Tag Archives: лични данни

Бихте ли позволили да ви следи застрахователят срещу по-ниска вноска?

Post Syndicated from Боян Юруков original https://yurukov.net/blog/2018/telematik/

Когато сключвах гражданската за колата заедно с каско в Германия, забелязах, че някои от застрахователите предлагат т.н. телематик пакети. Днес искам да ви разкажа за тях. Най-общо включват изискване да се следи колата с някакво техническо средство. Данните от това следене произвеждат индекс, на базата на който ти връщат част от парите за гражданската и каското. Идеята е, че така награждават тези, които карат по-внимателно, по-бавно и на места, където има по-малка концентрация на инциденти.

Общо взето почти всички големи застрахователи предлагат такива пакети. На цена са същите като сходните като покритие и условия, но без телематик устройство. От скоро дори самото устройство е безплатно като преди това е трябвало да платиш 30-40 евро за него. Устройството има GPS и GSM и или се вгражда в колата, или се вкарва просто в запалката. Моето е от вторите. Условията са такива, че ако не използваш устройството или ако караш лошо, просто не получаваш бонус. За лошо каране не получаваш негативен индекс и не ти се вдига застраховката.

Това далеч не означава, че при инцидент това не се случва. Когато одрах колата в края на миналата година и минах ремонта през каското, веднага ми вдигнаха вноската за следващата година с доста. И сега в немските автозастраховки има аналогична система на бонуси като описаната тук, но е година за година – ако нямаш инцидент, ти вдигат класата, а от там и вноската. Всеки инцидент, дори най-малкия, те връща назад – често до ниво 0. Това стана и с мен. Затова нерядко хората предпочитат да правят по-малките ремонти за свои разноски, тъй като доплащането плюс вдигането на вноската ще им излезе по-скъпо.

При телематик обаче това следене и оценка е постоянно. Това води до няколко интересни странични ефекта. Поне при мен. Първият е, че внимаваш къде караш. Системата прави оценка на всяко пътуване. Измерва скорост – дали си превишавал скоростта или си карал прекалено бързо там, където няма ограничение; стил на каране – дали си спирал или завивал рязко; пътища – дали си карал по натоварени градски пътища или по места с висока концентрация на произшествия; време – дали си карал в час пик и дни, в които има повече произшествия. Всички тези данни се събират и оформят индекс за всеки компонент и за всяко пътуване. Това тук, например е от около 40 мин. в неделен следобед почти само по магистрали и със сравнително ниска скорост. Затова резултатът е почти идеален.

Всеки от компонентите може да се следи също така през времето. Тези двете са за улиците, по които карам (предимно градско) и времето (най-вече вечер и събота).

Вторият ефект е, че внимаваш доста повече за скоростта. Нерядко като видя знак на 300 метра пред мен за увеличение на скоростта от 50 на 80 и давам газ от рано. На няколко места във Франкфурт понякога слагат мобилни камери специално за такива случаи. Тази система обаче ми показва къде съм превишил и с колко.

Не на последно място, има и реално намаление. Всички компоненти водят до определен процент и тъй като карам внимателно и не превишавам почти скоростта, получавам 20% намаление само от това. Тъй като времето и улиците, по които карам са една идея по-добри от средното, получавам още 3% надолу. Като пари не са малко предвид колко скъпи са застраховките в Германия. Различните застрахователи имат различна тежест за тези компоненти и максималният процент на бонуса се различава. Практически невъзможно е обаче да се постигнат рекламираните 30% от застрахователя ми.

Една от причините са дефектите в системата. Най-малкото има проблем с GPS и GMS връзката. Машинката е губила сигнали по магистрали в продължение на стотици километри. До голяма степен вина за това има скапаната мобилна мрежа в Германия, която практически се губи в междуградското пространство. Резултатът е, че системата решава (явно), че съм летял и ме наказва за несъобразена скорост. Оценят и пътя, който не са те засекли предполагайки от къде си минал и смятайки времето, което ти е трябвало, за да го минеш.

Дори в градовете обаче има проблем. Особено между високите сгради във Франкфурт и почти перманенто сиво облачно време през две-трети от годината, GPS сигналът е с ниска точност или изчезва. Така те засичат на грешни улици, където разрешената скорост е съвсем друга. Не отчитат, че няма как да си прескочил през сградите. В други случаи просто решава, че си в друг край на града. На теория има начин да се оспорят тези проблеми. Пробвал съм го три пъти, но без резултат. В крайна сметка времето и сметката за телефон ще ти излезе по-голяма от 10-20 сгрешени оценки за година.

По-сериозният проблем обаче са личните данни. Тук на практика даваш пълно право на някого да те следи постоянно. Знаят къде ходя, колко седя, къде е колата ми и дори каква е рутината ми през седмицата. В замяна наистина получавам обратно пари, но това означава, че просто продавам личните си данни. Това е причината доста немци да подхождат със съмнение към този вид пакети. Немците се гордеят с това, че са буквално войнствени, когато опре до защита на личните им данни. Една колежка дори с гордост разправяше как е била на протестите, с които са спрели държавата да прави истински преброявания, защото „не може така да ти влизат в дома и да броят“. Всичко това е доста забавно имайки предвид, че тя също както 25% от населението на Германия има и активно използва карта Payback, които дават бонус към всяка покупка в 600 различни вериги магазини. Уловката е, че имат право да продават абсолютно всичко за теб на когото си искат. Кога, какво, колко и колко често купуваш, с какво си платила, кой е адреса ти, името ти и прочие. В известен смисъл имат и точното ми местоположение и то дори по-точно от кутията на колата ми. При това продават не анонимизирана статистика, а пакети с лични данни на милиони клиенти.

При телематик пакетите това все още го няма. По договор данните може да се използват единствено и само за изготвяне на индекса и нищо повече. Не може да се предават на трети лица или дори да се използват за вдигане на вноската по застраховката, за които има точно определени критерии. По закон – още повече след GDPR – дори застрахователя няма достъп до данните физически, а системата и изготвянето на индекса се управлява от отделна фирма, която наемат. Те само получават два пъти в годината число колко трябва да ми върнат.

Това далеч не означава, че нещата ще останат така. Колкото повече хора използват услугата, толкова повече ще се повишават застраховките за всички останали. Така в един момент всички ще бъдат следени колко добре карат и наказвани на момента за лошо поведение. В известен смисъл разглеждайки всички тези данни вкуп и компаниите, които ги събират и обработват, прозира нещо подобно на това, което се изгражда в Китай. Там с камери и редица източници на информация се изготвя т.н. „социален индекс“. Който пресече на червено и камера разпознае лицето му – технология широко използвана навсякъде от десетилетие – ще получи негативни точки, например. Хората с нисък индекс губят достъп до определени услуги и възможности в обществото.

Ще ни се да мислим, че това е невъзможно в Европа, още повече, че в Китай видимо се използва, за да открива, следи и изолира дисиденти. Системи изграждани от частни компании обаче позволяват различни аспекти. При това, както аз направих, ги приемаме с отворени обятия, защото не отнемат, а дават бонуси. Накрая най-вероятно същите държавни служби имат достъп до данните, но в случая имаме поне чувството за контрол, тъй като сме прочели договор, разбрали сме го и сме го подписвали. Тоест сме се съгласили изрично. Поне така си мислим.

Тази дилема със следенето отдавна я няма при големите технологични гиганти. Google, Facebook и Apple отдавна са разкрили, че ни следят. Google наскоро отново призна, че дори да се спрат всички настройки за следене на телефона, пак ни следят. С други думи, всичко това, което предоставям като информация използвайки тази малка кутийка, е само част от това, което Google или Facebook знае за живота ми през телефона ми. Това не е никакво успокоение, но поне тия ми връщат някакви пари.

Не твърдя, че това е добро решение. Сигурен съм, че ще се явят онези, които ще подкрепят идеята, че ако караш внимателно следва да плащаш по-малко. В това отношение системата определено работи. Още повече, че поне при мен има определено и психологическия ефект. Получава се малко като игра – нерядко съм отварял сайта малко след като паркирам, за да видя как съм се справил. От друга страна обаче чрез покачващите се вноски ще бъдат наказвани онези, които не искат да бъдат следени и то наравно с джигитите.

Съд на ЕС: предоставяне на потребителски данни на полицията – кога?

Post Syndicated from nellyo original https://nellyo.wordpress.com/2018/05/16/ecj_privacy/

Известно е Заключението на Генералния адвокат по дело  C‑207/16 въз основа на преюдициално запитване, отправено от Audiencia Provincial de Tarragona (съд на провинция Тарагона, Испания).

Запитването се отнася до тълкуването на понятието „тежки престъпления“ по смисъла на практиката на Съда, установена с решение Digital Rights Ireland и решение Tele2 Sverige и Watson  – в които това понятие се използва като критерий за преценка на законосъобразността и пропорционалността на намесата в правата по членове 7 и 8 от Хартата на основните права на Европейския съюз  –  именно съответно правото на зачитане на личния и семейния живот, както и правото на защита на личните данни.

Запитване е направено в контекста на производство по жалба против съдебно решение, с което на полицейски органи е отказана възможността да им бъдат предадени   данни, притежавани от мобилни телефонни оператори, с цел идентифициране на лица за нуждите на наказателно разследване. Обжалваното решение е мотивирано по-специално със съображението, че деянията, предмет на това разследване, не съставляват тежко престъпление, в разрез с изискванията на приложимата испанска правна уредба.

Въпросите:

„1)      Може ли достатъчната тежест на престъплението като критерий, обосноваващ засягането на признатите в членове 7 и 8 от [Хартата] основни права, да се определи единствено с оглед на наказанието, което може да се наложи за разследваното престъпление, или е необходимо освен това да се установи, че с престъпното деяние се увреждат в особена степен индивидуални и/или колективни правни интереси?

2)      Евентуално, ако определянето на тежестта на престъплението с оглед единствено на наказанието, което може да се наложи, отговаря на конституционните принципи на Съюза, приложени от Съда на ЕС в решението му [Digital Rights] като критерии за строг контрол на Директивата[, обявена за невалидна с това решение], то какъв следва да е минималният праг за наказанието? Допустимо ли е по общ начин да се предвиди праг от три години лишаване от свобода?“.

