Pravni nadzor br. 70 – travanj 2024.

Prijenos podataka izvan EU: trenutna situacija.

Situacija s međunarodnim prijenosom podataka postaje jasnija kako se donose institucionalne odluke i stavovi. 

Stoga smo primijetili nekoliko nedavnih inicijativa na europskoj i nacionalnoj razini usmjerenih na olakšavanje protoka podataka uz poštivanje temeljnih prava.

Na sastanku održanom 4. ožujka s predstavnicima petnaest zemalja koje su već prepoznate kao odgovarajuće, Europska komisija je time pokazala svoju spremnost za proširenje oblika međunarodne suradnje EU-a.

Dok je Komisija u prošlosti favorizirala suradnju s Vijećem Europe usmjerenu na ljudska prava, europski povjerenik za pravosuđe u ožujku je spomenuo i bližu suradnju s OECD-om, organizacijom čiji su pogledi usmjereni na gospodarski razvoj.

 Dotične zemlje, u Americi i Aziji, imaju pristupe zaštiti privatnosti koji se značajno razlikuju od onih u Europskoj uniji.

Vrijedi podsjetiti da je Europska komisija u siječnju obnovila odluke o adekvatnosti svih zemalja koje su već imale koristi od pozitivne odluke.

To je također izazvalo reakcije u trenutnom političkom kontekstu, s otvorenim pismom koje je podržalo 11 organizacija civilnog društva 22. travnja u kojem se od europskog povjerenika za pravosuđe traži da pojasni svoju odluku o obnovi odluke o adekvatnosti u vezi s Izraelom.

 U pismu se posebno dovodi u pitanje usklađenost s kriterijima adekvatnosti u vezi s obradom podataka u svrhu nacionalne sigurnosti, poštivanje ljudskih prava, vladavina prava i pristup pravosuđu.

Prijenosi su, naravno, i dalje mogući u zemlje koje nisu obuhvaćene odlukom o adekvatnosti, pod uvjetom da su, na primjer, usvojene standardne ugovorne klauzule ili da su unutar grupe tvrtki uvedena obvezujuća pravila koja uređuju prijenos podataka.

Kako bi podržao grupe u ovom procesu, CNIL je upravo objavio alat za samoprocjenu.

Ovo je upitnik koji nam omogućuje provjeru razine zrelosti projekta u odnosu na zahtjeve BCR standarda koje je usvojio Europski odbor za zaštitu podataka (EDPB).

CNIL preporučuje testiranje projekta prije podnošenja BCR-ova na odobrenje.

Alat omogućuje provjeru učinkovite provedbe sljedećih obveza:

• Režim odgovornosti temeljen na europskom sjedištu ili europskoj podružnici odgovornoj po delegiranju za zaštitu podataka;
• Postupak osposobljavanja osoblja;
• Postupak revizije za osiguranje usklađenosti s GCR-ima;
• Interni postupak rješavanja pritužbi;
• Mreža službenika za zaštitu podataka ili kvalificiranih zaposlenika za praćenje usklađenosti s pravilima;
• Postupak za utvrđivanje prikladnosti provođenja procjene utjecaja na privatnost (PIA);
• Za BCR-ove „podizvođača“, obveze podizvođača prema voditelju obrade podataka;
• Odgovarajuće tehničke i organizacijske mjere za osiguranje usklađenosti s načelima zaštite podataka.

CNIL nudi interaktivnu kartu svijeta za utvrđivanje statusa svake zemlje u pogledu zaštite podataka, a popis zemalja koje imaju koristi od odluke o adekvatnosti dostupan je na mrežnim stranicama Europske komisije.

 

CNIL je 4. travnja izrekao kaznu od 525.000 eura tvrtki HUBSIDE.STORE. zbog provođenja kampanja za istraživanje tržišta korištenjem osobnih podataka dobivenih putem obmanjujuće dizajniranih obrazaca, koji nisu omogućili voditelju obrade da dobije valjanu privolu.

Dana 25. ožujka, državni tajnik za digitalna pitanja predstavio je francuski strateški plan za digitalno desetljeće. u prisutnosti glavnog ravnatelja za komunikacijske mreže, sadržaj i tehnologiju (DG Connect) Europske komisije.

„Plan je strukturiran oko četiri područja rada usmjerena na postizanje ciljeva „digitalnog desetljeća“:

• Digitalne vještine,
• Digitalna infrastruktura,
• Digitalna transformacija poduzeća i
• Digitalizacija javnih usluga.

La Quadrature du Net podnio je 2. svibnja pritužbu CNIL-u protiv postavljanja algoritamskog video nadzora (VSA). što ona smatra nezakonitim.

