Tiesvedība: jauna dinamika kolektīvajām prasībām?

Juridiskā uzraudzība Nr. 53 — 2022. gada novembris

Tiesvedība: jauna dinamika kolektīvajām prasībām? Tiesiskās aizsardzības līdzekļi saistībā ar personas datu aizsardzības jautājumiem Francijā un Eiropā joprojām ir reti sastopami.

Lai gan prese regulāri ziņo par sankcijām pret tehnoloģiju gigantiem, šīs sankcijas galvenokārt ir uzraudzības iestāžu darbs.

Jo īpaši zaudējumus bieži vien ir grūti novērtēt privātuma pārkāpuma lietās, ņemot vērā tiesvedības izmaksas.

Situācija drīzumā varētu mainīties, transponējot Direktīvu (ES) 2020/1828 par pārstāvības prasībām valsts līmenī.

Dalībvalstīm ir laiks līdz šī gada 25. decembrim, lai nodrošinātu atbilstību šai direktīvai, kuras mērķis ir aizsargāt patērētāju kolektīvās intereses.

Francijā jau pastāv kolektīvās prasības, un to darbības joma ir pakāpeniski paplašinājusies. Kolektīvās prasības pastāv kopš 2014. gada 17. marta likuma par patērētāju tiesībām.

Tas tika pakāpeniski paplašināts uz dažādām jomām, tostarp personas datiem, ar 2016. gada 18. novembra likumu, kas Datu aizsardzības likumā izveidoja jaunu 43.ter pantu.

Tomēr tekstā tiesības celt kolektīvu prasību tiek ierobežotas, atļaujot to apstiprinātām patērētāju tiesību aizsardzības apvienībām, apvienībām, kas ir vecākas par pieciem gadiem un kuru statūtos noteiktais mērķis ir privātuma aizsardzība, un arodbiedrību organizācijām, kas pārstāv darbiniekus vai ierēdņus.

Šis tiesiskais regulējums neparedzēja kompensāciju par zaudējumiem attiecīgajām personām.

Tas tagad ir iespējams, kopš 2018. gada 20. jūnija likuma, kas pielāgo Datu aizsardzības likumu GDPR.

Kolektīvā prasība tagad ļauj tiesā pieprasīt kompensāciju par materiālo un morālo kaitējumu.

GDPR arī ļauj šādu tiesisko aizsardzību saņemt, pilnvarojot iestādes, organizācijas vai apvienības iesniegt sūdzību uzraudzības iestādē to vārdā.

Tāpēc Francija šobrīd nav tā sliktākā valsts pārstāvniecības prasību ziņā, ko, piemēram, parāda tādu organizāciju kā La Quadrature du Net darbības, kas ir ļoti aktīva datu aizsardzības jomā.

Tomēr citas valstis iet vēl tālāk.

Francijā kolektīvā prasība balstās uz “piekrišanas” principu. un ietver tikai personas, kuras nepārprotami pievienojas procedūrai, atšķirībā no "kolektīvās prasības", kas a priori ietver visas personas, kuras atbilst cietušo personu profilam, un dod tām iespēju atteikties no procedūras. Šādā gadījumā mēs runājam par "atteikšanos no dalības".

Lai gan šie divi procedūru veidi Eiropā joprojām ir relatīvi reti, kolektīvā prasība “atteikšanās” procedūras izpratnē ir vēl retāka.

Nīderlande atļauj abus apelācijas veidus.

Pēdējo divu gadu laikā tur ir izveidoti vairāki fondi ar mērķi celt kolektīvās prasības.

Šie fondi, piemēram, ir uzbrukuši Apple un Google pretkonkurences rīcībai, TikTok, Salesforce un Oracle, kā arī Airbus un Airbnb datu vākšanas praksei.

Tas, ka pārstāvošā organizācija var pieprasīt zaudējumu atlīdzību visas prasītāju grupas vārdā, ja vien viņi nepauž savu atteikšanos no šīs prasības, būtiski maina spēles noteikumus datu aizsardzības kolektīvajās prasībās, kur individuālie zaudējumu atlīdzības apmēri parasti ir nelieli.

