Pravni nadzor br. 65 – studeni 2023.

Pritužbe i sankcije: što je program za tijela za zaštitu podataka za 2024. godinu?

Stupanje na snagu GDPR-a dovelo je do povećane svijesti o zaštiti podataka, kako među voditeljima obrade podataka tako i među pojedincima.

To je rezultiralo porastom pritužbi upućenih službenim razvojnim agencijama, koje se ponekad optužuju da ne postupaju po tim pritužbama zbog nedostatka dovoljnih resursa.

Dok je u Ujedinjenom Kraljevstvu "povjerenik za informiranje" odlučio da više neće rješavati određene vrste pritužbi koje se smatraju neprioritetnima, u Europskoj uniji vlasti su u načelu dužne rješavati svaku pritužbu, naravno pod uvjetom da je dopuštena.

Stoga je Norveška komisija za žalbe na privatnost poništila odluku tijela za zaštitu podataka o zatvaranju slučaja pritužbe jednostavnim informativnim pismom voditelju obrade, obvezujući voditelja obrade da procijeni zakonitost obrade i naglašavajući da tijelo za zaštitu podataka ne može slobodno birati koje će slučajeve istražiti, a koje ne.

U Francuskoj je CNIL 2022. uveo pojednostavljeni postupak sankcija, što mu omogućuje bržu obradu određenih vrsta pritužbi.

To su slučajevi za koje postoji utvrđena sudska praksa, odluke koje je prethodno donijelo ograničeno vijeće ili činjenična ili pravna pitanja koja se pokažu jednostavnima za odlučivanje.

Postupak je pisani, ali omogućuje dotičnoj organizaciji da bude saslušana i da iznese usmena zapažanja.

Sankcije su u ovoj konfiguraciji ograničenije i mogu se sastojati od upozorenja, naloga za usklađivanje obrade - uključujući kaznu do 100 eura po danu kašnjenja ili administrativne novčane kazne do 20.000 eura.

CNIL je upravo sankcionirao deset privatnih i javnih aktera s ukupno 97.000 eura kazni zbog kršenja propisa:

• Na obvezu odgovaranja na zahtjeve CNIL-a;
• Za minimizaciju podataka;
• Informacije o provedenoj obradi i njezinim svrhama;
• Obveza poštivanja prava pojedinaca, a posebno odgovora na zahtjev za prigovor.

CNIL ističe da se dva problema posebno ističu među pritužbama s kojima se morao suočiti: geolokacija i stalni video nadzor zaposlenika.

Obrada koja se provodi često se provodi kršeći načelo minimizacije podataka predviđeno GDPR-om.

Komisija posebno napominje da „kontinuirano snimanje podataka o geolokaciji, bez mogućnosti da zaposlenici zaustave ili privremeno obustave uređaj tijekom pauza, predstavlja, osim ako nije posebno opravdano, pretjerano kršenje slobode kretanja i prava na privatnost zaposlenika.“

Isto vrijedi i za sustave video nadzora koji neprestano snimaju zaposlenike na njihovim radnim mjestima.

„Sprječavanje nesreća na radu i utvrđivanje dokaza ne opravdavaju provedbu kontinuiranog video nadzora radnih mjesta“, a prikupljeni osobni podaci ne čine se adekvatnima ili relevantnima.

Stalno praćenje zaposlenika je, uz rijetke iznimke, nesrazmjerno ciljevima koji se žele postići.

CNIL najavljuje svoju namjeru da 2024. godine pojača svoju represivnu politiku i da donosi odluke u kraćim rokovima.

Treba napomenuti da su, u okviru svoje suradnje na europskoj razini, DPA-ovi koji su članovi Europskog odbora za zaštitu podataka odlučili sljedeće godine dati prioritet pravima pojedinaca. Njihovo koordinirano djelovanje usredotočit će se na to kako kontrolori podataka odgovaraju na zahtjeve pojedinaca za pristup njihovim podacima, temu koja bi trebala biti uključena u nadolazeće pojednostavljene postupke sankcija CNIL-a.

