Evropska komisija - V tretje gre morda rado, zato je Evropska komisija danes sprejela sklep o ustreznosti za varen in zaupanja vreden pretok podatkov med EU in ZDA. S tem je formalno ugotovila, da ZDA za osebne podatke zagotavljajo ustrezno varstvo, ki je primerljivo z evropskim. To podjetjem dovoljuje, da osebne podatke posredujejo ameriškim podjetjem oziroma jih tam skladiščijo, ne da bi morali posebej dokazovati varstvo ali uvajati dodatne zaščitne ukrepe.

To je že tretji tovrstni dogovor, saj sta prva dva na sodišču padla. Leta 2015 je Sodišče EU razveljavilo dogovor o varnem pristanu med EU in ZDA, ker je Komisija prekoračila pooblastila, ko v dogovor ni vnesla ustreznih varovalk. Leta 2020 se je zgodba ponovila, saj je sodišče tudi naslednji dogovor razveljavilo. Seveda so se kmalu začela pogajanja o novem sporazumu, saj njegova odsotnost bistveno otežuje poslovanje podjetij, ki želijo podatke shranjevati v ZDA: to so večinoma ameriška podjetja. Meta (Facebook) je bil na primer maja letos...

Slo-Tech - Irski informacijski pooblaščenec (Data Protection Authority) je izrekel rekordno globo zaradi kršitev GDPR. Zaradi prenosa osebnih podatkov uporabnikov iz EU v ZDA bo moral Facebook plačati 1,2 milijarde evrov globe, kar je skoraj dvakrat več od dosedanjega rekorda. Tega je s 746 milijoni evrov držal Amazon, a ima Facebook na lestvici v lasti še tretje, četrto, peto in šesto, ki so skupaj nanesli 1,3 milijarde evrov. GDPR v EU velja že pet let, regulatorji pa vestno spremljajo kršitve.

Zgodba o iznosu osebnih podatkov iz EU pa ima že zelo dolgo brado. Pred osmimi leti je Sodišče EU razveljavilo prvi dogovor med EU in ZDA o varnem pristanu, ki je evropskim podjetjem omogočil poenostavljeno dokazovanje varnosti podatkov in primernega ravnanja z njimi, če se nahajajo v ZDA. Še en zelo podoben dogovor je bil sprejet kasneje, a je tudi tega sodišče leta 2020 razveljavilo. Odtlej avtomatični prenos podatkov v ZDA ni možen, temveč bi morala podjetja vsakokrat sproti dokazati, da so tudi...

Slo-Tech - Irski informacijski pooblaščenec je Meti izrekel 390 milijonov evrov težko globo zaradi kršitev GDPR. Od tega je 210 milijonov evrov odpadlo na kršitve s platformo Facebook, preostanek pa na kršitve Instagrama. Ker ima Meta sedež evropske podružnice na Irskem, so tamkajšnje globe najvišje in zadevajo dogajanje v celotni EU. Kršitvi se sicer nanašata na prijavo iz maja 2018, ko je GDPR začel veljati.

Pritožnika sta zatrjevala, da je Meta uporabnike v soglasje za obdelavo podatkov domala prisilila, saj sicer storitev sploh ne bi mogli uporabljati. Meta je pogoje uporabe spremenila pravočasno, torej pred 25. majem 2018, ko je GDPR začel veljati. V novih pogojih uporabe je navedla tudi zakonsko dovoljeno podlago, zakaj se bodo podatki zbirali in obdelovali. Uporabniki so imeli na voljo le strinjanje z novimi pogoji uporabe, sicer storitve niso mogli uporabljati. Meta je to tolmačila kot sklenitev pogodbe med uporabnikom in podjetjem. Pritožnika sta zatrjevala, da bi Meta še vedno...

Slo-Tech - Irski informacijski pooblaščenec je danes izrekel Meti (Facebook) izrekel visoko globo zaradi kršitev Splošne uredbe (GDPR). V preiskavi, ki se je začela lanskega aprila, so ugotovili, da podjetje ni uvedlo ustreznih varovalk in mehanizmov, ki zaščiti osebne podatke evropskih uporabnikov. Zato so podjetju izrekli 265 milijonov evrov globe in zahtevali spoštovanje zakonodaje.

