Analitična orodja: vpliv sodne odločbe – in obveščevalnih služb – na naša spletna mesta.

Pravna ura št. 44 – Februar 2022

Analitična orodja: vpliv sodne odločbe – in obveščevalnih služb – na naša spletna mestaSodba Sodišča Evropske unije v zadevi „Schrems II“ je bila že ob objavi julija 2020 obravnavana kot pomembna sodba v okviru varstva osebnih podatkov, natančneje prenosov v Združene države Amerike.

Danes ima vse daljnosežnejše posledice, kar je logična posledica ugotovitev Sodišča glede tveganj dostopa ameriških obveščevalnih služb do evropskih podatkov.

Te posledice zdaj vplivajo na pogosto uporabljena orodja, kot so rešitve za merjenje občinstva in pisave Google.

Prejšnji mesec smo že omenili kaskadne odločitve, ki so jih sprejeli organi za varstvo podatkov Avstrije, Nizozemske, Norveške in Nemčije, k katerim so dodane še odločitve CNIL in Lihtenštajn.

Te odločitve sledijo pritožbam (skupaj 101), ki jih je pri organih vložil Max Schrems in njegovo združenje NOYB (Evropski center za digitalne pravice), s katerimi želi zagotoviti, da GAFAM ravna v skladu s sodbo Sodišča.

Sklepi oblasti so naslednji:

• Podatki za identifikacijo piškotkov in neanonimizirani IP-naslovi, kot jih uporablja Google Analytics, so osebni podatki.

Lahko se združijo tudi z drugimi prepoznavnimi podatki, ki jih hranijo tretje osebe (obveščevalne službe).

• Dejstvo dejstvo, da se podatki zbirajo prek evropskega spletnega mesta, ni pomembno za oceno tveganja dostopa tretjih oseb. kaj je, je prenos podatkov v Združene države Amerike

• Prenosi v Združene države so dovoljeni le, če so vzpostavljeni ustrezni zaščitni ukrepi. poleg standardnih pogodbenih klavzul je treba sprejeti na primer ukrepe za odpravo tveganja dostopa tretjih oseb do podatkov.

• Organi za varstvo podatkov so menili, da Dodatna jamstva, ki jih je Google sprejel, niso bila zadostna izključiti možnost dostopa ameriških obveščevalnih služb do podatkov.

Sankcije trenutno sestavljajo predvsem opozorila in odredbe o preprečitvi uporabe inkriminiranih orodij s strani upravljavcev spletnih strani. CNIL poroča, da je v zvezi s tem sprožil več postopkov uradnega obvestila.

Čeprav se Google Analytics pogosto uporablja, vpliv teh odločitev ne bo omejen le na to: organi za varstvo podatkov razširjajo svojo analizo "na druga orodja, ki jih uporabljajo spletna mesta, zaradi katerih se podatki evropskih uporabnikov interneta prenašajo v Združene države Amerike ".

Zato so zaskrbljeni številni evropski operaterji, upravljavci lokacij v javnem ali zasebnem sektorju.

Vemo, da je preventiva boljša od kurative, in v tem primeru bi se morali obrniti – če obstajajo – na orodja, ki ne zbirajo osebnih podatkov ali jih shranjujejo na lokalnih strežnikih.

CNIL zato priporoča, da se orodja uporabljajo le za pridobivanje anonimnih statističnih podatkov, kar omogoča tudi izjemo od soglasja uporabnika.

Začela je postopek za oceno obstoječih rešitev in objavlja na svoji spletni strani rešitve, ki izpolnjujejo te zahteve, vključno z na primer Matomo, Wysistat, Beyable ali Compass.

Naj poudarimo, da je tudi najbolj krepostna orodja včasih mogoče konfigurirati na različne načine: Odgovornost vodje lokacije je, da preveri, ali privzeta konfiguracija izpolnjuje zakonske zahteve..

V trenutnih okoliščinah je omejevanje dostopa do podatkov tretjim osebam v vsakem primeru praksa, ki jo je treba spodbujati, ne glede na to, ali tveganja dostopa prihajajo z druge strani Atlantika ali od drugod.

In tudi

Francija:

CNIL bo v javno razpravo, ki bo trajala do 11. marca 2022, predložil osnutek stališča glede »pametnih« kamer. ali »povečane« v javnih prostorih.

Objavlja tudi svoj novi strateški načrt za obdobje 2022–2024, ki se osredotoča na tri prednostne osi za zaupanja vredno digitalno družbo: „spodbujanje spoštovanja pravic, promocija GDPR kot prednosti in ciljno usmerjena regulacija pomembnih tem“.

Njegove prednostne nadzorne teme za leto 2022 so komercialno raziskovanje, oblak in spremljanje dela na daljavo.

Francija začenja nacionalna kampanja ozaveščanja o kibernetski kriminaliteti, v sodelovanju z mediji, katerega cilj je usmerjanje javnosti k rešitvam na področju kibernetske varnosti. 

