Slo-Tech - V skladu s Splošno uredbo (GDPR) je Microsoft sporočil, da bo podatke evropskih strank hranil znotraj meja Evropske unije. Že od lani so v EU podatki, ki jih imajo shranjeni uporabniki storitev v oblaku, kot so Microsoft 365, Azure, Power Platform in Dynamics 365. Odslej pa bodo znotraj EU hranili tudi osebne podatke vseh evropskih uporabnikov.

Microsoft ureditev imenuje EU Data Boundary. S tem ko so v EU shranjeni vsi podatki, kar vključuje tudi avtomatične dnevniške datoteke (automated system logs) in druge psevdoanonimne podatke, je Microsoft prvi veliki ponudnik storitev v oblaku, ki hrani vse v EU. Da podatki ne bodo zapuščali EU, so vzpostavili infrastrukturo navideznih namizij, ki omogoča nadzor sistemov. V naslednjih mesecih bodo v EU shranjevali tudi podporne podatke (support data), dostop do podatkov izven EU pa bo omejen in zaščiten z VDI (Virtual Desktop Infrastructure).

Ostali tehnološki giganti poizkušajo podatke večinoma iznašati v ZDA, za kar pa je treba dokazati...

Evropska komisija - V tretje gre morda rado, zato je Evropska komisija danes sprejela sklep o ustreznosti za varen in zaupanja vreden pretok podatkov med EU in ZDA. S tem je formalno ugotovila, da ZDA za osebne podatke zagotavljajo ustrezno varstvo, ki je primerljivo z evropskim. To podjetjem dovoljuje, da osebne podatke posredujejo ameriškim podjetjem oziroma jih tam skladiščijo, ne da bi morali posebej dokazovati varstvo ali uvajati dodatne zaščitne ukrepe.

To je že tretji tovrstni dogovor, saj sta prva dva na sodišču padla. Leta 2015 je Sodišče EU razveljavilo dogovor o varnem pristanu med EU in ZDA, ker je Komisija prekoračila pooblastila, ko v dogovor ni vnesla ustreznih varovalk. Leta 2020 se je zgodba ponovila, saj je sodišče tudi naslednji dogovor razveljavilo. Seveda so se kmalu začela pogajanja o novem sporazumu, saj njegova odsotnost bistveno otežuje poslovanje podjetij, ki želijo podatke shranjevati v ZDA: to so večinoma ameriška podjetja. Meta (Facebook) je bil na primer maja letos...

Slo-Tech - Pred sedmimi leti je Sodišče EU prvikrat razveljavilo dogovor med Evropsko komisijo in ZDA o varnem pristanu na področju izvoza osebnih podatkov, ki je evropskim podjetjem omogočal poenostavljeno hranjenje podatkov evropskih državljanov na ameriških strežnikih. Krovni dogovor je namreč to omogočal, ne da bi vsako podjetje posebej dokazovalo, da se s podatki v ZDA ravna v skladu z evropsko zakonodajo. Ko je dogovor na sodišču padel, sta Komisija in ZDA sprejela novega, ki je bil pred dvema letoma na sodišču ponovno razveljavljen. Zato sedaj potekajo pogajanja za sklenitev tretjega dogovora.

Evropska komisija je včeraj objavila osnutek novega dogovora z ZDA, ki bi ponovno omogoča iznos podatkov iz EU na ameriške strežnike. Ta prinaša nekaj dodatnih varovalk, ki so po mnenju Komisije ustrezne in skladne z zakonodajo. Med drugim naj bi ZDA uvedle varovalke, ki bodo preprečevale nepooblaščen dostop obveščevalnih služb do podatkov. To naj bi bilo možno le v obsegu, ki je nujno potreben...

Slo-Tech - Evropska unija in ZDA sta danes sporočili, da sta dosegli načelen dogovor, ki bo ponovno vzpostavil tok osebnih podatkov Evropejcev čez Lužo. To je že tretji poizkus, potem ko je prva dva sodišče razveljavilo, ker nista nudila zadostnih garancij za varno in namensko obdelavo podatkov v tujini. Leta 2015 je Sodišče Evropske unije razveljavilo dogovor o varnem pristanu med ZDA in Evropo, saj je Komisija z njegovo sklenitvijo brez varovalk prekoračila pooblastila. Pet let pozneje je sodišče za nov dogovor odločilo enako. Glavna težava je, da imajo v ZDA vsem zagotovilom podjetij navkljub dostop do podatkov tudi tajne in obveščevalne službe, ki ne potrebujejo sodnih odredb.