Тоиз разговор е добре известен на българите от времето на прилагането на Директива 24/2006/ЕС за задържане на трафичните данни, обявена от Съда за невалидна. Тогава имаше разногласия по въпроса кое е тежко и кое е сериозно престъпление и как целта за защита на обществения интерес се съотнася с правото на защита на личния живот и личната кореспонденция. Генералният адвокат също прави препратка към Директива 24/2006/ЕС.

ГА по първия въпрос:

90.      Според мен следва да се внимава, за да не се възприеме твърде широко разбиране относно изискванията, поставени от Съда с тези две решения, за да не се препятства, или поне не прекомерно, възможността на държавите членки да дерогират установения от Директива 2002/58 режим, която им е предоставена с член 15, параграф 1 от същата, в случаите, в които разглежданите намеси в личния живот едновременно преследват законна цел и са с ограничен обхват, каквито е възможно да настъпят в случая в резултат от искането на разследващата полицейска служба. По-конкретно считам, че правото на Съюза допуска възможността за компетентните органи да имат достъп до държаните от доставчици на електронни съобщителни услуги данни за идентификация, позволяващи да се издирят предполагаемите извършители на престъпление, което не е тежко.

91.      С оглед на това препоръчвам на Съда да отговори на преформулирания преюдициален въпрос, че член 15, параграф 1 от Директива 2002/58 във връзка с членове 7 и 8 и член 52, параграф 1 от Хартата трябва да се тълкува в смисъл, че мярка, която за целите на борбата с престъпленията дава на компетентните национални органи достъп до идентификационните данни на ползвателите на телефонни номера, активирани с определен мобилен телефон през ограничен период, при обстоятелства като разглежданите в главното производство води до намеса в гарантираните от споменатата директива и Хартата основни права, която не е толкова сериозна, че да налага такъв достъп да се предоставя само в случаите, в които съответното престъпление е тежко.

ГА по втория въпрос:

96.      Според мен право да определят какво представлява „тежко престъпление“ имат по принцип компетентните органи на държавите членки. Независимо от това, благодарение на преюдициалните запитвания, с които юрисдикциите на държавите членки могат да сезират Съда, същият е натоварен да следи за спазването на всички изисквания, произтичащи от правото на Съюза, и по-специално да осигури последователно прилагане на закрилата, предоставена от разпоредбите на Хартата.

107.  Ако понятието „тежко престъпление“ по смисъла на съдебната практика, установена с решения Digital Rights и Tele2, бъде прието от Съда за самостоятелно понятие на правото на Съюза, то би трябвало да се тълкува в смисъл, че тежестта на дадено престъпление, която може да оправдае достъпа на компетентните национални органи до лични данни съгласно член 15, параграф 1 от Директива 2002/58, трябва да се измерва, като се вземат предвид не само наказанията, които е възможно да бъдат наложени, но и съвкупност от други обективни критерии за преценка като упоменатите по-горе.

121. В заключение считам, че ако Съдът постанови — в разрез с това, което препоръчвам — че за да се квалифицира престъплението като „тежко“ по смисъла на неговата практика, установена с решение Digital Rights, следва да се отчита единствено предвиденото наказание, на втория преюдициален въпрос би следвало да се отговори, че държавите членки са свободни да определят минималния размер на съответното наказание за целта, стига да спазват изискванията, произтичащи от правото на Съюза, и по-специално онези изисквания, съгласно които намесата в основните права, гарантирани с членове 7 и 8 от Хартата, трябва да остане изключение и да бъде съобразена с принципа на пропорционалност.

Да напиша и името на този Генерален адвокат – Henrik Saugmandsgaard Øe от Дания. Успял да застане едновременно на най-разнообразни позиции, като един електрон.

КЗЛД: Информационно-разяснителни материали по Регламент 2016/679 (GDPR)

Post Syndicated from nellyo original https://nellyo.wordpress.com/2018/05/15/gdpr-4/

Информационно-разяснителни материали по Регламент (ЕС) 2016/679 (Общ регламент за защитата на данните)

Седем мита за GDPR

Post Syndicated from Bozho original https://blog.bozho.net/blog/3105

GDPR, или новият Общ регламент относно защитата на данните, е гореща тема, тъй като влиза в сила на 25-ти май. И разбира се, публичното пространство е пълно с мнения и заключения по въпроса. За съжаление повечето от тях са грешни. На база на наблюденията ми от последните месеци реших да извадя 7 мита за Регламента.

От края на миналата година активно консултирам малки и големи компании относно регламента, водя обучения и семинари и пиша технически разяснения. И не, не съм юрист, но Регламентът изисква познаване както на правните, така и на технологичните аспекти на защитата на данните.

1. „GDPR ми е ясен, разбрал съм го“

Най-опасното е човек да мисли, че разбира нещо след като само е чувал за него или е прочел две статии в новинарски сайт (както за GDPR така и в по-общ смисъл). Аз самият все още не твърдя, че познавам всички ъгълчета на Регламента. Но по конференции, кръгли маси, обучения, срещи, форуми и фейсбук групи съм чул и прочел твърде много глупости относно GDPR. И то такива, които могат да се оборят с „Не е вярно, виж чл. Х“. В тази категория за съжаление влизат и юристи, и IT специалисти, и хора на ръководни позиции.

От мита, че познаваме GDPR, произлизат и всички останали митове. Част от вината за това е и на самия Регламент. Дълъг е, чете се трудно, има лоши законодателни практики (3 различни хипотези в едно изречение??) и нито Европейската Комисия, нито някоя друга европейска институция си е направила труда да го разясни за хората, за които се отнася – а именно, за почти всички. Т.нар. „работна група по чл. 29 (от предишната Директива)“ има разяснения по някои въпроси, но те са също толкова дълги и трудно четими ако човек няма контекст. При толкова широкообхватно законодателство е голяма грешка то да се остави нерязяснено. Да, в него има много нюанси и много условности (което е друг негов минус), но е редно поне общите положения да бъдат разказани ясно и то от практическа гледна точка.

Така че не – да не си мислим, че сме разбрали GDPR.

2. „Личните данни са тайна“

Определението за лични данни в Регламента може би характеризира целия Регламент – трудно четима и „увъртяно“:

„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

Всъщност лични данни са всичко, което се отнася за нас. Включително съвсем очевидни неща като цвят на очи и коса, ръст и т.н. И не, личните данни не са тайна. Имената ни не са тайна, ръстът ни не е тайна. ЕГН-то ни не е тайна (да, не е). Има специални категории лични данни, които могат да бъдат тайна (напр. медицински данни), но за тях има специален ред.

Разграничаването, което GDPR не прави ясно, за разлика от едно разяснение на NIST – има лични данни, на база на които хората могат да бъдат идентифицирани, и такива, с които не могат, но се отнасят за тях. По цвят на косата не можем да бъдем идентифицирани. Но цветът на косата представлява лични данни. По професия не можем да бъдем идентифицирани. (По три имена и професия обаче – евентуално може и да можем). И тук едно много важно нещо, посочено в последните изречения на съображение 26 – данни, които са лични, но не могат да бъдат отнесени към конкретно лице, и на база на които не може да бъде идентифицирано такова, не попадат в обхвата на регламента. И съвсем не са тайна – „имаме 120 клиента на възраст 32 години, които са си купили телефон Sony между Април и Юли“ е напълно окей.

Та, личните данни не са та тайни – някои даже са съвсем явни и видни. Целта на GDPR е да уреди тяхната обработка с автоматизирани средства (или полуавтоматизирани в структуриран вид, т.е. тетрадки). С други думи – кой има право да ги съхранява, за какво има право да ги използва и как трябва да ги съхранява и използва.

3. „GDPR не се отнася за мен“

Няма почти никакви изключения в Регламента. Компании под 250 души не са длъжни да водят едни регистри, а компании, които нямат мащабна обработка и наблюдение на субекти на данни нямат задължение за длъжностно лице по защита на данните (Data protection officer; тази точка е дискусионна с оглед на предложенията за изменения на българския закон за защита на личните данни, които разширяват прекалено много изискванията за DPO). Всичко останало важи за всички, които обработват лични данни. И всички граждани на ЕС имат всички права, посочени в Регламента.

4. „Ще ни глобят 20 милиона евро“

Тези глоби са единствената причина GDPR да е популярен. Ако не бяха те, на никого нямаше да му дреме за поредното европейско законодателство. Обаче заради плашещите глоби всякакви консултанти ходят и обясняват как „ами те глобите, знаете, са до 20 милиона“.

Но колкото и да се повтарят тези 20 милиона (или както някои пресоляват манджата „глоби над 20 милиона евро“), това не ги прави реалистични. Първо, има процес, който всички регулатори ще следват, и който включва няколко стъпки на „препоръки“ преди налагане на глоба. Идва комисията, установява несъответствие, прави препоръки, идва пак, установява взети ли са мерки. И ако сте съвсем недобросъвестни и не направите нищо, тогава идват глобите. И тези глоби са пропорционални на риска и на количеството данни. Не е „добър ден, 20 милиона“. Според мен 20-те милиона ще са само за огромни международни компании, като Google и Facebook, които обработват данни на милиони хора. За тетрадката с вересиите глоба няма да има (правото да бъдеш забравен се реализира със задраскване, но само ако магазинерът няма легитимен интерес да ги съхранява, а именно – да му върнете парите :)).

Тук една скоба за българското законодателство – то предвижда доста високи минимуми на глобите (10 хил. лева). Това се оспорва в рамките на общественото обсъждане и е несъразмерно на минимумите в други европейски държави и се надявам да спадне значително.

5. „Трябва да спрем да обработваме лични данни“

В никакъв случай. GDPR не забранява обработката на лични данни, просто урежда как и кога те да се обработват. Имате право да обработвате всички данни, които са ви нужни, за да си свършите работата.