Preiskavo je irski informacijski pooblaščenec, saj ima Meta tam evropski sedež, začel, ko si lani na internet pricurljali osebni podatki 533 milijonov uporabnikov Facebooka. Ti so vključevali tudi njihove elektronske naslove in telefonske številke, izvirali pa naj bi iz zlorabe ranljivosti v letih 2018-2019, ki jo je Facebook odtlej že zakrpal. Šlo je za zlorabo orodij Facebook Search, Facebook Messenger Contact Importer in Instagram Contact Importer, s čimer so bili podatki postrgani (scraping). Facebook je že dejal, da je tovrstno strganje podatkov nesprejemljivo in incident preiskuje tudi sam.

A irski...

Reuters - Luksemburški informacijski regulator National Commission for Data Protection (CNPD) je Amazonu izrekel kazen v višini 746 milijonov evrov zaradi kršitev pri upravljanju osebnih podatkov in kršitev splošne uredbe EU o varstvu osebnih podatkov (GDPR). Luksemburg je sicer primarno pristojen za postopke zoper Amazon, saj ima podjetje tam svoj evropski sedež. Iz Amazona pa so že sporočili, da se bodo na odločbo pritožili, saj po njihovem mnenju ne temelji na dejstvih. Poudarili so, da je vzdrževanje zasebnosti podatkov njihovih uporabnikov njihova najvišja prioriteta.

CNPD je kazen izrekel že 16 julija, vendar je Amazon to razkril šele minuli petek v poročilu SEC, ameriškemu regulatorju za trg vrednostnih papirjev. Kaj natanko je podjetje napravilo narobe ni znano, njihovi predstavniki so zatrdili, da ni prišlo do nobenega odtekanja podatkov, niti ti niso bili posredovani nobeni tretji osebi. Jim je pa CNPD v odločbi naložil revizijo določenih, a neimenovanih poslovnih procesov.

CNPD...

Reuters - Sodišče Evropske unije je v današnji razsodbi odločilo, da lahko nacionalni varuhi osebnih podatkov ukrepajo proti velikim spletnim podjetjem, čeprav to doslej ni bilo v njihovi neposredni pristojnosti, pač pa v pristojnosti regulatorja, v čigar državi je sporno podjetje imelo svoj evropski sedež. Za Google, Facebook in Apple in Twitter je to denimo irska, tamkajšnji pooblaščenec pa je do grla zaseden s preiskavami, povezanimi s Splošno uredbo o varstvu osebnih podatkov (GDPR). Uredba je sicer predvidela ta "one-stop-shop" mehanizem, da bi podjetjem, ki poslujejo v večih članicah, omogočila reševanje konkretnega spora z enim samim regulatorjem.

Tožbo na Sodišču EU je sprožila Belgija, tamkajšnji varuh osebnih podatkov je namreč zaman terjal, da Facebook preneha spremljati njihove državljane, tudi tiste, ki niso uporabniki njihovega omrežja, prek sledilnika Pixel in piškotkov v njihovih vtičnikih, zato je prek sodišča skušal dobiti aktivno legitimacijo za pregon, kar je utemeljeval...

Slo-Tech - Švedski informacijski pooblaščenec (Datainspektionen) je Googlu izrekel 75 milijonov švedskih kron (sedem milijonov evrov) težko globo, ker ni ravnal v skladu z evropsko uredbo o varovanju osebnih podatkov (GDPR). Problematično je izvajanje pravice do pozabe, ki državljanom omogoča zahtevati izbris povezav do člankov z zastarelimi, nerelevantnimi ali neresničnimi osebnimi podatki.

Datainspektionen je leta 2018 začel preiskavo zaradi suma, da Google ni v celoti spoštoval prejšnjih odločb švedskega regulatorja. Zaradi tega so izvedli podroben pregled in ugotovili, da je podjetje kršilo GDPR. Konkretno je šlo za dve pritožbi uporabnikov iz leta 2017 o odstranitvi iskalnih zadetkov. V enem primeru je Google preozko interpretiral, katere spletne naslove je treba odstraniti iz seznamov iskalnih rezultatov. V drugem primeru pa je Google predolgo odločal o odstranitvi.

Drugi problem je, da Google upravljavca spletne strani obvesti o rešeni pritožbi, torej da bo njegov naslov odstranjen...