Što su ovog ljeta radili regulatori? Mi znamo!

3. rujna 2019.
Unatoč sezoni godišnjih odmora ljeto je bilo radno, kako za nadzorna tijela, tako i za nadležne sudove. U nastavku donosimo pregled izabranih vijesti i zanimljivosti iz područja privatnosti i zaštite osobnih podataka.

Hoće li Privacy Shield i standardne ugovorne klauzule (SCC) biti stavljeni izvan snage?

Sud europske unije (CJEU) početkom srpnja raspravljao je u slučaju C-311/18 (Schrems II). Odluka se očekuje krajem ove godine i mogla bi imati dalekosežne posljedice.

Može li odluka staviti izvan snage ove mjere zaštite? „To je teško pitanje“, složit će se pravni stručnjaci. Zašto, pročitajte u nastavku: https://iapp.org/news/a/iapp-faqs-what-does-the-cjeus-schrems-ii-case-mean-for-data-transfers/

Oko samog slučaja dosta je nedoumica i pogrešnih pretpostavki. NOYB, neprofitna udruga čije je počasni direktor Max Schrems, donosi povijesni pregled slučaja i pojašnjenje osnovnih pitanja: https://noyb.eu/cjeu-case/

Jeste li zajednički voditelj obrade s Facebookom ako na web stranici imate “like button”?

Sud Europske unije (CJEU) donio je 29.7.2019. odluku u slučaju C-40/17 (Fashion ID) kojom je utvrđeno da su Facebook Ireland i web shop Fashion ID GmbH zajednički voditelji obrade osobnih podataka jer je Fashion ID na svojim internetskim stranicama ugradio Facebook gumb „sviđa mi se“.

Sud je odlučio da vlasnik (upravitelj) web stranice može biti voditelj obrade zajedno s Facebookom u obradi kojoj je svrha prikupljanje i prijenos osobnih podataka posjetitelja web stranice Facebooku, ali ne i u naknadnim obradama koje samostalno provodi Facebook.

Sud dosta široko tumači odnos zajedničkih voditelja te taj odnos razdvaja na faze.

Presuda je objavljena na službenim stranicama Suda, a na poveznicama možete pročitati sažetak za medije i osvrt Cleary Gottlieba.

Može li cijela nacija biti hakirana?

“Your government is backward. The state of your cybersecurity is a parody” – ovo je sadržaj maila koji je 20-godišnji haker poslao medijima nakon što je (navodno) provalio u bazu tamošnjeg ministarstva financija. Ukradeni su podaci od oko 5 milijuna građana Bugarske, a osim imena, adresa, datuma rođenja, sadrže i informacije o visini primanja, poreza, socijalnim pravima… Dio podataka poslan je medijima, a dio javno objavljen na različitim internetskim forumima.

Bugarsko nadzorno tijelo izdalo je obavijest o namjeri izricanja kazne u iznosu od 2,6 milijuna eura.

Je li ovaj slučaj manifestacija moći i vještina hakera ili odraz apsolutne nebrige i nesposobnosti države da zaštiti svoje građane i nacionalne interese? Pročitajte više »

Smjernice njemačkih nadzornih tijela o ispunjavanju prava ispitanika – što čini „kopiju“ podataka?

Nadzorno tijelo njemačke pokrajine Bavarske ranije ove godine objavilo je smjernice za ispunjavanje prava ispitanika koje su namijenjene javnim tijelima, ali od velike koristi i privatnom sektoru. Smjernice, između stalog, pojašnjavaju na koji način utvrditi identitet ispitanika i kako postupiti kada utvđivanje identiteta nije moguće.

