Pravni nadzor br. 80 – veljača 2025. 

Prijenos podataka u Sjedinjene Države: oslabljen pravni okvir.

Dana 5. veljače, 19 zastupnika Europskog parlamenta iz cijelog političkog spektra zatražilo je od Europske komisije da istraži je li "Okvir za zaštitu podataka" (DPF), koji uređuje transatlantski prijenos podataka, još uvijek održiv.

Dana 6. veljače, predsjednik Odbora za građanske slobode, pravosuđe i unutarnje poslove postavio mu je slično pitanje.

Ova pitanja potaknula je odluka Donalda Trumpa da okonča mandate trojice demokratskih članova Odbor za nadzor privatnosti i građanskih sloboda (PCLOB), koji više nema kvorum potreban za rad.

U kontekstu transatlantskog sporazuma, PCLOB se smatrao bitnim sredstvom za poštivanje individualnih prava u pitanjima masovnog nadzora.

Od tada, američka jamstva u vezi sa zaštitom podataka čine se sve krhkijom.

Prema članku koji je Euractiv objavio 3. ožujka, jedan od sudaca žalbenog tijela PCLOB-a, Suda za preispitivanje zaštite podataka, nestao je s popisa sudaca na web stranici, a poseban odvjetnik dao je ostavku.

Nadalje, „ako Donald Trump nije otpustio glavnog inspektora zaduženog za nadzor obavještajnih agencija, otpustio je najmanje 17 drugih“, a navodno su otpušteni i članovi jedinice za zaštitu privatnosti „Ureda za upravljanje osobljem“.

Konačno, "Projekt 2025", politički program povezan s Trumpovom administracijom, smatra da bi budući predsjednik trebao provesti studiju o "Bidenovoj" izvršnoj uredbi o DPF-u i "resetirati europska očekivanja".

Ovaj projekt također planira obustaviti odredbe koje nepotrebno ometaju prikupljanje informacija.

Vrijedi podsjetiti da je nedostatak neovisnih mehanizama kontrole i zaštite u vezi s američkim obavještajnim agencijama bio razlog za otkazivanje prethodnog sporazuma, Štita privatnosti. 

Ovi različiti čimbenici ne slute na dobro za održivost transatlantskog sporazuma. Otvoreno pitanje je kada će se situacija službeno razjasniti.

Europska komisija zasad šuti, ali očekuje se da će odgovoriti na parlamentarna pitanja prije kraja mjeseca.

Sud Europske unije, koji je već bio zauzet tim pitanjem, mogao bi donijeti odluku u skladu sa svoje dvije prethodne odluke kojima su poništena „Načela sigurne luke“ i „Štit privatnosti“, ali datum te odluke još uvijek nije poznat.

Što je s tijelima za zaštitu podataka?

Norveško tijelo za zaštitu podataka (Datatilsynet) izdalo je 26. veljače izjavu o tom pitanju. Ponovno je navedeno da odluka Europske komisije o adekvatnosti kojom se potvrđuje transatlantski trgovinski sporazum ostaje na snazi dok je potencijalno ne opozove Europska komisija ili Sud Europske unije (CJEU).

Tijela za zaštitu podataka (DPA) vezana su ovim odlukama i ne mogu zabraniti prijenose koji se odvijaju u skladu s odlukom o adekvatnosti.

S obzirom na trenutni kontekst, APD ipak savjetuje kontrolorima podataka da razviju strategiju izlaska u slučaju da se trenutni okvir proglasi nevažećim. jer bi se promjena mogla dogoditi bez prijelaznog razdoblja.

Prva preporuka kontrolorima podataka danas je da sastave sveobuhvatan popis svih prijenosa podataka koje provodi njihova tvrtka.

Zadatak je težak jer su Sjedinjene Države sada sveprisutne u našem digitalnom svijetu i, poput gospodina Jourdaina, svakodnevno prenosimo podatke, a da toga nismo ni svjesni.

Bit će potrebno uzeti u obzir jasno identificirane primatelje u Sjedinjenim Državama, ali i, na primjer, korištenje američkih „oblačnih“ usluga na europskom tlu te višestruke usluge prikaza ili povezivanja poput Googleovih fontova, analitike ili karata, ili čak Facebooka: Sud Europske unije u svojoj je odluci T-354/22 osudio Europsku komisiju zbog kršenja GDPR-a u kontekstu online registracije za događaj koji je organizirala.

