Novice nadzornih organov: praznovanja in nadzor

Pravna ura št. 31 – Januar 2021

Novice nadzornih organov: praznovanja in nadzorZadnjih nekaj dni je bilo priložnost za (virtualno) praznovanje več rojstnih dni.

28. januarja so deležniki na področju zasebnosti v Evropi, Afriki, Amerikah in azijsko-pacifiški regiji organizirali več dogodkov ob 15. obletnici Dan varstva podatkov.

Dodajmo še, da Konvencija 108 (Konvencija Sveta Evrope o varstvu osebnih podatkov) letos praznuje 40. obletnico.

Priložnost za oceno in uradno izjavo, ki poudarja potrebo po ohranitvi "človekovega dostojanstva in integritete v dobi avtomatiziranih odločitev, ki jih sprejemata umetna inteligenca in algoritmi", ter po razvoju skupnega pravnega prostora na mednarodni ravni za lažji pretok podatkov med državami.

Digitalna tehnologija je tako v središču trenutnih razprav, z izjavo Odbora ministrov Sveta Evrope o varstvu pravice do varstva podatkov v digitalnem okolju in sprejetjem smernic o prepoznavanju obrazov.

Ena najpomembnejših mednarodnih konferenc o varstvu podatkov, "Računalniki, zasebnost in varstvo podatkov", ki je potekal konec januarja, potrjuje te pomisleke s tridnevnimi spletnimi razpravami na temo "uveljavljanje pravic v spreminjajočem se svetu". 

Čeprav so organi za varstvo podatkov dobili večja pooblastila za izvrševanje GDPR, ostajajo vprašanja o njihovi strategiji, evropskem sodelovanju in učinkovitosti sankcij glede na vpliv "velikih tehnoloških" podjetij, kot sta Google in Amazon.

Globe, naložene v Evropi leta 2020, so znašale skupaj 272,5 milijona evrov, tri najbolj aktivne države v zvezi s tem pa so Italija, Nemčija in Francija, kot je navedeno v nedavnem poročilu DLA Piper na to temo.

CNIL ne manjka sankcij, bodisi proti večjim digitalnim akterjem bodisi proti mikropodjetjem ali malim in srednje velikim podjetjem, pri čemer so globe prilagojene prometu odgovornih.

Čeprav lahko multinacionalke v okviru postopka sankcij namenijo določene zneske, je lahko vpliv na manjše strukture precejšen, tako v finančnem smislu kot v smislu javne podobe.

Konkretno, zadnje sankcije CNIL zaradi kršitve GDPR so bile utemeljene s kršitvami varnostnih pravil in neupoštevanjem pravil o komercialnem raziskovanju.

Torej Podjetje Nestor je bilo kaznovano z 20.000 evri kazni ker ni izpolnila svoje obveznosti pridobitve soglasja potencialnih strank in ker ni spoštovala pravic zadevnih oseb (informacije, dostop).

Pomanjkanje ustreznih varnostnih ukrepov je prav tako v središču pozornosti CNIL, tako v tem primeru kot v novejšem, ki je vključeval napad z zlorabo poverilnic: vodja in njegov podizvajalec je izpustil nekatere bistvene zaščitne ukrepe, kot sta omejitev števila dovoljenih zahtev na spletni strani in uporaba CAPTCHA.

V tem primeru CNIL je naložil globi v višini 150.000 oziroma 75.000 evrov.Izkoristila je priložnost, da je na svoji spletni strani ljudi spomnila na ukrepe, namenjene zaščiti osebnih podatkov pred tovrstnimi napadi.

CNIL se osredotoča tudi na uporabo piškotkov in na to, kako spletna mesta upoštevajo njene smernice.

Spomnimo se, da je konec leta 2020 objavila smernice o tej temi, v katerih je zlasti podrobno opisano, kako pridobiti soglasje uporabnikov interneta za uporabo sledilnikov.

In tudi

Francija:

CNIL je 26. januarja izdal svoje mnenje o zakon o globalni varnosti.

Ima pomisleke glede uporabe dronov in zagovarja predhodno eksperimentiranje, pri čemer navaja razširjeno zajemanje slik, ki ga ta tehnologija omogoča, s sledenjem ljudi v njihovem gibanju, brez njihove vednosti in v potencialno dolgem časovnem obdobju.

Dodaja, da bodo te nadzorne naprave verjetno imele večji vpliv kot tradicionalne kamere na uresničevanje drugih temeljnih svoboščin državljanov (pravica do demonstracij, svoboda veroizpovedi, svoboda izražanja).

Prav tako dvomi o pogojih uporabe kamer, nameščenih v nekaterih vozilih, ter video nadzora, zlasti o prenosu slik v realnem času organom pregona.

Evropa:

• Norveški nadzorni organ namerava naložiti Grindr globa v višini 10 milijonov evrov

Aplikacija ne ponuja le pogojev uporabe »vzemi ali pusti«, ki uporabnikom ne dovoljujejo, da bi privolili v deljenje svojih podatkov ali ne, temveč jim niso bile posredovane nobene informacije o tej delitvi (občutljivih) podatkov z oglaševalsko platformo MoPub, ki jo uporablja Twitter, kar omogoča naknadno deljenje z več kot sto strankami. 

• V Italiji je organ za varstvo podatkov odredil blokiranje z TikTok din kakršna koli uporaba podatkov uporabnikov, katerih starost ni preverjena. 

TikTok obtožuje pomanjkljivega sistema preverjanja, ki tvega, da bodo mladoletniki, mlajši od 13 let, izpostavljeni neprimerni vsebini.

Ta odločitev, sprejeta nujno, sledi tragediji, ki je stala življenje desetletne deklice, ki je sodelovala v izzivu na družbenem omrežju, ki je postal viralen (igra šalov).

• Belgijski organ za varstvo podatkov je vlado opozoril na pogoje, ki jih Nacionalni urad za socialno varnost uporablja za izmenjavo osebnih podatkov in so preširoki. podatki o zdravju v zvezi s covidom.

Poziva k prilagoditvi besedila kraljevega odloka, ki določa pogoje za izmenjavo podatkov.

Mednarodno:

Zvezna država New York je pravkar sprejela zakon, ki do julija 2022 prepoveduje uporabo in nakup tehnologije za prepoznavanje obrazov in drugih biometričnih identifikatorjev v šolah.

Guverner New Yorka naroči komisarju za izobraževanje, naj izvede študijo o primernosti te tehnologije v izobraževalnem okolju.

Anne Christine Lacoste

Anne Christine Lacoste, partnerica pri Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in delala na izvajanju GDPR v Evropski uniji.