Някои интернет компании напоследък обявиха, че спират работа заради GDPR, защото не им позволявал да обработват данни. И това в общия случай са глупости. Или те така или иначе са били на загуба и сега си търсят оправдание, или са били такъв разграден двор и са продавали данните ви наляво и надясно без ваше знание и съгласие, че GDPR представлява риск. Но то това му е идеята – да няма такива практики. Защото (както твърди Регламентът) това представлява риск за правата и свободите на субектите на данни (субект на данните – това звучи гордо).

6. „Трябва да искаме съгласие за всичко“

Съгласието на потребителите е само едно от основанията за обработка на данните. Има доста други и те дори са по-често срещани в реалния бизнес. Както отбелязах по-горе, ако можете да докажете легитимен интерес да обработвате данните, за да си свършите работата, може да го правите без съгласие. Имате ли право да събирате адреса и телефона на клиента, ако доставяте храна? Разбира се, иначе не може да му я доставите. Няма нужда от съгласие в този случай (би имало нужда от съгласие ако освен за доставката, ползвате данните му и за други цели). Нужно ли е съгласие за обработка на лични данни в рамките на трудово правоотношение? Не, защото Кодекса на труда изисква работодателят да води трудово досие. Има ли нужда банката да поиска съгласие, за да ви обработва личните данни за кредита? Не, защото те са нужни за изпълнението на договора за кредит (и не, не можете да кажете на банката да ви „забрави“ кредита; правото да бъдеш забравен важи само в някои случаи).

Усещането ми обаче е, че ще плъзнат едни декларации и чекбоксове за съгласие, които ще са напълно излишни…но вж. т.1. А дори когато трябва да ги има, ще бъдат прекалено общи, а не за определени цели (съгласявам се да ми обработвате данните, ама за какво точно?).

7. „Съответсвието с GDPR е трудно и скъпо“

…и съответно Регламентът е голяма административна тежест, излишно натоварване на бизнеса и т.н. Ами не, не е. Съответствието с GDPR изисква осъзната обработка на личните данни. Да, изисква и няколко хартии – политики и процедури, с които да докажете, че знаете какви лични данни обработвате и че ги обработвате съвестно, както и че знаете, че гражданите имат някакви права във връзка с данните си (и че всъщност не вие, а те са собственици на тези данни), но извън това съответствието не е тежко. Е, ако хал хабер си нямате какви данни и бизнес процеси имате, може и да отнеме време да ги вкарате в ред, но това е нещо, което по принцип e добре да се случи, със или без GDPR.

Ако например досега в една болница данните за пациентите са били на незащитен по никакъв начин сървър и всеки е имал достъп до него, без това да оставя следа, и също така е имало още 3-4 сървъра, на които никой не е знаел, че има данни (щото „IT-то“ е напуснало преди 2 години), то да, ще трябват малко усилия.

Но почти всичко в GDPR са „добри практики“ така или иначе. Неща, които са полезни и за самия бизнес, не само за гражданите.

Разбира се, синдромът „по-светец и от Папата“ започва да се наблюдава. Освен компаниите, които са изсипали милиони на юристи, консултанти, доставчици (и което накрая е имало плачевен резултат и се е оказало, че за един месец няколко човека могат да я свършат цялата тая работа) има и такива, които четат Регламента като „по-добре да не даваме никакви данни никъде, за всеки случай“. Презастраховането на големи компании, като Twitter и Facebook например, има риск да „удари“ компании, които зависят от техните данни. Но отново – вж. т.1.


В заключение, GDPR не е нещо страшно, не е нещо лошо и не е „измислица на бюрократите в Брюксел“. Има много какво да се желае откъм яснотата му и предполагам ще има какво да се желае откъм приложението му, но „по принцип“ е окей.

И както става винаги със законодателства, обхващащи много хора и бизнеси – в началото ще има не само 7, а 77 мита, които с времето и с практиката ще се изяснят. Ще има грешки на растежа, има риск (особено в по-малки и корумпирани държави) някой „да го отнесе“, но гледайки голямата картинка, смятам, че с този Регламент след 5 години ще сме по-добре откъм защита на данните и откъм последици от липсата на на такава защита.

Facebook изключва милиард и половина потребители от обхвата на GDPR

Post Syndicated from nellyo original https://nellyo.wordpress.com/2018/04/19/facebook-13/

Под това заглавие (ексклузивно) Reuters информира за следното:

Потребителите на Facebook (извън Съединените щати и Канада), независимо дали   знаят или не,  сега имат договор за услугата с компанията Facebook със седалище в Ирландия. Както Google,  LinkedIn и други компании,  Facebook също работи чрез калифорнийска и ирландска компания –  Facebook Inc/Калифорния, Менло Парк  u Facebook Ireland – като последното е под ирландска юрисдикция.

Facebook планира договорът c Facebook Ireland  да остане валиден само за европейски потребители, т.е. 1,5 милиарда потребители от Африка, Азия, Австралия и Латинска Америка няма да попаднат в обхвата на Общия регламент за защита на данните на Европейския съюз (GDPR), който влиза в сила на 25 май 2018 г. Най-голямата онлайн социална мрежа в света   намалява обхвата на прилагане на GDPR – регламентът позволява на европейските регулаторни органи да наказват компаниите за събиране или използване на лични данни без съгласието на потребителите.

Така се избягва огромен риск, пише Reuters,   тъй като новият регламент позволява да се налагат глоби в размер до 4% от глобалните годишни приходи за нарушения –  в случая с Facebook това означава  милиарди долари.

В същото време Зукърбърг е говорил вчера на конференция в Сан Хосе, Калифорния и е казал, че   въвежда нови настройки за защита на личния живот и личните данни в Европа, които в крайна сметка щели да обхванат потребителите по целия свят.”Ние не само искаме да спазваме закона, но и надхвърлим задълженията си и да изграждаме нови и по-добри практики за поверителност за всеки във Facebook”.

EС: лични данни на пътниците, писмо на WG29

Post Syndicated from nellyo original https://nellyo.wordpress.com/2018/04/14/pnr-11/

Личниет  данни на пътниците (PNR) са сложен въпрос, изискващ повишено внимание поради различната степен на защита на личните данни в ЕС и в трети страни.

На 26 юли 2017 г. Съдът на Европейския съюз (СЕС) констатира в своето становище 1/2015 по повод  споразумението ЕС – Канада за PNR, че то   е частично несъвместимо с членове 7, 8, 21 и 52 от Хартата на ЕС за основните права.

Работната група 29 (WP29), включваща представители на националните регулатори в областта на данните, публикува писмо, в което изразява тревогата си, че   до  момента няма  данни  становището да е взето предвид – както в споразумението ЕС- Канада, така и  в досиетата на другите споразумения за PNR с Австралия  и Съединените щати.

Правни актове на ЕС продължават да се прилагат, без да са в съответствие с Хартата на основните права на ЕС  според становището на Съда на ЕС.

WP29 излага подробни аргументи по повод противоречия, неясни и непрецизни формулировки.

Колективен иск срещу Facebook и CA

Post Syndicated from nellyo original https://nellyo.wordpress.com/2018/04/11/facebook-ca/

Както съобщава The Guardian, британски и американски адвокати започват производство по колективен иск срещу Facebook, Cambridge Analytica,  SCL Group Limited и Global Science Research Limited (GSR)   за предполагаема злоупотреба с личните данни на повече от 71 милиона души. Седем индивидуални ищци, всички потребители на Facebook – пет американци и двама британци – са инициатори на процеса.

Според тях компаниите са получили лични данни на потребителите от социалната медийна мрежа, за да разработят пропагандни кампании  в Обединеното кралство и САЩ.  Александър Коган създава психологически тест, който изисква от хората да използват своите идентификационни данни за вход в Facebook, за да проведат теста. Приблизително 270 000 потребители на Facebook инсталират приложението и дават личната си информация на Коган и Cambridge Analytica. Дизайнът на приложението  позволява   да се събират личните данни на повече от 72 милиона потребители на Facebook, които са били приятели на първоначалните 270 000 потребители. Данните включват имена, телефонни номера, пощенски и имейл адреси, политически и религиозни връзки и други интереси. Те са използвани за психологически профили на гласоподавателите, които да повлияят на изборите в Обединеното кралство и САЩ. Може и да са повлияли, по някои оценки ролята на дезинформацията при кампаниите е достатъчно съществена.

Facebook  не реагира отговорно и навреме, за да защити данните.

Законодателството предвижда минимална глоба от 1000 щ.д. за всяко нарушение, установено от съда, което означава, че ако решението е против Facebook, компанията би могла да понесе щети над 70 милиарда долара.

 

 

 

Практически въпроси на защитата на личните данни след 25 май 2018

Post Syndicated from nellyo original https://nellyo.wordpress.com/2018/04/10/gdpr-2/

Комисията за защита на личните данни предлага този материал в помощ на прилагането на GDPR.

Практически въпроси на защитата на личните данни след 25 май 2018

Съгласие за обработване на лични данни

Правото да бъдеш забравен
Профилиране
Длъжностно лице по защита на данните
Отчетност
Оценка на въздействието
Защитата на личните данни на етапа на проектирането (privacy by design) и по подразбиране (privacy by default)
 Административно-наказателна отговорност

Не е само Фейсбук – следят ви хиляди компании

Post Syndicated from Григор original http://www.gatchev.info/blog/?p=2127


Попаднах днес на статия в CNN от Брюс Шнайер – експерт по ИТ сигурност, който уважавам изключително много. След кратък размисъл реших, че ще я преведа и пусна тук. Да, нарушение на копирайт е – но е толкова важно и така нужно да се знае от всеки, че съм склонен да поема риска.

—-

Събудени от скандала с Cambridge Analytica, новинарски статии и коментатори се съсредоточиха върху това какво знае Facebook за нас. Оказва се, че е много. Събира данни от нашите публикации, лайковете ни, снимките ни. От нещата, които започваме да пишем, но се отказваме да ги публикуваме. Дори неща, които правим, докато не сме логнати в него – или дори когато сме офлайн. Купува информация за нас от други фирми. И може да разбере от тях за нас и много повече – сексуалната ни ориентация, политическите ни възгледи, дали сме обвързани, какви лекарства пием и много личностови характеристики. Дори ако не сме попълвали личностовия тест на Cambridge Analytica. (Чрез който тази фирма източваше данните ни и данните на приятелите ни – Григор.)

