Pravni nadzor br. 63 – rujan 2023.

Brexit: pregled zaštite podataka.

Otkad je Ujedinjena Kraljevina napustila Europsku uniju 31. siječnja 2020., pojavile su se sve značajnije razlike između okvira za zaštitu podataka s obje strane La Manchea.

Zemlja još uvijek primjenjuje zakon kojim je GDPR transponiran na nacionalnoj razini, nazvan "UK GDPR", a od 28. lipnja 2021. Ujedinjeno Kraljevstvo ima koristi od odgovarajuće razine zaštite koja odobrava razmjenu podataka s EU.

Odluka o adekvatnosti vrijedi do 27. lipnja 2025., ali bi se mogla revidirati ranije ako bi se britanski pravni okvir značajno promijenio prije tog datuma.

Među događajima koji bi mogli izazvati negodovanje Europske komisije je ambicija Ujedinjenog Kraljevstva da postane "središte podataka", olakšavajući međunarodnu razmjenu podataka, te trenutni nacrt revizije "UK GDPR-a" koji ima za cilj ublažiti obveze britanskih tvrtki.

Dana 21. rujna, Ujedinjena Kraljevina je formalizirala "most podataka" sklopljen u lipnju sa Sjedinjenim Državama.

Sporazum će stupiti na snagu 12. listopada.

UK je također sklopio sporazume s nekoliko zemalja koje EU već smatra adekvatnima: Kanadom, Izraelom, Japanom, Novim Zelandom, Švicarskom i Urugvajem.

Na njegovom popisu prioriteta nalaze se i Australija, Kolumbija, Dubai, Republika Koreja i Singapur.

Ovo olakšavanje međunarodne razmjene postavlja pitanje naknadnih prijenosa europskih podataka, koje bi, nakon prolaska kroz Ujedinjeno Kraljevstvo, kasnije primila zemlja za koju EU ne smatra da jamči jednakovrijednu zaštitu podataka.

Ujedinjeno Kraljevstvo doista se kreće prema pragmatičnijoj procjeni jamstava koje nude treće zemlje, više temeljenoj na riziku.

Paralelno s ovim inicijativama koje se odnose na prijenos podataka, Ujedinjeno Kraljevstvo priprema zakon o zaštiti podataka i digitalnih informacija („Zakon o zaštiti podataka i digitalnih informacija (br. 2)“) kojim će se zamijeniti trenutna britanska GDPR uredba.

Ovaj tekst je već dva puta pročitan u parlamentu prošlog proljeća i još uvijek se treba raspravljati u trećem čitanju.

Projekt zadržava poštovanje načela ograničenja svrhe, ali mijenja njegov opseg: odobrava daljnju obradu kada su podaci prikupljeni bez privole, na primjer u slučajevima korištenja na temelju javnog interesa.

Utjecaj ovog pravila na korištenje kolačića još nije jasan, iako vlada tvrdi da želi ograničiti neželjene "skočne prozore" koji traže privolu korisnika.

Definicija znanstvenog istraživanja je ažurirana i proširena, a uvjeti za njegovo provođenje su ublaženi.

To bi tvrtkama moglo omogućiti lakšu obradu podataka u komercijalne svrhe, tvrdeći da se te komercijalne prakse sastoje od tehnološkog istraživanja i razvoja. 

Projekt također smanjuje zahtjeve koji se nameću tvrtkama u vezi s vođenjem evidencije i proaktivnom kontrolom njihovih aktivnosti obrade podataka, osim za one čija obrada predstavlja visoke rizike za prava pojedinaca.

Tekst također uvodi okvir za korištenje „pouzdanih i sigurnih usluga digitalne provjere“, što se čini kao odgovor na projekt digitalnog identiteta Europske unije.

Za tvrtke koje posluju diljem EU-a, neke od koristi reforme usmjerene na smanjenje administrativnog opterećenja bit će ograničene: i dalje će morati, na primjer, imenovati službenika za zaštitu podataka i neće moći koristiti ublažavanje određenih pravila koja se odnose na zadržavanje podataka.

Plan također uključuje zamjenu postojećeg regulatornog tijela, ICO-a, vijećem i davanje državnom tajniku ovlasti da vodi određene aktivnosti institucije određivanjem strateških prioriteta.

Postojanje neovisnog regulatora za zaštitu podataka bit će jedan od ključnih elemenata koje će EU uzeti u obzir prilikom ponovne procjene „bitne ekvivalencije“ Ujedinjenog Kraljevstva s njegovim pravilima o zaštiti podataka.

