Pravni nadzor br. 86 – kolovoz 2025. 

 

Kolačići i ciljanje korisnika interneta: trenutno stanje.

CNIL je 1. rujna izrekao kaznu od 325 milijuna eura Googleu i 150 milijuna eura irskoj podružnici Shein grupe, dva iznosa koja će značajno povećati prosjek sankcija koje je CNIL odlučivao posljednjih mjeseci.

Google je sankcioniran zbog prikazivanja oglasa umetnutih između e-mailova korisnika Gmaila i postavljanja kolačića prilikom stvaranja Google računa, bez valjanog pristanka francuskih korisnika.

CNIL također zahtijeva od Googlea da ukloni ovaj prikaz oglasa u roku od šest mjeseci i da dobije valjanu suglasnost korisnika za postavljanje reklamnih kolačića prilikom stvaranja Google računa, pod kaznom od 100.000 eura dnevno. 

Kazna izrečena Sheinu također se odnosi na nepoštivanje pravila koja se primjenjuju na kolačiće, postavljene ovdje na uređajima korisnika koji posjećuju web stranicu "shein.com".

Ove značajne kazne dio su raznih mjera koje je Komisija poduzela kako bi regulirala praćenje i ciljanje korisnika interneta, a objavljene su na njezinoj web stranici 2019. godine.

CNIL je već u prosincu 2021. kaznio Google sa 150 milijuna eura zbog kršenja propisa o kolačićima i 50 milijuna eura zbog nedostatka transparentnosti i jasnoće politike privatnosti te nedostatka pravne osnove za personalizirano oglašavanje.

Također je nedavno sankcionirala tvrtku Orange zbog sličnih praksi slanja oglasa u obliku e-pošte.

Ove odluke nam daju priliku da preispitamo prakse ciljanja korisnika interneta i pravni okvir.

Pravila koja se primjenjuju na specifične slučajeve su specifična: Komisija podsjeća da operacije povezane s korištenjem tragača i elektroničkim istraživanjem ne spadaju pod GDPR, već pod druga pravila: direktivu o „e-privatnosti“, prenesenu u članak 82. Zakona o zaštiti podataka za tragače, i članak 34-5. Zakona o zaštiti podataka za komercijalno istraživanje elektroničkim putem.

Prakse koje se smatraju neusklađenima uglavnom se odnose na postavljanje tragača bez korisnikovog pristanka, ali i na sve veću praksu korištenja „zidova kolačića“ koji uvjetuju korisnikov pristup usluzi njegovim prihvaćanjem postavljanja tragača na njihov terminal.

CNIL ne smatra ovu praksu samu po sebi ilegalnom, za razliku od nekih svojih europskih kolega.

Međutim, ona naglašava da privola mora biti data slobodno i da alternative koje se nude korisniku moraju biti predstavljene na uravnotežen način, bez poticanja korisnika da koristi jednu opciju umjesto druge (na primjer, tako što će jedan izbor biti složeniji od drugog).

Također je potrebno da pristanak bude informiran, što znači da ljudi imaju potpuno i jasno razumijevanje posljedica svojih izbora.

Ove odluke CNIL-a ujedno su i kulminacija pritužbi koje je nevladina organizacija noyb podnijela prije više od dvije godine brojnim tijelima za zaštitu podataka (DPA) u Europi, uglavnom u vezi s fenomenom kolačićnih zidova ili plaćanja ili okay-a te pitanjem transparentnosti u prikupljanju podataka.

Tako je sredinom kolovoza austrijski Savezni upravni sud slijedio mišljenje austrijskog tijela za zaštitu podataka i smatrao da postojanje više svrha za postavljanje kolačića zahtijeva zasebnu privolu.

Prema sudu, grupiranje različitih svrha obrade prekršilo bi slobodu odlučivanja i učinilo privolu nevažećom.

„Ova granularnost usko je povezana sa zahtjevom da se privola mora dati u određenu svrhu“, navodi se u obrazloženju presude.

Ovi nedavni događaji potvrđuju stav nadzornih tijela da se pravni okvir, a posebno Direktiva o e-privatnosti, strogo primjenjuje na privolu, posebno za nebitne kolačiće.

Vlasti više ne toleriraju „zadane“ privole ili nejasna informacijska sučelja.

