Pravni nadzor br. 64 – listopad 2023.

Šifriranje i stražnja vrata: od tehničkih ograničenja do društvenih izazova.

Aktualni događaji u Francuskoj odražavaju trenutnu raspravu koja pobuđuje Europu, naime, pristup tijela za provedbu zakona sadržaju šifriranih poruka.

Ministar unutarnjih poslova, komentirajući na radiju nedavni napad u srednjoj školi Arras, izrazio je 22. listopada želju da se u sustave za razmjenu poruka s end-to-end šifriranjem integrira backdoor, koji bi omogućio zaobilaženje šifriranja poruka i pristup njihovom sadržaju.

Prema ministrovim riječima, ova tehnika je učinkovitija alternativa trenutnim rješenjima, koja uključuju hakiranje obavještajnih službi u telefon osumnjičenika kako bi instalirale, na primjer, špijunski softver.

Ova praksa, strogo regulirana zakonom, nije uspjela tijekom praćenja terorista koji je izvršio napad.

Ovih dana se mnogo govori o "skeniranju na strani klijenta", tehnici koja se razlikuje od presretanja poruka ("čovjek u sredini" - HDM).

Stručnjak koji je govorio na seminaru koji je na tu temu organizirao Europski nadzornik za zaštitu podataka 23. listopada opisao je te tehnike na sljedeći način: "čovjek u sredini" presreće poruke tijekom njihova prijenosa, dok se "skeniranje na strani klijenta" sastoji, figurativno rečeno, od čitanja preko ramena pojedinca dok piše - prije šifriranja - kako bi se usporedila njegova poruka sa sadržajem sporne baze podataka.

Ovo je oblik moderiranja sadržaja koji se provodi na korisničkom terminalu.

Dvije inicijative usmjerene na sustavno korištenje skeniranja na strani korisnika trenutno su predmet brojnih reakcija u Bruxellesu i Londonu zbog svoje nametljive prirode.

Na europskoj razini, prijedlog uredbe o CSAM-u privlači najviše kritika.

Cilj teksta je borba protiv dječje pornografije na internetu otkrivanjem širenja ilegalnog sadržaja.

Iako postoji konsenzus o presudnoj važnosti ovog cilja, mnogi dionici dovode u pitanje učinkovitost, nužnost i proporcionalnost predloženih mjera.

Ozbiljnu zabrinutost izrazila su tijela EU-a za zaštitu podataka, stručnjaci iz europskih institucija, kao i organizacije za zaštitu djece, akademici, stručnjaci za kibernetičku sigurnost i žrtve seksualnog zlostavljanja djece.

Osim rizika od preopterećenja policije lažno pozitivnim rezultatima, kritičari se boje da je to prevelik korak prema društvu u kojem će svatko od nas živjeti u osjećaju stalnog nadzora.

Za više od stotinu vodećih istraživača u ovom području, konačno je tehnički nemoguće implementirati skeniranje sadržaja bez slabljenja end-to-end enkripcije i narušavanja privatnosti korisnika.

Mnogi stručnjaci slažu se da trenutna vrhunska tehnološka rješenja nisu dovoljno pouzdana i da su također ranjiva na kibernetičke napade.

To je i zaključak do kojeg je došao Apple, koji je ovog ljeta najavio da napušta svoj algoritamski projekt, te Meredith Whittaker, predsjednica servisa za razmjenu poruka Signal: „Ako policija može ući, mogu i hakeri, neprijateljske zemlje, Putin, iranska vlada i svatko tko želi nanijeti štetu (...). Stoga je bitno da održavamo sigurnost i integritet ovih sustava.“

U tom smislu, čini se da je britanska vlada ublažila svoj stav u vezi s novim zakonom o online sigurnosti, donesenim 26. listopada („Zakon o online sigurnosti“).

Ministri, međutim, nisu uklonili kontroverznu klauzulu o praćenju, već su njezinu provedbu uvjetovali tehničkom izvedivošću.

