Tag Archives: dp

Съд на ЕС: Максимилиан Шремс може да предяви индивидуален иск срещу Facebook Ireland в Австрия

На 25 януари 2018 Съдът на ЕС се произнесе по дело С-498/16 Maximilian Schrems/Facebook Ireland Limited по преюдициално запитване. Запитването е отправено в рамките на спор между г‑н Maximilian Schrems, с местоживеене в Австрия, и Facebook Ireland Limited, със седалище в Ирландия, относно искания за установяване, за преустановяване, за информация, за предоставяне на отчетна документация и за плащане на сума от 4 000 EUR, във връзка с личните профили във Facebook на г‑н Schrems и на седем други лица, прехвърлили му правата си, свързани с тези профили.

Максимилиан Шремс е австрийски студент, сега вече докторант по право,  завел дело за защита на личните данни във Фейсбук – което по-късно доведе до обявяване на невалидността на споразуменията ЕС-САЩ за личните данни (Safe Harbor).  По -късно ЕС и САЩ въведоха нов механизъм  –  “щит за защита на личните данни между ЕС и САЩ”  (Privacy Shield).  Шремс  смята, че мерките в рамките на щита отново не са адекватни за защитата на данните на гражданите на ЕС, в частност относно Facebook и програмата за събиране на данни на Prism на NSA чрез Facebook. Шремс се обръща към Ирландския орган за защита на личните данни,   който от своя страна внася въпроса в Ирландския Върховен съд – вж решението на Ирландския ВС.

Паралелно пред австрийски съд Шремс по същество твърди, че ответникът Facebook  е извършил редица нарушения на разпоредби относно защитата на данни. Шремс иска  да се установи  самото качество на ответника като доставчик на услуги и задължението му да следва указания;  недействителността на договорни клаузи от условията на Facebook;   преустановяване на използването на данните му за свои цели или за целите на трети лица;  информация за използването на данните  и  отчетна документация. Нещо повече – Шремс твърди, че представлява и седем други потребители на Facebook от различни държави със същите искания.

В Австрия възникват въпроси дали Шремс има статус потребител – ако ползва FB за професионални цели, може ли да представлява други лица и каква е подсъдността.

Преюдициалните въпроси

ВС на Австрия пита:

1)      Трябва ли член 15 от Регламент (ЕО) № 44/2001 да се тълкува в смисъл, че „потребител“ по смисъла на тази разпоредба губи това качество, когато след сравнително дълго ползване на личен профил във Facebook във връзка с реализирането на правата си това лице публикува книги, чете лекции, в някои случаи и срещу заплащане, управлява интернет сайтове, събира дарения за реализирането на правата и многобройни потребители му прехвърлят правата си срещу уверението, че той ще сподели с тях евентуално спечеленото, след приспадане на процесуалните разноски?

2)      Трябва ли член 16 от Регламент (ЕО) № 44/2001 да се тълкува в смисъл, че потребител в дадена държава членка може едновременно със собствените си права, произтичащи от потребителска сделка, да предяви в съда по местоживеенето на ищеца и права със същата цел на други потребители с местоживеене:

а)      в същата държава членка,

б)      в друга държава членка или

в)      в трета страна,

ако правата на тези лица, произтичащи от потребителски сделки със същия ответник в същия правен контекст, са му прехвърлени и ако сделката по прехвърляне не попада в обхвата на професионална или търговска дейност на ищеца, а служи за общото реализиране на правата?“

Решението

По първия въпрос:

40      Всъщност тълкуване на понятието „потребител“, което изключва такива дейности, би попречило за ефективната защита на правата на потребителите спрямо съдоговорителите им търговци, включително правата на защита на личните им данни. Едно такова тълкуване би било в разрез с целта, прогласена в член 169, параграф 1 ДФЕС, да се съдейства за тяхното право на самоорганизиране с цел защита на техните интереси.

41      С оглед на изложените дотук съображения на първия въпрос следва да се отговори, че член 15 от Регламент № 44/2001 трябва да се тълкува в смисъл, че ползвателят на личен профил във Facebook не губи качеството „потребител“ по смисъла на този член, когато публикува книги, чете лекции, управлява интернет сайтове, събира дарения и многобройни потребители му прехвърлят правата си, за да ги предяви той по съдебен ред.