Šādu prasību ekonomiskais dzīvotspējas raksturs ir padarījis Nīderlandi par vadošo Eiropas jurisdikciju kolektīvo prasību izskatīšanā., un pieaug šāda veida organizāciju trešo pušu finansējums.

Šodien Nīderlandē tiek iesūdzēts tiesā Twitter par lietotāju izsekošanu.

Tas pats attiecas uz citām populārām lietotnēm, tostarp Shazam, Vinted, bet arī uz jutīgākām lietotnēm, piemēram, Grindr un menstruālā cikla izsekošanas lietotnēm.

Eiropas direktīva ļauj ES valstīm izvēlēties brīvprātīgas vai atteikšanās modeli, izņemot prasību par aizliegumu, kas loģiski paredz atteikšanos.

Jāatzīmē, ka teksts dod organizācijām iespēju celt pārrobežu prasības un dod tām izvēli starp vairākām jurisdikcijām. Prasību var celt dalībvalstī, kurā atbildētāja uzņēmumam ir juridiskā adrese, bet arī jebkurā dalībvalstī, kurā tam ir filiāle, un cietušās personas dzīvesvietas valstī.

Tāpēc Francijai būs jāgatavojas izskatīt aicinājumus visā Eiropā.

Tai būs arī jāpielāgo savs tiesiskais regulējums. Princips "zaudētājs maksā" attiecībā uz advokāta honorāriem un procesuālajām izmaksām, kā arī paredzēt atklāšanas procedūra, kā tas pastāv kopējo tiesību valstīs un kas ar tiesneša pamatotu lēmumu ļauj iesniegt strīdam noderīgus dokumentus (piemēram, cietušo pušu identitāti).

Lai gan turpmākajos mēnešos tiks precizēti direktīvas piemērošanas nosacījumi, jau tagad šķiet skaidrs, ka tai būs ietekme uz pārstāvniecības prasību skaitu Eiropā.

Būtu labi tam sagatavoties un rūpīgi uzraudzīt tā transponēšanu Francijā.

Un arī

Francija:

CNIL piesprieda DISCORD INC. 800 000 eiro sodu. par vairāku GDPR saistību neizpildi, jo īpaši attiecībā uz datu glabāšanas periodiem un personas datu drošību.

CNIL arī uzsver datu aizsardzības trūkumu pēc noklusējuma: lietotāji netika informēti, ka viņu sarunas joprojām var dzirdēt, pat ja viņi domā, ka ir pametuši balss tērzētavu.

Visbeidzot, uzņēmums tika kritizēts par to, ka pirms apstrādes ieviešanas tas nebija veicis ietekmes analīzi.

Komisija 24. novembrī publicēja arī rīcības plānu, kura mērķis ir atbalstīt mobilo lietotņu atbilstību prasībām un aizsargāt lietotāju privātumu.

Tā plāno padziļināt savu pieredzi, atbalstīt profesionāļus un informēt iedzīvotājus, piemēram, vadlīniju un ieteikumu veidā.

Visbeidzot, tā veiks mērķtiecīgas pārbaudes un, ja nepieciešams, veiks represīvas darbības pret organizācijām, kas neievēro savas saistības.

Pēc liela skaita sūdzību saņemšanas CNIL ir precizējusi nosacījumus, saskaņā ar kuriem papildu veselības apdrošināšanas organizācijas var vākt veselības datus.

Tā norāda, ka piemērojamie teksti nav pietiekami precīzi, un iesaka pieņemt likumu.

2023. gada 1. janvāris iezīmēs papīra kvīšu beigas.

Šis "pretatkritumu" pasākums rada jautājumus par privātuma aizsardzību, jo mazumtirgotāji varēs identificēt visu savu klientu bāzi, tostarp tos, kuriem nav lojalitātes kartes.

CNIL savā informatīvajā dokumentā uzsvēra, ka e-pasta adresi, kas savākta kvīts vai elektroniska maksājuma nosūtīšanas nolūkā, nevar izmantot komerciāliem mērķiem, jo šie divi mērķi ir diezgan atšķirīgi.

