Pravni nadzor br. 61 – srpanj 2023.

API-ji u središtu dijeljenja osobnih podataka.

Sučelja za programiranje aplikacija, obično nazvana "API-ji" prema svom engleskom nazivu "application programming interface", često se koriste za olakšavanje dijeljenja informacija između javnih ili privatnih organizacija.

Ovu razmjenu podataka podržava zakonodavac, što potvrđuje i europska strategija digitalnog suvereniteta: cilj joj je razviti jedinstveno tržište podataka „podržavanjem odgovornog pristupa, dijeljenja i ponovne upotrebe, u skladu s vrijednostima Europske unije, a posebno zaštitom osobnih podataka“.

Nadopunjuje europsku strategiju o umjetnoj inteligenciji.

API-ji, ako integriraju zaštitu podataka od faze dizajna sustava dijeljenja, mogu pružiti povoljan tehnički okvir, u skladu s GDPR-om.

CNIL stoga potiče njihovu upotrebu u preporuci usvojenoj 7. srpnja.

Posebno naglašava važnost razine sigurnosti koja je sukladna rizicima ponovne upotrebe i dijeljenja podataka ograničenog na nužni minimum.

Preporuka je usmjerena na tri vrste aktera: vlasnike podataka, upravitelje API-ja i ponovne korisnike podataka.

Nositelj podataka karakterizira ga činjenica da kontrolira podatke na tehnički ili organizacijski način.

Upravitelj API-ja je organizacija zadužena za neke ili sve tehničke komponente na kojima se temelji dijeljenje podataka.

Konačno, ponovni korisnik podataka je svaka organizacija koja planira pristupiti ili primati podatke putem API-ja za vlastitu upotrebu.

CNIL (Francusko tijelo za zaštitu podataka) naglašava da ista organizacija može imati nekoliko uloga, na primjer kada kontrolor podataka sam razvija API: on je tada ujedno i administrator API-ja i mora slijediti preporuke koje se odnose na obje uloge. Stoga je ključno identificirati vlastitu specifičnu ulogu u korištenju API-ja.

Svaka kategorija usmjerena je na mjere koje omogućuju postizanje željene razine sigurnosti i usklađenost s načelima zaštite podataka.

Dionici se potiču na suradnju u provedbi ovih preporuka.                              

• Nositelji podataka morat će obratiti posebnu pozornost na informiranje ponovnih korisnika, točnost i integritet podataka te sigurnost podataka (odvajanje i dostupnost, autentifikacija, evidentiranje).
• Upravitelji API-ja usredotočit će se na dokumentaciju, minimizaciju podataka, ostvarivanje prava u vezi s dijeljenjem podataka i sigurnost (komunikacije, sigurnost informacijskih sustava, logiranje).
• Ponovni korisnici imaju specifične obveze u vezi s informiranjem dotičnih osoba, minimiziranjem podataka i sigurnošću (upravljanje rizicima, osiguranje ključeva, evidentiranje).

Preporuka se odnosi na specifične slučajeve dijeljenja podataka, na primjer između društvenih mreža i istraživača ili otvaranje vladinih podataka.

Kvalifikacija različitih aktera ne prejudicira njihov status kao voditelja obrade podataka ili obrađivača podataka u smislu GDPR-a.

Međutim, mogu se izvući neke smjernice: nositelj podataka općenito će biti odgovoran za obradu dijeljenja, u mjeri u kojoj je slobodno odlučio o svrhama i sredstvima obrade ili kada je bio zakonski prisiljen provesti je.

Ponovni korisnik često će biti "primatelj" u smislu GDPR-a.

Sa svoje strane, upravitelj API-ja djelovat će kao podizvođač, odnosno u ime i prema uputama nositelja podataka i/ili ponovnog korisnika.

Preporuke CNIL-a uskoro bi trebale biti dopunjene dobrodošlom objavom praktičnih slučajeva na mrežnim stranicama Komisije.

 

I također

• Dana 27. srpnja, CNIL je objavio poziv za doprinose u vezi sa svojim radom na umjetnoj inteligenciji.

Ovom prilikom daje početne informacije o napretku svog rada nakon objave akcijskog plana o umjetnoj inteligenciji 16. svibnja te poziva na doprinose koji će joj pomoći u razmišljanju, prije prvih publikacija planiranih za jesen.

