Tag Archives: dp

WG29: Насоки относно съгласието според GDPR

През тази седмица работната група WG29 издаде Насоки относно съгласието според Общия регламент за защита на данните.

Те са изготвени в продължение на Opinion 15/2011 на WG29  относно съгласието и имат за цел да предоставят практическа помощ за прилагане на Общия регламент за защита на данните. Opinion 15/2011 запазва валидност, доколкото е в съответствие с новия регламент.

Tagged ,

EС: лични данни на пътниците, писмо на WG29

Личниет  данни на пътниците (PNR) са сложен въпрос, изискващ повишено внимание поради различната степен на защита на личните данни в ЕС и в трети страни.

На 26 юли 2017 г. Съдът на Европейския съюз (СЕС) констатира в своето становище 1/2015 по повод  споразумението ЕС – Канада за PNR, че то   е частично несъвместимо с членове 7, 8, 21 и 52 от Хартата на ЕС за основните права.

Работната група 29 (WP29), включваща представители на националните регулатори в областта на данните, публикува писмо, в което изразява тревогата си, че   до  момента няма  данни  становището да е взето предвид – както в споразумението ЕС- Канада, така и  в досиетата на другите споразумения за PNR с Австралия  и Съединените щати.

Правни актове на ЕС продължават да се прилагат, без да са в съответствие с Хартата на основните права на ЕС  според становището на Съда на ЕС.

WP29 излага подробни аргументи по повод противоречия, неясни и непрецизни формулировки.

Tagged

Schrems II – преюдициално запитване към Съда на ЕС относно трансфера на данни ЕС- САЩ

Максимилиан Шремс е отново във фокуса на вниманието: вчера станаха известни 11 въпроса, които ирландският съд   формулира за преюдициално запитване към Съда на ЕС   по чл.267 ДФЕС.  Както е известно, в решението си от октомври 2017 (вж т.335)  съдът  вече обяви, че ще отправи преюдициално запитване.  И Шремс, и Facebook са против –    според Шремс няма нужда: уредбата е ясна, според Facebook няма нужда: предоставяната защита на гражданите на ЕС е адекватна.

Но ирландският съд ще пита дали личните данни, прехвърлени от ЕС в САЩ съгласно решението на ЕК за новия механизъм (Privacy Shield decision), нарушават правата на гражданите на ЕС  по чл. 7 и 8 от Хартата на ЕС. Ще пита и дали ограниченията, пред които са изправени гражданите на ЕС в САЩ,  са пропорционални или строго необходими по смисъла на член 52, параграф 1 от Хартата.

Ето 11-те въпроса.

 

*

Максимилиан Шремс е австрийски докторант по право,  завел дело за защита на личните данни във Фейсбук – което   доведе до обявяване на невалидността на споразуменията ЕС-САЩ за личните данни (Safe Harbor).  По -късно ЕС и САЩ въведоха нов механизъм  –  “щит за защита на личните данни между ЕС и САЩ”  (Privacy Shield).

Шремс  смята, че мерките в рамките на щита отново не са адекватни за защитата на данните на гражданите на ЕС, в частност по повод функционирането на Facebook: прехвърлянето на личните данни от Facebook в Ирландия на компанията-майка в САЩ  се ръководи от въпросния механизъм, който според Шремс не защитава гражданите на ЕС ефективно. Като аргумент Шремс излага отношението на Facebook c програмата за събиране на данни  Prism на NSA чрез Facebook: Правото на САЩ изисква Facebook да помага на NSA, правото на ЕС забранява точно това.

Шремс смята по-специално, че трансферът  на личните му данни към FB в САЩ е   в нарушение на неговото право на личен живот  – като гражданин на ЕС –  по правото на ЕС.

Ето защо Шремс се обръща към Ирландския орган за защита на личните данни (централата на FB за Европа е в Ирландия), въпросът стига до съда, през октомври 2017  съдът взема решение да се обърне с преюдициално запитване към Съда на ЕС,  а  на 12 април 2018 г. съдията Керълайн Костело оповестява  въпросите.