Pomoću hiperveze „povezi se s Facebookom“ prikazane na početnoj stranici, „stvorila je uvjete koji omogućuju prijenos IP adrese podnositelja zahtjeva Facebooku“ i, posljedično, Sjedinjenim Američkim Državama, tijekom razdoblja kada je Štit privatnosti bio poništen.

Tamo gdje postoje europske alternative, one mogu predstavljati zanimljivo rješenje.Referiramo se, na primjer, na europski oblak ili certificirani francuski oblak.

Što se tiče alata za praćenje, CNIL je objavio popis anonimnih alata za mjerenje publike.

U slučajevima gdje je prijenos i dalje ključan, izvoznik će se morati osloniti na alate poput standardnih ugovornih klauzula ili obvezujućih korporativnih pravila te provesti analizu učinka preciznim dokumentiranjem rizika presretanja podataka preko Atlantika od strane vlasti i pruženih zaštitnih mjera, što je posebno težak zadatak.

Dana 31. siječnja CNIL je objavio konačnu verziju svog vodiča o procjenama učinka za prijenos podataka izvan Europske unije.

Poput svog norveškog kolege, vjerojatno će objaviti preporuke vezane uz nadolazeća međunarodna događanja.

 

  

Upravo je uveden amandman na predloženi zakon protiv trgovine drogom, kojim se žele prisiliti platforme da provedu mjere koje omogućuju provedbi zakona pristup podacima, posebno podacima o šifriranim uslugama razmjene poruka.

U komentarima upućenim vladi i zastupnicima, nekoliko tvrtki, uključujući Apple, Amazon, Google i Microsoft, usprotivilo se ovom amandmanu, pozivajući se na stavove Europskog odbora za zaštitu podataka (EDPB) i Europskog nadzornika za zaštitu podataka (EDPS) protiv slabljenja end-to-end enkripcije.

Prijedlog će se razmotriti na plenarnoj sjednici koja počinje 17. ožujka.

Ovi događaji odražavaju slične vladine inicijative u nekoliko europskih zemalja, kao i u Sjedinjenim Državama (vidi dolje, nacionalni događaji).

CNIL je podsjetio tražilicu Qwant na njezine obveze prema GDPR-u u vezi s anonimizacijom podataka.

Podatke koje je tvrtka koristila u vezi s prodajom oglasnog prostora na tražilici, kojom upravlja MICROSOFT, Qwant je predstavio kao anonimne. 

CNIL napominje da je „unatoč snažnim mjerama opreza poduzetim 2019. kako bi se izbjegla ponovna identifikacija osoba, preneseni skup podataka doveo do primjene GDPR-a, a posebno njegovih članaka 12. i 13.“.

Komisija smatra da se radi o početnoj pogrešci u analizi u vezi s klasifikacijom prenesenih podataka bez namjere zaobilaženja odredbi GDPR-a te stoga ne nameće nikakvu sankciju.

Komisija je također kaznila agenciju za nekretnine s 40.000 eura zbog pretjeranog praćenja svojih zaposlenika korištenjem softvera (Time Doctor) koji je bilježio navodna razdoblja neaktivnosti i redovito su snimali snimke zaslona svog računala.

Nadalje, zaposlenici su bili stalno snimani.

CNIL posebno kritizira odgovornu osobu zbog nedostatka procjene učinka, nedostatka pravne osnove za obradu i nepoštivanja načela minimizacije podataka.

Također je objavila ažuriranje svojih Tablica zaštite podataka i Sažetke za 2024. godinu u kojima se usredotočuje na svoje važne nove odluke, kao i na bitne elemente nacionalne i europske sudske prakse o zaštiti podataka.

 

Europske institucije i tijela

Nakon izvješća o provjeri prikladnosti digitalne pravednosti objavljenog 3. listopada 2024., Europska komisija razmatra razvoj uredbe o digitalnoj pravednosti („Zakon o digitalnoj pravednosti“) kako bi se riješila pitanja zaštite potrošača u online okruženju, kao što su automatski prekid ili obnova pretplata i pretvaranje besplatnih probnih razdoblja u plaćene pretplate.

