Rozhodnutie WhatsApp: Koniec beztrestnosti pre GAFAM v Európe?

Právne upozornenie č. 38 – August 2021

Rozhodnutie WhatsApp: Koniec beztrestnosti pre GAFAM v Európe? V predchádzajúcej správe sme informovali o ťažkostiach pri dosahovaní dohody na európskej úrovni o implementácii všeobecného nariadenia o ochrane údajov. 

Nedávne rozhodnutie írskeho regulačného orgánu týkajúce sa WhatsAppu demonštruje ďalší pokrok v spolupráci medzi dozornými orgánmi zriadenou GDPR.

Administratívna pokuta vo výške 225 miliónov eur uložená spoločnosti WhatsApp 2. septembra Írskom nasleduje po niekoľkých zvratoch v rámci Európskeho výboru pre ochranu údajov (EDPB).

V rámci postupu riešenia sporov stanoveného v článku 65 GDPR výbor prinútil Írsko preskúmať svoje závery musela teda rozšíriť skutkovú podstatu priestupku, výrazne zvýšiť výšku pokuty a skrátiť lehoty poskytnuté spoločnosti Whatsapp na splnenie rozhodnutia.

Pri výpočte pokuty výbor zohľadnil nielen obrat spoločnosti WhatsApp, ale aj obrat jej materskej spoločnosti Facebook.

Taktiež sa domnievala, že v prípade viacerých porušení v súvislosti s tým istým spracovaním údajov by sa porušenia mali sčítať – pričom by sa mali zostať pod stropom obratu 4% stanoveným v GDPR.

Treba poznamenať, že pokuta, hoci sa môže zdať vysoká, predstavuje iba 0,081 TP3T z obratu Facebooku.

Čo je podnetné, keď si uvedomíte, že írske úrady pôvodne plánovali pokutu vo výške 50 miliónov eur.

Pamätajme si, že Luxemburský úrad na ochranu údajov udelil spoločnosti Amazon začiatkom augusta pokutu vo výške 746 miliónov eur., čo je najväčšia pokuta, aká kedy bola uložená podľa GDPR.

Hlavnou otázkou vyšetrovania bolo, či WhatsApp dodržiaval svoje informačné povinnosti voči svojim používateľom, ako aj voči nepoužívateľom, ktorých údaje sa tiež zhromažďujú.

Informačné oznámenia boli považované za zložité, čo znemožňovalo správne pochopiť oprávnené záujmy, ktoré spoločnosť sleduje.

Používanie funkcie „prístup ku kontaktom“ používateľmi je pre uvedené kontakty úplne netransparentné, pretože ich údaje sa spracovávajú, aj keď sami aplikáciu nevyhnutne nepoužívajú.

Okrem porušenia článkov 12, 13 a 14 GDPR týkajúcich sa informačných povinností výbor dospel k záveru, že porušenia sú dostatočne závažné na to, aby predstavovali porušenie článku 5(1)(a) GDPR týkajúceho sa všeobecnej zásady transparentnosti.

Rozhodnutie írskeho orgánu, ktoré potvrdil aj výbor, predstavuje užitočný míľnik pre prevádzkovateľov údajov, pokiaľ ide o informačné povinnosti podľa GDPR.

Dodržiavajú sa nasledujúce pokyny:

–           Vyhnite sa rozptyľovaniu informácií na rôznych stránkach, ktoré vyžadujú, aby používateľ klikol na viacero odkazov, ako aj nekonečné rozbaľovacie ponuky a sústredenie informácií na jednom mieste.

–           Opíšte operácie spracovania, zhromaždené údaje a právny základ pre každý identifikovaný účel.

Tieto informácie uveďte aj pre každú tretiu stranu, ktorá má prístup k údajom.

Zobrazenie týchto rôznych prvkov v tabuľkovej forme môže pomôcť k ich jasnému pochopeniu.

–           Sprístupnite informácien týkajúce sa „nepoužívateľov“ samostatným a ľahko dostupným spôsobom.

–           Uveďte okolnosti, za ktorých budú údaje uchovávané / vymazané, s konkrétnymi ilustráciami.

–           Uveďte právny základ umožnenie prenosu údajov mimo Európskej únie, pričom v prípade, že neexistuje rozhodnutie o primeranosti, sa uvedie alternatívny právny základ.

Všeobecný odkaz na webovú stránku Európskej komisie nie je postačujúci.

.

A tiež

Francúzsko:

CNIL pokračuje vo svojich opatreniach na zabezpečenie súladu s predpismi týkajúcimi sa súborov cookie.

Oslovila druhú sériu formálne oznámenia počas leta voči viacerým hráčom v oblasti online predaja, hlavným platformám digitálnej ekonomiky, miestnym orgánom a bankovému sektoru.

