Pravni ukrepi: nova dinamika za skupinske tožbe?

Pravna ura št. 53 – November 2022

Pravni ukrepi: nova dinamika za skupinske tožbe? Pravna sredstva v zvezi z vprašanji varstva osebnih podatkov so v Franciji in Evropi še vedno redka.

Čeprav mediji redno poročajo o sankcijah proti tehnološkim velikanom, so te sankcije predvsem delo nadzornih organov.

Zlasti je škodo pogosto težko oceniti v primerih kršitve zasebnosti zaradi stroškov pravnih postopkov.

Razmere bi se lahko kmalu spremenile s prenosom Direktive (EU) 2020/1828 o zastopniških tožbah na nacionalni ravni.

Države članice imajo do 25. decembra letos čas, da se uskladijo s to direktivo, katere cilj je zaščititi kolektivne interese potrošnikov.

Skupinske tožbe v Franciji že obstajajo, njihov obseg pa se je postopoma širil. Skupinske tožbe obstajajo od zakona o potrošniških zadevah z dne 17. marca 2014.

Z zakonom z dne 18. novembra 2016, ki je v Zakon o varstvu podatkov ustvaril nov 43. člen, je bila postopoma razširjena na različna področja, vključno z osebnimi podatki.

Besedilo kljub temu omejuje pravico do vložitve skupinske tožbe na odobrena združenja za varstvo potrošnikov, združenja, starejša od petih let, katerih zakonski namen je varstvo zasebnosti, in na sindikalne organizacije, ki zastopajo zaposlene ali javne uslužbence.

Ta pravni okvir ni dovoljeval odškodnine za škodo zadevnim osebam.

To je zdaj mogoče, saj je bil 20. junija 2018 sprejet zakon, ki Zakon o varstvu podatkov prilagaja GDPR.

Skupinska tožba zdaj omogoča odškodnino za materialno in moralno škodo pred sodiščem.

GDPR omogoča tudi pridobitev takšnega pravnega sredstva z pooblastilom organov, organizacij ali združenj, da v njihovem imenu vložijo pritožbo pri nadzornem organu.

Francija torej danes ni na najslabšem položaju glede reprezentativnih tožb, kar kažejo na primer dejanja organizacij, kot je La Quadrature du Net, ki je zelo aktivna na področju varstva podatkov.

Druge države pa gredo še dlje.

Skupinska tožba v Franciji temelji na »privolitvi« in vključuje le osebe, ki se izrecno pridružijo postopku, za razliko od "skupinske tožbe", ki a priori vključuje vse osebe, ki ustrezajo profilu oškodovancev, in jim daje možnost umika iz postopka. V takem primeru govorimo o "izključitvi".

Čeprav sta ti dve vrsti postopkov v Evropi še vedno relativno redki, je skupinska tožba v smislu postopka »izključitve« še redkejša.

Nizozemska dovoljuje obe vrsti pritožbe.

V zadnjih dveh letih je bilo tam ustanovljenih več fundacij z namenom vlaganja skupinskih tožb.

Te fundacije so na primer napadle protikonkurenčno vedenje Appla in Googla, prakse zbiranja podatkov podjetij TikTok, Salesforce in Oracle ter Airbus in Airbnb.

Dejstvo, da lahko predstavniška organizacija zahteva odškodnino za celoten razred tožnikov, razen če se ti "ne odločijo za uveljavljanje pravice", je pomembna sprememba pri skupinskih tožbah na področju varstva podatkov, kjer so individualne odškodnine običajno nizke.

Zaradi ekonomsko upravičene narave takšnih tožb je Nizozemska postala vodilna evropska jurisdikcija za skupinske tožbe., in povečuje se financiranje te vrste organizacij s strani tretjih oseb.

Danes je Twitter na Nizozemskem tožen zaradi sledenja svojim uporabnikom.

Enako velja za druge priljubljene aplikacije, vključno s Shazamom in Vintedom, pa tudi za bolj občutljive aplikacije, kot sta Grindr in aplikacije za sledenje menstrualnemu ciklu.

Evropska direktiva državam EU dovoljuje, da izberejo model privolitve ali zavrnitve, razen pri tožbi za prepoved, ki – logično – določa možnost zavrnitve.

Treba je opozoriti, da besedilo organizacijam daje možnost vložitve čezmejnih tožb in jim daje možnost izbire med več jurisdikcijami. Tožba se lahko vloži v državi članici, kjer ima tožena družba registrirani sedež, pa tudi v kateri koli državi članici, kjer ima podružnico, in v državi stalnega prebivališča oškodovanca.

Francija se bo zato morala pripraviti na obravnavo vseevropskih pritožb.

Prav tako bo morala prilagoditi svoj pravni okvir Načelo »poraženec plača« glede odvetniških honorarjev in stroškov postopka ter zagotoviti postopek odkrivanja, kot obstaja v državah običajnega prava in ki z obrazloženo odločitvijo sodnika dovoljuje predložitev dokumentov, ki so koristni za spor (kot je identiteta oškodovancev).

