Pravni nadzor br. 62 – kolovoz 2023.

DMA, DSA: nove obveze tehnoloških divova.

Početkom rujna proširuje se zaštita prava korisnika na internetu primjenom Zakona o digitalnim uslugama na glavne platforme i objavom popisa tvrtki na koje se primjenjuje Zakon o digitalnim tržištima.

• Od 25. kolovoza europska uredba o digitalnim uslugama (DSA) primjenjuje se na vrlo velike online platforme (VLOP) i vrlo velike online tražilice (VLOS).

Uredba će se od 17. veljače 2024. primjenjivati i na sve posrednike koji nude svoje usluge korisnicima sa sjedištem u EU-u, uključujući online platforme poput trgovina aplikacija, platformi kolaborativne ekonomije i platformi društvenih medija, s ograničenijim obvezama.

Dodatne iznimke predviđene su za mala i srednja poduzeća i mikropoduzeća.

Devetnaest tvrtki spada u kategoriju VLOPS i VLOSES, prema odluci Europske komisije od 25. travnja, uključujući TikTok, Facebook, X, Snapchat, YouTube i Google Search, utjecajne online trgovce poput Amazona i Zalanda te dvije glavne online tražilice Bing i Google Search.

Te će se tvrtke morati pridržavati niza obveza u vezi s transparentnošću, zaštitom maloljetnika, moderiranjem sadržaja i poštovanjem privatnosti.

Posebno će morati identificirati i procijeniti sistemske rizike koji proizlaze iz njihovih usluga, uključujući algoritamske sustave, kao što su:

• Distribucija ilegalnog sadržaja
• Negativni učinci na ostvarivanje temeljnih prava
• Negativni učinci na građanski diskurs i izborne procese;
• Negativni učinci na rodno uvjetovano nasilje, zaštitu javnog zdravlja i maloljetnike;
• Ozbiljne negativne posljedice za fizičko i mentalno blagostanje osobe.

Nekoliko obveza iz DSA-a preklapa se s onima iz GDPR-a. Navedene su u nedavnom članku s "Foruma o budućnosti privatnosti".

Na primjer, postoje slične ili komplementarne obveze u vezi s „tamnim obrascima“, ciljanim oglašavanjem na temelju osjetljivih podataka ili oglašavanjem koje se odnosi na maloljetnike, transparentnošću, profiliranjem, analizom rizika i uklanjanjem ilegalnog sadržaja.

Postupci kontrole su složeni i mogu ometati postupke GDPR-a: za razliku od potonjeg, koji osigurava regulaciju uglavnom na nacionalnoj razini uz koordinaciju Europskog odbora za zaštitu podataka za prekogranične slučajeve, DSA centralizira kontrole na razini EU-a u vezi s VLOP-ovima i VLOSE-ima, dok državama članicama daje odgovornost za druge posredničke pružatelje usluga.

Nadajmo se da će se uspostaviti koordinacija između tih različitih tijela kako bi se usmjerile i dotične tvrtke i pojedinci koji žele poduzeti pravne mjere.

• Iako je Zakon o digitalnim tržištima na snazi od svibnja, Komisija je 6. rujna objavila popis šest tehnoloških divova, "čuvara vrata", koji će se morati pridržavati njegovih načela. To su Alphabet, Amazon, Apple, ByteDance, Meta i Microsoft.

Komisija navodi da je pogođeno ukupno 22 osnovne platformske usluge kojima upravlja ovih šest skrbnika.

Primarni cilj je spriječiti te tvrtke da iskoriste svoj dominantni položaj.

Dakle, tekst zabranjuje samoreferenciranje ili obvezu profesionalnih korisnika da koriste samo usluge ili proizvode dotične tvrtke.

Čuvari pristupa također ne mogu zabraniti poslovnim korisnicima da nude i promoviraju konkurentske usluge te imaju obvezu dijeliti s njima informacije generirane korištenjem njihove platforme.

Također su planirani specifični zahtjevi za interoperabilnost za online usluge razmjene poruka te opcije za operativne sustave, preglednike, tražilice i virtualne asistente.

Nadalje, "čuvarima vrata" je zabranjeno praćenje i profiliranje korisnika u svrhu ciljanog oglašavanja, osim ako ne dobiju njihov pristanak, te im je zabranjeno sprječavanje deinstalacije unaprijed instaliranih aplikacija.