Ovo pitanje već je izazvalo pitanja u Europskom parlamentu.

Zakon bi mogao biti usvojen sljedećeg proljeća.

 

• Dana 18. rujna 2023., CNIL je kaznio tvrtku za zračni prijevoz SAF LOGISTICS s 200.000 eura zbog prikupljanja previše podataka od svojih zaposlenika, uključujući osjetljive podatke i izvatke iz kaznene evidencije.

Također je sankcionirana zbog nedovoljne suradnje sa službama CNIL-a.

• Krajem rujna održan je Europski tjedan održivog razvoja, što je CNIL-u pružilo priliku da komunicira o svojoj knjižici posvećenoj toj temi: istražuje presjeke između zaštite podataka, sloboda i okoliša: "Štiti li zaštita podataka planet? Jesu li naše slobode u tranziciji? Trebamo li dijeliti podatke kako bismo zaštitili okoliš?"

Dokument pokušava odgovoriti na ta pitanja i predlaže preporuke za usklađivanje dvaju ciljeva.

• CNIL je ovog ljeta objavio nacrt vodiča o ponovnoj upotrebi javnih podataka.

Vodič uključuje stav CNIL-a, njegovih kolega, kao i odluke francuskih i europskih sudova, obogaćen nizom konzultacija s raznim akterima izravno uključenim u razvoj pristupa otvaranju, dijeljenju i ponovnoj upotrebi javno dostupnih podataka (institucionalni partneri, udruge i tvrtke, odvjetnici, istraživači).

• Dana 29. kolovoza, CNIL (Francusko tijelo za zaštitu podataka) naložilo je Boursorami da se pridržava odredbi GDPR-a, "posebno prestankom obrade pristupnih podataka za web stranicu impots.gouv.fr": Boursorama je doista tražila pristup korisničkom imenu i lozinki web stranice impots.gouv.fr od onih koji su željeli dobiti kredit ili otvoriti plan štednje s udjelima.

CNIL navodi da tvrtka ima rok od dva mjeseca za usklađivanje.

• Mozilla pokreće javni apel kako bi reagirala na budući zakon SREN koji predviđa implementaciju "filtera protiv prijevara" na internetu.

Zaklada u naslovu svoje peticije tvrdi da Francuska prisiljava web preglednike "da cenzuriraju web stranice".

Obvezni mehanizam bi zahtijevao od posrednika da provedu sve odgovarajuće mjere kako bi spriječili korisnike interneta da pristupaju adresama koje se smatraju štetnima, u razdoblju od najmanje sedam dana.

U načelu, zaklada smatra pohvalnim nastojati suzbiti online prijevare.

Međutim, ona osporava metode odabrane za postizanje tog cilja, koje stvaraju presedan, jer bi se strategija filtriranja, jednom kada se uspostavi, mogla proširiti na druga pitanja.

 

 

Europske institucije i tijela

• Europska komisija objavljuje smjernice o novoj europskoj direktivi o kibernetičkoj sigurnosti, NIS2.

Ova direktiva nameće obveze u vezi sa sigurnošću, obavještavanjem o incidentima i upravljanjem subjektima u raznim ključnim sektorima, uključujući energetiku, promet, financije, zdravstvo i digitalnu infrastrukturu.

Dva dokumenta s uputama pomažu u određivanju primjenjuju li se zahtjevi NIS2 ili sektorski zahtjevi te imaju za cilj osigurati da su zahtjevi za registraciju dosljedni u cijeloj Uniji.

• Tijekom listopada, Odbor za građanske slobode Europskog parlamenta započet će s ispitivanjem uredbe o "zaštiti djece na internetu" (CSAM).

Ovaj tekst je predmet sve žešćih kritika, posebno u vezi s mjerom koja obvezuje velike platforme da proaktivno skeniraju privatni sadržaj koji se razmjenjuje s njihovim uslugama kako bi otkrile dječju pornografiju.

Mnogi akteri civilnog društva, sva europska tijela za zaštitu podataka, kao i pravnici iz Vijeća EU-a smatraju da bi uredba nametnula „posebno značajna ograničenja prava na privatnost“ te da postoji „ozbiljan rizik“ da je u suprotnosti s temeljnim tekstovima EU-a.

• Mjesec kibernetičke sigurnosti prilika je za ENISA-u, Agenciju Europske unije za informacijsku sigurnost, da objavi preporuke u vezi s ransomwareom.

Među dostupnim dokumentima su i savjeti za operatere u elektroenergetskom sektoru, glavnoj meti hakera.