Но при всяка статия, която описва колко гадно ни следи Facebook, хиляди други компании въздъхват с облекчение. Че тези статии обсъждат Facebook, а не тях. Защото е вярно, че Facebook е един от най-големите играчи в тази игра, но и хиляди други фирми ни шпионират и манипулират за своя финансова изгода.

Професорката в Харвард Бизнес Скул Шошана Лубоф нарича това „следящ капитализъм“. Колкото и плашещ да се оказва Facebook, цялостната тази индустрия е далеч по-плашеща. Тя съществува тайно от вече прекалено дълго време, и е крайно време законодателите да изкарат тези фирми пред очите на публиката. За да можем всички да решим така ли искаме да действа нашето общество, и ако не, какво следва да се направи.

В Съединените Щати има между 2500 и 4000 брокери, които се занимават с това да купуват и продават нашите лични данни. Преди година в новините попадна Equifax, когато хакери откраднаха от нея личната информация на 150 милиона души, включително номерата на социалните им осигуровки, рождените дати, адресите и номерата на шофьорските им книжки. (Тоест, абсолютно всичко, което в САЩ идентифицира дадена личност – Григор.)

Вие с гаранция не сте давали на тази фирма разрешение да събира личната ви информация. Equifax е една от хилядите фирми – брокери на информация, за повечето от които дори не сте чували. И които продават личната ви информация без ваше знание и съгласие на всеки, който плати.

Следящият капитализъм докарва нещата още по-нататък. Фирми като Google и Facebook ви предлагат безплатни услуги в замяна на информацията ви. За следенето на Google не съобщават в новините, но то е стряскащо прилепчиво. Ние никога не лъжем търсачките, които използвате. Интересите и любопитствата ни, надеждите и страховете ни, желанията и сексуалните привличания – всичко това бива събирано и съхранявано. Добавете към това следенето кои уебсайтове посещаваме, което Google извършва чрез рекламната си мрежа, нашите акаунти в Gmail, движението ни по Google Maps и каквото може да събере от смартфоните ни.

Телефонът вероятно е най-ефективното проследяващо устройство, създадено някога. Той непрекъснато следи къде се намираме, така че знае къде живеем, работим и прекарваме времето си. Той е първото и последното нещо, което поглеждаме през деня, така че знае кога се събуждаме и кога заспиваме. Всички го имаме, така че той знае и с кого спим. Юбер използва част от тази информация, за да открива забежките за по една нощ. Мобилният ви доставчик и всяко приложение в телефона, което има достъп до услугите за локация, знаят много повече.

Следящият капитализъм поддържа немалка част от Интернет. Той стои зад повечето „безплатни“ услуги, а и зад много платени. Целта му е да ви манипулира психологически, например чрез таргетирано рекламиране, за да ви убеди да купите нещо или да направите нещо, например да гласувате за определен кандидат. Масовото, базирано на индивидуални профили манипулиране, което бяха хванати да вършат Cambridge Analytica, може да звучи отвратително – но това е, което в края на краищата се бори да постигне всяка компания. Вашата лична информация бива събирана именно затова, и то е, което я прави ценна. Компаниите, които разбират това, могат да я използват срещу вас.

Нищо от това не е новост. Медиите съобщават за следящия капитализъм от години. През 2015 г. написах книга на тази тема. Още през 2010 г. Уолстрийт Джърнъл публикува двегодишна серия статии, спечелила награди, как хората биват следени онлайн и офлайн, под заглавието „Какво знаят те“.

Следящият капитализъм е дълбоко вграден в нашето все по-компютризирано общество, и ако размерите му излязат на бял свят, ще има масов натиск за ограничения и регулации. Но тъй като тази индустрия оперира предимно тайно, и само отвреме навреме изтича информация за някоя кражба на данни или някоя разследваща статия, повечето от нас остават в неизвестност за всеобхватността ѝ.

Това може скоро да се промени. През 2016 г. Европейският съюз прие широкообхватния регламент General Data Protection Regulation (GDPR). Подробностите в този закон са прекалено сложни, за да бъдат обяснени тук. Някои от нещата, които той постановява, са че личните данни на европейски граждани могат да бъдат събирани и съхранявани само за „специфични, изрично обявени и легитимни цели“, и единствено с изричното съгласие на потребителя. Съгласието не може да бъде заровено из условията за използване (EULA) на това или онова, нито пък може да бъде смятано за дадено, ако потребителят не го изключи изрично. Законът влиза в сила през май, и компаниите по целия свят се подготвят да влязат в съгласие с него.

Тъй като на практика всеки следящ капитализъм събира данните на европейци, това ще освети тази индустрия като нищо досега. Ето ви само един пример. Подготвяйки се за този закон, PayPal тихомълком публикува списък на над 600 компании, с които вашата информация може да бъде споделяна. Какво ще стане, когато на всяка компания се наложи да публикува тази информация и да обясни изрично как използва личните ни данни? Очертава се да разберем.

Когато този скандал се надигна, дори Марк Цукърбърг каза, че вероятно неговата индустрия трябва да бъде регулирана. Надали обаче си е пожелавал сериозна и принципна регулация, каквато GDPR въвежда в сила в Европа.

Прав е. Следящият капитализъм е действал безконтролно твърде дълго време. И напредъкът както в анализа на големи количества лични данни, така и в изкуствения интелект ще направят утрешните му приложения далеч по-плашещи от днешните. Единственото спасение от това е регулацията.

Първата стъпка към всяка регулация е прозрачността. Кой има нашите данни? Точни ли са? Какво прави той с тях? Продава ли ги? Как ги опазва? Можем ли да го накараме да ги изтрие? Не виждам никаква надежда Конгресът на САЩ да прокара в обозримото бъдеще закон за защита на данните, подобен на GDPR, но не е непредставимо да се въведат закони, които задължават тези компании да бъдат по-прозрачни в действията си.

Едно от последствията на скандала с Cambridge Analytica е, че някои хора си изтриха акаунтите във Facebook. Това е трудно да се направи както трябва, и не изтрива данните, които Facebook събира за хора без акаунт в него. Но все е някакво начало. Пазарът може да окаже натиск върху тези компании да ограничат следенето ни, но само ако накараме тази индустрия да излезе от сенките на светло.

—-

И аз съм писал по въпроса, още през 2012 г. – тук и тук. Не зная дали тогава помогнах на някого да разбере нещо – май по-скоро не, ако съдя по коментарите под тях. Не зная дали ще помогна на някого и сега. Но се чувствам длъжен да опитам.

Ако съдя по личните си наблюдения, нито една от онлайн фирмите, която ви дава възможност да си изтриете информацията от нея, не я изтрива истински. Знам случаи, когато информацията от „изтрити“ акаунти бива откривана в пакети продадени впоследствие лични данни. Знам и фирми, които твърдят, че не съхраняват никаква лична информация, но всъщност съхраняват и продават на всеки платежоспособен и мълчалив всеки бит от нея, който успеят да докопат. Така че съм скептичен, че регулацията ще постигне кой знае колко.

Има обаче нещо, което можем сами да направим за себе си – и то е просто да спрем да използваме които услуги на подобни събирачи можем. Без мобилен телефон трудно се живее, но трябва ли да имате акаунти във всички социални мрежи, за които сте чували? И т.н.

Надявам се след този скандал проектите за децентрализиран и опазващ личната информация аналог на Facebook да получат нов тласък. Надявам се и поне този 1% от хората, които не са идеално кръгли идиоти във вакуум, да почнат да вземат някакви мерки да опазят себе си и своите начинания.

Съд на ЕС: писмените отговори по време на изпит като лични данни

Post Syndicated from nellyo original https://nellyo.wordpress.com/2017/12/20/dp-22/

Стана известно решението на Съда на ЕС по дело  C‑434/16  с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Supreme Court (Върховен съд, Ирландия)   в рамките на производство по дело Peter Nowak срещу Data Protection Commissioner.

Преюдициалното запитване се отнася до тълкуването на Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни.

 В качеството си на стажант експерт-счетоводител г‑н Nowak издържа успешно определени изпити, но има и такъв, който не издържа. Във връзка с това той подава молба за достъп до всички засягащи го лични данни, съхранявани от професионалната организация на експерт-счетоводителите. Организацията  отказва да му предостави неговата писмена изпитна работа, с довода че тя не съдържала лични данни по смисъла на Закона за защита на данните. Комисарят за защита на данните също смята, че “тези материали по принцип не представляват лични данни“. Nowak обжалва и ирландският съд пита:

„1)      Може ли информацията, записана в/като отговори, дадени от кандидат по време на изпит за професионални умения, да се квалифицира като лични данни по смисъла на Директива 95/46?

2)      При отговор на първия въпрос в смисъл, че цялата или част от информацията може да бъде квалифицирана като лични данни по смисъла на тази директива, какви фактори са релевантни, за да се прецени дали в конкретен случай такава писмена работа представлява лични данни, и каква тежест трябва да се придаде на тези фактори?“.

