Pravni nadzor br. 59 – svibanj 2023.

Meta-sankcije: 1,2 milijarde eura... i što onda?

Kazna koju je irsko tijelo izreklo 12. svibnja tvrtki Meta, matičnoj tvrtki Facebooka, najviša je ikad izrečena od strane tijela za zaštitu podataka od stupanja na snagu GDPR-a, u vrijeme kada uredba slavi petu godinu primjene.

U srži ove odluke leži Facebook prenosi podatke svojih europskih korisnika u Sjedinjene Američke Države, zemlju za koju se više ne smatra da nudi odgovarajuću razinu zaštite. od odluke Suda Europske unije od 16. srpnja 2020. (presuda Schrems II).

Ova nova sankcija ujedno je i simbol suradnje između tijela za zaštitu podataka, budući da je odluka irskog tijela rezultat dugog i mukotrpnog postupka, a da ne spominjemo natezanje užeta s europskim kolegama.

APD je stoga bio prisiljen proširiti opseg svoje odluke i izreći značajnu novčanu kaznu.

Prema nevladinoj organizaciji NOYB i njezinom predsjedniku Maxu Schremsu, koji je pokrenuo pritužbu, nema nužno razloga za slavlje.

Postupak je trajao tri godine, suočavajući se s nacionalnim tijelom koje je sustavno blokiralo proces u raznim fazama, te je rezultirao s više od deset milijuna eura sudskih troškova... za kaznu koja će ići irskoj državi.

 

Koje su konkretne posljedice za Metu?

Odluka uključuje razdoblje provedbe: tvrtka ima rok do sredine listopada da prestane prenositi podatke svojih korisnika u Sjedinjene Države.

Također mora izbrisati sve podatke koji su već preneseni iz svojih američkih podatkovnih centara prije sredine studenog.

Iako je tvrtka zaprijetila prestankom pružanja svojih usluga u Europi, vjerojatnost ove objave je upitna, budući da je Europa njezin najveći izvor prihoda nakon Sjedinjenih Država, sa stvaranjem nekoliko podatkovnih centara smještenih na europskom teritoriju.

Tvrtka je najavila da će pokrenuti nacionalnu žalbu protiv irskog tijela i da će tražiti odgodu izvršenja naloga do iscrpljivanja pravnih postupaka.

Meta vjerojatno kupuje vrijeme, računajući na novi transatlantski sporazum kojim će se regulirati prijenos podataka u Sjedinjene Države prije jeseni.

Međutim, treba imati na umu, s jedne strane, da novi sporazum neće legalizirati prošle transfere i već dokazana kršenja zakona, a s druge strane, da su ljestvica visoka u pogledu budućeg transatlantskog sporazuma.

Trenutni projekt već se suočio s oštrim kritikama Europskog parlamenta i nije sigurno hoće li izdržati kontrolu Suda Europske unije (CJEU).

 

Utjecaj na GAFAM-ove i kontrolore podataka općenito

Američki zakoni o nadzoru, koji su osnova za odluke irskog tijela, EDPB-a i Suda pravde EU-a, predstavljaju problem za sve glavne američke pružatelje usluga u oblaku, poput Microsofta, Googlea ili Amazona.

Treba napomenuti da relevantni američki zakon o nadzoru (FISA 702) mora biti ponovno odobren do prosinca 2023.

Iako je nekoliko europskih nadzornih tijela već proglasilo korištenje američkih usluga koje uključuju prijenos podataka nezakonitim, njihove odluke nisu popraćene novčanom kaznom tolikom kao ona izrečena Meti.

To bi moglo potaknuti velike američke tehnološke tvrtke i sve one koji koriste "cloud" usluge američkog podrijetla da preispitaju svoje prakse i da provedu barem analizu utjecaja transfera.

 

Međutim, i dalje bi bilo potrebno da tijela za zaštitu podataka budu dovoljno odvraćajuća u primjeni GDPR-a.

Sada ih se kritizira zbog nedostatka učinkovitosti, kao što je prikazano u nedavnom izvješću Irskog vijeća za građanske slobode (ICCL).

Njegova analiza pokazuje da se GDPR rijetko primjenjuje protiv velikih tehnoloških tvrtki.

Malo bi većih europskih slučajeva rezultiralo ozbiljnim provedbenim mjerama: „registar konačnih odluka EDPB-a otkriva da je većina (64 %) od 159 provedbenih mjera poduzetih krajem 2022. bile samo opomene.“

Studija, očekivano, upire prstom u irsku Komisiju za zaštitu podataka, budući da je 75 istražnih odluka tog tijela u slučajevima EU poništeno većinom glasova u Europskom odboru za zaštitu podataka.

