Osobné údaje: dá sa s uplatňovaním základného práva obchodovať?

Právne správy č. 54 – December 2022

Osobné údaje: dá sa s uplatňovaním základného práva obchodovať? Komentovanie konania proti spoločnosti Meta, materskej spoločnosti Facebooku, WhatsAppu a Instagramu, by mohlo byť únavné, pretože priťahuje hnev orgánov na ochranu údajov. 

Táto spoločnosť bola v skutočnosti najviac sankcionovanou spoločnosťou zo všetkých spoločností GAFAM od nadobudnutia účinnosti GDPR a práve jej bola uložená ďalšia pokuta vo výške 390 miliónov eur.

Nedávne rozhodnutia Európskeho výboru pre ochranu údajov (EDPB), ktoré írsky orgán pre ochranu údajov implementoval začiatkom tohto roka, si však zaslúžia našu pozornosť z viacerých dôvodov.

Na jednej strane preto, že predstavujú epilog slovnej vojny medzi írskym orgánom na ochranu údajov a jeho európskymi partnermi, a na druhej strane preto, že objasňujú právny rámec pre profilovanie reklamy v kontexte, ktorý presahuje konkrétny prípad Meta.

Rozhodnutia, ktoré EDPB prijal 6. decembra, boli prijaté v rámci európskeho postupu riešenia sporov (článok 65 GDPR). medzi národnými orgánmi na ochranu údajov.

Po nich nasledovalo zverejnenie konečného stanoviska írskeho orgánu 4. januára, ktoré je v súlade so závermi EDPB.

Írsko ako líder v tejto záležitosti sa ocitlo v rozpore so svojimi kolegami v otázkach týkajúcich sa viacerých operácií spracovania údajov vykonávaných spoločnosťami Facebook, WhatsApp a Instagram.

Rozhodnutia prijaté EDPB riešia spor v troch hlavných bodoch: právny základ pre spracovanie (článok 6 GDPR), zásady ochrany údajov (článok 5 GDPR) a použitie nápravných opatrení vrátane pokút.

Obzvlášť nás zaujíma otázka právneho základu pre spracovanie údajov spoločnosťou, pričom Meta s podporou írskeho úradu zvažuje, že používateľské údaje by sa mohli zhromažďovať na účely behaviorálnej reklamy (alebo na zlepšenie služieb v prípade WhatsApp) s využitím právneho základu plnenia zmluvy.

Treba poznamenať, že až do nadobudnutia účinnosti GDPR spoločnosť Meta legitimizovala behaviorálnu reklamu získavaním súhlasu používateľov.

Spoločnosť 25. mája 2018 zmenila svoje všeobecné podmienky tak, aby zahŕňali tento účel cielenej reklamy, ktorý sa teraz považuje za neoddeliteľnú súčasť služby, ktorú ponúka, a de facto obmedzuje kontrolu používateľov nad používaním ich údajov.

Spoločnosť argumentovala, že nepotrebuje získať súhlas, pretože toto online cielenie je súčasťou služby, ktorú poskytuje používateľom.

Pripomeňme si, že súhlas, rovnako ako nevyhnutnosť údajov v kontexte plnenia zmluvy, patrí medzi šesť právnych základov článku 6(1) GDPR, ktoré umožňujú odôvodniť zákonnosť spracovania.

Sú tieto právne základy zameniteľné?

Európska doktrína v tejto veci je jasná a práve bola potvrdená: zmluvná nevyhnutnosť sa musí vykladať úzko a zhromažďované údaje musia byť nevyhnutne potrebné pre poskytovanú službu, ako je to napríklad v prípade zhromažďovania údajov o kreditných kartách pri online platbách.

Vo svojom stanovisku z 8. októbra 2019 k online službám EDPB už uviedol, že behaviorálna reklama nie je nevyhnutným prvkom online služieb.

Internetový predajca, ktorý si napríklad želá vytvoriť profily vkusu a životného štýlu používateľa na základe návštev svojej webovej stránky, sa nemôže na vytvorenie týchto profilov spoliehať na uzavretie kúpnej zmluvy.

Aj keď je profilovanie v zmluve výslovne uvedené, táto skutočnosť sama o sebe neznamená, že je „nevyhnutné“ pre plnenie zmluvy.

Ak chce online predajca vykonať toto profilovanie, musí sa oprieť o iný právny základ.

Toto stanovisko potvrdil EDPB vo svojich usmerneniach z 13. apríla 2021 o cielení na používateľov sociálnych médií.

Treba však poznamenať, že rastúci počet online služieb sa prezentuje ako bezplatné, zatiaľ čo v skutočnosti sú platené za používateľské údaje, ktoré predstavujú protihodnotu online služby.

