Pravni nadzor br. 75 – rujan 2024.  

Anonimizacija ili pseudonimizacija: kvalifikacije koje se s vremenom razvijaju?

Dana 5. rujna 2024., CNIL je kaznio Cegedima Santéa s 800.000 eura zbog obrade zdravstvenih podataka bez ovlaštenja.

Nadzorno tijelo napominje da su ti podaci ostali prepoznatljivi iako su prikazani kao anonimni.

Ova sankcija nam daje priliku da pregledamo suptilnosti GDPR-a u vezi s anonimizacijom i pseudonimizacijom podataka.

Cegedim objavljuje i prodaje softver za upravljanje liječnicima opće prakse koji rade u privatnim ordinacijama i zdravstvenim centrima.

Ovi softverski programi omogućuju liječnicima upravljanje svojim rasporedima, pacijentskim datotekama i receptima.

Korisnici također imaju pristup bazi podataka koja omogućuje izradu studija i statistika u području zdravstva.

Provjere koje je CNIL proveo 2021. godine otkrile su da su podaci koje je tvrtka obrađivala – bez prethodnog odobrenja – bili pseudonimni zdravstveni podaci, stoga prepoznatljivi.

Samo potpuno anonimni podaci izuzeti su od obveza GDPR-a.

Međutim, proces anonimizacije je posebno zahtjevan.

U ovom konkretnom slučaju, Cegedim je uspostavio postupak usmjeren na brisanje identifikatora, a u kontekstu prethodnih nalaza iz 2012., CNIL je također smatrao da su obrađeni podaci doista anonimni.

Komisija je danas ponovno razmotrila te nalaze, navodeći da se pri procjeni moguće ponovne identifikacije podataka mora uzeti u obzir trenutni kontekst doktrine i sudske prakse.

Dakle, podaci koji su bili anonimni prije deset godina ne moraju nužno biti takvi danas: „Kako bi se utvrdilo postoji li razumna vjerojatnost da će se sredstva koristiti za identifikaciju fizičke osobe, potrebno je uzeti u obzir sve objektivne čimbenike, kao što su troškovi identifikacije i vrijeme potrebno za nju, uzimajući u obzir tehnologije dostupne u vrijeme obrade i njihov razvoj.“

Točnije, CNIL je – kao i njegovi europski kolege od 2014. – odredio zahtjeve koje treba poštivati u okviru postupka anonimizacije.

Ona objašnjava glavne tehnike anonimizacije:

• randomizacija (koja ima za cilj modificirati atribute u skupu podataka tako da budu manje precizni, a istovremeno sačuvati ukupnu distribuciju) i
• generalizacija (koja se sastoji od modificiranja skale atributa skupova podataka ili njihovog reda veličine).

CNIL savjetuje:

• Identificirati informacije koje treba zadržati, prema njihovoj relevantnosti.
• Ukloniti izravne identifikacijske elemente kao i rijetke vrijednosti koje bi mogle omogućiti jednostavnu ponovnu identifikaciju pojedinaca;
• Razlikovati važne informacije od sporednih ili beskorisnih informacija;
• Definirati idealnu i prihvatljivu razinu detalja za svaki pohranjeni dio informacije.

Tri kriterija mogu se koristiti kako bi se osiguralo da je skup podataka zaista anoniman:

1. Individualizacija: ne smije biti moguće izolirati pojedinca u skupu podataka;
2. Korelacija: ne bi trebalo biti moguće povezati različite skupove podataka koji se odnose na istu osobu;
3. Zaključak: ne bi trebalo biti moguće s gotovo sigurnošću izvesti nove informacije o pojedincu.

U slučaju Cegedima, kriterij individualizacije nije bio poštovan: usluga je omogućila stalno praćenje ljudi tijekom vremena pomoću jedinstvenog identifikatora i povećanje podataka o njima.

To je omogućilo izolaciju pojedinca u skupu podataka i stoga povećalo rizik od ukidanja pseudonimnosti.