Съдът на ЕС:

В член 2, буква а) от Директива 95/46 личните данни са определени като „всяка информация, свързана с идентифицирано или подлежащо на идентификация лице“.  Всъщност употребата на израза „всяка информация“ в определението на понятието „лични данни“ в член 2, буква а) от Директива 95/46 отразява целта на законодателя на Съюза да придаде широк смисъл на това понятие, което не се свежда до чувствителната информация или информацията с частен характер, а потенциално обхваща всякакъв вид информация, както обективна, така и субективна, под формата на становища или преценки, при условие че „засяга“ съответното лице.[34]

Що се отнася до коментарите на проверителя по отговорите на кандидата, налага се изводът, че и те като отговорите, дадени от кандидата по време на изпита, представляват информация, засягаща този кандидат. [42] Съдържанието на тези коментари съответно е отражение на становището или преценката на проверителя относно индивидуалните резултати, постигнати от кандидата по време на изпита, и по-специално относно неговите знания и умения в съответната област.[43] Всъщност една и съща информация може да засяга няколко физически лица и съответно за тях да представлява лични данни по смисъла на член 2, буква а) от Директива 95/46, при условие че тези лица са идентифицирани или могат да бъдат идентифицирани.[45]

В този контекст следва да се отбележи, че защитата на основното право на личен живот по-специално предполага всяко физическо лице да може да се увери, че засягащите го лични данни са точни и се обработват законосъобразно. Както следва от съображение 41 от Директива 95/46, именно за да може да извърши необходимите проверки, по силата на член 12, буква а) от тази директива съответното лице разполага с право на достъп до данните, които го засягат и са предмет на обработка. Това право на достъп е необходимо по-специално за да се даде възможност на лицето при необходимост да изиска от администратора да поправи, изтрие или блокира неговите данни и така да упражни правото по член 12, буква б) от посочената директива [57]

Накрая, трябва да се констатира, от една страна, че правата на достъп и на поправяне по член 12, букви а) и б) от Директива 95/46 не обхващат изпитните въпроси, които сами по себе си не представляват лични данни на кандидата.[58] Бегло се констатира още, че правата на лицето подлежат на ограничения както по Директива 95/46, така и по новия  Регламент 2016/679, който я заменя – “ако подобно ограничаване представлява необходима мярка за гарантиране на правата и свободите на други лица.”

Член 2, буква а) от Директива 95/46/ЕО   трябва да се тълкува в смисъл, че при условия като тези в главното производство писмените отговори, дадени от кандидат по време на изпит за професионални умения, и евентуалните коментари на проверителя по тези отговори представляват лични данни по смисъла на тази разпоредба.

След решението на ЕСПЧ, от което разбрахме, че преподаването е социално взаимодействие и част от личния живот на преподавателя, сега от Съда на ЕС научаваме още и за личните аспекти на социалното взаимодействие изпитване.

Filed under: Digital, EU Law, Media Law Tagged: dp, съд на ес

КЗЛД: Десет практически стъпки за прилагане на новия Регламент относно защитата на данните (GDPR)

Post Syndicated from nellyo original https://nellyo.wordpress.com/2017/11/28/gdpr/

На 25 май 2018 г. влиза в сила новият Общ регламент относно защитата на   данните –  Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО 

Комисията за защита на личните данни е издала указания – десет практически стъпки за прилагане на новия Общ регламент.

 

 

Filed under: Digital, EU Law, Media Law Tagged: gdpr

Съд на ЕС: отговорност на оператора на фенстраница във Фейсбук

Post Syndicated from nellyo original https://nellyo.wordpress.com/2017/11/05/fb-3/

Стана известно заключението на Генералния адвокат Бот по дело C−210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

срещу Wirtschaftsakademie Schleswig-Holstein GmbH в присъствието на Facebook Ireland Ltd.

„Преюдициално запитване — Директива 95/46/ЕО — Членове 2, 4 и 28 — Защита на физическите лица при обработване на лични данни и свободно движение на такива данни — Разпореждане за деактивиране на фенстраница в социалната мрежа Facebook — Понятие „администратор“ — Отговорност на оператора на фенстраница — Съвместна отговорност — Приложимо национално право — Обхват на правомощията за намеса на надзорните органи“

Запитването е отправено в рамките на спор между Wirtschaftsakademie Schleswig-Holstein GmbH, частноправно дружество, специализирано в областта на образованието  и  органа за защита на данните на Шлезвиг-Холщайн („ULD“), във връзка със законосъобразността на разпореждане, прието от последно посочения орган срещу Wirtschaftsakademie, с което се иска деактивиране на „фенстраница“ (Fanpage), хоствана на сайта на Facebook Ireland Ltd (наричано по-нататък „Facebook Ireland“).

Това разпореждане е мотивирано от твърдяното нарушение на разпоредбите на германското право за транспониране на Директива 95/46, по-специално поради факта, че посетителите на дадена фенстраница не са информирани за това, че техните лични данни се събират от социалната мрежа Facebook благодарение на „бисквитки“, които се разполагат на техния твърд диск, като това събиране се извършва с цел да се изготвят статистически данни за посетителите, които са предназначени за оператора на посочената страница, и за да се предостави възможност на Facebook да разпространява целеви реклами.

Надзорните органи на няколко държави  от ЕС са решили през последните месеци да наложат глоби на Facebook за нарушаване на правилата за защита на личните данни на неговите потребители – на 11 септември 2017 г. Agencia española de protección de datos (испанската Агенция за защита на данните) е обявила, че налага глоба в размер на 1,2 милиона евро на Facebook Inc. Преди това, на 27 април 2017 г. Commission nationale de l’informatique et des libertés (Националната комисия по въпросите на информатиката и свободите, CNIL, Франция) приема решение срещу дружествата Facebook Inc. и Facebook Ireland, като при условията на солидарна отговорност им налага имуществена санкция в размер на 150 000 EUR.

Разглежданото дело ще даде възможност на Съда да уточни обхвата на правомощията за намеса, с които разполага надзорен орган като ULD при обработване на лични данни, включващо участието на няколко субекта.

Преюдициалните въпроси

Заключението:

„1)      Член 2, буква г) от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, изменена с Регламент (ЕО) № 1882/2003 на Европейския парламент и на Съвета от 29 септември 2003 г., трябва да се тълкува в смисъл, че съгласно тази разпоредба за администратор следва да се счита операторът на фенстраница в социална мрежа като Facebook, що се отнася до етапа на обработване на лични данни, състоящ се в събирането от тази социална мрежа на данни относно лицата, които консултират тази страница, с оглед на изготвянето на статистически данни за посетителите на посочената страница.

2)      Член 4, параграф 1, буква а) от Директива 95/46, изменена с Регламент № 1882/2003, трябва да се тълкува в смисъл, че обработване на лични данни като разглежданото в главното производство, се извършва в контекста на дейностите на установен на територията на държава членка обект на администратора по смисъла на посочената разпоредба, когато предприятието, което управлява социална мрежа, създава в тази държава членка дъщерно дружество, чието предназначение е да осигури рекламирането и продажбата на рекламните пространства, предлагани от това предприятие, и чиято дейност е насочена към лицата, живеещи в тази държава членка.

3)      В положение като разглежданото в главното производство, при което към съответното обработване на лични данни се прилага националното право на държавата членка на надзорния орган, член 28, параграфи 1, 3 и 6 от Директива 95/46, изменена с Регламент № 1882/2003, трябва да се тълкува в смисъл, че този надзорен орган може да упражнява всички възложени му в съответствие с член 28, параграф 3 от посочената директива ефективни правомощия за намеса по отношение на администратора, включително когато администраторът е установен в друга държава членка или пък в трета държава.

4)      Член 28, параграфи 1, 3 и 6 от Директива 95/46, изменена с Регламент № 1882/2003, трябва да се тълкува в смисъл, че при обстоятелства като разглежданите в главното производство надзорният орган на държавата членка, в която се намира обектът на администратора, има право да упражнява самостоятелно правомощията си за намеса по отношение на този администратор и без да е длъжен предварително да поиска от надзорния орган на държавата членка, в която се намира посоченият администратор, да упражни своите правомощия“.

u Techcrunch

Filed under: EU Law, Media Law Tagged: данни, FB, съд на ес

ЕСПЧ: стандартите на отговорната журналистика са валидни и при сериозен обществен интерес

Post Syndicated from nellyo original https://nellyo.wordpress.com/2017/10/26/echr-fuchsmann/

На 19 октомври 2017 г. Съдът за правата на човека се произнесе по делото Fuchsmann v. Germany. В решението се обсъжда баланса между правата по чл.8 (личен живот) и чл.10 (свобода на изразяване) ЕКПЧ.

Борис Фуксман е собственик на телевизия в Киев.  Ню Йорк Таймс (електронно издание) публикува статия, в която се споменава подкуп за украинска администрация с цел получаването на лицензия за телевизионна дейност, също така споменават се  предполагаемите връзки на Фуксман с руската организирана престъпност и че на лицето е забранено да влиза в САЩ.

Онлайн версията е достъпна от Германия, засегнато е името на  гражданин на Германия, със случая се занимават съдилища в Германия. Фуксман твърди, че е оклеветен, но съдилищата стигат до извода, че има справедлив баланс между свободата на изразяване на изданието и защитата на личния живот на бизнесмена. В последна сметка Фуксман завежда дело пред ЕСПЧ.

Решението

Съдът е установил наличие на обществен интерес, данните са изнесени в светлината на корупционни скандали в Ню Йорк.

Съдът приема, че Фуксман е публична фигура в качеството си на германски предприемач, работещ глобално в областта на медиите.

Съдът приема, че публикацията има достатъчна фактическа основа – основен  източник на изявленията  е вътрешен доклад на ФБР, подкрепен от други доклади. Журналистът е основал своите статии на достатъчно надеждни източници, при това не само на въпросния доклад. Той е действал в съответствие с журналистическите стандарти за работа с източници. В това отношение ЕСПЧ утвърждава отново стандартите на отговорната журналистика:

Съдът отново заявява, че член 10 от Конвенцията не гарантира напълно свободна свобода на изразяване, дори и по отношение на пресата за въпроси от сериозен обществен интерес. Съгласно чл.10, параграф 2   свободата на изразяване е придружена от “задължения и отговорности”, които се отнасят и за медиите, дори по отношение на въпроси от сериозен обществен интерес. Поради тези “задължения и отговорности” защитата, предоставена от член 10 на журналистите във връзка с отразяването на въпроси от обществен интерес, е подчинена на условието те да действат добросъвестно, за да предоставят точна и надеждна информация в съответствие с етиката на журналистиката (вж. например Fressoz и Roire срещу Франция [GC], № 29183/95, § 54, ЕКПЧ 1999-I и Pedersen и Baadsgaard срещу Дания [GC], № 49017/99 , § 78, ЕКПЧ 2004-XI). [42]

Не се разкриват подробности от личния живот на лицето и лични данни.

