Blog

Rudolf Urban
Rudolf Urban

Varstvo podatkov - odvetniška opozorila zaradi uporabe spletnih pisav Google Fonts

Mnogi upravljavci spletnih strani na Koroškem in v celi Avstriji so v zadnjih tednih bili presenečeni zaradi dopisa, ki ga je v imenu klientke poslal odvetnik iz Nižje Avstrije. Vsi dopisi so menda sestavljeni po istem vzorcu. Vsebina obsega opis domnevne kršitve, zahtevek za odškodnino, zahtevo za plačilo stroškov odvetnika, izjavo o tem, da se v bodoče osebni podatki ne obdelajo več neskladno s pravnim redom, zahtevek za dostop in ponudbo za poravnavo z enkratnim vplačilom na račun odvetnika.

Interesna zastopstva podjetnikov in pravniki obširno razpravljajo o vsebini dopisa. Prevladuje mnenje, da verjetno zahteve niso utemeljene, med drugim zato, ker naj bi bili podatki o spletnih straneh zbrani s posebnimi računalniškimi programi. Številni prejemniki dopisov zavračajo očitke, nekateri pripravljajo kazenske ovadbe, odvetniška zbornica je uvedla disciplinarni postopek. Gospodarska zbornica je najavila, da bo podprla vzorčni tožbeni postopek, v katerem naj se dokaže neutemeljenost zahtevka, ker ni bilo nobenega oškodovanja zaradi kršitve varstva podatkov.
 

Ali je dopis treba jemati resno?

Prevlada mnenje, da je dopis treba jemati resno, predvsem je treba izpolniti pravice, ki jih zagotavlja Splošna uredba o varstvu podatkov (SUVP). Med te spada pravica dostopa posameznika v skladu s členom 15 in s tem do informacij o obdelavi osebnih podatkov. Odgovor na zahtevek je treba dati v roku 30 dni.

Do podobnih opozoril, z različnimi vsebinami, je prišlo že nekajkrat - predvsem v Nemčiji - tako, da niso popolna novost, čeprav v Avstriji kaj takega doslej ni bilo razširjeno. Presenetilo pa je število naslovnikov opozoril, ki močno presega vse doslej znano. Če lahko verjamemo poročilom v medijih, naj bi število opozorilnih pisem preseglo deset tisoč. Jasno je, da je ogorčenje med upravljavci spletnih strani veliko.
 

Izhodišče sporne obdelave

V stvari sami je treba upoštevati nekaj osnovnih podatkov. Gospa z Dunaja in njen pooblaščeni odvetnik zahtevata zaradi domnevne kršitve predpisov za varstvo podatkov odškodnino v višini stotih evrov in pokritje odvetniških stroškov v višini devetdesetih evrov. Zahtevek temelji na domnevni kršitvi zaradi uporabe pisav Google Fonts na spletnih straneh. Ob določeni vgraditvi pisav naj bi se IP-naslov namreč na nedopustni način prenesel naprej na serverje podjetja Google oz. koncerna Alphabet v Združene države Amerike (ZDA). Višina odškodnine je naslonjena na sklep sodišča v Nemčiji iz letošnjega leta, v katerem je bila neki uporabnici spletne strani dosojena odškodnina v višini sto evrov.

Drugo pomembno pravno izhodišče je videti v tem, da je Evropsko sodišče 16. junija 2020 razveljavilo sklep Evropske komisije o enakovrednosti zaščite varstva podatkov v ZDA, tako imenovano pravno osnovo za prenos podatkov Privacy Shield, ki je dovoljevala prenos podatkov v ZDA. S sklepom Evropskega sodišča veljajo ZDA kot tretja država, v kateri varnost podatkov ni zaščitena v enaki meri kot v EU. Po tem datumu morajo podjetja za vse obdelave, ki vključujejo prenos podatkov v ZDA, imeti alternativno pravno podlago. Večinoma so to standardne pogodbene klavzule z dodatnimi garancijami. Avstrijskih odločitev k tematiki uporabe Google Fonts doslej še ni, je pa Urad za varstvo podatkov sporočil, da je uvedel formalni postopek uradnega preverjanja. Do kdaj naj bi bila odločitev sprejeta in objavljena je odprto, verjetno bo tudi predhodno usklajena na evropskem nivoju.
 

