GDPR eno leto kasneje: kakšne so lekcije in kakšne možnosti?

Pravni pregled – junij 2019.

25. maja 2018 je začela veljati Splošna uredba o varstvu podatkov.

To novo besedilo je prineslo številne spremembe v poslovnih praksah, bodisi na ravni njihove notranje organizacije bodisi v stikih s strankami.

Čeprav je varstvo podatkov v Franciji že od leta 1978, na evropski ravni pa od leta 1995 vključeno v pravni okvir, je ta uredba dala nov zagon temu, kar predstavlja tako človekovo pravico kot tudi ekonomsko vprašanje. In denarne kazni, predvidene v novem besedilu, temu niso tuje.

Kakšno je praktično stanje glede skladnosti, ukrepov CNIL in njenih evropskih kolegov?

V Franciji se je dramatično povečalo število pritožb, varnostnih obvestil in zahtev za informacije, naslovljenih na CNIL. Nadzorni organ je konec maja objavil statistično poročilo o prvem letu, v katerem je poročal o več kot 11.900 pritožbah (+30 %) in 2.044 obvestilih o kršitvah podatkov. CNIL še naprej preiskuje številne primere, od katerih nekatere potekajo v sodelovanju z evropskimi sosedami. Tako je vključen v 800 mednarodnih postopkov.

CNIL je poleg podpore podjetjem pri njihovih prizadevanjih za skladnost s predpisi izdal tudi številne sankcije. Oglejmo si nekatere od njih podrobneje:

• Najbolj spektakularna sankcija je nedvomno tista, ki je bila naložena Googlu, in sicer v rekordnem znesku petdeset milijonov evrov.

• Dve drugi, veliko skromnejši sankciji si kljub temu zaslužita posebno pozornost, saj sta bili predloženi državnemu svetu, ki je preučil njuno sorazmernost.

• V enem od primerov z dne 17. aprila 2019 je Državni svet potrdil kazen v višini 75.000 EUR: po uradnem obvestilu in več ponovljenih zahtevah CNIL Adef (Združenje za razvoj stanovanj) še vedno ni odpravil varnostne napake, ki je omogočala spletni dostop do dokumentov prosilcev za stanovanja. Čas, ki ga je združenje potrebovalo za izvedbo zahtevanih popravnih ukrepov, je bil eden od odločilnih dejavnikov za Državni svet.

• V drugem primeru, prav tako z dne 17. aprila 2019, je državni svet znižal znesek kazni, ki jo je CNIL naložil podjetju Optical Center: podjetje je dejansko v dveh dneh po obvestilu CNIL odpravilo varnostno napako, ki je omogočala dostop do računov strank prek njegove spletne strani. Kazen se je znižala z 250.000 na 200.000 evrov.

• Ta kratek pregled bomo zaključili z najnovejšo sankcijo z dne 13. junija 2019, ki je tokrat pomembna, ker se nanaša na zelo majhno podjetje: podjetje Uniontrad je vzpostavilo sistem video nadzora, ki je svoje zaposlene postavil pod stalen nadzor.

V tem primeru je CNIL podjetje dvakrat opozoril, preden mu je uradno naročil spremembo praks, ne da bi bili zahtevani ukrepi sprejeti do konca določenega roka. CNIL je 18. junija izdal upravno globo v višini 20.000 EUR, pri čemer je upošteval velikost in finančno stanje podjetja.

Sklep, ki izhaja iz teh različnih primerov, je, da bodo sankcije verjetno izrečene tako multinacionalkam kot manjšim podjetjem ali združenjem. Poleg tega vse odločitve poudarjajo pomen odzivnosti upravljavca podatkov, ko se odkrije kršitev, in vpliv te odzivnosti na višino morebitne sankcije.

Kaj pa naši evropski sosedje?

Vsi kazalniki kažejo na povečanje pritožb in preiskav organov za varstvo podatkov, pa tudi na višino sankcij.

V vseh organih za varstvo podatkov v Evropskem gospodarskem prostoru je nekaj več kot 280.000 primerov, vključno s približno 144.000 pritožbami in 89 kršitvami varnosti. Konec maja je bilo v preiskavi 371 organov za varstvo podatkov.

Pobuda za seznam različnih sankcij na evropski ravni, ki jo je posodobilo nemško svetovalno podjetje, ponuja celovit pregled ukrepov nadzornih organov: https://www.enforcementtracker.com.

Najvišje kazni, poleg tiste, ki jo je CNIL sprejel v zvezi z Googlom, je naložila Portugalska, ki je bolnišnici naložila globo v višini 400.000 evrov zaradi nezaščite podatkov o pacientih; CNIL je nepremičninski agenciji spet naložil globo v višini 400.000 evrov; in Španija zaradi aplikacije za pametne telefone, ki na skrivaj uporablja mikrofone telefonov posameznikov. Španska profesionalna nogometna liga je bila zaradi te kršitve kaznovana z globo v višini 250.000 evrov in se je na to odločitev pritožila.

Proti usklajevanju javnih organov onkraj GDPR?

Pomembna novost se nanaša na sodelovanje javnih organov s ciljem povečanja njihove skladnosti in učinkovitosti. Te pobude se nanašajo zlasti na organe za varstvo podatkov, tiste, ki so odgovorni za vprašanja konkurence, in tiste, ki so odgovorni za varstvo potrošnikov.

Razprave, ki jih je leta 2016 začel Evropski nadzornik za varstvo podatkov v okviru projekta "digitalna klirinška hiša", zdaj vodi akademski sektor in jih podpira resolucija Evropskega parlamenta.

Projekt zdaj združuje organe iz Evrope in drugih celin. Razvite sinergije se osredotočajo na varstvo posameznikov v kontekstu digitalnega gospodarstva in "velikih podatkov". Na srečanju 5. junija 2019 se je zbralo 25 nadzornih organov iz Evropske unije in drugod. Obravnavali so dve glavni vprašanji, ki se nanašata na Facebook in Microsoft. Organi se v razpravah osredotočajo tudi na razvoj storitev z nedenarnim nadomestilom. Z drugimi besedami, v kolikšni meri lahko sprejmemo, da posamezniki plačujejo s svojimi podatki v zameno za digitalno storitev?

Konkretne smernice o tem vprašanju se pričakujejo jeseni, po naslednjem srečanju nadzornih organov. To bi lahko bil pomemben napredek glede na izzive digitalnega gospodarstva.

In tudi:

• V Franciji: CNIL objavlja novo različico svojega orodja, ki bo upravljavcu podatkov pomagalo pri analizah učinka (AIPD).

• v Evropi Proti strožji razlagi pravil o elektronskem iskanju potencialnih strank? Več nadzornih organov je napovedalo, da pregledujejo svojo razlago glede pridobivanja soglasja posameznikov, na katere se nanašajo osebni podatki, in piškotkov. Med njimi so Belgija, Francija, Združeno kraljestvo in Nizozemska. Treba je opozoriti, da je Evropski odbor za varstvo podatkov v sporočilu za javnost maja 2018 že izrecno odločil proti uporabi „piškotkovnih zidov“, ki dostop do spletnega mesta pogojujejo s soglasjem obiskovalcev.

• na svetu: Da bi ocenili potrebo po zakonu, ki bi urejal algoritme, je Odbor za trgovino ameriškega senata na zaslišanju 25. junija preučil, kako podjetja, kot so Google, YouTube in Facebook, uporabljajo umetno inteligenco za vplivanje