Zamisel dogovora je preprosta. V Evropski uniji osebne podatke varuje stroga zakonodaja, zato jih podjetja ne smejo iznašati v tujino, kjer bi jih lahko obdelovala po milejši zakonodaji. Zato je treba pred vsakim iznosom dokazati, da bodo podatki varovani enako kot v EU. Ker je za vsak iznos posebej to zamudno in...

Slo-Tech - Belgijski informacijskih pooblaščenec je po pričakovanjih odločil, da IAB Europe krši Splošno uredbo (GDPR) in izrekel 250.000 evrov globe. Manj zaradi zneska, bolj zaradi udeležencev gre za eno najpomembnejših odločitev, ki bo močno vplivala na oglaševanje v celotni Evropski uniji. Transparency and Consent Framework (TCF), ki ga ponuja IAB Europe in ga uporabljajo številni založniki in oglaševalci v EU, je namreč v neskladju z GDPR. IAB Europe je že obljubil spremembe. Irish Council for Civil Liberties, ki je bil med pritožniki, je odločitev pozdravil kot pomembno zmago za varovanje osebnih podatkov Evropejcev.

TCF uporablja večina evropskih strani, saj je veljalo, da zagotavlja skladnost z GDPR. A nova odločitev kaže, da krši več členov GDPR. TCF ne zagotavlja varnega hranjenja osebnih podatkov, ne pridobiva soglasja na ustrezen način, ne razkriva transparentno, kaj se dogaja z zbranimi podatki, ne zagotavlja ukrepov za zakonito obdelovalo osebnih podatkov in ni ustrezno...

Slo-Tech - Avstrijski informacijski pooblaščenec (DSB) je ugotovil (odločba v izvirniku), da uporaba Google Analytics krši Splošno uredbo (GDPR). Konkretno gre za kršitev 44. člena, ki ureja splošna načela za prenose v tretje države ali mednarodne organizacije ter jih dovoljuje le, če tudi tam obdelovalec spoštuje GDPR.

Geneza primera sega v julij 2020, ko je Sodišče EU razveljavilo dogovor med Evropsko komisijo in ZDA o varnem pristanu za izvoz osebnih podatkov v ZDA ter trditve Komisije, da je stopnja zaščite osebnih podatkov v ZDA primerljiva z evropsko. Ker je sodišče ugotovilo da, splošnih odpustkov ni in bi to moral posebej dokazovati vsak upravljavec osebnih podatkov za svoj primer. Razveljavitev Privacy Shielda, podobno kot razveljavitev Safe Harborja iz leta 2015, pa ima posledice na vse, ki se ukvarjajo z osebnimi podatki izven meja ZDA. A velikani, kot je Google, so nadaljevali dotedanje prakse, saj so v svoje pogoje uporabe in pogodbe dodali le nekaj vrstic besedila in s tem...

Slo-Tech - Irsko višje sodišče je zavrnilo vse Facebookove pritožbe zoper preliminarno odločitev irskega informacijskega pooblaščenca iz lanskega septembra. V njej je irski informacijski pooblaščenec nakazal, da utegne Facebooku prepovedati iznos osebnih podatkov iz EU v ZDA, kar bi drastično vplivalo na poslovni model in obratovanje podjetja. Facebook se je zato odzval s pritožbo, s katero je skušal doseči sodno odredbo o ustavitvi postopka.

Facebookove težave izvirajo iz razsodbe Sodišča EU, s katero je bila lani poleti odpravljena odločitev Evropske komisije, da je zaščita osebnih podatkov v ZDA primerljiva z evropsko. Že leta 2015 je sodišče razveljavilo dogovor o varnem pristanu med EU in ZDA, kar je potem Komisija rešila s sprejemom mnenja, da je v ZDA zaščita osebnih podatkov ustrezna. Ker sedaj to ne velja več, morajo podjetja sama dokazovati, da res odgovorno ravnajo s podatki. Facebook je to počel s standardnimi pogodbenimi pogoji (Standard Contractual Clauses), ki pa po mnenju...