• Zastupnik Philippe Latombe, član CNIL-a, 7. rujna osporio je Okvir za zaštitu privatnosti podataka pred Sudom Europske unije, koji je od ovog ljeta omogućio razmjenu podataka između EU i Sjedinjenih Država.
• Latombe je podnio dvije žalbe, jednu za trenutnu suspenziju sporazuma, a drugu koja se odnosi na sadržaj teksta.

On traži od Suda da hitno suspendira sporazum, pozivajući se na europsku uredbu iz 1958. koja zahtijeva da europski tekstovi općeg opsega budu napisani na četiri službena jezika, dok od 10. srpnja DPF postoji samo na engleskom jeziku.

• Korištenje alata za videokonferencije otvara pitanja zaštite podataka, posebno s obzirom na to da se podaci vrlo često prenose izvan EU-a.

Sud EU-a proveo je "procjenu učinka prijenosa (TIA)" u vezi s korištenjem Cisco Webexa i podvrgnuo obradu odobrenju Europskog nadzornika za zaštitu podataka (EDPS).

Odluka EDPS-a i procjena učinka Suda EU-a korisne su reference za svakog kontrolora podataka koji koristi te alate u profesionalnom kontekstu.

 

Vijesti iz zemalja članica Europe.

• Belgijska agencija za zaštitu podataka (APD) odbacila je pritužbu 16. kolovoza, unatoč postojanju kršenja GDPR-a.

Smatrala je da kršenja nisu imala „značajan društveni i/ili osobni utjecaj“ te da bi stoga resursi potrebni za ispitivanje pritužbe bili nesrazmjerni.

• Nakon obvezujuće odluke o rješavanju sporova EDPB-a, Irska komisija za zaštitu podataka objavila je svoju konačnu odluku 1. rujna, utvrdivši posebno da je TikTok prekršio načelo pravednosti GDPR-a prilikom obrade osobnih podataka koji se odnose na djecu u dobi od 13 do 17 godina.

U skočnom prozoru za prijavu, djeca su potaknuta da se odluče za javni račun.

U konačnoj odluci APD-a smatra se da su zadane javne postavke također bile u suprotnosti s načelima zaštite podataka po dizajnu i po zadanim postavkama, minimiziranja podataka i transparentnosti.

Uz opomenu i nalog za usklađenost, irsko tijelo za zaštitu podataka izreklo je novčanu kaznu od 345 milijuna eura.

• Agencija za zaštitu podataka Donje Saske, u suradnji sa šest drugih tijela za zaštitu podataka, izradila je vodič o korištenju sustava Microsoft 365 u profesionalne svrhe.

Nadležna tijela preporučuju sklapanje dodatnog sporazuma između odgovorne strane i Microsofta, koji mora imati prednost nad svim sukobljenim ugovornim tekstovima.

Ovaj sporazum trebao bi posebno regulirati razdoblja brisanja prilagođena potrebama voditelja obrade podataka, zahtjeve za informacijama u vezi s korištenjem podizvođača, kao i obradu podataka od strane Microsofta u vlastite komercijalne svrhe.

• U naredbi iz sredine srpnja koja se odnosi na obradu podataka u marketinške svrhe, talijanska agencija za zaštitu podataka (APD) podsjeća da, s obzirom na načelo ograničavanja zadržavanja podataka, nije opravdano čuvati podatke do datuma povlačenja privole.

Ovaj podsjetnik već je uključen u smjernice EDPB-a 5/2020, prema kojima se moraju uzeti u obzir kontekst i legitimna očekivanja pojedinaca: dobra je praksa redovito zahtijevati obnovljenu privolu.

• Talijanski Vrhovni sud potvrdio je nelegitimnost otkaza zaposlenika od strane talijanske banke zbog nezakonitog praćenja e-pošte i nadzora tog zaposlenika.

Vrhovni sud je izjavio da je potrebno osigurati pravednu ravnotežu između zahtjeva zaštite interesa i imovine tvrtke povezanih sa slobodom gospodarske inicijative i zaštite dostojanstva i privatnosti radnika, ovisno o okolnostima.

Praćenje svih komunikacija na službenom prijenosnom računalu tuženika bilo je neopravdano jer je bilo neselektivno, neograničeno i jer tužitelj nije obavijestio tuženika o mogućem praćenju komunikacija njegovog prijenosnog računala, niti o prirodi i opsegu praćenja.