Môžeme teda „platiť našimi údajmi“?

Táto otázka kontraktalizácie údajov nie je nová, ale dnes vyvstáva s určitou ostrosťou.

Aj keď reklamy slúžia na podporu služby, spracovanie na účely priameho marketingu sa v zásade považuje za odlišné od objektívneho účelu zmluvy medzi dotknutou osobou a poskytovateľom služieb, čo znamená, že používateľ musí mať naďalej slobodu súhlasiť alebo nesúhlasiť so zacielením reklamy.

V roku 2017 Európsky dozorný úradník pre ochranu údajov vo svojom stanovisku k zmluvám o poskytovaní digitálnych služieb varoval „pred akýmkoľvek novým ustanovením, ktoré by zavádzalo myšlienku, že ľudia môžu platiť svojimi údajmi rovnakým spôsobom, ako môžu platiť peniazmi“.

Základné práva, ako napríklad právo na ochranu osobných údajov, v skutočnosti nemožno zredukovať výlučne na záujmy spotrebiteľov a osobné údaje nemožno považovať za obyčajný tovar.

Niektorí budú uvažovať, že platenie vašimi údajmi neznamená vzdať sa svojich základných práv.

Mali by sme tiež poznamenať nejednoznačné stanovisko CNIL k téme „platených domov“, ktoré podmieňujú prístup na webovú stránku platbou pre používateľov, ktorí odmietajú používanie súborov cookie, pričom Komisia na svojej webovej stránke uvádza, že tieto otázky skúma individuálne.

Mali by sme preto očakávať, že Meta bude účtovať poplatky používateľom, ktorí odmietnu profilovanie reklamy?

Ako správne zdôrazňuje mimovládna organizácia NOYB, ktorá podala sťažnosť proti spoločnosti Meta, spor, ktorý vyriešil EDPB, sa týka iba tohto profilovania a nemá žiadny vplyv na iné formy reklamy, ako je kontextová reklama, založená na obsahu stránky.

Postoj EDPB bude mať určite vplyv na financie spoločnosti Meta, ale úplne nevylučuje reklamu.

Naopak, mala by obnoviť zdravú hospodársku súťaž medzi spoločnosťou Meta a inými poskytovateľmi online služieb, ako aj medzi spoločnosťami podliehajúcimi írskym právnym predpisom a spoločnosťami so sídlom inde v Európe.

A tiež

Francúzsko:

Dňa 19. decembra 2022 CNIL udelila spoločnosti sankcie MICROSOFT IRELAND OPERATIONS LIMITED vo výške 60 miliónov eur za nezákonné používanie súborov cookie vo vyhľadávači „bing.com“.

Spoločnosť je obvinená z toho, že nezaviedla mechanizmus, ktorý by ľuďom umožňoval odmietnuť súbory cookie rovnako jednoducho ako ich prijať.

CNIL odôvodňuje túto sumu rozsahom spracovania, počtom dotknutých osôb a ziskom, ktorý spoločnosť získava z príjmov z reklamy nepriamo generovaných z údajov zhromaždených súbormi cookie.

Dňa 30. novembra 2022 CNIL uložila spoločnosti FREE pokutu vo výške 300 000 eur.

Kontroly odhalili niekoľko porušení, najmä v právach dotknutých osôb (právo na prístup a právo na vymazanie) a v oblasti bezpečnosti údajov: Komisia zdôraznila slabú silu hesiel, uchovávanie a prenos hesiel v otvorenom texte a recirkuláciu približne 4 100 zle repasovaných krabíc „Freebox“.

Ďalej zamietla argument, že zdroje osobných údajov prevádzkovateľa by sa mali považovať za „obchodné tajomstvo“.

V publikácii z 5. decembra 2022 CNIL pripomína pravidlá, ktoré treba dodržiavať pri predaji súboru zákazníka na komerčné účely: Súbor musí obsahovať iba údaje aktívnych zákazníkov a maximálne tri roky po ukončení obchodného vzťahu sa môžu predávať iba údaje zákazníkov, ktorí nenamietali proti prenosu svojich údajov alebo s ním súhlasili, pričom kupujúci musí zabezpečiť rešpektovanie práv jednotlivcov (najmä jasné informácie a súhlas s elektronickým vyhľadávaním).

CNIL konečne schválila 4. januára MEDZINÁRODNÁ DISTRIBÚCIA APPLE až 8 miliónov eur za to, že pred uložením a/alebo zápisom identifikátorov používaných na reklamné účely na ich zariadeniach nezískala súhlas francúzskych používateľov iPhonov používajúcich starú verziu systému iOS 14.6.