       

Senat ga je ispitivao ovog ljeta, Anton Carniaux, direktor za javne i pravne poslove u Microsoftu France, priznao je da ne može "jamčiti" da podaci francuskih građana smještenih u Europi nikada neće biti preneseni američkoj vladi. prema Zakonu o oblaku, iako se "to nikada nije dogodilo".

U ovom kontekstu ovisnosti o američkim divovima, danska vlada je najavila službeno pokretanje inicijative za procjenu integracije rješenja otvorenog koda unutar svojih javnih službi.

Dana 9. rujna, DGE i DGCCRF objavili su nacrt imenovanja nacionalnih tijela zaduženih za provedbu europske uredbe o umjetnoj inteligenciji.

Dokument uključuje dijagram koji prikazuje – brojna – nadležna tijela prema relevantnim člancima uredbe i svrhe obrade podataka umjetnom inteligencijom.

Zahvaljujući radu zamjenika voditelja pravne misije DINUM-a, sada je moguće konzultirati kartu CNIL-ovih kontrola po godinama i sektorima djelovanja.

Mapiranje se usredotočuje na te kontrole i ne uključuje sve akcije CNIL-a kao što su podizanje svijesti na terenu, formalne obavijesti, sankcije itd.

Temelji se na podacima koje CNIL objavljuje na data.gouv.

 

Europske institucije i tijela

Europske vijesti su u ovo doba godine užurbane zbog aktivnosti institucija, a posebno Suda Europske unije (SEU).

Prijedlog uredbe o kontroli komunikacija („Kontrola chata“), usmjerene na sprječavanje i borbu protiv seksualnog zlostavljanja djece, ponovno je na dnevnom redu Europskog vijeća 12. rujna 2025. pod danskim predsjedanjem.

Revidirani prijedlog predviđa mogućnost skeniranja komunikacija na korisnikovom terminalu prije slanja te predstavlja, u očima mnogih znanstvenika i civilnog društva, korak unatrag u usporedbi s tekstom poljskog predsjedništva.

Novo otvoreno pismo (četvrto na ovu temu) koje je potpisalo više od 600 znanstvenika iz 34 zemlje objavljeno je 8. rujna.

Naglašava neučinkovitost i rizike ovog prijedloga u smislu šifriranja te spominje moguće alternative.

Europska komisija je 4. rujna pokrenula postupak donošenja odluke o adekvatnosti zaštite podataka s Brazilom.

Nakon što bude usvojena, ova će odluka biti prva odluka o adekvatnosti za Latinsku Ameriku od onih koje se odnose na Argentinu 3. lipnja 2003. i Urugvaj 21. kolovoza 2012.

Brazilske vlasti također su pokrenule proces usmjeren na donošenje ekvivalentne odluke kojom bi se omogućio slobodan protok brazilskih podataka u EU.

Sljedeći koraci uključivat će podnošenje nacrta odluke na pregled Europskom odboru za zaštitu podataka (EDPB) i Vijeću ministara koje predstavlja države članice EU-a.

Prijedlog će razmotriti i Europski parlament.

5. rujna, Europska komisija objavila je da će Google kazniti s 2,95 milijardi eura zbog kršenja antimonopolskih pravila EU-a narušavanjem tržišnog natjecanja u sektoru oglašivačke tehnologije („adtech“).

Google je navodno favorizirao vlastite usluge tehnologije online oglašavanja na štetu konkurentskih pružatelja usluga tehnologije oglašavanja, oglašivača i online izdavača.

Komisija je naložila Googleu da prekine ove prakse samopreferenciranja i provede mjere za uklanjanje sukoba interesa svojstvenih njegovom lancu opskrbe adtechom.

Google sada ima 60 dana da obavijesti Komisiju o svojim namjerama.

Ova sankcija izazvala je trenutnu reakciju Sjedinjenih Država, a Donald Trump je naznačio svoju namjeru poduzeti mjere odmazde protiv EU.

Dana 3. rujna, u svojoj odluci T-553/23 | Latombe protiv Komisije, Sud Europske unije odbacio je tužbu zastupnika u Europskom parlamentu Philippea Latombea kojom se traži poništenje treće verzije sporazuma o prijenosu podataka između EU-a i Sjedinjenih Američkih Država. Okvir za zaštitu podataka (DPF), s obzirom na to da Sjedinjene Države „jamče odgovarajuću razinu zaštite osobnih podataka“.

