Pravni nadzor br. 66 – prosinac 2023.

Sudska praksa u vezi s GDPR-om: Ključni trendovi za 2023. godinu

Bilo u Francuskoj ili na europskoj razini, tijela za zaštitu podataka i pravosudna tijela donijela su 2023. brojne odluke kojima su razjasnili uvjete za primjenu GDPR-a.

Na europskoj razini, najznačajnije sankcije koje su nametnula tijela za zaštitu podataka odnose se na međunarodne tehnološke divove, kao i na nekoliko nacionalnih tvrtki.

Posebno ciljaju na oglašavanje bez pristanka korisnika i neuspjeh u informiranju korisnika.

• Irska Komisija za zaštitu podataka kaznila je 4. siječnja 2023. tvrtku Meta Platforms Ireland Ltd. s 390 milijuna eura zbog nezakonite upotrebe osobnih podataka u reklamne svrhe na Facebooku i Instagramu.

Također je u svibnju 2023. izrekla Meti povijesnu kaznu od 1,2 milijarde eura zbog ilegalnog prijenosa podataka u Sjedinjene Države.

• Irska agencija za zaštitu podataka (DPA) također je u siječnju 2023. kaznila WhatsApp s 5,5 milijuna eura zbog prisiljavanja korisnika na pristanak na korištenje osobnih podataka u svrhu "poboljšanja usluga i sigurnosti".
• Dana 15. lipnja 2023. CNIL je izrekao kaznu od 40 milijuna eura tvrtki CRITEO, specijaliziranoj za online oglašavanje, posebno zbog toga što nije provjerila jesu li pojedinci čiji su podaci obrađeni dali svoj pristanak.
• Talijansko tijelo za zaštitu podataka prošlog je lipnja kaznilo telemarketinšku tvrtku TIM SpA sa 7,6 milijuna eura zbog nedovoljnog nadzora pozivnih centara sa zlouporabama.

U Francuskoj je CNIL usvojio nekoliko drugih sankcija koje vrijedi spomenuti. Komisija se posebno usredotočila na:

• Zbog nedostatka pravne osnove u kontekstu prikupljanja biometrijskih podataka od strane tvrtke Clearview;
• Što se tiče pitanja poštivanja načela minimiziranja prikupljenih podataka, u ovom slučaju podataka o geolokaciji u slučaju Cityscoot od 16. ožujka 2023.;
• Što se tiče razdoblja čuvanja podataka u slučaju KG COM od 8. lipnja 2023. i slučaju Doctissimo od 11. svibnja 2023.;
• Što se tiče poštivanja prava pojedinaca u slučajevima Canal + (12. listopada), Free (20. ožujka) i Criteo (15. lipnja).

Što se tiče ove posljednje točke, CNIL naglašava da se podaci moraju priopćiti podnositelju zahtjeva u razumljivom obliku.

Također napominje da je nepoštivanje jednomjesečnog roka za odgovor na zahtjev za pristup čest prekršaj.

Vrijedi podsjetiti da je ostvarivanje prava pojedinaca tema koordiniranih istraga tijela za zaštitu podataka u Europi za 2024. godinu.

Spomenimo i, u smislu sudske prakse francuskih sudova i tribunala, nekoliko nedavnih odluka u vezi s video nadzorom.

• Upravni sudovi u Nici i Lilleu presudili su 23. odnosno 29. studenog u korist općina koje su instalirale sustave video nadzora s algoritamskim prepoznavanjem lica, na temelju toga što ti sustavi (još) nisu u potpunosti aktivirani ili raspoređeni u svrhu proširenog video nadzora.
• S druge strane, upravni sud u Caenu je u privremenoj naredbi od 22. studenog odlučnije utvrdio da algoritamski sustav video nadzora Briefcam predstavlja ozbiljno i očito nezakonito kršenje prava na privatnost.

Sudac je u vijeću primijetio da je korištenje bilo izvan bilo kakvog pravnog ili regulatornog okvira te je smatrao da "nije utvrđeno, niti se tvrdilo, da se druga, manje nametljiva sredstva u pogledu privatnosti nisu mogla primijeniti kako bi se očuvao javni red".

Pitanje pravne osnove za korištenje algoritamskog video nadzora trebalo bi postati još hitnije donošenjem europske uredbe o umjetnoj inteligenciji koja će na posebno strog način regulirati prepoznavanje lica u javnim prostorima (vidi dolje navedene sažetke).

