Pravni nadzor br. 78 – prosinac 2024. 

Kakvi su izgledi za zaštitu podataka u 2025. godini?

Nova godina nastavlja se postupnom provedbom „digitalnog paketa“ Europske unije.ali i novo zakonodavstvo usmjereno na jačanje zaštite osobnih podataka suočenih s izazovima koje predstavljaju kibernetičke prijetnje.

Kako umjetna inteligencija postaje sveprisutnija u poduzećima, možemo očekivati pomak u podršci odlučivanju prema autonomnijim sustavima koji ostavljaju manje prostora za ljudsku prosudbu, s rizicima koje takva upotreba nosi u pogledu kvalitete i zaštite podataka.

Uredba o umjetnoj inteligenciji regulira ove nove prakse, iako će biti potrebno pričekati do kolovoza 2026. da bi sve njezine odredbe postale primjenjive..

Kao što ćemo vidjeti u vijestima u nastavku, njegova provedba već je predmet smjernica, što dokazuje i nedavno mišljenje Europskog odbora za zaštitu podataka (EDPB).

Kontrolori podataka također će morati uzeti u obzir Uredbu o digitalnim uslugama (DSA), koja se primjenjuje od 17. veljače.koji nameće nove obveze, posebno u pogledu transparentnosti, moderiranja sadržaja i zaštite korisnika.

Prema Francuskom udruženju službenika za zaštitu podataka (AFCPD), ovi propisi uvode preklapanja i zahtijevaju od službenika za zaštitu podataka da, uz znatne poteškoće, održavaju pregled kako bi osigurali dosljednu usklađenost. Udruženje navodi primjer obrade ljudskih podataka, koja se može promijeniti iz neosjetljive u osjetljivu kategoriju ovisno o korištenim tehnologijama, poput umjetne inteligencije.

"Ove interakcije postavljaju temeljna pitanja o skladnom upravljanju pravnim obvezama."

Što se tiče sigurnosti, europska uredba o kibernetičkoj otpornosti (Cyber Resilience Act, CRA) stupila je na snagu 10. prosinca 2024., a većina njezinih odredbi primjenjivat će se 2027. godine.

Cilj CRA-e je ojačati zaštitu potrošačkih i poslovnih podataka od kibernetičkih prijetnji. Ovaj zakon nameće obveze proizvođačima, programerima i trgovcima povezanim proizvodima u vezi s procjenama i informacijama o kibernetičkoj sigurnosti.

U istom kontekstu, europska uredba o digitalnoj operativnoj otpornosti (Digital Operational Resilience Act, DORA) primjenjivat će se od 17. siječnja..

Nameće stroge zahtjeve za osiguranje digitalne otpornosti financijskih institucija i upravljanje operativnim rizicima povezanim s informacijskom tehnologijom, posebno rizicima povezanim s vanjskim dobavljačima.

Europska direktiva o sigurnosti mreža i informacijskih sustava (NIS2) u načelu se primjenjuje od 17. listopada, datuma kada je trebala biti prenesena u francusko zakonodavstvo.

Tekst proširuje svoje područje primjene u usporedbi s direktivom NIS1 i posebno je usmjeren na infrastrukturu i subjekte ključne za pravilno funkcioniranje gospodarskih i društvenih aktivnosti na unutarnjem tržištu.

Planirano je trogodišnje razdoblje za potpunu usklađenost, ali minimalno razdoblje trebalo bi brzo uspostaviti, i to registraciju reguliranog subjekta kod ANSSI-ja, obavještavanje o incidentima i demonstraciju ulaganja u sigurnosna rješenja.

Budući da zakon o transpoziciji još nije usvojen, i danas postoje neizvjesnosti u vezi s identifikacijom reguliranih subjekata i konkretnim koracima koje treba poduzeti.

Također postoji određena neizvjesnost oko vremenskog okvira nekoliko europskih projekata: što je s dugogodišnjim projektom ePrivatnosti?

Iako je Komisija objavila svoj prvi nacrt uredbe u siječnju 2017., proces još uvijek čeka stav Europskog parlamenta u prvom čitanju.