Според ЕСПЧ националните органи са анализирали баланса на права в съответствие с практиката на Съда.  Необходими са сериозни мотиви, за да се промени оценката им. В случая няма такива мотиви, тъй като германският съд е постигнал разумен баланс между конкуриращите се права и е действал в рамките на своята свобода на преценка [54].

Няма нарушение на чл.8 ЕКПЧ.

Интересен момент в решението е акцентирането върху ролята на онлайн архивите за проучване на важни минали събития.

[…] описването на предполагаемия криминален произход на някои от участващите лица е било необходимо за разбирането на публикацията. Съдът също така взе предвид, че статията остава достъпна в онлайн архив на всекидневника. […] има признат обществен интерес не само от информацията за текущите събития, но и от възможността да се изследват събития от новата история.[16]

Filed under: Media Law Tagged: еспч, клевета, отговорна журналистика

Съд на ЕС: лични данни на пътниците: споразумение ЕС – Канада: несъвместимост с Хартата

Post Syndicated from nellyo original https://nellyo.wordpress.com/2017/08/01/pnr-10/

Защитата на резервационните данни на пътниците в ЕС не е нов проблем. Става дума за въздушните превозвачи, осъществяващи полети между ЕС и трети държави, и начините за използване на резервационните данни  (PNR данни), вкл. предаване на компетентните органи

През април 2016 г. е приета   Директива 2016/681 относно използването на резервационни данни на пътниците (PNR данни) с цел предотвратяване, разкриване, разследване и наказателно преследване на терористични престъпления и тежки престъпления.

Но междувременно през 2014 г. Европейският съюз и Канада подписват споразумение относно обработката и предаването на резервационни данни на пътниците („PNR споразумение“). След като Съветът на Европейския съюз иска от Европейския парламент одобрение на споразумението, Парламентът сезира Съда, за да установи дали предвиденото споразумение е в съответствие с правото на Съюза, и по-специално с разпоредбите за зачитане на личния живот, както и за защита на личните данни. За първи път Съдът трябва да се произнесе относно съвместимостта на проект за международно споразумение с Хартата на основните права на ЕС.
В  становище от юли 2017 Съдът отговаря, че PNR споразумението не може да бъде сключено в сегашния си вид поради несъвместимостта на редица негови разпоредби с признати от Съюза основни права.

Становище 1/15

Съдът констатира, че разпоредби от предвиденото споразумение са несъвместими с основните права, освен ако то бъде ревизирано така, че по-добре да урежда и уточнява намесите. В този смисъл Съдът приема, че споразумението би трябвало:

  •  да определя по-ясно и точно някои от подлежащите на предаване PNR данни,
  • да предвижда, че моделите и критериите, използвани при автоматизираната обработка на PNR данни, ще бъдат конкретни и надеждни, както и недискриминационни,
  • да предвижда, че ще се използват само бази данни, които Канада поддържа във връзка с борбата с тероризма и тежката транснационална престъпност,
    да предвижда, че PNR данните могат да се разкриват от канадските органи на публичните органи на държава извън ЕС само ако съществува споразумение между Съюза и тази държава, равностойно на предвиденото споразумение, или пък решение на Европейската комисия в тази област,
  •  да предвижда право на лично информиране на пътниците във въздушния транспорт в случай на използване на техните PNR данни по време на престоя им в Канада и след заминаването им от тази страна, както и в случай на разкриване на същите данни на други органи или на частни лица,
  • да гарантира, че надзорът на правилата относно защитата на пътниците във въздушния транспорт при обработката на техните PNR данни се осъществява от независим контролен орган.

Като се има предвид, че не всички намеси, съдържащи се в предвиденото споразумение, се ограничават до строго необходимото и че в този смисъл те не са изцяло обосновани, Съдът стига до извода, че предвиденото споразумение не може да бъде сключено в сегашния си вид.

Въпреки че систематичното предаване, запазване и използване на всички данни на пътниците в основни линии са допустими, редица разпоредби на проектоспоразумението не отговарят на изискванията, произтичащи от основните права на Съюза.

Filed under: Digital, EU Law, Media Law Tagged: съд на ес, PNR

ЕС: когато искат да заплащаме с лични данни

Post Syndicated from nellyo original https://nellyo.wordpress.com/2017/07/02/dp-21/

В Официален вестник на ЕС:

Резюме на  становището на Европейския надзорен орган за защита на  данните относно Предложение за директива относно някои аспекти на договорите за предоставяне на цифрово съдържание.

Интересно становище относно интересна и много разпространена хипотеза – предоставяне на привидно безплатни услуги, за които обаче заплащаме с личните си данни вместо с пари.

 

Има обаче един проблемен аспект на предложението, тъй като то ще се прилага в ситуации, при които за дадено цифрово съдържание се заплаща цена, но и когато цифровото съдържание се предоставя срещу изпълнението на други ангажименти, които нямат парично изражение, а са под формата на лични или други данни. ЕНОЗД предупреждава срещу въвеждането на всяка нова разпоредба, която предвижда, че хората могат да заплащат със свои данни така, както заплащат с пари. Основни права, като например правото за защита на личните данни, не могат да бъдат сведени до обикновен потребителски интерес и личните данни не могат да бъдат приемани като обикновена стока.

По-късно беше публикувано  предложението на Малтийското председателство на Съвета  за общ подход (1 юни 2017).

Пътят не този проект не е лек  – вж  и  становището на Франция (на Сената на Френската република) относно субсидиарността от 2016 г.

Filed under: Digital, EU Law

Видеонаблюдение: принципи и правила

Post Syndicated from nellyo original https://nellyo.wordpress.com/2017/05/23/cctv/

Решение, засягащо правилата за видеонаблюдение: шотландско семейство получава обезщетение в размер на £ 17,268 за “изключителния стрес”, който е претърпяло в резултат на “силно натрапчивото” използване на системи за видеонаблюдение и аудиозапис от собствениците на съседните имоти.

Нарушени са  принципи за защита на данните, дефинирани от закона (въвеждащ директивата за личните данни) и  регулатора за лични данни:

  • Първият принцип, съгласно който данните трябва да се обработват само за законни и законни цели и по справедлив и прозрачен начин;
  • Третият принцип, който изисква обработването на данните да е адекватно и не прекомерно; и
  • Петият принцип, който изисква данните да се съхраняват само толкова дълго, колкото е необходимо за конкретните законосъобразни и законни цели.

По темата:

И  от Шотландия към България:
в последните седмици в България е възникнала отново темата за видеонаблюдение и използване на специални технически средства в детските заведения – ясли и градини – и в училище. Матурите бяха отразени от медиите главно като едно силно наблюдавано явление. Преди време в Софийския университет имаше идея за монтиране на камери в учебните зали – все по съображения за сигурност. Телевизионен репортаж показа защо в едно село нямало престъпност – заради камерите – и, освен другото, хората се развличали да гледат кой минава през селото. Така от история в история стигаме до  разрешенията за използване на СРС – едно от заглавията в медиите е Тандемът Цветанов-Янева: 6010 искания за подслушвания, 6008 одобрени.
Преди  години имаше протести срещу  безконтролно масово наблюдение и проследяване.
Сега има протести с искане за видеонаблюдение в детските градини и училищата.
Прилича ми малко на другата история – да създаваме доверие помежду си с полиграф: и двете идеи са доста спорни и  с елемент на отчаяние.

Filed under: Digital, EU Law, Media Law Tagged: dp

Градският транспорт и как данните биха ни помогнали да го подобрим

Post Syndicated from Боян Юруков original http://yurukov.net/blog/2017/danni-za-transporta/

Наскоро статус на Илиян Стоянов във Facebook ме подсети за това, че градския ни транспорт е една от сферите, в които липсват публични данни. Няколко града като София, Пловдив и Варна имат сайтове и дори app-ове, където човек може да провери разписание и планира маршрути. Самите данни за спирките и разписанието не са достъпни. Така не само не може друг да направи собствена услуга, но и не може да се анализира мрежата.

Затова седнах и първо отворих данните за спирките на споменатите три града. За тези в София вече писах във Facebook. В Бургас въпреки евро-проекта за интегриран транспорт, изглежда няма дори дигитална карта на спирките.

С тези прости данни направих бързи карти на спирките на София, Пловдив и Варна. Като спрете с мишката върху всяка точка, ще видите името ѝ. Вляво има бутон, с който може да ги разглеждате на цял екран.

Скриптовете и самите данни за спирките публикувах в Github. Ще ги намерите на страницата ми с Gist-ове.

Транспортът във Варна

Във Варна, всъщност, данните дори не са налични от общината, а от частния проект varnatraffic.com на Мап Софт. Той е и единственият, който намерих да показва местоположението на автобусите в реално време. Използвах данните им на база съобщение на сайта от преди две години, че предоставят всичко свободно като отворени данни.

За да илюстрирам колко е полезна тази информация, свалям вече седмица местоположението на всички автобуси в града. За този период събрах около 650 хиляди точки с различни параметри – номер на автобуса, предишна и следваща спирка, оставащо разстояние до спирката, закъснение. Следните три карти показват различен поглед над събраните данни.

Първата карта разглежда движението за седмицата между 21-ви и 28-ми март по часове и колко автобуси са били по улиците на града. В червено са доста натоварени отсечки, където много автобуси са се движели през дадения час. Картата показва как се увеличава и намалява този трафик в различните части на деня, както и през почивните дни. В неделя не се забелязва по-малко натоварване, за което вероятно допринасят и провелите се тогава избори.

Следващата карта се концентрира само върху понеделник, 27-ми март. Показва в детайли движението на всеки един автобус. В червено са отбелязани тези, които закъсняват повече от 5 мин. Забелязва се как между 7 и 8:30 вечерта много от автобусите закъсняват. Виждат се ясно и местата, където автобусите спират за почивки.

Тъй като имаме закъсненията преди всяка спирка, може да анализираме и каква е вероятността да се чака на нея. Може също да разделим тази оценка по часове. Последната карта показва именно това. Анализът се базира само на данните от последните 7-8 дни. Пренебрегнете посочената дата в картата – часът е важен. Инструментът не позволява показването са на час.