Čeprav bodo v prihodnjih mesecih pojasnjeni pogoji za uporabo direktive, se zdi že zdaj gotovo, da bo vplivala na število reprezentativnih tožb v Evropi.

Dobro bi se bilo na to pripraviti in pozorno spremljati njegov prenos v Franciji.

In tudi

Francija:

CNIL je družbi DISCORD INC. naložil globo v višini 800.000 evrov. zaradi neizpolnjevanja več obveznosti iz GDPR, zlasti glede obdobij hrambe podatkov in varnosti osebnih podatkov.

CNIL poudarja tudi pomanjkanje privzetega varstva podatkov: uporabniki niso bili obveščeni, da se njihovi pogovori še vedno lahko slišijo, ko so mislili, da so zapustili glasovno klepetalnico.

Nazadnje so podjetje kritizirali, ker pred uvedbo tretmajev ni izvedlo analize vpliva.

Komisija je 24. novembra objavila tudi akcijski načrt, namenjen podpori skladnosti mobilnih aplikacij in varovanju zasebnosti uporabnikov.

Namerava poglobiti svoje strokovno znanje, podpirati strokovnjake in obveščati državljane, na primer v obliki vodnikov in priporočil.

Nenazadnje bo izvajala ciljno usmerjene preglede in po potrebi sprejela represivne ukrepe proti organizacijam, ki ne spoštujejo svojih obveznosti.

Po velikem številu pritožb je CNIL pojasnil pogoje, pod katerimi lahko organizacije dopolnilnega zdravstvenega zavarovanja zbirajo zdravstvene podatke.

Ugotavlja, da veljavna besedila niso dovolj natančna, in priporoča sprejetje zakona.

1. januar 2023 bo zaznamoval konec papirnatih računov.

Ta ukrep "proti odpadkom" sproža vprašanja o varstvu zasebnosti, saj bodo trgovci lahko identificirali celotno bazo strank, vključno s tistimi, ki nimajo kartice zvestobe.

CNIL je v svoji beli knjigi poudaril, da e-poštnega naslova, zbranega za pošiljanje potrdila ali elektronskega plačila, ni mogoče uporabiti za komercialno iskanje potencialnih strank, saj sta ta dva namena precej različna.

Pomembno bo pridobiti soglasje zadevne osebe ali pa jo v primeru iskanja izdelkov ali storitev, podobnih tistim, ki jih podjetje že ponuja, ob zbiranju podatkov predhodno obvestiti o namenih in možnosti ugovora.

Kasacijsko sodišče je v svoji sodbi z dne 7. novembra menilo, da lahko koda za odklepanje začetnega zaslona telefona predstavlja "dešifrirni ključ".

Če je verjetno, da je bila uporabljena pri pripravi ali storitvi kaznivega dejanja ali prekrška, mora njen imetnik preiskovalcem posredovati kodo za odklepanje začetnega zaslona.

Če zavrne posredovanje te kode, stori kaznivo dejanje "zavrnitve izročitve tajnega sporazuma o dešifriranju", ki se kaznuje z denarno kaznijo in zaporom.

Evropa:

16. novembra 2022 je začela veljati uredba o digitalnih storitvah (DSA).

Ta uredba določa nove odgovornosti za digitalne platforme, da bi omejili širjenje nezakonitih vsebin in izdelkov, povečali zaščito mladoletnikov ter uporabnikom zagotovili večjo izbiro in boljše informacije.

Evropski odbor za varstvo podatkov (EDPB) je objavil svoja priporočila o postopku odobritve in elementih, ki jih je treba vključiti v zavezujoča poslovna pravila (BCR) za upravljavce podatkov.

Dokument je na voljo za javno obravnavo do 10. januarja 2023.

Evropski nadzornik za varstvo podatkov (EDPS) je objavil svoje mnenje o predlagani uredbi o kibernetski varnosti.

Namen besedila je opredeliti zahteve glede kibernetske varnosti na ravni EU za širok nabor strojne in programske opreme, kot so brskalniki, operacijski sistemi, požarni zidovi, sistemi za upravljanje omrežja, pametni števci ali usmerjevalniki.

ENVP priporoča, da se načela varstva podatkov v to besedilo vključijo že po zasnovi in privzeto.

Poudaril je tudi, da evropski certifikat za kibernetsko varnost ne more nadomestiti certifikata GDPR.

ENVP je podal tudi pripombe na predlog uredbe o vzpostavitvi skupnega okvira za medijske storitve: V svojem mnenju z dne 14. novembra poudarja neustreznost ukrepov, predvidenih za zaščito novinarjev, njihovih virov in ponudnikov medijskih storitev.

Priporoča pojasnitev, da bi bil od te zaščite upravičen vsak novinar, in poziva k nadaljnji zožitvi izjem, ki dovoljujejo prestrezanje komunikacij z vohunsko programsko opremo ali drugimi oblikami nadzora.

