Pravni nadzor br. 81 – ožujak 2025. 

Kršenje podataka: koja je provedba zakona i koje su sankcije?

Tko nije nedavno primio e-poruku od svog davatelja telekomunikacijskih usluga ili od nevladine organizacije kojoj mjesečno donira, u kojoj ga obavještavaju da su mu kontaktni podaci, identifikatori, a ponekad i bankovni podaci, kompromitirani?

U vrijeme kada se kršenja podataka množe, zaštita IT sustava postaje glavni problem za tvrtke.

Od stupanja na snagu GDPR-a i NIS2 direktive, sigurnost obrade podataka strogo je regulirana, a kršenja podliježu visokim kaznama za voditelje obrade podataka.

Među obvezama treba spomenuti obvezu obavještavanja CNIL-a i dotičnih osoba o kršenju pod određenim uvjetima, otklanjanja kršenja i poduzimanja svih korisnih mjera za ublažavanje njegovih posljedica.

CNIL ima opsežne istražne ovlasti, a njegova je misija podržati, ali i sankcionirati kontrolore podataka kada je uzrok povrede podataka sigurnosna povreda.

Komisija je posljednjih godina nametnula nekoliko sankcija:

• Bouygues Telecom je 2017. godine kažnjen s 250.000 eura zbog nedovoljne sigurnosti na svojoj web stranici za korisnike B&You, koja je omogućavala pristup ugovorima 2 milijuna korisnika putem modifikacije URL-a.
• Uber je 2016. godine kažnjen s 400.000 eura zbog sigurnosnog propusta koji je ugrozio 57 milijuna računa i zbog toga što nije obavijestio CNIL u zakonskim rokovima.
• Nedavno je Dedalus Biologie otkrio zdravstvene podatke 500.000 pacijenata zbog pogrešne konfiguracije poslužitelja od strane podizvođača te je od strane CNIL-a kažnjen s 1,5 milijuna eura.
• Konačno, prošlog listopada, Ledger, tvrtka za sigurnost kriptovaluta, kažnjena je sa 750.000 eura zbog toga što nije adekvatno zaštitila podatke svojih klijenata. Tvrtka je 2020. godine pretrpjela – i šutjela o – nekoliko povreda osobnih podataka, što je utjecalo na brojne klijente i potencijalne klijente.

Međutim, čini se da Komisija trenutno preferira podršku u odnosu na sankcije.i objavljuje brojne preporuke za kontrolore podataka na svojoj web stranici.

Početkom godine odgovorila je na velike povrede podataka koje su pogodile milijune ljudi u 2024. godini te predložila mjere jačanja sigurnosti kako bi se riješili rizici od napada.

CNIL inzistira na internim postupcima tvrtke, kao i na mjerama opreza koje treba poduzeti u slučaju podugovaranja.

Drugdje u Europi, Mnoge tvrtke kažnjavaju se novčano od nekoliko tisuća do nekoliko stotina tisuća eura zbog, na primjer, "zaboravljanja" uklanjanja prava pristupa računalnom sustavu bivših zaposlenika, lošeg dizajna bankarske aplikacije ili konfiguracije web stranice, pogrešnog slanja SIM kartice pogrešnom korisniku, preuzimanja datoteke korisnika na WhatsAppu ili zbog nedovoljne kontrole praksi podizvođača.

Na nadnacionalnoj raziniSud Europske unije također daje pojašnjenja, posebno u vezi s naknadom štete žrtvama.

Ako se od osobe traži da dokaže postojanje štete uzrokovane povredom podataka, ta šteta ne smije doseći određeni stupanj ozbiljnosti (predmet C-300/21, predmet C-590/22).

Dakle, strah koji osoba osjeća da su njezini osobni podaci otkriveni trećim stranama može dati osnov za pravo na odštetu, pod uvjetom da osoba dokaže svoj strah, s njegovim negativnim posljedicama (predmet C 340/21, predmet C 687/21, predmet C-590/22).

Sud EU-a je također presudio da naknada za moralnu štetu uzrokovanu krađom osobnih podataka nije ograničena na slučajeve u kojima se dokaže da je to zapravo rezultiralo krađom identiteta.

Nadoknadiva šteta stoga može postojati i bez utvrđivanja krađe identiteta. (Slučajevi C 182/22 i C 189/22).