По втория въпрос

48      Както Съдът е уточнил в друг случай, всъщност цесията на вземания сама по себе си не може да има значение при определянето на компетентния съд. Оттук следва, че компетентността на съдилища, различни от изрично посочените с Регламент № 44/2001, не може да бъде обоснована с концентрирането на множество права у само един ищец. Ето защо, както е отбелязал по същество генералният адвокат в точка 98 от заключението си, цесия като разглежданата по главното производство не може да обоснове нова специална подсъдност за потребителя цесионер.

49      С оглед на изложените дотук съображения на втория въпрос следва да се отговори, че член 16, параграф 1 от Регламент № 44/2001 трябва да се тълкува в смисъл, че не се прилага спрямо иска на потребител, с който този потребител предявява пред съда по неговото местоживеене не само собствените си права, но и права, прехвърлени му от други потребители с местоживеене в същата държава членка, в други държави членки или в трети страни.

Веднага след произнасяне на решението Шремс е казал, че щом може да съди FB във Виена,  така и ще направи.

Tagged , ,

Facebook разпознава потребителите си на снимките в мрежата – и ще ги информира за това

Facebook навлиза мощно в личната сфера. Защо – защото може, защото технологиите се развиват и възможните им приложения позволяват все по-прецизно разпознаване на образи.

В съобщение на сайта си дружеството обявява, че въвежда  нови, незадължителни инструменти, които помагат на хората да управляват по-добре идентичността си във Facebook, като използват разпознаване на лица. Със същата технология, която използвате, за да тагвате/ маркирате хора в снимки или видеоклипове, ще се  намират и снимките, в които не сте маркирани, и ще може да откриете кога някой се опитва  да използва  вашето изображение в своя профил – ето такъв аргумент е използвал FB при въвеждане на новата опция.

А също – това е начин хората с увредено зрение да знаят  кой е на снимките  във Facebook.

В някои случаи потребителят ще бъде информиран, в други ще бъде и  тагнат/маркиран, в зависимост от настройките.

Съобщението завършва с изречението, че тези опции засега не се предлагат в ЕС и Канада.

Знаем защо.

Tagged ,

Германия: нарушава ли Facebook конкурентното право

Конкурентният регулатор Bundeskartellamt е уведомил писмено дружеството Facebook за предварителната си правна оценка в процедура за злоупотреба с господстващо положение, която органът провежда срещу Facebook. На настоящия етап от производството органът приема, че Facebook има господстващо положение на германския пазар за социални мрежи. Органът смята, че Facebook злоупотребява с това господстващо положение и събира неограничен брой данни, вкл. чрез сайтове на трети страни  – или собственост на Facebook, като например WhatsApp или Instagram – или  сайтове и приложения на други оператори с вградени приложни програмни интерфейси (API) във Facebook.Участието във Facebook е под условие  – неограничено одобрение на Общите условия. На потребителите се дава възможност да приемат  целия пакет  или да  откажат ползването на социалната мрежа. Представител на конкурентния регулатор казва, че потребителите не винаги са дали своето ефективно съгласие за проследяването на данните   и обединяването на данните в съответния Facebook профил.

Bundeskartellamt по-специално се фокусира върху събирането и използването на потребителски данни от  трети страни.  Потребителите не могат да очакват данни, които се генерират, когато използват услуги, различни от Facebook, да бъдат добавени към техния профил във Facebook в тази степен – но в действителност данни  се предават от уебсайтове и приложения към Facebook.  Според конкурентния регулатор потребителите трябва да имат повече контрол над тези процеси и Facebook трябва да им предостави подходящи възможности за ефективно ограничаване на подобно  събиране на данни.

Производство има и във Франция, но то се осъществява от регулатора за защита на данните по повод обмена на данни между WhatsApp и Facebook.
Tagged ,

Съд на ЕС: писмените отговори по време на изпит като лични данни

Стана известно решението на Съда на ЕС по дело  C‑434/16  с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Supreme Court (Върховен съд, Ирландия)   в рамките на производство по дело Peter Nowak срещу Data Protection Commissioner.