Kontekst u vezi s pravnim lijekovima razvija se prema boljoj zaštiti pojedinaca: europska direktiva o kolektivnim pravnim lijekovima trebala bi se primijeniti ovog ljeta, što će europskim korisnicima dati dodatni put do pravne zaštite omogućujući im pokretanje kolektivnih tužbi u slučaju kršenja GDPR-a diljem Europske unije.

Nizozemska, koja već dopušta ovu vrstu pravnog lijeka, bilježi porast pravnih postupaka.

Nizozemska organizacija za prava potrošača "Consumentenbond" trenutno okuplja nizozemske korisnike Facebooka kako bi podnijeli pritužbu protiv prijenosa podataka između Europske unije i Sjedinjenih Američkih Država.

Konačno, nedavna presuda Suda EU-a (Österreichische Post AG) otvorila je put za „male tužbe“ za povrede privatnosti, potvrđujući da nije potreban prag težine za pretrpljenu moralnu štetu, što bi korisnicima moglo omogućiti da traže odštetu za povrede koje se, na primjer, tiču podvrgavanja masovnom nadzoru od strane Sjedinjenih Država.

To bi dovelo do zahtjeva za odštetu koji daleko premašuju trenutne kazne.

 

I također

     

• Dana 16. svibnja, CNIL je objavio akcijski plan za implementaciju sustava umjetne inteligencije koji poštuju privatnost pojedinaca.

Namjerava proširiti svoj rad na proširene kamere i proširit će svoj rad na generativnu umjetnu inteligenciju i modele velikih jezika (LLM), kao i izvedene aplikacije (uključujući chatbotove).

Ovaj rad će također pomoći u pripremi za stupanje na snagu nacrta europske uredbe o umjetnoj inteligenciji.

• CNIL je tvrtki DOCTISSIMO izrekao kaznu od 380.000 eura.

Komisija je uočila nekoliko nedostataka u GDPR-u, posebno u vezi s razdobljima čuvanja podataka, prikupljanjem zdravstvenih podataka putem online testova, sigurnošću podataka i metodama postavljanja kolačića na korisničke terminale.

• CNIL je 23. svibnja objavio svoje izvješće o aktivnostima za 2022. godinu.

U njemu se navode najvažniji događaji protekle godine, uključujući povećanu podršku poduzećima i upravama, kampanje informiranja javnosti i digitalno obrazovanje za mlađe ljude, rješavanje pritužbi i mjere provedbe.

• Državno vijeće objavilo je na internetu snimku rasprava koje je održalo 10. veljače 2023., u suradnji s CNIL-om i Savezom IHU France, na temu "Umjetna inteligencija i veliki podaci, kako će revolucionirati medicinska istraživanja i praksu sutrašnjice".

To je uslijedilo nakon studije Državnog vijeća "Umjetna inteligencija i javno djelovanje" iz kolovoza 2022.

• U presudi od 23. travnja 2023., Žalbeni sud u Parizu presudio je da se WhatsApp poruke trebaju tretirati kao SMS poruke kada se razmjenjuju pod istim uvjetima.

U kontekstu spora između tvrtke i bivših zaposlenika, presuđeno je da poslodavac može pristupiti neodređenim "osobnim" porukama iz WhatsApp grupe na poslovnim telefonima bivših zaposlenika.

 

Europske institucije i tijela

• Dok GDPR slavi svoju 5. godišnjicu, brojne studije predstavljaju mješovitu procjenu njezine provedbe.

Nevladina organizacija noyb objavljuje o ovoj temi pregled 800 GDPR slučajeva koje je podnijela u proteklih pet godina tijelima za zaštitu podataka (DPA), od kojih 86 % još uvijek čeka odluku.

Nevladina organizacija je identificirala više od 60 proceduralnih problema koji ometaju primjenu GDPR-a.

Iako kazna izrečena Meti puni naslovnice, nevladina organizacija smatra da tijela za zaštitu podataka općenito ne primjenjuju GDPR pravovremeno.

• Procjena koju je proveo Forum za budućnost privatnosti (FPF) otkriva da su kršenja članka 25. GDPR-a u vezi s "privatnošću već u dizajnu" rezultirala najvišim kaznama.

Studija se temelji na više od 90 slučajeva i objašnjava da „neka tijela za zaštitu podataka primjenjuju članak 25. prije nego što dođu do drugih kršenja GDPR-a ili čak prije nego što se provede namjeravana obrada podataka“.

