Analytické nástroje: vplyv súdneho rozhodnutia – a spravodajských služieb – na naše webové stránky.

Právne upozornenie č. 44 – Február 2022

Analytické nástroje: vplyv súdneho rozhodnutia – a spravodajských služieb – na naše webové stránkyRozhodnutie Súdneho dvora Európskej únie vo veci „Schrems II“ bolo už v čase jeho zverejnenia v júli 2020 považované za dôležité rozhodnutie v kontexte ochrany osobných údajov, a konkrétnejšie prenosov do Spojených štátov.

Dnes má čoraz ďalekosiahlejšie dôsledky, čo je logickým dôsledkom zistení Súdneho dvora týkajúcich sa rizík prístupu amerických spravodajských služieb k európskym údajom.

Tieto dôsledky teraz ovplyvňujú bežne používané nástroje, ako sú riešenia na meranie publika a písma Google.

Minulý mesiac sme už spomenuli kaskádové rozhodnutia prijaté orgánmi na ochranu údajov Rakúska, Holandska, Nórska a Nemecka, ku ktorým sa pridávajú rozhodnutia CNIL a Lichtenštajnsko.

Tieto rozhodnutia nasledujú po sťažnostiach (celkovo 101), ktoré na úrady podal Max Schrems a jeho združenie NOYB (Európske centrum pre digitálne práva) s cieľom zabezpečiť, aby GAFAM dodržiaval rozhodnutie Súdneho dvora.

Závery úradov sú nasledovné:

• Identifikačné údaje súborov cookie a neanonymizované IP adresy, ktoré používa služba Google Analytics, sú osobné údaje.

Môžu byť tiež kombinované s inými identifikovateľnými údajmi, ktoré majú k dispozícii tretie strany (spravodajské služby).

• Skutočnosť Skutočnosť, že údaje sa zhromažďujú prostredníctvom európskej webovej stránky, nie je relevantná pre posúdenie rizika prístupu tretích strán. čo je, je prenos údajov do Spojených štátov

• Prevody do Spojených štátov sú povolené len za predpokladu, že sú zavedené vhodné záruky. okrem štandardných zmluvných doložiek by sa mali prijať napríklad opatrenia na elimináciu rizika prístupu tretích strán k údajom.

• Orgány na ochranu údajov usúdili, že dodatočné záruky, ktoré spoločnosť Google prijala, neboli dostatočné vylúčiť možnosť prístupu k údajom americkým spravodajským službám.

Sankcie v súčasnosti pozostávajú najmä z varovaní a príkazy na zablokovanie používania inkriminovaných nástrojov správcovia webových stránok. CNIL uvádza, že v tejto súvislosti spustila niekoľko postupov formálneho oznámenia.

Hoci sa služba Google Analytics bežne používa, vplyv týchto rozhodnutí sa neobmedzí len na to: orgány na ochranu údajov rozširujú svoju analýzu „na iné nástroje používané stránkami, ktoré vedú k prenosu údajov od európskych používateľov internetu do Spojených štátov ".

Mnohí európski prevádzkovatelia, správcovia lokalít vo verejnom alebo súkromnom sektore, sú preto znepokojení.

Vieme, že prevencia je lepšia ako liečba, a v tomto prípade by sme sa mali obrátiť – ak existujú – na nástroje, ktoré nezhromažďujú osobné údaje ani ich neukladajú na lokálnych serveroch.

CNIL preto odporúča, aby sa tieto nástroje používali iba na vytváranie anonymných štatistických údajov, čo zároveň umožňuje výnimku zo súhlasu používateľa.

Začala postup na hodnotenie existujúcich riešení a zverejňuje na svojej webovej stránke riešenia, ktoré spĺňajú tieto požiadavky, vrátane napríklad Matomo, Wysistat, Beyable alebo Compass.

Dovoľte nám zdôrazniť, že aj tie najefektívnejšie nástroje sa dajú niekedy konfigurovať rôznymi spôsobmi: Je zodpovednosťou správcu lokality overiť, či predvolená konfigurácia spĺňa požiadavky zákona..

V súčasnom kontexte je obmedzovanie prístupu k údajom tretím stranám v každom prípade praxou, ktorú treba podporovať, či už riziká prístupu pochádzajú spoza Atlantiku alebo odinakiaľ.

A tiež

Francúzsko:

CNIL predkladá návrh stanoviska na verejnú konzultáciu do 11. marca 2022, týkajúce sa „inteligentných“ kamier. alebo „rozšírené“ vo verejných priestoroch.

Zverejňuje tiež svoj nový strategický plán na roky 2022 – 2024, okolo troch prioritných osí pre dôveryhodnú digitálnu spoločnosť: „podpora rešpektovania práv, propagácia GDPR ako prínosu a zameranie regulácie na témy s vysokými stávkami“.

Jeho prioritnými kontrolnými témami pre rok 2022 sú komerčný prieskum, cloud a monitorovanie práce na diaľku.

Francúzsko začína národná kampaň na zvyšovanie povedomia o kybernetickej kriminalite, v spolupráci s médiami, zameraná na usmernenie verejnosti k riešeniam kybernetickej bezpečnosti. 

