Do Evrope varstva podatkov: pot je dolga.

Pravna ura št. 36 – Junij 2021

Do Evrope varstva podatkov: pot je dolgaSplošna uredba o varstvu podatkov je ob začetku veljavnosti vzbudila veliko upov glede jasnosti in učinkovitosti.

Čeprav je evropska direktiva, ki jo je nadomestila, že zagotavljala relativno natančen in zavezujoč pravni okvir, je bila uredba GDPR namenjena omogočanju usklajenega izvajanja teh načel, ne glede na to, kje se zadevna podjetja nahajajo v Evropski uniji.

Nadzorni organi so morali veljavne sankcije, revidirane navzgor, oceniti tudi z uporabo koherentne analitične mreže.

Pravzaprav se zdi, da obstaja veliko pasti, ki še vedno omejujejo to dolgo pričakovano uskladitev.

Nemški komisar Johannes Caspar, ki po dvanajstih letih na čelu hamburškega državnega nadzornega organa končuje svoj mandat, vztraja in junija letos podpiše pogodbo z obsodbo pomanjkljivosti pri izvajanju GDPR.

Vzrok so dolgi in zapleteni postopki, preden lahko vsi organi, ki se sestajajo v okviru Evropskega odbora za varstvo podatkov (EDPB), dosežejo skupno stališče.

GDPR je vzpostavil tako imenovani postopek „vse na enem mestu“, ki določa pristojnost vodilnega organa, tj. organa države glavnega sedeža podjetja, ki ga preiskava zadeva.

Ta vodilni organ mora kljub temu sodelovati z drugimi zadevnimi nacionalnimi organi v različnih fazah postopka.

V praksi gre za centralizacijo preiskav pod okriljem irskega organa, ki je pristojen za vodenje večine primerov proti GAFAM s sedežem na njegovem ozemlju. Pri omenjenem organu naj bi potekalo osemindvajset postopkov, ki so kritizirani zaradi počasnih in popustljivih postopkov v zvezi z velikimi tehnološkimi podjetji, kot sta Facebook in Twitter, kar naj bi povzročilo dolge in težke razprave s kolegi znotraj ENVP.

Pooblaščenec hamburškega organa poziva nadzorne organe, naj pravočasno dajo jasne in odvračilne signale, da bodo upravljavci podatkov ravnali podobno, ne glede na to, kje v Evropski uniji se nahajajo, in brez izkrivljanja konkurence.

Treba je opozoriti, da je to vprašanje opredelil sam odbor v svojem letnem poročilu za leto 2020 in da je izboljšanje sodelovanja med organi ena od njegovih prednostnih nalog za obdobje 2021–2022.

Dodajmo še, da ima sistem "vse na enem mestu", čeprav trpi zaradi postopkovne okornosti, prednost za vsakega državljana Evropske unije, da lahko vloži pritožbo pri svojem nacionalnem nadzornem organu, tudi če ima upravljavec podatkov sedež v drugi državi, pri čemer so pristojni organi odgovorni za sodelovanje pri obravnavi pritožbe.

Če pritožnik ni zadovoljen z izidom preiskave, lahko poišče pravno sredstvo tudi v svoji državi.

Evropsko sodišče je v sodbi z dne 15. junija opozorilo tudi na manevrski prostor organov, ki niso vodilni organi pri obravnavi čezmejne pritožbe.

V okviru spora med Facebookom (s sedežem na Irskem) in belgijskim organom za varstvo podatkov je Sodišče tako menilo, da bi belgijski organ, čeprav ni vodilni organ, lahko pred belgijskimi sodišči vložil tožbo zaradi nekaterih kršitev GDPR s strani Facebooka.

Ti pogoji so kljub temu omejeni na primere, ki predstavljajo nujno stanje (člen 66 GDPR) ali na lokalne primere (člen 56.2 GDPR). Ta odločitev torej ne pomeni konca sistema „vse na enem mestu“, temveč le določa izjeme od njegove uporabe. Načelo sodelovanja med organi tako ostaja norma.