Konačno, treba napomenuti da osoba odgovorna za uspostavu skladišta zdravstvenih podataka može ga implementirati tek nakon odobrenja CNIL-a ili pod uvjetom da je u skladu sa standardom.

U slučaju podugovaranja, odgovorna strana mora u ugovor o podugovaranju uključiti sve zahtjeve potrebne za osiguranje usklađenosti s propisima, posebno u pogledu sigurnosti podataka.

U većini slučajeva kršenja podataka koji danas pune naslovnice (vidi dolje), slaba karika u izvoru kršenja bio je podizvođač.

 

 

Sastav nove vlade poznat je od 21. rujna, uz neke nove događaje u vezi s digitalnim pitanjima.

„Digitalni suverenitet“ nestaje iz naziva Ministarstva gospodarstva i financija, a digitalni poslovi pripajaju se ministru visokog obrazovanja i istraživanja.

Konačno, naziv nadležnog tajništva sada je: Umjetna inteligencija i digitalna tehnologija.

Za Henrija d'Agraina, glavnog delegata Cigrefa (udruge koja predstavlja tvrtke i vladine agencije u digitalnom sektoru), ovaj naslov "ne uspijeva uhvatiti važnost kontinuuma oblaka, podataka i umjetne inteligencije, što svaka ozbiljna javna politika u ovom području mora prihvatiti." Dodaje da "naglasak na umjetnoj inteligenciji u ovom naslovu treba razmotriti u svjetlu ambicija Elizejske palače za Summit o AI akciji, koji će se održati u Parizu u veljači 2025."

Nakon javnih konzultacija, CNIL je 24. rujna objavio konačnu verziju svojih preporuka kako bi pomogao stručnjacima u dizajniranju mobilnih aplikacija koje poštuju privatnost..

Od 2025. nadalje osigurat će da se to pravilno uzme u obzir putem posebne kontrolne kampanje.

CNIL namjerava pojasniti i regulirati ulogu stručnjaka te osigurati kvalitetu informacija i pristanak korisnika mobilnih aplikacija.

Nakon SFR-a prošlog mjeseca, sada je na redu Free da upozori svoje korisnike na curenje podataka.

Među podacima kojima je napadač pristupio bili su barem ime, prezime, telefonski broj i poštanska adresa kupaca.

Osim ova dva operatera, mnogi francuski trgovci, uključujući Boulanger, Cultura, Truffaut i Grosbil, bili su žrtve sredinom rujna hakiranja njihovih podataka o dostavi, koje je isti haker objavio i preprodavao na dark webu.

Rizici za pojedince općenito se odnose na krađu identiteta i dobivanje podataka povezanih s njihovom adresom.

Što se tiče Culture, koja se specijalizirala za prodaju kulturnih proizvoda, sadržaj košarica za kupnju također je procurio, pružajući precizne informacije o čitalačkim navikama kupaca, s potencijalno vrlo nametljivim posljedicama.

U većini tih napada, haker je ciljao pružatelja usluga uključenih tvrtki.

Dana 25. rujna, socijalno vijeće Kasacijskog suda donijelo je presudu kojom je poništilo otkaz zaposlenika na temelju presretanja e-pošte poslane s njegove poslovne adrese.

Sud podsjeća da „zaposlenik ima pravo, čak i u vrijeme i na mjestu rada, na poštivanje privatnosti svog privatnog života“.

To se posebno odnosi na povjerljivost korespondencije.

Poslodavac stoga ne može, a da ne krši ovu temeljnu slobodu, koristiti sadržaj osobnih poruka koje je zaposlenik poslao ili primio koristeći računalni alat koji mu je osiguran u radne svrhe, kako bi ga disciplinirao.

 

Europske institucije i tijela

Komisija je 25. rujna okupila ključne igrače u sektoru umjetne inteligencije u Bruxellesu kako bi proslavila prvih 100 potpisa obveza Pakta o umjetnoj inteligenciji.

