Smerom k Európe ochrany údajov: cesta je dlhá.

Právne správy č. 36 – Jún 2021

Smerom k Európe ochrany údajov: cesta je dlháVšeobecné nariadenie o ochrane údajov vzbudilo po nadobudnutí účinnosti veľa nádejí, pokiaľ ide o jasnosť a účinnosť.

Zatiaľ čo európska smernica, ktorú nahradila, už poskytovala relatívne presný a záväzný právny rámec, GDPR malo umožniť harmonizované uplatňovanie týchto zásad bez ohľadu na to, kde sa dotknuté spoločnosti v Európskej únii nachádzajú.

Príslušné sankcie, revidované smerom nahor, museli byť tiež posúdené orgánmi dohľadu pomocou ucelenej analytickej mriežky.

V skutočnosti sa zdá, že existuje veľa úskalí, ktoré stále obmedzujú túto dlho očakávanú harmonizáciu.

Nemecký komisár Johannes Caspar, ktorý po dvanástich rokoch na čele hamburského štátneho dozorného úradu končí svoje funkčné obdobie, vytrváva a v júni tohto roku podpisuje odsúdenie nedostatkov v implementácii GDPR.

Príčinou sú zdĺhavé a zložité postupy, kým všetky orgány zasadajúce v rámci Európskeho výboru pre ochranu údajov (EDPB) dokážu nájsť spoločné stanovisko.

V GDPR sa zaviedol takzvaný postup „jednotného kontaktného miesta“, ktorý stanovuje právomoc vedúceho orgánu, teda orgánu krajiny hlavného sídla spoločnosti dotknutej vyšetrovaním.

Tento vedúci orgán musí napriek tomu spolupracovať s ostatnými príslušnými vnútroštátnymi orgánmi v rôznych fázach postupu.

V praxi dochádza k centralizácii vyšetrovaní pod írskym orgánom, ktorý je príslušný viesť väčšinu prípadov proti spoločnosti GAFAM so sídlom na jeho území. Údajne prebieha dvadsaťosem konaní s uvedeným orgánom, ktorý je kritizovaný za svoje pomalé a zhovievavé postupy týkajúce sa veľkých technologických spoločností, ako sú Facebook a Twitter, čo údajne vedie k dlhým a zložitým diskusiám s jeho partnermi v rámci EDPS.

Komisár hamburského úradu žiada, aby dozorné orgány včas vydali jasné a odrádzajúce signály, aby prevádzkovatelia údajov dodržiavali predpisy podobným spôsobom bez ohľadu na to, kde sa v Európskej únii nachádzajú, a bez narušenia hospodárskej súťaže.

Treba poznamenať, že tento problém identifikoval samotný výbor vo svojej výročnej správe za rok 2020 a že zlepšenie spolupráce medzi orgánmi je jednou z jeho priorít na roky 2021 – 2022.

Dodajme, že hoci systém „jednotného kontaktného miesta“ trpí procedurálnou zložitosťou, má napriek tomu výhodu pre každého občana Európskej únie, že môže podať sťažnosť svojmu národnému dozornému orgánu, a to aj v prípade, že prevádzkovateľ má sídlo v inej krajine, pričom za spoluprácu pri riešení sťažnosti sú zodpovedné príslušné orgány.

Ak sťažovateľ nie je spokojný s výsledkom vyšetrovania, môže sa domáhať nápravy aj vo svojej vlastnej krajine.

Európsky súdny dvor vo svojom rozsudku z 15. júna tiež pripomenul manévrovací priestor orgánov, ktoré nie sú vedúcimi orgánmi pri riešení cezhraničnej sťažnosti.

V kontexte sporu medzi spoločnosťou Facebook (so sídlom v Írsku) a belgickým úradom na ochranu údajov sa Súdny dvor domnieval, že belgický úrad, hoci nie je vedúcim orgánom, by mohol pred belgickými súdmi podať žalobu na určité porušenia GDPR zo strany spoločnosti Facebook.

Tieto podmienky sú však obmedzené na prípady predstavujúce núdzovú situáciu (článok 66 GDPR) alebo na miestne prípady (článok 56.2 GDPR). Toto rozhodnutie preto nesignalizuje koniec jednotného kontaktného miesta, ale skôr špecifikuje výnimky z jeho uplatňovania. Zásada spolupráce medzi orgánmi tak zostáva normou.

