Pravni nadzor br. 68 – veljača 2024.

CNIL kontrole: koji su prioriteti za 2024. godinu? ?

Kao i svake godine, CNIL je početkom 2024. objavio pregled svojih prošlih aktivnosti i prioritete za nadolazeće mjesece.

To ukazuje na stalno povećanje kontrola, koje su postale učinkovitije primjenom pojednostavljenog postupka za određene slučajeve.

Prošle godine provjere su utjecale na različite sektore poput oglašavanja i online trgovine, sigurnosti, geolokacije vozila, prava zaposlenika i obrade zdravstvenih podataka.

CNIL je sankcionirao i multinacionalne kompanije i mala i srednja poduzeća, kao i javne i privatne aktere.

Međutim, čini se da je Komisija postala svjesna dodatnih napora potrebnih onima koji vode male organizacije kako bi se uskladili s GDPR-om.

U studiji o ekonomskom utjecaju GDPR-a objavljenoj 1. ožujka napominje da je "GDPR proporcionalno povoljniji za velike gospodarske igrače, koji imaju više resursa za posvetiti usklađenosti".

Iz toga izvodi zaključke napominjući da „regulator mora aktivno kompenzirati ovaj trend zahtjevnom politikom prema velikim igračima, a još više prema vrlo velikim igračima, razmjerno rizicima koje predstavljaju i resursima koje imaju na raspolaganju.“

Dakle, kako je također navedeno u zajedničkoj izjavi CNIL-a i Agencije za zaštitu tržišnog natjecanja iz prosinca 2023., CNIL već pretpostavlja, a u budućnosti će pretpostavljati još više, asimetričnu dimenziju svog regulatornog djelovanja na digitalnim tržištima.uz potpuno razumijevanje poslovnih modela, za dobrobit pojedinaca i zaštitu njihovih temeljnih prava.

Među akcijama najavljenim ove godine, očekivano, nalaze se i dosjei vezani uz Olimpijske i Paraolimpijske igre 2024. godine te pravo pojedinaca na pristup svojim podacima.

Što se tiče Olimpijskih igaraCNIL namjerava provjeriti korištenje sigurnosnih uređaja, a posebno korištenje kamera s proširenim mogućnostima, QR kodova za područja s ograničenim pristupom i autorizacija pristupa.

Količina podataka i broj partnera uključenih u događaj također će navesti Komisiju da provjeri korištenje podataka o ulaznicama kako bi se spriječila prijevarna ponovna upotreba podataka dotičnih osoba.

Treba napomenuti da je pitanje korištenja prepoznavanja lica od strane tijela za provedbu zakona također uključeno u prioritete Europskog odbora za zaštitu podataka (EDPB) u njegovom programu rada za 2023.-2024.

Pravo pojedinaca na pristup svojim podacima tema je koordiniranog djelovanja EDPB-a za 2024. (vidi također dolje).

EDPB je 2023. godine usvojio smjernice o ovoj temi kako bi pomogao kontrolorima podataka u provedbi postupaka pristupa, nadopunjujući one koje je objavio CNIL.

CNIL će se također usredotočiti na podatke prikupljene online od maloljetnika provjerit će se jesu li implementirani mehanizmi kontrole dobi, koje su sigurnosne mjere planirane i poštuje li se načelo minimizacije podataka.

Konačno, ispitat će se utjecaj dematerijalizacije blagajničkih računa i korištenja programa vjernosti na prava pojedinaca..

Zamjena papirnatih računa SMS-om ili e-poštom, na primjer, uključuje prikupljanje dodatnih podataka.

CNIL navodi da se ovi podaci, baš kao i informacije o kupnjama pojedinaca, mogu koristiti u svrhu ciljanog oglašavanja samo uz prethodnu suglasnost dotičnih osoba.

Konačno, treba napomenuti da CNIL može preuzeti slučaj neovisno o utvrđenim prioritetima, na temelju pritužbe, objave u tisku ili izvješća tijela za zaštitu podataka druge europske zemlje.

