Občutljivi podatki: še posebej široko področje uporabe

Pravna ura št. 50 – avgust 2022.

Težko je oceniti, ali so podatki, ki jih zbirate, občutljivi ali ne, in odločiti, ali ti podatki zahtevajo posebno zaščito v skladu z GDPR.

Te težave pri razlagi smo ponovili v našem uvodniku februarja lani.

Sodišče Evropske unije je pravkar pojasnilo področje uporabe sodbe z dne 1. avgusta 2022 pojma občutljivih podatkov oziroma natančneje posebnih kategorij podatkov.

In po mnenju sodišča je to področje uporabe še posebej široko.

Ne smemo pozabiti, da se člen 9 GDPR uporablja za podatke, ki razkrivajo domnevno rasno ali etnično poreklo, politična mnenja, verska ali filozofska prepričanja ali članstvo v sindikatu, kot tudi za obdelavo genetskih podatkov, biometričnih podatkov za namene enolične identifikacije posameznika, podatkov o zdravju ali podatkov o spolnem življenju ali spolni usmerjenosti posameznika.

Zadevna sodba se nanaša na določbe litovskega zakona, namenjenega boju proti korupciji, ki od nekaterih uslužbencev javnega sektorja zahteva, da prijavijo svoje zasebne interese ter podatke o svojih zakoncih in družinah, skoraj vse pa bo objavljeno na internetu.

Po ugovoru osebe, ki jo ta obveznost zadeva, mora Sodišče odločiti

• O nujnosti spletnega razkritja podatkov o zakoncu
• Glede vprašanja, ali je treba te podatke o zakoncu šteti za občutljive podatke v smislu 9. člena GDPR, ker omogočajo sklepanje o spolni usmerjenosti zadevnih oseb. Sodišče najprej meni, da spletno razširjanje teh podatkov ni nujno za dosego zastavljenega cilja boja proti korupciji, nato pa pojasnjuje, da je treba pojem občutljivih podatkov razlagati široko.

Do sedaj so se pojavljala nekatera vprašanja o razliki v izrazih, uporabljenih v besedilu 9. člena za urejanje podatkov, ki po eni strani "razkrivajo" politična prepričanja, članstvo v sindikatu itd. ali po drugi strani "nanašajo" na zdravje ali spolno usmerjenost.

Sodišče meni, da je treba vse posebne kategorije podatkov razlagati široko, ob upoštevanju konteksta in drugih določb GDPR.

V tem primeru torej vključuje podatke, ki lahko z intelektualno operacijo primerjave ali sklepanja razkrijejo spolno usmerjenost fizične osebe.

Ta sodba bi lahko imela pomemben vpliv na obseg obveznosti tistih, ki so odgovorni za obdelavo „potencialno“ občutljivih podatkov.

Zdi se, da je CNIL do zdaj te obveznosti razlagal bolj restriktivno: januarja je navedel, da „samo dejanje fotografiranja ali snemanja slike, iz katere je mogoče sklepati na določene elemente, ki omogočajo razbiranje osebnih podatkov“ predstavljanje občutljivih podatkov samo po sebi še ne pomeni obdelave občutljivih podatkov (…). To Le če se te slike obdelujejo za pridobivanje, razlago ali uporabo navedenih občutljivih podatkov, se bo obdelava štela za del režima za obdelavo občutljivih podatkov.

Zdi se, da je odločilni element v obrazložitvi Sodišča dejstvo, da so podatki javno dostopni: od tega trenutka naprej lahko kdorkoli zbira podatke, iz njih sklepa občutljive informacije in jih obdeluje za namen, ki je popolnoma nepovezan s prvotnim namenom, s posledicami, ki bi se jih lahko bali zadevne osebe.

Prav tako je treba vedeti, da sklepi, narejeni na podlagi razpoložljivih podatkov, niso nujno pravilni, da bi izpolnjevali zahteve GDPR: pravzaprav ni pomembno, ali so sklepi veljavni ali ne: napačni sklepi imajo lahko še bolj škodljive posledice za posameznike, na katere se nanašajo osebni podatki.

Pričakuje se, da bo ta odločitev vplivala na upravljavce podatkov, ki obdelujejo podatke v velikem obsegu in profilirajo uporabnike interneta, zlasti v okviru družbenih omrežij, saj bo zahtevala izrecno soglasje.

Na koncu naj dodamo, da bodoči predpisi za digitalne storitve in digitalne trge predvidevajo prepoved uporabe občutljivih podatkov za ciljanje oglaševanja.

V kombinaciji s široko razlago občutljivih podatkov s strani Sodišča EU si lahko predstavljamo omejitev vedenjskega oglaševanja na evropski ravni, ki bo strožja od pričakovane.

