GDPR: tiesu prakse kļūst skaidrāka!

GDPR: tiesu prakse kļūst skaidrāka! CNIL jau bija izcēlusies, pagājušā gada janvārī uzliekot Google rekordlielu 50 miljonu eiro sodu par klientu neinformēšanu par Android lietošanu, un šo sodu jūnijā apstiprināja Valsts padome.

Francijas Datu aizsardzības iestāde šodien piesprieda Carrefour France un Carrefour Banque naudas sodus attiecīgi 2 250 000 un 800 000 eiro apmērā.

Lai gan CNIL kopš GDPR stāšanās spēkā jau ir veikusi daudzas represīvas darbības, 18. novembra apspriede sniedz mums nedaudz vairāk informācijas par tās veikto likuma pārkāpumu novērtējumu un lēmumu pamatojumiem.

Izmeklēšanas ierosinātāji

Parasti CNIL sāk izmeklēšanu pēc sūdzības vai īpaša ziņojuma iesniegšanas vai pēc savas iniciatīvas kā daļu no uzraudzības misijām.

Pēdējā gadījumā kontrole plašāk attieksies uz tiem, kas ir atbildīgi par iepriekš noteiktu nozari. 

Tādējādi CNIL savā 2020. gada kontroles stratēģijā ir definējusi vairākas prioritātes, uz kurām attiecas padziļinātas pārbaudes: veselības dati, vietējo pakalpojumu ģeogrāfiskā atrašanās vieta, kā arī sīkfaili un citi izsekotāji.

Šajā gadījumā divi uzņēmumi Carrefour France un Carrefour Banque tika izmeklēti pēc tam, kad laikā no 2018. gada jūnija līdz 2019. gada aprīlim CNIL tika iesniegtas 15 sūdzības.

Šīs sūdzības attiecās uz komerciālās izpētes praksi un datu piekļuves un dzēšanas tiesību neievērošanu.

CNIL veica vairākas tiešsaistes pārbaudes uzņēmumu telpās un 2019. gada janvāra beigās uzsāka oficiālu izmeklēšanu.

Pretrunu procedūra izraisīja vairākas novērojumu apmaiņas starp uzņēmumu un CNIL referentu, kulminējot ar oficiālu apspriešanu 18. novembrī.

Lēmuma iemesli

CNIL norāda uz daudzu GDPR pantu neievērošanu:

• Pienākums informēt personas (VDAR 13. pants)

Informācija, kas tika sniegta personām par viņu datu apstrādi, bija grūti pieejama, nepilnīga un paslēpta garos tekstos par citām tēmām.

CNIL kritizē pārāk neskaidru terminu lietošanu: gandrīz sistemātiska (...) tādu terminu lietošana kā "šīs ārstēšanas metodes jo īpaši ietver viena vai vairāku šādu iemeslu dēļ" Vai "Jūsu dati var tikt izmantoti" neļauj attiecīgajām personām pilnībā izprast veikto apstrādi.

• Sīkfaili (Datu aizsardzības likuma 82. pants)

Ierodoties tīmekļa vietnē, katram apmeklētājam tika parādītas 39 sīkdatnes, pirms viņam pat bija iespēja tās pieņemt vai noraidīt.

Trīs no šīm sīkdatnēm piederēja Google Analytics risinājumam, kura mērķis bija mērķtiecīgi rādīt reklāmas interneta lietotājiem.

Tādējādi Carrefour.fr tīmekļa vietnes apmeklētāju dati tika apkopoti, pārkāpjot Datu aizsardzības likuma 82. pantu.

Lai iegūtu plašāku informāciju par interneta lietotāju izsekošanu, CNIL 1. oktobrī publicēja atjauninājumu savās vadlīnijās.

• Datu glabāšanas periods (VDAR 5.1. panta e) punkts)

CNIL uzskata, ka klientu datu glabāšanas periods (4 gadi) ir pārmērīgs: klients, kurš vairākus gadus nav sadarbojies ar uzņēmumu, vairs nebūtu uzskatāms par aktīvu klientu. 

Komisija atsaucas uz savu doktrīnu šajā jautājumā, kas iesaka maksimālo saglabāšanas periodu – trīs gadus: tā citē veco vienkāršoto standartu Nr. 48 attiecībā uz klientu un potenciālo klientu failiem un tiešsaistes pārdošanu, kā arī savu nesen izstrādāto atsauces sistēmas projektu attiecībā uz personas datu apstrādi, kas tiek īstenota komercdarbības pārvaldības nolūkos.

• Tiesību īstenošana (VDAR 12. pants)

Carrefour France ieviestā procedūra no pieteikumu iesniedzējiem pieprasīja identitātes apliecinājumu apstākļos, kad tas nebija nepieciešams, jo klientu identitāte bija noskaidrota.

Turklāt vairākos gadījumos pieprasījumu apstrādes laiks pārsniedza likumā noteiktās prasības.

• Tiesību ievērošana (VDAR 15., 17. un 21. pants un Pasta un elektronisko sakaru kodeksa L34-5)

CNIL konstatēja vairākus gadījumus, kad uz sūdzību iesniedzēju pieprasījumiem par piekļuvi datiem, iebildumiem un to dzēšanu netika atbildēts.

• Pienākums apstrādāt datus godprātīgi (VDAR 5. pants)

Noteikti dati (pasta adrese, tālruņa numurs, bērnu skaits), kas tika sniegti, reģistrējoties tiešsaistē Carrefour kredītkartei (Pass kartei), tika nosūtīti Carrefour lojalitātes programmai, kas ir pretrunā ar informāciju, kas tika sniegta attiecīgajām personām.

