DSA – DMA : deux piliers de la stratégie numérique européenne.

DSA – DMA: dva stupa europske digitalne strategije.

Pravni nadzor br. 46 – Travanj 2022.

DSA – DMA: dva stupa europske digitalne strategijeOd sklapanja političkog sporazuma u noći s 22. na 23. travnja, DSA ili Zakon o digitalnim uslugama bio je predmet mnogih komentara u digitalnom svijetu.

Ovo zakonodavstvo o digitalnim uslugama zapravo je, zajedno sa zakonodavstvom o digitalnim tržištima (Zakon o digitalnim tržištima), u središtu europskog sustava koji je Europska komisija predstavila 15. prosinca 2020.

Cilj ove strategije je stvoriti ravnopravnije uvjete i učiniti online platforme odgovornijima za sadržaj koji objavljuju.

Zakon o digitalnim uslugama (DSA) posebno ima za cilj učiniti digitalno okruženje transparentnijim i sigurnijim definiranjem odgovornosti pružatelja digitalnih usluga.

Nadopunit će europsku direktivu o e-trgovini i druge tekstove poput uredbe o "platformi za poslovanje", kao i sektorske odredbe koje reguliraju, na primjer, moderiranje govora mržnje na internetu, terorizam, diskriminaciju ili autorska prava.

DSA će se primjenjivati na platforme kao što su tražilice, društveni mediji ili platforme za e-trgovinu. 

Ovaj tekst bio je predmet brojnih rasprava i pritisaka, kako od strane civilnog društva, koje je zahtijevalo dovoljno širok opseg primjene, tako i od strane digitalnih ekonomskih aktera, čiji su zahtjevi išli u suprotnom smjeru.

Posebno se postavilo pitanje opsega regulacije „tamnih obrazaca“ i drugih mehanizama usmjerenih na utjecaj na ponašanje posjetitelja (vidi naše pismo br. 45).

Čini se da postignuti politički dogovor uspostavlja ravnotežu između kontrole hipercentralizirane platformske ekonomije s jedne strane i poštivanja temeljnih prava, slobode izražavanja i nediskriminacije pojedinaca s druge strane.

Sljedeći elementi su posebno značajni:

  • Mehanizam za podnošenje zahtjeva trebao bi omogućiti osobama koje su identificirale potencijalno nezakonit sadržaj da dobiju odgovor od domaćina, u skladu s transparentnim postupkom i bez pretvaranja potonjeg u policijske pomoćnike.
  • Ciljano oglašavanje bit će ograničeno, bez korištenja osjetljivih korisničkih podataka.
  • Tamni uzorci također će biti zabranjeni – uključivanje kolačića u ovu zabranu je neizvjesno.
  • Mehanizam za odgovor na krizu, uveden u kontekstu rata u Ukrajini, omogućuje Komisiji da proglasi stanje digitalne izvanredne situacije u konzultaciji s nacionalnim regulatorima.

Imajte na umu da se ove mjere odnose na platforme te stoga ostavljaju situaciju nepromijenjenom u pogledu web stranica općenito.

Ipak, na njih se i dalje primjenjuju odredbe GDPR-a i Europske direktive o elektroničkim komunikacijama.

DMA nadopunjuje digitalnu strategiju posebno ciljajući na "kontrolore pristupa" na digitalnim tržištima ili "čuvare vrata". koje imaju snažan ekonomski položaj u Europskoj uniji i koje povezuju veliku korisničku bazu s velikim brojem poduzeća.

O ovom tekstu postignut je i politički dogovor 25. ožujka, kojim je pojašnjen opseg DMA-a: koncept obuhvaća digitalna tržišta, trgovine aplikacijama, tražilice, društvene mreže, usluge u oblaku, usluge oglašavanja, glasovne asistente i web preglednike.

DMA ima za cilj osigurati da se te platforme ponašaju pošteno na internetu.

Na primjer, morat će osigurati interoperabilnost osnovnih funkcionalnosti svojih usluga za instant poruke.

