Sensitīvi dati: īpaši plaša piemērošanas joma

Juridiskā uzraudzība Nr. 50 — 2022. gada augusts.

Var būt grūti novērtēt, vai jūsu apkopotie dati ir sensitīvi vai nē, un izlemt, vai šiem datiem ir nepieciešama īpaša aizsardzība saskaņā ar GDPR.

Mēs atkārtojām šīs interpretācijas grūtības savā redakcijas slejā pagājušā gada februārī.

Eiropas Savienības Tiesa tikko ir precizējusi 2022. gada 1. augusta sprieduma darbības jomu. par sensitīvu datu jēdzienu vai, precīzāk sakot, par īpašām datu kategorijām.

Un, pēc Tiesas domām, šī darbības joma ir īpaši plaša.

Jāatceras, ka GDPR 9. pants attiecas uz datiem, kas atklāj iespējamo rasi vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, kā arī uz ģenētisko datu, biometrisko datu apstrādi fiziskas personas unikālas identificēšanas nolūkā, datiem par veselību vai datiem par fiziskas personas seksuālo dzīvi vai seksuālo orientāciju.

Minētais lēmums attiecas uz Lietuvas likuma par korupcijas apkarošanu noteikumiem, kas paredz, ka noteiktiem valsts sektora darbiniekiem ir jādeklarē savas privātās intereses, kā arī informācija par viņu laulātajiem un ģimenēm, un gandrīz visa šī informācija tiks publiskota internetā.

Pēc personas, uz kuru attiecas šis pienākums, iebildumiem Tiesai ir jāpieņem lēmums

• Par nepieciešamību tiešsaistē atklāt datus, kas attiecas uz laulāto
• Par to, vai šie dati par laulāto ir jāuzskata par sensitīviem datiem VDAR 9. panta izpratnē, jo tie ļauj secināt informāciju par attiecīgo personu seksuālo orientāciju. Tiesa, pirmkārt, uzskata, ka šo datu izplatīšana tiešsaistē nešķiet nepieciešama paredzētajam mērķim cīnīties pret korupciju, un pēc tam precizē, ka sensitīvu datu jēdziens ir jāinterpretē plaši.

Līdz šim brīdim ir pastāvējuši jautājumi par atšķirībām 9. panta formulējumā izmantotajos terminos, lai regulētu datus, kas, no vienas puses, "atklāj" politiskos uzskatus, dalību arodbiedrībās utt., vai, no otras puses, "attiecas" uz veselību vai seksuālo orientāciju.

Tiesa uzskata, ka visas īpašās datu kategorijas ir jāinterpretē plaši, ņemot vērā kontekstu un citus GDPR noteikumus.

Tādējādi šajā gadījumā tas ietver datus, kas, veicot intelektuālu salīdzināšanas vai dedukcijas darbību, var atklāt fiziskas personas seksuālo orientāciju.

Šim nolēmumam varētu būt būtiska ietekme uz to personu pienākumu apjomu, kuras ir atbildīgas par “potenciāli” sensitīvu datu apstrādi.

Šķiet, ka CNIL līdz šim ir interpretējusi šīs saistības ierobežojošāk: pagājušā gada janvārī tā norādīja, ka "vienkārša attēla fotografēšana vai filmēšana, no kura ir iespējams secināt personas datus" Tas, ka dati ir sensitīvi, pats par sevi nenozīmē sensitīvu datu apstrādi (…). Tas Tikai tad, ja šie attēli tiek apstrādāti, lai iegūtu, interpretētu vai izmantotu minētos sensitīvos datus, apstrāde tiks uzskatīta par tādu, kas ietilpst sensitīvu datu apstrādes režīmā.

Šķiet, ka Tiesas argumentācijas noteicošais elements ir fakts, ka dati ir publiski pieejami: no šī brīža ikviens var apkopot datus, izsecināt no tiem sensitīvu informāciju un apstrādāt tos mērķim, kas ir pilnīgi nesaistīts ar sākotnējo mērķi, ar sekām, no kurām varētu baidīties attiecīgās personas.

Jāatceras arī, ka no pieejamajiem datiem izdarītajiem secinājumiem nav jābūt pareiziem, lai tie atbilstu GDPR prasībām: patiesībā svarīgi nav tas, vai secinājumi ir pamatoti: kļūdaini secinājumi var radīt vēl kaitīgākas sekas datu subjektiem.

Paredzams, ka šis lēmums ietekmēs datu pārziņus, kuri apstrādā datus plašā mērogā un profilē interneta lietotājus, jo īpaši sociālo tīklu kontekstā, padarot par nepieciešamu nepārprotamu piekrišanu.

Visbeidzot, piebildīsim, ka turpmākie digitālo pakalpojumu un digitālo tirgu noteikumi paredz aizliegumu izmantot sensitīvus datus mērķauditorijas atlasei.

Apvienojumā ar EST plašo sensitīvu datu interpretāciju mēs varam paredzēt uzvedības reklāmas ierobežojumu Eiropas līmenī, kas ir bargāks nekā gaidīts.

