29.jūlijs, 2019.gads... privātuma profesionāļi visā Eiropā un ne tikai sēž pie savām ierīcēm un ik pa laikam nospiež "atjaunot" pogu, lai redzētu vai nav jau nopublicētas kādas ziņas no Eiropas Savienības tiesas Fashion ID lietā... atjaunot, ....atjaunot... atjaunot....
Kāpēc tas ir TIK svarīgi?
Lielo datu laikmetā nav divu domu - datiem ir vērtība!
Lielo datu laikmetā nav divu domu - datiem ir vērtība!
Tādejādi, aizvien būtiskāk ir noteikt personu, kas pelna uz šiem datiem un vai bonusam no peļņas seko arī pienākumi un atbildība.
Eiropas Savienības Tiesa (EST) nesen (2018.gada vasarā) pieņēma divus spriedumus, kas skāra atbildības noteikšanu, kur pirmais () gadījums nebija tik daudz par datu apstrādi virtuālajā vidē, kā par faktisko kontroli pār personas datu apstrādi un spēju ietekmēt datu apstrādi (fakts, ka Tu ikdienā "neķeries" klāt personas datiem, nenozīmē, ka Tu neesi pārzinis un atbildīgais). Proti, šajā lietā strīds bija par to vai Jehovas liecinieku kopienu var uzskatīt par pārzini, ja tās locekļi "sekojot savam dievišķajam aicinājumam" apstaigā mājas un veic piezīmes (savos blociņos) par iespējamajām personām ar kurām būtu vērts turpināt sarunu par ticību, kā arī veidojot "melno sarakstu" ar personām (adresēm), kas skaidri ir devušas noprast, ka nevēlas šāda veida diskusiju. Šajā gadījumā, tiesa lēma, ka ievērojot faktisko varu un organizatorisko situāciju neskatoties uz "formālajiem" kopienas pretargumentiem, ir saskatāmi priekšnoteikumi, lai šādai datu apstrādei piemērotu personas datu aizsardzības regulējumu, kā rezultātā, [..] jēdziens "kartotēka" aptver personas datu kopumu, kas savākti saistībā ar sludināšanu, apstaigājot mājas, un kas ietver kontaktēto personu vārdus un adreses, kā arī citu informāciju par tām, ja šie dati ir sakārtoti saskaņā ar noteiktiem kritērijiem, kas praksē ļauj tos viegli atrast to vēlākas izmantošanas nolūkā. Lai uz šādu datu kopumu attiektos šis jēdziens, nav nepieciešams, lai tas ietvertu reģistrus, īpašus sarakstus vai citas meklēšanas metodes.
Otrā lieta (faktiski pirmā) bija Scheswig- Holstein, kur tika skatīts jautājums par atbildību gadījumā, ja tiek izveidota uzņēmuma mājas lapa Facebook. Par to, vai uzņēmums, kas izveidojis mājas lapu Facebook un izmanto Facebook piedāvātās iespējas izplatīti savu reklāmu Facebook tīklā, var būt atbildīgs par šādu datu apstrādi, ja, it sevišķi, ievērojot to kā darbojas Facebook, uzņēmumam nav ne jausmas, kuriem lietotājiem konkrēti Facebook ir "parādījis" reklāmu un kuriem nē. Neskatoties uz šīm nevienlīdzīgajām attiecībām, tiesa savā lēmumā norādīja: "[..] Lai arī Facebook sarūpētā apmeklētāju loka statistika fanu lapas uzturētājam patiešām tiek nosūtīta tikai anonimizētā formā, šī statistika tiek sagatavota, iepriekš ar sīkdatnēm, kuras Facebook ievieto šo lapu apmeklējušo personu datorā vai citā ierīcē, savācot un šādiem statistikas mērķiem apstrādājot šo apmeklētāju personas datus. [..] katrā ziņā netiek prasīts, lai gadījumā, kad par vienu apstrādi kopīgi atbild vairāki subjekti, attiecīgie personas dati būtu pieejami katram no tiem. Šādos apstākļos ir jākonstatē, ka tāds Facebook vietnē mitinātas lapas uzturētājs kā Wirtschaftsakademie, iestatot parametrus atbilstoši tostarp savai mērķauditorijai, kā arī savas darbības vadības vai reklāmas mērķiem, piedalās nolūku un līdzekļu noteikšanā. Tāpēc šis uzturētājs šajā gadījumā jākvalificē kā Savienībā kopīgi ar Facebook Ireland [atbildīgā struktūrvienība Eiropas savienībā] par šādu apstrādi atbildīgais pārzinis[..]."