Nadalje, više neće moći:

  • Promocija vlastitih proizvoda ili usluga na štetu tuđih (samoreferenciranje)
  • Ponovno upotrijebite privatne podatke prikupljene tijekom jedne usluge za potrebe druge usluge
  • Uspostavljanje nepravednih uvjeta za profesionalne korisnike
  • Unaprijed instalirajte određene softverske aplikacije
  • Zahtijevanje od programera aplikacija da koriste određene usluge (npr. sustave plaćanja ili pružatelje identiteta) kako bi bili navedeni u trgovinama aplikacija

Međutim, vrijedi istaknuti zabrinutost koju je od tada izrazilo više od 40 predstavnika sektora tržišnog natjecanja i zaštite podataka: tijekom tjedna od 21. travnja objavili su pismo u kojem objašnjavaju svoje strahove u vezi s previše nejasnim tekstom, koji bi dotičnim tvrtkama omogućio da objedine sve podatke koje posjeduju koristeći jednu privolu, dok GDPR zahtijeva pravnu osnovu za svaku vrstu provedene obrade.

DMA, kao i DSA, još nisu konačni: prije usvajanja moraju biti odobreni na plenarnoj sjednici Europskog parlamenta.

U međuvremenu, s obzirom na rizike, Europa ne gubi vrijeme: navodno planira otvoriti ured u San Franciscu kako bi surađivala s tehnološkim divovima Silicijske doline, istim onim tvrtkama koje će biti podvrgnute strogim kontrolama prema novim digitalnim pravilima.

I također

Francuska:

  • Studija koju je sredinom travnja objavila škola novinarstva Sciences Po pokazuje da 184 web-stranice francuske javne uprave koriste Google Analytics, unatoč implikacijama koje su istaknuli CNIL i njegovi kolege u vezi s transferima u Sjedinjene Države.

Ta mjesta uključuju mjesta Državnog vijeća, carine i predsjedništva.

  • CNIL objavljuje resurse o umjetnoj inteligenciji za različitu publiku : za stručnjake, podsjetnik na načela, stavove CNIL-a i vodič za samoprocjenu; za širu javnost, resursi za bolje razumijevanje problema; konačno, za stručnjake, informacije i studije o problemima i trenutnom stanju tehnike.
  • Početkom travnja, CNIL je izmijenio svoje represivne postupke i uveo pojednostavljeni postupak za manje složene slučajeve: nema sastanka kolegija ili javne sjednice osim na zahtjev dotične organizacije.

Sankcije koje se mogu izreći u ovom kontekstu su ograničene: upozorenja, novčane kazne do 20.000 eura i sudska zabrana s novčanom kaznom ograničenom na 100 eura po danu kašnjenja.

Ove sankcije nisu javno objavljene.

  • Dana 15. travnja 2022., uski odbor CNIL-a izdao je Kazna od 1,5 milijuna eura za Dedalus Biologie zbog sigurnosnih propusta koji su doveli do curenja medicinskih podataka gotovo 500.000 ljudi.

Tijekom operacija migracije softvera uočeni su tehnički i organizacijski sigurnosni nedostaci.

Europa:

Europska komisija pokrenula je svoju prijedlog za Europski prostor zdravstvenih podataka (EHDS).

Prijedlog ima za cilj olakšati građanima pristup njihovim zdravstvenim podacima u elektroničkom obliku i podijeliti ih s drugim zdravstvenim djelatnicima unutar EU-a, a istovremeno omogućiti pristup tim podacima pod strogim uvjetima istraživačima, inovatorima, javnim ustanovama ili tvrtkama.

Svaka država članica morat će odrediti tijelo za digitalno zdravstvo koje će sudjelovati u prekograničnoj digitalnoj infrastrukturi (MyHealth@EU).

Europski odbor za zaštitu podataka (EDPB)

  • Dana 6. travnja 2022. Europski odbor za zaštitu podataka (EDPB) objavio je izjava o nacrtu transatlantskog okvira za zaštitu podataka.

Ova izjava slijedi načelni sporazum između Europske komisije i Sjedinjenih Američkih Država objavljen 25. ožujka 2022.

EDPB ističe da ova objava ne predstavlja pravni okvir na kojem izvoznici podataka mogu temeljiti svoje prijenose.

Moraju nastaviti provoditi mjere potrebne za poštivanje, posebno, presude Suda Europske unije u predmetu Schrems II.

  • EDPB je također 28. travnja objavio zajednički stav u vezi s suradnja između tijela za zaštitu podataka u pitanjima kontrole usklađenost s GDPR-om.

Dokument potvrđuje spremnost tijela za zaštitu podataka da ojačaju svoju suradnju identificiranjem prekograničnih pitanja od strateške važnosti, promicanjem zajedničkih istraga, razmjenom informacija i poboljšanjem određenih proceduralnih pravila.

Europski nadzornik za zaštitu podataka (EDPS)

THE Europski nadzornik za zaštitu podataka (EDPS) organizira konferenciju u Bruxellesu 16. i 17. lipnja usmjerenu na usklađenost s GDPR-om u digitalnom svijetu.

