WhatsApp lēmums: GAFAM nesodāmības beigas Eiropā?

Juridiskā uzraudzība Nr. 38 — 2021. gada augusts

WhatsApp lēmums: GAFAM nesodāmības beigas Eiropā? Iepriekšējā ziņā mēs ziņojām par grūtībām panākt vienošanos Eiropas līmenī par Vispārīgās datu aizsardzības regulas ieviešanu. 

Īrijas regulatora nesen pieņemtais lēmums attiecībā uz WhatsApp liecina par turpmāku progresu sadarbībā starp uzraudzības iestādēm, kas izveidota ar GDPR.

WhatsApp 2. septembrī tika uzlikts administratīvais sods 225 miljonu eiro apmērā. Īrijas lēmums ir sekojis vairākiem pavērsieniem Eiropas Datu aizsardzības kolēģijā (EDAK).

Saskaņā ar VDAR 65. pantā paredzēto strīdu izšķiršanas procedūru Komiteja piespieda Īriju pārskatīt savus secinājumus tādēļ tai bija jāpaplašina pārkāpuma elementi, ievērojami jāpalielina naudas soda apmērs un jāsaīsina WhatsApp piešķirtie termiņi lēmuma izpildei.

Aprēķinot naudas sodu, Komiteja uzskatīja, ka jāņem vērā ne tikai WhatsApp, bet arī tā mātesuzņēmuma Facebook apgrozījums.

Tā arī uzskatīja, ka vairāku pārkāpumu gadījumā attiecībā uz vienu un to pašu datu apstrādi pārkāpumi būtu jāapkopo, vienlaikus nepārsniedzot GDPR noteikto apgrozījuma 4% robežvērtību.

Jāatzīmē, ka naudas sods, lai cik ievērojams tas varētu šķist, veido tikai 0,081 TP3T no Facebook apgrozījuma.

Kas liek aizdomāties, ja ņem vērā, ka Īrijas varas iestādes sākotnēji plānoja 50 miljonu eiro sodu.

Atcerēsimies, ka Luksemburgas datu aizsardzības iestāde augusta sākumā piesprieda Amazon 746 miljonu eiro sodu., lielākais jebkad saskaņā ar GDPR uzliktais naudas sods.

Izmeklēšanas galvenais jautājums bija par to, vai WhatsApp ievēro savas informācijas sniegšanas saistības pret saviem lietotājiem, kā arī pret tiem, kas nav lietotāji un kuru dati arī tiek vākti.

Informatīvie paziņojumi tika uzskatīti par sarežģītiem, tāpēc nebija iespējams pienācīgi izprast uzņēmuma leģitīmās intereses.

Lietotāju piekļuves kontaktiem funkcionalitātes izmantošana ir pilnībā necaurspīdīga minētajām kontaktpersonām, kuru dati tiek apstrādāti, pat ja viņi paši ne vienmēr izmanto lietojumprogrammu.

Papildus VDAR 12., 13. un 14. panta pārkāpumam attiecībā uz informēšanas pienākumiem, Komiteja secina, ka pārkāpumi ir pietiekami nopietni, lai tie varētu tikt uzskatīti par VDAR 5. panta 1. punkta a) apakšpunkta pārkāpumu attiecībā uz vispārējo pārredzamības principu.

Īrijas iestādes lēmums, ko apstiprinājusi Komiteja, ir noderīgs pagrieziena punkts datu pārziņiem attiecībā uz GDPR informācijas sniegšanas pienākumiem.

Tiek saglabātas šādas vadlīnijas:

–           Izvairieties no informācijas izkliedēšanas dažādās lapās, kurās lietotājam ir jānoklikšķina uz vairākām saitēm, kā arī bezgalīgās nolaižamajās izvēlnēs un informācijas koncentrēšanā vienuviet.

–           Aprakstiet apstrādes darbības, apkopotie dati un katra identificētā mērķa juridiskais pamats.

Norādiet arī šo informāciju par katru trešo personu, kurai ir piekļuve datiem.

Šo dažādo elementu attēlošana tabulas veidā var palīdzēt tos skaidri izprast.

–           Padarīt informāciju pieejamun attiecībā uz “nelietotājiem” atsevišķā un viegli pieejamā veidā.

–           Norādiet apstākļus, kādos dati tiks saglabāti / dzēsts, ar konkrētām ilustrācijām.

–           Norādiet juridisko pamatu atļaujot datu pārsūtīšanu ārpus Eiropas Savienības, norādot, ja nav lēmuma par atbilstību, alternatīvu juridisko pamatu.

Vispārīga atsauce uz Eiropas Komisijas tīmekļa vietni nav pietiekama.

.

Un arī

Francija:

CNIL turpina atbilstības nodrošināšanas darbības attiecībā uz sīkdatnēm.

Viņa uzstājās otrajā diskusiju sērijā oficiāli paziņojumi vasarā pret vairākiem tiešsaistes tirdzniecības dalībniekiem, lielākajām digitālās ekonomikas platformām, vietējām pašvaldībām un banku sektoru.