Britanski regulator tehnologije (Ofcom) zadržava ovlasti zahtijevati od tehnoloških tvrtki da razvijaju softver za skeniranje u skladu s razvojem tehnologije.

Ako ova tehnologija postane dostupna, ostaje za vidjeti kako će se procijeniti ravnoteža između represivnih ciljeva vlasti i privatnosti pojedinaca.

 

• Dana 12. listopada, CNIL je izrekao kaznu od 600.000 eura CANAL+ GROUP-u.

Kazna se posebno odnosi na kršenje obveze pružanja informacija, ostvarivanje prava dotičnih osoba, sigurnosna pitanja u vezi s lozinkama zaposlenika tvrtke, podugovaranje i činjenicu da tvrtka nije obavijestila CNIL o ozbiljnoj povredi osobnih podataka koja se dogodila 2020. godine.

• CNIL organizira etičko promišljanje 28. studenog pod nazivom "Umjetna inteligencija i slobodna volja: jesmo li digitalne ovce?".

Istraživači, stručnjaci i vizualni umjetnici razmijenit će mišljenja o glavnim etičkim pitanjima koja se tiču utjecaja umjetne inteligencije na individualne izbore.

• Također na temu umjetne inteligencije, CNIL je 11. listopada objavio praktične vodiče o izradi baza podataka za obuku za sustave umjetne inteligencije.

Ovi informativni listovi imaju za cilj pomoći stručnjacima da usklade inovacije s poštovanjem individualnih prava. Otvoreni su za javno savjetovanje do 16. studenog 2023.

• Nevladina organizacija noyb podnijela je 14. rujna u Francuskoj tri tužbe protiv Fnaca, aplikacije za nekretnine SeLoger i aplikacije za fitness MyFitnessPal.

Aplikacije tih tvrtki bi ilegalno pristupale osobnim podacima korisnika i dijelile ih s trećim stranama u svrhu sofisticirane analize čim bi se aplikacija otvorila, bez informiranja ili dobivanja privole dotičnih pojedinaca.

Nevladina organizacija planira podnijeti daljnje pritužbe protiv tvrtki koje proizvode mobilne aplikacije.

 

Europske institucije i tijela

• Nakon što je 12. listopada pokrenula istragu o usklađenosti X-a s Uredbom o digitalnim uslugama (DSA), Europska komisija također istražuje Metu i TikTok.

Tvrtke društvenih medija navodno su primile formalne zahtjeve za informacijama o tome kako postupaju s ilegalnim sadržajem i dezinformacijama od početka rata između Izraela i Hamasa.

• Neki kritiziraju Europsku komisiju zbog nepoštivanja vlastitih pravila u vezi s mikrociljanjem na društvenim mrežama.

Danas je tisak, nevladine organizacije i europski parlamentarci optužuju da je u svojoj komunikaciji s publikom u zemljama koje su skeptične prema njezinom predloženom pravilniku o dječjoj pornografiji (CSAM) ciljala određene profile korisnika interneta.

• U rujnu 2023. Europska komisija objavila je dva modelna ugovorna pravila za umjetnu inteligenciju koja se mogu dobrovoljno koristiti u javnoj nabavi za umjetnu inteligenciju, za obradu s visokim rizicima ili bez njih.

Klauzule su namijenjene javnim tijelima koja žele nabaviti sustav umjetne inteligencije koji je razvio vanjski dobavljač.

• Europski nadzornik za zaštitu podataka (EDPS) objavio je 23. listopada preporuke za suzakonodavce EU-a za trijaloge o uredbi o umjetnoj inteligenciji.

Posebno podržava uključivanje u uredbu prava osoba pogođenih korištenjem sustava umjetne inteligencije da podnesu pritužbu nadležnom tijelu i da imaju koristi od učinkovitog sudskog pravnog lijeka protiv njegovih odluka.

Nadalje ponavlja svoj poziv za imenovanje tijela za zaštitu podataka nacionalnim nadzornim tijelima.

