Citlivé údaje: obzvlášť široký rozsah pôsobnosti

Právny prehľad č. 50 – august 2022.

Môže byť ťažké posúdiť, či sú zhromažďované údaje citlivé alebo nie, a rozhodnúť, či si tieto údaje vyžadujú osobitnú ochranu podľa GDPR.

Tieto ťažkosti s interpretáciou sme zopakovali v našom úvodníku minulý február.

Súdny dvor Európskej únie práve objasnil rozsah pôsobnosti rozsudku z 1. augusta 2022 pojmu citlivých údajov, alebo presnejšie povedané, osobitných kategórií údajov.

A podľa Súdneho dvora je tento rozsah obzvlášť široký.

Treba mať na pamäti, že článok 9 GDPR sa vzťahuje na údaje odhaľujúce údajný rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odboroch, ako aj na spracovanie genetických údajov, biometrických údajov na účely jedinečnej identifikácie fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

Predmetné rozhodnutie sa týka ustanovení litovského zákona zameraného na boj proti korupcii, ktorý vyžaduje, aby niektorí zamestnanci verejného sektora deklarovali svoje súkromné záujmy, ako aj informácie o svojich manželoch/manželkách a rodinách, pričom takmer všetky tieto informácie budú zverejnené na internete.

Po vznesení námietky osoby dotknutej touto povinnosťou je Súdny dvor povinný rozhodnúť

• O potrebe zverejňovania údajov týkajúcich sa manžela/manželky online
• O tom, či by sa tieto údaje týkajúce sa manžela/manželky mali považovať za citlivé údaje v zmysle článku 9 GDPR, pretože umožňujú odvodiť informácie o sexuálnej orientácii dotknutých osôb. Súdny dvor sa najprv domnieva, že online šírenie týchto údajov sa nezdá byť nevyhnutné pre zamýšľaný cieľ boja proti korupcii, a potom spresňuje, že pojem citlivých údajov sa musí vykladať široko.

Doteraz pretrvávali určité otázky týkajúce sa rozdielu v terminológii použitej v znení článku 9 na úpravu údajov, ktoré na jednej strane „odhaľujú“ politické názory, členstvo v odboroch atď., alebo ktoré sa na druhej strane „týkajú“ zdravia alebo sexuálnej orientácie.

Súdny dvor sa domnieva, že všetky osobitné kategórie údajov sa musia vykladať široko, s ohľadom na kontext a ďalšie ustanovenia GDPR.

V tomto prípade teda zahŕňa údaje, ktoré môžu intelektuálnou operáciou porovnania alebo dedukcie odhaliť sexuálnu orientáciu fyzickej osoby.

Toto rozhodnutie by mohlo mať významný vplyv na rozsah povinností osôb zodpovedných za spracovanie „potenciálne“ citlivých údajov.

Zdá sa, že CNIL mala doteraz reštriktívnejší výklad týchto povinností: v januári minulého roka uviedla, že „samotný akt fotografovania alebo filmovania obrazu, z ktorého je možné odvodiť určité prvky, ktoré umožňujú odvodiť osobné údaje“ Samotné predstavovanie citlivých údajov nepredstavuje spracovanie citlivých údajov (...). Toto Iba ak sa tieto obrázky spracúvajú s cieľom extrakcie, interpretácie alebo použitia uvedených citlivých údajov, bude sa spracovanie považovať za spadajúce pod režim spracovania citlivých údajov.

Zdá sa, že určujúcim prvkom v úvahe Súdneho dvora je skutočnosť, že údaje sú verejne dostupné: od tohto okamihu môže ktokoľvek zhromažďovať údaje, vyvodzovať z nich citlivé informácie a spracovávať ich na účel, ktorý úplne nesúvisí s pôvodným účelom, s dôsledkami, ktorých by sa dotknuté osoby mohli obávať.

Treba tiež pripomenúť, že závery vyvodené z dostupných údajov nemusia byť správne, aby spĺňali požiadavky GDPR: v skutočnosti nezáleží na tom, či sú závery platné: chybné závery môžu mať pre dotknuté osoby ešte škodlivejšie následky.

Očakáva sa, že toto rozhodnutie bude mať vplyv na prevádzkovateľov údajov, ktorí spracúvajú údaje vo veľkom rozsahu a profilujú používateľov internetu, najmä v kontexte sociálnych sietí, tým, že si vyžiadajú výslovný súhlas.

Na záver dodajme, že budúce nariadenia pre digitálne služby a digitálne trhy stanovujú zákaz používania citlivých údajov na cielenie reklamy.

V kombinácii so širokým výkladom citlivých údajov zo strany Súdneho dvora EÚ si môžeme predstaviť obmedzenie behaviorálnej reklamy na európskej úrovni, ktoré bude prísnejšie, ako sa očakávalo.