Potpisnici su multinacionalne korporacije i male i srednje europske tvrtke iz različitih sektora. Do sada Meta i Apple nisu potpisali ovaj Pakt.

Dobrovoljne obveze u dokumentu pozivaju tvrtke sudionice da se obvežu na provođenje najmanje tri temeljne akcije:

• Usvojite strategiju upravljanja umjetnom inteligencijom kako biste potaknuli primjenu umjetne inteligencije unutar organizacije i radili na budućoj usklađenosti s propisima o umjetnoj inteligenciji.
• Identificirajte i mapirajte AI sustave koji se mogu klasificirati kao visokorizični prema uredbi o AI.
• Promicati svijest osoblja o umjetnoj inteligenciji.

Tvrtke se potiču da preuzmu i druge obveze prilagođene svojim aktivnostima, uključujući osiguravanje ljudskog nadzora, ublažavanje rizika i transparentno označavanje određenih vrsta sadržaja generiranog umjetnom inteligencijom, poput "deepfakeova".

Sud Europske unije (CJEU) je u presudi od 4. listopada (C 621/22) presudio da komercijalni interes može biti „legitiman interes“ u smislu članka 6(1)(f) GDPR-a, ukoliko nije u suprotnosti sa zakonom.

Iako se ovaj stav može činiti očitim, u Nizozemskoj već nekoliko godina nije bio takav: prema nizozemskom Agenciji za zaštitu podataka (DPA), legitimni interes morao se temeljiti na pravnoj osnovi.

Sud ponavlja da je takav zahtjev pretjeran i da je dovoljno da svrha nije u suprotnosti sa zakonom. Treba napomenuti da ova odluka ne predstavlja carte blanche za sve marketinške prakse: uvijek se mora provesti ravnoteža između interesa i prava koja su u pitanju.

Također 4. listopada, Sud EU-a donio je presudu u slučaju C-446/21 u kojoj podržava tužbu pokrenutu protiv Mete u vezi s njezinom Facebook uslugom.

Pitanja su se odnosila na ograničenje korištenja osobnih podataka za online oglašavanje i ograničenje korištenja javno dostupnih osobnih podataka na svrhe koje su izvorno bile namijenjene za objavu.

Istog dana, Sud EU-a je u slučaju C-21/23 potvrdio mogućnost da konkurent tvrtke pokrene tužbu pred građanskim sudovima na temelju zabrane nepoštenih poslovnih praksi kako bi spriječio kršenje materijalnih odredbi GDPR-a od strane tog konkurenta.

Treba napomenuti da sudska praksa u ovom smislu već postoji u francuskom pravu.

Sud EU-a je 26. rujna (predmet C 768/21) presudio da kada se utvrdi povreda podataka, tijela za zaštitu podataka nisu dužna koristiti korektivne ovlasti prema članku 58(2) GDPR-a, kada to nije primjereno, potrebno ili proporcionalno za otklanjanje utvrđenog nedostatka.

Prema Sudu, nakon analize svih okolnosti slučaja, tijela za zaštitu podataka mogu se suzdržati od korištenja takve korektivne ovlasti, na primjer kada je kontrolor proveo odgovarajuće tehničke i organizacijske mjere kako bi osigurao da se kršenje prestane i da se ne ponovi.

Sud je konačno u presudi od 12. rujna (spojeni predmeti C 17/22 i C 18/22) utvrdio da ne samo zakonodavni akt već i nacionalna sudska praksa mogu propisati zakonsku obvezu, u skladu s člankom 6(1)(c) GDPR-a, otkrivanja dioničaru identiteta svih ostalih dotičnih dioničara.

Nakon inicijativa u Francuskoj, Danskoj, Španjolskoj i Njemačkoj u području online provjere dobi, europska nevladina organizacija EDRi i 63 organizacije, akademici i stručnjaci za privatnost, enkripciju, sigurnost djece, prava seksualnih radnika i prava potrošača objavili su 16. rujna zajedničku izjavu.