Ovaj tekst potiče žive rasprave o primjeni načela privole za kolačiće i povjerljivosti komunikacija.

Treba spomenuti i potencijalni utjecaj Trumpovog predsjedništva na „Okvir za zaštitu privatnosti podataka“ i, šire gledano, na razmjenu podataka između Europske unije i Sjedinjenih Država.

Konačno, GDPR bi mogao proći kroz neka ažuriranja, posebno u vezi s prijenosom podataka, koordiniranim istragama tijela za zaštitu podataka (DPA) i usklađivanjem s (budućom) Uredbom o e-privatnosti.

Konačno, ali ne i najmanje važno, svjedočimo razvoju kolektivne akcije u EU: Kao što smo izvijestili prošli mjesec, nevladina organizacija noyb sada može pokrenuti kolektivne tužbe u bilo kojoj državi članici.

Trenutačno u EU postoje 43 druga kvalificirana subjekta, uključujući Irsko vijeće za građanske slobode i finskog ombudsmana za zaštitu podataka, koji trenutno predsjedava EDPB-om.

Noyb je naznačio da planira podnijeti prve pravne radnje 2025. godine.

Rizik od sudskog spora koji bi tvrtke trebale shvatiti ozbiljno.

 

      

U odluci objavljenoj 1. siječnja u Službenom listu, CNIL je zabrinut zbog planiranih ažuriranja informacijskih sustava tvrtke France Travail.

Zakon o punom zaposlenju iz prosinca 2023. predviđa obnovljeni put podrške za tražitelje posla koji se temelji posebno na analizi podataka i njihovoj razmjeni s mnogim regionalnim i lokalnim organizacijama.

CNIL preporučuje sigurnosne mjere prilagođene rizicima.

CNIL priprema GDPR certifikaciju za podizvođače Kako bi se izgradio odgovarajući okvir, otvara se javna rasprava do 28. veljače.

Certifikacija bi trebala pomoći kontrolorima podataka u odabiru podizvođača, „osiguravajući da je obrada koju provodi podizvođač procijenjena kao sukladna kriterijima standarda koji priznaje CNIL“.

U priopćenju za medije od 12. prosinca 2024. CNIL je najavio da će izdati službene obavijesti izdavačima web stranica da izmijene svoje banere o kolačićima koji se smatraju obmanjujućima.

Nadležno tijelo podsjeća korisnike da se kolačići mogu postaviti tek nakon što su dali svoj pristanak.

Nadalje, odbijanje kolačića trebalo bi biti jednostavno kao i njihovo prihvaćanje.

Vrijedi podsjetiti da je nekoliko tijela za zaštitu podataka, uključujući belgijsko tijelo, već zauzelo strog stav zahtijevajući da dva prijedloga za prihvaćanje i odbijanje budu na istoj razini s istim stupnjem vidljivosti.

Dana 5. prosinca 2024. CNIL (Francusko tijelo za zaštitu podataka) izreklo je tvrtki Kaspr kaznu od 240.000 eura. posebno zbog prikupljanja kontaktnih podataka korisnika na LinkedInu koji su ipak odlučili ograničiti svoju vidljivost.

Komisija nalaže tvrtki da izbriše te podatke ili, ako to nije moguće, ako je nemoguće razlikovati te podatke, čija je vidljivost ograničena, od ostalih podataka, da obavijesti korisnike "u roku od 3 mjeseca o obradi njihovih podataka i mogućnosti prigovora na nju".

Osim nezakonitog prikupljanja kontaktnih podataka i nedostatka transparentnosti u obradi, CNIL također kritizira Kaspr zbog zadržavanja podataka pet godina, razdoblje koje se smatra pretjeranim za profesionalce koji često mijenjaju poslove.

Dana 14. studenog, CNIL je kaznio telekomunikacijsku tvrtku Orange s 50.000.000 eura zbog umetanja oglasa u pristiglu poštu. i instalirali kolačiće na korisničke uređaje bez njihovog pristanka.