Razvojem kolektivnih tužbi, tvrtke koje ne preuzimaju rizike od kršenja podataka ozbiljno se izlažu ne samo sankcijama CNIL-a već i pravnim postupcima pojedinaca.

 

 

Nacionalna skupština je u četvrtak, 20. ožujka navečer glasala za očuvanje povjerljivosti usluga šifriranog slanja poruka..

Mjera je predvidjela mogućnost da se od tih platformi za razmjenu poruka (Signal, WhatsApp itd.) zahtijeva da obavještajnim službama prenose komunikacije trgovaca ljudima.

„Zastupnici su prošli tjedan u odboru za zakonodavstvo uklonili ovu mjeru koja je ujedinila mnoge aktere i stručnjake za kibernetičku sigurnost protiv nje. Po njihovom mišljenju, postoji prevelik rizik od stvaranja ranjivosti koja bi ugrozila razgovore svih korisnika tih platformi.“

Kako bi se dotični stručnjaci "mogli pripremiti za nadolazeće konzultacije ili rasprave", CNIL je 27. ožujka predstavio program rada i smjernice koje želi usvojiti 2025. godine.

Među obrađenim temama su praktični vodiči o umjetnoj inteligenciji, nacrti referentnih dokumenata o podizvođačima, zdravstvu, bankarskom sektoru, razdobljima čuvanja podataka u područjima marketinga i ljudskih resursa, tri nacrta preporuka o pristanku za "više uređaja", pikselima u e-porukama i gospodarstvu starijih osoba; na kraju, CNIL će nastaviti svoj rad na kamerama u automobilu i političkoj kampanji.

Odluka CNIL-a kojom se Europskoj agenciji za lijekove ovlašćuje, pod određenim uvjetima, pristup izvatcima podataka iz SNDS-a u okviru projekta DARWIN (Mreža za analizu podataka i ispitivanje u stvarnom svijetu) EU, objavljeno je na Légifranceu.

Komisija kritizira izbor pružatelja usluga hostinga koji podliježe ekstrateritorijalnom pravu, što ga izlaže riziku od priopćavanja osjetljivih podataka stranim silama, ali ipak odobrava obradu, u razdoblju ograničenom na tri godine za uzorak podataka i godinu dana nakon objave studije.

U odluci od 28. ožujka, francusko tijelo za zaštitu tržišnog natjecanja kaznilo je Apple sa 150 milijuna eura. "zbog zlouporabe dominantnog položaja u sektoru distribucije mobilnih aplikacija na iOS i iPadOS uređajima."

Mjera je posebno usmjerena na Appleovu transparentnost praćenja aplikacija (ATT), koja korisnicima omogućuje jednostavan odabir žele li omogućiti praćenje trećih strana ili ne.

Tijelo smatra da sam okvir "nije u osnovi problematičan", ali ističe da ATT pretjerano komplicira korištenje aplikacija trećih strana u iOS okruženju zahtijevajući više skočnih prozora za pristanak.

Zahtjev bi posebno kažnjavao manje izdavače "koji uvelike ovise o prikupljanju podataka od trećih strana za financiranje svog poslovanja".

U odluci od 1. travnja, Državno vijeće donijelo je odluku o blokiranju TikToka u Novoj Kaledoniji tijekom nereda prošlog proljeća.

Iako smatra da u ovom konkretnom slučaju nisu bili ispunjeni uvjeti valjanosti, ipak utvrđuje uvjete pod kojima bi takvo blokiranje društvene mreže moglo biti zakonito, ocjenjujući da upravno tijelo "može (...) pribjeći takvoj [blokadi] mjeri, u iznimnim okolnostima, ako je to bitno za zadovoljavanje potreba trenutka".

Mjera bi trebala biti:

• Neophodan za rješavanje posebno ozbiljnih događaja;
• Bez ikakvih tehničkih sredstava koja bi omogućila neposrednu provedbu alternativnih mjera;
• I poduzeto "u ograničenom razdoblju potrebnom za istraživanje i provedbu tih alternativnih mjera".

 

U presudi od 26. ožujka, socijalno vijeće Kasacijskog suda potvrdilo je pravo zaposlenice da dobije djelomičnu kopiju platnih lista nekih svojih kolega, kako bi dokazala nepravedan tretman. u njegovom napredovanju u karijeri.