Преюдициалното запитване се отнася до тълкуването на Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни.

 В качеството си на стажант експерт-счетоводител г‑н Nowak издържа успешно определени изпити, но има и такъв, който не издържа. Във връзка с това той подава молба за достъп до всички засягащи го лични данни, съхранявани от професионалната организация на експерт-счетоводителите. Организацията  отказва да му предостави неговата писмена изпитна работа, с довода че тя не съдържала лични данни по смисъла на Закона за защита на данните. Комисарят за защита на данните също смята, че “тези материали по принцип не представляват лични данни“. Nowak обжалва и ирландският съд пита:

„1)      Може ли информацията, записана в/като отговори, дадени от кандидат по време на изпит за професионални умения, да се квалифицира като лични данни по смисъла на Директива 95/46?

2)      При отговор на първия въпрос в смисъл, че цялата или част от информацията може да бъде квалифицирана като лични данни по смисъла на тази директива, какви фактори са релевантни, за да се прецени дали в конкретен случай такава писмена работа представлява лични данни, и каква тежест трябва да се придаде на тези фактори?“.

Съдът на ЕС:

В член 2, буква а) от Директива 95/46 личните данни са определени като „всяка информация, свързана с идентифицирано или подлежащо на идентификация лице“.  Всъщност употребата на израза „всяка информация“ в определението на понятието „лични данни“ в член 2, буква а) от Директива 95/46 отразява целта на законодателя на Съюза да придаде широк смисъл на това понятие, което не се свежда до чувствителната информация или информацията с частен характер, а потенциално обхваща всякакъв вид информация, както обективна, така и субективна, под формата на становища или преценки, при условие че „засяга“ съответното лице.[34]

Що се отнася до коментарите на проверителя по отговорите на кандидата, налага се изводът, че и те като отговорите, дадени от кандидата по време на изпита, представляват информация, засягаща този кандидат. [42] Съдържанието на тези коментари съответно е отражение на становището или преценката на проверителя относно индивидуалните резултати, постигнати от кандидата по време на изпита, и по-специално относно неговите знания и умения в съответната област.[43] Всъщност една и съща информация може да засяга няколко физически лица и съответно за тях да представлява лични данни по смисъла на член 2, буква а) от Директива 95/46, при условие че тези лица са идентифицирани или могат да бъдат идентифицирани.[45]

В този контекст следва да се отбележи, че защитата на основното право на личен живот по-специално предполага всяко физическо лице да може да се увери, че засягащите го лични данни са точни и се обработват законосъобразно. Както следва от съображение 41 от Директива 95/46, именно за да може да извърши необходимите проверки, по силата на член 12, буква а) от тази директива съответното лице разполага с право на достъп до данните, които го засягат и са предмет на обработка. Това право на достъп е необходимо по-специално за да се даде възможност на лицето при необходимост да изиска от администратора да поправи, изтрие или блокира неговите данни и така да упражни правото по член 12, буква б) от посочената директива [57]

Накрая, трябва да се констатира, от една страна, че правата на достъп и на поправяне по член 12, букви а) и б) от Директива 95/46 не обхващат изпитните въпроси, които сами по себе си не представляват лични данни на кандидата.[58] Бегло се констатира още, че правата на лицето подлежат на ограничения както по Директива 95/46, така и по новия  Регламент 2016/679, който я заменя – “ако подобно ограничаване представлява необходима мярка за гарантиране на правата и свободите на други лица.”

Член 2, буква а) от Директива 95/46/ЕО   трябва да се тълкува в смисъл, че при условия като тези в главното производство писмените отговори, дадени от кандидат по време на изпит за професионални умения, и евентуалните коментари на проверителя по тези отговори представляват лични данни по смисъла на тази разпоредба.

След решението на ЕСПЧ, от което разбрахме, че преподаването е социално взаимодействие и част от личния живот на преподавателя, сега от Съда на ЕС научаваме още и за личните аспекти на социалното взаимодействие изпитване.

