Privacy HUB

2022-08-30 17:43:38 #Новини_тижня

НОВИНИ ТИЖНЯ [22.08 — 28.08]

① Noyb.eu подав скаргу на Google до Управління захисту даних Франції (CNIL). На їхню думку, технологічний гігант неодноразово ігнорував рішення Європейського суду щодо електронних листів прямого маркетингу та використовував свою електронну платформу Gmail для надсилання небажаних рекламних листів без згоди користувачів

➁ Роздрібний косметичний гігант Sephora повинен буде заплатити 1,2 мільйона доларів за продаж особистої інформації споживачів і необробку запитів на відмову в порушення каліфорнійського Закону про приватність споживачів. В ЄС же румунський регулятор оштрафував Sephora Romania на 2000 євро, оскільки вони продовжували надсилати суб’єкту даних маркетингові повідомлення через SMS після того, як вона скористалася своїм правом на заперечення

➂ Орган захисту даних Туреччини опублікував проект інструкцій щодо обробки генетичних даних

➃ Національний секретаріат із захисту прав споживачів Бразилії Senacon оголосив про штраф у розмірі 6,6 мільйонів проти Facebook Meta, пов’язаного з 443 000 бразильців, залучених у скандал із Cambridge Analytica у 2018 році

➄ Куба прийняла Закон про захист персональних даних

➅ Рада Європейського Союзу опублікувала останній компромісний текст для запропонованого Закону про дані

➆ Компанія Meta Platforms погодилася врегулювати позов у федеральному суді Сан-Франциско про відшкодування збитків за надання третім сторонам (в тому числі Cambridge Analytica) доступу до персональних даних користувачів

➇ Національний центр кібербезпеки Британії опублікував Посібник із найкращих практик інформаційної безпеки для спільних підприємств в будівельному секторі

➈ Регулятор Бремена визнав, що публікація даних боржників про неплатоспроможність на веб-сайтах юридичних фірм не має належної правової підстави

➉ Італійський регулятор оштрафував Deutsche Bank на 20 000 євро за несвоєчасну відповідь на запит суб’єкта даних на доступ

⑪ Нідерландський окружний суд Мідден-Нідерланду постановив, що муніципалітет не зобов’язаний розкривати імена та адреси суб’єктів даних, які шукають паранормальну активність на кладовищі, батькам двох померлих дітей, похованих там

⑫ Румунський регулятор оштрафував салон краси на 2500 євро за те, що він мав камери відеоспостереження, встановлені в салоні та зовні салону, надмірно спостерігаючи як за клієнтами, так і за працівниками, не повідомляючи їх

⑬ Регулятор Іспанії наклав штраф у розмірі 5000 євро на агентство нерухомості за порушення GDPR, оскільки договір не містив пункту, який інформував би клієнта про те, як оброблялися його персональні дані

Все буде Україна! Открыть/Комментировать

2022-08-29 16:22:55 #Санкції

ПОКАЗ РЕКЛАМИ ПЕРЕРВАНО ШТРАФОМ

Профілювання користувача використовується як основа для створення та подальшого показу персоналізованої реклами. Більшість користувачів навіть не підозрюють про гігабайти даних, які компанії збирають про них та їхню цифрову активність.

Відповідно до GDPR, правовою підставою обробки даних для профілювання має бути явна згода суб'єкта, тобто користувача. Але компанії продовжують нехтувати цією нормою заради жаданого прибутку від реклами, чим накликають на себе не тільки гнів регуляторів, але й великі штрафи.

Що сталося?

Німецький банк Hannoversche Volksbank теж марив новими можливостями, які надасть персоналізована реклама.

Він аналізував та оцінював дані поточних та колишніх клієнтів без їхньої згоди: обсяг покупок через застосунки, частоту використання принтеру для друку виписок, загальну суму переказів у онлайн-банкінгу порівняно зі здійсненням операцій у відділеннях тощо.

Додатково було залучено ще стороннього постачальника послуг. Крім того, результати аналізу порівнювалися з даними кредитної агенції та збагачувалися на їх основі.

Мета – виявити клієнтів, які є прихильниками електронного зв'язку, та звертатися до них електронними каналами в договірних або рекламних цілях. Більшості клієнтів інформація про обробку була надіслана заздалегідь разом з іншими документами. Однак це не замінило необхідної згоди.

Що було порушено?