A tiež

Francúzsko:

Spoločnosť ACCOR práve dostala pokutu 600 000 eur za vykonanie komerčného prieskumu bez súhlasu dotknutých osôb a za nerešpektovanie práv zákazníkov a záujemcov.

Rezervačné formuláre štandardne obsahovali predvolenú možnosť, ktorá umožňovala automatické odosielanie newslettera zákazníkom s komerčnými ponukami od partnerov.

CNIL tiež zaznamenala opakované technické anomálie, ktoré mnohým ľuďom bránili odmietnuť prijímanie správ.

Rozhodnutie CNIL bolo predmetom postupu spolupráce s orgánmi iných krajín EÚ, v ktorých skupina ACCOR spracováva údaje, na konci ktorého Európsky výbor pre ochranu údajov nariadil CNIL zvýšiť výšku pokuty, aby prijaté opatrenie malo odrádzajúci účinok.

Medzi zohľadňovanými prvkami je počet porušení, skutočnosť, že tieto porušenia sa týkajú viacerých základných zásad ochrany osobných údajov a predstavujú podstatné porušenie práv jednotlivcov, ako aj počet dotknutých jednotlivcov a finančná situácia spoločnosti.

V auguste sa stalo nemožné pripojiť sa k službe France Connect s vašimi prihlasovacími údajmi Ameli., pričom tlačidlo pripojenia bolo deaktivované používateľom Bercy.

Príčinou je opätovný nárast phishingových útokov využívajúcich tieto prihlasovacie údaje. Generálne riaditeľstvo pre verejné financie údajne pracuje na zabezpečení systému France Connect a plánuje postupne previesť najcitlivejšie postupy, najmä tie, ktoré umožňujú prístup k finančným platbám, na bezpečnejšie identifikačné služby.

25. augusta mimovládna organizácia Stránka noyb.eu podala sťažnosť na spoločnosť Google na CNIL (Commission of National Insurance Council)..

Spoločnosť Google je obvinená z ignorovania rozhodnutia Európskeho súdneho dvora (ESD) o e-mailoch priameho marketingu a používania svojej e-mailovej platformy Gmail na odosielanie nevyžiadaných reklamných e-mailov bez platného súhlasu používateľov.

Francúzsky reklamný gigant Criteo môže dostať pokutu 60 miliónov eur

ako súčasť vyšetrovania, ktoré začala CNIL.

Ide o predbežné rozhodnutie v tejto fáze, ktoré zverejnila 5. augusta organizácia, ktorá podala sťažnosť, Privacy International.

Európa:

Kritika právomocí EÚ na vyšetrovanie špionážneho softvéru počas parlamentného vypočutia v utorok 30. augusta, na ktorom zástupca Europolu uviedol, že mandát agentúry je obmedzený na podporu členských štátov, ktoré sa rozhodli začať vyšetrovanie.

Doteraz je známe, že najmenej 14 európskych vlád si zakúpilo spyware od skupiny NSO, ktorá vytvorila spyware Pegasus, a odborníci sa domnievajú, že v EÚ pôsobí mnoho ďalších predajcov.

Bývalý šéf bezpečnosti Twitteru Peiter „Mudge“ Zatko podal na spoločnosť žalobu, ktorá bola nedávno zverejnená.

Dokument podrobne uvádza sériu usvedčujúcich obvinení týkajúcich sa bezpečnosti, súkromia a ochrany údajov (okrem iného), ako aj tvrdenia, že Twitter zavádzal alebo mal v úmysle zavádzať regionálne dozorné orgány ohľadom dodržiavania miestnych zákonov.

Prípadom sa zaoberali írske a francúzske dozorné orgány.

Írska komisia pre ochranu údajov udelila sociálnej sieti Instagram pokutu vo výške 405 miliónov eur., vo vlastníctve spoločnosti Meta, z dôvodu porušenia GDPR.

Ide o druhú najvyššiu pokutu podľa GDPR po pokute 746 miliónov eur pre Amazon a tretiu pre spoločnosť vlastnenú spoločnosťou Meta, ktorú uložil írsky regulačný orgán.

Rozhodnutie sa zameriava na porušovanie súkromia detí zo strany Instagramu vrátane zverejňovania e-mailových adries a telefónnych čísel detí.

Vyšší krajinský súd v Kolíne nad Rýnom (OLG Köln) priznal jednotlivcovi 500 eur z dôvodu omeškania, ktoré prevádzkovateľ utrpel pri poskytovaní požadovaných informácií v súlade s článkom 15 odsekom 1 GDPR (prostredníctvom GDPRhub).

V podobnom prípade taliansky orgán na ochranu údajov uložil Deutsche Bank pokutu 20 000 eur za to, že včas nereagovala na žiadosť dotknutej osoby o prístup k údajom (prostredníctvom GDPRhub).