Tvrtki je naloženo da uskladi svoje postupke s propisima ili će se suočiti s dodatnim kaznama.

Francuska će 10. i 11. veljače biti domaćin Summita za djelovanje u području umjetne inteligencije (AI).

U toj perspektivi, CNIL, Sveučilište Paris-Saclay i Sveučilište Caen-Normandie okupit će 23. siječnja stručnjake i istraživače kako bi raspravljali o načinima sprječavanja dezinformacija, prijevara i kršenja privatnosti, uz istovremeno korištenje umjetne inteligencije.

Francuski Opservatorij umjetne inteligencije također je 11. prosinca, u sklopu priprema za summit o umjetnoj inteligenciji, organizirao seminar o učincima razvoja umjetne inteligencije na rad i zapošljavanje.

Rasprave su se posebno usredotočile na izazove povezane s objašnjivošću odluka koje donosi umjetna inteligencija.

Revizorski sud objavio je 3. siječnja izvješće o IT sigurnosti zdravstvenih ustanova.

Napominje da je „2023. godine 10% žrtava kibernetičkih napada u Francuskoj bile zdravstvene ustanove. Njihova ranjivost povezana je posebno s povećanom međusobnom povezanošću njihovih informacijskih sustava s vanjskim svijetom i kroničnim nedostatnim ulaganjem u digitalnu tehnologiju.“

Ovi napadi mogu imati ozbiljne posljedice na funkcioniranje institucija i na skrb o pacijentima.

Javne vlasti su reagirale sa zakašnjenjem financiranjem petogodišnjeg programa prevencije i zaštite. Taj zamah mora se održati.

Ministarstvo zdravstva izrazilo je zabrinutost zbog razvoja usluge "Zdravlje", nove značajke aplikacije Doctolib. kojim se predlaže centralizacija medicinskih informacija osiguranih osoba.

Čini se da ova značajka kopira "Moj zdravstveni prostor", digitalni zdravstveni karton koji je država uspostavila zakonom od 24. srpnja 2019. koji se odnosi na organizaciju i transformaciju zdravstvenog sustava.

Nevladina organizacija noyb podnijela je 12. prosinca pritužbu protiv francuske platforme društvenih medija BeReal zbog "tamnih obrazaca" koje tvrtka koristi za dobivanje privole korisnika.

Kada korisnici otvore aplikaciju, suoče se s skočnim prozorom u kojem se od njih traži da kažu "da" ili "ne" korištenju svojih osobnih podataka u reklamne svrhe: ako korisnici kliknu "prihvati", više nikada neće vidjeti banner s pristankom.

Međutim, ako odbiju ciljanje, banner će se pojavljivati svaki dan dok ga ne prihvate.

 

Europske institucije i tijela

EDPB je 18. prosinca usvojio mišljenje o modelima umjetne inteligencije. Ovo mišljenje analizira:

• Kako procijeniti i dokazati da je model umjetne inteligencije anoniman;
• Ako legitimni interes može predstavljati pravnu osnovu za obuku ili korištenje modela umjetne inteligencije;
• Posljedice kada se model umjetne inteligencije obučava korištenjem nezakonito obrađenih osobnih podataka.

Prema Odboru, pitanje je li model umjetne inteligencije anoniman mora se procijeniti od slučaja do slučaja: mora biti praktički nemoguće („vrlo malo vjerojatno“) (1) izravno ili neizravno identificirati pojedince čiji su podaci korišteni za stvaranje modela i (2) izvući te osobne podatke iz modela putem upita.

Obavijest sadrži popis metoda za dokazivanje anonimnosti.

Što se tiče legitimnog interesa, mišljenje pruža smjernice za DPA-ove u procjeni je li ta pravna osnova prikladna.

Konačno, kada je model umjetne inteligencije razvijen iz nezakonito obrađenih osobnih podataka, to bi moglo utjecati na zakonitost njegove primjene, osim ako model nije propisno anonimiziran.

Europski nadzornik za zaštitu podataka (EDPS) donio je odluku kojom se utvrđuje da je Europska komisija nezakonito ciljala europske građane prikazivanjem oglasa na temelju "osjetljivih" osobnih podataka o njihovim političkim stavovima.