Būs svarīgi saņemt attiecīgās personas piekrišanu vai, ja tiek meklēti produkti vai pakalpojumi, kas ir līdzīgi uzņēmuma jau sniegtajiem, iepriekš informēt viņu par mērķiem un iespēju iebilst datu vākšanas laikā.

Kasācijas tiesa savā 7. novembra lēmumā atzina, ka tālruņa sākuma ekrāna atbloķēšanas kods var būt "atšifrēšanas atslēga".

Ja pastāv iespēja, ka tā ir izmantota nozieguma vai nodarījuma sagatavošanā vai izdarīšanā, tās turētājam ir jāsniedz izmeklētājiem sākuma ekrāna atbloķēšanas kods.

Ja viņš atsakās paziņot šo kodu, viņš izdara pārkāpumu - "atteikšanos sniegt slepenu atšifrēšanas līgumu", par ko paredzēts naudas sods un brīvības atņemšana.

Eiropa:

2022. gada 16. novembrī stājās spēkā Digitālo pakalpojumu regula (DPA).

Šī regula paredz jaunus pienākumus digitālajām platformām, lai ierobežotu nelegāla satura un produktu izplatīšanu, uzlabotu nepilngadīgo aizsardzību un sniegtu lietotājiem plašākas izvēles iespējas un labāku informāciju.

Eiropas Datu aizsardzības kolēģija (EDAK) ir publicējusi ieteikumus par apstiprināšanas procedūru un elementiem, kas jāiekļauj saistošajos uzņēmuma noteikumos (SUN) datu pārziņiem.

Dokuments ir atvērts publiskai apspriešanai līdz 2023. gada 10. janvārim.

Eiropas Datu aizsardzības uzraudzītājs (EDAU) ir publicējis savu atzinumu par ierosināto kiberdrošības regulu.

Teksta mērķis ir noteikt ES mēroga kiberdrošības prasības plašam aparatūras un programmatūras produktu klāstam, piemēram, pārlūkprogrammām, operētājsistēmām, ugunsmūriem, tīkla pārvaldības sistēmām, viedskaitītājiem vai maršrutētājiem.

EDAU iesaka šajā tekstā integrēt datu aizsardzības principus gan pēc noklusējuma, gan pēc noklusējuma.

Viņš arī uzsvēra, ka Eiropas kiberdrošības sertifikāts nevar aizstāt GDPR sertifikāciju.

EDAU arī sniedza komentārus par priekšlikumu regulai, ar ko izveido kopēju plašsaziņas līdzekļu pakalpojumu regulējumu: Savā 14. novembra atzinumā tā uzsver žurnālistu, viņu avotu un plašsaziņas līdzekļu pakalpojumu sniedzēju aizsardzības pasākumu nepietiekamību.

Tajā ieteikts precizēt, ka no šīs aizsardzības gūtu labumu jebkurš žurnālists, un mudina vēl vairāk sašaurināt izņēmumus, kas atļauj pārtvert saziņu, izmantojot spiegprogrammatūru vai citus novērošanas veidus.

Pēc divus gadus ilgām sarunām ar Microsoft Vācijas Federālās datu aizsardzības iestādes un 16 štatu regulatoru apvienotā komiteja ir izdevusi paziņojumu, kam, visticamāk, būs tālejošas sekas: datu pārziņi pašlaik nevar likumīgi izmantot MS365 saskaņā ar GDPR.

Nīderlandes datu aizsardzības iestāde 14. novembrī izdeva brīdinājumu savai valdībai, atturējot to no amerikāņu mākoņpakalpojumu izmantošanas. Viņa mudina valdību izmantot Eiropas alternatīvas.

Ungārijas Datu aizsardzības iestāde (DPA) ir likusi laika prognožu vietnes operatoram pārtraukt datu pārsūtīšanu uz Amerikas Savienotajām Valstīm, izmantojot Google.

Datu aizsardzības iestāde (DPA) konstatēja, ka tīmekļa vietnes operators izmantoja Google Analytics, neieviešot atbilstošus drošības pasākumus datu pārsūtīšanai uz Amerikas Savienotajām Valstīm.

17. novembrī Īrijas Pilsoņu brīvību padome vēstulē Eiropas Komisijai norādīja, ka Meta pārkāpj GDPR un nevar ievērot Digitālā tirgus regulu (DMA).

