Začetek poletja so zaznamovale rekordne sankcije in novi podporni ukrepi.

Pravni pregled – julij-avgust 2019.

Z začetkom poletja se temperature dvigajo, a tudi višina glob za kršitve pravil o zasebnosti.

Zlasti je ICO, britanski nadzorni organ, napovedal svojo namero, da bo uvedel dve sankciji („obvestilo o nameri globe“) v skupnem znesku več kot 280 milijonov funtov, in sicer hotelski skupini Marriot International v protivrednosti 111 milijonov evrov in British Airwaysu v znesku več kot 200 milijonov evrov.

V obeh primerih so kršitve GDPR vključevale vdore, ki so jih omogočile napake v varnosti podatkov, zaradi katerih so bili razkriti podatki več sto tisoč strank.

ICO je 19. julija londonskega nepremičninskega posrednika oglobil z 80 milijoni funtov, ker dve leti ni zbral več kot 18.000 podatkov o strankah.

Treba je opozoriti, da se večina nedavnih sankcij osredotoča na varnostne kršitve in nezakonit dostop znotraj in zunaj podjetij.

Na drugi strani Atlantika je Zvezna komisija za trgovino Združenih držav Amerike s Facebookom dosegla poravnavo v višini petih milijard dolarjev zaradi kršitve zasebnosti internetnih uporabnikov.

Ta globa je v zgodovini FTC brez primere in ostaja ena najvišjih, kar jih je kdajkoli naložila ameriška država.

Vendar pa ostaja relativen v primerjavi z letnimi prihodki Facebooka v višini 55,8 milijarde dolarjev. V sporočilu za javnost z dne 24. julija FTC podrobneje opisuje razloge za svoje ukrepanje, ki se nanašajo na neizpolnjevanje njenih odredb o varstvu podatkov iz leta 2012.

Poleg te globe je podjetje prisiljeno prestrukturirati svoj model varstva podatkov, vključno z bolj neodvisnim nadzornim odborom od generalnega direktorja in strožjimi pravili za upravljanje aplikacij tretjih oseb in uporabniških podatkov, zlasti glede prepoznavanja obrazov, upravljanja gesel in šifriranja podatkov.

Čeprav nadzorni organi vse bolj uporabljajo svoja nadzorna pooblastila, hkrati zagotavljajo, da prakse podjetij usmerja pravni okvir.

CNIL je tako 18. julija sporočil pravila, ki veljajo za piškotke, sledilnike, nameščene na uporabnikovih terminalih in ki omogočajo zlasti ciljanje oglaševanja.

CNIL posodablja zahteve za pridobitev soglasja uporabnikov interneta: to soglasje ne more biti več implicitno in mora izhajati iz jasnega dejanja posameznika.

Zidovi piškotkov, ki preprečujejo dostop do spletnega mesta, če piškotkov ne sprejmete, so prepovedani.

To razlago veljavnosti privolitve je Evropski odbor za varstvo podatkov že pojasnil v sporočilu za javnost iz maja 2018.

To potrjuje besedilo GDPR in bi moralo biti podrobneje pojasnjeno v prihodnji uredbi o „zasebnosti in elektronskih komunikacijah“, ki bo nadomestila Direktivo 2002/58/ES o e-zasebnosti.

Novo priporočilo CNIL bo pojasnilo praktične ureditve za pridobitev soglasja, podjetjem pa bo dano šestmesečno prilagoditveno obdobje, da se bodo lahko prilagodila zakonodaji.

In tudi:

V Evropi:

Evropska komisija je 24. julija objavila poročilo, v katerem je leto dni pozneje ocenila izvajanje GDPR.

Opredeljuje ukrepe, ki jih izvajajo nadzorni organi, krepitev njihovega sodelovanja ter prizadevanja zasebnega sektorja za skladnost s predpisi.

Komisija napoveduje svojo namero, da bo ta prizadevanja podprla z različnimi orodji, kot so standardne pogodbene klavzule, kodeksi ravnanja in mehanizmi certificiranja, s posebnim poudarkom na malih in srednje velikih podjetjih.

Z mednarodnega vidika bi lahko bila Južna Koreja naslednja država, ki bi imela koristi od ustrezne ravni zaščite, ki bi olajšala prenos podatkov. Komisija preučuje druge vrste večstranskih sporazumov za lažjo mednarodno izmenjavo podatkov.

V svetu:

• ZDRUŽENE DRŽAVE AMERIKE:

V ameriškem senatu se pojavljajo pozivi k sprejetju zveznega zakona o varstvu podatkov.

Zakonodajo v ta namen je senator Ron Wyden predstavil novembra 2018.

Na ravni zveznih držav je Kalifornija pionir: CCPA, Kalifornijski zakon o varstvu zasebnosti potrošnikov (California Consumer Privacy Act), bo začel veljati 1. januarja 2020, vendar ga trenutno spreminja ameriški senat. Pogosto ga primerjajo z GDPR, zlasti glede pravic posameznikov, na katere se nanašajo osebni podatki, do informacij in ugovora, vendar se razlikuje zlasti po svojem obsegu, ki se osredotoča na varstvo potrošnikov.

Azija:

V prvi polovici julija je v Singapurju potekala vrsta dogodkov, povezanih z varstvom osebnih podatkov, ki so na različnih prizoriščih združili strokovnjake iz sektorja.

 Razprave na Azijsko-pacifiškem forumu je povzel IAPP.

Poudarjajo odgovornost podjetij in nadzor s strani regulativnih organov.