Банк посилався на легітимний інтерес відповідно до статті 6(1)(f) GDPR. Однак ця правова підстава не дозволяє здійснювати профілювання в рекламних цілях шляхом оцінки великих масивів даних. Проведена банком оцінка балансу інтересів не відповідає вимогам. Обробка даних була незаконною.

Який штраф?

Державна уповноважена із захисту даних (LfD) Нижньої Саксонії оштрафувала Hannoversche Volksbank на €900,000 та змусила їхніх маркетологів спуститися з небес на землю.

При призначенні штрафу було взято до уваги, що результати оцінок не були використані. Крім того, компанія виявила готовність до співпраці.

ВИСНОВКИ

Разом з регулятором нагадуємо про баланс інтересів та розумні очікування суб'єктів.

Справді, звернення до (потенційних) клієнтів із рекламою відповідає інтересам контролера. Однак цей інтерес є менш важливим. У суб'єктів даних повинна бути можливість заперечення (яку не потрібно обґрунтовувати). Інтереси суб'єктів превалюють.

При зважуванні інтересів потрібно брати до уваги також розумні очікування клієнтів. Тому в таких випадках контролери даних не можуть посилатися на баланс інтересів і натомість мають отримати згоду.

Оскільки дані з різних сфер життя можна зв'язати між собою, залучення зовнішніх агентств дозволяє створювати більш точні профілі. Клієнти не можуть очікувати такого, тому для залучення також необхідно отримати згоду.

Все буде Україна!
_________
Джерела:
Пресреліз Открыть/Комментировать

2022-08-26 15:03:13 #Інформаційна_безпека

АНОНІМІЗАЦІЯ ТА ОСТАННІ 8 РОКІВ

Як пам’ятаємо, WP29 випустили найсвіжіший гайд з анонімізації, з best practices та рекомендаціями, ще далекого 2014 року. Здавалося б, за 8 років мав відбутися цілий технологічний прорив. Направду ж – ніт, але давайте подивимося ближче.

Чи з’явилися нові техніки анонімізації?

За нашим скромним дослідженням, зовсім нових технік серед best practices не згадують.

Техніки, рекомендовані WP29, і зараз залишаються базовими та найбільш поширеними. Безперечно, ці методи ускладнюють та часто комбінують по-різному, однак основа – це k-анонімність, l-урізноманітнення, Т-наближення, диференційована приватність.

Чи є нові напрямки розвитку анонімізації?

Звичайно, їх безліч. З найбільш практичних проблем:

Приватність груп користувачів: Більшість наявних підходів зосереджені виключно на приватності окремої особи. Наприклад, модель k-анонімності створює класи з k-користувачами в кожному класі. З одного боку, цей підхід ховає кожного користувача в натовпі інших k-користувачів. З іншого боку, він явно розкриває інформацію про групи користувачів.

Втрата інформації через надмірне узагальнення: Більшість підходів анонімізують кожен параметр у наборі даних або питому частину. Оскільки деякі параметри не є вразливими з точки зору приватності, їхнє узагальнення значно впливає на корисність даних.

Вибіркова анонімізація: У кожної людини різні вимоги та занепокоєння щодо приватності. Наприклад, у соціальній мережі деякі користувачі хочуть приховати лише інформацію про стосунки (тобто коханця), тоді як деякі користувачі можуть захотіти приховати всю інформацію про соціальні зв’язки (тобто всіх друзів). І тут ми говоримо не просто приховати від загалу, але й від контролера, процесорів тощо.

Анонімізація незбалансованих наборів даних: У деяких випадках розподіл значень у наборі даних є нерівномірним, і його анонімізація є дуже складною. У таких наборах даних застосування жорстких обмежень, таких як створення кожного класу l- різноманітним або t-близьким, на практиці неможливе.

Чи очікувати технологічного прориву?

You never know, але навряд.

По-перше, у перегонах озброєнь між анонімізацією і повторною ідентифікацією реідентифікатори постійно переважають. У публічному доступі можна віднайти дуже багато ключів до дешифрації даних, та й ніхто не скасовував хакерів.

По-друге, давайте дивитися правді в очі. Повна анонімізація майже не несе практичної цінності. Якщо повністю почистити ваші набори даних, ви зможете їх використати лише для статистики в дуже обмеженому вигляді. Відповідно, немає сенсу розробляти такі всеохоплюючі технології анонімізації, хіба якщо це ваше хобі.