U svojem godišnjem izvješću nadzorno tijelo pokrajine Hessen posebno se osvrnulo na ispunjavanje prava na pristup podacima i tumačenje članka 15. Opće uredbe. U predmetnom izvješću ističe se kako „kopiju“ osobnih podataka ne čine doslovno svi podaci o ispitaniku niti je to fotokopija svih dokumenata koji sadrže ispitanikove osobne podatke, već je to „sažetak osobnih podataka koji su smisleno strukturirani“. Međutim, u presudi prizivnog suda u Kölnu (savezna pokrajina Sjeverna Rajna – Westfalia) utvrđuje se da ispitanik ima pravo dobiti baš sve podatke koji se odnose na njega, uključujući čak i zabilješke o komunikaciji između zaposlenika voditelja obrade i ispitanika (klijenta). Pročitajte više »

Uzimajući u obzir različita stajališta, pitanje koje točno podatke/zapise/dokumente je potrebno pružiti ispitaniku po članku 15. Opće uredbe i dalje ostaje otvoreno za raspravu i različita tumačenja.

Napominjemo da smjernice nadzornih tijela nisu obvezujuće te da sud u postupku neovisno ocjenjuje dokaze i činjenice te donosi odluke.

Obzirom da je Njemačka teritorijalno podijeljena na 16 saveznih pokrajina, nadležno je i više nadzornih tijela, za javni i privatni sektor.

Najzanimljiviji slučajevi i odluke nadzornih tijela

Velika Britanija

Iako se radi samo o obavijesti o namjeri izricanja sankcije (Notice of Intent) britanski regulator ICO je svojim potezom (koji može biti dio standardne procedure) zbunio javnost i izazvao senzacionalističke naslove kako su British Airways i lanac hotela Marriott kažnjeni za kršenje Opće uredbe s po 183, odnosno 99 milijuna funti. Napominjemo, postupci nisu završeni i odluke o izricanju novčane kazne nisu donesene. Još.

Nizozemska

Bolnica u Hagu kažnjena je s 460 tisuća eura zbog neprimjerenih organizacijskih mjera zaštite osobnih podataka. Naime čak 85 zaposlenika bolnice imalo je pristup podacima jedne pacijentice, koja je inače u Nizozemskoj poznata reality zvijezda. Zaposlenici koji su pristupali podacima nisu bili dio tima koji je liječio pacijenticu, već je u pitanju bila osobna znatiželja. Ukoliko do 02. listopada 2019 bolnica ne implementira primjerene mjere biti će kažnjena s dodatnih 100 tisuća eura za svaki tjedan nepoštivanja naputka koje je izdalo nadzorno tijelo Autoriteitpersoonsgegevens. Pročitajte više »

Drugi slučaj u Nizozemskoj odnosi se na korištenje podataka u marketinške svrhe. Nakon što su tvrtke koje pružaju usluge platnog prometa javno objavile da namjeravaju podatke o financijskim transakcijama klijenata koristiti za slanje personaliziranih marketinških poruka, nadzorno tijelo uputilo je nacionalnom nizozemskom udruženju banaka dopis kojim se ukazuje da je takva obrada suprotna načelima Opće uredbe te da bi bila suprotna prvotnoj svrsi za koju su podaci prikupljeni. Prema mišljenju nadzornog tijela, za ovakvu obradu potrebna je privola ispitanika. Pročitajte više »

Grčka

PwC je kažnjen sa 150 tisuća eura zbog nepravilnosti u obradi osobnih podataka svojih zaposlenika. U odluci grčkog nadzornog tijela ističe se da je PwC temeljio obradu na neprimjerenoj pravnoj osnovi – privoli, te da je prekršeno načelo transparentnosti jer je zaposlenicima dao pogrešne informacije o pravnoj osnovi obrade. Zbog navedenog PwC nije mogao ni dokazati usklađenost s Općom uredbom, te je prekršio i načelo pouzdanosti (accountability). Više »

Rumunjska

Nadzorno tijelo izreklo je kaznu u iznosu od oko 130 tisuća eura UniCredit banci zbog propusta u određivanju i u provedbi primjerenih tehničkih i organizacijskih mjera zaštite osobnih podataka. Zbog ovih propusta podaci platitelja (osobni identifikacijski broj i adresa) bili su neopravdano otkriveni primateljima uplata. Više »