Sud ponavlja načelo minimizacije podataka i navodi da je odgovornost suca na suđenju "osigurati da su informacije, za koje će on odrediti da moraju ostati vidljive, adekvatne, relevantne i strogo ograničene na ono što je bitno za usporedbu između zaposlenika, uzimajući u obzir navodni(e) razlog(e) diskriminacije".

 

Europske institucije i tijela

Politico je u članku od 3. travnja objavio da Europska komisija planira u nadolazećim tjednima predstaviti prijedlog za pojednostavljenje GDPR-a..

Prema publikaciji, ovo je "jedan od prioriteta predsjednice izvršne vlasti EU, Ursule von der Leyen, koja pokušava učiniti tvrtke na Starom kontinentu konkurentnijima u usporedbi s njihovim suparnicima u Sjedinjenim Državama, Kini i drugdje".

Komisija je 1. travnja predstavila svoj plan za "novu europsku strategiju unutarnje sigurnosti" pod nazivom ProtectEU, koja posebno ima za cilj proširiti ovlasti Europola i Frontexa.

Komisija će provesti procjenu utjecaja pravila o zadržavanju podataka na razini EU-a i pripremiti tehnološki plan za šifriranje, „kako bi identificirala i procijenila tehnološka rješenja koja bi tijelima za provedbu zakona omogućila legalan pristup šifriranim podacima, uz zaštitu kibernetičke sigurnosti i temeljnih prava“.

Glavni odvjetnik Suda Europske unije (CJEU) u svojim zaključcima od 27. ožujka smatra da WhatsApp, budući da je izravno uključen, može osporiti obvezujuću odluku EDPB-a pred Europskim sudom prema članku 263. UFEU-a.

Podsjećamo, nakon ove odluke EDPB-a od 28. srpnja 2021., u okviru mehanizma za dosljednost GDPR-a, Irska komisija za zaštitu podataka donijela je odluku kojom se utvrđuju kršenja, nameću korektivne mjere i administrativne kazne u kumulativnom iznosu od 225 milijuna eura.

WhatsApp je osporio odluku EDPB-a pred Europskim sudom i, paralelno s tim, konačnu odluku o provedbi irskog APD-a pred irskim sudom.

Opća skupština je istog dana također smatrala da slanje dnevnog biltena predstavlja „izravni marketing“ za „slične proizvode ili usluge“ u smislu Direktive o e-privatnosti te je smatrala da se članak 6. GDPR-a ne primjenjuje u slučajevima kada je obrada osobnih podataka zakonita na temelju ove odredbe: u slučajevima kada postoji posebna odredba u Direktivi o e-privatnosti koja podrazumijeva obveze s istim ciljem kao i odgovarajuće odredbe GDPR-a, mora se primijeniti odredba o „e-privatnosti“.

Dana 20. ožujka Sud je konačno presudio da GDPR daje ispitanicima pravo na sudsku zabranu u slučajevima nezakonite obrade. Ova preventivna mogućnost traženja sudske zabrane ne ublažava naknadu nematerijalne štete koja proizlazi iz takve nezakonite obrade.

Sud EU-a je 13. ožujka presudio da članak 16. GDPR-a zahtijeva ispravak spola transrodne osobe koji je netočno zabilježen u javnom registru.

Iako nadležno tijelo može zatražiti dokaz o netočnosti, zahtijevanje od dotične osobe da dokaže da je podvrgnuta operaciji promjene spola predstavlja kršenje njezinih ljudskih prava.

 

Vijesti iz zemalja članica Europske unije.

U Njemačkoj je Savezni sud potvrdio presudu od 500 eura nematerijalne štete tužitelju zbog nanošenja štete njegovom ugledu. u skladu s člankom 82. GDPR-a.

Nadalje, presudio je da sud ne može uzeti u obzir ni težinu kršenja GDPR-a ni pitanje krivnje prilikom određivanja iznosa štete.

Austrijska agencija za zaštitu podataka (APD) naredila je uništavanje fotografija koje je snimio fotograf zbog nepoštivanja GDPR-a..

Fotograf je na javnoj web stranici objavio fotografije snimljene na ulici, na kojima se nalaze prepoznatljive osobe, posebno djeca i žene, u osjetljivim kontekstima, bez valjane pravne osnove ili dovoljnih jamstava (informacije, pravo na prigovor).

