GDPR: judikatúra je čoraz jasnejšia!

GDPR: judikatúra je čoraz jasnejšia! CNIL sa už v januári minulého roka vyznamenala uložením rekordnej pokuty vo výške 50 miliónov eur spoločnosti Google za to, že neinformovala svojich zákazníkov o používaní systému Android, pričom túto pokutu v júni potvrdila Štátna rada.

Francúzsky úrad na ochranu údajov dnes udelil spoločnostiam Carrefour France a Carrefour Banque pokuty vo výške 2 250 000, respektíve 800 000 eur.

Hoci CNIL už od nadobudnutia účinnosti GDPR podnikla množstvo represívnych opatrení, rokovanie z 18. novembra nám prezradí niečo viac o jej hodnotení porušení zákona a dôvodoch, ktorými sa riadi pri svojich rozhodnutiach.

Spúšťače vyšetrovania

Vo všeobecnosti CNIL začína vyšetrovanie buď po podaní sťažnosti alebo konkrétnej správy, alebo z vlastnej iniciatívy v rámci svojich monitorovacích misií.

V druhom prípade sa kontroly budú vo väčšej miere vzťahovať na osoby zodpovedné za predtým identifikovaný sektor. 

CNIL preto vo svojej kontrolnej stratégii na rok 2020 definovala niekoľko priorít, ktoré podliehajú podrobnejšiemu overovaniu: zdravotné údaje, geolokácia pre miestne služby, ako aj súbory cookie a iné sledovacie nástroje.

V tomto prípade boli dve spoločnosti Carrefour France a Carrefour Banque predmetom vyšetrovania po tom, čo bolo v období od júna 2018 do apríla 2019 podaných 15 sťažností na CNIL.

Tieto sťažnosti sa týkali praktík komerčného vyhľadávania údajov a nerešpektovania práva na prístup k údajom a ich vymazanie.

CNIL vykonala niekoľko online kontrol v priestoroch spoločností a koncom januára 2019 začala formálne vyšetrovanie.

Kontradiktorné konanie viedlo k niekoľkým výmenám pripomienok medzi spoločnosťou a spravodajcom CNIL, ktoré vyvrcholili oficiálnym rokovaním 18. novembra.

Dôvody rozhodnutia

CNIL poukazuje na nedodržiavanie viacerých článkov GDPR:

• Povinnosť informovať jednotlivcov (článok 13 GDPR)

Informácie poskytované jednotlivcom týkajúce sa spracovania ich údajov boli ťažko dostupné, neúplné a skryté v dlhých textoch na iné témy.

CNIL kritizuje používanie príliš vágnych pojmov: Používanie, takmer systematicky (...), pojmov ako „tieto liečby zahŕňajú najmä z jedného alebo viacerých z nasledujúcich dôvodov“ Alebo „Vaše údaje môžu byť použité“ neumožňujú dotknutým osobám plne pochopiť vykonávané spracovanie.

• Súbory cookie (článok 82 zákona o ochrane údajov)

Po príchode na webovú stránku bolo každému návštevníkovi zobrazených 39 súborov cookie ešte predtým, ako mal možnosť ich prijať alebo odmietnuť.

Tri z týchto súborov cookie patrili riešeniu Google Analytics s cieľom zacieliť reklamu na používateľov internetu.

Údaje návštevníkov webovej stránky Carrefour.fr boli preto zhromažďované v rozpore s článkom 82 zákona o ochrane údajov.

Viac informácií o sledovaní používateľov internetu nájdete v aktualizácii svojich pokynov CNIL, ktorá sa objavila 1. októbra.

• Doba uchovávania údajov (článok 5.1.e GDPR)

CNIL sa domnieva, že doba uchovávania údajov o zákazníkoch (4 roky) je nadmerná: zákazník, ktorý so spoločnosťou niekoľko rokov neobchodoval, by sa už nemal považovať za aktívneho zákazníka. 

Komisia sa odvoláva na svoju doktrínu v tejto veci, ktorá odporúča maximálnu dobu uchovávania údajov tri roky: cituje starú zjednodušenú normu č. 48 týkajúcu sa súborov potenciálnych zákazníkov a online predaja a svoj nedávny návrh referenčného rámca týkajúci sa spracovania osobných údajov implementovaného na účely riadenia obchodných činností.

• Uplatňovanie práv (článok 12 GDPR)

Postup zavedený spoločnosťou Carrefour France vyžadoval od žiadateľov preukázanie totožnosti v prípadoch, keď to nebolo potrebné, pretože totožnosť zákazníkov bola preukázaná.

Okrem toho lehoty na spracovanie žiadostí v niekoľkých prípadoch prekročili zákonné požiadavky.

• Rešpektovanie práv (články 15, 17 a 21 GDPR a L34-5 Poštového a elektronického komunikačného kódexu)

CNIL zaznamenala niekoľko prípadov nedostatočnej odpovede na žiadosti sťažovateľov o prístup k údajom, vznesenie námietok a vymazanie údajov.

• Povinnosť spravodlivého spracovania údajov (článok 5 GDPR)

Niektoré údaje (poštová adresa, telefónne číslo, počet detí) poskytnuté pri online registrácii na kreditnú kartu Carrefour (karta Pass) boli prenesené do vernostného programu Carrefour, čo je v rozpore s informáciami poskytnutými dotknutým osobám.