Projekt Prevent PCP, koji okuplja SNCF i RATP s panelom tvrtki, uključujući Atos grupu i ChapsVision, poprima oblik javnog ugovora koji tvrtkama omogućuje postavljanje svojih VSA sustava na glavnim kolodvorima diljem Europe kako bi otkrile "napuštenu prtljagu", putem metode koja se temelji na identifikaciji i praćenju vlasnika prtljage.

U Francuskoj su ovi VSA sustavi već mjesecima raspoređeni na Gare du Nord i Gare de Lyon u Parizu ili, u novije vrijeme, na Gare de Marseille-Saint-Charles.

 

Europske institucije i tijela

Europski odbor za zaštitu podataka (EDPB) usvojio je sredinom travnja svoj program rada za razdoblje 2024. – 2027.

Tijekom sljedeće četiri godine, EDPB će nastaviti promicati usklađenost s GDPR-om razvojem praktičnih smjernica i materijala za širu publiku.

Suradnja u primjeni zakonodavstva također ostaje prioritet. 

Novi aspekt strategije je naglasak na interakciji s novim digitalnim regulatornim okvirom.

EDPB će i dalje posvećivati posebnu pozornost izazovima koje predstavljaju nove tehnologije, poput umjetne inteligencije.

EDPB je također 17. travnja zauzeo stav u vezi s modelom "plati ili prihvati kolačiće" nametnutim korisnicima glavnih online platformi.

U studenom 2023., Meta je uvela mjesečnu naknadu za korisnike koji su odbili biti praćeni u svrhu personaliziranog oglašavanja.

Organizacije za građanska prava reagirale su podnošenjem nekoliko pritužbi nadležnim tijelima za zaštitu podataka (DPA), koja su od EDPB-a zatražila obvezujuće mišljenje o tom pitanju.

Ovo mišljenje dovodi u pitanje model koji nameću Meta i slične platforme: za odbor, „u većini slučajeva velike online platforme neće moći ispuniti zahtjeve valjane privole ako korisnike suoče samo s binarnim izborom između pristanka na obradu osobnih podataka u svrhu bihevioralnog oglašavanja i plaćanja naknade.“

Odbor ponavlja da privola mora biti data slobodno i da bi alternativa kojom se nameće odvraćajuća plaća isključila slobodno danu privolu.

Potiče platforme da implementiraju alternativni model oglašavanja temeljen na ograničenijem prikupljanju osobnih podataka.

Inicijativa Europske komisije za poticanje velikih tehnoloških tvrtki da se dobrovoljno obvežu na "obavezu kolačića", što bi smanjilo praćenje korisnika interneta i ojačalo njihov pristanak, nije uspjela dobiti na značaju.

Prema glasnogovorniku Komisije u razgovoru za Euronews, većina tvrtki smatra da je uvođenje dobrovoljnog pristupa digitalnom oglašavanju "preuranjeno s obzirom na nedavno stupanje na snagu novog zakonodavstva u ovom području, kao što su Uredba o digitalnim uslugama (DSA) i Uredba o digitalnim tržištima (DMA)."

Dana 11. travnja, Sud EU-a presudio je da voditelj obrade podataka nije oslobođen odgovornosti za štetu prema GDPR-u samo zato što osoba koja djeluje pod njegovim ovlaštenjem nije slijedila njegove upute.

Za procjenu iznosa štete koja se duguje kao naknada, kriteriji utvrđeni za određivanje upravnih novčanih kazni ne bi se trebali uzimati u obzir.

Generalni odvjetnik Suda pravde EU-a iznio je svoje mišljenje 25. travnja u predmetu koji se odnosi na Metino korištenje podataka koje je objavio podnositelj pritužbe.

Prema AG-u, primjena „načela minimiziranja podataka“ ograničava korištenje osobnih podataka u reklamne svrhe, čak i ako su korisnici pristali na oglašavanje.

Ovo načelo primjenjuje se bez obzira na pravnu osnovu obrade: čak ni korisnik koji pristane na personalizirano oglašavanje ne može imati svoje osobne podatke koji se koriste neograničeno.

Nadalje, načelo „ograničenja svrhe“ utvrđeno u članku 5(1) GDPR-a ostaje primjenjivo u kontekstu „web scrapinga“: javno dostupne informacije (osjetljive u ovom slučaju) ne mogu se prikupljati i obrađivati u druge svrhe kao što je ciljano oglašavanje.

Nevladina organizacija noyb podnijela je pritužbu austrijskom tijelu za zaštitu podataka (APD) u vezi s "halucinacijama" ChatGPT-a koje bi kršile načela GDPR-a.

