Osebni podatki: ali se lahko z uporabo temeljne pravice trguje?
Pravna ura št. 54 – December 2022
Osebni podatki: ali se lahko z uporabo temeljne pravice trguje? Komentiranje postopkov proti Meti, matični družbi Facebooka, WhatsAppa in Instagrama, bi lahko postalo dolgočasno, saj pritegne jezo organov za varstvo podatkov.
Podjetje je bilo od začetka veljavnosti GDPR dejansko najbolj sankcionirano med podjetji GFAM in je bilo pravkar kaznovano z dodatno globo v višini 390 milijonov evrov.
Vendar pa si nedavne odločitve Evropskega odbora za varstvo podatkov (EDPB), ki jih je irski organ za varstvo podatkov izvedel v začetku letošnjega leta, zaslužijo našo pozornost iz več kot enega razloga.
Po eni strani zato, ker predstavljajo epilog besedne vojne med irskim organom za varstvo podatkov in njegovimi evropskimi kolegi, po drugi strani pa zato, ker pojasnjujejo pravni okvir za oglaševalsko profiliranje v kontekstu, ki presega specifičen primer Mete.
Odločitve, ki jih je EOVP sprejel 6. decembra, so bile sprejete v okviru evropskega postopka reševanja sporov (člen 65 GDPR). med nacionalnimi organi za varstvo podatkov.
Temu je sledila objava končnega stališča irskega organa 4. januarja, ki je skladno z ugotovitvami Evropskega odbora za varstvo podatkov.
Irska se je kot vodilna v tej zadevi znašla v sporu s svojimi kolegi glede vprašanj, ki se nanašajo na več operacij obdelave podatkov, ki jih izvajajo Facebook, WhatsApp in Instagram.
Odločitve, ki jih je sprejel EOVP, rešujejo spor glede treh glavnih točk: pravne podlage za obdelavo (člen 6 GDPR), načel varstva podatkov (člen 5 GDPR) in uporabe korektivnih ukrepov, vključno z globami.
Posebej nas zanima vprašanje pravne podlage za obdelavo podatkov s strani podjetja, pri čemer Meta – s podporo irskega organa – meni, da bi se uporabniški podatki lahko zbirali za namene vedenjskega oglaševanja (ali izboljšanja storitev v primeru WhatsAppa) z uporabo pravne podlage izpolnjevanja pogodbe.
Treba je opozoriti, da je Meta do uveljavitve GDPR legitimizirala vedenjsko oglaševanje s pridobivanjem soglasja uporabnikov.
Družba je 25. maja 2018 spremenila svoje splošne pogoje, da bi vključila ta namen ciljanega oglaševanja, ki zdaj velja za sestavni del storitve, ki jo ponuja, in dejansko omejuje nadzor uporabnikov nad uporabo njihovih podatkov.
Družba je trdila, da ni potrebovala soglasja, ker je to spletno ciljanje del storitve, ki jo zagotavlja uporabnikom.
Spomnimo se, da je privolitev, tako kot nujnost podatkov v okviru izvajanja pogodbe, med šestimi pravnimi podlagami iz člena 6(1) GDPR, ki omogočajo utemeljitev zakonitosti obdelave.
Ali so te pravne podlage zamenljive?
Evropska doktrina o tej zadevi je jasna in je bila pravkar potrjena: pogodbeno nujnost je treba razlagati ozko, zbrani podatki pa morajo biti nujno potrebni za opravljeno storitev, kot je to na primer primer zbiranja podatkov o kreditnih karticah za spletno plačilo.
EOVP je v svojem mnenju z dne 8. oktobra 2019 o spletnih storitvah že menil, da vedenjsko oglaševanje ni nujen element spletnih storitev.
Spletni trgovec, ki želi na primer ustvariti profile uporabnikovega okusa in življenjskega sloga na podlagi obiskov svojega spletnega mesta, se za ustvarjanje teh profilov ne more zanašati na sklenitev kupoprodajne pogodbe.
Tudi če je profiliranje v pogodbi posebej omenjeno, to dejstvo samo po sebi še ne pomeni, da je „nujno“ za izpolnitev pogodbe.
Če želi spletni trgovec izvajati to profiliranje, se mora zanašati na drugo pravno podlago.
To stališče je EOVP potrdil v svojih smernicah z dne 13. aprila 2021 o ciljanju uporabnikov družbenih medijev.