In tudi

Francija:

ACCOR je bil pravkar kaznovan s 600.000 evri kazni zaradi komercialnega raziskovanja brez soglasja zadevnih oseb in zaradi nespoštovanja pravic strank in potencialnih strank.

Obrazci za rezervacijo so privzeto vključevali vnaprej označeno možnost, ki je omogočala samodejno pošiljanje glasila strankam s komercialnimi ponudbami partnerjev.

CNIL je opazil tudi ponavljajoče se tehnične nepravilnosti, zaradi katerih mnogi ljudje niso mogli zavrniti prejemanja sporočil.

Odločitev CNIL je bila predmet postopka sodelovanja z organi drugih držav EU, v katerih skupina ACCOR obdeluje podatke, na koncu katerega je Evropski odbor za varstvo podatkov CNIL odredil, naj zviša znesek globe, da bi bil sprejeti ukrep bolj odvračilen.

Med upoštevanimi elementi so število kršitev, dejstvo, da se te kršitve nanašajo na več temeljnih načel varstva osebnih podatkov in predstavljajo znatno kršitev pravic posameznikov, pa tudi število prizadetih posameznikov in finančno stanje podjetja.

Avgusta se je povezava s storitvijo France Connect s podatki iz računa Ameli postala nemogoča., saj je gumb za povezavo deaktiviral Bercy.

Vzrok je ponovni porast napadov lažnega predstavljanja z uporabo teh poverilnic. Generalni direktorat za javne finance naj bi si prizadeval za zaščito sistema France Connect in načrtuje postopno prehajanje najobčutljivejših postopkov, zlasti tistih, ki omogočajo dostop do finančnih plačil, na varnejše storitve identifikacije.

25. avgusta je nevladna organizacija noyb.eu je vložil pritožbo proti Googlu pri CNIL..

Google je obtožen, da je ignoriral sodbo Evropskega sodišča (ESJ) o e-poštnih sporočilih za neposredno trženje in uporabljal svojo e-poštno platformo Gmail za pošiljanje neželenih oglasnih e-poštnih sporočil brez veljavnega soglasja uporabnikov.

Francoskemu oglaševalskemu velikanu Criteo grozi 60 milijonov evrov kazni

kot del preiskave, ki jo je začel CNIL.

To je v tej fazi predhodna odločitev, ki jo je 5. avgusta objavila organizacija, ki je vložila pritožbo, Privacy International.

Evropa:

Kritizirana pooblastila EU za preiskovanje vohunske programske opreme med parlamentarno obravnavo v torek, 30. avgusta, na kateri je predstavnik Europola dejal, da je mandat agencije omejen na podporo državam članicam, ki se odločijo za začetek preiskave.

Do danes je znanih vsaj 14 evropskih vlad, ki so kupile vohunsko programsko opremo od skupine NSO, ki je ustvarila vohunsko programsko opremo Pegasus, strokovnjaki pa menijo, da v EU deluje še veliko drugih prodajalcev.

Nekdanji vodja varnosti pri Twitterju Peiter "Mudge" Zatko je vložil tožbo proti podjetju, ki je bila nedavno javno objavljena.

Dokument podrobno opisuje vrsto obrekljivih obtožb o vprašanjih varnosti, zasebnosti in varstva podatkov (med drugim), pa tudi trditve, da je Twitter zavajal ali nameraval zavajati regionalne nadzorne organe glede skladnosti z lokalnimi zakoni.

Primer sta prevzela irski in francoski nadzorni organ.

Irska komisija za varstvo podatkov je platformo družbenih medijev Instagram oglobila s 405 milijoni evrov., v lasti podjetja Meta, zaradi kršitve GDPR.

Globa je druga najvišja v skladu z GDPR po kazni v višini 746 milijonov evrov proti Amazonu in tretja za podjetje v lasti Mete, ki jo je naložil irski regulator.

Odločitev se nanaša na kršitve zasebnosti otrok s strani Instagrama, vključno z objavo e-poštnih naslovov in telefonskih številk otrok.

Višje deželno sodišče v Kölnu (OLG Köln) je posamezniku prisodilo 500 evrov zaradi zamude, ki jo je upravljavec podatkov imel pri posredovanju zahtevanih informacij v skladu s 1. odstavkom 15. člena GDPR (prek GDPRhub).

V podobnem primeru je italijanski organ za varstvo podatkov Deutsche Bank naložil globo v višini 20.000 evrov, ker se ni pravočasno odzvala na zahtevo posameznika, na katerega se nanašajo osebni podatki (prek GDPRhub).