A tiež

Francúzsko:

CNIL 30. júna zverejnila tretiu verziu svojho softvéru určeného na uľahčenie analýz vplyvu na súkromie.

Táto nová verzia pomáha manažérom pri vykonávaní analýzy vplyvu a umožňuje rozvoj znalostných báz paralelne s tými, ktoré poskytuje CNIL.

Užší výbor CNIL uložil spoločnosti pokutu 500 000 eur. Bricoprivé pre

• Odosielanie e-mailov s oslovením potenciálnych zákazníkov bez súhlasu jednotlivcov a nedodržiavanie niekoľkých ďalších povinností vyplývajúcich z GDPR:
  • Nedodržanie lehôt uchovávania údajov, ktoré si spoločnosť stanovila,
  • Nedodržanie informačných povinností a práva na vymazanie údajov a
  • Nedostatok silných hesiel, pokiaľ ide o aspekty bezpečnosti údajov.

CNIL tiež zaznamenala používanie súborov cookie bez súhlasu používateľa.

Európa:

Európska komisia 4. júna zverejnila novú verziu štandardných zmluvných doložiek, ktorých cieľom je uľahčiť medzinárodný prenos údajov.

Tieto doložky zohľadňujú dôsledky rozhodnutia Európskeho súdneho dvora vo veci Schrems II týkajúce sa rizík prístupu orgánov tretích krajín k údajom, najmä v kontexte národnej bezpečnosti.

Zároveň Európsky výbor pre ochranu údajov vydal 18. júna odporúčania zamerané na usmernenie prevádzkovateľov údajov pri analýze takýchto rizík zachytávania údajov a na umožnenie prijatia dodatočných ochranných opatrení.

Umelá inteligencia:

Európsky dozorný úradník pre ochranu údajov a Európsky výbor pre ochranu údajov spoločne zverejnili výzvu na zákaz používania umelej inteligencie na účely

• Automatické rozpoznávanie biometrických údajov vo verejných priestoroch,
• Sociálne bodovanie vrátane prostredníctvom sociálnych médií a
• Využitie umelej inteligencie na identifikáciu emocionálneho stavu ľudí.

Táto pozícia odráža zverejnenie návrhu Európskej komisie o umelej inteligencii 21. apríla.

Medzinárodné prenosy údajov:

Európska komisia zverejnila svoje odporúčania 28. júna rozhodnutia o primeranosti týkajúce sa Spojeného kráľovstva.

Jedna sa týka požiadaviek GDPR a druhá európskej smernice o spracovaní údajov políciou.

Novým prvkom je, že Komisia vkladá „klauzula o ukončení platnosti“ ktorý obmedzuje dobu platnosti rozhodnutí na štyri roky.

Rozhodnutia môžu byť obnovené, ak úroveň ochrany v Spojenom kráľovstve stále spĺňa európske požiadavky.

Medzi oblasti, ktoré vyvolávajú obavy, patria plány Británie na nové dohody o obchode a voľnom toku údajov s rozvíjajúcimi sa ekonomikami.

Belgicko je v hľadáčiku Európskej komisie, ktorá začala konanie o porušení GDPR týkajúce sa nezávislosti svojho orgánu na ochranu údajov.

Dôvodom je členstvo viacerých jej členov vo vládnych subjektoch.

Medzinárodné:

Medzinárodná koalícia viac ako 55 organizácií na ochranu spotrebiteľa, občianskych slobôd a mimovládnych organizácií vyzýva na zákaz reklamy založenej na sledovaní a profilovaní jednotlivcov.

Dôvodom tohto postoja bola správa Nórskej rady spotrebiteľov, ktorá odhalila dôsledky sledovacích praktík v obchodných záležitostiach pre spoločnosť.

Európska komisia 16. júna začala postup zameraný na uznanie primeranosť ochrany údajov v Južnej Kórei.

Čínske úrady 10. júna oznámili prijatie zákona týkajúceho sa bezpečnosti údajov, ktorého cieľom je aj ochrana práv a záujmov osôb, ktorých údaje sa spracúvajú.

Anne Christine Lacoste

Anne Christine Lacoste, partnerka v spoločnosti Olivier Weber Avocat, je právnička špecializujúca sa na právo týkajúce sa údajov; bola vedúcou oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.