• Porušenie bezpečnosti (článok 32 GDPR)

CNIL konečne zaznamenala zraniteľnosť umožňujúcu online prístup k faktúram zákazníkov a zdôrazňuje, že zavedené opatrenie, konkrétne pridanie reťazca náhodných znakov, samo o sebe nestačí na prekonanie takejto zraniteľnosti.

CNIL poukazuje na to, že ANSSI varuje pred touto zraniteľnosťou spojenou s URL adresami už od roku 2013.

Po objavení zraniteľnosti mal byť zavedený povinný systém predbežnej autentifikácie.

Úsilie o dodržiavanie predpisov a primerané sankcie

Spoločnosti počas konania spolupracovali s CNIL a prijali všetky potrebné opatrenia na zosúladenie spracovania údajov so zákonom.

Hoci CNIL túto spoluprácu zdôrazňuje, napriek tomu sankcionuje zodpovedných z dôvodu závažnosti porušení: ide o vážne nedostatky a postihujú značný počet ľudí.

Stále sme však ďaleko od maximálnej pokuty, ktorú mohla CNIL uložiť, a to vo výške 41 TP3T z obratu. 

Na výpočet tohto obratu, ktorý slúži ako základ pre výpočet základu pokuty, CNIL najprv identifikuje dotknutú spoločnosť.

Domnieva sa, že na posúdenie pojmu podnik v súlade s článkami 101 a 102 ZFEÚ je vhodné zohľadniť obrat dosiahnutý spoločnosťou CARREFOUR FRANCE a dcérskymi spoločnosťami, ktoré vlastní a ktoré mali prospech zo spracovania. 

Obrat tejto spoločnosti (…) tak v roku 2019 dosiahol 14,9 miliardy eur.

Obmedzené školenia CNIL však zohľadňujú aj špecifickú povahu ekonomického modelu hromadnej distribúcie, ktorý sa vyznačuje obzvlášť vysokou fluktuáciou, ale nízkymi maržami. 

Tieto prvky viedli k rozhodnutiu o pokute vo výške 2 250 000 eur pre Carrefour France a 800 000 eur pre Carrefour Banque.

Závažnosť porušení tiež odôvodňuje zverejnenie rozhodnutia a predstavuje prostriedok na informovanie mnohých dotknutých osôb.

Liečivá

Rozhodnutie CNIL predstavuje akt správneho orgánu, proti ktorému sa možno odvolať na Štátnu radu do dvoch mesiacov od jeho oznámenia. 

A tiež

Francúzsko:

• Podujatie, ktoré zorganizovala CNIL 23. novembra prenosnosť údajov je k dispozícii online na webovej stránke úradu.

• S cieľom zvýšiť povedomie obcí a medziobcí o – veľmi reálnych – rizikách kybernetických útokov, ANSSI publikuje sprievodca otázkami kybernetickej bezpečnostiCieľom tejto príručky je presvedčiť volených zástupcov, aby investovali do rozvoja ochrany svojich informačných systémov.

Európa:

• Belgický úrad na ochranu súkromia uzavrel dohodu 26. novembra memorandum o porozumení so spoločnosťou DNS Belgium pozastaviť doménové mená „.be“ webových stránok, ktoré porušujú GDPR.

• Európska komisia rozhodne o tom pred 8. januáromGoogle kupuje FitBit, akvizícia, ktorá vyvoláva otázky v oblastiach ochrany údajov a hospodárskej súťaže.

• Európska komisia zverejnila 12. novembra návrh štandardných zmluvných doložiek, ktorý bol otvorený na pripomienkovanie štyri týždne.

Cieľom tejto revidovanej verzie je napraviť dôsledky dnes už slávneho rozhodnutia vo veci Schrems II a umožniť prenosy údajov do Spojených štátov v súlade s európskym právom.

Taktiež odkazujeme na odporúčania Európskeho výboru pre ochranu údajov k rovnakej téme, prijaté 10. novembra.

• Očakáva sa, že nové európske nariadenie o digitálnych službách bude zverejnené začiatkom decembra.

Cieľom komisie je regulovať „veľké technologické spoločnosti“ tým, že umožní malým a stredným podnikom (MSP) rozvíjať ich služby, posilňovať postavenie digitálnych hráčov a bojovať proti dezinformáciám online.

Medzinárodné:

• Nový kanadský zákon o ochrane osobných údajov sa stal účinnejším a za porušenie jeho zásad sú stanovené značné pokuty.

• Spojené štáty: Kalifornský zákon o právach na súkromie („CPRA“) bol prijatý 3. novembra.

Tento nový text zriaďuje dozorný orgán, Kalifornskú agentúru na ochranu súkromia, s právomocou ukladať finančné sankcie.

Je to prvý dozorný orgán v tomto sektore v Spojených štátoch.

Anne Christine Lacoste

Anne Christine Lacoste, partnerka v spoločnosti Olivier Weber Avocat, je právnička špecializujúca sa na právo týkajúce sa údajov; bola vedúcou oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.