Včasih smo bolj odgovorni, kot si mislimo ... ali kot si želimo biti.

Pravna ura – september 2019.

To velja, ko na svoje spletno mesto namestite preprost vtičnik, tudi če nimate dostopa do podatkov, zbranih na ta način.

Nedavna sodba Sodišča Evropske unije, znana kot "Fashion ID", potrjuje to opažanje s pojasnitvijo odgovornosti upravljavcev spletnih strani, ki na svojo stran vstavijo ikono "všeč mi je" na Facebooku.

Vstavitev tega preprostega vtičnika ima lahko torej za posledico, da je upravljavec spletnega mesta soodgovoren za obdelavo skupaj z družbenim omrežjem, ki te podatke zbira.

S tehničnega vidika preprosta vstavitev vtičnika na spletno stran omogoča samodejno sporočanje podatkov o povezavi obiskovalcev te strani zadevnemu družbenemu omrežju, ne glede na to, ali obiskovalci kliknejo ikono vtičnika ali ne. V tem primeru so bili podatki obiskovalcev spletnega mesta Fashion ID, nemškega spletnega prodajalca modnih oblačil, tako sistematično posredovani Facebooku. To se dejansko dogaja na mnogih spletnih mestih danes, pa naj gre za spletno prodajo, novice ali bloge. In sklepanje, usmerjeno proti Facebooku v tem primeru, se lahko razširi na katero koli družbeno omrežje ali drug subjekt, ki uporablja isto tehnologijo.

Sodišče je pojasnilo, da dejstvo, da upravljavec spletnega mesta nima dostopa do tako posredovanih podatkov, ne zmanjšuje njegove odgovornosti. Odločilni dejavnik ostaja dejstvo, da skupaj s Facebookom določa namene in sredstva obdelave. Sodišče morebitno skupno odgovornost spletnega mesta in Facebooka sklepa na vzajemne gospodarske koristi, ki jih imata s tem sodelovanjem: za Facebook obogatitev svoje baze podatkov, za upravljavca spletnega mesta pa optimizacija oglaševanja njegovih izdelkov na družbenem omrežju Facebook takoj, ko obiskovalec klikne ikono »všeč mi je«.

Sodišče pojasnjuje, da se pravne odgovornosti in obveznosti razlikujejo glede na različne vidike obdelave: v tem primeru Fashion ID ne more biti odgovoren za to, kako Facebook naknadno obdeluje podatke. Facebook mora za to obdelavo zagotoviti tudi posebno pravno podlago. Vendar pa mora upravljavec spletnega mesta svoje obiskovalce ločeno obvestiti in pridobiti njihovo soglasje glede zbiranja in posredovanja teh podatkov družbenemu omrežju.

Iz te pomembne sodbe se lahko naučimo več lekcij. Zato je priporočljivo:

• Sistematično preverjajte pogoje uporabe vtičnikov na vašem spletnem mestu in morebitne pogoje prenosa podatkov tretjim osebam,
• Preverite klavzule o odgovornosti v pogodbah s temi tretjimi osebami;
• Obiskovalce posebej obvestite o tej zbirki in pridobite njihovo ločeno soglasje.

Ti previdnostni ukrepi so še toliko bolj pomembni, ker je CNIL nedavno pojasnil stroge pogoje za pridobitev soglasja v zvezi s ciljanjem spletnega oglaševanja in napovedal, da bo svoje dejavnosti spremljanja v letu 2019 osredotočil na vprašanja porazdelitve odgovornosti med različnimi stranmi, ki obdelujejo osebne podatke. 

Ta vprašanja se obravnavajo tudi na evropski ravni. EOVP, ki združuje organe Evropske unije za varstvo podatkov (CNIL), je začel razprave, v katere so bile vključene različne sektorske organizacije, da bi posodobil referenčno mnenje nadzornih organov o identifikaciji in vlogi upravljavcev, skupnih upravljavcev in obdelovalcev.

In tudi:

• v Evropi:

Brexit:

Kakšni bi bili pogoji za prenos podatkov v Združeno kraljestvo, če bi država zapustila Evropsko unijo brez dogovora? EOVP je v začetku leta 2019 objavil opombo, v kateri je podrobno opisal pogoje in različne veljavne pravne podlage. Britanski organ za varstvo podatkov na svoji uradni spletni strani odgovarja tudi na številna vprašanja.

Biometrični podatki:

Švedski organ za varstvo podatkov je 21. avgusta izdal svojo prvo sankcijo v skladu z GDPR. Šoli je bila naložena globa v višini 20.000 evrov zaradi uvedbe sistema za prepoznavanje obrazov učencev, kar je kršilo več načel GDPR: neveljavno soglasje, občutljivi biometrični podatki, pomanjkanje predhodne ocene učinka in neposvetovanje z organom za varstvo podatkov.

Oblak in zaščita podatkov:

Možnost evropskega računalništva v oblaku z usklajenimi pravili je vse bližje. 29. avgusta je v Haagu potekalo prvo srečanje deležnikov iz javnega in zasebnega sektorja na evropski in mednarodni ravni.

• na svetu:

Elektronski dokazi:

Pogoji, pod katerimi lahko pravosodni organi dostopajo do elektronskih dokazov (v nadaljevanju: e-dokazi), ki jih hranijo podjetja, so predmet razvoja v Evropi in na mednarodni ravni. Cilj je uskladiti ta pravila v Evropi, pa tudi doseči dogovor z Združenimi državami o pogojih dostopa do teh podatkov v okviru boja proti kriminalu. V skladu z ameriškim "zakonom o oblaku" imajo Združene države Amerike od marca 2018 dostop do podatkov ameriških podjetij s sedežem v Evropi. Cilj je doseči dogovor o teh pogojih dostopa na obeh straneh Atlantika v skladu s pravili o varstvu podatkov.

Standard ISO:

Novi standard ISO/IEC/27701 je bil objavljen v začetku avgusta. Gre za razširitev standardov ISO/IEC 27001 in ISO/IEC 27002, ki zajema upravljanje zasebnosti, in upošteva tudi zahteve GDPR.

1 Sodba uporablja Direktivo 95/46/ES, ki jo je razveljavila Uredba (EU) 2016/679 oziroma GDPR. Določbe o (so)odgovornosti pa so v novi uredbi ostale enake.