Odločitev o WhatsAppu: Konec nekaznovanosti za GAFAM v Evropi?

Pravna ura št. 38 – Avgust 2021

Odločitev o WhatsAppu: Konec nekaznovanosti za GAFAM v Evropi? V prejšnji novici smo poročali o težavah pri doseganju dogovora na evropski ravni glede izvajanja Splošne uredbe o varstvu podatkov. 

Nedavna odločitev irskega regulatorja glede WhatsAppa kaže na nadaljnji napredek v sodelovanju med nadzornimi organi, ki ga je vzpostavila GDPR.

Upravna globa v višini 225 milijonov evrov, naložena WhatsAppu 2. septembra s strani Irske sledi več preobratom znotraj Evropskega odbora za varstvo podatkov (EDPB).

V skladu s postopkom reševanja sporov iz člena 65 GDPR je odbor Irsko prisilil, da pregleda svoje sklepe. zato je morala razširiti elemente prekrška, znatno zvišati znesek globe in skrajšati roke, ki jih je Whatsapp moral upoštevati pri izpolnitvi odločitve.

Pri izračunu globe je odbor upošteval, da je treba upoštevati ne le promet WhatsAppa, temveč tudi promet njegove matične družbe Facebook.

Prav tako je menilo, da bi bilo treba v primeru več kršitev za isto obdelavo podatkov kršitve sešteti – pri čemer bi morale ostati pod zgornjo mejo 4% prometa, ki jo določa GDPR.

Treba je opozoriti, da globa, pa čeprav se morda zdi visoka, predstavlja le 0,081 TP3T prometa Facebooka.

Kar je spodbudno za razmišljanje, če pomislimo, da so irske oblasti sprva načrtovale globo v višini 50 milijonov evrov.

Spomnimo se tega Luksemburški organ za varstvo podatkov je v začetku avgusta Amazonu naložil globo v višini 746 milijonov evrov., kar je največja globa, ki je bila kdajkoli naložena v skladu z GDPR.

Glavno vprašanje preiskave je bilo, ali je WhatsApp izpolnjeval svoje obveznosti glede obveščanja do svojih uporabnikov, pa tudi do neuporabnikov, katerih podatki se prav tako zbirajo.

Informativna obvestila so bila ocenjena kot zapletena, zaradi česar ni mogoče pravilno razumeti legitimnih interesov, ki jih zasleduje podjetje.

Uporaba funkcionalnosti »dostop do stikov« s strani uporabnikov je za omenjene stike, katerih podatki se obdelujejo, čeprav sami aplikacije ne uporabljajo nujno, popolnoma nepregledna.

Poleg kršitve členov 12, 13 in 14 GDPR glede obveznosti obveščanja Odbor tako ugotavlja, da so kršitve dovolj resne, da predstavljajo kršitev člena 5(1)(a) GDPR glede splošnega načela preglednosti.

Odločitev irskega organa, ki jo je potrdil odbor, predstavlja koristen mejnik za upravljavce podatkov v zvezi z obveznostmi obveščanja iz GDPR.

Naslednje smernice so ohranjene:

–           Izogibajte se razprševanju informacij na različnih straneh, ki od uporabnika zahtevajo klik na več povezav, pa tudi neskončne spustne menije in koncentracijo informacij na enem mestu.

–           Opišite postopke obdelave, zbrane podatke in pravno podlago za vsak opredeljeni namen.

Te podatke navedite tudi za vsako tretjo osebo, ki ima dostop do podatkov.

Prikaz teh različnih elementov v obliki tabele lahko pomaga pri njihovem jasnem razumevanju.

–           Dajte informacije na voljon glede „neuporabnikov“ na ločen in lahko dostopen način.

–           Navedite okoliščine, v katerih bodo podatki shranjeni / izbrisano, s konkretnimi ilustracijami.

–           Navedite pravno podlago dovoljenje za prenos podatkov zunaj Evropske unije, pri čemer se v primeru, da ni sklepa o ustreznosti, navede alternativna pravna podlaga.

Splošno sklicevanje na spletno stran Evropske komisije ni zadostno.

.

In tudi

Francija:

CNIL nadaljuje s svojimi ukrepi za skladnost s piškotki.

Nagovorila je drugo serijo uradna obvestila poleti proti več spletnim prodajnim akterjem, večjim platformam digitalnega gospodarstva, lokalnim oblastem in bančnemu sektorju.