Ona má tiež schválený Spoločnosť Figaro 27. júla zaplatila 50 000 eur na ukladanie reklamných súborov cookie bez súhlasu používateľov internetu.

Pri tejto príležitosti pripomína rozdelenie zodpovednosti medzi vydavateľmi webových stránok a ich obchodnými partnermi.

Počítačová chyba má sprístupnené osobné údaje približne 700 000 ľudí, ktorí sa podrobili testu na Covid.

Toto narušenie bezpečnosti zdôrazňuje rôznu spoľahlivosť prevodových služieb, ktoré farmaceuti používajú na zásobovanie vládnej platformy SI-DEP.

Hoci samotná platforma SI-DEP je bezpečná, nie všetok middleware je.

Generálne riaditeľstvo zdravotníctva (DGS) zaslalo lekárnikom e-mail, v ktorom im pripomenulo softvér schválený a kompatibilný so SI-DEP.

Ten od spoločnosti Francetest, identifikovaný v chybe zverejnenej 31. augusta, nebol jej súčasťou.

CNIL pamätať v súčasnom kontexte začiatku školského roka, požiadavky, ktoré je potrebné splniť v súvislosti s používaním biometrie v školách.

Skúma rozpoznávanie kontúr ruky pre prístup do školských jedální a načrtáva požiadavky na informácie, súhlas a bezpečnosť údajov.

Dodáva, že odmietnutie spracovania biometrických údajov, a teda aj prístupu do jedálne iným spôsobom, nesmie dotknutému študentovi spôsobiť ujmu.

Európa:

Spotrebiteľský úver: Európsky dozorný úradník pre ochranu údajov (EDPS) zverejnil 26. augusta stanovisko k návrhu smernice Európskej komisie.

Príčinou sú nové metódy hodnotenia úverovej bonity s využitím digitálnych technológií.

Ak sú takéto posúdenia nevyhnutné na poskytnutie úveru spotrebiteľovi, EDPS žiada, aby boli určité údaje z postupov posudzovania vylúčené.

Okrem údajov o zdraví a sociálnych médiách chce EDPS rozšíriť zákaz na všetky citlivé údaje (napríklad týkajúce sa náboženstva a politických názorov), ako aj na údaje o prehliadaní internetu používateľmi.

Kontrolór tiež poukazuje na potrebu lepšie regulovať úlohu tretích strán poskytujúcich služby úverovej analýzy a certifikáciu systémov umelej inteligencie v tomto sektore.

Rozpoznávanie tvárí: Rada Európy zverejňuje usmernenia zamerané na poskytnutie súboru referenčných opatrení pre vlády, vývojárov technológií rozpoznávania tváre, výrobcov, poskytovateľov služieb a subjekty používajúce technológie rozpoznávania tváre.

Cieľom je zabezpečiť, aby pri ich nasadení neporušovali ľudskú dôstojnosť, ľudské práva a základné slobody vrátane práva na ochranu osobných údajov.

Taliansko: Úrad na ochranu údajov (Garante) udelil spoločnosti Deliveroo pokutu vo výške 2,5 milióna eurza netransparentné používanie algoritmu na správu jeho doručovateľov a neprimerané zhromažďovanie ich osobných údajov v rozpore so zásadami zákonnosti, transparentnosti, minimalizácie a obmedzenia GDPR.

Medzinárodné:

Čínska ľudová republika prijala 20. augusta zákon o ochrane osobných údajov (PIPL).

Tento zákon nadobudne účinnosť 1. novembra 2021. 

Jeho cieľom je nielen chrániť individuálne údaje, ale aj bezpečnosť štátu a ekonomické záujmy krajiny v súvislosti s GAFAM.

Zákon obsahuje prísne povinnosti týkajúce sa lokálneho uchovávania údajov a obmedzenia medzinárodných prenosov.

Prevzatie moci v Afganistane Talibanom má dôsledky aj v oblasti ochrany údajov.

Viacero súborov, vrátane tej, ktorú spravujú ministerstvá vnútra a obrany, by obsahovala obzvlášť citlivé informácie.

Dotknuté údaje zahŕňajú policajné a armádne údaje o pol milióne ľudí: priezvisko, meno, ale aj identifikačné číslo prepojené s biometrickým profilom, údaje o kariére a rodinných vzťahoch, ako aj osobné údaje dvoch „starších“ z kmeňov, ktorí pôsobia ako garanti počas náboru.

Všetky tieto informácie, keď sa zmenia z rúk na ruky, môžu pomôcť zmapovať prepojenia medzi miestnymi komunitami a etnickými skupinami.