Potiče Europsku komisiju da da prioritet učinkovitim mjerama sigurnosti djece, istovremeno izražavajući ozbiljnu zabrinutost zbog adekvatnosti, proporcionalnosti i negativnog utjecaja trenutnih prijedloga na temeljna prava.

 

Vijesti iz zemalja članica Europske unije.

Rezolucija koju je 11. rujna objavila Konferencija neovisnih tijela za zaštitu podataka Njemačke (DSK) daje praktične preporuke za okvir za prijenos osobnih podataka u kontekstu "Asset Deals" u vezi s osobnim podacima koje posjeduju tvrtke: podaci o kupcima i potencijalnim klijentima tvrtke, njezinim zaposlenicima, poslovnim partnerima itd.

U Njemačkoj je hamburška Agencija za zaštitu podataka usvojila kontroverzni dokument o modelima velikih jezika (LLM).

Tijelo je stoga zaključilo da LLM-ovi ne pohranjuju osobne podatke i da je taj zaključak u skladu s mišljenjem Suda pravde EU.

Međutim, ulazni i izlazni podaci sustava umjetne inteligencije mogu predstavljati osobne podatke, za razliku od faze obuke, s posljedicama koje to implicira: zahtjevi za pristup, brisanje ili ispravak stoga se mogu odnositi na te podatke.

U Belgiji se Flandrija distancira od savezne vlade po pitanjima zaštite privatnosti.

Novine Le Soir objavile su 1. rujna da je Jan Jambon, flamanski ministar-predsjednik, 20. rujna, nekoliko dana prije odlaska s dužnosti, naredio svojim ministrima da više ne dostavljaju nacrte uredbi i odluka Saveznom tijelu za zaštitu podataka (APD), već njegovom regionalnom tijelu, Vlaamse Toezichtcommissie (VTC).

Zapravo, od 2019. flamanska vlada već je sustavno zaobilazila APD donoseći svoje uredbe putem VTC-a, unatoč presudi Ustavnog suda iz ožujka 2023. kojom se podsjeća da je flamanska vlada morala proći kroz APD kako bi usvojila njegove tekstove.

Ministar-predsjednik danas želi formalizirati flamansku nadležnost: poslao je pismo Europskoj komisiji u kojem traži priznavanje nadležnosti VTC-a u vezi s GDPR-om.

Belgijska agencija za zaštitu podataka (APD) kaznila je kontrolora podataka sa 100.000 eura jer nije pravovremeno odgovorio na zahtjev ispitanika za pristup podacima.

APD je ipak odbio zahtjev dotične osobe za primanje informacija o konkretnim zaposlenicima koji su pristupili njegovim podacima.

Također u Belgiji, Odjel za sporove APD-a 6. rujna odbacio je valjanost mandata za zastupanje koji je Noyb predstavio u slučaju koji se odnosi na integraciju skripti Google Analyticsa u web stranicu u vrijeme kada je Sud EU-a poništio Zakon o zaštiti privatnosti.

Vijeće za sporove smatralo je da mandat predstavlja zlouporabu prava od strane Noyba.

U zasebnom slučaju, belgijsko tijelo za zaštitu podataka (APD) ipak je potvrdilo nekoliko pritužbi koje je Noyb podnio 2023. godine i naložilo četirima velikim belgijskim novinskim stranicama da usklade svoje bannere s kolačićima s GDPR-om.

Španjolsko tijelo za zaštitu podataka objavilo je 2. listopada izvješće o obradi osobnih podataka i provjeri dobi djece u digitalnom okruženju.

Dokument zagovara razvoj proaktivnih politika zaštite od strane usluga informacijskog društva.

Španjolska agencija za zaštitu podataka (APD) kaznila je fintech tvrtku sa 72.000 eura zbog nedovoljne provedbe mjera za provjeru identiteta kupaca, što je prevarantima omogućilo da uzmu kredit u ime žrtve bez njezina znanja.