ICCL atsaucas uz nesen Kalifornijā publiskotiem tiesas dokumentiem, kuros teikts, ka Meta neatbildēja uz informācijas pieprasījumu par 149 tās datu apstrādes sistēmu darbību, norādot, ka šo sistēmu darbība cilvēkiem nebija saprotama.

Īrijas Datu aizsardzības komisija 25. novembrī pieņēma lēmumu izmeklēšanā par Facebook datu ieguvi, kas attiecas uz vairāk nekā 530 miljonu lietotāju personas datu pieejamību tiešsaistē.

Attiecīgie principi attiecās uz integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma, kā paredzēts GDPR.

Ar lēmumu tiek noteikti administratīvie naudas sodi 265 miljonu eiro apmērā un korektīvi pasākumi.

Pret Meta Eiropā ir vērstas vēl trīs GDPR pārkāpuma procedūras.

Tie attiecas uz Facebook, bet arī Instagram un WhatsApp vispārējiem noteikumiem.

EDAK secinājumi par pēdējo minēto ir paredzēti, ka tiks publicēti 5. decembrī, un tie tiek gaidīti ar nepacietību. 

Tie attiecas uz juridisko pamatu datu vākšanai no sociālo mediju lietotājiem.

Meta ir mainījusi šo juridisko pamatu no piekrišanas uz nepieciešamību apstrādāt saskaņā ar līgumu, radot juridiskas sekas, kas, ja tās apstiprinātu datu aizsardzības iestādes, sniegtos daudz plašāk nekā šīs lietas konteksts.

Informācijas komisāra birojs 17. novembrī publicēja atjauninājumu savās vadlīnijās par starptautiskiem pārsūtījumiem.

Šajā atjauninājumā ir iekļauta jauna sadaļa par pārsūtīšanas riska novērtējumiem (TRA) un rīks kontrolieriem.

Apvienotā Karaliste ir noslēgusi nolīgumu ar Koreju par personas datu nosūtīšanu, kas stāsies spēkā 19. decembrī.

Tajā teikts, ka tās nolīgums ir "plašāks" nekā ES nolīgums, ļaujot uzņēmumiem pārsūtīt datus, kas saistīti ar kredītinformāciju.

Starptautiskās:

Google ir piekritis samaksāt rekordlielu 391,5 miljonu ASV dolāru vienošanos par privātuma pārkāpumiem 40 ASV štatos.

Lieta attiecas uz uzņēmuma ģeolokācijas praksi: pēc ģenerālprokuroru domām, lietotāji tika maldināti par nosacījumiem ģeolokācijas deaktivizēšanai viņu konta iestatījumos.

Eiropas datu aizsardzības iestādes ir brīdinājušas, ka divas lietotnes Ehteraz un Hayya, ko Kataras varas iestādes noteica ieceļošanai valstī, rada masveida privātuma pārkāpumus. atļaujot plašu piekļuvi lietotāja datiem, tostarp atrašanās vietas datiem un zvanu datiem.

CNIL ir ieteicis cilvēkiem, kas ceļo uz Kataru, izmantot tukšu vai atiestatītu tālruni.

Globālā privātuma kontrole, kas izveidota 2020. gada oktobrī, tagad piedzīvo tās izmantošanas pieaugumu, pateicoties tam, ka to ir pieņēmuši lielākie izdevēji un tiešsaistes piekrišanas pārvaldības platformas.

GPC ļauj lietotājiem atteikties no personas informācijas pārdošanas pārlūkprogrammas līmenī ar vienu klikšķi visās vai dažās tīmekļa vietnēs.

Atšķirībā no atteikšanās apstrādātājiem, kas bieži ielādē saturu un sāk apkopot datus, pirms lietotājam ir iespēja atteikties, GPC ievēro lietotāja izvēli pirms vietnes ielādes.

Anna Kristīna Lakoste

Olivier Weber Avocat partnere Anna Kristīne Lakosta ir juriste, kas specializējas datu tiesībās; viņa bija Eiropas Datu aizsardzības uzraudzītāja starptautisko attiecību vadītāja un strādāja pie GDPR ieviešanas Eiropas Savienībā.