То що робити

Прийняти концепцію анонімізації такою, як є, та оцінити вже розроблені підходи

Не забувайте, що ваша мета не просто анонімізувати, а досягти компромісу між приватністю та цілями обробки. Комплексу різних PET та організаційних заходів на практиці цілком достатньо. Вірте в себе та ваших СТО.

Все буде Україна!
_________
Джерела:
Стаття 1: Узагальнююче дослідження технік анонімізації
Стаття 2: Дослідження окремих способів анонімізації
Стаття 3: Анонімізація неструктурованих даних
Книга BROKEN PROMISES OF PRIVACY: RESPONDING TO THE SURPRISING FAILURE OF ANONYMIZATION, Paul Ohm Открыть/Комментировать

2022-08-24 13:14:02 #Аналітика

ОТРИМАЛИ СКАРГУ ВІД СУБ´ЄКТА ДАНИХ: ЩО РОБИТИ? ШІСТЬ КРОКІВ ВІД БРИТАНСЬКОГО РЕГУЛЯТОРА

Регулятор Британії (ICO) випустив інструкцію для малого бізнесу, що робити зі скаргою від суб'єкта персональних даних. Інструкція містить шість кроків:

1. Підтвердіть отримання скарги

Відповідайте якнайшвидше, щоб повідомити споживачу, що ви отримали його скаргу щодо захисту даних і розглядаєте її. Ваша відповідь має містити інформацію про те, що ви будете робити на кожному етапі. Повідомте, коли споживач може очікувати від вас додаткову інформацію, а також надайте актуальну контактну інформацію. Наприклад, ви можете надіслати посилання на вашу процедуру розгляду скарг, якщо вона у вас є. Відповідна процедура подання скарг може містити інформацію про те, як люди можуть подавати скарги щодо захисту даних, як ви їх розглядатимете та скільки часу це займе.

У разі необхідності ви також повинні перевірити, чи надійшла скарга від уповноваженої особи. Це може бути, якщо третя сторона подала скаргу від імені особи, дані якої ви обробляєте. Ви повинні перевірити, чи мають вони право отримувати інформацію про те, як оброблялися персональні дані.

2. З’ясуйте, що пішло не так

Ви повинні розглядати будь-які скарги щодо захисту даних якомога швидше. Почніть зі збору якомога більше інформації. Вам необхідно якомога ретельніше, об’єктивніше та точніше встановити всі відповідні факти. Якщо необхідно, попросіть свого клієнта надати додаткову інформацію. Переконайтеся, що ви перевірили всі деталі скарги на інформацію, яку ви маєте. Чим краще ви розумієте проблему, тим краще у вас буде можливість її вирішити.

3. Надавайте регулярні оновлення щодо скарги

Якщо розгляд скарги, ймовірно, займе деякий час, надайте додаткову відповідь після першої. Проінформуйте суб'єкта, що ви працюєте над вирішенням проблеми. По можливості використовуйте зрозумілу мову, а не жаргон чи юридичні терміни. Чітке інформування людей допомагає зміцнити довіру, і все пройде легко, якщо кожен знає, чого очікувати.

4. Фіксуйте ваші дії

Запишіть дату отримання скарги щодо захисту даних і дату, коли потрібно відповісти. Зберігайте деталі будь-яких пов’язаних розмов і копії всіх відповідних документів від початку до кінця, включно з причинами прийнятих вами рішень і будь-якими вжитими або невжитими діями. Це також надасть докази того, що ви зробили.

5. Відповідайте на скаргу

Завершивши розгляд скарги, повідомте людині про результати. Чітко поясніть, що ви зробили для вирішення скарги щодо захисту даних, і про будь-які дії, які ви вжили в результаті. Включіть достатньо інформації, щоб допомогти зрозуміти, як ви дійшли висновку. Може бути корисно структурно виділити окремі пункти скарги та відповісти на кожен з них, надавши відповідні докази, де це можливо.

Ви також повинні повідомити скаржника, що він має право поскаржитися до регулятора. Дотримуйтеся чіткої, конкретної та прямолінійної мови. Це допоможе донести ваше повідомлення до людини та уникнути будь-яких можливих непорозумінь. Надайте контактні дані, щоб вам можна було поставити додаткові запитання, якщо це необхідно.