Navodno se pripremaju javne rasprave i preliminarna analiza utjecaja.

Komisija je konačno odlučila povući svoj prijedlog Uredbe o e-privatnosti, čiji je cilj bio modernizirati i pojasniti obveze iz važeće direktive, istovremeno ih usklađujući s načelima GDPR-a.

Tekst je izazvao kontroverze, posebno u vezi s opsegom iznimki od načela povjerljivosti komunikacija.

Na stolu su novi zakonodavni prijedlozi koji imaju za cilj rješavanje pitanja privatnosti, a istovremeno odvajaju komercijalni nadzor od državnog nadzora.

Direktiva o odgovornosti za umjetnu inteligenciju, čiji je cilj bio ažurirati pravila EU o sigurnosti proizvoda kako bi obuhvatila umjetnu inteligenciju i automatizaciju, također je na popisu povučenih zakonodavnih prijedloga.

Slijedeći zaključke pariškog summita o umjetnoj inteligenciji iz veljače prošle godine, program rada Europske komisije za 2025. naglašava konkurentnost, s eksplicitnim ciljem poticanja gospodarskog rasta podržavanjem inovacija.

Dana 2. veljače stupile su na snagu prve odredbe uredbe o umjetnoj inteligenciji, uključujući članak 5. koji se bavi zabranjenim praksama umjetne inteligencije.

Dva dana kasnije, Europska komisija objavila je smjernice u kojima se opisuju prakse umjetne inteligencije koje se smatraju neprihvatljivima zbog rizika koje predstavljaju za europske vrijednosti i temeljna prava.

Nekoliko tijela za zaštitu podataka (DPA), prisutnih na samitu o umjetnoj inteligenciji, izdalo je zajedničku izjavu nakon okruglog stola „o uspostavljanju pouzdanih okvira za upravljanje podacima radi poticanja razvoja inovativne i privatnost zaštićene umjetne inteligencije“, naglašavajući potrebu za integracijom načela privatnosti od faze projektiranja sustava umjetne inteligencije i implementacijom robusnih internih okvira za upravljanje podacima.

Istovremeno, EDPB je 12. veljače objavio da proširuje opseg svoje radne skupine ChatGPT na primjenu umjetne inteligencije i osniva „tim za brzi odgovor za koordinaciju djelovanja tijela za zaštitu podataka“ u vezi s hitnim osjetljivim pitanjima vezanim uz umjetnu inteligenciju.

EDPB je početkom ožujka najavio pokretanje svoje koordinirane akcije kontrola za 2025. godinu u vezi s pravom na brisanje.

Ova akcija slijedi koordinirane akcije o korištenju oblaka od strane javnog sektora (2022.), imenovanju i ulozi službenika za zaštitu podataka (2023.) i pravu pristupa (2024.).

Istraživačka služba Europskog parlamenta objavila je 26. veljače informativnu bilješku o napetosti između sprječavanja algoritamske diskriminacije i postupanja s posebnim kategorijama podataka.

U dokumentu se utvrđuju nejasnoće u vezi sa zajedničkom primjenom uredbe o umjetnoj inteligenciji i GDPR-a, što može zahtijevati zakonodavnu reformu ili dodatne smjernice.

Dana 27. veljače, Sud Europske unije donio je važnu presudu o opsegu prava pojedinaca na koje utječe automatizirana odluka.

U predmetu C 203/22 Dun & Bradstreet Austria, Sud pojašnjava da članak 15(1)(h) GDPR-a „nudi ispitaniku stvarno pravo na objašnjenje funkcioniranja mehanizma koji je u osnovi automatiziranog postupka donošenja odluka kojem je ta osoba bila podvrgnuta i rezultata do kojeg je ta odluka dovela“ (stavak 57).

Podaci zaštićenih trećih strana ili poslovne tajne ne oslobađaju kontrolora od konkretnih objašnjenja: potonji je „dužan priopćiti ove navodno zaštićene informacije nadležnom nadzornom tijelu ili sudu, koji je odgovoran za vaganje uključenih prava i interesa kako bi se utvrdio opseg prava ispitanika na pristup predviđenog člankom 15. GDPR-a“ (stavak 67.).