Vendar pa je treba opozoriti, da se vse več spletnih storitev predstavlja kot brezplačne, medtem ko so v resnici plačljive z uporabniškimi podatki, ki predstavljajo protiuslugo spletne storitve.
Ali lahko torej "plačamo s svojimi podatki"?
To vprašanje pogodbenosti podatkov ni novo, vendar se danes pojavlja z določeno ostrino.
Tudi če oglasi služijo podpori storitve, se obdelava za namene neposrednega trženja načeloma šteje za drugačno od objektivnega namena pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in ponudnikom storitev, kar pomeni, da mora uporabnik še naprej imeti svobodo, da privoli v ciljno oglaševanje ali ne.
Leta 2017 je Evropski nadzornik za varstvo podatkov v mnenju o pogodbah o zagotavljanju digitalnih storitev posvaril „pred vsako novo določbo, ki bi uvedla idejo, da lahko ljudje plačujejo s svojimi podatki na enak način kot z denarjem“.
Dejansko temeljnih pravic, kot je pravica do varstva osebnih podatkov, ni mogoče zreducirati zgolj na interese potrošnikov, osebnih podatkov pa ni mogoče obravnavati zgolj kot blago.
Nekateri bodo menili, da plačevanje s podatki ne pomeni odpovedi temeljnim pravicam.
Omeniti velja tudi dvoumno stališče CNIL glede teme „plačilnih zidov“, ki dostop do spletnega mesta pogojujejo s plačilom za uporabnike, ki zavrnejo uporabo piškotkov, pri čemer Komisija na svoji spletni strani navaja, da ta vprašanja preučuje za vsak primer posebej.
Ali naj torej pričakujemo, da bo Meta zaračunala uporabnikom, ki zavrnejo oglaševalsko profiliranje?
Kot upravičeno poudarja nevladna organizacija NOYB, ki je vložila pritožbo proti Meti, se spor, ki ga je rešil EOVP, nanaša le na to profiliranje in nima vpliva na druge oblike oglaševanja, kot je kontekstualno oglaševanje, ki temelji na vsebini strani.
Stališče Evropskega odbora za varstvo podatkov (EDPB) bo zagotovo vplivalo na finance družbe Meta, vendar oglaševanja ne izključuje v celoti.
Nasprotno, ponovno bi morala vzpostaviti zdravo konkurenco med Meto in drugimi ponudniki spletnih storitev, pa tudi med podjetji, za katera velja irska zakonodaja, in podjetji s sedežem drugje v Evropi.
In tudi
Francija:
CNIL je 19. decembra 2022 podjetju naložil sankcije. MICROSOFT IRELAND OPERATIONS LIMITED v višini 60 milijonov evrov zaradi nezakonite uporabe piškotkov v iskalniku »bing.com«.
Podjetje je obtoženo, da ni uvedlo mehanizma, ki bi ljudem omogočal tako enostavno zavrnitev piškotkov kot njihovo sprejetje.
CNIL ta znesek utemeljuje z obsegom obdelave, številom zadevnih oseb in dobičkom, ki ga podjetje ustvari iz oglaševalskih prihodkov, posredno ustvarjenih s podatki, zbranimi s piškotki.
CNIL je 30. novembra 2022 podjetju FREE naložil kazen v višini 300.000 evrov.
Inšpekcijski pregledi so razkrili več kršitev, zlasti pravic zadevnih oseb (pravica do dostopa in pravica do izbrisa) in varnosti podatkov: Komisija je izpostavila šibko moč gesel, shranjevanje in prenos gesel v obliki odprtega besedila ter ponovno uporabo približno 4100 slabo obnovljenih škatel »Freebox«.
Nadalje je zavrnila argument, da bi morali upravljavčevi viri osebnih podatkov šteti za "poslovne skrivnosti".
V publikaciji z dne 5. decembra 2022 CNIL opozarja na pravila, ki jih je treba upoštevati pri prodaji datoteke stranke v komercialne namene: Datoteka mora vsebovati le podatke aktivnih strank in največ tri leta po koncu poslovnega razmerja se lahko prodajajo le podatki strank, ki niso nasprotovale posredovanju svojih podatkov ali so z njim soglašale, kupec pa mora zagotoviti spoštovanje pravic posameznikov (zlasti jasne informacije in soglasje za elektronsko iskanje informacij).
CNIL je končno odobril 4. januarja letos MEDNARODNA DISTRIBUCIJA APPLE do 8 milijonov evrov ker pred namestitvijo in/ali zapisom identifikatorjev, ki se uporabljajo za oglaševalske namene, na njihove naprave niso pridobili soglasja francoskih uporabnikov iPhona, ki uporabljajo staro različico iOS 14.6.
