GDPR: sodna praksa postaja jasnejša!

GDPR: sodna praksa postaja jasnejša! CNIL se je že odlikoval z rekordno globo v višini 50 milijonov evrov, ki jo je januarja naložil Googlu, ker svojih strank ni obvestil o uporabi Androida, kar je junija potrdil tudi državni svet.

Francoski organ za varstvo podatkov je danes kaznoval Carrefour France in Carrefour Banque z 2.250.000 oziroma 800.000 evri kazni.

Čeprav je CNIL od uveljavitve GDPR že sprejel številne represivne ukrepe, nam posvetovanje 18. novembra pove nekaj več o njegovi oceni kršitev zakona in razlogih, ki vodijo njegove odločitve.

Sprožilci za preiskavo

Na splošno CNIL začne preiskavo bodisi po vložitvi pritožbe ali posebnega poročila bodisi na lastno pobudo v okviru svojih nadzornih misij.

V slednjem primeru bodo kontrole obsežneje zajemale tiste, ki so odgovorni za predhodno opredeljen sektor. 

CNIL je tako v svoji strategiji nadzora za leto 2020 opredelil več prednostnih nalog, ki so predmet podrobnejših preverjanj: zdravstveni podatki, geolokacija za lokalne storitve ter piškotki in drugi sledilniki.

V tem primeru sta bili podjetji Carrefour France in Carrefour Banque predmet preiskave po vložitvi 15 pritožb pri CNIL med junijem 2018 in aprilom 2019.

Te pritožbe so se nanašale na prakse komercialnega iskanja potencialnih strank in nespoštovanje pravic do dostopa do podatkov in njihovega izbrisa.

CNIL je v prostorih podjetij opravil več spletnih preverjanj in konec januarja 2019 začel formalno preiskavo.

Kontradiktorni postopek je privedel do več izmenjav opažanj med družbo in poročevalcem CNIL, ki so dosegle vrhunec z uradno razpravo 18. novembra.

Razlogi za odločitev

CNIL ugotavlja neizpolnjevanje številnih členov GDPR:

• Obveznost obveščanja posameznikov (13. člen GDPR)

Informacije, ki so bile posameznikom posredovane v zvezi z obdelavo njihovih podatkov, so bile težko dostopne, nepopolne in skrite v dolgih besedilih o drugih temah.

CNIL kritizira uporabo preveč nejasnih izrazov: skoraj sistematična (…) uporaba izrazov, kot so "ta zdravljenja vključujejo zlasti enega ali več naslednjih razlogov" Ali "Vaši podatki se lahko uporabijo" ne omogočajo zadevnim osebam, da bi v celoti razumele izvedeno obdelavo.

• Piškotki (82. člen Zakona o varstvu podatkov)

Ob prihodu na spletno mesto je bil vsakemu obiskovalcu predstavljenih 39 piškotkov, še preden jih je imel možnost sprejeti ali zavrniti.

Trije od teh piškotkov so pripadali rešitvi Google Analytics, katere cilj je bil ciljno oglaševanje usmeriti na internetne uporabnike.

Podatki obiskovalcev spletnega mesta Carrefour.fr so bili torej zbrani v nasprotju z 82. členom zakona o varstvu podatkov.

Za več informacij o sledenju uporabnikom interneta je CNIL 1. oktobra objavil posodobitev svojih smernic.

• Obdobje hrambe podatkov (člen 5.1.e GDPR)

CNIL meni, da je obdobje hrambe podatkov o strankah (4 leta) predolgo: stranka, ki več let ni poslovala s podjetjem, ne bi smela več veljati za aktivno stranko. 

Komisija se sklicuje na svojo doktrino o tej temi, ki priporoča najdaljše obdobje hrambe treh let: navaja stari poenostavljeni standard št. 48, ki se nanaša na datoteke potencialnih strank in spletno prodajo, ter svoj nedavni osnutek referenčnega okvira, ki se nanaša na obdelavo osebnih podatkov, ki se izvaja za namene upravljanja komercialnih dejavnosti.

• Uveljavljanje pravic (12. člen GDPR)

Postopek, ki ga je uvedel Carrefour France, je od prosilcev zahteval dokazilo o identiteti v okoliščinah, ko to ni bilo potrebno, ker je bila identiteta strank ugotovljena.

Poleg tega so časi obdelave zahtev v več primerih presegli zakonske zahteve.

• Spoštovanje pravic (členi 15, 17 in 21 GDPR in L34-5 Zakonika o pošti in elektronskih komunikacijah)

CNIL je opazil več primerov, ko se pritožniki niso odzvali na zahteve za dostop, ugovor in izbris podatkov.