Udruga Noyb upravo je pretrpjela neuspjeh pred Žalbenim sudom u Bruxellesu..

U presudi od 19. ožujka, sud je utvrdio da...Pritužbe koje udruga prenosi moraju pokazivati osobni interes dotične osobe..

U ovom konkretnom slučaju, Trgovački sud navodi da nije pronašao opravdanje za takav interes tužitelja u vezi s kršenjem pravila koja se odnose na kolačiće.

Između ostalog, spominje da Noyb ni u jednom trenutku postupka ne tvrdi da su tužitelji bili redoviti ili čak povremeni posjetitelji predmetnih web stranica/novina.

I u Belgiji je jedna erotska sauna dobila upozorenje od sudskog vijeća APD-a, posebno zbog vođenja online knjige gostiju koja je omogućila javno širenje osjetljivih podataka o kupcima.

APD je primijetio nedostatak transparentnosti u politici privatnosti, nepostojanje pravne osnove za obradu podataka i nepoštivanje obveza koje se odnose na registar aktivnosti obrade.

U Španjolskoj je APD kaznio banku s 3.500.000 eura zbog ozbiljnog nedostatka u dizajnu bankarske aplikacije koja je korisnicima omogućavala pristup računima za koje nisu imali ovlaštenje.

Osiguravajuće društvo također je kažnjeno s 1.000.000 eura zbog pogreške u kodiranju koja je rezultirala slanjem osobnih podataka, uključujući osjetljive podatke, 3395 osoba putem e-pošte na adrese 354 tvrtke primateljice.

U Grčkoj je APD kaznio banku s 3000 eura zbog neprovođenja odgovarajućih sigurnosnih mjera nakon interne povrede podataka.

Zaposlenik je nakon napuštanja tvrtke nezakonito zadržao administratorska prava i neovlašteno pristupio podacima više od 6000 drugih zaposlenika.

Sličnu odluku zabilježila je i talijanska Agencija za zaštitu podataka (APD).

U slučaju SMS neželjene pošte, grčko tijelo za zaštitu podataka (APD) zatražilo je od nacionalnog tijela za domene da suspendira domenu dotične tvrtke, na temelju toga što se ta domena koristi u lošoj vjeri ili na način suprotan javnom redu.

Bilješka da su na razini ICANN-a registratori "suspendirali 2528 domenskih imena i onemogućili 328 web stranica korištenih za phishing operacije" kao dio napora za provedbu mjera usklađenosti.

Talijanska agencija za zaštitu podataka (APD) kaznila je energetsku tvrtku s 300.000 eura zbog nezakonite obrade osobnih podataka u svrhu izravnog marketinga, zbog nepravilne provedbe načela zaštite podataka i zbog neadekvatnog informiranja kandidata za posao o obradi njihovih podataka.

Upravni sud u Luksemburgu potvrdio je kaznu od 746.000.000 eura koju je APD izrekao podružnici Amazona 2021. godine zbog nezakonite obrade podataka posjetitelja web stranice u svrhu oglašavanja na temelju interesa, zbog nepružanja transparentnih informacija i zbog kršenja nekoliko prava ispitanika.

Iako Amazon navodno razmatra žalbu, APD je izjavio da neće davati nikakve detalje o svojoj odluci tijekom razdoblja žalbe ili bilo kakvog potencijalnog postupka.

Poljska agencija za zaštitu podataka (APD) kaznila je poštansku službu s 6,3 milijuna eura zbog provođenja vladinog zahtjeva za obradu podataka koji se odnosi na 30 milijuna građana u kontekstu izbora održanih tijekom pandemije Covida-19, bez provjere pravne osnove zahtjeva. 

La Poste je trebala pričekati dok se ne iscrpe svi načini žalbe na ovu odluku, koju su sudovi na kraju poništili.

 

Dana 17. ožujka stupio je na snagu Zakon o online sigurnosti u Velikoj Britaniji, kojim se od online platformi zahtijeva da provedu niz mjera usmjerenih na smanjenje rizika za djecu i općenito uklanjanje štetnog sadržaja.

Britanski pružatelji usluga imaju rok do 16. ožujka da provedu procjene rizika svojih usluga.

Britansko regulatorno tijelo (Ofcom) razvilo je kodeks dobre prakse i program provedbe.