• Drošības pārkāpums (VDAR 32. pants)

CNIL beidzot ir konstatējusi ievainojamību, kas ļauj tiešsaistē piekļūt klientu rēķiniem, un uzsver, ka ieviestais pasākums, proti, nejaušu rakstzīmju virknes pievienošana, pats par sevi nav pietiekams, lai novērstu šādu ievainojamību.

CNIL norāda, ka ANSSI ir brīdinājusi par šo ar URL adresēm saistīto ievainojamību kopš 2013. gada.

Pēc ievainojamības atklāšanas vajadzēja ieviest obligātu iepriekšējas autentifikācijas sistēmu.

Atbilstības centieni un atbilstošas sankcijas

Uzņēmumi procedūras laikā sadarbojās ar CNIL un veica visus nepieciešamos pasākumus, lai datu apstrāde atbilstu likumam.

Lai gan CNIL uzsver šo sadarbību, tā tomēr soda vainīgos pārkāpumu nopietnības dēļ: tie attiecas uz nopietniem trūkumiem un ietekmē ievērojamu cilvēku skaitu.

Tomēr mēs joprojām esam tālu no maksimālā soda, ko CNIL varēja piespriest, proti, 4% no apgrozījuma. 

Lai aprēķinātu šo apgrozījumu, kas kalpo par pamatu naudas soda aprēķinam, CNIL vispirms identificē attiecīgo uzņēmumu.

Tā uzskata, ka, lai novērtētu uzņēmuma jēdzienu saskaņā ar LESD 101. un 102. pantu, ir lietderīgi ņemt vērā apgrozījumu, ko guvis uzņēmums CARREFOUR FRANCE un tā meitasuzņēmumi, kas tam pieder un kas ir guvuši labumu no apstrādes. 

Tādējādi šī uzņēmuma apgrozījums (…) 2019. gadā sasniedza 14,9 miljardus eiro.

Tomēr CNIL ierobežotajā apmācībā tiek ņemta vērā arī masveida izplatīšanas ekonomiskā modeļa īpatnības, ko raksturo īpaši augsta apgrozījuma, bet zema peļņas norma. 

Šie elementi lika tai pieņemt lēmumu par 2 250 000 eiro naudas sodu Carrefour France un 800 000 eiro naudas sodu Carrefour Banque.

Pārkāpumu nopietnība arī attaisno lēmuma publicēšanu un ir līdzeklis, lai informētu daudzās iesaistītās personas.

Līdzekļi

CNIL lēmums ir administratīvas iestādes akts, ko var pārsūdzēt Valsts padomē divu mēnešu laikā pēc tā paziņošanas. 

Un arī

Francija:

• CNIL organizētais pasākums 23. novembrī datu pārnesamība ir pieejams tiešsaistē iestādes tīmekļa vietnē.

• Lai vairotu pašvaldību un starppašvaldību izpratni par ļoti reālajiem kiberuzbrukumu riskiem, ANSSI publicē kiberdrošības jautājumu ceļvedisŠīs rokasgrāmatas mērķis ir pārliecināt ievēlētās amatpersonas ieguldīt līdzekļus savu informācijas sistēmu aizsardzības attīstībā.

Eiropa:

• Beļģijas privātuma aizsardzības iestāde noslēdza izlīgumu 26. novembrī saprašanās memorands ar DNS Belgium apturēt vietņu “.be” domēna vārdus, kas pārkāpj GDPR.

• Līdz 8. janvārim Eiropas Komisija lems parGoogle iegādājas FitBit, iegāde, kas rada jautājumus datu aizsardzības un konkurences jomā.

• Eiropas Komisija 12. novembrī publicēja standarta līguma klauzulu projektu, un komentāri par to tika iesniegti četras nedēļas.

Šīs pārskatītās versijas mērķis ir novērst tagad jau slavenā Šremsa II sprieduma sekas un ļaut datu pārsūtīšana uz Amerikas Savienotajām Valstīm saskaņā ar Eiropas tiesību aktiem.

Mēs atsaucamies arī uz Eiropas Datu aizsardzības komitejas ieteikumiem par to pašu tēmu, kas pieņemti 10. novembrī.

• Paredzams, ka jaunā Eiropas digitālo pakalpojumu regula tiks publicēta decembra sākumā.

Komisijas mērķis ir regulēt “lielās tehnoloģijas” arī dodot iespēju ļoti maziem un vidējiem uzņēmumiem/MVU attīstīt savus pakalpojumus, pilnvarojot digitālos dalībniekus un apkarojot dezinformāciju tiešsaistē.

Starptautiskās:

• Jaunais Kanādas personas datu aizsardzības likums ir padarīts efektīvāks, paredzot ievērojamus naudas sodus par tā principu pārkāpumiem.

• Amerikas Savienotās Valstis: Kalifornijas privātuma tiesību likums (“CPRA”) tika pieņemts 3. novembrī.

Ar šo jauno tekstu tiek izveidota uzraudzības iestāde — Kalifornijas Privātuma aizsardzības aģentūra — ar pilnvarām piemērot finansiālas sankcijas.

Tā ir pirmā uzraudzības iestāde šajā nozarē Amerikas Savienotajās Valstīs.

Anna Kristīna Lakoste

Olivier Weber Avocat partnere Anna Kristīne Lakosta ir juriste, kas specializējas datu tiesībās; viņa bija Eiropas Datu aizsardzības uzraudzītāja starptautisko attiecību vadītāja un strādāja pie GDPR ieviešanas Eiropas Savienībā.