6. Засвойте отримані уроки

Після того, як ви відповіли скаржнику, скористайтеся можливістю переглянути та оцінити, що сталося. Подумайте, чи можна чогось навчитися або вдосконалитися, щоб запобігти майбутнім скаргам. Якщо хтось скаже вам, що подає скаргу регулятору, вам не потрібно повідомляти регулятора. Регулятор сам зв’яжеться, якщо йому знадобиться додаткова інформація.

Все буде Україна! Наближаємо нашу Перемогу!
_________
Джерела:
Інструкція ICO Открыть/Комментировать

2022-08-24 13:09:10 Открыть/Комментировать

2022-08-23 15:35:02 #Новини_тижня

НОВИНИ ТИЖНЯ [15.08 — 21.08]

① Верховна Рада України вдруге провалила прийняття Закону про захист персональних даних у першому читанні. За проголосувало 212 народних обранців з 226 необхідних. Автори пообіцяли подати законопроект знову.

➁ В мережі інтернет з´явилися повідомлення про злом офіційного сайту адміністрації Кривого Рогу (kr.gov.ua), в ході якого було злито у відкритий доступ файл із 342,294 рядками, які містять ПІБ та телефони громадян. Загалом у файлі 227,220 унікальних номерів телефонів. На жаль, офіційних коментарів з цього приводу немає.

➂ Орган із захисту даних Латвії, Державна інспекція даних, опублікував допис у блозі, у якому пояснюється роль офіцеру із захисту даних.

➃ Управління комісара з питань інформації Великобританії випустило шість кроків для малого бізнесу, які отримують скарги від суб´єктів персональних даних.

➄ Національна комісія із захисту даних Люксембургу надіслала нагадування муніципалітетам щодо вимог до офіцеру із захисту даних (DPO) відповідно до GDPR. Регулятор виявив, що «деякі муніципалітети ще не виконали» зобов’язання по DPO, і почала інформувати їх про необхідність узгодження зі статтею 37.1(a) GDPR. Муніципалітети також повинні будуть надати контактну інформацію своїх DPO до регулятора після призначення.

➅ Регулятор Данії підтримав заборону на використання Google Workspace муніципалітетом Гельсінгера.

➆ Закупівельна палата землі Баден-Вюртемберг постановила, що компанію необхідно виключити з процедури публічних закупівель, оскільки її пропозиція порушує GDPR. Це пояснюється тим, що дотримання законодавства про захист даних було вимогою тендеру. Палата постановила, що пропозиція містила незаконну передачу даних клієнтів третій країні (їхній материнській компанії, розташованій у США), оскільки до них могла отримати доступ материнська компанія.

➇ Грецький регулятор частково скасував своє попереднє рішення та зменшив штраф з 20 000 євро до 5 000 євро для компанії, яка продає спортивний одяг, у світлі нових доказів того, що порушення права на заперечення було наслідком ізольованої помилки, а не зловмисного наміру. Перш за все, DPA погодився, що порушення, схоже, було спричинене недбалістю контролера (окрема помилка), а не злим умислом. По-друге, було виявлено, що контролер запровадив і дотримувався відповідних процедур для забезпечення правильного імплементування права на заперечення (стаття 21 GDPR) і права на видалення (стаття 17 GDPR) суб’єктів даних.

➈ Норвезький регулятор оштрафував компанію з управління майном на 30 500 євро за два незаконні кредитні рейтинги, що є порушенням статті 6(1)(f) GDPR, двом особам, з якими вона не мала стосунків, але з якими пов’язана компанія мала спір.

➉ Датський регулятор запропонував оштрафувати муніципалітет у розмірі 6700 євро за те, що останній не перешкоджав своїм службовцям вручну вимикати коди доступу на своїх мобільних телефонах, які містили персональні дані громадян, таким чином наражаючи їх на непотрібний ризик.

Все буде Україна! Открыть/Комментировать

2022-08-22 15:37:32 #Санкції

ШТРАФУ БАГАТО (НЕ) БУВАЄ: РІШЕННЯ EDPB У СПРАВІ ACCOR

17 серпня EDPB у рамках ст. 65(1) GDPR опублікував своє обов’язкове рішення у справі щодо порушення вимог Регламенту французьким гігантом у сфері готельного бізнесу — Accor SA. Компанія має готелі, курорти та ресторани у 110 країнах світу.

Підстава для прийняття обов’язкового рішення

Рішення EDPB прийнято для врегулювання спору між французьким регулятором CNIL як головним регулятором у справі та польським регулятором — Urząd Ochrony Danych Osobowych (UODO) як одним із зацікавлених наглядових органів.