Kritičari ovog zakona posebno kritiziraju njegov opseg na sive zone poput uznemiravanja ili kontrole ponašanja te rezultirajuće rizike cenzure.

Ovaj zakon dolazi uz dva druga britanska propisa koja bi mogla potkopati obnovu odluke Ujedinjenog Kraljevstva o adekvatnosti u lipnju: bilješka koju je objavila Istraživačka služba Europskog parlamenta odnosi se na Zakon o podacima i amandman na Zakon o istražnim ovlastima, a oba imaju za cilj proširiti pristup vlade i tijela za provedbu zakona korisničkim podacima.

Ured australskog povjerenika za informiranje objavio je 19. ožujka studiju o politikama i praksama australskih agencija javnog sektora u vezi s njihovom upotrebom aplikacija za razmjenu poruka.

Izvješće otkriva da se aplikacije za razmjenu poruka često koriste u australskoj javnoj službi bez odgovarajućeg nadzora ili postupaka. Studija predstavlja popis preporuka za rješavanje ovog problema.

Kanadski povjerenik za privatnost upravo je objavio alat za procjenu predstavlja li povreda osobnih podataka stvarni rizik od značajne štete za pojedince.

U Kini je "Nacionalni ured za internetske informacije" 13. ožujka objavio mjere upravljanja sigurnošću za primjenu biometrijskih tehnologija, koje zahtijevaju da aktivnosti prepoznavanja lica budu u skladu s važećim zakonima, usvoje sigurnosne mjere i minimiziraju utjecaj na ljudska prava.

Njemačke novine Der Spiegel objavile su 26. ožujka da su uspjele pristupiti osobnim podacima i online kontakt informacijama, pa čak i lozinkama, nekih od najviših američkih sigurnosnih dužnosnika, uključujući ministra obrane i bivšeg voditelja Fox Newsa Petea Hegsetha.

Novinari su koristili javne tražilice, kao i "hakirane podatke o kupcima" koji su objavljeni na internetu.

Vjeruje se da su među onima čiji su podaci procurili na internet i savjetnik za nacionalnu sigurnost Mike Waltz i direktorica nacionalne obavještajne službe Tulsi Gabbard.

I u Sjedinjenim Državama regulacija umjetne inteligencije značajno se povećava: 2024. godine identificirano je više od 600 zakona povezanih s umjetnom inteligencijom, od kojih je gotovo 100 doneseno.

Međutim, razina zaštite uvelike varira od države do države.

Praćenje koje nudi web stranica "Multistate" omogućuje vam vizualizaciju stanja propisa u 2025. godini.

U međuvremenu, 18. ožujka, predsjednik Trump otpustio je dva demokratska člana Federalne trgovinske komisije (FTC), povećavajući trenutnu neizvjesnost oko učinkovitosti zaštite potrošača i kontrolnih mehanizama u Sjedinjenim Državama te dodatno slabeći stabilnost transatlantskog sporazuma o zaštiti podataka.

U Vijetnamu bi zakon o zaštiti podataka mogao biti usvojen na proljeće.

Vlada je nedavno usvojila rezoluciju o ubrzanju zakonodavnog procesa, a Ministarstvo javne sigurnosti dobilo je zadatak da prijedlog zakona podnese Narodnoj skupštini na formalno usvajanje u svibnju 2025.

Napredni generatori slika umjetne inteligencije imaju značajne implikacije za zaštitu podataka, što dokazuje članak L. Jarosvkyja.

• Efekt „Ghibli“, koji omogućuje stvaranje slika u stilu poznatih Myasakijevih crtića, posljednjih je dana naveo tisuće ljudi da dobrovoljno prenesu svoja lica i osobne fotografije na ChatGPT, čime je OpenAI-ju omogućen izravan i besplatan pristup nekoliko tisuća novih lica za treniranje svojih modela umjetne inteligencije.
• Generatori slika također čine stvaranje lažnih dokaza izuzetno jednostavnim, jeftinim i dostupnim. Svatko sa zlonamjernim namjerama tako može stvoriti lažne račune, identifikacijske dokumente, dokaz o adresi ili čak bankovne dokumente za nekoliko minuta i praktički bez ikakvih troškova, uz rezultirajuće rizike od krađe identiteta.