В зелено са спирките, на които в конкретната част от деня се чака не повече от 15 секунди. В жълто са тези до 30 секунди. В гамата на червено са тези със закъснение между минута и час. Отново се вижда колко голямо средно закъснение има в различни часове от дена и части на града.

В някои случаи включвам и автобусите пристигнали с няколко минути по-рано – това също се счита за отклонение, тъй като някои пътници биха го изпуснали. Редовни такива показатели сочат към неоптимално разписание на даденото място и час. Такива са 26% от събраните точки за движението на градския транспорт. В 8.7% от времето, автобусите са подранявали с повече от 3 минути. В други 50% автобусите са закъснявали с повече от 20 секунди.

Публичността не е услуга

Публичността на която и да е информация не е услуга, която се представя от администрация или частна компания на обществото. Това е неизменна част от прозрачността, отчетността и социалната отговорност. За държавната и местната администрация отворените данни са още едно ниво на инфраструктура. Доскоро говорихме само за магистрали. В последните години започна все повече да се възприема и интернет свързаността като инфраструктура, при това не по-малко съществена за бизнеса. Информацията и най-вече тази в отворен формат придобива все по-голяма важност по аналогичен начин. Данните идващи от частните компании следва да допълнят тази картина и са новата дефиниция на социална отговорност, която често си приписват.

Това, което показах с данните от само няколко дни движение в един град, не са просто шарени карти. Това е илюстрация какво може да се направи за час-два работа, а не крайната цел. Информацията в момента се използва само за улеснение на пътуващите. Съберем ли всичко заедно за целия транспорт и за голям период, се отварят много възможности. Може да се открият проблемни кръстовища, да се подобрява графика, да се оптимизира движението на пътищата и интервала на светофарите. Дори само координатите на спирките може да се използват, за да се открият най-„изолираните“ части от градовете и да се направи карта на най-лошо свързаните региони.

Обединявайки тези данни с масиви за трафика на коли, цените на имотите, координатите на училища, градини и болници, за схемата на почистване на улиците и прочие може да позволи много по-добро градско планиране. По-важното обаче, ще позволи на частни компании и неправителствени организации да изградят приложения използващи данните по различен начин. Най-лесното би било да се направят по-добри приложения за планиране на маршрут с градския транспорт. Сайтовете за недвижими имоти биха давали по-добра информация за свързаността на имота. Родителите биха могли по-лесно да откриват градини и ясли, които са привидно отдалечени, но биха били достигнати лесно с транспорт от дома или офиса им.

Всичко това би помогнало да се направят градовете по-добри и да се използва публичния транспорт повече допринасайки за намаляване на трафика и замърсяването. За съжаление, интуицията на повечето чиновници и поддържащи такива масиви от данни е, че информацията е тяхна собственост и ако бъде публикувана „някой може да я използва“. Това е реакцията, която съм получавал най-често от агенции и общини. Забравя се, че всъщност вече сме платили с данъците си за събирането на всеки информационен ресурс. Забравя се и че целта на всички тези регистри и информационни системи е именно информацията да е достъпна. При тези мащаби с индивидуални справки, PDF-и и снимки на документи това просто не става.

За щастие, вече е в сила изискването, че всички публични данни във всяка нова система на администрацията трябва да са налични като отворени данни. Следва само да следим това да се спазва и да използваме тези ресурси. Съществуват обаче много други стари системи, за които трябва да натискаме да се отворят. Координатите на спирките и автобусите градския транспорт е само един пример. Друг пример са координатите в реално време на снегорини и камиони чистещи улиците зимно време. Общините ги следят, но не публикуват информацията. Друг пример са адресите в градовете, анонимизирани и агрегирани данни от НАП за плащанията на пос терминали и такива от МВР за престъпления.

Тези примери спадат към дефиницията на big data. Не са просто полезни за гражданите и бизнеса, а информация, която самите институции често не успяват да обменят помежду си или дори да анализират. Затова всичко описано до тук повишава не само прозрачността, но и ефективно постига аспекти от така нужната структурна реформа на администрацията ни.

WhatsApp, Yahoo: личните данни

Post Syndicated from nellyo original https://nellyo.wordpress.com/2016/10/29/whatsapp-yahoo/

Групата Article 29, която включва представители на националните регулатори за защита на данните на държавите от ЕС, представител на ЕК и на европейския орган за защита на данните, е изпратила писма до  WhatsАpp u Yahoo във връзка със защитата на личните данни в двете компании.

1

В писмото до WhatsApp се изразява сериозна загриженост от факта, че лични данни на потребителите се споделят с компании от фамилията Facebook за целите на маркетинга и рекламата. Изисква се изчерпателна информация за контрола върху данните, за да може да се направи оценка за съответствие с правото на ЕС. Доколкото е възможно да се установи несъответствие, групата приканва компанията да се въздържа от споделяне докато няма гаранции, че е осигурена адекватна правна защита.

Писмото

Така че за WhatsApp в момента се знае едновременно, че комуникацията е криптирана (което привлича потребители), но че данните им (имена, мейли, телефони) се споделят.

В Германия има решение на органа за защита на лични данни, с които се изисква Facebook да спре да съхранява данните на потребителите на WhatsApp, във Франция са на път към решение да санкционират Facebook.

В САЩ правозащитни организации –  Electronic Privacy Information Center, EPIC и Center for Digital Democracy, CDD –  искат от Федералната търговска комисия, FTC  разследване как WhatsApp използва личните данни на потребителите си.

2

В писмото до Yahoo на първо място се изразява загриженост относно оповестената наскоро кражба на личните данни на най-малко  500 милиона потребители на компанията.

Но това не е всичко, има и втори въпрос: Yahoo сканира мейлите по искане на разузнаването и за неговите цели.

Писмото

 

Filed under: Digital, EU Law, Media Law Tagged: dp

Съд на ЕС: независимост на националните регулаторни органи

Post Syndicated from nellyo original https://nellyo.wordpress.com/2016/10/29/cec_nra/

На 19 октомври 2016 стана известно решението на Съда на ЕС по дело C‑424/15  с предмет преюдициално запитване, отправено в рамките на производство по дело Xabier Ormaetxea Garai,  Bernardo Lorenzo Almendros  срещу Administración del Estado, Испания.

Преюдициалното запитване се отнася до тълкуването на Директива 2002/21/ЕО  относно общата регулаторна рамка за електронните съобщителни мрежи и услуги (Рамкова директива), изменена с Директива 2009/140/ЕС. Според съображение 11 “в съответствие с принципа за разделяне на регулаторните и оперативните функции, държавите членки следва да гарантират независимостта на националния регулаторен орган или органи [НРО], с оглед гарантиране на безпристрастността на техните решения.”

Това е известната хипотеза на отстраняване на членове на регулатор с институционална реформа. Съдът на ЕС вече се е произнасял  – вж. напр. по отношение на органа за защита на лични данни в Унгария – сега практиката се обогатява. Има смисъл да се познава – с превантивно значение, в България парламентът е прилагал тази техника за отстраняване на членове или на цели регулаторни органи (“смяна на институционален модел”) – без да е оказвана съпротива.

Според испанския закон предсрочно прекратяване на мандат на член на регулатор има в следните случаи:

a)      подаване на оставка,

b)      изтичане на мандата,

c)      последваща несъвместимост,

d)      осъждане за умишлено престъпление,

e)      трайна невъзможност да изпълняват задълженията си,

f)      отстраняване от длъжност по решение на правителството в случай на грубо нарушение на задължения, свързани с възложените им функции, или неизпълнение на задължения, свързани с несъвместимост, с конфликт на интереси или със задължение за дискретност. […]“.

Но новоприет закон предвижда, че създаването на Национална комисия в областта на пазарите и конкуренцията води до закриване на Националната комисия по конкуренция, на Comisión Nacional de Energía (Националната комисия по енергетика, Испания), на Comisión del Mercado de las Telecomunicaciones (Комисия за  далекосъобщителни услуги, CMT), на Comisión Nacional del Sector Postal (Национална комисия за пощенския сектор, Испания), на Comité de Regulación Ferroviaria (Комитета за железопътно регулиране, Испания), на Comisión Nacional del Juego (Националната комисия по хазарта, Испания), на Comisión de Regulación Económica Aeroportuaria (Комисията за икономическо регулиране на летищната инфраструктура, Испания) и на Consejo Estatal de Medios Audiovisuales (Държавен съвет по аудиовизия, Испания).

Председателят и един член на СМТ обжалват предсрочното прекратяване на мандатите. Tribunal Supremo (Върховен съд) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)      Може ли [Рамковата директива] да се тълкува в смисъл, че от гледна точка на ефективната защита на общите интереси, която е в правомощията на националния регулаторен орган [в областта на електронните съобщителни мрежи и услуги], създаването от националния законодател на регулаторен и надзорен орган в съответствие с институционален модел с неспециализиран характер, който обединява в един-единствен орган съществуващите до този момент контролни органи по-специално в областта на енергетиката, телекомуникациите и конкуренцията, е в съответствие с посочената директива?

2)      Трябва ли условията за „независимост“ на [НРО], на които се позовава член 3, параграфи 2 и 3а от [Рамковата директива], да бъдат аналогични на предвидените в член 28 от Директива [95/46] за националните контролни органи за защита на личните данни?

3)      Приложима ли е доктрината, съдържаща се в решение [на Съда] от 8 април 2014 г., [Комисия/Унгария (C‑288/12, EU:C:2014:237)], към случай, в който ръководителите на [НРО] са освободени от длъжност преди изтичането на мандата им въз основа на нова правна уредба, която създава надзорен орган, групиращ различни национални регулаторни органи в [различни] сектори […]? Може ли само поради влизането в сила на нов национален закон, а не поради последващо неизпълнение на условията, на които трябва да отговарят тези лица и които са установени предварително в националното законодателство, посоченото предсрочно освобождаване от длъжност да се счита за съвместимо с член 3, параграф 3а от [Рамковата директива]?“.