Tagged ,

Видеонаблюдение: принципи и правила

Решение, засягащо правилата за видеонаблюдение: шотландско семейство получава обезщетение в размер на £ 17,268 за “изключителния стрес”, който е претърпяло в резултат на “силно натрапчивото” използване на системи за видеонаблюдение и аудиозапис от собствениците на съседните имоти.

Нарушени са  принципи за защита на данните, дефинирани от закона (въвеждащ директивата за личните данни) и  регулатора за лични данни:

  • Първият принцип, съгласно който данните трябва да се обработват само за законни и законни цели и по справедлив и прозрачен начин;
  • Третият принцип, който изисква обработването на данните да е адекватно и не прекомерно; и
  • Петият принцип, който изисква данните да се съхраняват само толкова дълго, колкото е необходимо за конкретните законосъобразни и законни цели.

По темата:

И  от Шотландия към България:
в последните седмици в България е възникнала отново темата за видеонаблюдение и използване на специални технически средства в детските заведения – ясли и градини – и в училище. Матурите бяха отразени от медиите главно като едно силно наблюдавано явление. Преди време в Софийския университет имаше идея за монтиране на камери в учебните зали – все по съображения за сигурност. Телевизионен репортаж показа защо в едно село нямало престъпност – заради камерите – и, освен другото, хората се развличали да гледат кой минава през селото. Така от история в история стигаме до  разрешенията за използване на СРС – едно от заглавията в медиите е Тандемът Цветанов-Янева: 6010 искания за подслушвания, 6008 одобрени.
Преди  години имаше протести срещу  безконтролно масово наблюдение и проследяване.
Сега има протести с искане за видеонаблюдение в детските градини и училищата.
Прилича ми малко на другата история – да създаваме доверие помежду си с полиграф: и двете идеи са доста спорни и  с елемент на отчаяние.
.
И финално: стана известно следното изказване на министър-председателя: означаването на видеокамерите с табели е абсолютна глупост.
Това за сведение на поколенията.
.
Tagged

ЕС: защита на данните – правила за оценка на въздействието

Работната група за защита на данните (Article 29 Data Protection Working Party, WP29) е публикувала проект за ръководни правила за оценка на въздействието на регламента за защита на данните (General Data Protection Regulation, GDPR).

 Проектът за правила

Tagged

WhatsApp, Yahoo: личните данни

Групата Article 29, която включва представители на националните регулатори за защита на данните на държавите от ЕС, представител на ЕК и на европейския орган за защита на данните, е изпратила писма до  WhatsАpp u Yahoo във връзка със защитата на личните данни в двете компании.

1

В писмото до WhatsApp се изразява сериозна загриженост от факта, че лични данни на потребителите се споделят с компании от фамилията Facebook за целите на маркетинга и рекламата. Изисква се изчерпателна информация за контрола върху данните, за да може да се направи оценка за съответствие с правото на ЕС. Доколкото е възможно да се установи несъответствие, групата приканва компанията да се въздържа от споделяне докато няма гаранции, че е осигурена адекватна правна защита.

Писмото

Така че за WhatsApp в момента се знае едновременно, че комуникацията е криптирана (което привлича потребители), но че данните им (имена, мейли, телефони) се споделят.

В Германия има решение на органа за защита на лични данни, с които се изисква Facebook да спре да съхранява данните на потребителите на WhatsApp, във Франция са на път към решение да санкционират Facebook.

В САЩ правозащитни организации –  Electronic Privacy Information Center, EPIC и Center for Digital Democracy, CDD –  искат от Федералната търговска комисия, FTC  разследване как WhatsApp използва личните данни на потребителите си.

2

В писмото до Yahoo на първо място се изразява загриженост относно оповестената наскоро кражба на личните данни на най-малко  500 милиона потребители на компанията.

Но това не е всичко, има и втори въпрос: Yahoo сканира мейлите по искане на разузнаването и за неговите цели.

Писмото

 

Tagged

Рамковата директива за личните данни отива в историята

В днешния брой на Официален вестник на ЕС (L119/4 май 2016) са  обнародвани три акта, работата върху които продължи години.

и

Регламентът предвижда отмяна на рамковата директива 95/46/ЕО, която е въведена в действащия Закон за защита на личните данни.