Sud EU-a je 13. veljače također smatrao da nadzorna tijela i sudovi moraju uzeti u obzir činjenicu da je voditelj obrade podataka dio poduzeća u smislu članaka 101. i 102. Ugovora o funkcioniranju Europske unije (UFEU) prilikom određivanja iznosa novčanih kazni.

Nadalje, maksimalni iznos kazni moraju temeljiti na prometu tvrtke, a ne na prometu voditelja obrade podataka.

Glavni odvjetnik Suda pravde EU podijelio je svoje zaključke o slučaju EDPS protiv SRB-a (C-413/23 P) 6. veljače.

Slučaj se odnosi na to predstavljaju li pseudonimizirani podaci koje je agencija EU-a, Jedinstveni odbor za sanaciju, prenijela svojoj konzultantskoj tvrtki Deloitte osobne podatke s gledišta Deloittea.

Opća skupština usredotočuje se na razumna sredstva dostupna primatelju za identifikaciju dotičnih pojedinaca, usvajajući znatno uže tumačenje koncepta osobnih podataka od EDPS-a i EDPB-a. Konačna odluka očekuje se prije ljeta.

 

Vijesti iz zemalja članica Europske unije.

Odluka njemačkog suda (OLG Dresden/Njemačka (Az.: 4 U 940/24) potvrđuje da su kontrolori podataka odgovorni ne samo za vlastite postupke, već i za postupke svojih podizvođača.

Sud je naglasio da nije dovoljno vjerovati podizvođaču bez provjere, kao u ovom slučaju, je li on doista izbrisao podizvođačke podatke na kraju ugovora.

Posljedice nedovoljne provjere mogu trajati dugo nakon početnog incidenta, kao što je bio slučaj ovdje nakon hakerskog napada koji je uzrokovao curenje podataka, nakon čega su uslijedili pravni postupci i šteta nanesena ugledu kontrolora podataka.

U Španjolskoj je APD kaznio mobilnog operatera Orange s 1,2 milijuna eura jer nije spriječio izdavanje duplikata SIM kartice trećoj strani koja ju je koristila za pristup bankovnom računu dotične osobe.

APD je smatrao da operater nije proveo odgovarajuće zaštitne mjere.

Također u Španjolskoj, APD je izrekao nekoliko kazni zadružnoj bankarskoj grupi Caja Rural zbog kršenja GDPR-a nakon povrede podataka zbog neadekvatnih sigurnosnih mjera i ranjivosti u IT sustavu.

U ovom slučaju, APD je smatrao svaku banku članicu zadružne skupine pojedinačno odgovornom, iako su sve koristile istog pružatelja IT usluga, te je izrekao sankcije u rasponu od 6200 eura do 400 000 eura, ovisno o broju klijenata i brzini reakcije banaka.

Grčka agencija za zaštitu podataka (APD) donijela je odluku usmjerenu na olakšavanje ostvarivanja individualnih prava kod Googlea.

Naložila je tvrtki da ukloni poveznice koje se pojavljuju u rezultatima pretraživanja za ime osobe te da Googleu promijeni postupak zahtjeva za uklanjanje dopuštanjem privitaka, pružanjem izravnih kontaktnih podataka i prestankom automatskih odgovora.

U Nizozemskoj, snimka zaslona koju je stručnjak za kibernetičku sigurnost (i bivši nadzornik civilne obavještajne službe) podijelio na platformi Bluesky otkriva da Google Analytics prikuplja podatke o kandidatima za posao unutar civilnih i vojnih obavještajnih službi zemlje.

Zbog te su informacije jedan zastupnik u parlamentu zatražio pojašnjenje od ministra unutarnjih poslova.

Poljska agencija za zaštitu podataka (APD) kaznila je operatera web stranice s 350.000 eura (1.527.855 PLN) i njegovog podizvođača s 4.590 eura (20.037 PLN) zbog kršenja sigurnosti podataka nakon što je pogrešna konfiguracija web stranice dovela do povrede podataka koja je utjecala na 21.453 osobe.

U Rumunjskoj je tvrtka Unicredit kažnjena s 15.000 eura (74.652 leja) zbog dva kršenja podataka uzrokovana internim aplikacijama.

To nije bilo testirano prije implementacije, a APD kažnjava nepoštivanje članka 25(1) GDPR-a, koji zahtijeva zaštitu podataka od samog dizajna („privatnost već od dizajna“).