Регулятори не змогли дійти згоди щодо розміру штрафу, який має сплатити порушник, а тому без допомоги EDPB було не обійтися.

Порушення, вчинені Accor SA

Скарги на Accor SA в основному стосувалися того, що контролер нехтував правом суб’єктів даних на заперечення проти обробки даних для маркетингу, а також мав проблеми із реалізацією права на доступ.

Однак у своєму проєкті рішення CNIL визначив більш широкий перелік порушень: статті 12(1), 12(3), 13, 15(1), 21(2) і 32 GDPR.

Розслідування у справі

З листопада 2018 року до грудня 2019 року CNIL отримав 11 скарг на Accor SA, 5 з яких були передані іншими регуляторами.

Як головний регулятор CNIL більше двох років здійснював розслідування: інспекції приміщень, онлайн-інспекції, розгляд пояснень від Accor SA. За результатами розгляду справи CNIL підготував проєкт рішення зі штрафом у розмірі 100 000 євро. На думку CNIL, більший штраф був недоречний з огляду на економічні втрати готельного бізнесу у 2020 році, спричинені пандемією коронавірусу.

Заперечення UODO

UODO вказав, що сума штрафу є занадто низькою для такого мастодонта як Accor (1, 6 млрд євро обороту за 2020 рік) і штраф не буде ефективним, пропорційним і стримуючим заходом.

Польський регулятор звернув увагу на декілька моментів:

у проєкті рішення не було вказано річний оборот контролера;

відсутні докази того, що більший штраф може безповоротно поставити під загрозу життєдіяльність Accor SA;

запропонований штраф не буде достатнім стримуючим фактором для інших компаній з оборотом, подібним до обороту Accor.

CNIL не погодився із запереченнями, адже порушення не мали структурного характеру, а порушник вжив заходів для їх виправлення.

Аналіз EDPB

EDPB визнав заперечення доречним та частково обґрунтованим. EDPB вказав, що врахування чи неврахування негативних фінансових наслідків, які зменшують оборот компанії, під час встановлення розміру штрафу є дискреційним повноваженням головного регулятора відповідно до національної практики накладення штрафів.

EDPB нагадав, що для того, щоб штраф був стримуючим, він повинен встановлюватися на рівні, який гарантує справжню стримуючу дію. А запропонований штраф становитиме лише 0,02% розрахункового обороту Accor у 2020 році.

EDPB вказав, що CNIL не повинен вносити зміни до проєкту свого рішення стосовно впливу штрафу на економічну життєдіяльність Accor.

Подальші дії за рішенням EDPB

CNIL має взяти для розрахунку штрафу оборот за 2021 рік та повторно здійснити оцінку факторів, які брав до уваги для розрахунку суми штрафу.

ВИСНОВКИ

Одна з основних цілей будь-якого заходу відповідальності — превенція аналогічних чи подібних порушень у майбутньому. На жаль, часто великі бізнеси вважають, що їм простіше заплатити штраф, аніж витрачати значні ресурси на комплаєнс з вимогами законодавства. Аби таких ситуацій було менше, штрафи мають бути ефективними, пропорційними та стримуючими, як це вимагається у ст. 83 GDPR.

Все буде Україна!
_________
Джерела:
Рішення CNIL
Прес-реліз рішення Открыть/Комментировать

2022-08-19 17:52:57 #Інформаційна_безпека

АНОНІМІЗАЦІЯ: БАЗОВІ АЛГОРИТМИ

Якщо ви все ж визначилися, що вам потрібно саме анонімізувати дані, а не псевдонімізувати, то вам потрібно знати як це робити. У цьому пості ми розповімо про базові техніки від WP29.

АЛГОРИТМИ АНОНІМІЗАЦІЇ

Загалом, їх можна поділити за алгоритмом, на якому базується техніка: перша група базується на рандомізації, а друга — на узагальненні. Нагадуємо, що за останнім висновком WP29 для анонімізації їх потрібно комбінувати. Саме у поєднанні вони достатньою мірою можуть вирішити ризики повторної ідентифікації.

Рандомізація

За цим підходом змінюється достовірність даних, щоб прибрати зв’язок між даними та особою:

Додавання шуму: До набору даних додаються рандомні нові атрибути. Наприклад, до цифрових показників за формулою додається випадкове число.