 

  

• CNIL je 15. studenog objavio Referentni vodič o razdobljima zadržavanja za najčešće tretmane u socijalnom i medicinsko-socijalnom sektoru i praktični vodič koji nudi metodologiju dotičnim stručnjacima.
• U partnerstvu s francuskim tijelom za zaštitu tržišnog natjecanja (AdlC) i Ekonomskim fakultetom u Toulouseu, CNIL organizira događaj 12. prosinca pod nazivom "Zaštita podataka i tržišno natjecanje: Zajednička ambicija". Tijekom ovog poludnevnog događaja za regulatore, istraživače i stručnjake, AdlC i CNIL će usvojiti i predstaviti zajedničku deklaraciju.
• Dana 9. studenog 2023. CNIL (Francusko tijelo za zaštitu podataka) izdalo je upozorenje Ministarstvu transformacije i javnih službi te Ministarstvu gospodarstva, financija, industrije i digitalnog suvereniteta zbog korištenja kontaktni podaci više od dva milijuna javnih dužnosnika kako bi se komunicirao i opravdao projekt mirovinske reforme koji se tada usvaja.

Ministar je koristio ENSAP, digitalnu platformu na kojoj su dostupni povjerljivi dokumenti javnih dužnosnika, poput njihove mjesečne platne liste. 

Ograničeni panel CNIL-a posebno je podsjetio da se platforma ENSAP ne može koristiti za komunikaciju političke prirode.

• U odluci od 16. studenog, Ustavno vijeće osuđuje daljinska aktivacija mobilnih telefona za snimanje zvuka i slike predviđeno zakonom o orijentaciji i programiranju pravosuđa u vezi s organskim zakonom koji se odnosi na otvaranje, modernizaciju i odgovornost pravosudnog tijela.

Vijeće smatra da će ova daljinska aktivacija, bez potrebe da istražitelji fizički pristupe privatnim prostorijama kako bi postavili nadzorne uređaje, vjerojatno uzrokovati posebno značajno i nesrazmjerno kršenje prava na poštovanje privatnog života.

Također naglašava da ova mjera omogućuje praćenje i onih na koje se istrage odnose i trećih strana. 

Međutim, Ustavno vijeće ne osuđuje daljinsku aktivaciju elektroničkih uređaja u svrhu geolokacije.

• Privremenom naredbom od 22. studenog 2023., upravni sud u Caenu presudio je da Algoritamski sustav video nadzora Briefcam koji koristi međuopćinska vlast Cœur Côte Fleurie (uključujući Deauville-Trouville) predstavlja ozbiljno i očito nezakonito kršenje prava na privatnost te je naložio odgovornima da izbrišu osobne podatke koji proizlaze iz korištenja softvera.

Sudac je u vijeću primijetio da je korištenje bilo izvan bilo kakvog pravnog ili regulatornog okvira te je smatrao da "nije utvrđeno, niti se tvrdilo, da se druga, manje nametljiva sredstva u pogledu privatnosti nisu mogla primijeniti kako bi se očuvao javni red".

• Dana 8. studenog 2023. koalicija od šest organizacija, uključujući La Quadrature du Net i EDRi, podnijela je žalbu Državnom vijeću protiv francuske uredbe kojom se provodi uredba o borbi protiv širenja terorističkog sadržaja na internetu.

Traže od Državnog vijeća da uputi prethodno pitanje Sudu Europske unije (CJEU) o valjanosti TERREG-a u odnosu na temeljna prava zaštićena pravom Europske unije te ukazuju na povrede slobode izražavanja i prava na informacije na internetu.

 

 

Europske institucije i tijela

• Odbori za okoliš i građanske slobode Europskog parlamenta usvojili su svoj stav 28. studenog. stvaranje europskog prostora zdravstvenih podataka kako bi se potaknula prenosivost osobnih zdravstvenih podataka i sigurnije dijeljenje.

Zastupnici u Parlamentu žele, posebno, uvesti obvezu dobivanja izričitog odobrenja pacijenata za sekundarnu upotrebu njihovih zdravstvenih podataka.

• Europska unija usvojila je reviziju uredbe eIDAS, otvarajući put za uvođenje digitalnog identiteta diljem EU.

Neki aspekti ostaju sporni, posebno "Kvalificirani certifikati za web autentifikaciju" (QWAC), koji će od preglednika zahtijevati da prihvate korijenske certifikate koje izdaje vlada, a osmišljene su za sprječavanje prijevara i krađe identiteta, što neki stručnjaci za kibernetičku sigurnost smatraju rizikom od upada u web autentifikaciju: dobavljači preglednika ne bi mogli odbiti QWAC, čak i ako predstavlja sigurnosnu prijetnju.

• Dok Pregovori o budućoj regulaciji umjetne inteligencije su u tijeku U trenutku pisanja ovog teksta, brojna pitanja ostaju neodgovorena, uključujući razmatranje temeljnih modela poput ChatGPT-a u propisima.

Izjava o stavu civilnog društva priopćena europskim pregovaračima 16. studenog također naglašava pitanje opsega zaštite od štete povezane s korištenjem umjetne inteligencije u policijske, migracijske i sigurnosne svrhe.