Viņai arī ir sankcionēts 27. jūlijā Figaro uzņēmums samaksāja 50 000 eiro par reklāmas sīkfailu ievietošanu bez interneta lietotāju piekrišanas.

Viņa izmanto šo iespēju, lai atgādinātu par atbildības sadalījumu starp vietņu izdevējiem un viņu komerciālajiem partneriem.

Datorā ir radusies kļūme padarīts pieejams aptuveni 700 000 cilvēku personas dati, kuri veica Covid testu.

Šis drošības pārkāpums izceļ farmaceitu izmantoto valdības SI-DEP platformas datu pārsūtīšanas pakalpojumu mainīgo uzticamību.

Lai gan pati SI-DEP platforma ir droša, ne visa starpprogrammatūra ir droša.

Veselības ģenerāldirektorāts (DGS) nosūtīja farmaceitiem e-pastu, lai atgādinātu par SI-DEP apstiprināto un ar to saderīgo programmatūru.

Francetest testā konstatētais trūkums, kas tika publiskots 31. augustā, nebija tā sastāvdaļa.

CNIL atceries pašreizējā mācību gada sākuma kontekstā prasības, kas jāizpilda biometrijas izmantošanas kontekstā skolās.

Tajā tiek pētīta rokas kontūru atpazīšana piekļuvei skolu ēdnīcām un izklāstītas informācijas, piekrišanas un datu drošības prasības.

Viņa piebilst, ka atteikšanās apstrādāt biometriskos datus un līdz ar to piekļūt ēdnīcai, izmantojot citus līdzekļus, nedrīkst nodarīt kaitējumu attiecīgajam studentam.

Eiropa:

Patēriņa kredīts: Eiropas Datu aizsardzības uzraudzītājs (EDAU) 26. augustā publicēja atzinumu par Eiropas Komisijas ierosināto direktīvu.

Iemesls ir jaunas kredītu novērtēšanas metodes, izmantojot digitālās tehnoloģijas.

Ja šādi novērtējumi ir būtiski kredīta piešķiršanai patērētājam, EDAU pieprasa, lai daži dati tiktu izslēgti no novērtēšanas procedūrām.

Papildus veselības un sociālo mediju datiem EDAU vēlas, lai aizliegums attiektos uz visiem sensitīvajiem datiem (piemēram, par reliģiju un politiskajiem uzskatiem), kā arī interneta lietotāju pārlūkošanas datiem.

Kontrolieris arī norāda uz nepieciešamību labāk regulēt trešo pušu lomu kredītanalīzes pakalpojumu sniegšanā un mākslīgā intelekta sistēmu sertifikāciju šajā nozarē.

Sejas atpazīšana: Eiropas Padome publicē vadlīnijas, kuru mērķis ir nodrošināt atsauces pasākumu kopumu valdībām, sejas atpazīšanas izstrādātājiem, ražotājiem, pakalpojumu sniedzējiem un struktūrām, kas izmanto sejas atpazīšanas tehnoloģijas.

Mērķis ir nodrošināt, lai to izvietošanas laikā netiktu pārkāpta cilvēka cieņa, cilvēktiesības un pamatbrīvības, tostarp tiesības uz personas datu aizsardzību.

Itālija: Datu aizsardzības iestāde (Garante) ir sodījusi Deliveroo ar 2,5 miljonu eiro sodu.par algoritma necaurspīdīgu izmantošanu tā piegādes draiveru pārvaldībai un nesamērīgu viņu personas datu vākšanu, pārkāpjot GDPR likumības, pārredzamības, minimizēšanas un ierobežošanas principus.

Starptautiskās:

Ķīnas Tautas Republika pieņēma 20. augustā likums par personas informācijas aizsardzību (PIPL).

Šis likums stāsies spēkā 2021. gada 1. novembrī. 

Tā mērķis ir ne tikai aizsargāt personas datus, bet arī valsts drošību un valsts ekonomiskās intereses attiecībā uz GAFAM.

Likums paredz stingrus pienākumus attiecībā uz datu lokālu glabāšanu un ierobežojumus starptautiskai pārsūtīšanai.

Taliban pārņemšanai Afganistānā ir sekas arī datu aizsardzības jomā.

Vairāki faili, tostarp Iekšlietu un Aizsardzības ministriju pārvaldītajā, būtu ietverta īpaši sensitīva informācija.

Attiecīgie dati ietver policijas un armijas datus par pusmiljonu cilvēku: uzvārdu, vārdu, kā arī ar biometrisko profilu saistītu identifikācijas numuru, karjeras datus un ģimenes attiecības, kā arī divu cilšu "vecāko" personas datus, kuri vervēšanas laikā darbojas kā galvotāji.

Visa šī informācija, mainot īpašniekus, var palīdzēt kartēt saiknes starp vietējām kopienām un etniskajām grupām.