Max Schrems, direktor noyba, rekao je da je njegovu pritužbu potaknula činjenica da ChatGPT nije naveo njegov točan datum rođenja i zamijenio ga nategnutom pretpostavkom, dok chatbot ne obavještava korisnike da nema točne podatke za odgovor na zahtjev.

Tvrtka za umjetnu inteligenciju navodno je odbila ispraviti ili izbrisati netočne odgovore i ne otkriva nikakve informacije o obrađenim podacima, njihovim izvorima ili primateljima.

Od stupanja na snagu Zakona o digitalnim uslugama (DSA) u kolovozu 2023., glavne online platforme i tražilice („VLOP“ i „VLOSE“) moraju osigurati javno dostupne i transparentne repozitorije oglasa.

Novo izvješće tvrtke Mozilla, u suradnji s CheckFirst, ispituje ovaj problem za usluge koje nudi 11 tvrtki, uključujući AliExpress, Appleov App Store, Bing, Booking.com, Alphabet (Google pretraživanje i YouTube), LinkedIn ili Meta (Facebook i Instagram).

U izvješću se navodi „velika razlika između platformi“ i da nijedna od njih nema „potpuno funkcionalno spremište oglasa i nijedna neće istraživačima i skupinama civilnog društva pružiti alate i podatke koji su im potrebni za učinkovito praćenje utjecaja VLOP oglasa na nadolazećim izborima u Europi“ (putem GDPRtoday).

  

Vijesti iz zemalja članica Europe.

Belgijsko tijelo za zaštitu podataka (APD) smatralo je 2. travnja da bi prikupljanje digitalnog otiska prsta s terminala korisnika („online otisak prsta“) u načelu trebalo biti utemeljeno na pristanku dotične osobe.

Ova tehnika omogućuje kontroloru podataka da ponudi usluge koje identificiraju posjetitelja web stranice čak i prilikom pregledavanja u anonimnom načinu rada ili korištenja VPN-a, dodjeljivanjem jedinstvenog identifikatora.

U kombinaciji s lokacijom korisnika, ovaj identifikator omogućuje praćenje, između ostalog, broja posjeta korisnika.

APD je izdao upozorenje posebno zbog nepružanja informacija i korištenja kontaktnih podataka dotične osobe za slanje marketinških e-poruka.

Tvrtka za kibernetičku sigurnost i antivirusni program Avast kažnjena je s 13,7 milijuna eura od strane češke Agencije za zaštitu podataka (APD) nakon žalbe, što je najveća kazna koju je APD ikada izrekao.

Tvrtka nije anonimizirala podatke pregledavanja više od 100 milijuna korisnika prije nego što ih je podijelila s trećim stranama u svrhu analize tržišta.

Vrijedi podsjetiti da je Avast u veljači u Sjedinjenim Državama sankcioniran i od strane Federalne trgovinske komisije (FTC) te je bio prisiljen platiti iznos veći od 18 milijuna dolara.

Također je predmet kolektivne tužbe u Nizozemskoj zbog istih prekršaja.

U Finskoj je haker odgovoran za hakiranje pacijentskih kartona u psihoterapijskom centru Vastaamo, koji je za ukradene podatke tražio otkupninu od 400.000 eura, osuđen na šest godina i tri mjeseca zatvora od strane Okružnog suda Uusimaa West. 

Hakiranje uključuje zapise otprilike 33 000 pacijenata, što je neviđen broj žrtava u finskoj pravnoj povijesti. 

U to vrijeme, APD je izrekao Vastaamu administrativnu kaznu od 608.000 eura zbog kršenja GDPR-a, zanemarivanja obveza u vezi sa sigurnom obradom osobnih podataka i odgađanja prijavljivanja povrede podataka.

Bivši izvršni direktor tvrtke prošle je godine osuđen na tri mjeseca zatvora, uvjetno, zbog nezaštite osjetljivih osobnih podataka.

Tvrtka je od tada podnijela zahtjev za stečaj.

U Nizozemskoj je telekomunikacijska grupa Odido, ranije poznata kao T-Mobile Nederland, kažnjena sa 175.000 eura. od strane inspekcije digitalne infrastrukture zbog pogrešne obrade podataka o prometu u sklopu zajedničkog projekta s nacionalnom agencijom za statistiku.

Projekt je imao za cilj razviti algoritam sposoban pružiti informacije o kretanju velikih skupina ljudi, ali Odidovi procesi kršili su zakon o privatnosti: Odido se pobrinuo za pseudonimizaciju obrađenih podataka, ali bez da je itko od klijenata bio obaviješten o studiji.

Grčka agencija za zaštitu podataka (APD) izrekla je kaznu od 2.995.140 eura Helenskoj pošti. zbog neuspjeha u provođenju odgovarajućih sigurnosnih mjera, što je rezultiralo povredom podataka koja je utjecala na više od 4 milijuna ljudi.