Neke od tih obveza stoga pojačavaju one predviđene Zakonom o digitalizaciji podataka u pogledu zaštite korisnika, posebno u pogledu profiliranja.

Nekoliko tvrtki poput TikToka, Mete i Googlea već je promijenilo svoje uvjete korištenja.

Kazne predviđene DSA-om i DMA-om mogu doseći 61 TP4T odnosno 101 TP4T prometa dotičnih tvrtki.

U slučaju ponovljenih kršenja DMA-a, kazna može doseći 20% prometa…

Iznosi koji prelaze 4% predviđen GDPR-om, a koje je zakonodavac već u vrijeme donošenja uredbe predstavio kao odvraćajuće.

 

I također

• CNIL priprema nacrt preporuke o sustavima koji su u velikom riziku u slučaju sigurnosnog propusta i pokreće javne konzultacije.

Njegov je cilj objediniti sve napredne sigurnosne prakse u jedan dokument, koji je posebno usmjeren na takozvanu "kritičnu" obradu, definiranu sljedeća dva kumulativna kriterija:

• Obrada je velikih razmjera u smislu GDPR-a;
• Povreda osobnih podataka mogla bi imati vrlo značajne posljedice za dotične pojedince, za nacionalnu sigurnost ili za društvo u cjelini.

U savjetovanju je moguće sudjelovati do 8. listopada 2023.

• Dana 8. kolovoza, CNIL je objavio informativnu bilješku o povezanim beaconima kako bi pomogao svima koji su žrtva zlouporabe ili nezakonite upotrebe da se zaštite.

Ove oznake, koje omogućuju lociranje i pronalazak predmeta (na primjer, ključeva ili novčanika), ponekad se koriste za lociranje ljudi bez njihova znanja.

• Pôle emploi je 23. kolovoza objavio da su osobni podaci otprilike deset milijuna ljudi registriranih u njegovim datotekama ukradeni nakon "čina kibernetičkog zlonamjernog napada".

Ovi podaci su predani tvrtki Majorel, odgovornoj za digitalizaciju dokumenata koje su poslali tražitelji posla.

To bi moglo utjecati na ime i prezime, trenutni ili bivši status tražitelja posla i broj socijalnog osiguranja.

Međutim, "e-mail adrese, telefonski brojevi, lozinke i bankovni podaci" nisu bili kompromitirani.

 

Europske institucije i tijela

• Agencija Europske unije za kibernetičku sigurnost (ENISA) organizira 11. listopada Forum o uslugama povjerenja i elektroničkoj identifikaciji u suradnji s Europskom komisijom, kako bi pratila razvoj pravnog okruženja, europskog digitalnog novčanika i zaštitu online aktivnosti građana diljem EU-a.

ENISA također objavljuje smjernice za pametne telefone: „SMASHING – Smjernice za siguran razvoj pametnih telefona“.

Alat pruža mapu mjera za razvojne programere aplikacija za pametne telefone usmjerenih na osiguranje razvoja sigurnih mobilnih aplikacija.

• Europski institut za telekomunikacijske standarde (ETSI) objavio je izvješće o "Osiguranju umjetne inteligencije (SAI); Automatiziranoj manipulaciji multimedijskim prikazima identiteta".

Dokument obuhvaća tehnike temeljene na umjetnoj inteligenciji za automatsku manipulaciju postojećim podacima o identitetu ili stvaranje lažnih podataka o identitetu predstavljenih u raznim medijskim formatima, kao što su audio, video i tekst (deepfakes).

Opisuje različite tehničke pristupe i analizira prijetnje koje predstavljaju deepfakeovi u različitim scenarijima napada.

Zatim predlaže tehničke i organizacijske mjere za ublažavanje tih prijetnji te ispituje njihovu učinkovitost i ograničenja.

• U kontekstu svog programa revizije za 2023. godinu, EDPB se usredotočuje na ulogu službenika za zaštitu podataka.

Članak koji je IAPP objavio 31. srpnja navodi referentne odluke europskih tijela za zaštitu podataka u vezi s imenovanjem i vještinama službenika za zaštitu podataka.

• Fitbit, u vlasništvu Googlea, suočava se s pritužbama zbog kršenja privatnosti u Europskoj uniji, u kojima se tvrdi da tvrtka ilegalno izvozi korisničke podatke kršeći pravila EU o zaštiti podataka.