Регламентът влиза в сила на двадесетия ден след публикуването му в Официален вестник на ЕС  и се прилага от 25 май 2018 година.

Регламентът е задължителен в своята цялост и се прилага пряко във всички държави от ЕС.

Директивите ще трябва да се въвеждат в срок до май 2018 г.

Хронология.

За улеснение на всеки, който ще се запознава с новата правна рамка, вече  има  ръководства, подготвени от експерти.

 

Tagged

ЕС: ревизията на правната рамка на защитата на данните

На 18 декември 2015 г. Комитетът на постоянните представители (КОРЕПЕР) потвърди  компромисните текстове, съгласувани с Европейския парламент относно ревизията на правната рамка на защитата на данните в ЕС. Споразумението е било постигнато между Съвета, Парламента и Комисията на 15 декември 2015 г. Това споразумение е в съответствие с искането на Европейския съвет   преговорите по реформата на защитата на данните да бъдат приключени до края на годината.

Според днешни изявления, ревизията на рамката не само укрепва правата на гражданите, но и адаптира правилата   за бизнеса, като в същото време се намалява административната тежест.

Ревизията на правната рамка е законодателен пакет, предложен от Комисията през 2012 г. с цел да се актуализират и модернизират правилата за защита на данните. То се отнася до две законодателни акта: регламент (на мястото на Директива 95/46 / ЕО) и директива  за защита на данните в областта на правоприлагането (предназначена да замени рамковото решение за защита на данните от 2008 г.).

Защитата на лицата във връзка с обработването на личните им данни е основно право, предвидено в Хартата на основните права на Европейския съюз (член 8).

След окончателните правно-технически редакции проектите ще бъдат внесени за приемане.

Прессъобщението на Съвета от днес

Tagged

Резервационни данни на пътниците (PNR)

Дискусиите за евентуална схема за резервационни данни на пътниците (PNR) в ЕС се развиват от 2007 г. насам с предложението за рамково решение на Съвета относно този въпрос. Първоначалното предложение предвиждаше въздушните превозвачи, осъществяващи полети между ЕС и трети държави, да бъдат задължени да предават PNR данни на компетентните органи с цел предотвратяване, разкриване, разследване и наказателно преследване на престъпления, свързани с тероризъм, и на тежки престъпления.

В своята резолюция от 11 февруари 2015 г. относно мерките за борба с тероризма Европейският парламент се ангажира „да положи усилия за приключване на работата по директивата на ЕС относно резервационните данни на пътниците до края на годината“ и настоятелно призова Комисията „да разясни последиците от решението на Съда относно Директивата за запазване на данни и нейното потенциално въздействие върху директивата на ЕС относно резервационните данни на пътниците“.

Стана известно ново Становище на Европейския надзорен орган по защита на данните (ЕНОЗД) относно Предложението за директива за използването на резервационни данни на пътниците.

Предложението за мерки  според ЕНОЗД все още не изпълнява основната предпоставка за PNR схема, а именно спазване на принципите за необходимост и пропорционалност. Предложението не предвижда комплексна оценка на способността на съществуващите инструменти да постигнат целта на PNR схемата на ЕС. Освен това то не представя подробен анализ на степента, в която свързани с по-малка намеса мерки биха могли да постигнат целта на PNR схемата на ЕС. Нецеленасоченото масово събиране и обработване на данни от PNR схемата представлява мярка за общо наблюдение – а мнението на ЕНОЗД е, че единствената цел, която би отговаряла на изискванията за прозрачност и пропорционалност, би била използване на PNR данните в отделни случаи, само при установена въз основа на по-точни признаци сериозна конкретна заплаха.

Впрочем това беше и проблемът на обявената за недействителна Директива за задържане на трафични данни.

Дискусиите за резервационните данни винаги са напредвали трудно, по-трудно стана след решението на Съда на ЕС от 2014 г. по съединени дела C-293/12 и C-594/12, Digital Rights Ireland, а още по-трудно – сега, в края на 2015 – когато  настояващите – подобно Европейския надзорник за личните данни – за пропорционална намеса – се оказват малцинство.

 

Tagged