Konačno, na europskoj razini, Sud Europske unije (CJEU) donio je nekoliko odluka koje pojašnjavaju, posebno, načela koja se primjenjuju na automatiziranu obradu i razmatranje štete u slučajevima kršenja GDPR-a:

• Sud EU-a je stoga 7. prosinca donio dvije važne presude u vezi s dominantnim pružateljem usluga kreditnih informacija u Njemačkoj („Schufa“).

Sud je posebno naveo da automatizirana obrada kreditne sposobnosti („bodovanje“) podliježe općoj zabrani prema članku 22. GDPR-a.

Dodaje da tvrtka koja automatiziranim putem utvrđuje kreditni rezultat i dalje podliježe članku 22., čak i ako se radi o drugoj tvrtki koja se oslanja na taj rezultat kako bi donosila odluke koje imaju (negativan) utjecaj na dotičnu osobu, s obrazloženjem koje bi moglo utjecati na sustave potpomognute umjetnom inteligencijom.

• Što se tiče odštete, u presudi Osterreichische Post AG od 4. svibnja 2023., Sud je utvrdio da kršenje odredbi GDPR-a nije dovoljno da bi se ispitaniku na kojeg je utjecala nezakonita obrada dalo pravo na odštetu: ispitanik također mora dokazati štetu. Međutim, ta šteta mora biti nadoknađena čak i ako ne doseže određeni stupanj ozbiljnosti.
• U svojoj presudi od 14. prosinca 2023., Sud Europske unije daje široko tumačenje moralne štete.

Sud posebno navodi da strah koji osoba osjeća u vezi s potencijalnom zlouporabom svojih osobnih podataka od strane trećih strana nakon kršenja GDPR-a sam po sebi vjerojatno predstavlja moralnu štetu.

U kombinaciji s presudom Österreichische Post AG, koja utvrđuje da ne postoji minimalni prag za nematerijalnu štetu, ova presuda mogla bi potaknuti razvoj kolektivnih tužbi u Europi.

Vrijedi podsjetiti da je Francuska, kao i njezini europski partneri, u procesu prenošenja u nacionalno zakonodavstvo direktive od 25. studenog 2020. o reprezentativnim tužbama u obranu kolektivnih interesa potrošača.

 

   

• Sredinom prosinca, CNIL je objavio "Tablice obrade podataka i sloboda" za stručnjake za zaštitu podataka.

Ove tablice grupiraju i klasificiraju sažetke brojnih odluka francuskih i europskih sudova, uključujući Europski sud za ljudska prava, Sud Europske unije, Ustavno vijeće, Državno vijeće i Kasacijski sud.

Tablice također uključuju određene odluke EDPB-a i CNIL-a, s naglaskom na one kojima se uspostavlja nova doktrina ili postavljaju načela.

• Sredinom prosinca, CNIL je također objavio vodič za podizanje svijesti o GDPR-u kako bi podržao službe zaštite na radu (SPST) u njihovoj usklađenosti.
• Nakon EDPB-a, sada je na redu Glavna uprava za tržišno natjecanje, zaštitu potrošača i kontrolu prijevara da objavi stranicu namijenjenu upozoravanju potrošača na „tamne obrasce“, tehnike ili procese namijenjene utjecaju na izbore korisnika interneta kako bi ih navele da naruče proizvode ili se pretplate na usluge koje ne bi u potpunosti odabrali.
• Ministarstvo unutarnjih poslova upravo je završilo reorganizaciju svojih službi za kibernetički kriminal.
• Novo "Zapovjedništvo Ministarstva unutarnjih poslova u kiberprostoru" (Comcyber-MI) osnovano je uredbom 23. studenog 2023. i koordinirat će sve resurse ministarstva.
• Još jedna uredba formalizira stvaranje novog "Ureda za borbu protiv kibernetičkog kriminala" (OFAC) koji unutar policije spaja poddirektorat za borbu protiv kibernetičke sigurnosti i bivši ured, Središnji ured za borbu protiv kriminala povezanog s informacijskim i komunikacijskim tehnologijama (OCLCTIC).
• Konačno, treća uredba formalizira stvaranje nacionalne kibernetičke jedinice, pridružene glavnom direktoratu nacionalne žandarmerije.

Grupe iliad, CMA CGM i Schmidt Futures osnovale su "Kyutai": neprofitni istraživački laboratorij za umjetnu inteligenciju čija je ambicija uhvatiti se u koštac s glavnim izazovima umjetne inteligencije poput razvoja velikih multimodalnih modela i izuma novih algoritama.

