gājienu, demonstrāciju" un "petīciju" draudiem.

ESAO valstis pirmo starpvaldību nolīgumu par privātumu pieņēma 2022. gada 14. decembrī. piekļūstot personas datiem valsts drošības un tiesībaizsardzības nolūkos.

Šie principi nosaka, kā tiesiskais regulējums regulē valdības piekļuvi, juridiskos standartus, kas tiek piemēroti, pieprasot piekļuvi, kā piekļuve tiek apstiprināta un kā tiek apstrādāti iegūtie dati, kā arī centienus nodrošināt pārredzamību sabiedrībai.

No tehniskie risinājumi tiek izstrādāti, lai gan lietotāji varētu kontrolēt savu datu izmantošanu, gan datu pārziņi varētu pārvaldīt tiešsaistes datus saskaņā ar datu aizsardzības principiem.

Papildus globālajai privātuma kontrolei (Global Privacy Control), kuras izmantošana tagad paplašinās tiešsaistes piekrišanas pārvaldības kontekstā, CookieFirst piekrišanas pārvaldības platforma piedāvā lietotājiem uzlabotu kontroli pār trešo pušu pakalpojumiem un to iestatītajām sīkdatnēm, kā arī datu glabāšanai izmanto ES bāzētus apakšuzņēmējus.

Anna Kristīna Lakoste

Olivier Weber Avocat partnere Anna Kristīne Lakosta ir juriste, kas specializējas datu tiesībās; viņa bija Eiropas Datu aizsardzības uzraudzītāja starptautisko attiecību vadītāja un strādāja pie GDPR ieviešanas Eiropas Savienībā.