Također podržava potrebu za europskim pristupom, posebno u prekograničnim slučajevima sa značajnim utjecajem, te prijedlog o osnivanju "Europskog ureda za umjetnu inteligenciju" koji je iznio Europski parlament.

• EDPS je također 11. listopada izdao mišljenje o dvama predloženim smjernicama koje se odnose na pravila o odgovornosti za umjetnu inteligenciju.
• Europski odbor za zaštitu podataka (EDPB) i EDPS usvojili su 19. rujna zajedničko mišljenje o prijedlogu uredbe o dodatnim postupovnim pravilima za primjenu GDPR-a.

Ovaj prijedlog ima za cilj osigurati provedbu brzih korektivnih mjera za pojedince u prekograničnim slučajevima.

EDPB i EDPS pozivaju na sveobuhvatno usklađivanje uvjeta za dopuštenost, predlažu poboljšanje postizanja konsenzusa većim uključivanjem relevantnih nadzornih tijela i pozivaju suzakonodavce da zadrže trenutni pristup pravu stranaka da budu saslušane u postupku rješavanja sporova.

• EDPB i EDPS izdali su 17. listopada zajedničko mišljenje o prijedlogu uredbe koja se odnosi na digitalni euro.

Regulatori posebno odobravaju zadržavanje mogućnosti izbora za korisnike da plaćaju u digitalnim eurima ili gotovinom.

Ipak, iznose nekoliko napomena kako bi osigurali da se obrađuju samo potrebni osobni podaci, posebno u kontekstu borbe protiv prijevara, te kako bi se izbjegla pretjerana centralizacija osobnih podataka od strane Europske središnje banke ili nacionalnih središnjih banaka.

• Tijekom svoje plenarne sjednice u listopadu, EDPB je odabrao temu za svoju treću koordiniranu provedbenu akciju GDPR-a: kako tvrtke provode pravo pojedinaca na pristup.

Ova akcija planirana je za 2024. godinu i bit će predmet ciljanog praćenja na nacionalnoj i europskoj razini.

• Norveško tijelo za zaštitu podataka (DPA) izdalo je 31. listopada izjavu u kojoj se navodi da će se njegova odluka protiv Mete proširiti na EU/EGP.

U priopćenju za javnost navodi se da je EDPB upravo odobrio trajno proširenje norveške zabrane bihevioralnog marketinga na Facebooku i Instagramu na cijelu Europu.

• Nakon otkrića i istrage Europskog parlamenta o špijunskom softveru Pegasus, izvješće Amnesty Internationala i Europske istraživačke suradnje (EIC) ispituje slučaj Predator i ističe nemogućnost EU-a da regulira zlouporabu špijunskog softvera na vlastitom teritoriju.

Izvješće se usredotočuje na grupu pod nazivom Intellexa Alliance, sa sjedištem u Europi, koja je "razvila, upravljala i prodavala" "niz proizvoda za praćenje" između 2007. i 2022. godine. 

Ovi proizvodi omogućuju slanje tihih pokušaja zaraze korisnicima davatelja internetskih usluga koji surađuju ili diljem cijele zemlje ako operater špijunskog softvera ima izravan pristup internetskom prometu.

• Predstavnici europske farmaceutske industrije (EPFIA) 6. rujna usprotivili su se uvođenju mehanizma za isključivanje iz prikupljanja zdravstvenih podataka za sekundarnu upotrebu u predloženoj uredbi o budućem Europskom prostoru zdravstvenih podataka (EHDS).

Stav grupe odražava zabrinutost istraživača i tehnoloških dizajnera koji se boje da će uvođenje isključivanja iz sustava ugroziti korištenje podataka za istraživanje i inovacije.

• U priopćenju za javnost od 5. rujna 2023., TikTok je objavio da pojačava zaštitu podataka svojih europskih korisnika.

Tvrtka planira dva nova podatkovna centra u Europi uz onaj u Dublinu.