 

Europske institucije i tijela

• EU je 9. prosinca postigao politički dogovor o uredbi o umjetnoj inteligenciji koja bi trebala biti službeno usvojena početkom 2024. godine.

Privremeni sporazum zabranio bi, na primjer, kognitivnu manipulaciju ponašanjem, neciljano prikupljanje slika lica s interneta ili snimaka nadzornih kamera, prepoznavanje emocija na radnom mjestu i u obrazovnim ustanovama, socijalno bodovanje, biometrijsku kategorizaciju radi zaključivanja o osjetljivim podacima, poput seksualne orijentacije ili vjerskih uvjerenja, te određene slučajeve prediktivnog policijskog djelovanja za pojedince.

Sporazum predviđa nekoliko iznimki za službe za provedbu zakona i migracije.

• Na svojoj posljednjoj plenarnoj sjednici, Europski odbor za zaštitu podataka usvojio je pismo kao odgovor na inicijativu Europske komisije o dobrovoljnoj obvezi korištenja kolačića.

Odbor općenito podržava dokument i preporučuje da tvrtke, kada je korisnik odbio prikupljanje svojih podataka, pričekaju godinu dana prije obnove svojih zahtjeva za pristanak kako bi se smanjio umor korisnika („umor od kolačića“) koji zbog ponovljenih zahtjeva dovodi do toga da korisnici nasumično klikaju umjesto da stvarno ostvaruju svoja prava.

• U presudi od 7. prosinca 2023., Sud EU-a pojasnio je da izricanje novčane kazne za kršenje GDPR-a pretpostavlja kršenje počinjeno namjerno ili iz nemara.

Nadalje razrađuje opseg odgovornosti i kvalifikaciju voditelja obrade podataka: ova definicija stoga može ciljati subjekt koji je naručio od tvrtke razvoj mobilne računalne aplikacije i koji je u tom kontekstu sudjelovao u određivanju svrha i sredstava obrade, čak i ako taj subjekt sam nije proveo operacije obrade, nije izričito dao svoju suglasnost za provođenje tih operacija ili za stavljanje aplikacije na raspolaganje javnosti.

Ističe da kvalifikacija dvaju subjekata kao zajedničkih voditelja obrade ne pretpostavlja ni postojanje sporazuma između tih subjekata o određivanju svrhe i sredstava obrade ni postojanje sporazuma kojim se utvrđuju uvjeti koji se odnose na njihovu odgovornost.

• Dana 21. prosinca, Sud EU-a presudio je da pravo na naknadu štete prema članku 82. GDPR-a ispunjava kompenzacijsku funkciju, „u smislu da novčana naknada na temelju te odredbe mora omogućiti potpunu naknadu za stvarnu štetu pretrpljenu kao rezultat kršenja te uredbe“, a ne odvraćajuću ili kaznenu funkciju.

Ozbiljnost kršenja koje je prouzročilo predmetnu štetu stoga ne bi trebala utjecati na iznos odštete.

• Microsoft je predstavio novu verziju Outlooka koja je namijenjena zamjeni programa za e-poštu i kalendar integriranog u Windows 2024. godine, što izaziva zabrinutost među europskim tijelima za zaštitu podataka.

Microsoft je mogao pristupiti e-porukama i prilozima kada korisnik doda račun e-pošte koji nije Microsoftov, putem IMAP i SMTP vjerodajnica tog računa.

 

Vijesti iz zemalja članica Europe.

• Dok se očekuje da će Marie-Laure Denis biti ponovno imenovana za predsjednicu CNIL-a prema izjavi iz Elyséea objavljenoj krajem studenog, Helen Dixon, predsjednica Irske komisije za zaštitu podataka, objavila je 15. studenog 2023. na LinkedInu svoj odlazak u veljači 2024., nakon 10 godina na dužnosti.
• Talijanska agencija za zaštitu podataka (APD) kaznila je kontrolora podataka s 40.000 eura zbog pristupa e-mail računima trojice bivših zaposlenika, kršeći članak 5(1) i članak 13. GDPR-a.

Tijelo je također smatralo da je upravitelj etažne svojine prekršio članak 5(1)(a) i članak 6. GDPR-a nezakonitom ugradnjom sustava video nadzora bez prethodnog donošenja odluke o etažnoj svojini.

APD je izrekao kaznu od 1000 eura i zabranu obrade.