Po dveh letih pogajanj z Microsoftom je skupni odbor nemškega zveznega organa za varstvo podatkov in 16 državnih regulatorjev izdal izjavo, ki bo verjetno imela daljnosežne posledice: upravljavci podatkov trenutno v skladu z GDPR ne morejo zakonito uporabljati MS365.

Nizozemski organ za varstvo podatkov je 14. novembra svoji vladi izdal opozorilo, v katerem jo je odvrnil od uporabe ameriških storitev v oblaku. Vlado poziva, naj uporabi evropske alternative.

Madžarska agencija za varstvo podatkov (DPA) je upravljavcu spletne strani z vremenskimi napovedmi naročila, naj preneha prenašati podatke v Združene države Amerike prek Googla.

Organ za varstvo podatkov je ugotovil, da je upravljavec spletnega mesta uporabljal Google Analytics, ne da bi uvedel ustrezne zaščitne ukrepe za prenos podatkov v Združene države Amerike.

Irski svet za državljanske svoboščine je 17. novembra v pismu Evropski komisiji poudaril, da Meta krši GDPR in ne more biti v skladu z uredbo o digitalnih trgih (DMA).

ICCL se sklicuje na nedavno odpečatene sodne dokumente v Kaliforniji, ki pravijo, da Meta ni odgovorila na zahtevo po informacijah o tem, kaj počne 149 njenih sistemov za obdelavo podatkov, kar kaže na to, da delovanje teh sistemov ljudem ni bilo razumljivo.

Irska komisija za varstvo podatkov je 25. novembra izdala odločitev v preiskavi o strganju podatkov s strani Facebooka, ki se nanaša na spletno dostopnost osebnih podatkov več kot 530 milijonov uporabnikov.

Načela, ki so bila v igri, so se nanašala na vgrajeno in privzeto varstvo podatkov, kot je določeno v GDPR.

Sklep nalaga upravne globe v skupni višini 265 milijonov evrov in popravne ukrepe.

Meta se v Evropi sooča s tremi drugimi postopki kršitve GDPR.

To se nanaša na splošne pogoje Facebooka, pa tudi na Instagram in WhatsApp.

Ugotovitve Evropskega odbora za varstvo podatkov (EDPB) o slednjem naj bi bile objavljene 5. decembra in so nestrpno pričakovane. 

Nanašajo se na pravno podlago za zbiranje podatkov uporabnikov družbenih medijev.

Meta je to pravno podlago spremenila iz privolitve v nujnost obdelave na podlagi pogodbe, kar ima pravne posledice, ki bi, če bi jih odobrili organi za varstvo podatkov, daleč presegle kontekst tega primera.

Urad informacijskega pooblaščenca je 17. novembra objavil posodobitev svojih smernic o mednarodnih prenosih podatkov.

Ta posodobitev vključuje nov razdelek o ocenah tveganja prenosa (TRA) in orodje za kontrolorje.

Združeno kraljestvo je s Korejo sklenilo sporazum o prenosu osebnih podatkov, ki bo začel veljati 19. decembra.

Pravi, da je njen sporazum "širši" od sporazuma EU in podjetjem omogoča prenos podatkov v zvezi s kreditnimi informacijami.

Mednarodno:

Google se je strinjal, da bo plačal rekordnih 391,5 milijona dolarjev odškodnine zaradi kršitev zasebnosti v 40 ameriških zveznih državah.

Primer se nanaša na prakse geolokacije podjetja: po mnenju generalnih državnih tožilcev so bili uporabniki zavajani glede pogojev za deaktivacijo geolokacije v nastavitvah svojega računa.

Evropski organi za varstvo podatkov so opozorili, da aplikaciji Ehteraz in Hayya, ki ju katarske oblasti nalagajo za vstop v državo, povzročata ogromne kršitve zasebnosti. z omogočanjem obsežnega dostopa do uporabniških podatkov, vključno s podatki o lokaciji in podatki o klicih.

CNIL je ljudem, ki potujejo v Katar, priporočil uporabo praznega ali ponastavljenega telefona.

Globalni nadzor zasebnosti, ustanovljen oktobra 2020, zdaj beleži naraščajočo uporabo zaradi sprejetja s strani večjih založnikov in spletnih platform za upravljanje soglasij.

GPC uporabnikom omogoča, da z enim klikom na ravni brskalnika zavrnejo prodajo osebnih podatkov za vsa ali nekatera spletna mesta.

Za razliko od rutin za odjavo, ki pogosto naložijo vsebino in začnejo zbirati podatke, še preden ima uporabnik možnost odjave, GPC spoštuje uporabnikovo izbiro, še preden se spletno mesto naloži.

Anne Christine Lacoste

Anne Christine Lacoste, partnerica pri Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in delala na izvajanju GDPR v Evropski uniji.