Nevladina organizacija noyb, koja je pokrenula pritužbu, navodi da je u kontekstu rasprava o nacrtu uredbe o kontroli online rasprava („Kontrola chata“) Europska komisija identificirala Nizozemsku kao državu članicu na koju želi politički utjecati.

U tu svrhu, objavila je poruke na Twitteru/X-u u kojima je neizravno promovirala ovu uredbu liberalnim ili lijevo orijentiranim korisnicima.

 

Vijesti iz zemalja članica Europske unije.

Njemački proizvođač automobila Volkswagen našao se pod istragom uoči Nove godine nakon otkrića medija Spiegel, koji ga optužuje da je javno izložio geolokacijske podatke više od 800.000 vozila u Europi.

Ove informacije omogućile su određivanje položaja gotovo 500.000 vozila s točnošću od 10 centimetara.

U Francuskoj se navodi da je pogođeno više od 50.000 vozila marki Volkswagen, Audi, Škoda i Seat.

I u Njemačkoj je lokalno tijelo za zaštitu podataka kažnjeno s 900.000 eura pružatelju usluga sa sjedištem u Hamburgu zbog zadržavanja osobnih podataka do pet godina nakon isteka roka.

Za APD je „neprihvatljivo da akteri koji rade u digitalnim sektorima nisu razvili koherentan postupak brisanja“ (putem AFCDP-a).

U Španjolskoj je APD sankcionirao automehaničarsku radnju koja je dodala svoju datoteku kupaca u WhatsApp grupu, čineći podatke 150 kupaca (brojeve telefona, imena i fotografije) vidljivima svim članovima grupe.

APD je utvrdio kršenje članka 6(1) GDPR-a, koji zahtijeva valjanu pravnu osnovu za bilo kakvu obradu osobnih podataka, te je tvrtki izrekao novčanu kaznu od 3000 eura.

Španjolska je odlučila zabraniti korištenje "Google Workspacea za obrazovanje" u školama.

Ova odluka donesena je na temelju izvješća Španjolske agencije za zaštitu podataka (APD), koja smatra da postoji "invazivno prikupljanje osobnih podataka".

Ovo izvješće je pripremljeno na zahtjev Ministarstva obrazovanja.

Irska Komisija za zaštitu podataka (DPC) objavila je 17. prosinca da je kaznila Metu s 251.000.000 eura zbog toga što nije spriječila povredu podataka koja je ugrozila podatke milijuna korisnika Facebooka i zbog toga što nije adekvatno dokumentirala povredu.

Dva dana nakon što je EDPB objavio svoje mišljenje o umjetnoj inteligenciji, talijansko tijelo za zaštitu podataka izreklo je OpenAI-ju kaznu od 15.000.000 eura 20. prosinca.

Smatra da je tvrtka koristila osobne podatke korisnika interneta za obuku ChatGPT-a "bez odgovarajuće pravne osnove i prekršila načelo transparentnosti i srodne obveze informiranja prema korisnicima".

Istraga koju je krajem 2023. pokrenuo APD dodatno otkriva da tvrtka nije osigurala odgovarajući sustav provjere dobi kako bi spriječila da korisnici mlađi od 13 godina budu izloženi neprikladnom sadržaju generiranom umjetnom inteligencijom.

Open AI će također morati pokrenuti komunikacijsku kampanju u zemlji na raznim medijima kako bi podigao svijest javnosti o tome kako ChatGPT funkcionira i podsjetio ih na njihova prava.

Možemo li i dalje koristiti OpenAI model i ChatGPT API za pružanje vlastitih generativnih AI usluga?

Talijanska odluka ostavlja pitanje otvorenim precizirajući da će o tome morati odlučiti irsko tijelo, prema mehanizmu iz članka 56. GDPR-a.

Talijansko tijelo za zaštitu podataka (APD) također je 13. studenog zauzelo stav u vezi s objavljivanjem fotografija maloljetnika na Facebooku, podsjećajući da je potreban pristanak oba roditelja.