Xo-xo- xo - tātad ne tikai gadījumos, kad ikdienišķos procesos kāda no pusēm ir izlēmusi netikt klāt personas datiem, bet pastāv iespēja "tikt" klāt personas datiem tā ir atzīstama par pārzini, bet arī gadījumos, kad tiek dots "tikai" uzdevums, kas ietver personas datu apstrādi, bet faktiski netiek klāt datiem, kā tas ir, izmantojot Facebook reklamēšanas rīkus, uzdevuma devējs ir atzīstams par pārzini un, saskaņā ar spriedumu - pat par KOPĒJO pārzini. Kaut kā praksē tomēr nav izplatīts, ka organizācijas būtu gatavas sevi ar vēl kādu sadarbības partneri nosaukt par kopējo pārzini... gan jau vārds "kopēja atbildība" ir tam iemesls. Tāpēc arī laikam šajā tiesas spriedumā paustās atziņas nevar definēt kā "trendu" kuram visi seko. Drīzāk tas bija lēmums, attiecībā uz kuru ļoti daudzi gribēja izlikties, ka to nav redzējuši, lasījuši, .... un vispār, viens spriedums vēl nav tiesu prakse...
Šodienas tiesas lēmums tieši tāpēc ir tik nozīmīgs, ka iepriekšējais bija "...viens spriedums jau nav tiesu prakse..." un vēl bija cerība, ka tomēr nebūs tik traki. Šajā gadījumā tiesa ir spiesta sniegt jau detalizētākas atbildes par kopējo atbildību (un to, kuram izpildāms informēšanas pienākums (Regulas 13.pants)) un cik liela vai maza tā ir, ievērojot apstākli kā "strādā" internets.
Šajā lietā atkal ir iesaistīts Facebook, bet apstākļi ir nedaudz citi, lai arī līdzīgi. Proti, lieta ir par Fashion ID GmbH & Co. KG, kas ir tiešsaites modes preču mazumtirgotājs un kas savā mājas lapā ir izvietojis Facebook pogu "patīk". Saskaņā ar sākotnējo informāciju šīs pogas funkcionalitātes ietvaros, kad apmeklētājs ienāk Fashion ID tīmekļvietnē, kurā ir izvietota Facebook poga “Patīk”, viņa pārlūkprogramma automātiski pārsūta informāciju par viņa IP adresi un pārlūkprogrammas virkni (browser string) Facebook Ireland. Šīs informācijas pārsūtīšana notiek bez nepieciešamības faktiski nospiest Facebook pogu “Patīk”.
.Šajā lietā daudzsološs bija jau ģenerāladvokāta M.Bobeka viedoklis, kas cita starpā noteica, ka nevar atbildēt par to par ko nav faktiska kontrole, vienlaicīgi, norādot, ka atbildībai tomēr būtu jābūt par tiem datu apstrādes procesiem, kurus tā ir inicējusi. Te lieti atcerēties personas datu apstrādes termina skaidrojumu, ka "apstrāde" ietver ļoti daudz un dažādas "-šanas", kas sākas ar ievākšanu un beidzas ar dzēšanu.