Un arī

Francija:

ACCOR tikko piespriests 600 000 eiro sods. par komerciālas izpētes veikšanu bez attiecīgo personu piekrišanas un par klientu un potenciālo klientu tiesību neievērošanu.

Rezervācijas veidlapās pēc noklusējuma bija iekļauta iepriekš atzīmēta opcija, kas paredzēja automātisku jaunumu vēstules nosūtīšanu klientiem ar partneru komerciāliem piedāvājumiem.

CNIL arī atzīmēja atkārtotas tehniskas anomālijas, kas daudziem cilvēkiem liedza atteikties saņemt ziņojumus.

CNIL lēmums tika pieņemts sadarbības procedūrā ar citu ES valstu iestādēm, kurās ACCOR grupa apstrādā datus, un pēc tās Eiropas Datu aizsardzības komiteja lika CNIL palielināt naudas soda apmēru, lai veiktais pasākums būtu preventīvāks.

Starp vērā ņemtajiem elementiem ir pārkāpumu skaits, fakts, ka šie pārkāpumi attiecas uz vairākiem personas datu aizsardzības pamatprincipiem un rada būtisku personu tiesību pārkāpumu, kā arī skarto personu skaits un uzņēmuma finansiālais stāvoklis.

Augustā kļuva neiespējami izveidot savienojumu ar France Connect, izmantojot Ameli piekļuves datus., Bersijs ir deaktivizējis savienojuma pogu.

Iemesls ir pikšķerēšanas uzbrukumu atdzimšana, izmantojot šos piekļuves datus. Ziņots, ka Valsts finanšu ģenerāldirektorāts strādā pie France Connect drošības nodrošināšanas un plāno pakāpeniski pāriet no visjutīgākajām procedūrām, jo īpaši tām, kas ļauj piekļūt finanšu maksājumiem, uz drošākiem identifikācijas pakalpojumiem.

25. augustā NVO noyb.eu ir iesniedzis sūdzību pret Google CNIL..

Google tiek apsūdzēts par Eiropas Savienības Tiesas (EST) lēmuma par tiešā mārketinga e-pastiem ignorēšanu un savas Gmail e-pasta platformas izmantošanu nevēlamu reklāmas e-pastu sūtīšanai bez lietotāju derīgas piekrišanas.

Francijas reklāmas tehnoloģiju gigantam Criteo varētu tikt piespriests 60 miljonu eiro sods

kā daļa no CNIL uzsāktās izmeklēšanas.

Šajā posmā šis ir provizorisks lēmums, ko 5. augustā publiskoja organizācija, kas iesniegusi sūdzību, Privacy International.

Eiropa:

Kritizētas ES spiegprogrammatūras izmeklēšanas pilnvaras otrdien, 30. augustā, notikušās parlamentārās uzklausīšanas laikā, kuras laikā Eiropola pārstāvis paziņoja, ka aģentūras pilnvaras ir ierobežotas ar to dalībvalstu atbalstīšanu, kuras izvēlas sākt izmeklēšanu.

Līdz šim ir zināms, ka vismaz 14 Eiropas valstu valdības ir iegādājušās spiegprogrammatūru no NSO grupas, kas izveidoja spiegprogrammatūru Pegasus, un eksperti uzskata, ka ES darbojas daudzi citi pārdevēji.

Bijušais Twitter drošības vadītājs Peiters "Mudžs" Zatko iesniedza prasību pret uzņēmumu, kas nesen tika publiskota.

Dokumentā ir sīki izklāstīta virkne nosodošu apgalvojumu par drošības, privātuma un datu aizsardzības jautājumiem (cita starpā), kā arī apgalvojumi, ka Twitter ir maldinājis vai vēlējies maldināt reģionālās uzraudzības iestādes par atbilstību vietējiem likumiem.

Īrijas un Francijas uzraudzības iestādes ir uzņēmušās lietu.

Īrijas Datu aizsardzības komisija ir piespriedusi sociālo mediju platformai Instagram 405 miljonu eiro sodu., kas pieder Meta, par GDPR pārkāpumu.

Šis ir otrais lielākais sods saskaņā ar GDPR pēc 746 miljonu eiro soda pret Amazon un trešais, ko Īrijas regulators piemērojis Meta piederošam uzņēmumam.

Spriedums ir vērsts pret Instagram pārkāpumiem bērnu privātuma aizskārumā, tostarp bērnu e-pasta adrešu un tālruņu numuru publicēšanu.

Ķelnes Augstākā reģionālā tiesa (OLG Köln) piesprieda fiziskai personai 500 eiro, jo par datu pārziņa kavēšanos, sniedzot tam pieprasīto informāciju saskaņā ar GDPR 15. panta 1. punktu (izmantojot GDPRhub).

Līdzīgā gadījumā Itālijas datu aizsardzības iestāde (DPA) piesprieda Deutsche Bank 20 000 eiro sodu par savlaicīgu neatbildēšanu uz datu subjekta piekļuves pieprasījumu (izmantojot GDPRhub).

Grieķijas datu aizsardzības iestāde (DPA) ir sodījusi medicīniskās diagnostikas centru ar 30 000 eiro sodu par pārkāpis datu integritātes un konfidencialitātes principu Vadītājs bija zaudējis mamogrāfijas attēlus nepietiekamu tehnisko un organizatorisko pasākumu dēļ.