Evropa:
Švedsko predsedstvo Sveta EU je 14. decembra objavilo svoje prednostne naloge za naslednjih šest mesecev: digitalna tehnologija ni na vrhu dnevnega reda., glede na trenutne razprave o gospodarski in energetski varnosti ter odpornosti v kontekstu rusko-ukrajinskega konflikta.
Švedska kljub temu navaja, da bo nadaljevala delo, ki ga je začela v zvezi z uredbo o podatkih („Zakon o podatkih“), uredbo o „zasebnosti in elektronskih komunikacijah“ ter predlogom uredbe o evropskem prostoru zdravstvenih podatkov.
Namen te odločitve je zagotoviti trajno pravno podlago za prenose podatkov med EU in ZDA po sodbi Sodišča EU v zadevi „Schrems II“ iz julija 2020, ki je razveljavila „ščit zasebnosti“.
Preden bo sprejeta končna odločitev, mora osnutek še pregledati Evropski odbor za varstvo podatkov (EDPB) in ga odobriti odbor predstavnikov držav članic EU.
Evropski parlament ima tudi pravico pregledati odločitve o ustreznosti.
Evropska komisija je 15. decembra 2022 objavila izjavo o digitalnih pravicah in načelih za digitalno desetletje..
Namen deklaracije je voditi oblikovalce politik pri njihovi viziji digitalne transformacije v naslednjih smereh: digitalna transformacija, osredotočena na državljane, podpora solidarnosti in vključenosti, opomnik na pomen svobode izbire pri interakcijah z algoritmi in sistemi umetne inteligence ter večja varnost, zaščita in opolnomočenje, zlasti za otroke in mlade, hkrati pa zagotavljati pravico do zasebnosti in nadzora posameznikov nad njihovimi podatki.
Po letu dni preiskave je varuhinja človekovih pravic EU objavila svojo odločitev z dne 19. decembra 2022 v zvezi s pritožbo Irske komisije za državljanske svoboščine (ICCL) proti Evropski komisiji zaradi neustreznega spremljanja uporabe GDPR na Irskem.
Ta odločitev poudarja potrebo po boljšem spremljanju napredka vsakega primera velikih tehnoloških podjetij, ki je predložen irski komisiji za varstvo podatkov, s strani Evropske komisije.
Sodišče Evropske unije je v sodbi z dne 8. decembra pojasnilo pogoje, pod katerimi lahko evropski državljani od Googla dosežejo odstranitev rezultatov iskanja, ki se nanašajo nanje.
Primer je vključeval dva upravljavca naložb, ki sta Google zaprosila, naj odstrani rezultate iskanja, opravljenega z njunima imenoma, ki je vsebovalo povezave do določenih člankov, ki so kritizirali njun naložbeni model.
Sodišče je razsodilo, da »pravice do svobode izražanja in obveščanja ni mogoče upoštevati, kadar se vsaj del – ki ni manjšega pomena – informacij, najdenih v navedeni vsebini, izkaže za netočen.« Ljudje, ki želijo odstraniti netočne rezultate iz iskalnikov, morajo predložiti zadostne (in razumne) dokaze, da je to, kar je o njih povedano, neresnično.
Nizozemski organ za varstvo podatkov je 22. decembra objavil izjavo o svojih pooblastilih za nadzor algoritmov na področju preglednosti, diskriminacije in arbitrarnosti.
Tudi na Nizozemskem je študija nizozemske skupine za varstvo zasebnosti Incogni razkrila da številne priljubljene nakupovalne aplikacije, vključno z Amazonovo, uporabljajo vprašljive prakse glede deljenja dovoljenj za dostop z oglaševalskimi knjižnicami, kar oglaševalskim omrežjem omogoča posreden dostop do naprave.
Grška oblast Organ za varstvo podatkov je družbi Vodafone PANAFON SA naložil globo v višini 150.000 evrov, ker ni sprejela ustreznih tehničnih in organizacijskih ukrepov za zaščito varnosti svojih elektronskih komunikacijskih storitev.
Islandski organ Organ za varstvo podatkov je avtomehanični delavnici naročil, naj ugodi zahtevi za dostop v skladu s 15. členom GDPR in posamezniku, na katerega se nanašajo osebni podatki, posreduje podatke o vseh popravilih in servisih, opravljenih na njegovem avtomobilu, medtem ko je bil ta v njihovi lasti.