CPDP

Također je vrijedna pažnje godišnja akademska konferencija CPDP (Računala, privatnost i zaštita podataka), koja je ove godine odgođena za 23.-25. svibnja. Program je strukturiran oko teme „Doba inteligentnih strojeva“.

Europski parlament

Dana 19. travnja, Pegasusova istražna komisija Europski parlament je započeo s radom.

Komisija ima dvanaest mjeseci da pripremi svoje izvješće o špijunskom softveru koji nekoliko vlada koristi za špijuniranje brojnih javnih osoba, političara, novinara i aktivista.

Sud Europske unije

Dvije važne stanice od Sud Europske unije objavljeni su prošli mjesec:

  • Dana 5. travnja Sud je potvrdio svoju sudsku praksu da se podaci o elektroničkim komunikacijama (uključujući podatke o lokaciji) ne mogu općenito i neselektivno čuvati radi borbe protiv teških kaznenih djela.
  • Dana 28. travnja Sud je izričito priznao da udruge za zaštitu potrošača mogu pokrenuti reprezentativne tužbe protiv kršenja zaštite osobnih podataka, bez obzira na stvarno kršenje prava ispitanika na zaštitu podataka i u nedostatku mandata za to.

Španjolsko tijelo za zaštitu podataka izrekao je novčanu kaznu od 1500 eura osobi koja je postavila nadzornu kameru okrenutu prema javnoj prometnici i u blizini privatnih kuća, bez informativnog plakata i kršeći članak 5(1)(c) i članak 13. GDPR-a.

Nizozemska DPA kaznila je Ministarstvo vanjskih poslova s 565.000 eura zbog nedovoljnih sigurnosnih mjera i nedostatka odgovarajućih informacija za dotične osobe u kontekstu zahtjeva za vizu.

Mađarska agencija za zaštitu podataka kaznila je banku s 670.000 eura zbog nezakonite upotrebe umjetne inteligencije.Banka je provela automatske analize audio snimaka svoje korisničke službe.

Dansko tijelo za zaštitu podataka kaznilo je Danske Bank s 1.345.000 eura zbog nepoštivanja postupaka zadržavanja i brisanja podataka. u više od 400 računalnih sustava u koje je uključeno nekoliko milijuna ljudi. Slučaj je također predmet policijske istrage.

U Belgiji je DPA izrekla kaznu od 200.000 eura bruxellesskoj zračnoj luci Zaventem i 100.000 eura zračnoj luci Bruxelles South Charleroi. za provjere temperature putnika provedene u sklopu borbe protiv COVID-19 bez valjane pravne osnove.

Međunarodno:

Postoje zabrinutosti oko mogućnosti slušanja i snimanja pametnih zvučnika.

Akademska studija objavljena krajem travnja detaljno opisuje Amazonovo korištenje podataka koje je Alexa prikupila u svrhu ciljanog oglašavanja i vrednovanje tih podataka, koji se preprodaju za trideset puta više od ostalih podataka.

Sredinom travnja, irski povjerenik za ljudska prava izrazio je iste rezerve ministru pravosuđa, ovaj put u vezi s ponovnom upotrebom tih podataka u kontekstu policijskih istraga.

Dana 21. travnja, američka državna tajnica Gina M. Raimondo izdala je izjavu o osnivanju „Globalnog foruma za CBPR“.

Ovaj forum ima za cilj olakšati prijenos osobnih podataka i komercijalnih aktivnosti između Sjedinjenih Američkih Država, Kanade, Japana, Republike Koreje, Filipina, Singapura i Tajvana.

Imajte na umu da CBPR-ovi (Pravila o privatnosti preko granica) postoje već oko deset godina, a certificirane tvrtke uglavnom se nalaze u Sjedinjenim Državama.

OECD planira razviti okvir za pouzdan pristup vlade podacima privatnog sektora.

Ova tema je jedan od prioriteta međunarodne organizacije za 2022. godinu, uz lokalizaciju podataka i međunarodni prijenos osobnih podataka.

Anne Christine Lacoste

Partnerica u tvrtki Olivier Weber Avocat, Anne Christine Lacoste, odvjetnica je specijalizirana za pravo podataka; bila je voditeljica međunarodnih odnosa u Europskom nadzorniku za zaštitu podataka i radila je na provedbi GDPR-a u Europskoj uniji.

Otkrijte Viqtor®
hrHR
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL hrHR