• U odluci objavljenoj 21. kolovoza, Španjolska agencija za zaštitu podataka (APD) sankcionirala je kontrolora podataka zbog kršenja članaka 28(2) i 28(3) GDPR-a.

Ova sankcija je izrečena iako nije postojao ugovor između voditelja obrade podataka i podizvođača te voditelj obrade podataka nije bio obaviješten o sudjelovanju podizvođača u aktivnostima obrade podataka.

• Španjolska agencija za zaštitu podataka (APD) objavljuje blog o digitalnim valutama, u kojem se bavi najvećim rizicima koje predstavljaju kriptovalute: volatilnošću, špekulacijama, lažnim osjećajem dostupnosti, sigurnošću i anonimnošću.
• Izborna komisija Ujedinjenog Kraljevstva objavila je 8. kolovoza da je žrtva kršenja podataka.

Kibernetički napad datira iz kolovoza 2021., a otkriven je u listopadu 2022.

Hakeri, koji ostaju neidentificirani, dobili su pristup podacima 40 milijuna registriranih birača između 2014. i 2022. godine.

• Britanska vlada odgodila je svoje planove za slabljenje online enkripcije provedbom Zakona o online sigurnosti.

Ovaj zakon imao je za cilj obvezati aplikacije za razmjenu poruka poput WhatsAppa da analiziraju razgovore svojih korisnika u potrazi za dječjom pornografijom. Kontroverzne klauzule ostale bi u zakonu, ali britanska vlada izjavila je da neće prisiljavati tehnološke tvrtke da ih provedu.

• Britanski istraživački tim objavio je u kolovozu 2023. članak o razvoju umjetne inteligencije (AI) sposobne dešifrirati lozinku jednostavnim slušanjem zvukova koje proizvode tipke na tipkovnici.

Umjetna inteligencija je obučena na skupu podataka od preko 100 000 pritisaka tipki i uspješno testirana na raznim uređajima, uključujući prijenosna računala, pametne telefone i pametne zvučnike.

 

• Međunarodna organizacija za standardizaciju nedavno je objavila normu ISO 22989:2022 – Koncepti i terminologija umjetne inteligencije, koja utvrđuje terminologiju i opisuje koncepte u području umjetne inteligencije.

Ovaj dokument može se koristiti za razvoj drugih standarda i za podršku komunikaciji između različitih zainteresiranih strana ili dionika. Primjenjiv je na sve vrste organizacija (komercijalna poduzeća, vladine agencije, neprofitne organizacije).

• Meta se navodno priprema za uvođenje plaćene pretplate za svoje društvene mreže Instagram i Facebook.

Prema Wall Street Journalu, korisnici koji ne žele da ih se prati u svrhu personaliziranog oglašavanja trebali bi plaćati između 10 i 15 eura mjesečno, ovisno o korištenom uređaju (pametni telefon, računalo).

• Video nadzor s biometrijskim prepoznavanjem u središtu je skandala u Argentini: pogreške, sustav podložan manipulaciji, neovlašteni pristup, nedostatak mjera transparentnosti…

Sedamdeset pet posto glavnog grada je pod video nadzorom, ali sustav prepoznavanja lica kritiziran je nakon što je najmanje 140 pogrešaka dovelo do policijskih provjera ili uhićenja od 2019. godine.

Aktivisti su odlučili tužiti gradsku vlast i u travnju 2022. godine izborili su deaktivaciju sustava.

Od tada se grad Buenos Aires bori da ga ponovno pusti u upotrebu.

• Indonezijski istraživač sigurnosti otkrio je na Twitteru da je haker stavio na prodaju za 10.000 dolara datoteku koja sadrži podatke gotovo 35 milijuna vlasnika putovnica.

Već je poznato da je haker 2022. godine ukrao i stavio na prodaju podatke 1,3 milijarde SIM kartica sa servera indonezijskog Ministarstva komunikacija i informacijske tehnologije, a sumnja se i da stoji iza krađe osobnih podataka 17 milijuna kupaca indonezijske elektroprivredne tvrtke 2022. godine (putem AFCDP-a).

• Saudijska Arabija je sredinom rujna objavila svoje propise za provedbu zakona o zaštiti osobnih podataka kao i propise o prijenosu osobnih podataka izvan Kraljevine.
• Ruandska vlada je 15. listopada 2021. donijela zakon o zaštiti osobnih podataka i privatnosti.

Vlada je odobrila dvogodišnje prijelazno razdoblje kako bi pojedincima i organizacijama omogućila usklađivanje svojih aktivnosti obrade podataka sa zakonom. To razdoblje završava 15. listopada 2023.