Španjolska agencija za zaštitu podataka (AEPD) odlučila je izreći banci kaznu od 2.000.000 eura zbog neuspjeha u dobivanju privole pojedinaca na koje se odnosi obrada njihovih osobnih podataka.

Kontrolor podataka, nakon što je priznao svoj propust, na kraju je platio smanjenu kaznu od 1.200.000 eura. 

Doista, španjolski zakon (39/2015) o administrativnim postupcima omogućuje kontroloru da prizna odgovornost za navodno kršenje i/ili plati kaznu koju je predložio AEPD u fazi istrage u zamjenu za smanjenje iznosa kazne od 40 %.

AEPD je također kaznio kontrolora podataka s 3.500.000 eura zbog neprovođenja odgovarajuće procjene rizika. i koji je zanemario sigurnosne nedostatke koji su se mogli izbjeći, što je rezultiralo kršenjem podataka koje je utjecalo na 1,3 milijuna ljudi.

U Švedskoj je Tijelo za zaštitu podataka (APD) izdalo opomenu kontroloru podataka jer je od ispitanika tražio da dostave kopiju svog identifikacijskog dokumenta. kao i dokumenti potpisani poštom u kontekstu zahtjeva za brisanje podataka, kada nije postojao razuman razlog za sumnju u identitet dotičnih osoba.

 

Grindr je bio predmet kolektivne tužbe u Ujedinjenom Kraljevstvu. tvrdeći da je LGBTQ aplikacija za upoznavanje dijelila osjetljive podatke o svojim korisnicima, poput njihovog HIV statusa i seksualne orijentacije, s oglašivačima.

Prema izvješću BBC-a, aplikacija je navodno koristila "tajnu tehnologiju praćenja" kako bi ilegalno prikupljala i dijelila te podatke s trećim stranama (putem GDPRtoday).

Vijeće OECD-a je 3. svibnja usvojilo revizije Načela o umjetnoj inteligenciji.

Kao odgovor na nedavni razvoj tehnologija umjetne inteligencije, uključujući pojavu generalističke i generativne umjetne inteligencije, ažurirana načela izravnije se bave izazovima povezanim s umjetnom inteligencijom u pogledu privatnosti, prava intelektualnog vlasništva, sigurnosti i integriteta informacija.

U Sjedinjenim Državama, članak 702. Zakona o nadzoru stranih obavještajnih službi (FISA) SAD-a upravo je ponovno odobren na dvije godine.

Ovaj odjeljak, koji ovlašćuje ograničeni nadzor određenih komunikacija bez naloga, Kongres mora redovito obnavljati.

Glasanje je navodno bilo kontroverzno, budući da je Kongres razmatrao nekoliko prijedloga za ažuriranje teksta zakona: prema Associated Pressu, postojalo je neslaganje oko toga treba li FBI biti ograničen u korištenju zakona za špijuniranje Amerikanaca.

Senat je konačno usvojio zakon 20. travnja uz vrlo malo izmjena teksta.

Senat je 23. travnja usvojio Zakon o zaštiti Amerikanaca od aplikacija pod kontrolom stranih protivnika, prijedlog zakona koji je široko opisan kao zabrana TikToka.

Američki predsjednik Joe Biden upravo je potpisao zakon koji će prisiliti kinesku platformu da odvoji svoje američke operacije od operacija svoje matične tvrtke ByteDance ili da prihvati da američki građani više neće moći koristiti uslugu. TikTok je već najavio pravne mjere.

Prijedlog naloga američke Federalne trgovinske komisije (FTC) od 15. travnja optužuje tvrtku za telezdravlje u području mentalnog zdravlja za kršenje njezine politike privatnosti i obmanjivanje korisnika o njezinoj politici otkazivanja usluga.

FTC namjerava kazniti Cerebral i njegovog izvršnog direktora sa 7 milijuna dolara zbog prikupljanja osobnih podataka o svojim kupcima i njihove prodaje trećim stranama.

Europski sud za ljudska prava trenutno se bavi s nekoliko tisuća slučajeva koji se odnose na osude u Turskoj za članstvo u oružanoj terorističkoj organizaciji, na temelju navodne upotrebe aplikacije za šifrirane poruke pod nazivom "Bylock".

Podnositelji zahtjeva tvrde da su njihove osude bile utemeljene na njihovoj navodnoj upotrebi ove aplikacije koja je, prema turskim sudovima, bila namijenjena isključivo članovima FETÖ/PDY pod krinkom globalne aplikacije.

Svatko tko je koristio Byllock mogao bi, u načelu, prema njihovom mišljenju, biti osuđen samo na toj osnovi za pripadnost naoružanoj terorističkoj organizaciji.