Според експерти до произнасянето има поне година  и половина, но Съдът на ЕС може да приоритизира, когато реши.

Tagged , ,

Не е достатъчно да кажеш съжалявам

Работната група 29 (Working Party 29, WP29) – групата, обединяваща представители на органите за защита на данните в държавите от ЕС – в свое съобщение от днес обявява създаването на група за анализ на проблемите на социалните  медии.

Заедно с това WP29 изразявава подкрепа на органа в Обединеното кралство (Information Commissioner’s Office, ICO) в разследването на обстоятелствата около  Cambridge Analytica и

Facebook.

 

Tagged ,

Насоки на ЕК за прилагане на Общия регламент за защита на данните (GDPR)

Европейската комисия публикува съобщение COM(2018) 43 final, съдържащо насоки за прилагане на новите правила за защита на данните в  ЕС  от 25 май 2018 г.

 

 Комисията за защита на личните данни е публикувала материали по темата на сайта си.
Tagged

ЕСПЧ: достъп до файлове на работното място

На 22 февруари 2018 г. стана известно решението по делото Libert v. France.

Служител във френските железници установява, че работодателят му е осъществил достъп до файловете на служебния компютър на лицето. Между тях има и порнография. Служителят твърди нарушение на чл.8, право на личен живот.

Въпросът е  има ли намеса  в личния   живот, тъй като файловете са били отворени на професионалния компютър на служителя, без да бъде информиран и без присъствието му.

Настоящото дело се различава от делото Bărbulescu (§§ 108-111), в което се засяга намеса в личния живот и кореспонденцията от работодател   в частния сектор. В случая има намеса от публичноправен субект. Тази намеса нарушава член 8 ЕКПЧ, освен ако е “предвидена от закона”, преследва една или повече законни цели съгласно втората алинея на тази разпоредба и е “необходима в едно демократично общество”, за да ги постигне.

Намесата е предвидена от закона, ако има разпоредба във вътрешното право,  но и ако разпоредбата съответства на принципите на правовата държава. За да се изпълни изискването,  законът трябва да е достатъчно ясен  по въпроса при какви обстоятелства и при какви условия публичните органи са оправомощени да вземат такива мерки. Според съда файловете, създадени от служител на компютър, предоставен от неговия работодател за изпълнение на работата му, се предполагат да са служебни, освен ако служителят ги определи изрично като лични,   така че работодателят  има достъп до тях без неговото присъствие .

Намесата  има легитимна цел “предотвратяване на престъпления” и  да гарантира защитата на “правата … на другите”. Работодателят  законно иска  да гарантира, че служителите му използват компютърното оборудване, което предоставя за изпълнение на задълженията им,  в съответствие с   договорните задължения и приложимите разпоредби. Работодателят има законен интерес да гарантира правилното функциониране на предприятието, което му позволява да удостовери, че неговите служители изпълняват професионалните си задължения адекватно и с необходимата скорост.

Намесата е необходима в демократичното общество, когато е  основана на належаща обществена потребност и  пропорционална на търсената легитимна цел. Трябва също така да се провери дали вътрешното право и практика предвиждат адекватни   предпазни мерки срещу злоупотреби и произвол.

Съдът отбелязва, че френското материално право съдържа средство за защита на личния живот. Принципът е, че  работодателят може да отвори професионалните файлове, намиращи се на твърдия диск на компютрите, които той предоставя на своите служители при изпълнение на техните задължения, но не може да отваря файлове, идентифицирани като лични – освен в присъствието на съответния служител.

Съдът  приема, че в случая  работодателят  може да има достъп до файловете, защото те не са надлежно идентифицирани като лични/частни.

Няма нарушение на чл.8 ЕКПЧ.

