Mēs dažreiz esam atbildīgāki, nekā domājam... vai nekā vēlamies būt.

Juridiskā uzraudzība – 2019. gada septembris.

Tas attiecas uz gadījumiem, kad savā tīmekļa vietnē instalējat vienkāršu spraudni, pat ja jums nav piekļuves datiem, kas apkopoti šādā veidā.

Nesen pieņemts Eiropas Savienības Tiesas nolēmums, kas pazīstams ar nosaukumu “Fashion ID”, apstiprina šo novērojumu, precizējot tīmekļa vietņu pārvaldnieku atbildību, kuri savā lapā ievieto Facebook “patīk” ikonu.

Šī vienkāršā spraudņa ievietošana tādēļ var padarīt vietnes pārvaldnieku līdzatbildīgu par apstrādi ar sociālo tīklu, kas apkopo šos datus.

No tehniskā viedokļa vienkārša spraudņa ievietošana tīmekļa lapā ļauj automātiski nosūtīt šīs lapas apmeklētāju savienojuma datus attiecīgajam sociālajam tīklam neatkarīgi no tā, vai apmeklētāji noklikšķina uz spraudņa ikonas. Šajā gadījumā Fashion ID, Vācijas tiešsaistes modes apģērbu mazumtirgotāja, apmeklētāju dati tika sistemātiski nosūtīti uz Facebook. Tas faktiski notiek ar daudzām mūsdienu tīmekļa vietnēm, neatkarīgi no tā, vai tās ir tiešsaistes pārdošanas vietnes, ziņu vietnes vai emuāri. Un šajā gadījumā pret Facebook vērsto argumentāciju var attiecināt uz jebkuru sociālo tīklu vai citu vienību, kas izmanto to pašu tehnoloģiju.

Tiesa precizēja, ka fakts, ka vietnes pārvaldniekam nav piekļuves šādi pārsūtītajiem datiem, nemazina tā atbildību. Izšķirošais faktors joprojām ir fakts, ka tas kopīgi ar Facebook nosaka apstrādes mērķus un līdzekļus. Tiesa secina vietnes un Facebook iespējamo kopīgo atbildību no savstarpējiem ekonomiskajiem ieguvumiem, ko tie gūst no šīs sadarbības: Facebook gadījumā tā ir savas datubāzes bagātināšana, bet vietnes pārvaldniekam – tās produktu reklāmas optimizācija Facebook sociālajā tīklā, tiklīdz apmeklētājs noklikšķina uz ikonas "patīk".

Tiesa precizē, ka juridiskā atbildība un saistības atšķiras atkarībā no dažādiem apstrādes aspektiem: šajā gadījumā Fashion ID nevar tikt saukta pie atbildības par to, kā Facebook pēc tam apstrādā datus. Facebook ir jānorāda arī konkrēts juridiskais pamats šai apstrādei. Tomēr tīmekļa vietnes operatoram ir pienākums atsevišķi informēt un saņemt savu apmeklētāju piekrišanu attiecībā uz šo datu vākšanu un pārsūtīšanu uz sociālo tīklu.

No šī svarīgā sprieduma var gūt vairākas mācības. Tāpēc ieteicams:

• Sistemātiski pārbaudiet spraudņu lietošanas nosacījumus savā tīmekļa vietnē un iespējamos datu pārsūtīšanas nosacījumus trešajām personām,
• Pārbaudiet atbildības klauzulas līgumos ar šīm trešajām personām;
• Informējiet apmeklētājus īpaši par šo datu vākšanu un saņemiet viņu atsevišķu piekrišanu.

Šie piesardzības pasākumi ir vēl jo svarīgāki tāpēc, ka CNIL nesen precizēja stingros nosacījumus piekrišanas saņemšanai attiecībā uz tiešsaistes reklāmas mērķauditorijas atlasi un paziņoja, ka 2019. gadā tā koncentrēs savas uzraudzības darbības uz atbildības sadalījuma jautājumiem starp dažādām pusēm, kas apstrādā personas datus. 

Šie jautājumi tiek risināti arī Eiropas līmenī. EDAK, kas apvieno Eiropas Savienības datu aizsardzības iestādes (CNIL), ir uzsākusi diskusijas, kurās piedalās dažādas nozaru organizācijas, lai atjauninātu uzraudzības iestāžu atsauces atzinumu par pārziņu, kopīgu pārziņu un apstrādātāju identificēšanu un lomu.

Un arī:

• Eiropā:

Breksits:

Kādi būtu datu pārsūtīšanas nosacījumi uz Apvienoto Karalisti, ja valsts izstātos no Eiropas Savienības bez vienošanās? EDAK 2019. gada sākumā publicēja piezīmi, kurā sīki izklāstīti nosacījumi un dažādie piemērojamie juridiskie pamati. Lielbritānijas datu aizsardzības iestāde savā oficiālajā tīmekļa vietnē atbild arī uz daudziem jautājumiem.

Biometriskie dati:

Zviedrijas Datu aizsardzības iestāde savu pirmo sankciju saskaņā ar GDPR noteica 21. augustā. Skolai tika piemērots 20 000 eiro sods par sejas atpazīšanas sistēmas ieviešanu skolēniem, pārkāpjot vairākus GDPR principus: nederīgu piekrišanu, sensitīvus biometriskos datus, iepriekšēja ietekmes novērtējuma trūkumu un neapspriešanos ar datu aizsardzības iestādi.

Mākoņa un datu aizsardzība:

Eiropas mākoņdatošanas ar saskaņotiem noteikumiem izredzes kļūst arvien tuvākas. 29. augustā Hāgā notika pirmā publiskā un privātā sektora ieinteresēto personu sanāksme Eiropas un starptautiskā līmenī.

• pasaulē:

Elektroniskie pierādījumi:

Nosacījumi, saskaņā ar kuriem tiesu iestādes var piekļūt uzņēmumu rīcībā esošajiem elektroniskajiem pierādījumiem ("e-pierādījumiem"), ir Eiropas un starptautiskās attīstības jautājums. Mērķis ir saskaņot šos noteikumus Eiropā, kā arī panākt vienošanos ar Amerikas Savienotajām Valstīm par piekļuves nosacījumiem šiem datiem kā daļu no cīņas pret noziedzību. Saskaņā ar Amerikas "Mākoņdatošanas likumu" Amerikas Savienotajām Valstīm kopš 2018. gada marta ir piekļuve Eiropā bāzēto Amerikas uzņēmumu datiem. Mērķis ir panākt vienošanos par šiem piekļuves nosacījumiem abās Atlantijas okeāna pusēs, ievērojot datu aizsardzības noteikumus.

ISO standarts:

Jaunais standarts ISO/IEC/27701 tika publicēts augusta sākumā. Tas ir ISO/IEC 27001 un ISO/IEC 27002 paplašinājums, lai aptvertu privātuma pārvaldību, un tajā ir ņemtas vērā arī GDPR prasības.

1 Spriedumā tiek piemērota Direktīva 95/46/EK, kas kopš tā laika ir atcelta ar Regulu (ES) 2016/679 jeb VDAR. Tomēr noteikumi par (līdz)atbildību jaunajā regulā ir palikuši identiski.