• Europski odbor za zaštitu podataka (EDPB) upravo je izabrao Anua Talusa, finskog povjerenika za zaštitu podataka, za svog predsjednika.

Nova predsjednica zamijenit će odlazeću predsjednicu Andreu Jelinek i nadgledat će rad odbora sljedećih pet godina.

• EDPB objavljuje zbirku slučajeva o pravu na prigovor i brisanje prema članku 17. GDPR-a. Ispituje odabrane primjere odluka iz svog javnog registra.
• Upravljačka skupina IAB Europe „Okvir za transparentnost i pristanak“ objavila je verziju 2.2 svog referentnog okvira.

Glavne promjene uključuju uklanjanje pravne osnove legitimnog interesa za personalizaciju oglašavanja i sadržaja, poboljšanje informacija koje se pružaju krajnjim korisnicima i zahtjev da pružatelji usluga dostave dodatne informacije o svojim aktivnostima obrade podataka.

• Skupina od 30 stručnjaka za IT i kibernetičku sigurnost sa sjedištem u Europi napisala je otvoreno pismo čelnicima EU-a.

Izražavaju zabrinutost zbog ozbiljnih rizika koje predložena uredba Europske komisije o seksualnom zlostavljanju djece (CSA) predstavlja za povjerljivost i sigurnost svih komunikacija, kao i za cjelokupno zdravlje internetskog i informacijskog ekosustava.

 

Vijesti iz zemalja članica Europe.

• Njemačko savezno tijelo za zaštitu podataka (BfDI) potvrdilo je da je pregled tehnoloških dostignuća poput generativne umjetne inteligencije iz perspektive zaštite podataka dio njegove nadležnosti.
• Dansko tijelo za zaštitu podataka ukorilo je kontrolora podataka zbog dijeljenja osobnih podataka s tvrtkom Meta Ireland bez prethodnog osiguranja da se potonja pridržava GDPR-a prilikom prijenosa podataka na Meta platforme u Sjedinjenim Državama.
• Nakon skandala s kršenjem podataka visokog profila i nakon pritužbe koju je podnijela nevladina organizacija noyb, malteška agencija za zaštitu podataka (DPA) naložila je tvrtki C-Planet da udovolji zahtjevu za pristup podacima i otkrije izvor osobnih podataka koje posjeduje. U ovom slučaju, podaci su otkriveni kao dio kršenja koje se odnosi na politička mišljenja 335 000 birača na otoku.
• Nizozemska unija potrošača podnijela je kolektivnu tužbu protiv Googlea zbog praćenja lokacije korisnika, pregledavanja weba i korištenja aplikacija bez valjanog pristanka. Očekuje se da će Google obeštetiti sve korisnike koji su koristili njegove usluge od 1. ožujka 2012.
• Belgijska agencija za zaštitu podataka (APD) naredila je zabranu prijenosa poreznih podataka američkih građana s prebivalištem u Belgiji u Sjedinjene Američke Države. Prema APD-u, sporazum FATCA, koji dopušta takve prijenose, nije u skladu s GDPR-om, a belgijska porezna uprava trebala je provesti procjenu učinka.
• Norveški odbor za žalbe u vezi s privatnošću utvrdio je da platforma za najam automobila ima pravnu osnovu prema članku 6(1)(f) GDPR-a za procjenu kreditne sposobnosti ispitanika kako bi se smanjio financijski rizik tvrtke.
• Nakon anonimne pritužbe protiv agencije za naplatu dugova, Agencija za zaštitu podataka (AZP) izrekla je novčanu kaznu od 2.265.000 eura zbog nedostatka sigurnosnih mjera, privole i kršenja obveze pružanja informacija od strane kontrolora podataka.
• Nakon pritužbe, austrijsko tijelo za zaštitu podataka (APD) donijelo je 10. svibnja 2023. odluku protiv tvrtke za prepoznavanje lica Clearview AI. Odlukom su utvrđena kršenja GDPR-a (članci 5., 6. i 9.), naloženo je kontroloru da izbriše podatke podnositelja pritužbe i da imenuje predstavnika u Austriji u skladu s člankom 27. Uredbe.
• Dana 15. svibnja, Ured povjerenika za informiranje (ICO) kaznio je TikTok s 12.700.000 funti zbog niza kršenja zakona o zaštiti podataka, uključujući nezakonitu upotrebu osobnih podataka djece.