Grécky úrad pre ochranu údajov udelil lekárskemu diagnostickému centru pokutu 30 000 eur za... porušil zásadu integrity a dôvernosti údajov Manažér stratil snímky z mamografu z dôvodu nedostatočných technických a organizačných opatrení.

Okrem pokuty DPA nariadil centru, aby porušenie oznámilo dotknutým osobám (prostredníctvom GDPRhub).

Španielsky Najvyšší súd rozhodol, že uplatnenie práv jednotlivca u prevádzkovateľa (články 15 až 22 GDPR) nie je predpokladom pre podanie sťažnosti. s orgánom na ochranu údajov: tento môže konať, aj keď dotknutá osoba najprv nekontaktovala prevádzkovateľa (prostredníctvom GDPRhub).

Vo Švajčiarsku nadobudne 1. septembra 2023 účinnosť nový zákon o ochrane údajov.

Niektorí komentátori poznamenávajú, že viaceré zásady by boli menej reštriktívne ako zásady GDPR, najmä tie, ktoré sa týkajú súhlasu a zodpovednej osoby.

Bezpečnostné požiadavky sú na druhej strane obzvlášť podrobné.

Medzinárodné:

Európske subjekty môžu spadať do rozsahu pôsobnosti zákona o cloudových službách, aj keď sa nachádzajú mimo Spojených štátov amerických rozhodne o štúdii vykonanej právnickou firmou v mene Ministerstvo spravodlivosti a bezpečnosti Holandska a zverejnené 26. júla.

Európske spoločnosti môžu minimalizovať toto riziko vytvorením „čínskeho múru“ so Spojenými štátmi, najmä tým, že nebudú zamestnávať žiadnych Američanov ani mať žiadnych amerických zákazníkov, čo by mohlo odôvodniť zásah USA v rámci zákona o cloudových službách.

Ani táto ochrana by však nebola dostatočná, ak by subjekt používal americké technológie, keďže zákon o cloudových službách umožňuje prístup k údajom prostredníctvom subdodávateľov/dodávateľov hardvéru a softvéru, a to poskytovateľom cloudových služieb/od nich.

Tieto zistenia vyvolali diskusiu o ponukách, ako je Bleu „Dôveryhodný cloud“ (technológie spoločnosti Microsoft ponúkané spoločnosťami Orange a Capgemini) a S3ns (spolupráca spoločnosti Google s firmou Thales).

V Spojených štátoch spoločnosť Facebook súhlasila s urovnaním škandálu Cambridge Analytica, ktorý sa týka jej prístupu k súkromným údajom desiatok miliónov používateľov Facebooku počas volebnej kampane. Škandál vypukol po odhaleniach informátora spoločnosti Cambridge Analytica pre denník Observer v roku 2018, ktoré už viedli k zaplateniu pokuty Facebooku vo výške miliárd eur.

Na Kube platí zákon o ochrane osobných údajov bol uverejnený v Úradnom vestníku 25. augusta. Účinnosť nadobudne 180 dní po jeho uverejnení.

Rusko po podpísaní Dohovoru Rady Európy č. 108+ zmenilo a doplnilo svoj zákon o ochrane údajov.

Nový federálny zákon č. 266 zo 14. júla 2022 podstatne mení niektoré legislatívne akty upravujúce spracovanie osobných údajov v Rusku a teraz zahŕňa povinnosť oznamovať porušenia ochrany údajov.

Rastúce politické a bezpečnostné napätie medzi Pekingom a Západom podnietilo v Spojenom kráľovstve výzvy na preskúmanie prenosu genetických údajov do Číny z biomedicínskej databázy obsahujúcej DNA pol milióna britských občanov.

Najlepšie bezpečnostné opatrenia nechránia pred zraniteľnosťami subdodávateľov.

24. augusta spoločnosť Twilio oznámila, že sa do jej systémov nabúrali hackeri.

Twilio poskytuje svojim zákazníkom overovacie služby vrátane spoločnosti Signal, ktorá sa zaoberá šifrovanými správami.

Keď si používateľ zaregistruje svoje telefónne číslo, Twilio mu pošle SMS s overovacím kódom, ktorý potom zadá do Signalu.

Hoci je dopad na Signal a jeho používateľov obmedzený kvôli spôsobu, akým je služba navrhnutá, ide o varovanie pre akúkoľvek platformu alebo službu, ktorá by mohla byť manipulovaná na prenos prihlasovacích údajov útočníkovi.

Spoločnosť Google LLC dostala v Austrálii pokutu 60 miliónov dolárov dolárov za zavádzanie spotrebiteľov ohľadom zhromažďovania a používania ich osobných údajov o polohe na telefónoch s Androidom.

Anne Christine Lacoste

Anne Christine Lacoste, partnerka firmy Olivier Weber Avocat, je právnička špecializujúca sa na právo údajov; pôsobila ako vedúca oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov. pracoval na implementácii GDPR v Európskej únii.