U ovom konkretnom slučaju, otac djeteta mlađeg od 14 godina podijelio je njegovu fotografiju na Facebooku kako bi pokazao sličnost sa svojim polubratom koji se također pojavio na fotografiji.

Majka djeteta, razvedena od oca, bezuspješno ga je zamolila da ukloni fotografiju s Facebooka te je podnijela žalbu policiji.

Nizozemske vlasti su također 6. prosinca upozorile Nacionalni arhiv da ne objavljuje nizozemske ratne arhive na internetu.

Ti dokumenti sadrže dosjee o osobama osumnjičenima za suradnju s okupatorom tijekom Drugog svjetskog rata, uključujući osjetljive podatke poput vjeroispovijesti, političke pripadnosti, zdravlja ili etničke pripadnosti ljudi koji su ponekad još uvijek živi.

Iako imaju neospornu vrijednost, način na koji Nacionalni arhiv želi učiniti podatke javnima na internetu krši Zakon o arhivima i GDPR, prema APD-u.

Stoga poziva na bolju kontrolu uvjeta pristupa podacima.

Dana 18. prosinca, APD je kaznio Netflix zbog toga što nije pravilno informirao svoje korisnike o obradi njihovih podataka između 2018. i 2020. godine.

Nadalje, informacije koje je dostavio Netflix bile su nejasne u određenim točkama.

Zbog toga je APD izrekao kaznu od 4.750.000 eura streaming servisu.

Od tada je Netflix ažurirao svoju izjavu o privatnosti i poboljšao svoje informacije.

U Švedskoj je APD kaznio stanodavca s 200.000 SEK (17.366 €) zbog postavljanja osamnaest kamera u zajedničke prostore stambene zgrade i zbog toga što nije odgovorio na zahtjev za informacijama.

 

Studija pod nazivom „Praćenje unutarnje lokacije, kretanja i zauzetosti stola na radnom mjestu“, objavljena u studenom, analizira tehnologije praćenja i profiliranja ponašanja zaposlenika pomoću senzora pokreta i WIFI infrastrukture unutar prostorija tvrtke.

Ova studija usredotočuje se na potencijalne implikacije za zaposlenike u Europi i ispituje najraširenija rješenja koja nude Cisco, Juniper, Spacewell, Locatee i drugi slični pružatelji tehnoloških usluga.

Cisco tvrdi da je do sada obradio 17,2 bilijuna "lokacijskih podataka" prikupljenih putem više od tri milijuna WiFi pristupnih točaka instaliranih u 250 000 zgrada diljem svijeta.

Studija ukratko obrađuje kako su se radnici opirali ugradnji detektora pokreta od strane svojih poslodavaca (putem AFCDP-a).

Nakon pravnog postupka koji je WhatsApp pokrenuo 2019. godine, sudac u Kaliforniji je krajem prosinca proglasio krivom za hakiranje izraelsku tvrtku NSO Group, tvorca špijunskog softvera Pegasus.

Protivnici ove industrije smatraju ovu presudu "povijesnom".

Prema Willu Cathcartu, direktoru WhatsAppa, „NSO Group tvrdi da odgovorno služi vladama, ali otkrili smo da je prošlog svibnja meta napada bilo više od stotinu branitelja ljudskih prava i novinara; ta zlostavljanja moraju prestati.“

Američka vlada je početkom prosinca otkrila da je Kina hakirala 8 američkih operatera (uključujući AT&T, Verizon i Lumen Technologies).

Špijuniranje se odnosi na novi RCS format za slanje SMS poruka između iPhonea i Android pametnog telefona.

FBI i Agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) izjavili su da je hakerska kampanja, koju je Microsoft nazvao Salt Typhoon, jedna od najvećih povreda u povijesti.

Hakeri su dobili pristup snimkama poziva, telefonskim pozivima uživo od određenih osoba, pa čak i povjerljivim sudskim nalozima.

Vlasti savjetuju korištenje sigurnih i šifriranih aplikacija za razmjenu poruka kako bi se spriječilo otkrivanje privatnih komunikacija.