 

• Postoji rastući trend korištenja umjetne inteligencije u profesionalnom kontekstu. Na primjer, američki odvjetnik koristio je ChatGPT za pretraživanje pravnih slučajeva za sudski podnesak, a najmanje šest navedenih pravnih slučajeva bilo je nepostojeće – tipičan slučaj halucinacije umjetne inteligencije, u kojem chatbot izmišlja informacije.

Sudac koji je predsjedavao slučajem napisao je: „Sud se suočava s neviđenom situacijom. Podnesak koji je podnio odvjetnik tužitelja u kojem se protivi zahtjevu za odbacivanje prepun je navoda o nepostojećim slučajevima.“ Odvjetnik se ispričao i sada se suočava s disciplinskim saslušanjem.

• Dana 16. svibnja, Sam Altman, izvršni direktor OpenAI-a, svjedočio je pred američkim Kongresom.

Nakon što je priznao da bi umjetna inteligencija potencijalno mogla "poći po zlu" i izrazio želju za suradnjom s vladom kako bi se to spriječilo, nijansirao je svoje primjedbe: programer ChatGPT-a smatra da je važno dopustiti tvrtkama i projektima otvorenog koda da razvijaju određene modele "ispod značajnog praga kapaciteta", bez stroge regulacije ili mehanizama poput licenci ili revizija.

• Američki Kongres je 23. svibnja objavio izvješće pod nazivom "Generativna umjetna inteligencija i privatnost podataka: Uvod": izvješće se usredotočuje na pitanja privatnosti i politička razmatranja relevantna za Kongres.
• Također u području umjetne inteligencije, Centar za elektroničke informacije o privatnosti (EPIC) objavio je svoje izvješće pod nazivom "Generiranje štete – Utjecaj generativne umjetne inteligencije i putevi naprijed". Dokument premošćuje jaz između područja privatnosti i umjetne inteligencije iz perspektive potencijalne štete.
• Američka Federalna trgovinska komisija izdala je izjavu o politici prikupljanja biometrijskih podataka koja nije prošla nezapaženo.

Agencija navodi da će koristiti svoju stručnost u području nepoštenih praksi kako bi kazneno gonila štetnu obradu biometrijskih podataka te razvija široko tumačenje biometrijskih podataka, uključujući podatke poput fotografije lica, čak i ako se ne obrađuju radi identifikacije dotične osobe.

• Dana 18. svibnja, glavni državni odvjetnik Washingtona objavio je da će Google platiti državi 39,9 milijuna dolara zbog obmanjujućih praksi geolokacije.

Google će također provesti niz reformi kako bi povećao transparentnost svojih postavki geolokacije.

• Europska komisija, u suradnji s ASEAN-om (Udruženjem zemalja jugoistočne Azije), objavila je vodič o prijenosu osobnih podataka korištenjem standardnih ugovornih klauzula koje su usvojile te dvije organizacije.

Vodič će biti objavljen u dva dijela: „Referentni vodič“ koji pruža usporedbu između ASEAN-ovih zajedničkih centara za poslovanje (CMC) i EU-ovih zajedničkih centara za poslovanje (CSC), te „Vodič za provedbu“ koji opisuje najbolje prakse tvrtki koje ispunjavaju zahtjeve oba seta ugovornih klauzula.

• Iberoamerička mreža tijela za zaštitu podataka („RIPD“) objavila je 8. svibnja da će koordinirati istragu u vezi s ChatGPT-om.
• Dana 11. travnja 2023. Kineska uprava za kibernetički prostor (CAC) objavila je nacrt administrativnih mjera za generativne usluge umjetne inteligencije („nacrt mjera umjetne inteligencije“).

Ovaj projekt bio bi usklađen s općim kineskim pristupom regulaciji podataka, kibernetičkoj sigurnosti i online sadržaju, koji stavlja snažan naglasak na održavanje političkog i društvenog poretka.

CAC je također 30. svibnja objavio smjernice o registraciji standardnih ugovora za izvoz osobnih podataka.

• Pakistansko Ministarstvo informacijske tehnologije i telekomunikacija 23. svibnja dovršilo je nacrt zakona o zaštiti osobnih podataka.

Stupit će na snagu najkasnije dvije godine od dana proglašenja, u skladu s onim što odredi savezna vlada.

• Brazilske vlasti naredile su blokiranje aplikacije Telegram, koja se široko koristi u Brazilu, tvrdeći da nije dovoljno surađivala u tekućoj istrazi protiv neonacističkih skupina.

Sud je naložio Telegramu da plati kaznu od otprilike 200.000 eura dnevno zbog nedostavljanja ovih informacija. Aplikacija je samo djelomično pružila tražene podatke.