Papildus naudas sodam DPA lika centram paziņot datu subjektiem par pārkāpumu (izmantojot GDPRhub).

Spānijas Augstākā tiesa ir lēmusi, ka personas tiesību īstenošana attiecībā uz datu pārzini (VDAR 15.–22. pants) nav priekšnoteikums sūdzības iesniegšanai. ar datu aizsardzības iestādi: pēdējā var rīkoties pat tad, ja datu subjekts iepriekš nav sazinājies ar pārzini (izmantojot GDPRhub).

Šveicē jauns datu aizsardzības likums stāsies spēkā 2023. gada 1. septembrī.

Daži komentētāji norāda, ka vairāki principi būtu mazāk ierobežojoši nekā GDPR principi, jo īpaši tie, kas attiecas uz piekrišanu un datu aizsardzības speciālistu.

No otras puses, drošības prasības ir īpaši detalizētas.

Starptautiskās:

Eiropas struktūras var ietilpt Mākoņpakalpojumu likuma darbības jomā, pat ja tās atrodas ārpus Amerikas Savienoto Valstu vārdā juridiskā firma veica pētījumu, Nīderlandes Tieslietu un drošības ministrija, un tas tika publiskots 26. jūlijā.

Eiropas uzņēmumi var samazināt šo risku, izveidojot "ķīniešu mūri" ar Amerikas Savienotajām Valstīm, proti, nenodarbinot nevienu amerikāņu un neveidojot nevienu amerikāņu klientu, kas varētu attaisnot ASV iejaukšanos saskaņā ar Mākoņpakalpojumu likumu.

Tomēr pat šis aizsargs būtu nepietiekams, ja vienība izmantotu ASV tehnoloģijas, jo Mākoņpakalpojumu likums atļauj piekļuvi datiem, izmantojot apakšuzņēmējus/aparatūras un programmatūras piegādātājus, mākoņpakalpojumu sniedzējiem/no tiem.

Šie atklājumi ir izraisījuši diskusijas par tādiem piedāvājumiem kā Bleu "Trusted Cloud" (Microsoft tehnoloģijas, ko piedāvā Orange un Capgemini) un S3ns (Google ar Thales).

Amerikas Savienotajās Valstīs Facebook ir piekritis panākt izlīgumu Cambridge Analytica skandālā, kas attiecas uz tā piekļuvi desmitiem miljonu Facebook lietotāju privātajiem datiem vēlēšanu kampaņas laikā. Skandāls izcēlās pēc tam, kad Cambridge Analytica trauksmes cēlājs 2018. gadā atklāja informāciju laikrakstam Observer, kā rezultātā Facebook jau bija samaksājis miljardu eiro lielu sodu.

Kubā likums par personas datu aizsardzību tika publicēts Oficiālajā Vēstnesī 25. augustā. Tas stāsies spēkā 180 dienas pēc publicēšanas.

Krievija ir grozījusi savu datu aizsardzības likumu pēc Eiropas Padomes Konvencijas Nr. 108+ parakstīšanas.

Jaunais 2022. gada 14. jūlija federālais likums Nr. 266 būtiski groza dažus likumdošanas aktus, kas regulē personas datu apstrādi Krievijā, un tagad ietver pienākumu paziņot par datu pārkāpumiem.

Pieaugošā politiskā un drošības spriedze starp Pekinu un Rietumiem ir izraisījusi aicinājumus Apvienotajā Karalistē pēc ģenētisko datu nodošanas Ķīnai pārskatīšana no biomedicīnas datubāzes, kurā ir pusmiljona Lielbritānijas pilsoņu DNS.

Vislabākie drošības pasākumi nepasargā pret apakšuzņēmēju ievainojamībām.

24. augustā Twilio ziņoja, ka hakeri ir ielauzušies tā sistēmās.

Twilio saviem klientiem nodrošina verifikācijas pakalpojumus, tostarp šifrētas ziņojumapmaiņas uzņēmumam Signal.

Kad lietotājs reģistrē savu tālruņa numuru, Twilio nosūta viņam īsziņu ar verifikācijas kodu, kuru viņš pēc tam ievada lietotnē Signal.

Lai gan ietekme uz Signal un tā lietotājiem ir ierobežota pakalpojuma izstrādes veida dēļ, tas ir brīdinājums jebkurai platformai vai pakalpojumam, kuru varētu manipulēt, lai pārsūtītu akreditācijas datus uzbrucējam.

Google LLC Austrālijā piespriež 60 miljonu dolāru lielu sodu dolāru par patērētāju maldināšanu par viņu personas atrašanās vietas datu vākšanu un izmantošanu Android tālruņos.

Anna Kristīna Lakoste

Olivier Weber Avocat firmas partnere Anna Kristīne Lakosta ir juriste, kas specializējas datu tiesībās; viņa bija Eiropas Datu aizsardzības uzraudzītāja starptautisko attiecību vadītāja un strādāja pie GDPR ieviešanas Eiropas Savienībā.