Slo-Tech - Po pričakovanjih se Facebook ne bo kar sprijaznil z odločitvijo, ki jo je nakazal irski informacijski pooblaščenec glede iznosa osebnih podatkov uporabnikov iz EU v ZDA. V četrtek je irski informacijski pooblaščenec začel uradno preiskavo hrambe osebnih podatkov, ki jo je vzpodbudila julijska odločitev Sodišča EU, da je zaščita osebnih podatkov v ZDA neprimerljiva kot v EU. To pomeni, da ZDA niso več varni pristan, kamor bi podjetja lahko preselila osebne podatke uporabnikov, temveč bodo morala za vsako potezo sama dokazovati, da se bo s podatki v ZDA resnično ravnalo enako varno kakor v EU. To pa je glede na razkritja o vohljanju obveščevalnih služb praktično nemogoče.

Irski informacijski pooblaščenec, ki je zaradi Facebookovega evropskega sedeža na Irskem pristojen za ravnanje s podatki evropskih uporabnikov, bo do konca leta izdal končno odločitev (zoper katero lahko seveda Facebook sproži sodni spor). Facebook je bitko začel že sedaj. V izjavi za javnost so sporočili, da so...

New York Times - Irski pooblaščenec za varstvo osebnih podatkov je pričel preiskavo o tem, kako Facebook seli podatke evropskih uporabnikov v ZDA. Preiskava je posledica poletne odločitve Sodišča EU (ECJ), ki je je razveljavilo odločitev Evropske komisije (EK), s katero je ta ugotovila, da je zaščita osebnih podatkov v ZDA primerljiva evropski. Prav ta odločitev EK je Ameriškim spletnim podjetjem za nekaj let podaljšala možnost izvoza osebnih podatkov, potem, ko je ECJ s še starejšo odločbo iz leta 2015 razveljavilo dogovor EK in ZDA o t. i. varnem pristanu. Za tak razplet sta posredno zaslužna spletni aktivist Max Schrems, ki se je spustil v sodne spore s Facebookom in irskim pooblaščencem, pa seveda Edward Snowden, ki je priskrbel podatke o tem, kako so podatki Facebookovih uporabnikov vsak trenutek dostopni uslužbencem ameriške Agencije za nacionalno varnost (NSA).

Irski pooblaščenec sicer bdi nad Facebookovimi praksami glede osebnih podatkov uporabnikov iz držav članic EU, v primeru kršitev...

ECJ - Ko smo pred petimi leti poročali o odločitvi sodišča EU, ki je takrat razveljavilo dogovor med Komisijo in ZDA o varnem pristanu na področju izvoza osebnih podatkov, si nihče ni predstavljal, da bo sodišče čez pet let moralo ponoviti odločitev.

Danes je sodišče objavilo sodbo, s katero razveljavlja odločitev Komisije, s katero je ta ugotovila, da je zaščita osebnih podatkov v ZDA primerljiva evropski. Primer seveda zadeva ponudnika družbenega omrežja Facebook in njihovo benevolentno sodelovanje z ameriškimi obveščevalnimi službami. Poglejmo.

Facebook ima trenutno poldrugo milijardo aktivnih uporabnikov (ki še kar prihajajo), vendar se njihov pravni oddelek trenutno ukvarja predvsem z enim posameznikom, ki njihove storitve pravzaprav ne želi več uporabljati.

O delu avstrijskega pravnika in aktivista Maxa Schremsa smo že pisali. Njegova zgodba se je začela pred dobrimi devetimi leti, ko je tekom študijske izmenjave v ZDA poslušal predavanja Facebookevega prvega pravnika za...

Slo-Tech - Epilog je dobil izjemno pomemben sodni postopek v ZDA, ki ga je sprožil Microsoft z nasprotovanjem sodni odredbi o izročitvi uporabniških podatkov ameriškem tožilstvu, ker so se nahajali izključno na strežniku na Irskem. Prvostopenjsko sodišče je pritrdilo zahtevi tožilstva, na drugi stopnji pa je zmagal Microsoft. To je pomembna odločitev za vse Evropejce, ki imamo večino osebnih podatkov, dasi pri ameriških podjetjih (Facebook, Google, Microsoft), fizično na evropskih strežnikih.

Decembra 2013 je bila Microsoftu vročena sodna odredba po 30 let starem zakonu Stored Communications Act, da mora tožilstvu izročiti vse podatke o imetniku nekega elektronskega predala pri MSN.com, vključno z vsebino. Šlo je za preiskavo v zvezi s prometom z mamili, podrobnosti pa niso znane....