 

    

• Dana 31. siječnja, CNIL je izrekao kaznu od 100.000 eura pružatelju usluga u prometu nekretninama PAP.

CNIL (Francusko tijelo za zaštitu podataka) utvrdilo je nedostatke u vezi s razdobljima čuvanja podataka, informiranjem pojedinaca, upravljanjem odnosima između PAP-a (Osobne pristupne točke) i podizvođača te sigurnošću podataka (pohrana lozinki u običnom tekstu). Utvrđeni sigurnosni nedostaci izložili su podatke rizicima od kibernetičkih napada i curenja podataka.

• Dana 31. siječnja također je kaznila FORIOU s 310.000 eura zbog korištenja podataka koje su dostavili posrednici u prikupljanju podataka u komercijalne svrhe, bez osiguranja da su dotične osobe dale valjanu privolu za kontaktiranje.

CNIL nas podsjeća da je odgovornost tvrtke koja koristi podatke osigurati da su dotične osobe prethodno dale valjanu privolu, u trenutku prikupljanja.

Komisija je primijetila da, iako je tvrtka nametnula određene ugovorne zahtjeve svojim uzvodnim pružateljima podataka, nije provedena učinkovita kontrola nad tim zahtjevima nizvodno.

• Dana 30. siječnja, Državno vijeće smatralo je da automatski prijenosi poreznih podataka između Francuske i Sjedinjenih Država prema sporazumu FATCA ne krše članke 5. i 46. GDPR-a, a nepostojanje odluke o adekvatnosti ne sprječava prijenose podataka „nužne iz važnih razloga javnog interesa“.

Udruga slučajno poginulih Amerikanaca zatražila je od Državnog vijeća da poništi odluku CNIL-a kojom je odbijena njihova žalba.

Državno vijeće smatralo je da je CNIL dovoljno obrazložio svoju odluku.

Treba napomenuti da je o istoj temi belgijsko tijelo za zaštitu podataka došlo do drugačijeg zaključka i zabranilo prijenos poreznih podataka slučajnih belgijskih Amerikanaca u Sjedinjene Države.

• Francuski startup Mistral, specijaliziran za razvoj umjetne inteligencije, najavio je strateško partnerstvo s Microsoftom 26. veljače.

Prema novinama Le Monde, ova najava izaziva trenje u Bruxellesu, nakon intenzivnih lobiranja, posebno Francuske, za favoriziranje europskih startupova i ograničavanje obveza koje se na njih odnose u budućoj regulaciji umjetne inteligencije.

Zeleni zastupnici u Europskom parlamentu poslali su pismo Europskoj komisiji u kojem postavljaju pitanja o potencijalnim sukobima interesa i problemima transparentnosti u vezi s lobiranjem tvrtke Mistral u vezi s ovom uredbom.

• Sredinom siječnja, ANSSI je objavio tri vodiča usmjerena na "upravljanje sanacijom kibernetičkog incidenta".

Ovi vodiči sastoje se od tri dijela: strateškog, operativnog i tehničkog.

Agencija ističe da "ako se veliki incident djelomično ili loše sanira, njegovi učinci mogu se produžiti tijekom vremena".

"Ovaj visoki potencijal za destabilizaciju zahtijeva (...) stručnost u suzbijanju ovih kibernetičkih napada, ponovnom preuzimanju kontrole nad kompromitiranim informacijskim sustavom i vraćanju zadovoljavajućeg operativnog stanja."

Sanacija je glavna dimenzija odgovora na kibernetičke incidente, uz istragu i upravljanje krizama.

• Nakon osam mjeseci eksperimentiranja, digitalna vozačka dozvola dostupna je od 14. veljače svima koji za nju podnesu zahtjev.

Pomoću aplikacije za identifikaciju u Francuskoj moguće je digitalizirati osobnu iskaznicu i koristiti je za određene postupke, poput izdavanja punomoći.