Pritužbe se odnose na Fitbitovu tvrdnju da su korisnici pristali na međunarodni prijenos svojih podataka - u Sjedinjene Države i druga mjesta - dok, prema nevladinoj organizaciji NOYB, tvrtka prisiljava korisnike da daju svoj pristanak.

 

Vijesti iz zemalja članica Europe.

• U Nizozemskoj, početno izvješće Agencije za zaštitu podataka (DPA) od 1. rujna poziva na dodatne mjere za kontrolu rizika povezanih s algoritmima i umjetnom inteligencijom u iščekivanju nadolazećeg europskog zakonodavstva.

Kako bi ih bolje kontrolirali, javne vlasti i poduzeća moraju se suočiti s dva izazova.

Prvo, rizici povezani s brzom integracijom inovacija umjetne inteligencije u društvo, poput inteligentnih chatbotova.

Drugo, izvješće ističe potrebu da sve veće javne i privatne institucije u Nizozemskoj razumiju svoju upotrebu algoritama visokog rizika – onih koji imaju značajan utjecaj na živote pojedinaca. Izvješće navodi mjere koje treba provesti.

• Španjolska agencija za zaštitu podataka (APD) kaznila je medijsku tvrtku s 20.000 eura zbog objave fotografije s privatnog Instagram profila osobe na blogu s njezinim imenom i dobi, što je kršenje članka 6(1) GDPR-a.

Također je tvrtki Fourth Party Logistics SL izrečena novčana kazna od 120.000 eura (smanjena na 72.000 eura) zbog nezakonitog podugovaranja zbog nedostatka formalizacije ugovora i nedostatka prethodnih odobrenja za formalizaciju.

• U Hrvatskoj je fotografija na kojoj je identificiran policajac objavljena kao komentar na video policijske operacije podijeljen u javnoj Facebook grupi.

APD je utvrdio kršenje članka 5(1)(b) i članka 6(1) GDPR-a te naložio uklanjanje fotografije.

• U sličnom kontekstu, ciparsko tijelo za zaštitu podataka kaznilo je lokalne novine sa 7000 eura zbog kršenja članka 5(1)(c) i članka 6. GDPR-a: novine su objavile imena i fotografije policajaca na dužnosti.
• U sklopu zajedničke istrage, tijela za zaštitu podataka u baltičkim zemljama revidirala su i sankcionirala tvrtku za iznajmljivanje automobila.

Prilikom izračuna kazne, latvijsko tijelo za zaštitu podataka istaknulo je potpuni nedostatak suradnje od strane kontrolora podataka kao otegotnu okolnost.

U početku je smatrala da je kazna od 15.000 eura primjerena. Međutim, s obzirom na financijske poteškoće s kojima se suočava voditelj obrade podataka i visoki rizik od insolventnosti, na kraju je smanjila kaznu na 1.000 eura.

• Novi švicarski savezni zakon o zaštiti podataka stupio je na snagu 1. rujna.

Među novim odredbama inspiriranim GDPR-om su procjena učinka za obradu osjetljivih podataka, evidencija aktivnosti obrade, službenik za zaštitu podataka (DPO) i prijavljivanje povreda podataka. Koncept "Privatnosti već u dizajnu" sada se izričito spominje.

 

• Dana 24. kolovoza, dvanaest međunarodnih regulatora zaštite podataka i privatnosti iz Amerike, Europe, Afrike i azijsko-pacifičke regije objavilo je da očekuju da će se platforme društvenih medija i druge stranice zaštititi od ilegalnog preuzimanja podataka („web scraping“).

Ova objava ponavlja savjete koje su prethodno dali regulatori poput Australske komisije za informacije, CNIL-a i Ureda povjerenika za informacije Ujedinjenog Kraljevstva nakon istraga o praksama rukovanja osobnim podacima i obvezama obavještavanja o povredi podataka tvrtke Clearview AI, Inc.

• U Sjedinjenim Državama, Agencija za kibernetičku sigurnost i sigurnost infrastrukture („CISA“), Nacionalna sigurnosna agencija („NSA“) i Nacionalni institut za standarde i tehnologiju („NIST“) objavili su 21. kolovoza zajednički informativni list o spremnosti za kvantno računalstvo kako bi upozorili organizacije - posebno one koje podržavaju sektore infrastrukture.

kritike – o prijetnjama kvantnog računarstva i poticanje tih organizacija da počnu planirati buduću migraciju na postkvantne kriptografske standarde („PQC“).