Švedska

Švedsko nadzorno tijelo izreklo je prvu novčanu kaznu. S ciljem praćenja redovnog pohađanja nastave škola u gradu Skelleftea instalirala je sustav za prepoznavanje lica (face recognition). U ovom pilot programu sudjelovalo je dvadeset dvoje učenika koji su za obradu dali privolu. Nadzorno tijelo u odluci je utvrdilo kako privola u ovo slučaju nije dana u skladu s Općom uredbom, a sama obrada je preinvazivna za prava i slobode učenika i kao takva ne može opravdati svrhu. Više »

Belgija

Belgijsko i nadzorno tijelo njemačke pokrajine Hessen provode zajednički postupak povodom povrede osobnih podataka u Mastercardu. Obzirom da je europsko sjedište Mastercarda u Waterloou u Belgiji, a većina oštećenih ispitanika su njemački građani, ova dva tijela surađuju po načelu „one stop shop“. U predmetnom slučaju istražuje se povreda osobnih podataka članova programa vjernosti „Priceless Specials“, kojom su obuhvaćeni podaci o imenu, adresi, datumu rođenja i podaci o broju kreditne kartice koji su „određeno vrijeme“ bili dostupni na internetu. Više »

Equifax će za curenje podataka platiti više od pola milijarde US dolara!

Temeljem nagodbe u postupku koji su protiv Equifaxa vodili Federal Trade Commission, Consumer Financial Protection Bureau, te 50 saveznih američkih država, Equifax će platiti odštetu u iznosu od najmanje 575 milijuna dolara. Pretpostavlja se da bi ovaj iznos mogao narasti i do 700 milijuna dolara, ovisno o opsegu odštetnih zahtjeva.

Osim novčane sankcije Equifax će morati provesti i organizacijske mjere zaštite kao što su imenovanje osobe zadužene za program sigurnosti IT sustava i zaštite podataka, provođenje redovite procjene rizika, testiranje i praćenje učinkovitosti implementiranih mjera te provjera i procjena partnera (izvršitelja obrade podataka).

Podsjetimo se, 2017. podaci čak 147 milijuna građana bili su predmetom hakerskog napada, a ukradeni su i izloženi podaci o imenu, datumu rođenja, broju socijalnog osiguranja, a u nekim slučajevima i brojevi kreditnih kartica. Pročitajte više »

U Srbiji se primjenjuje novi zakon o zaštiti osobnih podataka

U Srbiji se primjenjuje novi Zakon o zaštiti podataka o ličnosti, koji je u velikom dijelu preslikana Opća uredba. (Bitna razlika u odnosu na Uredbu je visina maksimalne novčane kazne – oko 12 tisuća eura.)

Stručna zajednica i sam ured Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti predlagali su daljnju odgodu primjene za dodatnih 12 mjeseci. Po njihovom mišljenju Srbija još nije spremna za primjenu tako zahtjevnog propisa te je potrebno sustavno raditi na podizanju svijesti građana, informiranju poslovnih subjekata, te edukaciji stručnjaka za ovo područje.

Prijedlog za odgodu nije uvažen te se zakon primjenjuje od 21. kolovoza 2019. Pročitajte više »

Javno savjetovanje o prijedlogu hrvatskog Zakona o obradi biometrijskih podataka

Postupak javnog savjetovanja o prijedlogu Zakona o obradi biometrijskih podataka završen je 22. kolovoza bez ijednog komentara zainteresirane javnosti. Predmetni zakon regulira obradu biometrijskih podataka od strane nadležnih tijela (ministarstva nadležna za unutarnje poslove, vanjske poslove i poslove pravosuđa)

Kako je navedeno u obrascu prethodne procjene nacrta zakona potrebno je : Elektroničke baze s biometrijskim podacima domaćih i stranih državljana u Republici Hrvatskoj trenutno se vode po različitim zakonskim osnovama i nisu međusobno povezane. U sklopu borbe protiv zlouporabe identiteta svojih građana, kao i protiv nezakonitih migracija i kaznenih djela povezanih s nezakonitim migracijama, gdje je jedan od najvećih problema identifikacija osoba, Europska unija pokrenula je inicijativu povezivanja velikih IT sustava s biometrijskim podacima na europskoj razini – tzv. Interoperabilnost – te su odgovarajuće Uredbe u fazi usvajanja. Istovremeno, Republika Hrvatska susreće se s istim izazovima na nacionalnoj razini. Preduvjet za uspješno nošenje s tim izazovima, kao i za povezivanje s europskim sustavima je konsolidacija i povezivanje nacionalnih baza podataka s biometrijskim podacima, popraćeno odgovarajućim zakonom“.