Перестановка: Атрибути даних перемішуються таким чином, щоб деякі з них були штучно пов’язані з різними суб’єктами даних.

Диференційована приватність: Комбінація перших двох технік залежно від випадку. Контролер створює анонімні набори даних для кожної окремої третьої особи, зберігаючи при цьому копію вихідних даних.

Узагальнення

За цим підходом дані узагальнюються або розділяються шляхом зміни відповідного масштабу або порядку величини (регіон, а не місто, місяць, а не тиждень):

Узагальнення та К-анонімність: Групування даних, принаймні, з даними K інших осіб. K у k-анонімності означає змінну, так само як і “x” у алгебрі. У цьому випадку k означає кількість разів, коли кожна комбінація значень з’являється в наборі даних. Наприклад, якщо набір даних містить місцезнаходження та вік групи осіб, дані потрібно буде узагальнити до такої міри, щоб кожна пара вік/місце з’являлася принаймні двічі.

L-урізноманітнення: L-різноманітність доповнює K-анонімність. Техніка полягає в забезпеченні того, що в кожному класі даних кожен атрибут має відмінне значення. Головна мета L-diversity, є обмеження появи класів еквівалентності з низькою мінливістю атрибутів. Це потрібно для того, аби щоб зловмисник, що знає певну інформацію про конкретного суб’єкта даних, ніколи не міг бути на 100% впевненим, що він правильно ре-ідентифікував особу.

T-наближення: Удосконалене L- урізноманітнення. Створюються еквівалентні класи, що нагадують початковий набір даних.

ВИСНОВКИ

Звичайно, наведені PETs найпростіші, але і вони можуть допомогти захистити дані. Уважно аналізуйте цілі анонімізації та обставини обробки.

Також слідкуйте за нашими публікаціями і чекайте на огляд останніх новин анонімізації

Все буде Україна!
_____
Джерела:
Висновок WP29 щодо анонімізації Открыть/Комментировать

2022-08-17 15:01:06 #Аналітика

НАЗВИ МЕНЕ СВОЇМ ІМ'ЯМ: КОЛИ ІМЕНА МОЖУТЬ БУТИ ЧУТЛИВИМИ ДАНИМИ?

1 серпня 2022 року Суд ЄС ухвалив преюдиціальне рішення у справі OT v Vyriausioji tarnybinės etikos komisija (Комісія з етики посадових осіб), переданої Регіональним адміністративним судом Литви. У своєму рішенні Суд ЄС дав широке тлумачення "даних, що стосуються сексуального життя або сексуальної орієнтації фізичної особи" та порушив інші важливі питання.

Фабула справи

Справа стосується конфлікту антикорупційного законодавства Литви та законодавства про захист персональних даних.

Комісія з етики заявила, що директор державної установи OT не виконав свого зобов’язання подати декларацію про приватні інтереси.

Національне законодавство вимагає публікації в Інтернеті даних, що містяться в деклараціях приватних інтересів держслужбовців. Окрім даних про доходи, в деклараціях зазначаються ім'я та прізвище подружжя, дітей, близьких родичів і т.д.

Чутливі дані

Стаття 9(1) GDPR передбачає, що, серед іншого, обробка персональних даних, які «розкривають» расове або етнічне походження, політичні переконання, релігійні чи філософські переконання чи членство в профспілці, а також обробка даних, що «стосуються» здоров’я або даних, що «стосуються» сексуального життя або сексуальної орієнтації фізичної особи, повинна бути заборонена. Це “спеціальні категорії персональних даних" (чутливі персональні дані).

Питання перед Судом

Чи порушує норма національного законодавства, яка вимагає розміщення декларацій в публічному доступі, правила захисту персональних даних?

Чи є публікація даних, які можуть опосередковано розкривати чутливі персональні дані, обробкою “спеціальних категорій” даних?

Пропорційність

Суд ЄС перевірив пропорційність на основі статті 52(1) Хартії основних прав:

мета – метою боротьби з корупцією є, перш за все, законні інтереси, а обмеження права на приватність були встановлені законом.

необхідність – чи необхідне публічне оприлюднення декларацій для досягнення зазначеної мети?

Суд ЄС вирішив, що інтереси (боротьба з корупцією проти захисту даних) мають бути ретельно збалансовані та залежно від рівня корупції в державах-членах можуть бути прийняті різні рішення.