Ima tudi sankcionirano 27. julija je podjetje Figaro plačalo 50.000 evrov za odlaganje oglaševalskih piškotkov brez soglasja uporabnikov interneta.

Ob tej priložnosti opozarja na delitev odgovornosti med založniki spletnih mest in njihovimi komercialnimi partnerji.

Napaka v računalniku je dostopno osebne podatke približno 700.000 ljudi, ki so opravili test za covid.

Ta varnostna kršitev poudarja različno zanesljivost storitev prenosa, ki jih farmacevti uporabljajo za napajanje vladne platforme SI-DEP.

Čeprav je platforma SI-DEP sama po sebi varna, ni vsa vmesna programska oprema varna.

Generalni direktorat za zdravje (DGS) je farmacevtom poslal e-pošto, v kateri jih je opomnil na programsko opremo, ki je odobrena in združljiva s SI-DEP.

Napaka podjetja Francetest, odkrita v napaki, ki je bila objavljena 31. avgusta, ni bila del nje.

CNIL zapomni si v trenutnih okoliščinah začetka šolskega leta, zahteve, ki jih je treba izpolniti v okviru uporabe biometričnih podatkov v šolah.

Preučuje prepoznavanje kontur rok za dostop do šolskih menz in opisuje zahteve glede informacij, soglasja in varnosti podatkov.

Dodaja, da zavrnitev obdelave biometričnih podatkov in s tem dostopa do menze na drug način ne sme škodovati zadevnemu študentu.

Evropa:

Potrošniški krediti: Evropski nadzornik za varstvo podatkov (EDPS) je 26. avgusta objavil mnenje o predlogu direktive Evropske komisije.

Vzrok so nove metode ocenjevanja kreditne sposobnosti z uporabo digitalnih tehnologij.

Če so takšne ocene bistvene za odobritev kredita potrošniku, ENVP zahteva, da se nekateri podatki izključijo iz postopkov ocenjevanja.

ENVP želi, da se prepoved poleg zdravstvenih podatkov in podatkov o družbenih medijih razširi na vse občutljive podatke (na primer o veri in političnih prepričanjih) ter podatke o brskanju uporabnikov interneta.

Nadzornik poudarja tudi potrebo po boljši ureditvi vloge tretjih oseb, ki zagotavljajo storitve kreditne analize, in certificiranja sistemov umetne inteligence v tem sektorju.

Prepoznavanje obrazov: Svet Evrope objavlja smernice, katerih cilj je zagotoviti niz referenčnih meril za vlade, razvijalce, proizvajalce, ponudnike storitev in subjekte, ki uporabljajo tehnologije prepoznavanja obrazov.

Cilj je zagotoviti, da pri njihovi uporabi ne kršijo človekovega dostojanstva, človekovih pravic in temeljnih svoboščin, vključno s pravico do varstva osebnih podatkov.

Italija: Organ za varstvo podatkov (Garante) je podjetju Deliveroo naložil globo v višini 2,5 milijona evrovzaradi nepregledne uporabe algoritma za upravljanje dostavljalcev in nesorazmernega zbiranja njihovih osebnih podatkov v nasprotju z načeli zakonitosti, preglednosti, minimizacije in omejevanja iz GDPR.

Mednarodno:

Ljudska republika Kitajska je 20. avgusta sprejela zakon o varstvu osebnih podatkov (PIPL).

Ta zakon bo začel veljati 1. novembra 2021. 

Njegov cilj ni le zaščita individualnih podatkov, temveč tudi državno varnost in gospodarske interese države v zvezi z GAFAM.

Zakon vsebuje stroge obveznosti glede lokalnega shranjevanja podatkov in omejitve glede mednarodnih prenosov.

Prevzem Afganistana s strani talibanov ima posledice tudi na področju varstva podatkov.

Več datotek, vključno s tistim, ki ga upravljata ministrstvi za notranje zadeve in obrambo, bi vseboval še posebej občutljive podatke.

Zadevni podatki vključujejo policijske in vojaške podatke o pol milijona ljudeh: priimek, ime, pa tudi identifikacijsko številko, povezano z biometričnim profilom, podatke o karieri in družinskih razmerjih ter osebne podatke dveh "starešin" iz plemen, ki delujeta kot garanta med novačenjem.

Vse te informacije lahko ob menjavi lastnika pomagajo pri kartiranju povezav med lokalnimi skupnostmi in etničnimi skupinami.