Pomoč gospodarske zbornice

Avstrijska gospodarska zbornica si močno prizadeva najti čimbolj ugodno rešitev za včlanjena podjetja in članom, kot piše na spletni strani, nudi pravno pomoč. Prejeto pismo naj se posreduje zbornici, ki nato svetuje, kako se najbolje odzvati na zahtevek. Na spletni strani so na razpolago vzorci odgovorov, ki so prilagojeni temu, kaj pokaže tehnična analiza spletne strani podjetja.
 

Urad za varstvo podatkov

Tudi avstrijski Urad za varstvo podatkov (DSB) je na svoji spletni strani www.dsb.gv.at objavil osnovno navodilo. Kot piše urad, je predvsem treba preveriti polnomočje odvetnika, ki mora biti predloženo, da se ne bi morda informacije dajale neupravičenim prejemnikom, kar bi prav tako privedlo do kršitve predpisov.
 

Kaj storiti?

Če povzamemo objavljanje prispevke in nasvete, je postopek, ki ga načeloma priporočajo pravniki in strokovnjaki za varstvo podatkov naslednji: Nujna je strokovna tehnična analiza spletne strani, ker v posameznih primerih navedeni podatki ne odgovarjajo dejanskemu stanju. Ker morda navedenega IP-naslova ni mogoče najti med shranjenimi podatki, se lahko zahteva dokazilo, kdaj in kako je klientka bila na spletni strani. Mogoče bi bilo tudi, da se zaradi dopustov ali drugih vzrokov zaprositi za podaljšanje roka za odgovor. Korespondenca naj se vodi pismeno s priporočenim pismom. O tem, kakšna je reakcija odvetnika, doslej še ni bilo objav, se je pa verjetno v zadnjih tednih že marsikdo odzval z zahtevkom za dodatne informacije.
 

Obveza za informacije o obdelavi osebnih podatkov

Neodvisno od odškodninskega zahtevka je po predložitvi ustreznega polnomočja v roku 30 dni treba podati informacijo o obdelavi podatkov v skladu z zahtevkom po členu 15 SUVP. Vsebina odgovora je odvisna od tega, kaj pokaže tehnična analiza vpogledov na spletni strani. Če ni mogoče najti IP-naslova ali drugih podatkov, se poda izjava v smislu, da razen obdelave v zvezi s opominom ni drugih podatkov. Če analiza pokaže, da je navedeni IP-naslov zajet, se poda temu ustrezni odgovor.
 

Zaključek

Če ste prejeli opisano pismo, pozorno spremljajte objave zbornice. Če uporabljate Google Fonts, jih na spletni strani čimprej namestite lokalno ali pa zamenjajte pisave. Če želite pravno pomoč, se povežite s pravnikom vašega zaupanja ali z gospodarsko zbornico.

Varstvo podatkov se dinamično razvija. Odgovorni upravljalci naj pozorno sledijo objavam, saj odločbe Urada za varstvo podatkov in sklepi sodišč vedno spet novo usmerjajo interpretacijo pravnega okvira in s tem zahtevajo prilagoditve pri obdelavah osebnih podatkov v podjetjih. Usklajenost podjetij s predpisi bi se morala še precej izboljšati, ker ni rečeno, da ne bodo morebitne druge kršitve pravnega okvira kdaj potencialno izhodišče za ponovna opozorila. Med drugim pogosto pridobitev soglasja za koriščenje piškotov in izjava o zasebnosti ne odgovarjata aktualno veljavnim zahtevam.

Varstvo podatkov je pomembna tema današnjega časa. Skupaj smo pozvani, da z upoštevanjem predpisov izboljšamo varnost podatkov in s tem ščitimo temeljne pravice.

 

Avtor:

Mag. Rudolf Urban, MSc
certificirani strokovnjak za varstvo podatkov
DE Dataexpert e.U.
rudolf.urban@expertgruppe.at
www.expertgruppe.at