• Obveznost poštene obdelave podatkov (5. člen GDPR)

Določeni podatki (poštni naslov, telefonska številka, število otrok), posredovani ob spletni prijavi za kreditno kartico Carrefour (kartica Pass), so bili posredovani programu zvestobe Carrefour, kar je v nasprotju z informacijami, ki so bile posredovane zadevnim osebam.

• Kršitev varnosti (32. člen GDPR)

CNIL je končno opazil ranljivost, ki omogoča spletni dostop do računov strank, in poudarja, da uvedeni ukrep, in sicer dodajanje niza naključnih znakov, sam po sebi ni zadosten za odpravo takšne ranljivosti.

CNIL poudarja, da ANSSI na to ranljivost, povezano z URL-naslovi, opozarja že od leta 2013.

Po odkritju ranljivosti bi moral biti uveden obvezen sistem predhodne avtentikacije.

Prizadevanja za skladnost in ustrezne sankcije

Podjetja so med postopkom sodelovala s CNIL in sprejela vse potrebne ukrepe za uskladitev obdelave podatkov z zakonom.

Čeprav CNIL poudarja to sodelovanje, kljub temu sankcionira odgovorne zaradi resnosti kršitev: te gre za resne pomanjkljivosti in prizadenejo veliko število ljudi.

Vendar smo še vedno daleč od najvišje kazni, ki bi jo lahko naložila CNIL, in sicer 4% prometa. 

Za izračun tega prometa, ki služi kot osnova za izračun osnove za globo, CNIL najprej identificira zadevno podjetje.

Meni, da je za oceno pojma podjetja v skladu s členoma 101 in 102 PDEU primerno upoštevati promet, ki ga je ustvarila družba CARREFOUR FRANCE in hčerinske družbe, ki so v njeni lasti in so imele korist od obdelave. 

Promet tega podjetja (…) tako v letu 2019 znaša 14,9 milijarde evrov.

Vendar pa omejeno usposabljanje CNIL upošteva tudi specifično naravo ekonomskega modela množične distribucije, za katerega je značilna še posebej visoka fluktuacija, a nizke marže. 

Zaradi teh elementov se je odločila za globo v višini 2.250.000 evrov proti družbi Carrefour France in 800.000 evrov proti družbi Carrefour Banque.

Resnost kršitev upravičuje tudi objavo odločitve in predstavlja način obveščanja številnih vpletenih.

Pravna sredstva

Odločitev CNIL predstavlja akt upravnega organa, zoper katero se je mogoče pritožiti pri državnem svetu v dveh mesecih od njene vročitve. 

In tudi

Francija:

• Dogodek, ki ga je CNIL organiziral 23. novembra prenosljivost podatkov je na voljo na spletu na spletni strani organa.

• Da bi ozavestili občine in medobčine o – zelo resničnih – tveganjih kibernetskih napadov, ANSSI objavlja vodnik po vprašanjih kibernetske varnostiNamen tega priročnika je prepričati izvoljene uradnike, da vlagajo v razvoj zaščite svojih informacijskih sistemov.

Evropa:

• Belgijski organ za varstvo zasebnosti je 26. novembra sklenil poravnavo memorandum o soglasju z DNS Belgium začasno ukiniti domenska imena ».be« spletnih mest, ki kršijo GDPR.

• Evropska komisija bo o tem odločala pred 8. januarjem.Google prevzame FitBit, prevzem, ki sproža vprašanja na področju varstva podatkov in konkurence.

• Evropska komisija je 12. novembra objavila osnutek standardnih pogodbenih klavzul, ki je bil štiri tedne odprt za pripombe.

Ta revidirana različica si prizadeva odpraviti posledice zdaj že znane sodbe Schrems II in omogočiti prenosi podatkov v Združene države Amerike v skladu z evropsko zakonodajo.

Sklicujemo se tudi na priporočila Evropskega odbora za varstvo podatkov o isti temi, sprejeta 10. novembra.

• Nova evropska uredba o digitalnih storitvah naj bi bila objavljena v začetku decembra.

Cilj Komisije je, da regulirati "velike tehnološke" tako da mikropodjetjem/malim in srednje velikim podjetjem omogoči razvoj storitev, opolnomočenje digitalnih akterjev in boj proti spletnim dezinformacijam.

Mednarodno:

• Nova kanadska zakonodaja o varstvu osebnih podatkov je postala učinkovitejša, z visokimi globami za kršitve njenih načel.

• Združene države Amerike: Zakon o pravicah do zasebnosti v Kaliforniji (»CPRA«) je bil sprejet 3. novembra.

To novo besedilo vzpostavlja nadzorni organ, Kalifornijsko agencijo za varstvo zasebnosti, ki ima pooblastilo za nalaganje finančnih kazni.

Je prvi nadzorni organ v tem sektorju v Združenih državah Amerike.

Anne Christine Lacoste

Anne Christine Lacoste, partnerica pri Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in delala na izvajanju GDPR v Evropski uniji.