• Američka vlada pokreće Cyber Trust Mark, svoj program za označavanje sigurnosti Interneta stvari.
• U Sjedinjenim Državama, povreda podataka također utječe na Teslu: pogođeno je 75.000 ljudi.

Dvojica bivših zaposlenika Tesle dala su novinama Handelsblatt osobne podatke i kontakt podatke o drugim zaposlenicima.

Tvrtka je obavijestila državnog odvjetnika Mainea o sigurnosnom propustu i ponudila usluge zaštite od krađe identiteta pogođenima.

U travnju 2023. zaposlenici su pregledavali i dijelili privatne videozapise koje su snimili Tesla automobili kupaca, a preuzete su iz sigurnosnih sustava Sentry Mode vozila.

Tesla nije jedina tvrtka koja izražava zabrinutost zbog privatnosti.

Studija koju je 5. rujna objavila Mozilla Foundation opisuje automobile 25 proizvođača automobila kao "noćne more na kotačima kada je u pitanju privatnost podataka".

Zaklada je procijenila politike i prakse 25 proizvođača automobila i upozorila da bi oni mogli prikupljati i komercijalno iskorištavati daleko više od povijesti lokacija, navika vožnje, povijesti navigacije u automobilu i glazbenih preferencija korisnika.

Neki proizvođači mogu obrađivati duboko osobne podatke, kao što su - ovisno o politici privatnosti - seksualna aktivnost, imigracijski status, rasa, izrazi lica, težina, zdravlje, pa čak i genetske informacije.

Osim toga, više od polovice proizvođača prodaje podatke trećim stranama.

• Nove smjernice objavljene su u Kini 25. kolovoza 2023. u vezi s označavanjem sadržaja generiranog umjetnom inteligencijom: Kineski nacionalni tehnički odbor za standardizaciju informacijske sigurnosti („TC260“) objavio je konačnu verziju dokumenta „Praktične smjernice za standarde kibernetičke sigurnosti – Metoda označavanja sadržaja u generativnim uslugama umjetne inteligencije“.
• Kanada također objavljuje kodeks prakse za generativnu umjetnu inteligenciju i potiče doprinose tom dokumentu.
• U Indiji je Zakon o zaštiti digitalnih osobnih podataka iz 2023. objavljen u službenom glasniku 12. kolovoza.

Iako je ovaj zakon dobrodošao jer pruža zaštitu podataka 760 milijuna korisnika interneta, on također izaziva kritike u vezi s razinom ponuđene zaštite, posebno s obzirom na značajnu presudu u slučaju Puttaswamy, kojom je prije pet godina utvrđeno pravo na privatnost u Indiji.

• Dana 31. kolovoza, Apple je najavio odustajanje od razvoja svoje funkcije skeniranja iClouda za identifikaciju sadržaja dječje pornografije (CSAM).

Tvrtka se sada usredotočuje na skup alata i resursa na korisničkim uređajima, poznatih kao "značajke sigurnosti komunikacije".

Nakon suradnje s nizom istraživača sigurnosti i privatnosti, grupama za digitalna prava i zagovornicima sigurnosti djece, tvrtka je zaključila da ne može nastaviti s razvojem mehanizma skeniranja u oblaku, čak i ako je posebno dizajniran za očuvanje privatnosti. 

„Analiza privatnih iCloud podataka svakog korisnika stvorila bi nove vektore prijetnji koje bi kradljivci podataka mogli pronaći i iskoristiti. Također bi stvorila rizik od neželjenih posljedica. Traženje jedne vrste sadržaja, na primjer, otvara vrata masovnom nadzoru i moglo bi stvoriti želju za traženjem drugih šifriranih sustava za razmjenu poruka za sve vrste sadržaja.“

Ovaj javni stav važan je u trenutnom kontekstu, budući da UK, EU i SAD pripremaju zakonodavstvo usmjereno na nametanje široko rasprostranjenog provjeravanja web aktera u kontekstu borbe protiv kibernetičkog kriminala općenito i zaštite djece na internetu posebno.