Európa:

Švédske predsedníctvo Rady EÚ zverejnilo 14. decembra svoje priority na nasledujúcich šesť mesiacov: digitálne technológie nie sú na vrchole programu., vzhľadom na súčasné diskusie o hospodárskej a energetickej bezpečnosti a odolnosti v kontexte rusko-ukrajinského konfliktu.

Švédsko napriek tomu uvádza, že bude pokračovať v práci, ktorú začalo v súvislosti s nariadením o údajoch („zákon o údajoch“), nariadením o „súkromí a elektronických komunikáciách“, ako aj s návrhom nariadenia týkajúceho sa európskeho priestoru zdravotníckych údajov.

Európska komisia zverejnila 13. decembra 2022 dlho očakávaný návrh rozhodnutia o primeranosti týkajúceho sa úrovne ochrany údajov v Spojených štátoch.

Cieľom tohto rozhodnutia je poskytnúť trvalý právny základ pre prenosy údajov medzi EÚ a USA v nadväznosti na rozhodnutie Súdneho dvora EÚ vo veci „Schrems II“ z júla 2020, ktorým bol zrušený „štít na ochranu osobných údajov“.

Pred prijatím konečného rozhodnutia musí návrh ešte preskúmať Európsky výbor pre ochranu údajov (EDPB) a schváliť ho výbor zložený zo zástupcov členských štátov EÚ.

Európsky parlament má tiež právo preskúmať rozhodnutia o primeranosti.

Európska komisia zverejnila 15. decembra 2022 vyhlásenie o digitálnych právach a zásadách pre digitálne desaťročie.

Cieľom deklarácie je usmerniť tvorcov politík v ich vízii digitálnej transformácie v nasledujúcich smeroch: digitálna transformácia zameraná na občanov, podpora solidarity a inklúzie, pripomenutie dôležitosti slobody voľby pri interakciách s algoritmami a systémami umelej inteligencie a zvýšená bezpečnosť, ochrana a posilnenie postavenia, najmä detí a mladých ľudí, pričom sa zaručuje právo na súkromie a kontrolu jednotlivcov nad ich údajmi.

Po roku vyšetrovania zverejnila ombudsmanka EÚ svoje rozhodnutie z 19. decembra 2022 týkajúce sa sťažnosti Írskej rady pre občianske slobody (ICCL) proti Európskej komisii za nedostatočné monitorovanie uplatňovania GDPR v Írsku.

Toto rozhodnutie zdôrazňuje potrebu lepšieho monitorovania pokroku v každom prípade veľkých technologických spoločností, ktorý bol predložený írskej komisii na ochranu údajov, zo strany Európskej komisie.

V rozsudku z 8. decembra Súdny dvor Európskej únie objasnil podmienky, za ktorých môžu európski občania dosiahnuť od spoločnosti Google odstránenie výsledkov vyhľadávania, ktoré sa ich týkajú.

Prípad sa týkal dvoch investičných manažérov, ktorí požiadali spoločnosť Google o odstránenie výsledkov vyhľadávania vykonaného s použitím ich mien, ktoré poskytovalo odkazy na určité články kritizujúce ich investičný model.

Súd rozhodol, že „právo na slobodu prejavu a informácií nemožno brať do úvahy, ak sa prinajmenšom časť – ktorá nie je menej dôležitá – informácií nachádzajúcich sa v uvedenom obsahu ukáže ako nepresná.“ Ľudia, ktorí chcú odstrániť nepresné výsledky z vyhľadávačov, musia poskytnúť dostatočné (a rozumné) dôkazy o tom, že to, čo sa o nich hovorí, je nepravdivé.

Holandský úrad na ochranu údajov zverejnil 22. decembra vyhlásenie týkajúce sa svojich právomocí dohliadať na algoritmy v otázkach transparentnosti, diskriminácie a svojvôle.

Aj v Holandsku štúdia holandskej skupiny na ochranu súkromia Incogni odhaľuje že mnohé populárne nákupné aplikácie vrátane Amazonu majú pochybné postupy týkajúce sa zdieľania prístupových oprávnení s reklamnými knižnicami, čo umožňuje reklamným sieťam nepriamo pristupovať k zariadeniu. 

Grécka autorita Úrad na ochranu údajov udelil spoločnosti Vodafone PANAFON SA pokutu 150 000 eur za to, že neprijala vhodné technické a organizačné opatrenia na ochranu bezpečnosti svojich elektronických komunikačných služieb.