Irska Komisija za zaštitu podataka (DPC) izrekla je 27. rujna kaznu Meti s 91 milijun eura.

Odluka se odnosi na mjere koje je tvrtka poduzela kako bi osigurala razinu sigurnosti primjerenu rizicima povezanim s obradom lozinki i obvezu dokumentiranja i obavještavanja tijela za zaštitu podataka o povredama podataka.

Tijelo podsjeća kontrolore podataka da moraju procijeniti rizike svojstvene pohranjivanju korisničkih lozinki i provesti mjere za ublažavanje tih rizika.

Dana 12. rujna, APD je također najavio pokretanje istrage protiv Googlea u vezi s korištenjem osobnih podataka europskih korisnika za razvoj modela umjetne inteligencije u području prijevoda.

Istraga se odnosi na model umjetne inteligencije "Pathways Language Model 2" (PaLM 2), koji je Google pokrenuo 2023. godine, bez provedene analize utjecaja na zaštitu podataka.

U Italiji je APD kaznio dobavljača energije s 5.000.000 eura zbog neprovođenja odgovarajućih mjera kako bi se osigurala usklađenost njegovih podizvođača s GDPR-om.

To im je omogućilo sklapanje ugovora s dotičnim osobama bez njihova znanja.

Portugalsko tijelo za zaštitu podataka (APD) kaznilo je kontrolora podataka sa 107.000 eura zbog ponovljenog slanja neželjenih komercijalnih komunikacija.

Kontrolor podataka smatran je odgovornim iako je otpremu izvršio podizvođač koristeći vlastitu bazu podataka.

 

Izvješće američke Savezne trgovinske komisije (FTC) objavljeno 19. rujna otkriva da su velike tvrtke za društvene mreže i streaming videa provele široko rasprostranjeni nadzor korisnika s labavim kontrolama privatnosti i neadekvatnom zaštitom djece i tinejdžera.

Izvješće preporučuje ograničavanje zadržavanja i dijeljenja podataka, ograničavanje ciljanog oglašavanja i jačanje zaštite tinejdžera.

Kineska vlada objavila je 30. rujna "Pravilnik o upravljanju sigurnošću mrežnih podataka", koji će stupiti na snagu 1. siječnja 2025. 

Cilj teksta je regulirati aktivnosti obrade mrežnih podataka, zaštititi prava i legitimne interese pojedinaca i organizacija te zaštititi nacionalnu sigurnost i javne interese.

Također u Kini, Nacionalni tehnički odbor za standardizaciju informacijske sigurnosti (TC260) objavio je okvir za upravljanje informacijskom sigurnošću u vezi s umjetnom inteligencijom.

Dokument sadrži niz načela i pruža korisnu klasifikaciju rizika povezanih s umjetnom inteligencijom i tehnoloških mjera za njihovo rješavanje.

IBM je objavio izvješće o troškovima kršenja podataka za 2024. godinu.

Među zaključcima izvješća vrijedi istaknuti sljedeće:

• Prosječni ukupni trošak kršenja podataka iznosi 4,88 milijuna dolara, a kršenja podataka su najskuplja u Sjedinjenim Državama.
• Nedostatak vještina u području kibernetičke sigurnosti se pogoršao,
• Gotovo polovica povreda odnosi se na osobne podatke (46 %) ili zapise o intelektualnom vlasništvu (43 %),
• Intervencija provođenja zakona smanjuje troškove ransomwarea u prosjeku za milijun dolara.
• Za identifikaciju i suzbijanje povreda koje uključuju ukradene vjerodajnice potrebno je 292 dana.

Instagram sada nudi tinejdžerske račune sa strožim sigurnosnim postavkama, što roditeljima omogućuje ograničavanje korištenja aplikacije.

Tinejdžerski računi posebno su osmišljeni kako bi zaštitili maloljetnike od štetnog sadržaja i neželjenih kontakata, a istovremeno smanjili vrijeme provedeno na aplikaciji.