• Europski odbor za zaštitu podataka (EDPB) donio je 14. studenog smjernice u vezi s tehničkim opsegom članka 5(3) Direktive o e-privatnosti.

Odbor objašnjava da Pojava novih metoda praćenja usmjerenih na zamjenu postojećih alata za praćenje poput kolačića i stvaranje novih poslovnih modela postala je velika briga. u smislu zaštite podataka.

Smjernice se posebno odnose na "otisak prsta uređaja" i najčešće tehnike kao što su praćenje URL-ova i piksela, praćenje samo IP-a, izvještavanje o internetu stvari (IoT) i jedinstveni identifikatori.

• Europski nadzornik za zaštitu podataka (EDPS) objavio je sredinom studenog "TechDispatch" posvećen objašnjiva umjetna inteligencija („objašnjiva umjetna inteligencija“), kako bi se riješio učinak „crne kutije“ umjetne inteligencije.

Bavi se pitanjem rizika netransparentnih AI sustava i opisuje kako AI može uključiti transparentnost, interpretabilnost i objašnjivost.

EDPS je također 8. studenog objavio studiju o biti temeljnih prava na poštovanje privatnosti i zaštitu osobnih podataka.

Ovaj dokument ispituje zahtjev za poštovanjem „biti“ tih prava kada su ograničena prema pravu Europske unije (EU).

• U odluci od 9. studenog, Sud EU-a pojasnio je svoje tumačenje osobnih podataka.

Osjećala je da Identifikacijski brojevi vozila, kao takvi, nisu osobni podaci..

Međutim, oni postaju osobni podaci kada osoba (fizičko) koja im ima pristup ima sredstva za identifikaciju vlasnika vozila.

• Sud EU-a donio je 7. prosinca dvije važne presude u vezi s dominantnim pružateljem usluga kreditnih informacija („Schufa“) u Njemačkoj.

Sud je, posebno, naveo da Automatizirana procjena kreditne sposobnosti („bodovanje“) podliježe općoj zabrani u skladu s člankom 22. GDPR-a.

Dodaje da tvrtka koja utvrđuje kreditni rezultat automatiziranim sredstvima i dalje podliježe članku 22., čak i ako se druga tvrtka oslanja na taj rezultat kako bi donosila odluke koje imaju (negativan) utjecaj na dotičnu osobu. – obrazloženje koje bi moglo utjecati na sustave potpomognute umjetnom inteligencijom.

Sud je također potvrdio da nacionalni sudovi imaju široke ovlasti za nadzor tijela za zaštitu podataka.

• Europski sud za ljudska prava objavio je u studenom dokument u kojem navodi svoju sudsku praksu o zaštiti osobnih podataka.
• ENISA, Agencija Europske unije za kibernetičku sigurnost, objavila je Pregled kibernetičkih prijetnji po sektorima aktivnosti za 2023. godinu.

Prema izvješću „Threat Landscape 2023“, javna uprava i vlade ostaju glavne mete, a slijede ih zdravstveni, proizvodni, prometni i financijski sektori.

• Dana 28. studenog, nevladina organizacija noyb podnijela je pritužbu protiv Mete austrijskom tijelu za zaštitu podataka.

DUGO osporava "izbor" koji je dan europskim korisnicima između pristanka na praćenje u svrhu personaliziranog oglašavanja ili plaćanja do 251,88 eura godišnje "kako bi očuvali svoje temeljno pravo na zaštitu podataka na Instagramu i Facebooku." 

U istom kontekstu, Europska organizacija potrošača (BEUC) podnijela je 30. studenog pritužbu Mreži za zaštitu potrošača (CPC) u kojoj tvrdi da se Meta bavi nepoštenim poslovnim praksama.

Također procjenjuje krši li Meta GDPR.

• 110 organizacija civilnog društva poziva kreatore politika EU-a da odbace tekuću reformu EURODAC-a.

Baza podataka, osmišljena za prikupljanje i pohranu podataka o tražiteljima azila, "bila bi transformirana u alat za nadzor koji bi osobe koje traže zaštitu tretirao kao osumnjičenike za kaznena djela, uključujući djecu od 6 godina čiji bi otisci prstiju i slike lica bili integrirani u bazu podataka".

 

Vijesti iz zemalja članica Europe.

• U Belgiji je APD 23. studenog, u slučaju nadzora na radnom mjestu, utvrdio da kontinuirano praćenje rada kamerama nije u skladu s načelom minimalne obrade podataka.

