Niekedy sme zodpovednejší, než si myslíme... alebo než by sme chceli byť.

Právne správy – september 2019.

To je prípad, keď si na svoju webovú stránku nainštalujete jednoduchý doplnok, aj keď nemáte prístup k údajom zhromaždeným týmto spôsobom.

Nedávne rozhodnutie Súdneho dvora Európskej únie, známe ako „Fashion ID“, potvrdzuje toto pozorovanie objasnením zodpovednosti správcov webových stránok, ktorí na svoju stránku vkladajú ikonu „páči sa mi to“ na Facebooku.

Vloženie tohto jednoduchého pluginu môže mať preto za následok, že správca stránky bude spolu so sociálnou sieťou, ktorá tieto údaje zhromažďuje, zodpovedný za spracovanie.

Z technického hľadiska umožňuje jednoduché vloženie pluginu na webovú stránku automatickú komunikáciu údajov o pripojení návštevníkov tejto stránky s príslušnou sociálnou sieťou, bez ohľadu na to, či návštevníci klikli na ikonu pluginu alebo nie. V tomto prípade boli údaje návštevníkov webovej stránky Fashion ID, nemeckého online predajcu módneho oblečenia, systematicky prenášané na Facebook. Toto sa v skutočnosti deje na mnohých webových stránkach dnes, či už ide o online predaje, spravodajské stránky alebo blogy. A argumentácia namierená proti Facebooku sa v tomto prípade dá rozšíriť na akúkoľvek sociálnu sieť alebo iný subjekt používajúci rovnakú technológiu.

Súdny dvor objasnil, že skutočnosť, že správca stránky nemá prístup k takto prenášaným údajom, neznižuje jeho zodpovednosť. Rozhodujúcim faktorom zostáva skutočnosť, že spoločne s Facebookom určuje účely a prostriedky spracovania. Súdny dvor vyvodzuje prípadnú spoločnú zodpovednosť stránky a Facebooku zo vzájomných hospodárskych výhod, ktoré z tejto spolupráce vyplývajú: pre Facebook je to obohatenie jeho databázy a pre správcu stránky optimalizácia reklamy na jeho produkty na sociálnej sieti Facebook hneď, ako návštevník klikne na ikonu „páči sa mi to“.

Súd objasňuje, že právne zodpovednosti a povinnosti sa líšia v závislosti od rôznych aspektov spracovania: v tomto prípade Fashion ID nemôže byť zodpovedná za to, ako Facebook následne spracováva údaje. Facebook musí tiež poskytnúť konkrétny právny základ pre toto spracovanie. Prevádzkovateľ webovej stránky je však povinný informovať svojich návštevníkov a získať ich súhlas samostatne, pokiaľ ide o zhromažďovanie a prenos týchto údajov na sociálnu sieť.

Z tohto dôležitého rozhodnutia možno vyvodiť niekoľko ponaučení. Preto je vhodné:

• Systematicky kontrolujte podmienky používania pluginov na vašej webovej stránke a možné podmienky prenosu údajov tretím stranám,
• Skontrolujte doložky o zodpovednosti v zmluvách s týmito tretími stranami;
• Informujte návštevníkov konkrétne o tomto zhromažďovaní a získajte ich samostatný súhlas.

Tieto opatrenia sú o to dôležitejšie, že CNIL nedávno objasnila prísne podmienky na získanie súhlasu s cielením online reklamy a oznámila, že v roku 2019 zameria svoje monitorovacie činnosti na otázky rozdelenia zodpovedností medzi rôzne strany spracúvajúce osobné údaje. 

Tieto otázky sa riešia aj na európskej úrovni. EDPB, ktorý združuje orgány Európskej únie pre ochranu údajov (CNIL), inicioval diskusie s rôznymi sektorovými organizáciami s cieľom aktualizovať referenčné stanovisko dozorných orgánov k identifikácii a úlohe prevádzkovateľov, spoločných prevádzkovateľov a sprostredkovateľov.

A tiež:

• v Európe:

Brexit:

Aké by boli podmienky pre prenos údajov do Spojeného kráľovstva, ak by krajina opustila Európsku úniu bez dohody? EDPB zverejnil začiatkom roka 2019 poznámku, v ktorej podrobne opísal podmienky a rôzne uplatniteľné právne základy. Britský úrad pre ochranu údajov tiež odpovedá na mnohé otázky na svojej oficiálnej webovej stránke.

Biometria:

Švédsky úrad na ochranu údajov vydal 21. augusta svoju prvú sankciu podľa GDPR. Škole bola uložená pokuta 20 000 eur za zavedenie systému rozpoznávania tváre študentov, čo bolo v rozpore s niekoľkými zásadami GDPR: neplatný súhlas, citlivé biometrické údaje, absencia predchádzajúceho posúdenia vplyvu a nekonzultácia s úradom na ochranu údajov.

Cloud a ochrana údajov:

Perspektíva európskeho cloudu s harmonizovanými pravidlami sa blíži. 29. augusta sa v Haagu konalo prvé stretnutie zainteresovaných strán verejného a súkromného sektora na európskej a medzinárodnej úrovni.

• vo svete:

Elektronické dôkazy:

Podmienky, za ktorých môžu súdne orgány pristupovať k elektronickým dôkazom („e-dôkazy“), ktoré majú spoločnosti v držbe, sú predmetom vývoja v Európe aj na medzinárodnej úrovni. Cieľom je harmonizovať tieto pravidlá v Európe, ale aj dosiahnuť dohodu so Spojenými štátmi o podmienkach prístupu k týmto údajom v rámci boja proti kriminalite. Podľa amerického zákona „Cloud Act“ majú Spojené štáty prístup k údajom amerických spoločností so sídlom v Európe od marca 2018. Cieľom je dosiahnuť dohodu o týchto podmienkach prístupu na oboch stranách Atlantiku v súlade s pravidlami ochrany údajov.

Norma ISO:

Nová norma ISO/IEC/27701 bola zverejnená začiatkom augusta. Ide o rozšírenie noriem ISO/IEC 27001 a ISO/IEC 27002 o správu súkromia a zohľadňuje aj požiadavky GDPR.

1 Rozsudok sa vzťahuje na smernicu 95/46/ES, ktorá bola zrušená nariadením (EÚ) 2016/679 alebo GDPR. Ustanovenia týkajúce sa (spolu)zodpovednosti však v novom nariadení zostali rovnaké.