 

Europske institucije i tijela

• Dana 28. veljače, EDPB je pokrenuo svoj „koordinirani okvir za istrage“ (CFE) za 2024. godinu.

Tijekom cijele godine, europska tijela za zaštitu podataka (DPA) sudjelovat će u ovoj inicijativi o provedbi prava pristupa.

Na svojoj plenarnoj sjednici u listopadu 2023., EDPB je odabrao pravo pristupa za svoju treću koordiniranu provedbenu mjeru, „jer je ono u srži zaštite podataka i jedno je od najčešće korištenih prava na zaštitu podataka, a u vezi s tim tijela za zaštitu podataka primaju mnogo pritužbi.“

• EDPB će uskoro izdati odlučujuće mišljenje o poslovnom modelu „prihvati ili plati“, koji zahtijeva plaćanje za pristup sadržaju web stranice za posjetitelje koji odbijaju kolačiće.

Meta je usvojila ovaj pristup u studenom 2023., što je navelo nizozemsku, norvešku i hamburšku agenciju za zaštitu podataka da zatraže od EDPB-a da donese obvezujuće mišljenje o zakonitosti ove prakse.

Civilno društvo strahuje da će, ako se ovaj ekonomski model ozakoni, tvrtke u svim industrijskim sektorima slijediti Metin primjer, što bi moglo označiti kraj istinskog pristanka za korištenje podataka.

28 nevladinih organizacija poslalo je pismo EDPB-u pozivajući ga da izda mišljenje kojim se štiti temeljno pravo na zaštitu podataka.

• Tijekom plenarne sjednice sredinom veljače, EDPB je usvojio mišljenje kojim se pojašnjava koncept glavnog poslovnog nastana u kontekstu „Sve na jednom mjestu“.

Tvrtke ne mogu jednostavno stvoriti glavni poslovni nastan „stavljanjem znaka na vrata“: poslovni nastan mora biti mjesto gdje se donose odluke o obradi, a ako se te odluke donose u inozemstvu, ne može postojati glavni poslovni nastan: jedinstveno kontaktno mjesto se ne primjenjuje. EDPB je također usvojio izjavu kojom poziva zakonodavce EU da osiguraju da uredba o CSAM-u, usmjerena na zaštitu prava djece na internetu, poštuje prava na privatnost i zaštitu podataka. 

• Europski parlament, a posebno Pododbor za obranu, bio je krajem veljače u stanju visoke pripravnosti nakon što su otkriveni tragovi hakiranja na telefonima dvojice njegovih članova, što je izazvalo strah od kibernetičkih napada i stranog uplitanja u pripremi za europske izbore u lipnju.

Prošlog prosinca, Politico je izvijestio da kibernetička sigurnost institucije "još nije dostigla industrijske standarde" i "nije u potpunosti u skladu s razinom prijetnje" koju predstavljaju hakeri.

Ova nova otkrića slijede prethodne incidente u kojima su drugi članovi Europskog parlamenta bili meta špijunskih programa Pegasus i Predator.

• Europska komisija je 19. veljače pokrenula istragu o pravima djece na TikToku.

Sumnja, posebno, na kršenja u vezi s transparentnošću i obvezama zaštite maloljetnika prema Uredbi o digitalnim uslugama (DSA), uključujući dizajn koji izaziva ovisnost, neadekvatnu provjeru dobi i nedovoljne zadane postavke privatnosti. DSA je na snazi u EU od 17. veljače.

• Države članice EU-a, uz podršku Europske komisije i Agencije Europske unije za kibernetičku sigurnost (ENISA), objavile su 21. veljače izvješće o kibernetičkoj sigurnosti i otpornosti europskih komunikacijskih infrastruktura i mreža.

Ovo izvješće slijedi nakon procjene rizika povezanih s tim infrastrukturama i mrežama koju su provele države članice.

Procjena je identificirala niz prijetnji, poput brisača, napada ransomwarea, napada na lanac opskrbe, fizičkih napada i sabotaže.