Odjel za sporove APD-a izjavio je da se radi o ozbiljnom kršenju, ali, budući da se radilo o maloj tvrtki, obavijestio ju je o kršenju i zatražio da obradu uskladi bez izricanja kazne.

• Dansko tijelo za zaštitu podataka odbacilo je plan grada Kopenhagena za razvoj alata umjetne inteligencije za identifikaciju građana kojima je potrebna rehabilitacija, jer nacionalno zakonodavstvo na koje se poziva u svrhu članka 6(1)(e) i članka 6(3) GDPR-a nije bilo dovoljno specifično u pogledu opsega korištenja umjetne inteligencije.
• Njemački savezni radni sud provedena odluka Suda EU-a C-453/21, uzimajući u obzir da Predsjednik radničkog vijeća podružnice s pravom je razriješen dužnosti službenika za zaštitu podataka grupe tvrtki zbog sukoba interesa između te dvije uloge.
• U Nizozemskoj, ODA je 24. studenog nametnuo korektivne mjere agenciji za osiguranje zaposlenika (Uitvoeringsinstituut Werknemersverzekeringen – UWV) u vezi sa 703 osobe koje primaju naknade.

Do početka ove godine, UWV je ilegalno pratio online ponašanje tih ljudi koji su primali naknadu za nezaposlenost koristeći algoritam.

• U kontekstu postupka prema članku 60. GDPR-a, Irska agencija za zaštitu podataka (DPA) ukorila je Airbnb Ireland zbog kršenja načela minimizacije podataka i ograničenja pohrane. i zbog nevažećeg pozivanja na članak 6(1)(f) GDPR-a kao osnovu za obradu prilikom zadržavanja identifikacijskih dokumenata ispitanika.
• Talijanski APD pokrenuo je krajem studenog istragu na javnim i privatnim web stranicama kako bi provjerio usvajanje Odgovarajuće sigurnosne mjere za sprječavanje masovnog prikupljanja (webscrapinga) osobnih podatakaod strane trećih strana u svrhu treniranja algoritama umjetne inteligencije.
• Regionalni sud u Berlinu procijenio da LinkedIn sudjelovao je u nepoštenim poslovnim praksama i kršio GDPR, ne uzimajući u obzir korištenje Parametri "Ne prati" (DNT) kao prigovor na obradu i prethodnim označavanjem postavke "vidljivost izvan LinkedIna" kada korisnici prvi put kreiraju račun.

DNT-ovi, unatoč nedostatku standardizacije, predstavljaju, prema sudu, učinkovit prigovor na obradu podataka: drugim riječima, pravo na prigovor predviđeno GDPR-om može se ostvariti i automatiziranim sredstvima kao što su postavke preglednika.

• Ministri za digitalnu tehnologiju i tehnologiju G7 i OECD sastali su se virtualno 1. prosinca 2023. kako bi nastavili rasprave usmjerene na operacionalizaciju „Slobodnog protoka podataka s povjerenjem“ (DFFT) s ciljem olakšavanja prekograničnog protoka podataka.

Napredak i sljedeći koraci detaljno su opisani u priopćenju za medije dostupnom na internetu.

• Izvršni direktori najvećih platformi društvenih medija pojavljuju se pred pravosudnim odborom američkog Senata 6. prosinca kako bi svjedočila o seksualnom iskorištavanju djece i navodnom neuspjehu tvrtki u zaštiti djece na svojim platformama.
• Australska vlada je javno reagirala na Izvješće o pregledu Zakona o privatnosti objavljeno 28. rujna 2023. i potvrđuje svoju predanost jačanju australskih standarda privatnosti kako bi ih bolje uskladila s globalnim standardima.

 

Niz prijedloga imao bi za cilj uvesti dodatne zaštite u vezi s privatnošću djece.

• Elon Musk je najavio da će Grok, njegov chatbot za umjetnu inteligenciju, biti operativan početkom prosinca.

Razvijen od strane xAI-a, Muskove tvrtke za umjetnu inteligenciju, chatbot će biti značajka unutar aplikacije za pretplatnike X Premium+.

• YouTube je objavio blog post u kojem najavljuje razne mjere usmjerene na označavanje sadržaja generiranog umjetnom inteligencijom i borbu protiv "deepfakeova".

Tvrtka namjerava uvesti ažuriranja koja će korisnike obavještavati kada je sadržaj koji vide sintetički.

YouTube će stoga od kreatora tražiti da naznače jesu li stvorili realističan modificirani ili sintetički sadržaj, uključujući korištenje alata umjetne inteligencije.