G. je posebno naglasio da američko žalbeno tijelo, "Sud za preispitivanje zaštite podataka" (DPRC), nije nepristrano i ovisi o izvršnoj vlasti.

Također je ukazao na praksu obavještajnih službi koje prikupljaju ogromne količine osobnih podataka koji tranzitiraju iz Europske unije, bez prethodnog odobrenja suca ili neovisnog upravnog tijela, te stoga bez dovoljno jasnih i preciznih smjernica.

Sud odbija zahtjev za poništenje.

Naglašava da je djelovanje DPRC-a podložno nizu zaštitnih mjera, da Europska komisija prati primjenu DPF-a te smatra dovoljnim da obavještajne aktivnosti koje provode američke agencije podliježu ex post sudskom preispitivanju od strane DPRC-a.

Na odluku Suda EU-a može se uložiti žalba Sudu EU-a, a zastupnik Philippe Latombe već je izrazio namjeru da podnese takvu žalbu.

Dana 4. rujna, u važnoj presudi (Slučaj C-413/23 P | EDPB/CRU), Sud EU-a poništio je odluku suda EU-a koja se odnosi na koncept osobnih podataka.

Donosi odluku o žalbi Europskog nadzornika za zaštitu podataka (EDPS) u vezi s presudom suda EU-a kojom je poništena njegova odluka iz 2020.

U ovoj odluci, EDPS je zaključio da je Jedinstveni europski odbor za sanaciju (SRB) prekršio GDPR europskih institucija dostavljanjem komentara vjerovnika i dioničara o stečajnom postupku španjolske banke računovodstvenoj tvrtki.

Sud EU smatra da osobna mišljenja pojedinaca predstavljaju osobne podatke te da ih je Sud trebao tako i tretirati.

Također smatra da se rizik ponovne identifikacije povezan s obradom i prijenosom osobnih podataka mora procijeniti od slučaja do slučaja u trenutku prikupljanja te da je Sud pogriješio poništavanjem početne odluke EDPB-a, dijelom i zato što nije utvrdio sadrži li sadržaj pseudonimiziranih komentara doista osobne podatke.

Međutim, Sud EU-a stao je na stranu CRU-a po pitanju pod kojim uvjetima pseudonimizirani podaci također mogu biti smatrani osobnim podacima, napisavši u svojoj odluci da Pseudonimizirani podaci ne bi se trebali smatrati, u svim slučajevima i za svaku osobu, osobnim podacima u svrhu primjene (GDPR-a) u mjeri u kojoj pseudonimizacija može, ovisno o okolnostima slučaja, učinkovito spriječiti osobe osim kontrolora da identificiraju ispitanika na način da za njih ispitanik nije ili više nije prepoznatljiv.

U drugoj presudi, također od 4. rujna (presuda C 655/23, IP protiv Quirin Privatbank AG), Sud je odlučio o postojanju prava na preventivnu zabranu obrade protiv kontrolora i o opsegu moralne štete.

Sud smatra da GDPR ne nudi preventivni sudski lijek protiv buduće nezakonite obrade, ali da države članice to mogu predvidjeti.

Također je pojasnila da osjećaji poput poniženja ili brige mogu biti dovoljni za utvrđivanje moralne štete, pod uvjetom da se dostavi dokaz.

Dodaje da ozbiljnost krivnje voditelja obrade podataka ili dobivanje sudske zabrane ne bi smjeli utjecati na iznos odštete, koja ostaje isključivo kompenzacijska.

 

Vijesti iz zemalja članica Europske unije.

U Njemačkoj je Savezni radni sud presudio da je poslodavac nezakonito obrađivao zdravstvene podatke zaposlenika prateći ga kako bi provjerio lažira li svoju nesposobnost za rad.

Također je zaposleniku dosudila 1500 eura nematerijalne štete.

Belgijska agencija za zaštitu podataka (APD) opomenula je političara koji je prikupio nečiju adresu e-pošte iz javnog izvora i poslao im političke poruke, kršeći načela zakonitosti, ograničenja svrhe i transparentnosti iz GDPR-a.

U Španjolskoj je tvrtka Loro Parque, koja upravlja zoološkim vrtom i vodenim parkom, kažnjena s 250.000 eura od strane APD-a zbog prikupljanja otisaka prstiju bez prethodne informacije ili pristanka: dotične osobe morale su dati otiske prstiju ako su imale promotivne ulaznice koje su im omogućavale pristup oba parka s jednom ulaznicom.