 

Tagged ,

Съд на ЕС: Максимилиан Шремс може да предяви индивидуален иск срещу Facebook Ireland в Австрия

На 25 януари 2018 Съдът на ЕС се произнесе по дело С-498/16 Maximilian Schrems/Facebook Ireland Limited по преюдициално запитване. Запитването е отправено в рамките на спор между г‑н Maximilian Schrems, с местоживеене в Австрия, и Facebook Ireland Limited, със седалище в Ирландия, относно искания за установяване, за преустановяване, за информация, за предоставяне на отчетна документация и за плащане на сума от 4 000 EUR, във връзка с личните профили във Facebook на г‑н Schrems и на седем други лица, прехвърлили му правата си, свързани с тези профили.

Максимилиан Шремс е австрийски студент, сега вече докторант по право,  завел дело за защита на личните данни във Фейсбук – което по-късно доведе до обявяване на невалидността на споразуменията ЕС-САЩ за личните данни (Safe Harbor).  По -късно ЕС и САЩ въведоха нов механизъм  –  “щит за защита на личните данни между ЕС и САЩ”  (Privacy Shield).  Шремс  смята, че мерките в рамките на щита отново не са адекватни за защитата на данните на гражданите на ЕС, в частност относно Facebook и програмата за събиране на данни на Prism на NSA чрез Facebook. Шремс се обръща към Ирландския орган за защита на личните данни,   който от своя страна внася въпроса в Ирландския Върховен съд – вж решението на Ирландския ВС.

Паралелно пред австрийски съд Шремс по същество твърди, че ответникът Facebook  е извършил редица нарушения на разпоредби относно защитата на данни. Шремс иска  да се установи  самото качество на ответника като доставчик на услуги и задължението му да следва указания;  недействителността на договорни клаузи от условията на Facebook;   преустановяване на използването на данните му за свои цели или за целите на трети лица;  информация за използването на данните  и  отчетна документация. Нещо повече – Шремс твърди, че представлява и седем други потребители на Facebook от различни държави със същите искания.

В Австрия възникват въпроси дали Шремс има статус потребител – ако ползва FB за професионални цели, може ли да представлява други лица и каква е подсъдността.

Преюдициалните въпроси

ВС на Австрия пита:

1)      Трябва ли член 15 от Регламент (ЕО) № 44/2001 да се тълкува в смисъл, че „потребител“ по смисъла на тази разпоредба губи това качество, когато след сравнително дълго ползване на личен профил във Facebook във връзка с реализирането на правата си това лице публикува книги, чете лекции, в някои случаи и срещу заплащане, управлява интернет сайтове, събира дарения за реализирането на правата и многобройни потребители му прехвърлят правата си срещу уверението, че той ще сподели с тях евентуално спечеленото, след приспадане на процесуалните разноски?

2)      Трябва ли член 16 от Регламент (ЕО) № 44/2001 да се тълкува в смисъл, че потребител в дадена държава членка може едновременно със собствените си права, произтичащи от потребителска сделка, да предяви в съда по местоживеенето на ищеца и права със същата цел на други потребители с местоживеене:

а)      в същата държава членка,

б)      в друга държава членка или

в)      в трета страна,

ако правата на тези лица, произтичащи от потребителски сделки със същия ответник в същия правен контекст, са му прехвърлени и ако сделката по прехвърляне не попада в обхвата на професионална или търговска дейност на ищеца, а служи за общото реализиране на правата?“

Решението

По първия въпрос:

40      Всъщност тълкуване на понятието „потребител“, което изключва такива дейности, би попречило за ефективната защита на правата на потребителите спрямо съдоговорителите им търговци, включително правата на защита на личните им данни. Едно такова тълкуване би било в разрез с целта, прогласена в член 169, параграф 1 ДФЕС, да се съдейства за тяхното право на самоорганизиране с цел защита на техните интереси.

41      С оглед на изложените дотук съображения на първия въпрос следва да се отговори, че член 15 от Регламент № 44/2001 трябва да се тълкува в смисъл, че ползвателят на личен профил във Facebook не губи качеството „потребител“ по смисъла на този член, когато публикува книги, чете лекции, управлява интернет сайтове, събира дарения и многобройни потребители му прехвърлят правата си, за да ги предяви той по съдебен ред.