Európa:

Na svojom plenárnom zasadnutí 22. februára Európsky výbor pre ochranu údajov (EDPB) prijal list týkajúci sa Dohovoru Rady Európy o kybernetickej kriminalite a jeho 2. dodatkového protokolu, list v ktorom vyjadruje obavy z možností, že vlády tretích strán budú priamo požadovať údaje od európskych poskytovateľov služieb.

Zverejnila tiež usmernenia týkajúce sa kódexov správania ako nástrojov pre medzinárodný prenos údajov a list o otázkach zodpovednosti v kontexte umelej inteligencie.

Európsky výbor pre ochranu údajov 15. februára tiež spustil svoje prvé koordinované presadzovanie práva v oblasti používania cloudu verejným sektorom.

Využívanie cloudu, ktoré sa v EÚ za šesť rokov zdvojnásobilo, zaznamenalo počas pandémie ďalší nárast, čo malo dôsledky pre dodržiavanie európskych právnych predpisov. Dvadsaťdva orgánov na ochranu údajov vrátane CNIL zašle dotazníky 75 verejným orgánom s cieľom overiť súlad s GDPR a v prípade potreby začať formálne kontroly.

CISPE, organizácia poskytovateľov cloudových infraštruktúrnych služieb, oznámila schválenie svojho kódexu správania v oblasti ochrany údajov Európskym výborom pre ochranu údajov (EDPB)..

Zmluvu už podpísalo niekoľko spoločností vrátane Aruba, Amazon Web Services, Elogic, Leaseweb, Outscale a OVHCloud.

Kódex najmä umožňuje používateľom zvoliť si ukladanie údajov v Európskom hospodárskom priestore.

Mimovládne organizácie môžu tiež podliehať kontrolám: Belgický úrad na ochranu údajov udelil dve sankcie mimovládnej organizácii EU DisinfoLab a jednému z jej výskumníkov po tom, čo sa prípad postúpil Komisii pre ochranu osobných údajov Belgicka (CNIL). Zistené porušenia GDPR sa týkajú hromadného zhromažďovania údajov v rámci štúdie zameranej na identifikáciu politických sklonov ľudí, ktorí uverejňovali tweety o „afére Benalla“.

Belgický úrad na ochranu údajov v dôležitom rozhodnutí udelil Európskemu úradu pre interaktívnu reklamu (IAB Europe) pokutu vo výške 250 000 eur. za porušenie zásad zákonnosti, lojality a transparentnosti, nedostatok technických a organizačných opatrení na ochranu údajov, nedostatok registra, analýzy vplyvu a vymenovania zodpovednej osoby. Za týmto zoznamom priestupkov je práve princíp „ponuky v reálnom čase“ (dražba údajov používateľov internetu prostredníctvom platforiem na správu súhlasu – CMP), ktorý je sankcionovaný vzhľadom na jeho úplnú netransparentnosť pre dotknuté osoby.

Taliansky úrad na ochranu údajov udelil sankcie súkromnému klubu až do výšky 2 000 EUR za nasmerovanie svojich bezpečnostných kamier na verejnú komunikáciu bez jasného značenia, čím sa porušil článok 5(1)(a), článok 5(1)(c) a článok 13 GDPR. 

V Holandsku okresný súd v Haagu potrestal zamestnávateľa, ktorý tajne nahrával telefonický rozhovor svojho zamestnanca.Pre súd podozrenie zamestnanca z kontaktovania svojich klientov s cieľom založiť si vlastnú firmu nestačí na legitimizáciu tajného nahrávania hovorov.

Aj v Holandsku Úrad na ochranu údajov udelil mediálnej spoločnosti pokutu 525 000,00 EUR: Tá požiadala osoby uplatňujúce si právo na prístup k svojim údajom o kópiu svojho občianskeho preukazu, čo bola žiadosť považovaná za neoprávnenú a v rozpore s článkom 12(2) GDPR.

Španielsky úrad na ochranu údajov uložil pokutu 200 000 eur proti Španielskej futbalovej federácii za zdieľanie záznamu videokonferencie na Zoome bez predchádzajúceho informovania alebo súhlasu účastníkov. 

Aj v Španielsku bola cestná doprava spoločnosti Amazon pokutovaná sumou 2 000 000,00 EUR. za nezákonné zhromažďovanie informácií z registra trestov ako súčasť ich náborového procesu.

Medzinárodné:

Medzinárodný výbor Červeného kríža sa práve stal obeťou vysoko sofistikovaného kybernetického útoku s potenciálne závažnými následkami. vzhľadom na citlivosť údajov spracovávaných organizáciou. Webová stránka poskytuje verejnosti príkladné informácie k 16. februáru, ktoré vysvetľujú okolnosti útoku, potenciálne riziká a opatrenia prijaté na zmiernenie týchto rizík.

Anne Christine Lacoste

Anne Christine Lacoste, partnerka v spoločnosti Olivier Weber Avocat, je právnička špecializujúca sa na právo týkajúce sa údajov; bola vedúcou oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.