Slo-Tech - Nemški informacijski pooblaščenec je izrekel globo podjetju Adobe, ker je kljub razveljavitvi dogovora o varnem pristanu glede izmenjave osebnih podatkov med Evropsko komisijo in ZDA nadaljeval iznos osebnih podatkov evropskih državljanov v ZDA. Izrekel je kazen v višini 8.000 evrov, kar je za multinacionalko neznatna vsota, a kaže na posledice, ki jih imela sodna razveljavitev dogovora. Poleg Adoba sta bila oglobljena tudi Punica (podružnica PepsiCo) v višini 9.000 evrov in Unilever v višini 11.000 evrov.

Spomnimo, da je evropsko sodišče oktobra lani razveljavilo omenjeni dogovor, saj Komisija za njegovo sklenitev ni imela pooblastil. Omenjeni dogovor je bil pomemben, ker je predstavljal temelj za iznos osebnih...

Commission nationale de l'informatique et des libertes - Francoski informacijski pooblaščenec in varuh zasebnosti CNIL (Commission Nationale de L’Informatique et des Libertés) je ugotovil, da Facebook krši francosko zakonodajo s tem, ko zbira podatke in sledi ljudem na internetu, četudi ti ne uporabljajo njegovih storitev.

Facebook namreč tudi na svojih straneh, ne da bi predhodno pridobil soglasje, uporabnikom podtakne piškotek tudi, če niso prijavljeni. Nakar ta piškotek uporablja za spremljanje uporabnikov na tretjih straneh, ki uporabljajo integracijo s Facebookovimi funkcijami všečkanja, deljenja in komentiranja. Facebook tako zbrane podatke potem uporablja za profiliranje za namene oglaševanja, kar krši pravico obiskovalcev spletnih strani do zasebnosti. Problematično je zlasti, da se temu sploh ni mogoče izogniti, saj...

ECJ - Ko smo pred štirinajstimi dnevi poročali o odločitvi generalnega pravobranilca sodišča EU, ki je v svojem mnenju predlagal, da sodišče sporazum med Komisijo in ZDA razveljavi, si nihče ni predstavljal, da bo sodišče reagiralo tako bliskovito.

Danes je sodišče objavilo mnenje, v katerem v celoti sledi mnenju pravobranilca in tako razveljavlja sporazum med Komisijo in ZDA na podlagi ugotovitve, da je Komisija s sklenitvijo prekoračila svoja pooblastila. Primer seveda zadeva ponudnika družbenega omrežja Facebook in njihovo benevolentno sodelovanje z ameriškimi obveščevalnimi službami. Poglejmo.

Facebook ima trenutno skoraj poldrugo milijardo aktivnih uporabnikov (ki še kar prihajajo), vendar se njihov pravni oddelek trenutno ukvarja predvsem z enim posameznikom, ki njihove storitve pravzaprav ne želi več uporabljati.

O delu avstrijskega pravnika in aktivista Maxa Schremsa smo že pisali. Njegova zgodba se je začela pred dobrimi štirimi leti, ko je tekom študijske izmenjave v ZDA...

ECJ - V postopku pred Sodiščem EU je generalni pravobranilec pravkar podal priporočilo, da naj se krovni sporazum o dopustnosti iznosa osebnih podatkov v ZDA odpravi. Če bi sodišče sledilo temu mnenju, bi to lahko izsililo pomembne spremembe v režimu, kako ameriška podjetja ravnajo z osebnimi podatki nas Evropejcev. Primer seveda zadeva ponudnika družbenega omrežja Facebook in njihovo benevolentno sodelovanje z ameriškimi obveščevalnimi službami. Poglejmo.

Facebook ima trenutno skoraj poldrugo milijardo aktivnih uporabnikov (ki še kar prihajajo), vendar se njihov pravni oddelek trenutno ukvarja predvsem z enim posameznikom, ki njihove storitve pravzaprav ne želi več uporabljati.

O delu avstrijskega pravnika in aktivista Maxa Schremsa smo že pisali. Njegova zgodba se je začela pred dobrimi štirimi leti, ko je tekom študijske izmenjave v ZDA poslušal predavanja Facebookevega prvega pravnika za vprašanja zasebnosti (chief privacy officer) in bil zelo razočaran nad njegovim, "ameriškim"...