• CNIL također predlaže novi "pješčanik" za podršku trima projektima koji koriste umjetnu inteligenciju (AI) u korist javnih službi.

Poziv za projekte otvoren je do 30. rujna 2023. godine.

• Kao dio svog akcijskog plana o mobilnim aplikacijama, CNIL objavljuje i podnosi na javnu raspravu nacrt preporuke, čija je svrha pojasniti obveze različitih aktera u ovom ekosustavu, olakšati njihovo usklađivanje i potaknuti provedbu dobrih praksi.
• Više od šezdeset europskih nevladinih organizacija pisalo je 26. srpnja europskom povjereniku Thierryju Bretonu tražeći pojašnjenje u vezi s njegovim nedavnim komentarima u kojima sugerira da bi blokiranje online platformi moglo biti primjenjiva i opravdana mjera prema Zakonu o digitalnim uslugama (DSA).

Ovi komentari uslijedili su nakon izjava predsjednika Republike u kojima je spomenuta mogućnost blokiranja pristupa platformama društvenih medija u kontekstu remećenja javnog reda i mira.

Nevladine organizacije smatraju da bi ovi komentari mogli potaknuti proizvoljno blokiranje online platformi od strane vlada diljem svijeta.

Traže od Europske komisije da osigura da provedba i primjena Zakona o digitalnim uslugama od strane država članica ne dovede do preširokog tumačenja tih mjera, što bi bilo suprotno njegovim regulatornim ciljevima i kršilo Povelju EU o temeljnim pravima.

• Dana 26. lipnja, Državno vijeće je odlučilo da se pravo na ispravak može koristiti za ispravak podataka nakon promjene identiteta, ali ne retroaktivno za ispravak dokumenata prije promjene identiteta: ti prethodni podaci zapravo se ne mogu smatrati netočnima.
• Nacionalna skupština je 28. lipnja jednoglasno usvojila "zakon o uspostavljanju digitalne većine i borbi protiv mržnje na internetu".

Projekt je također jednoglasno usvojio Senat 29. lipnja 2023.

Tekst uspostavlja digitalnu punoljetnost s 15 godina, dob od koje maloljetnik više neće trebati roditeljski pristanak za registraciju na društvenoj mreži.

 

Europske institucije i tijela

• Europska komisija je 10. srpnja donijela odluku o adekvatnosti za "okvir zaštite podataka EU-SAD", zaključivši da je zaštita koju Sjedinjene Države jamče za prenesene podatke usporediva s onom koja se nudi u EU.

Novi okvir stupio je na snagu 11. srpnja.

Prema Komisiji, američke obveze uvode "nova obvezujuća jamstva za rješavanje svih zabrinutosti koje je izrazio Europski sud pravde, posebno ograničavanjem pristupa američkih obavještajnih službi podacima EU na ono što je nužno i proporcionalno te osnivanjem Suda za zaštitu podataka".

Nije iznenađujuće da je Max Schrems smatrao da je novi transatlantski okvir za zaštitu osobnih podataka uvelike kopija „Štita privatnosti“ te da će odluku osporiti na sudu.

Europski odbor za zaštitu podataka (EDPB) objavio je informativnu bilješku s uputama za tvrtke i pojedince na koje se to odnosi.

• Europska komisija je 4. srpnja objavila svoj "Prijedlog uredbe kojom se utvrđuju dodatna postupovna pravila za primjenu GDPR-a" s ciljem osiguranja dosljedne primjene uredbe u prekograničnim slučajevima.

U poruci na Twitteru, EDPB je pozdravio brzi odgovor Komisije na njegove zahtjeve za pojašnjenje.

Međutim, predloženi propis kritiziraju neke nevladine organizacije koje ističu da riskira ograničavanje sudjelovanja građana u pritužbama koje podnose tijelima za zaštitu podataka u slučajevima zlouporabe njihovih podataka.

• Povezani uređaji, poput nadzornih kamera, hladnjaka i pametnih televizora, uskoro bi mogli ponuditi bolju zaštitu od kibernetičkih napada.

Države članice EU nedavno su se dogovorile o zajedničkom stavu u vezi sa sigurnosnim zahtjevima za spomenute digitalne proizvode.

Predloženi zakon o kibernetičkoj otpornosti uveo bi obvezne zahtjeve za dizajn, razvoj i proizvodnju uređaja.

• U presudi od 4. srpnja 2023., Sud Europske unije zauzeo je stav u sporu između Mete i njemačkog tijela za zaštitu tržišnog natjecanja.