• Norveška agencija za zaštitu podataka (APD) kaznila je Norvešku upravu za rad i socijalnu skrb (NAV) s 1.754.678 eura (20 milijuna norveških kruna) i izdala nekoliko naloga za 12 prekršaja, koji se pripisuju "ozbiljnom nemaru tijekom duljeg razdoblja" u informacijskoj sigurnosti i IT sustavima uprave.
• Danska agencija za zaštitu podataka (DPA) ukorila je Agenciju za digitalnu vladu zbog korištenja JavaScripta u vezi s MitID-om, danskim digitalnim identifikatorom.

Iako su rizici povezani s korištenjem ovog programskog jezika poznati, Agencija ga je koristila bez prethodne procjene rizika, čime je, između ostalog, prekršila članak 32(1) GDPR-a.

• Članak u New Scientistu objavljen 18. prosinca spominje da je umjetna inteligencija obučena na osobnim podacima (medicinskim, profesionalnim i financijskim zapisima) koji se odnose na šest milijuna Danaca uspjela predvidjeti rizike smrti s većom točnošću od postojećih modela, uključujući one koji se koriste u sektoru osiguranja.

Istraživači koji stoje iza ove tehnologije kažu da bi ona mogla imati pozitivan utjecaj na rano predviđanje društvenih i zdravstvenih problema, ali da mora ostati izvan dohvata velikih korporacija.

• Nakon što je prošlog listopada usvojen Zakon o online sigurnosti, koji je civilno društvo kritiziralo zbog ugrožavanja end-to-end enkripcije komunikacija, Ujedinjeno Kraljevstvo priprema novi kontroverzni zakon o istražnim ovlastima.

Prema izvješću Politica, glavna zabrinutost u vezi s ovim projektom odnosi se na takozvani režim "obavijesti": to bi Ministarstvu unutarnjih poslova omogućilo da od tvrtki zahtijeva da ga obavijeste o svim planovima za izmjenu proizvoda ili sustava svojih usluga, što bi impliciralo mogući gubitak kontrole tvrtki nad vlastitim proizvodima i spriječilo ih, na primjer, da isprave ranjivosti u kodu koje bi vlada ili njezini partneri željeli iskoristiti.

Prijedlog zakona je trenutno u fazi izvješća, a sljedeća sjednica zakazana je za 23. siječnja.

 

• Agencije za kibernetičku sigurnost iz 18 zemalja složile su se u dokumentu objavljenom 26. studenog 2023. da stvore modele "sigurne po dizajnu" za umjetnu inteligenciju: tvrtke koje dizajniraju i koriste umjetnu inteligenciju moraju je razviti i primijeniti na način koji štiti njihove kupce i širu javnost od zlouporabe.

Ovaj neobvezujući sporazum usvojile su Sjedinjene Američke Države, Kanada, Japan i 7 država EU (Njemačka, Estonija, Francuska, Italija, Poljska, Češka), kao i Norveška i Ujedinjeno Kraljevstvo.

• U Sjedinjenim Državama, neposredno prije kraja godine, Google je pristao nagoditi kolektivnu tužbu od 5 milijardi dolara u vezi s anonimnim načinom rada preglednika Chrome. Google je optužen da je nastavio pratiti, prikupljati i identificirati podatke o pregledavanju korisnika u stvarnom vremenu, čak i nakon što je otvoren novi anonimni prozor.

Prema Euractivu, specifični uvjeti sporazuma još nisu javno objavljeni, ali očekuje se da će formalni sporazum biti podnesen sudu do 24. veljače.

• Kalifornijska agencija za zaštitu privatnosti (CCPA) podržala je zakonodavni prijedlog koji bi od dobavljača web preglednika zahtijevao da uključe značajku koja ljudima omogućuje ostvarivanje njihovih prava putem signala preferencija "odjave".

CCPA napominje da mnogi preglednici trenutno zahtijevaju od potrošača da instaliraju dodatak treće strane koji može prenositi signal. 

Preglednici koji izvorno podržavaju signale za isključivanje trenutno predstavljaju manje od 10% globalnog tržišta web preglednika.

• Savezna trgovinska komisija (FTC) predložila je krajem prosinca nova ograničenja za tvrtke koje prikupljaju podatke o djeci mlađoj od 13 godina i strože standarde za zadržavanje tih informacija, kao dio ažuriranja Zakona o zaštiti privatnosti djece (COPPA).
• Također u Sjedinjenim Državama, kolektivna tužba optužuje američku zdravstvenu osiguravajuću kuću Humana da je nezakonito koristila model umjetne inteligencije kako bi starijim osobama uskratila osnovnu rehabilitacijsku skrb.