Novinky od dozorných orgánov: oslavy a dohľad

Právne upozornenie č. 31 – január 2021

Novinky od dozorných orgánov: oslavy a dohľadPosledných pár dní bolo príležitosťou osláviť (virtuálne) niekoľko narodenín.

Zainteresované strany v oblasti ochrany súkromia v Európe, Afrike, Amerike a ázijsko-tichomorskom regióne zorganizovali 28. januára niekoľko podujatí pri príležitosti 15. výročia Deň ochrany údajov.

Dodajme, že Dohovor č. 108 (Dohovor Rady Európy o ochrane osobných údajov) tento rok oslavuje 40. výročie.

Príležitosť na hodnotenie a oficiálne vyhlásenie zdôrazňujúce potrebu zachovať „ľudskú dôstojnosť a integritu v ére automatizovaných rozhodnutí prijímaných umelou inteligenciou a algoritmami“ a vytvoriť spoločný právny priestor na medzinárodnej úrovni s cieľom uľahčiť tok údajov medzi krajinami.

Digitálne technológie sú preto stredobodom súčasných diskusií, pričom Výbor ministrov Rady Európy vydal vyhlásenie o ochrane práva na ochranu údajov v digitálnom prostredí a prijal usmernenia týkajúce sa rozpoznávania tváre.

Jedna z najdôležitejších medzinárodných konferencií o ochrane údajov, „Počítače, súkromie a ochrana údajov“, ktorá sa konala koncom januára, potvrdzuje tieto obavy trojdňovými online diskusiami na tému „presadzovanie práv v meniacom sa svete“. 

Hoci orgány na ochranu údajov dostali väčšie právomoci na presadzovanie GDPR, zostávajú otázky týkajúce sa ich stratégie, európskej spolupráce a účinnosti sankcií vzhľadom na vplyv „veľkých technologických“ spoločností, ako sú Google a Amazon.

Pokuty uložené v Európe v roku 2020 dosiahli celkovú výšku 272,5 milióna eura tri najaktívnejšie krajiny v tomto smere sú Taliansko, Nemecko a Francúzsko, ako uvádza nedávna správa DLA Piper na túto tému.

CNIL udeľuje sankcie, či už voči významným digitálnym hráčom, mikropodnikom alebo malým a stredným podnikom, pričom pokuty sú prispôsobené obratu zodpovedných osôb.

Hoci nadnárodné spoločnosti si môžu v rámci sankčného konania vyčleniť určité sumy, dopad na menšie štruktúry môže byť značný, či už z finančného hľadiska alebo z hľadiska verejného imidžu.

Konkrétne, najnovšie sankcie CNIL za porušenie GDPR boli odôvodnené porušením bezpečnostných pravidiel a nedodržiavaním pravidiel o komerčnom prieskume.

Takže Spoločnosť Nestor dostala pokutu 20 000 eur za nesplnenie svojej povinnosti získať súhlas potenciálnych zákazníkov a za nerešpektovanie práv dotknutých osôb (informácie, prístup).

Nedostatok vhodných bezpečnostných opatrení je tiež v hľadáčiku CNIL, v tomto prípade, rovnako ako v nedávnom prípade, ktorý zahŕňal útok s cieľom ukradnúť prihlasovacie údaje: manažér a jeho subdodávateľ vynechal určité základné ochrany, ako napríklad obmedzenie počtu povolených požiadaviek na webovej stránke a používanie CAPTCHA.

V tomto prípade CNIL uložila pokuty vo výške 150 000 a 75 000 eur.Využila príležitosť a na svojej webovej stránke pripomenula opatrenia zamerané na ochranu osobných údajov pred týmto typom útoku.

CNIL sa tiež zameriava na používanie súborov cookie a na to, ako webové stránky dodržiavajú jej pokyny.

Pripomeňme, že koncom roka 2020 zverejnila usmernenia k tejto téme, v ktorých sa najmä špecifikuje, ako získať súhlas používateľov internetu s používaním sledovacích zariadení.

A tiež

Francúzsko:

CNIL vydala 26. januára svoje stanovisko k návrh zákona o globálnej bezpečnosti.

Má výhrady k používaniu dronov a zasadzuje sa za predchádzajúce experimentovanie, pričom odkazuje na rozšírené snímanie obrazu, ktoré táto technológia umožňuje, so sledovaním pohybu ľudí bez ich vedomia a potenciálne počas dlhého časového obdobia.

Dodáva, že tieto sledovacie zariadenia budú mať pravdepodobne väčší vplyv na uplatňovanie iných základných slobôd občanmi (právo demonštrovať, sloboda vierovyznania, sloboda prejavu) ako tradičné kamery.

Taktiež spochybňuje podmienky používania kamier nainštalovaných v určitých vozidlách, ako aj video dohľad, najmä prenos obrazu v reálnom čase orgánom činným v trestnom konaní.

Európa:

• Nórsky dozorný orgán má v úmysle uložiť Grindr pokutu vo výške 10 miliónov eur

Aplikácia nielenže ponúka iba zmluvné podmienky typu „ber, alebo nechaj tak“, ktoré používateľom neumožňujú súhlasiť alebo nesúhlasiť so zdieľaním ich údajov, ale neboli im poskytnuté žiadne informácie týkajúce sa tohto zdieľania (citlivých) údajov s reklamnou platformou MoPub používanou spoločnosťou Twitter, čo umožňuje následné zdieľanie s viac ako stovkou klientov. 

• V Taliansku nariadil orgán na ochranu údajov blokovanie TikTok da akékoľvek použitie údajov od používateľov, ktorých vek nie je overený. 

Obviňuje TikTok z chybného overovacieho systému, ktorý riskuje vystavenie maloletých mladších ako 13 rokov nevhodnému obsahu.

Toto rozhodnutie, prijaté naliehavo, nasleduje po tragédii, ktorá stála život desaťročné dievča, ktoré sa zúčastnilo výzvy na sociálnej sieti, ktorá sa stala virálnou (hra so šatkou).

• Belgický úrad na ochranu údajov upozornil vládu na podmienky, ktoré sa považujú za príliš všeobecné, za ktorých môže Národný úrad sociálneho zabezpečenia zdieľať osobné údaje. zdravotné údaje o covide.

Vyzýva na úpravu textu kráľovského dekrétu, ktorý špecifikuje podmienky zdieľania údajov.

Medzinárodné:

Štát New York práve schválil zákon, ktorý pozastavuje používanie a nákup technológie rozpoznávania tváre a ďalších biometrických identifikátorov v školách do júla 2022.

Guvernér štátu New York nariaďuje komisárovi pre vzdelávanie, aby vykonal štúdiu o vhodnosti tejto technológie vo vzdelávacom prostredí.

Anne Christine Lacoste

Anne Christine Lacoste, partnerka v spoločnosti Olivier Weber Avocat, je právnička špecializujúca sa na právo týkajúce sa údajov; bola vedúcou oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.