Sud EU-a presudio je da tijelo za zaštitu tržišnog natjecanja može utvrditi kršenje GDPR-a i, bez zamjene tijela za zaštitu podataka, ostaje slobodno donositi vlastite zaključke s gledišta primjene prava tržišnog natjecanja.

Sud EU-a također primjećuje da će Facebook vjerojatno obrađivati "osjetljive" podatke iz korisničkih aktivnosti bez da ih korisnik nužno želi javno objaviti, što isključuje izuzeće od privole.

Sud je također isključio Metino pozivanje na nužnost ispunjenja ugovora i legitimni interes kako bi opravdao personalizaciju sadržaja.

Konačno, primjećuje da dominantna pozicija Facebooka na tržištu društvenih mreža izaziva zabrinutost oko valjanosti privole te da je na operateru da dokaže da je privola doista dana slobodno.

Meta je 1. kolovoza objavila da namjerava promijeniti pravnu osnovu koju koristi za ciljano oglašavanje u Europi: tvrtka će tražiti privolu korisnika.

Ova promjena izravna je posljedica odluka EDPB-a te nacionalnih i europskih pravosudnih tijela.

• U kontekstu rasprava o nacrtu europske uredbe o slobodi medija, 80 organizacija civilnog društva, medijskih organizacija, izdavača i emitera, kao i sindikata, pozivaju Europski parlament da bez iznimke zabrani postavljanje špijunskog softvera protiv novinara.
• Dana 3. srpnja, skupine civilnog društva i internetski stručnjaci također su pisali povjerenicima Jourovoj i Reyndersu kako bi izrazili duboku zabrinutost zbog predloženog Zakona o zaštiti podataka i digitalnih informacija (DPDI) britanske vlade, koji bi UK pretvorio u "propusni ventil" i potkopao prava europskih građana na zaštitu podataka.

 

Vijesti iz zemalja članica Europe.

• Belgijsko tijelo za zaštitu podataka (APD) smatralo je da udruženje farmaceuta, neograničenim zadržavanjem podataka koji se odnose na disciplinske sankcije izrečene prema starom propisu, krši, između ostalog, načela zakonitosti, ograničenja svrhe, minimiziranja podataka, točnosti i ograničenja zadržavanja.

Udruga je kažnjena s 30.000 eura.

• Prema belgijskom tijelu za zaštitu podataka, kontrolor podataka sa sjedištem u Sjedinjenim Državama čija djelatnost uključuje organizaciju konferencija u Europi podliježe GDPR-u i mora, između ostalih obveza, imenovati predstavnika u Belgiji.
• Latvijsko tijelo za zaštitu podataka (APD) smatralo je da korištenje jedinstvenog osobnog identifikatora nije dovoljno za jasnu identifikaciju ispitanika i sprječavanje nezakonitog otkrivanja posebnih kategorija podataka od strane nacionalnog pružatelja zdravstvenih usluga.

Korištenje dodatnih kriterija, kao što je ime dotične osobe, bilo je nužno.

• Španjolska Agencija za zaštitu podataka (APD) kaznila je zaštitara s 10.000 eura zbog snimanja slika s CCTV sustava zatvora i njihovog dijeljenja putem WhatsAppa, kršeći članak 6. GDPR-a.
• U odluci od 22. lipnja, talijanska agencija za zaštitu podataka (APD) kaznila je talijansku tvrtku za autoceste s milijun eura zbog toga što nije identificirala svoju ulogu kontrolora podataka u kontekstu korištenja usluga povrata novca.
• Islandsko tijelo za zaštitu podataka (APD) kaznilo je Ured nacionalnog medicinskog istražitelja s otprilike 82.000 eura zbog višestrukih kršenja GDPR-a nakon sigurnosnog propusta na njihovoj web stranici Heilsuvera, koja nudi online zdravstveni sustav i portal za recepte.
• Nakon revizije četiriju tvrtki koje su koristile Google Analytics na svojim web stranicama, Švedska agencija za zaštitu podataka naredila je tim tvrtkama da prestanu koristiti taj alat.

Dvije tvrtke su administrativno kažnjene, dok je jedna dobrovoljno prestala koristiti alat.

Revizije su provedene nakon pritužbi organizacije noyb, koja je tvrtke optužila za ilegalno prenošenje osobnih podataka u Sjedinjene Države kršeći europsko zakonodavstvo.