Съдът се произнася в следния смисъл:

1

Както и следва да се очаква, според Съда Рамковата директива допуска по принцип сливане на НРО по смисъла на тази директива с други национални регулаторни органи и образуването по този начин на един-единствен многосекторен регулаторен орган, при условие че при изпълнение на задачите, които Рамковата директива и специфичните директиви възлагат на НРО, този орган отговаря на условията за опит, независимост, безпристрастност и прозрачност, предвидени в Рамковата директива, и че решенията, които той взема, могат да бъдат обжалвани ефективно пред независим от заинтересованите лица орган.

Принципно може – но при определени условия, които следва да бъдат проверени.

2 и 3

Съдът обсъжда допустимо ли е само заради създаване на многосекторен регулатор (“само поради факта на институционална реформа, състояща се в сливане на НРО”) предсрочно прекратяване на мандатите на членовете на досегашните секторни регулатори.

Не.

Съображение 13 от Директива 2009/140 гласи, че   следва да се въведе изрична разпоредба в националното законодателство, която да гарантира, че при изпълнение на своите задачи НРО, отговорен за ex ante регулиране на пазарите или за уреждане на спорове между предприятията, е защитен срещу външна намеса или политически натиск, които могат да нарушат неговата независима оценка на въпросите, пред които е изправен, и че поради това следва изначално да се установят правила относно основанията за освобождаване от длъжност на ръководителя на НРО, с цел отстраняване на всякакви основателни съмнения относно неутралността на този орган и неговата неподатливост на външни фактори.

Тази цел да се засили независимостта и безпристрастността на НРО би била  застрашена, ако само поради факта на институционална реформа о е позволено да се прекрати предсрочно и незабавно мандатът на един или на няколко членове на колективния орган, който ръководи въпросния НРО.  Действително, ако това бъде прието, рискът от незабавно уволнение на основание, различно от предварително установените в закона, пред който дори само един член на такъв колективен орган може да бъде изправен, би могъл да породи основателно съмнение в неутралността на съответния НРО и неговата неподатливост на външни фактори, и да накърни неговата независимост, безпристрастност и влияние.

Според Съда Рамковата директива не допуска само поради факта на институционална реформа, състояща се в сливане на национален регулаторен орган, отговорен за ex ante регулиране на пазарите или за уреждане на спорове между предприятия, с други национални регулаторни органи, за да се създаде многосекторен регулаторен орган, натоварен по-конкретно със задачите, възложени на националните регулаторни органи по смисъла на тази директива, изменена, председателят и член на колективния ръководен орган на слетия национален регулаторен орган да бъдат освободени от длъжност преди изтичането на техните мандати, при положение че не са предвидени правила, гарантиращи, че такова освобождаване от длъжност не накърнява тяхната независимост и безпристрастност.

Filed under: Digital, EU Law, Media Law Tagged: съд на ес

Съд на ЕС: IP-адресите като лични данни и тяхното регистриране и съхраняване

Post Syndicated from nellyo original https://nellyo.wordpress.com/2016/10/29/cec_ip-dp/

Стана известно решение на Съда на ЕС по  дело C‑582/14 с предмет преюдициално запитване, отправено   от Bundesgerichtshof (Федерален върховен съд, Германия)  в рамките на производство по дело Patrick Breyer срещу Bundesrepublik Deutschland. Преюдициалното запитване се отнася до тълкуването на   Директива 95/46/ЕО за личните данни.

Г‑н Breyer е ползвал няколко интернет сайта на германските федерални служби. При повечето от тези сайтове всички влизания се регистрират в ежедневни файлове с цел защита от атаки и осъществяване на наказателно преследване срещу „пиратите“. След действието на ползване на въпросните сайтове в тези файлове се съхраняват наименованието на ползвания сайт или файл, въведените думи в полетата за търсене, датата и часа на ползването, прехвърленото количество данни, съобщението дали ползването е било успешно и IP адресът на компютъра, от който е осъществено ползването.

Г‑н Breyer подава жалба до германските административни юрисдикции с предмет да се забрани на Федерална република Германия да съхранява лично или чрез трети лица, след действието на ползване на общодостъпните сайтове на онлайн медии на германските федерални служби, IP адреса на получаващата достъп хост система на г‑н Breyer. В първоинстанционното производство жалбата на г‑н Breyer е отхвърлена, той обжалва. Според въззивната юрисдикция динамичен IP адрес заедно с датата на действието на ползване, към която то се отнася, представляват лични данни, когато съответният ползвател на интернет сайт е разкрил самоличността си при ползването, защото администраторът на сайта може да идентифицира ползвателя, като засече името му с IP адреса на компютъра му. Тя осъжда Федерална република Германия да се въздържа от съхраняване лично или чрез трети лица на IP адреса, доколкото съхраняването не е необходимо за възстановяване на излъчването на електронната медия в случай на смущения.

Същевременно динамичните IP адреси на компютъра на г‑н Breyer, съхранени от Федерална република Германия в качеството ѝ на доставчик на онлайн медийни услуги,   не позволяват да се установи пряко самоличността на г‑н Breyer. Администраторите могат да идентифицират г‑н Breyer само ако доставчикът на интернет услуги им предаде информация относно самоличността на този ползвател. Квалифицирането на динамичните IP адреси   като лични данни според тази юрисдикция зависи от това дали лицето подлежи на идентификация.

При тези условия  Bundesgerichtshof (Федерален върховен съд) спира производството, за да отправи запитване към Съда на ЕС. Запитващата юрисдикция  уточнява, че доставчиците на онлайн медийни услуги могат да събират и използват лични данни на ползвател само доколкото това е необходимо

  • за да се даде възможност и се отчете използването на тези медии и
  • за да се гарантира сигурността и продължителността на доброто функциониране на сайтовете на онлайн медийните услуги, които са общодостъпни, позволявайки по-специално да се разпознаят информационните атаки, наречени „Denial-of-Service“, които целят да се блокира функционирането на тези сайтове чрез целенасочено и координирано претоварване на определени интернет сървъри с голям брой запитвания, и за да се води борба срещу тези атаки.

Въпросите:

„1)      Трябва ли член 2, буква а) от Директива 95/46 да се тълкува в смисъл, че адрес по интернет протокол (IP адрес), който се запазва от доставчик на [онлайн медийни] услуги при влизане в неговия интернет сайт, представлява за него лични данни и когато трето лице (в случая — доставчикът на услугата за достъп) разполага с допълнителната информация, необходима за идентифицирането на съответното лице?

2)      Допуска ли член 7, буква е) от [тази директива] разпоредба от националното право, съгласно която доставчикът на [онлайн медийни] услуги може да събира и използва лични данни за ползвател без неговото съгласие само доколкото е необходимо, за да се даде възможност и да се отчете конкретното ползване на електронна медия от съответния ползвател, и съгласно която целта за осигуряване на общата функционална способност на електронната медия не може да оправдае използването на данните след края на съответното действие на ползване?“.

Съдът:

1

Съдът е приел по същество, че IP адресите на ползвателите на интернет са защитени лични данни, тъй като позволяват точното идентифициране на тези ползватели – но когато събирането и идентифицирането на IP адресите на ползвателите на интернет се извършва от доставчиците на интернет услуги. В случая доставчикът на онлайн медийни услуги, а именно Федерална република Германия, запазва IP адресите на ползвателите на интернет сайт, до който този доставчик на услуги предоставя достъп, без ФРГ да разполага с допълнителната информация, необходима за да бъдат тези ползватели идентифицирани.

Освен това безспорно е, че IP адресите, на които се позовава запитващата юрисдикция, са „динамични“ IP адреси, а именно временни такива, които се предоставят при всяко свързване с интернет, като се заменят при последващо свързване, а не „статични“ IP адреси, които не се променят и позволяват постоянното идентифициране на устройството, свързано с мрежата. Динамичен IP адрес не представлява информация относно „идентифицирано физическо лице“, доколкото такъв адрес не разкрива пряко самоличността на физическото лице, собственик на компютъра, от който е ползван интернет сайт, нито тази на друго лице, което би могло да използва този компютър.

Следва обаче да се определи дали възможността за комбиниране на динамичен IP адрес с  допълнителна информация, притежавана от доставчика на интернет услуги, представлява средство, което би могло да бъде използвано разумно за идентифицирането на съответното лице.

По първия въпрос: динамичен IP адрес, запазен от доставчик на онлайн медийни услуги по повод на ползването от дадено лице на интернет сайт, до който този доставчик предоставя достъп, представлява по отношение на въпросния доставчик лични данни по смисъла на тази разпоредба, когато същият разполага със законни средства, позволяващи му да идентифицира съответното лице благодарение на допълнителната информация, с която разполага доставчикът на интернет услуги на това лице.

2

Обработването на лични данни е законосъобразно, наред с други хипотези,  когато „е необходимо за целите на законните интереси, преследвани от администратора или от трето лице или лица, на които се разкриват данните, с изключение на случаите, когато   имат преимущество интереси, свързани с основните права и свободи на съответното физическо лице”.

Според националното право (член 15 от TMG)  доставчикът на услуги може да събира и използва лични данни на ползвател единствено доколкото това е необходимо, за да се даде възможност и да се отчете конкретното ползване на електронните медии. По този начин член 15 от TMG не би допуснал най-общо съхраняването на лични данни в края на ползване на електронни медии, за да се гарантира използването на тези медии. Националното право изключва целта за осигуряване на общата функционална способност на посочената електронна медия да може да бъде предмет на претегляне с интереса или правата и основните свободи на тези ползватели, които изискват защита по силата на член 1, параграф 1 от тази директива.

По втория въпрос: не допуска правна уредба на държава членка, по силата на която доставчик на онлайн медийни услуги може да събира и използва лични данни за ползвател на тези услуги при липса на съгласие от негова страна само доколкото събирането и използването са необходими, за да се даде възможност и да се отчете конкретното ползване на посочените услуги от ползвателя, без целта за осигуряване на общата функционална способност на тези услуги да може да оправдае използването на данните след действие на ползването им.

Или, както става ясно, доставчиците имат право да съхраняват лични данни за целите на защита на функционирането на сайта, например за защита срещу кибератаки.

повече

Filed under: Digital, EU Law, Media Law Tagged: съд на ес