• Europski sud za ljudska prava (ESLJP) donio je 13. veljače presudu u slučaju Podčasov o prikupljanju i pristupu privatnih komunikacija građana od strane Rusije.

Usred rasprave o navodnim opasnostima šifrirane komunikacije, Sud je jasno naznačio da slabljenje šifriranja komunikacije za sve građane nije opravdano.

Prema E. Tuchtfeldu, „ova odluka šalje važnu poruku ne samo ruskoj državi, već i drugim europskim vladama koje razmatraju instaliranje 'stražnjih vrata' na šifrirane servise za razmjenu poruka poput Telegrama, Signala ili WhatsAppa“.

• Europski sud za ljudska prava u presudi od 15. veljače također je smatrao da sustavno i neselektivno zadržavanje telekomunikacijskih podataka korištenih u Sloveniji protiv bivšeg suca tijekom suđenja treba smatrati kršenjem njegovog prava na privatnost.

U vrijeme osude podnositelja zahtjeva, pružatelji komunikacijskih usluga bili su obvezni sustavno i neselektivno čuvati telekomunikacijske podatke u razdoblju od 14 mjeseci.

Sud je smatrao da takvo očuvanje nije u granicama onoga što je nužno u demokratskom društvu.

Zadržavanje, pristup i obrada podataka u kontekstu kaznenog postupka protiv podnositelja zahtjeva time su prekršili njegovo pravo na poštovanje privatnog života.

 

Vijesti iz zemalja članica Europe.

• U Belgiji je Belgijsko tijelo za zaštitu podataka (APD) na svojoj web stranici objavilo odjeljak pod nazivom "Dokumenti za DPO"

To uključuje, posebno, sudske odluke i odluke APD-a koje se odnose na službenike za zaštitu podataka, na primjer o temama kao što su sukob interesa i zaštita od otkaza.

• Belgijsko tijelo za zaštitu podataka također je smatralo da, bez obzira na povlačenje pritužbe, i dalje ima ovlast proglasiti kršenje prava dotične osobe i izreći novčanu kaznu zbog nepoštivanja GDPR-a.
• Talijanska agencija za zaštitu podataka (APD) objavila je 29. veljače da je tvrtki Enel Energia izrekla kaznu od više od 79 milijuna eura zbog ozbiljnih kršenja u obradi osobnih podataka brojnih korisnika u sektoru električne energije i plina, provedenoj u svrhu telemarketinga.
• APD je također kaznio općinu Syracuse s 5000 eura zbog nedostavljanja kontaktnih podataka službenika za zaštitu podataka u skladu s člankom 37. GDPR-a.
• Grčko tijelo za zaštitu podataka (DPA) kaznilo je kontrolora podataka s 5000 eura jer službenik za zaštitu podataka (DPO) nije odgovorio, unatoč nekoliko podsjetnika, na upitnik koji mu je poslano u kontekstu koordiniranog europskog djelovanja DPA-ova 2023. godine.
• U Španjolskoj je APD odbio dopustiti da se obveze dubinske analize za sprječavanje pranja novca koriste kao izgovor da banka prisili podnositelja pritužbe da dostavi podatke o podrijetlu svog novca putem nešifriranih e-poruka.

Izrekla je kontroloru podataka kaznu od 2.500.000 eura.

• Dansko tijelo za zaštitu podataka, u svojoj petoj odluci koja se odnosi na Chromebook, utvrdilo je da je 53 općine nezakonito dijelilo osobne podatke učenika s Googleom za Googleove vlastite razvojne svrhe, kršeći članak 6(1)(e) GDPR-a.
• U Ujedinjenom Kraljevstvu, DPA je kaznila britansko Ministarstvo obrane s 409.080 eura (350.000 funti sterlinga) zbog otkrivanja 265 adresa e-pošte ljudi koji su željeli napustiti Afganistan nakon dolaska talibana na vlast 2021. godine.
• Švicarsku saveznu obavještajnu službu (FIS) optužio je časopis Republik, koji je sredinom siječnja objavio istragu u kojoj tvrdi da FIS ima pristup e-mailovima svih švicarskih građana i da masovno prati njihovu komunikaciju prema zakonu iz 2016.