Otrā lieta (faktiski pirmā) bija Scheswig- Holstein, kur tika skatīts jautājums par atbildību gadījumā, ja tiek izveidota uzņēmuma mājas lapa Facebook. Par to, vai uzņēmums, kas izveidojis mājas lapu Facebook un izmanto Facebook piedāvātās iespējas izplatīti savu reklāmu Facebook tīklā, var būt atbildīgs par šādu datu apstrādi, ja, it sevišķi, ievērojot to kā darbojas Facebook, uzņēmumam nav ne jausmas, kuriem lietotājiem konkrēti Facebook ir "parādījis" reklāmu un kuriem nē. Neskatoties uz šīm nevienlīdzīgajām attiecībām, tiesa savā lēmumā norādīja: "[..] Lai arī Facebook sarūpētā apmeklētāju loka statistika fanu lapas uzturētājam patiešām tiek nosūtīta tikai anonimizētā formā, šī statistika tiek sagatavota, iepriekš ar sīkdatnēm, kuras Facebook ievieto šo lapu apmeklējušo personu datorā vai citā ierīcē, savācot un šādiem statistikas mērķiem apstrādājot šo apmeklētāju personas datus. [..] katrā ziņā netiek prasīts, lai gadījumā, kad par vienu apstrādi kopīgi atbild vairāki subjekti, attiecīgie personas dati būtu pieejami katram no tiem. Šādos apstākļos ir jākonstatē, ka tāds Facebook vietnē mitinātas lapas uzturētājs kā Wirtschaftsakademie, iestatot parametrus atbilstoši tostarp savai mērķauditorijai, kā arī savas darbības vadības vai reklāmas mērķiem, piedalās nolūku un līdzekļu noteikšanā. Tāpēc šis uzturētājs šajā gadījumā jākvalificē kā Savienībā kopīgi ar Facebook Ireland [atbildīgā struktūrvienība Eiropas savienībā] par šādu apstrādi atbildīgais pārzinis[..]."
Xo-xo- xo - tātad ne tikai gadījumos, kad ikdienišķos procesos kāda no pusēm ir izlēmusi netikt klāt personas datiem, bet pastāv iespēja "tikt" klāt personas datiem tā ir atzīstama par pārzini, bet arī gadījumos, kad tiek dots "tikai" uzdevums, kas ietver personas datu apstrādi, bet faktiski netiek klāt datiem, kā tas ir, izmantojot Facebook reklamēšanas rīkus, uzdevuma devējs ir atzīstams par pārzini un, saskaņā ar spriedumu - pat par KOPĒJO pārzini. Kaut kā praksē tomēr nav izplatīts, ka organizācijas būtu gatavas sevi ar vēl kādu sadarbības partneri nosaukt par kopējo pārzini... gan jau vārds "kopēja atbildība" ir tam iemesls. Tāpēc arī laikam šajā tiesas spriedumā paustās atziņas nevar definēt kā "trendu" kuram visi seko. Drīzāk tas bija lēmums, attiecībā uz kuru ļoti daudzi gribēja izlikties, ka to nav redzējuši, lasījuši, .... un vispār, viens spriedums vēl nav tiesu prakse...
Šodienas tiesas lēmums tieši tāpēc ir tik nozīmīgs, ka iepriekšējais bija "...viens spriedums jau nav tiesu prakse..." un vēl bija cerība, ka tomēr nebūs tik traki. Šajā gadījumā tiesa ir spiesta sniegt jau detalizētākas atbildes par kopējo atbildību (un to, kuram izpildāms informēšanas pienākums (Regulas 13.pants)) un cik liela vai maza tā ir, ievērojot apstākli kā "strādā" internets.
Šajā lietā atkal ir iesaistīts Facebook, bet apstākļi ir nedaudz citi, lai arī līdzīgi. Proti, lieta ir par Fashion ID GmbH & Co. KG, kas ir tiešsaites modes preču mazumtirgotājs un kas savā mājas lapā ir izvietojis Facebook pogu "patīk". Saskaņā ar sākotnējo informāciju šīs pogas funkcionalitātes ietvaros, kad apmeklētājs ienāk Fashion ID tīmekļvietnē, kurā ir izvietota Facebook poga “Patīk”, viņa pārlūkprogramma automātiski pārsūta informāciju par viņa IP adresi un pārlūkprogrammas virkni (browser string) Facebook Ireland. Šīs informācijas pārsūtīšana notiek bez nepieciešamības faktiski nospiest Facebook pogu “Patīk”.
.Šajā lietā daudzsološs bija jau ģenerāladvokāta M.Bobeka viedoklis, kas cita starpā noteica, ka nevar atbildēt par to par ko nav faktiska kontrole, vienlaicīgi, norādot, ka atbildībai tomēr būtu jābūt par tiem datu apstrādes procesiem, kurus tā ir inicējusi. Te lieti atcerēties personas datu apstrādes termina skaidrojumu, ka "apstrāde" ietver ļoti daudz un dažādas "-šanas", kas sākas ar ievākšanu un beidzas ar dzēšanu.