Zakon bi trebao stupiti na snagu krajem 2019. Ponavljamo, odnosi se samo na nadležna tijela.

ISO standard „za zaštitu osobnih podataka“ – 27701

International Organization for Standards (ISO) objavio je novi dugo očekivani standard zaštite osobnih podataka – ISO/IEC 27701. Cilj standarda je poboljšanje postojećeg sustava upravljanja informacijskom sigurnošću (ISMS) s dodatnim zahtjevima kako bi se uspostavio, implementirao, održavao i kontinuirano poboljšavao sustav upravljanja privatnošću informacija, što znači da organizacije koje se žele certificirati po ovom standardu moraju prethodno imati implementiran ISO/IEC 27001.

Certifikat ISO 27701 ne znači automatski i dokaz usklađenost s Općom uredbom, niti se radi o certifikaciji iz članka 42. Uredbe, ali je svakako pokazatelj dobre prakse i poštivanja načela odgovornosti (accountability).

Više: https://www.iso.org/news/ref2419.html

Objavljen DPO Handbook, u izradi sudjelovao i naš AZOP

U suradnji s AZOPom te španjolskim (AEPD), bugarskim (CPCD) i poljskim (UODO) nadzornim tijelima, talijanski Garante objavio je priručnik za službenike za zaštitu podataka The DPO Handbook. Priručnik je trenutno dostupan na engleskom jeziku i namijenjen je prvenstveno službenicima u javnom sektoru, ali ovo vrlo zanimljivo štivo na skoro 250 stranica koristit će svima koji rade na ovoj funkciji.

EDPB smjernice za videonadzor

EDPB (Europski odbor za zaštitu podataka) objavio je smjernice za obradu osobnih podataka kroz sustav video nadzora – Guidelines 3/2019 on processing of personal data through video devices.

Tekst je još uvijek u verziji za savjetovanje sa zainteresiranom javnošću, a sam postupak savjetovanja bi trebao biti okončan do 09.rujna 2019.

Smjernice sadrže brojne primjere, ali i dalje ostavljaju prostora za različita tumačenja Opće uredbe, posebno u dijelu ispunjavanja prava ispitanika.

ICO i CNIL smjernice o kolačićima

U srpnju su britanski ICO i francuski CNIL izdali smjernice za upotrebu kolačića – cookie guidelines. Iako su u određenim dijelovima smjernice slične, ipak postoje razlike. Usporedni prikaz objavilo je odvjetničko društvo Bird&Bird, a dokument je dostupan ovdje: https://iapp.org/resources/article/ico-and-cnil-revised-cookie-guidelines-convergence-and-divergence/

Regulatori se slažu u bitnom, a to je obvezna privola za upotrebu (većine) kolačića koji nisu nužni za nesmetano funkcioniranje stranice, te da se ne može smatrati da je korisnik pristao na kolačiće ako je nastavio pregledavati web stranicu.

Obavijesti o kolačićima besmislene i zavaravajuće?

Vezano za trenutnu praksu povedeno je istraživanje na oko 5000 obavijesti o kolačićima i 82 tisuće posjetitelja web stranica. Rezultati su pokazali da je većina obavijesti o kolačićima besmislena, a privole iznuđene, bez jasnih informacijama o obradi i trećim stranama koje imaju pristup podacima.

Više: https://techcrunch.com/2019/08/10/most-eu-cookie-consent-notices-are-meaningless-or-manipulative-study-finds/