Portugalska oblast Organ za varstvo podatkov je občini Setubal izrekel opomin in globo v višini 170.000 evrov zaradi kršitve načela integritete in zaupnosti, načela omejitve shranjevanja, obveznosti glede obveščanja iz 13. člena GDPR in ker ni imenovala pooblaščene osebe za varstvo podatkov v zvezi z zbiranjem osebnih podatkov ukrajinskih beguncev, ki so na Portugalskem uporabili telefonsko linijo za pomoč.
Portugalski organ za varstvo podatkov je Nacionalni inštitut za statistiko sankcioniral tudi zaradi neskladnosti z GDPR, vključno s pošiljanjem osebnih podatkov iz popisa prebivalstva leta 2021 v Združene države Amerike in neizvedbo ocene učinka na varstvo podatkov.
Italijanski organ Organ za varstvo podatkov je družbi Alpha Exploration naložil globo v višini 2.000.000 evrov zaradi upravljanja družbenega omrežja Clubhouse, ki je kršilo določbe GDPR o zakonitosti in preglednosti, ker ni ocenilo tveganj, ki izhajajo iz obdelave, in ker je imenovalo predstavnika EU brez potrebnega mandata za delovanje v imenu upravljavca.
Italijanski organ za varstvo podatkov je telekomunikacijskemu operaterju Vodafone Italia naložil tudi globo v višini 500.000 evrov zaradi obdelave osebnih podatkov za namene neposrednega trženja brez pravne podlage, pridobitve splošnega soglasja za ločene postopke obdelave podatkov in posredovanja informacij o obdelavi osebnih podatkov na nerazumljiv način.
Španska oblast Organ za varstvo podatkov je 16-letnemu najstniku naložil globo v višini 5000 evrov, ker je z videoposnetki in fotografijami, prejetimi prek WhatsAppa, izsiljeval 13-letnega mladoletnika, ki ni mogel dati veljavnega soglasja. Organ za varstvo podatkov je najstniku tudi naročil, naj izbriše vse druge osebne podatke v zvezi z zadevno osebo in poroča o ukrepih, sprejetih v ta namen.
Mednarodno
ZDRUŽENE DRŽAVE AMERIKE: Epic Games, proizvajalec videoigre Fortnite, bo moral plačati več kot pol milijarde dolarjev zaradi kršitve Zakona o varstvu zasebnosti otrok (COPPA), spreminjanja privzetih nastavitev zasebnosti in zavajanja uporabnikov v neželene nakupe.
Poravnave Zvezne komisije za trgovino (FTC) z družbo Epic Games je FTC objavila 15. decembra.
V objavi z dne 29. decembra, Guardian poroča, da je kitajski proizvajalec nadzornih kamer Hikvision razvil programsko platformo za pomoč policiji. spremljati aktivnosti protestnikov.
Kitajska policija bi tako lahko nastavila opozorila za različne vrste demonstracij, kot so "zbiranje množic, ki motijo red na javnih mestih", "nezakonito zborovanje, procesija, demonstracija" in grožnje s "peticijo".
Države OECD so prvi medvladni sporazum o zasebnosti sprejele 14. decembra 2022. pri dostopu do osebnih podatkov za namene nacionalne varnosti in kazenskega pregona.
Načela opredeljujejo, kako pravni okviri urejajo dostop vlade, pravne standarde, ki se uporabljajo pri zahtevi za dostop, kako se dostop odobri in kako se nastali podatki obdelujejo, ter prizadevanja za zagotavljanje preglednosti za javnost.
Od tehnične rešitve se razvijajo tako, da omogočajo tako uporabnikom nadzor nad uporabo njihovih podatkov kot upravljavcem podatkov upravljanje spletnih podatkov v skladu z načeli varstva podatkov.
Poleg Global Privacy Control, ki se zdaj širi v kontekstu upravljanja spletnih soglasij, platforma za upravljanje soglasij CookieFirst uporabnikom ponuja napreden nadzor nad storitvami tretjih oseb in piškotki, ki jih nastavijo, ter za shranjevanje podatkov uporablja podizvajalce s sedežem v EU.
Anne Christine Lacoste
Anne Christine Lacoste, partnerica pri Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in delala na izvajanju GDPR v Evropski uniji.
SL 
FR 
EN 
DE 
ES 
EL 
IT 
HR 
PT 
NL 
DE_AT 
ET 
FI 
LV 
LT 
SK