Ko tad tiesa izlēma?
faktiski izlēma pievienoties ģenerāladvokāta viedoklim, pēc tam, kad bija paskaidrojusi kā " strādā" internets: "[..] viena no interneta iezīmēm ir iespēja ļaut tīmekļa vietnes apmeklētāja pārlūkprogrammai piedāvāt dažādo avotu saturu. Tādejādi, piemēram, fotoattēli, videomateriāli, ziņas, kā arī šajā lietā aplūkotā Facebook poga "Patīk" var tikt sasaistīta ar kādu tīmekļvietni un tajā atrasties. Ja tīmekļavietnes pārvaldītājs vēlas ievietot šos ārējos saturus, tas savā vietnē ievieto saiti uz ārējo saturu. Līdzko minētās vietnes apmeklētāja pārlūkprogramma atver šo saiti, tā pieprasa ārējo saturu un to ievieto vietnes attēlojumā vēlamajā vietā.Tālab pārlūkprogramma paziņo ārējā piedāvātāja serverim šā apmeklētāja datora IP adresi, kā arī pārlūkprogrammas tehniskos datus, lai serveris varētu noteikt, kādā formātā saturs ir nogādājams uz šo adresi. Tīmekļvietnes pārvaldītājs, kas piedāvā ārējo saturu, ievietojot to šajā vietnē, nevar noteikt nedz to, kurus datus pārlūkprogramma pārsūta, nedz to, ko ārējais piedāvātājs ar šiem datiem dara, konkrēti vai tas nolemj tos uzglabāt un izmantot."
Proti, saskaņā ar Tiesas ieskatiem tīmekļvietnes pārvaldītājs kā Fashion ID GmbH & Co. KG, kas šajā vietnē ievieto sociālo spraudni, kurš ļauj šīs vietnes apmeklētāja pārlūkprogrammai pieprasīt saturu no šā spraudņa piedāvātāja un tālab pārsūtīt šim piedāvātājam apmeklētāja personas datus, var tikt uzskatīts par [pārzini]. Tomēr šī atbildība attiecas tikai uz to personas datu apstrādes darbību vai šādu darbību kopumu, kuru nolūkus un līdzekļus tā faktiski nosaka, proti, attiecīgo datu vākšanu un atklāšanu [Facebook], pielietojot pārsūtīšanu.Tāpat Tiesa norādīja, ka abām pusēm, gan tai, kas nodod datus, gan tai, kas saņem datus ir jāizvērtē leģitīmās intereses (datu apjoms, kas tiek apstrādāts un vai tas ir atbilstošs personas datu apstrādes nolūkam).
Un šī laikam pat ir visinteresantākā sadaļa. Ikdienā leģitīmo interešu vērtēšana notiek retos gadījumos. Ja arī notiek, tad nereti "projekta darba grupa" sajūtu līmenī izlemj vai attiecīgās datu apstrādes process ir ok vai ne, kur nu vēl, lai kāds dokumentētu šo "sajūtu", kā to faktiski pieprasa Regula pārskatatbildības principa ietvaros. Lai veiktu šo "leģitīmās intereses" izvērtējumu ir jāiedziļinās un jāizvērtē process, kas protams prasa enerģiju un laiku...