TikTok je također angažirao europsku sigurnosnu tvrtku treće strane za provođenje neovisne revizije obrade podataka.

 

Vijesti iz zemalja članica Europe.

• Belgijska agencija za zaštitu podataka (APD) objavila je 20. listopada kontrolni popis kako bi pomogla organizacijama da osiguraju da su njihove prakse u vezi s kolačićima i drugim mehanizmima praćenja u skladu s važećim propisima.

Dokument vam omogućuje da korak po korak prođete kroz dobre i loše prakse.

APD nas podsjeća da su samo strogo potrebni kolačići izuzeti od pristanka, a da se sve ostale kategorije kolačića mogu postaviti i čitati samo ako je korisnik dao prethodnu, slobodnu, specifičnu, informiranu, nedvosmislenu i aktivnu privolu.

• Okružni sud u Amsterdamu donio je 18. listopada važnu odluku u sažetom postupku koji se odnosi na AdTech i kolačiće za praćenje.

Francuska tvrtka Criteo ne može se jednostavno pozivati na ugovornu obvezu svojih klijenata (izdavača web stranica) da dobije privolu korisnika interneta: ona je također odgovorna za dobivanje valjane privole za postavljanje kolačića, a u suprotnom (i u nedostatku privole koju je dobio izdavač) postavljanje kolačića je nezakonito.

Odluka se temelji na Rimskoj konvenciji II (nadležnost Suda), Direktivi o „e-privatnosti“ i GDPR-u.

Sud priznaje odluku CNIL-a i odbacuje Criteovu obranu da tužitelj nije konfigurirao svoj preglednik da odbija kolačiće.

Također odbacuje argument da bi zahtjevi tužitelja naštetili njegovom poslovnom modelu, s obzirom na to da interesi tužitelja za privatnost imaju prednost.

Sud nadalje primjenjuje presudu Suda u slučaju Österreichische Post (C-154/21) presuđujući da Criteo mora pružiti potpuni pregled trećih strana s kojima su podaci podijeljeni.

• Grčko tijelo za zaštitu podataka (DPA) kaznilo je Atensku organizaciju za gradski promet (OASA) s 50.000 eura zbog kršenja članka 5(1)(e) GDPR-a jer njezin elektronički sustav prodaje karata nije bio u skladu s načelom ograničenja pohrane.

Nadalje je ukorila OASA-u zbog kršenja članka 35(1) GDPR-a, budući da je procjena utjecaja na zaštitu podataka za njihov elektronički sustav prodaje karata bila nedovoljna.

• Švedska agencija za zaštitu podataka (APD) kaznila je Gradski odbor za obrazovanje Stockholma s 800.000 švedskih kruna (otprilike 68.324 eura) zbog korištenja nadzornih kamera u školi, što je kršenje članka 5(1)(a), (c), članka 6(1) i članka 13. GDPR-a.
• Talijanska agencija za zaštitu podataka (APD) kaznila je talijansku odvjetničku komoru s 20.000 eura zbog objavljivanja informacija na svojoj web stranici o dva podnositelja pritužbi bez legitimne pravne osnove, u skladu s kombiniranim odredbama članka 10. GDPR-a i članka 2. octies talijanskog Zakona o privatnosti.
• Hrvatska Agencija za zaštitu podataka (AZP) izrekla je tvrtki EOS Matrix doo, agenciji za naplatu dugova, svoju najvišu administrativnu kaznu ikad, u iznosu od 5.470.000 eura, zbog višestrukih kršenja GDPR-a.
• U Ujedinjenom Kraljevstvu, Clearview AI je dobio žalbu na kaznu britanskog tijela za zaštitu podataka (DPA) pred Prvostupanjskim sudom (FTT).

Sud je utvrdio da se "UK GDPR" ne primjenjuje, tvrdeći da su aktivnosti obrade Clearviewa uključivale obavljanje usluge u ime agencija za provedbu zakona smještenih u trećoj zemlji, izvan područja primjene GDPR-a i "UK GDPR-a".