Islandský úrad Úrad na ochranu údajov nariadil autoservisu, aby vyhovel žiadosti o prístup podľa článku 15 GDPR a poskytol dotknutej osobe údaje týkajúce sa všetkých opráv a servisu vykonaných na jej vozidle, kým bolo v jej držbe.

Portugalský úrad Úrad na ochranu údajov udelil mestu Setubal pokarhanie a pokutu vo výške 170 000 eur za porušenie zásady integrity a dôvernosti, zásady obmedzenia uchovávania, informačných povinností stanovených v článku 13 GDPR a za nevymenovanie zodpovednej osoby za ochranu údajov v súvislosti so zhromažďovaním osobných údajov ukrajinských utečencov, ktorí využili telefonickú linku pomoci v Portugalsku.

Portugalský úrad pre ochranu údajov tiež sankcionoval Národný štatistický úrad za nedodržiavanie GDPR, a to aj za zasielanie osobných údajov zo sčítania ľudu z roku 2021 do Spojených štátov a za nevykonanie posúdenia vplyvu na ochranu údajov.

Taliansky úrad Úrad na ochranu údajov udelil spoločnosti Alpha Exploration pokutu vo výške 2 000 000 eur za prevádzkovanie sociálnej siete Clubhouse v rozpore s ustanoveniami GDPR o zákonnosti a transparentnosti, za neposúdenie rizík vyplývajúcich zo spracovania a za vymenovanie zástupcu EÚ bez potrebného mandátu konať v mene prevádzkovateľa.

Taliansky úrad na ochranu údajov tiež udelil telekomunikačnému operátorovi Vodafone Italia pokutu 500 000 eur za spracovanie osobných údajov na účely priameho marketingu bez právneho základu, za získanie všeobecného súhlasu na samostatné operácie spracovania údajov a za poskytnutie informácií o spracovaní osobných údajov nezrozumiteľným spôsobom.

Španielsky úrad Úrad na ochranu údajov udelil 16-ročnému tínedžerovi pokutu 5 000 eur za použitie videí a fotografií prijatých prostredníctvom aplikácie WhatsApp na vydieranie 13-ročného maloletého, ktorý nemohol udeliť platný súhlas. Úrad na ochranu údajov tiež nariadil tínedžerovi, aby vymazal všetky ostatné osobné údaje týkajúce sa dotknutej osoby a podal správu o opatreniach prijatých v tomto smere. 

Medzinárodné

SPOJENÉ ŠTÁTY AMERICKÉ: Spoločnosť Epic Games, výrobca videohry Fortnite, bude musieť zaplatiť viac ako pol miliardy dolárov. za porušenie zákona o ochrane súkromia detí (COPPA), zmenu predvolených nastavení súkromia a podvodné navádzanie používateľov na vykonávanie nechcených nákupov.

Dohody Federálnej obchodnej komisie (FTC) so spoločnosťou Epic Games zverejnila 15. decembra.

V publikácii z 29. decembra Denník The Guardian informuje, že čínsky výrobca bezpečnostných kamier Hikvision vyvinul softvérovú platformu na pomoc polícii. sledovať aktivity protestujúcich.

Čínska polícia by tak mohla nastaviť upozornenia na rôzne typy demonštrácií, ako napríklad „zhromažďovanie davov narúšajúcich poriadok na verejných miestach“, „nezákonné zhromaždenia, sprievody, demonštrácie“ a hrozby „petície“.

Krajiny OECD prijali prvú medzivládnu dohodu o ochrane súkromia 14. decembra 2022. pri prístupe k osobným údajom na účely národnej bezpečnosti a presadzovania práva.

Tieto zásady definujú, ako právne rámce regulujú prístup vlády, právne normy uplatňované pri žiadosti o prístup, ako sa prístup schvaľuje a ako sa výsledné údaje spracovávajú, a úsilie o zabezpečenie transparentnosti pre verejnosť.

Z technické riešenia sa vyvíjajú tak, aby umožnili používateľom kontrolovať používanie ich údajov a prevádzkovateľom údajov spravovať online údaje v súlade so zásadami ochrany údajov.

Okrem služby Global Privacy Control, ktorej používanie sa v súčasnosti rozširuje v kontexte správy online súhlasov, ponúka platforma na správu súhlasov CookieFirst používateľom pokročilú kontrolu nad službami tretích strán a súbormi cookie, ktoré nastavujú, a na ukladanie údajov využíva subdodávateľov so sídlom v EÚ.

Anne Christine Lacoste

Anne Christine Lacoste, partnerka v spoločnosti Olivier Weber Avocat, je právnička špecializujúca sa na právo týkajúce sa údajov; bola vedúcou oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.