По втория въпрос

48      Както Съдът е уточнил в друг случай, всъщност цесията на вземания сама по себе си не може да има значение при определянето на компетентния съд. Оттук следва, че компетентността на съдилища, различни от изрично посочените с Регламент № 44/2001, не може да бъде обоснована с концентрирането на множество права у само един ищец. Ето защо, както е отбелязал по същество генералният адвокат в точка 98 от заключението си, цесия като разглежданата по главното производство не може да обоснове нова специална подсъдност за потребителя цесионер.

49      С оглед на изложените дотук съображения на втория въпрос следва да се отговори, че член 16, параграф 1 от Регламент № 44/2001 трябва да се тълкува в смисъл, че не се прилага спрямо иска на потребител, с който този потребител предявява пред съда по неговото местоживеене не само собствените си права, но и права, прехвърлени му от други потребители с местоживеене в същата държава членка, в други държави членки или в трети страни.

Веднага след произнасяне на решението Шремс е казал, че щом може да съди FB във Виена,  така и ще направи.

Tagged , ,

Facebook разпознава потребителите си на снимките в мрежата – и ще ги информира за това

Facebook навлиза мощно в личната сфера. Защо – защото може, защото технологиите се развиват и възможните им приложения позволяват все по-прецизно разпознаване на образи.

В съобщение на сайта си дружеството обявява, че въвежда  нови, незадължителни инструменти, които помагат на хората да управляват по-добре идентичността си във Facebook, като използват разпознаване на лица. Със същата технология, която използвате, за да тагвате/ маркирате хора в снимки или видеоклипове, ще се  намират и снимките, в които не сте маркирани, и ще може да откриете кога някой се опитва  да използва  вашето изображение в своя профил – ето такъв аргумент е използвал FB при въвеждане на новата опция.

А също – това е начин хората с увредено зрение да знаят  кой е на снимките  във Facebook.

В някои случаи потребителят ще бъде информиран, в други ще бъде и  тагнат/маркиран, в зависимост от настройките.

Съобщението завършва с изречението, че тези опции засега не се предлагат в ЕС и Канада.

Знаем защо.

Tagged ,

Германия: нарушава ли Facebook конкурентното право

Конкурентният регулатор Bundeskartellamt е уведомил писмено дружеството Facebook за предварителната си правна оценка в процедура за злоупотреба с господстващо положение, която органът провежда срещу Facebook. На настоящия етап от производството органът приема, че Facebook има господстващо положение на германския пазар за социални мрежи. Органът смята, че Facebook злоупотребява с това господстващо положение и събира неограничен брой данни, вкл. чрез сайтове на трети страни  – или собственост на Facebook, като например WhatsApp или Instagram – или  сайтове и приложения на други оператори с вградени приложни програмни интерфейси (API) във Facebook.Участието във Facebook е под условие  – неограничено одобрение на Общите условия. На потребителите се дава възможност да приемат  целия пакет  или да  откажат ползването на социалната мрежа. Представител на конкурентния регулатор казва, че потребителите не винаги са дали своето ефективно съгласие за проследяването на данните   и обединяването на данните в съответния Facebook профил.

Bundeskartellamt по-специално се фокусира върху събирането и използването на потребителски данни от  трети страни.  Потребителите не могат да очакват данни, които се генерират, когато използват услуги, различни от Facebook, да бъдат добавени към техния профил във Facebook в тази степен – но в действителност данни  се предават от уебсайтове и приложения към Facebook.  Според конкурентния регулатор потребителите трябва да имат повече контрол над тези процеси и Facebook трябва да им предостави подходящи възможности за ефективно ограничаване на подобно  събиране на данни.

Производство има и във Франция, но то се осъществява от регулатора за защита на данните по повод обмена на данни между WhatsApp и Facebook.
Tagged ,

Съд на ЕС: писмените отговори по време на изпит като лични данни

Стана известно решението на Съда на ЕС по дело  C‑434/16  с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Supreme Court (Върховен съд, Ирландия)   в рамките на производство по дело Peter Nowak срещу Data Protection Commissioner.