Sud nadalje smatra Clearview i njegove klijente zajedničkim voditeljima obrade u ovu represivnu svrhu.

Obrazloženje suda potaknulo je brojne rasprave među stručnjacima za zaštitu podataka u vezi s kvalifikacijom zajedničkih kontrolora i neprimjenom europskog i/ili britanskog prava na konkretan slučaj.

• Početkom listopada, Snapov AI chatbot privukao je pozornost ICO-a.

APD je objavio da je izdao preliminarnu obavijest o provedbi protiv Snapa zbog onoga što opisuje kao "potencijalni propust u pravilnoj procjeni rizika za privatnost koje predstavlja njegov chatbot 'My AI'".

Sve veći broj tijela za zaštitu podataka, poput onih u Velikoj Britaniji i Italiji, preuzima odgovornosti regulatora umjetne inteligencije.

 

• Globalna skupština za zaštitu privatnosti (GPA) održala je svoju godišnju konferenciju sredinom listopada na Bermudama.

Vlasti su raspravljale o primjeni propisa o privatnosti na umjetnu inteligenciju te su 20. listopada usvojile rezoluciju o generativnoj umjetnoj inteligenciji.

Rezolucija dolazi nakon što su čelnici G7 30. listopada usvojili međunarodna vodeća načela o umjetnoj inteligenciji (UI) i dobrovoljni kodeks ponašanja za razvojne programere UI kao dio Hirošimskog procesa o UI.

• Sjedinjene Države također objavljuje uredbu o umjetnoj inteligenciji i priručnik za upravljanje rizicima umjetne inteligencije 30. listopada, dok Ujedinjeno Kraljevstvo organizira summit o sigurnosti umjetne inteligencije 2. studenog.
• Ured povjerenika za privatnost Novog Zelanda objavio je vodič o razvoju i korištenju sustava umjetne inteligencije u skladu s načelima privatnosti (PPP).
• Kanada je u rujnu također objavila kodeks ponašanja za razvojne programere i menadžere naprednih generativnih sustava umjetne inteligencije.

Kodeks identificira mjere koje treba provesti kako bi se ublažili rizici povezani s tim sustavima, na temelju šest temeljnih načela: odgovornost, sigurnost, pravda/pravednost, transparentnost, ljudski nadzor, valjanost/robusnost sustava.

• Sjedinjene Američke Države: Državni odvjetnici iz 41 američke savezne države udružili su snage kako bi podnijeli tužbu protiv tvrtke Meta, tvrdeći da su njezine platforme društvenih medija Instagram i Facebook zarazne i štetne za djecu.

Tužba optužuje Metu za opetovano i sustavno prikupljanje informacija o djeci mlađoj od 13 godina te za neuspjeh u informiranju ili dobivanju roditeljskog pristanka u vezi s njihovom upotrebom.

• Kalifornija je 12. listopada 2023. objavila zakon kojim se reguliraju posrednici podataka, a kojim se mijenja postojeći zakon iz 2018. (CCPA).

Tekst propisuje da se posrednici u obradi podataka moraju registrirati kod agencije za zaštitu privatnosti i dostaviti joj detaljnije informacije o pojedinačnim zahtjevima, prikupljanju određenih informacija i obveznoj reviziji njihove usklađenosti sa zakonom.

Projekt također stvara mehanizam koji pojedincima omogućuje da zatraže od svih posrednika podataka brisanje osobnih podataka o njima.

• Servis za genetsko testiranje 23andMe pretrpio je krađu podataka.

Haker je objavio genetske informacije četiri milijuna korisnika na forumu o kibernetičkom kriminalu BreachForums.

Ovaj incident uslijedio je nakon još jednog curenja informacija koje se dogodilo početkom listopada.

• U Ujedinjenim Arapskim Emiratima, Ministarstvo umjetne inteligencije, digitalnog gospodarstva i aplikacija za rad na daljinu objavljuje bijelu knjigu pod nazivom "Okvir samouprave za odgovorni metaverzum".