Grška agencija za varstvo podatkov je medicinsko-diagnostični center oglobila s 30.000 evri zaradi kršil načelo celovitosti in zaupnosti podatkov : vodja je zaradi nezadostnih tehničnih in organizacijskih ukrepov izgubil mamografske slike.

Poleg globe je organ za varstvo podatkov centru naložil, da o kršitvi obvesti posameznike, na katere se nanašajo osebni podatki (prek GDPRhuba).

Špansko vrhovno sodišče je razsodilo, da uveljavljanje pravic posameznika pri upravljavcu podatkov (členi 15 do 22 GDPR) ni predpogoj za vložitev pritožbe. pri organu za varstvo podatkov: slednji lahko ukrepa, tudi če posameznik, na katerega se nanašajo osebni podatki, ni najprej stopil v stik z upravljavcem (prek GDPRhuba).

V Švici bo 1. septembra 2023 začel veljati nov zakon o varstvu podatkov.

Nekateri komentatorji ugotavljajo, da bi bilo več načel manj omejevalnih od načel GDPR, zlasti tista, ki se nanašajo na privolitev in pooblaščeno osebo za varstvo podatkov.

Varnostne zahteve pa so še posebej podrobne.

Mednarodno:

Evropski subjekti lahko spadajo na področje uporabe Zakona o računalništvu v oblaku, tudi če se nahajajo zunaj Združenih držav Amerike odloči o študiji, ki jo je v imenu izvedla odvetniška pisarna Ministrstvo za pravosodje in varnost Nizozemske, objavljeno pa 26. julija.

Evropska podjetja lahko to tveganje zmanjšajo z vzpostavitvijo "kitajskega zidu" z Združenimi državami Amerike, zlasti tako, da ne zaposlujejo nobenih Američanov ali nimajo ameriških strank, kar bi lahko upravičilo posredovanje ZDA v skladu z zakonom o računalništvu v oblaku.

Vendar pa tudi ta zaščita ne bi bila zadostna, če subjekt uporablja ameriške tehnologije, saj zakon o oblaku dovoljuje dostop do podatkov prek podizvajalcev/dobaviteljev strojne in programske opreme do/od ponudnikov storitev v oblaku.

Te ugotovitve so sprožile razpravo o ponudbah, kot sta Bleu "Trusted Cloud" (Microsoftove tehnologije, ki jih ponujata Orange in Capgemini) in S3ns (Google s Thalesom).

V Združenih državah Amerike se je Facebook strinjal s poravnavo v škandalu Cambridge Analytica, ki se nanaša na dostop družbe do zasebnih podatkov več deset milijonov uporabnikov Facebooka med volilno kampanjo. Škandal je izbruhnil po razkritjih žvižgača družbe Cambridge Analytica za Observer leta 2018, zaradi katerih je Facebook že plačal več milijard evrov globe.

Na Kubi velja zakon o varstvu osebnih podatkov je bil objavljen v Uradnem listu 25. avgusta. Veljati bo začel 180 dni po objavi.

Rusija je po podpisu Konvencije Sveta Evrope št. 108+ spremenila svoj zakon o varstvu podatkov.

Novi zvezni zakon št. 266 z dne 14. julija 2022 bistveno spreminja nekatere zakonodajne akte, ki urejajo obdelavo osebnih podatkov v Rusiji, in zdaj vključuje obveznost obveščanja o kršitvah varnosti podatkov.

Naraščajoče politične in varnostne napetosti med Pekingom in Zahodom so v Združenem kraljestvu spodbudile pozive k pregled prenosa genetskih podatkov na Kitajsko iz biomedicinske baze podatkov, ki vsebuje DNK pol milijona britanskih državljanov.

Najboljši varnostni ukrepi ne ščitijo pred ranljivostmi podizvajalcev.

Twilio je 24. avgusta poročal, da so hekerji vdrli v njegove sisteme.

Twilio svojim strankam ponuja storitve preverjanja, vključno s podjetjem za šifrirana sporočila Signal.

Ko uporabnik registrira svojo telefonsko številko, mu Twilio pošlje SMS s potrditveno kodo, ki jo nato vnese v Signal.

Čeprav je vpliv na Signal in njegove uporabnike omejen zaradi načina zasnove storitve, je to opozorilo za vse platforme ali storitve, ki bi jih lahko manipulirali za posredovanje poverilnic napadalcu.

Google LLC v Avstraliji kaznovan s 60 milijoni dolarjev dolarjev zaradi zavajanja potrošnikov glede zbiranja in uporabe njihovih osebnih podatkov o lokaciji na telefonih Android.

Anne Christine Lacoste

Anne Christine Lacoste, partnerica odvetniške pisarne Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in si je prizadeval za implementacijo GDPR v Evropski uniji.