Evropa:

Na plenarnem zasedanju 22. februarja je Evropski odbor za varstvo podatkov (EDPB) je sprejel pismo glede Konvencije Sveta Evrope o kibernetski kriminaliteti in njenega 2. dodatnega protokola, pismo v katerem izraža zaskrbljenost glede možnosti, da vlade tretjih držav neposredno zahtevajo podatke od evropskih ponudnikov storitev.

Objavila je tudi smernice o kodeksih ravnanja kot instrumentih za mednarodni prenos podatkov in pismo o vprašanjih odgovornosti v kontekstu umetne inteligence.

Evropski odbor za varstvo podatkov je 15. februarja začel tudi svoj prvi usklajeni ukrep izvrševanja glede uporabe oblaka v javnem sektorju.

Uporaba oblaka, ki se je v EU v šestih letih podvojila, se je med pandemijo še povečala, kar ima posledice za skladnost z evropskimi pravnimi predpisi. Dvaindvajset organov za varstvo podatkov, vključno s CNIL, bo 75 javnim organom poslalo vprašalnike, da bi preverilo skladnost z GDPR in po potrebi sprožilo formalne inšpekcijske preglede.

CISPE, organizacija ponudnikov storitev infrastrukture v oblaku, je objavila, da je EOVP odobril njen kodeks ravnanja za varstvo podatkov..

Več podjetij ga je že podpisalo, vključno z Arubo, Amazon Web Services, Elogic, Leaseweb, Outscale in OVHCloud.

Zakonik zlasti določa možnost, da se uporabniki odločijo za shranjevanje podatkov v Evropskem gospodarskem prostoru.

Nadzor se lahko izvaja tudi za nevladne organizacije: Belgijski organ za varstvo podatkov je po prijavi na CNIL izdal dve sankciji proti nevladni organizaciji EU DisinfoLab in enemu od njenih raziskovalcev. Ugotovljene kršitve GDPR se nanašajo na množično zbiranje podatkov v okviru študije, katere cilj je bil ugotoviti politično usmerjenost ljudi, ki so objavili tvite o "aferi Benalla".

Belgijski organ za varstvo podatkov je v pomembni odločitvi Evropskemu uradu za interaktivno oglaševanje (IAB Europe) naložil tudi globo v višini 250.000 evrov. zaradi kršitve načel zakonitosti, lojalnosti in preglednosti, pomanjkanja tehničnih in organizacijskih ukrepov za varstvo podatkov, pomanjkanja registra, analize vpliva in imenovanja pooblaščene osebe za varstvo podatkov. Za tem seznamom kršitev stoji načelo »dražbe v realnem času« (dražba podatkov internetnih uporabnikov prek platform za upravljanje soglasij – CMP), ki je sankcionirano zaradi njegove popolne nepreglednosti za zadevne osebe.

Italijanski organ za varstvo podatkov je sankcioniral zasebni klub do 2.000 EUR, ker je svoje nadzorne kamere usmeril proti javni cesti brez jasne signalizacije, kar je v nasprotju s členi 5(1)(a), 5(1)(c) in 13 GDPR. 

Na Nizozemskem je okrožno sodišče v Haagu sankcioniralo delodajalca, ki je na skrivaj snemal telefonski pogovor svojega zaposlenega.Za sodišče sum zaposlenega, da je stopil v stik s svojimi strankami, da bi ustanovil lastno podjetje, ni dovolj za legitimizacijo tajnega snemanja klicev.

Tudi na Nizozemskem je organ za varstvo podatkov medijsko podjetje oglobil z globo v višini 525.000,00 EUR: Slednja je od ljudi, ki so uveljavljali svojo pravico do dostopa do svojih podatkov, zahtevala kopijo osebne izkaznice, kar je bila zahteva, ki je veljala za neupravičeno in v nasprotju s členom 12(2) GDPR.

Španski organ za varstvo podatkov je naložil kazen v višini 200.000 evrov proti Španski nogometni zvezi zaradi deljenja posnetka videokonference na Zoomu brez predhodne obveščenosti ali soglasja udeležencev. 

Tudi v Španiji je bil Amazonov cestni prevoz kaznovan z 2.000.000,00 EUR zaradi nezakonitega zbiranja podatkov o kazenski evidenci kot del njihovega postopka zaposlovanja.

Mednarodno:

Mednarodni odbor Rdečega križa je pravkar postal žrtev zelo sofisticiranega kibernetskega napada s potencialno resnimi posledicami. glede na občutljivost podatkov, ki jih organizacija obdeluje. Spletna stran zagotavlja zgledne informacije za javnost od 16. februarja, ki pojasnjujejo okoliščine napada, morebitna tveganja in ukrepe, sprejete za ublažitev teh tveganj.

Anne Christine Lacoste

Anne Christine Lacoste, partnerica pri Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in delala na izvajanju GDPR v Evropski uniji.