Osim toga, APD je kaznio Španjolsku gospodarsku komoru s 500.000 eura zbog prijenosa poreznih identifikacijskih brojeva samozaposlenih radnika privatnim tvrtkama bez zakonske osnove.

U Italiji je APD kaznio automobilsku tvrtku s 50.000 eura.

Potonja je organizirala razgovore o "povratku na posao" sa svojim zaposlenicima nakon njihove odsutnosti, što je rezultiralo prekomjernim prikupljanjem podataka, uključujući osjetljive podatke.

APD također ukazuje na kršenje načela transparentnosti i valjanosti privole zaposlenika.

Litvanska agencija za zaštitu podataka (DPA) naredila je tvrtki Vinted da prestane prikupljati telefonske brojeve svojih korisnika u svrhu provjere računa.

U početku je smatrala da razlozi koje je naveo Vinted, naime provjera korisničkih računa i jamstvo sigurnosti platforme, ne predstavljaju bitan aspekt ugovora između voditelja obrade podataka i ispitanika.

Također je napomenula da uvjeti korištenja spominju druge moguće načine provjere identiteta korisnika te da stoga obrada osobnih podataka ne ispunjava kriterij nužnosti utvrđen u članku 6(1)(b) GDPR-a.

Vrhovni upravni sud Nizozemske presudio je da ustanova za mentalno zdravlje nije dužna udovoljiti zahtjevu za brisanje podataka.

Zadržavanje podataka bilo je potrebno prema ugovoru o medicinskom liječenju i za upravljanje uslugama ustanove.

U Poljskoj je ING Bank Śląski kažnjena s 4.300.000 eura zbog skeniranja identifikacijskih dokumenata bez legitimnog razloga ili procjene rizika..

APD je utvrdio da je banka nepotrebno obrađivala osjetljive podatke, uključujući PESEL brojeve i detalje dokumenata, čime je prekršila pristup temeljen na riziku koji zahtijevaju propisi o sprječavanju pranja novca.

 

Kina pooštrava svoja pravila o prijenosu podataka u inozemstvo.

Kineske vlasti javne sigurnosti optužuju Diorovu podružnicu u Šangaju za ilegalno prenošenje podataka o kupcima u sjedište u Francuskoj, bez poštivanja obveznih pravila sigurnosne procjene, obavještavanja korisnika i šifriranja.

Podružnica je bila podvrgnuta upravnoj sankciji.

U Sjedinjenim Državama, 44 državna odvjetnika poslala su pismo 13 tvrtki za umjetnu inteligenciju, uključujući OpenAI, CharacterAI, Repliku i Metu, obavještavajući ih da će biti odgovorne ako nanesu štetu djeci.

Pismo ističe nedavna otkrića u vezi s Metinim tehničkim smjernicama za Meta AI i chatbotove Facebooka, WhatsAppa i Instagrama.

Ovaj dokument, koji su odobrili pravni, politički i tehnički timovi tvrtke, ovlastio je chatbotove da pozivaju djecu na romantične ili zavodljive razmjene s chatbotom, uključujući komentare o dječjem izgledu kao i scenarije igranja uloga.

Microsoftov blog "Tech Community" krajem kolovoza objavio je da najnovije ažuriranje MS Worda za Windows automatski sprema korisničke Word datoteke u svoj oblak (OneDrive) prema zadanim postavkama.

Microsoft predstavlja ovo ažuriranje kao poboljšanje sigurnosti, pristupa, timskog rada i korištenja umjetne inteligencije.

Iako je moguće izmijeniti ove postavke u postavkama Worda, zadano učitavanje dokumenata u američki oblak postavlja pitanja vezana uz GDPR, u vezi s povjerljivošću podataka i pitanjem dostupnosti tih podataka od strane javnih tijela SAD-a.

Pametne naočale "Halo" izazivaju zabrinutost među stručnjacima za umjetnu inteligenciju.

L. Jarosvsky izvještava da su ove nove naočale uvijek uključene, snimaju sve i nemaju indikator koji bi upozorio ljude da se snimaju.

U intervjuu za TechCrunch, osnivači Hala navodno su se odrekli odgovornosti, navodeći da je u američkim državama gdje je ilegalno tajno snimati razgovore bez pristanka druge osobe, na korisniku da dobije taj pristanak prije korištenja naočala.