Podaci bi se prikupljali izravno iz komunikacijskih kabela, putem opreme instalirane u infrastrukturi pružatelja internetskih usluga. SRC poriče ove optužbe (putem pisma AFCDP-a).

• Kibernetički napad na američku tvrtku doveo je do otkrivanja osjetljivih informacija o švicarskim zračnim snagama na dark webu.

Hakerska skupina ALPHV preuzela je odgovornost za napad, koji je rezultirao objavljivanjem povjerljivih dokumenata, uključujući ugovor vrijedan 5 milijuna dolara između Švicarske i Ultra Intelligence & Communications, dobavljača tehnologija šifriranja i komunikacije za obrambeni sektor.

U srpnju 2023. sličan napad pogodio je švicarsku tvrtku Xplain, a u studenom je uslijedio hakerski napad na softversku tvrtku Concevis, koja također radi za obrambeni sektor i poreznu upravu.

 

• Bidenova administracija donijela je 28. veljače izvršnu uredbu usmjerenu na zaštitu osjetljivih osobnih podataka Amerikanaca od iskorištavanja od strane određenih trećih zemalja („zemalja koje izazivaju zabrinutost“).

Ova uredba ovlašćuje državnog odvjetnika da spriječi prijenos osobnih podataka Amerikanaca velikih razmjera u zemlje koje izazivaju zabrinutost te pruža zaštitne mjere za druge aktivnosti koje bi tim zemljama mogle omogućiti pristup osjetljivim podacima Amerikanaca.

Ti podaci uključuju, posebno, genomske, biometrijske, zdravstvene, geolokacijske i financijske podatke.

• Američki Nacionalni institut za standarde i tehnologiju (NIST) objavio je u veljači konkretne mjere za integraciju sigurnosti u svaku fazu ciklusa razvoja softvera.

Vodič preporučuje da proizvođači daju prioritet nizu konkretnih mjera, uključujući uspostavljanje osnovnih sigurnosnih zahtjeva za integraciju softvera otvorenog koda i proširenje praćenja "podataka o podrijetlu".

• Također u Sjedinjenim Državama, Federalna trgovinska komisija (FTC) upravo je zabranila Avastu prodaju podataka o pregledavanju svojih korisnika u reklamne svrhe.

FTC je istraživao navode da je Avast prodavao podatke o pregledavanju tvrdeći da njegovi proizvodi blokiraju online praćenje. Avast je kažnjen sa 16,5 milijuna dolara.

Treba napomenuti da je češka agencija za zaštitu podataka (DPA) sankcionirala tvrtku u travnju 2023. iz istih razloga.

• Izmjene zakona o zaštiti podataka u Gruziji stupile su na snagu 1. ožujka.

Ove promjene imaju za cilj osigurati zaštitu bližu onoj iz GDPR-a. 

Operaterima mobilnih telefona i njihovim pružateljima SMS usluga sada je zabranjeno korištenje osobnih podataka građana u svrhu izravnog marketinga bez njihovog prethodnog pristanka.

Osim toga, javne institucije i određene privatne tvrtke sada su obvezne imenovati službenika za zaštitu podataka.

• Povjerenik za zaštitu osobnih podataka Hong Konga (PDPC) proveo je provjere usklađenosti u 28 lokalnih organizacija od kolovoza 2023. do veljače 2024. u vezi s njihovom obradom osobnih podataka u kontekstu korištenja umjetne inteligencije.

Vježba je obuhvatila različite sektore, uključujući telekomunikacije, financije i osiguranje, kozmetičke usluge, maloprodaju, promet, obrazovanje i vladina ministarstva.

PCPD nije pronašao nikakve povrede, iako je primijetio da sve veći broj javnih i privatnih organizacija koristi umjetnu inteligenciju kako bi poboljšao svoju svakodnevnu operativnu učinkovitost.