Vai tiesa "salauza" internetu? Domāju, ka nē. Jā, ievērojot šajā spriedumā minēto "internets" kļūs smagnējāks ar dažādiem paziņojumiem par to, kas kurā mirklī ir pārzinis, ar paziņojumiem, ka x lapā pārzinis ir ne tikai x uzņēmums, bet vēl
y, w,z uzņēmumi. Ok, iespējams, tā ir tikai mana ilūzija, ka tā notiks (vajadzētu notikt), bet faktiski nekas nemainīsies, jo .... 2..3.....xx spriedumi nav tiesu prakse....Manuprāt, Tiesa šajā spriedumā tik nostiprināja to, ka arī darbojoties digitālajā vidē, nevar būt procesi, par kuriem no datu aizsardzības viedokļa neviens neatbild jeb nav atbalstāma prakse, kad vieglāk ir ierakstīt privātuma politikās, paziņojumos, ka par xx apstrādi ir atbildīga tā tur "cita" trešā puse, es jau neko.... Personas datu apstrāde nav mistisks jēdziens, bet gan process ar daudzām -šanām, kur uz katru no šīm - šanām, var mainīties atbildīgo loks un ikdienā realizējot personas datu apstrādi ir lietderīgi noskaidrot ar kuru spēlētāju attiecīgajā brīdī tiek dalīta atbildība. Protams, praksē tas prasīs milzīgu darbu, lai saprastu procesus par kuriem līdz šim neviens īsti nav vēlējies zināt... un man ir sajūta, ka sākot iedziļināties sāks ieraudzīt arī digitālo iespēju tumšo pusi un daudziem "mati celsies stāvus"...
Proti, saskaņā ar Tiesas ieskatiem tīmekļvietnes pārvaldītājs kā Fashion ID GmbH & Co. KG, kas šajā vietnē ievieto sociālo spraudni, kurš ļauj šīs vietnes apmeklētāja pārlūkprogrammai pieprasīt saturu no šā spraudņa piedāvātāja un tālab pārsūtīt šim piedāvātājam apmeklētāja personas datus, var tikt uzskatīts par [pārzini]. Tomēr šī atbildība attiecas tikai uz to personas datu apstrādes darbību vai šādu darbību kopumu, kuru nolūkus un līdzekļus tā faktiski nosaka, proti, attiecīgo datu vākšanu un atklāšanu [Facebook], pielietojot pārsūtīšanu.Tāpat Tiesa norādīja, ka abām pusēm, gan tai, kas nodod datus, gan tai, kas saņem datus ir jāizvērtē leģitīmās intereses (datu apjoms, kas tiek apstrādāts un vai tas ir atbilstošs personas datu apstrādes nolūkam).
Un šī laikam pat ir visinteresantākā sadaļa. Ikdienā leģitīmo interešu vērtēšana notiek retos gadījumos. Ja arī notiek, tad nereti "projekta darba grupa" sajūtu līmenī izlemj vai attiecīgās datu apstrādes process ir ok vai ne, kur nu vēl, lai kāds dokumentētu šo "sajūtu", kā to faktiski pieprasa Regula pārskatatbildības principa ietvaros. Lai veiktu šo "leģitīmās intereses" izvērtējumu ir jāiedziļinās un jāizvērtē process, kas protams prasa enerģiju un laiku...
Vai tiesa "salauza" internetu? Domāju, ka nē. Jā, ievērojot šajā spriedumā minēto "internets" kļūs smagnējāks ar dažādiem paziņojumiem par to, kas kurā mirklī ir pārzinis, ar paziņojumiem, ka x lapā pārzinis ir ne tikai x uzņēmums, bet vēl
y, w,z uzņēmumi. Ok, iespējams, tā ir tikai mana ilūzija, ka tā notiks (vajadzētu notikt), bet faktiski nekas nemainīsies, jo .... 2..3.....xx spriedumi nav tiesu prakse....Manuprāt, Tiesa šajā spriedumā tik nostiprināja to, ka arī darbojoties digitālajā vidē, nevar būt procesi, par kuriem no datu aizsardzības viedokļa neviens neatbild jeb nav atbalstāma prakse, kad vieglāk ir ierakstīt privātuma politikās, paziņojumos, ka par xx apstrādi ir atbildīga tā tur "cita" trešā puse, es jau neko.... Personas datu apstrāde nav mistisks jēdziens, bet gan process ar daudzām -šanām, kur uz katru no šīm - šanām, var mainīties atbildīgo loks un ikdienā realizējot personas datu apstrādi ir lietderīgi noskaidrot ar kuru spēlētāju attiecīgajā brīdī tiek dalīta atbildība. Protams, praksē tas prasīs milzīgu darbu, lai saprastu procesus par kuriem līdz šim neviens īsti nav vēlējies zināt... un man ir sajūta, ka sākot iedziļināties sāks ieraudzīt arī digitālo iespēju tumšo pusi un daudziem "mati celsies stāvus"...