Зрештою, Суд став на бік суб’єкта даних і встановив, що литовське законодавство не забезпечує достатніх гарантій проти ризику зловживання, і, як наслідок, таке законодавство порушує права суб’єкта даних.

Суд також зазначив, що недостатність ресурсів для індивідуальної перевірки всіх декларацій не може слугувати виправданням для втручання в основні права, гарантовані Хартією.

Публікація імен подружжя

Суд дійшов висновку, що вже того факту, що стать подружжя може бути "розкрито", достатньо, щоб вважати це обробкою чутливих даних.

Самі по собі імена не стосуються сексуальної орієнтації, але можуть розкривати стать і, взяті в контексті з ім'ям подружжя, після інтелектуальної операції (дедукція, перехресні посилання) розкривають можливу сексуальну орієнтацію.

Публікація імен подружжя (партнерів, співмешканців) разом є обробкою спеціальних категорій персональних даних, оскільки опосередковано розкриває сексуальну орієнтацію.

Наслідки

Суд ЄС інструктує уникати занадто вузького тлумачення того, що є чутливими даними. Багато даних у поєднанні з іншими даними можуть розкрити чутливі персональні дані. Наприклад, по опублікованим фото людини можна зрозуміти її расове походження, релігійні переконання (хіджаб тощо), стан здоров’я (інвалідність, хвороби).

А це означає, що контролери повинні застосовувати суворіші стандарти статті 9 GDPR для виправдання обробки. У більшості випадків це означає явну згоду.

Питання незабаром стане актуальним і для України, враховуючи цивільні партнерства.

Все буде Україна!
_________
Джерела:
Рішення Суду ЄС Открыть/Комментировать

2022-08-16 12:51:57 #Новини_тижня

НОВИНИ ТИЖНЯ [08.08 — 14.08]

① Австрійська ГО «NOYB» подала 226 скарг щодо порушень GDPR до 18 регуляторів ЄЕС проти веб-сайтів, які використовують популярне програмне забезпечення OneTrust для банерів cookie із оманливими налаштуваннями.

➁ Європейський інспектор із захисту даних (EDPS) опублікував висновок щодо рекомендації до рішення Європейської Ради, що дозволяє розпочати переговори про включення положень про транскордонні потоки даних до Угоди між Європейським Союзом та Японією про економічне партнерство

➂ EDPS опублікував висновок щодо пропозиції до регламенту про перетворення мережі даних бухгалтерського обліку ферм у мережу даних сталого розвитку ферм (FSDN)

➃ Google погодився виплатити штраф у розмірі 60 мільйонів австралійських доларів Комісії з питань конкуренції та захисту прав споживачів Австралії. Федеральний суд визнав, що Google ввів в оману австралійських споживачів, переконавши, що компанія не збирає дані про їх місцезнаходження за допомогою пристроїв Android

➄ Управління Уповноваженого з питань приватності Канади оприлюднило результати свого піврічного опитування щодо практики приватності та заходів комплаєнсу в організаціях. Опитування 751 компанії показало, що 59% респондентів мають повідомлення про приватність, що на 6% менше, ніж у попередньому опитуванні в 2019 році. Відсоток компаній, які застосовують більшість вимог дотримання приватності, також знизився з 62% до 57%, тоді як 86 % компаній заявили, що знають свої зобов’язання згідно з канадським законодавством про приватність. Крім того, 90% компаній зазначили, що не переживали порушень захисту даних.

➅ Регулятор Словенії створив інфографіку, щоб допомогти контролерам даних проводити оцінку впливу на захист даних.

➆ Регуляторний телекомунікаційний орган Індії опублікував консультаційний документ під назвою «Використання штучного інтелекту та великих даних у телекомунікаційному секторі». У документі пропонуються потенційні можливості використання штучного інтелекту та великих даних у таких сферах, як якість обслуговування, керування спектром і безпека мережі, а також наводяться приклади операторів зв’язку, які вже використовують ці технології. У документі також розглядалися ризики, пов’язані з впровадженням штучного інтелекту та великих даних, включаючи неетичне використання, упередження даних і алгоритмів, а також проблеми приватності

➇ Апеляційний суд Арнем-Леувардена постановив, що подання звіту, що містить персональні дані третіх сторін, під час судового розгляду не є порушенням GDPR, оскільки контролер повинен був зробити це відповідно до статті 6(1)(c) GDPR (обробка необхідна для дотримання юридичних зобов’язань)

Все буде Україна! Открыть/Комментировать