In tudi

Francija:

CNIL je 30. junija objavil tretjo različico svoje programske opreme, zasnovane za lažje analize vpliva na zasebnost.

Ta nova različica vodi menedžerje pri izvajanju analize vpliva in omogoča razvoj baz znanja, vzporednih s tistimi, ki jih zagotavlja CNIL.

Ožji odbor CNIL je podjetju naložil globo v višini 500.000 evrov. Bricoprivé za

• Pošiljanje e-poštnih sporočil za iskanje potencialnih strank brez soglasja posameznikov in neizpolnjevanje več drugih obveznosti iz GDPR:
  • Neupoštevanje rokov hrambe podatkov, ki si jih je podjetje določilo samo,
  • Neizpolnjevanje obveznosti glede obveščanja in pravice do izbrisa podatkov ter
  • Pomanjkanje močnih gesel glede vidikov varnosti podatkov.

CNIL je opozoril tudi na uporabo piškotkov brez uporabnikovega soglasja.

Evropa:

Evropska komisija je 4. junija objavila novo različico standardnih pogodbenih klavzul, namenjenih olajšanju mednarodnega prenosa podatkov.

Te klavzule upoštevajo posledice sodbe Sodišča Evropskih skupnosti v zadevi Schrems II glede tveganj dostopa organov tretjih držav do podatkov, zlasti v kontekstu nacionalne varnosti.

Hkrati je Evropski odbor za varstvo podatkov 18. junija izdal priporočila, katerih cilj je upravljavcem podatkov pomagati pri analizi takšnih tveganj prestrezanja podatkov in jim omogočiti sprejetje dodatnih zaščitnih ukrepov.

Umetna inteligenca:

Evropski nadzornik za varstvo podatkov in Evropski odbor za varstvo podatkov sta skupaj objavila poziv k prepovedi uporabe umetne inteligence za

• Samodejno prepoznavanje biometričnih podatkov v javnih prostorih,
• Socialno točkovanje, vključno prek družbenih medijev, in
• Uporaba umetne inteligence za prepoznavanje čustvenega stanja ljudi.

To stališče odraža objavo predloga Evropske komisije o umetni inteligenci 21. aprila.

Mednarodni prenosi podatkov:

Evropska komisija je svoja priporočila objavila 28. junija. sklepi o ustreznosti v zvezi z Združenim kraljestvom.

Ena se nanaša na zahteve GDPR, druga pa na evropsko direktivo o policijski obdelavi podatkov.

Novost je, da Komisija vstavlja "klavzula o časovni omejitvi veljavnosti" ki omejuje obdobje veljavnosti odločb na štiri leta.

Odločitve se lahko podaljšajo, če raven zaščite v Združenem kraljestvu še vedno izpolnjuje evropske zahteve.

Področja, ki vzbujajo zaskrbljenost, vključujejo načrte Velike Britanije za nove sporazume o trgovini in prostem pretoku podatkov z gospodarstvi v vzponu.

Belgija je v središču pozornosti Evropske komisije, ki je sprožila postopek zaradi kršitve GDPR glede neodvisnosti svojega organa za varstvo podatkov.

Razlog je članstvo več njenih članov v vladnih subjektih.

Mednarodno:

Mednarodna koalicija več kot 55 organizacij za varstvo potrošnikov, državljanske svoboščine in nevladnih organizacij poziva k prepoved oglaševanja, ki temelji na sledenju in profiliranju posameznikov.

Razlog za to stališče je bilo poročilo Norveškega potrošniškega sveta, ki je razkrilo posledice nadzornih praks v komercialnih zadevah za družbo.

Evropska komisija je 16. junija začela postopek za priznanje ustreznost varstva podatkov v Južni Koreji.

Kitajske oblasti so 10. junija napovedale sprejetje zakona o varnosti podatkov, katerega cilj je tudi varovanje pravic in interesov oseb, katerih podatki se obdelujejo.

Anne Christine Lacoste

Anne Christine Lacoste, partnerica pri Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in delala na izvajanju GDPR v Evropski uniji.