Nakon što je britanska vlada naredila probijanje iCloud enkripcije, Apple je upravo povukao cijelu svoju naprednu sigurnosnu značajku iz Ujedinjenog Kraljevstva.

Nalog se posebno odnosio na značajku uvedenu 2023. godine, koja korisnicima iClouda omogućuje odabir end-to-end enkripcije svih podataka pohranjenih u tvrtkinom oblaku i osigurava da nijedna treća strana, uključujući Apple, ne može pristupiti podacima.

Tvrtka je imala izbor između uklanjanja značajke šifriranja ili stvaranja stražnjih vrata koja bi ugrozila šifriranje za sve korisnike diljem svijeta, dok je druga mogućnost za Apple isključena.

Istovremeno, Švedskoj su također potrebni backdoori, što je potaknulo Signal da upozori da će napustiti zemlju ako se takav zakon usvoji.

Dodajmo da Sjedinjene Države, prema članku Forbesa od 24. veljače, teže istom cilju pristupanja šifriranim podacima.

 

Južna Koreja je upravo usvojila zakon o umjetnoj inteligenciji koji će stupiti na snagu u siječnju 2026.

Zakon je usklađen s europskom uredbom o umjetnoj inteligenciji: uvodi obveze za tvrtke koje se bave umjetnom inteligencijom, posebno za umjetnu inteligenciju s visokim utjecajem i generativnu umjetnu inteligenciju, s naglaskom na upravljanje rizicima, zaštitu korisnika i transparentnost.

IAPP izvještava da je skupina američkih senatora koji su članovi "Senatske komisije za obavještajne poslove" 5. veljače poslala pismo Bijeloj kući kako bi "izrazila zabrinutost zbog rizika za privatnost i nacionalnu sigurnost koje predstavlja nedavno osnovani Odjel za učinkovitost vlade" (DOGE).

U pismu se tvrdi da postupci DOGE-a riskiraju otkrivanje povjerljivih i drugih osjetljivih informacija, ugrožavanje nacionalne sigurnosti i kršenje privatnosti Amerikanaca.

Trenutno je u tijeku nekoliko tužbi u vezi s nezakonitim pristupom podacima koje obrađuju te agencije.

Zahtjevi obavještajnih službi za podacima koje posjeduje GAFAM naglo su se povećali posljednjih godina.

To proizlazi iz studije koju je objavila tvrtka Proton, a temelji se na izvješćima o transparentnosti Applea, Mete i Googlea između 2014. i 2024. godine.

Kako ističe 01net, ove tvrtke su prema američkom zakonu (FISA, Cloud Act) obavezne odgovoriti na zahtjeve vlasti koje žele pristup telefonskim snimkama, tekstualnim porukama, e-porukama ili sigurnosnim kopijama u oblaku.

„Zahtjevi za pristup korisničkim podacima (bilo koje nacionalnosti), poput e-pošte ili poruka, koje su Google, Apple i Meta podnijeli američkim vlastima u posljednjih deset godina (...) u prosjeku su se za ove tri tvrtke povećali za... 600 %.“

Malezijski zakon o zaštiti osobnih podataka ojačan je kako bi se značajno povećale ovlasti regulatornog tijela i ojačala prava pojedinaca.

Provodit će se u tri faze tijekom prve polovice 2025. godine, i to 1. siječnja, zatim 1. travnja i 1. lipnja.

Istraga o "datotekama praćenja", koju je provelo nekoliko međunarodnih medija, uključujući Le Monde, France Info i francuski informativni program u 20:00, otkriva opseg praćenja i detalje osobnih podataka koje obrađuju posrednici u obradi podataka.

Geolokirani osobni podaci milijuna korisnika agregiraju se pod uvjetima koji često nisu baš transparentni: na primjer, igranje online na pametnom telefonu pomoću aplikacije može generirati prijenos podataka kao što su vrijeme povezivanja, model pametnog telefona ili geografska lokacija, elementi prikupljeni u gigantskim datotekama koje prodaju posrednici poput American Datastream Group.

U ovoj najnovijoj datoteci uključeno je više od 47 milijuna ljudi.

Podaci svih mogu biti pogođeni, ali i podaci diplomata, vojnog osoblja ili novinara.