Преюдициалното запитване се отнася до тълкуването на Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни.

 В качеството си на стажант експерт-счетоводител г‑н Nowak издържа успешно определени изпити, но има и такъв, който не издържа. Във връзка с това той подава молба за достъп до всички засягащи го лични данни, съхранявани от професионалната организация на експерт-счетоводителите. Организацията  отказва да му предостави неговата писмена изпитна работа, с довода че тя не съдържала лични данни по смисъла на Закона за защита на данните. Комисарят за защита на данните също смята, че “тези материали по принцип не представляват лични данни“. Nowak обжалва и ирландският съд пита:

„1)      Може ли информацията, записана в/като отговори, дадени от кандидат по време на изпит за професионални умения, да се квалифицира като лични данни по смисъла на Директива 95/46?

2)      При отговор на първия въпрос в смисъл, че цялата или част от информацията може да бъде квалифицирана като лични данни по смисъла на тази директива, какви фактори са релевантни, за да се прецени дали в конкретен случай такава писмена работа представлява лични данни, и каква тежест трябва да се придаде на тези фактори?“.

Съдът на ЕС:

В член 2, буква а) от Директива 95/46 личните данни са определени като „всяка информация, свързана с идентифицирано или подлежащо на идентификация лице“.  Всъщност употребата на израза „всяка информация“ в определението на понятието „лични данни“ в член 2, буква а) от Директива 95/46 отразява целта на законодателя на Съюза да придаде широк смисъл на това понятие, което не се свежда до чувствителната информация или информацията с частен характер, а потенциално обхваща всякакъв вид информация, както обективна, така и субективна, под формата на становища или преценки, при условие че „засяга“ съответното лице.[34]

Що се отнася до коментарите на проверителя по отговорите на кандидата, налага се изводът, че и те като отговорите, дадени от кандидата по време на изпита, представляват информация, засягаща този кандидат. [42] Съдържанието на тези коментари съответно е отражение на становището или преценката на проверителя относно индивидуалните резултати, постигнати от кандидата по време на изпита, и по-специално относно неговите знания и умения в съответната област.[43] Всъщност една и съща информация може да засяга няколко физически лица и съответно за тях да представлява лични данни по смисъла на член 2, буква а) от Директива 95/46, при условие че тези лица са идентифицирани или могат да бъдат идентифицирани.[45]

В този контекст следва да се отбележи, че защитата на основното право на личен живот по-специално предполага всяко физическо лице да може да се увери, че засягащите го лични данни са точни и се обработват законосъобразно. Както следва от съображение 41 от Директива 95/46, именно за да може да извърши необходимите проверки, по силата на член 12, буква а) от тази директива съответното лице разполага с право на достъп до данните, които го засягат и са предмет на обработка. Това право на достъп е необходимо по-специално за да се даде възможност на лицето при необходимост да изиска от администратора да поправи, изтрие или блокира неговите данни и така да упражни правото по член 12, буква б) от посочената директива [57]

Накрая, трябва да се констатира, от една страна, че правата на достъп и на поправяне по член 12, букви а) и б) от Директива 95/46 не обхващат изпитните въпроси, които сами по себе си не представляват лични данни на кандидата.[58] Бегло се констатира още, че правата на лицето подлежат на ограничения както по Директива 95/46, така и по новия  Регламент 2016/679, който я заменя – “ако подобно ограничаване представлява необходима мярка за гарантиране на правата и свободите на други лица.”

Член 2, буква а) от Директива 95/46/ЕО   трябва да се тълкува в смисъл, че при условия като тези в главното производство писмените отговори, дадени от кандидат по време на изпит за професионални умения, и евентуалните коментари на проверителя по тези отговори представляват лични данни по смисъла на тази разпоредба.

След решението на ЕСПЧ, от което разбрахме, че преподаването е социално взаимодействие и част от личния живот на преподавателя, сега от Съда на ЕС научаваме още и за личните аспекти на социалното взаимодействие изпитване.

Tagged ,