• Nakon gore spomenute presude Suda EU-a, Norveška agencija za zaštitu podataka proglasila je bihevioralno oglašavanje na Facebooku i Instagramu nezakonitim.

Sljedeća tri mjeseca ili dok ne dokaže usklađenost s norveškim zakonom, tvrtki društvenih medija više nije dopušteno koristiti ovaj pristup.

 

• Sredinom srpnja Bijela kuća predstavila je privremene mjere u obliku dobrovoljnih obveza za "siguran, zaštićen i transparentan razvoj i korištenje umjetne inteligencije".

Amazon, Anthropic, Google, Inflection, Meta, Microsoft i OpenAI dogovorili su se da će dati prioritet istraživanju društvenih rizika koje predstavljaju sustavi umjetne inteligencije te da će poticati otkrivanje i prijavljivanje problema i ranjivosti.

Međutim, prema nekim akademskim stručnjacima, ovi sporazumi nisu ni blizu dovoljni.

„Sjedinjene Države i dalje nude dobrovoljne mjere, dok je Europska unija na pragu usvajanja najopsežnijeg zakonodavstva o umjetnoj inteligenciji koje smo do sada vidjeli“, rekla je Brandie Nonnecke, osnivačica i direktorica Citris Policy Laba na Sveučilištu Berkeley.

• U međuvremenu, Federalna trgovinska komisija (FTC) istražuje OpenAI o tome kako ChatGPT funkcionira, s detaljnim pitanjima o njegovim financijskim prihodima, načinu na koji se modeli obučavaju i podaci obrađuju, sigurnosnim rizicima i postupcima, generiranju sadržaja o pojedincima, vanjskim napadima za manipuliranje LLM-om („brze injekcije“) i zaštiti osobnih podataka.
• OpenAI je ukinuo svoj alat za razlikovanje teksta generiranog ljudskim djelovanjem od teksta generiranog umjetnom inteligencijom: "Od 20. srpnja 2023. klasifikator umjetne inteligencije više nije dostupan zbog niske stope točnosti." Tvrtka nastavlja istraživanje kako bi razvila učinkovitiji alat.
• Amazon je pristao platiti više od 30 milijuna dolara kako bi riješio dvije tužbe koje je pokrenula FTC zbog kršenja privatnosti korisnika, uključujući djecu, putem glasovne asistentice Alexa i kamera za zvono na vratima Ring.

Amazon je optužen da je nekoliko godina zadržavao video snimke Ringa i glasovne snimke Alexe, zajedno s povezanim geolokacijskim podacima, bez pristanka i unatoč zahtjevima potrošača za brisanjem tih podataka.

• Singapursko tijelo za razvoj Infocommunity Media objavilo je partnerstvo s Googleom kako bi podržalo inicijativu "tehnološkog sandboxa".

Ova inicijativa pomoći će tvrtkama da "zaštite privatnost korisnika i pruže im alate koji im omogućuju da nastave pristup podacima bez kolačića trećih strana".

Partnerstvo IMDA-a i Googlea otvoreno je za sve tvrtke sa sjedištem u Singapuru.

• Južnoafrički regulator informacija izdao je 3. srpnja Ministarstvu pravosuđa i ustavnog razvoja obavijest o kršenju propisa i administrativnu kaznu od 5 milijuna randa (otprilike 240.000 eura) zbog nepoštivanja Zakona o zaštiti osobnih podataka (POPIA).

Regulator je u svibnju izdao zabranu kojom se od ministarstva traži da obnovi određene licence za IT sigurnost (antivirusne, antiintruzivne, SIEM) i da pokrene disciplinski postupak protiv dotičnih dužnosnika.

• U Vijetnamu je 1. srpnja stupila na snagu uredba o zaštiti osobnih podataka.

Posebno predviđa provođenje procjena učinka prijenosa podataka i imenovanje službenika za zaštitu podataka za obradu osjetljivih podataka.

• Meta podružnice Onavo i Facebook Israel kažnjene su 26. srpnja u Australiji s 20 milijuna australskih dolara jer nisu adekvatno upozorile VPN korisnike da će se njihovi podaci prikupljati u komercijalne svrhe.

Sankcija koju je nametnuo australski ACCC (Agencija za zaštitu tržišnog natjecanja i potrošača) najveća je ikad izrečena u Australiji u vezi sa zaštitom privatnosti.