Pravni nadzor br. 79 – siječanj 2025. 

Hosting profesionalnih podataka: pripazite na potrošačke platforme.

Obveze pružatelja usluga hostinga podataka u vezi s borbom protiv dječje pornografije imaju vrlo širok utjecaj na povjerljivost dokumenata koje im povjeravamo.

To je nedavno otkrio pariški odvjetnik, na svoju štetu, kada je pohranio izuzetno osjetljive povjerljive podatke na Google disku u kontekstu kaznenog postupka.

Odluka Pariškog žalbenog suda od 24. siječnja podsjeća odvjetnike - kao i sve stručnjake koji rade s osjetljivim podacima - da povjerljivost podataka nije zajamčena na uslugama hostinga poput Google Drivea.

Doista, Google, kao i svaka druga tvrtka koja podliježe zakonima SAD-a, može, u kontekstu borbe protiv seksualnog zlostavljanja djece, izbrisati hosting račun ili račun e-pošte u slučaju sumnje na nezakonitost podataka.

U ovom konkretnom slučaju, odvjetniku koji je pohranio nekoliko desetaka slika dječje pornografije na Google Driveu, obrađenih u legitimnom kontekstu kaznenog postupka, izbrisan je Drive račun, kao i Gmail račun.

Također je prijavljen NCMEC-u (Nacionalnom centru za nestalu i zlostavljanu djecu).

Suočen s odvjetnikom koji je od Googlea tražio povrat svojih podataka kao i naknadu štete, Sud je potvrdio da posjedovanje datoteka, čak ni u profesionalnom kontekstu, ne opravdava njihovo zadržavanje te da su suspenzija računa i izvješća legitimni prema zakonskim obvezama kojima je podložan pružatelj hostinga.

Vrijedi zapamtiti da algoritmi za detekciju koji neprestano skeniraju pohranjene datoteke i e-poštu ne razlikuju legitimno pohranjene osjetljive datoteke od ilegalnog sadržaja, niti osobne ili profesionalne aktivnosti.

Račun se može suspendirati bez prethodne najave i bez mogućnosti pravnog lijeka, što znači da odvjetnik može izgubiti trenutni pristup svojim datotekama i komunikaciji, čak i tijekom legitimnog poslovanja.

Nadalje, još uvijek o temi dječje pornografije, američki pružatelji usluga hostinga koji već skeniraju sadržaj pohranjen na svojim poslužiteljima obvezni su prijaviti korisnika nadležnoj policijskoj službi za Francusku, odnosno OFMIN-u.

Korištenje sigurnih usluga još je važnije pri obavljanju regulirane profesije.

U tom smislu, podsjetimo se izvješća koje je ANSSI objavio 2023. godine o stanju kibernetičkih prijetnji protiv odvjetničkih društava.

Iako odvjetnici općenito imaju namjenski i siguran sustav (e-Drive) i adresu (avocat.fr), baš kao i liječnici, to nije nužno slučaj za sva zanimanja, posebno za ona koja nisu regulirana.

Danas, europska pravila, a posebno LCEN u Francuskoj (zakon od 21. lipnja 2004. o povjerenju u digitalno gospodarstvo) ne predviđaju obvezu sustavnog skeniranja pohranjenih podataka od strane pružatelja usluga hostinga, već obvezu provjere u slučaju obavijesti i sumnje na kršenje.

Pravni okvir bi se ipak mogao razvijati na europskoj razini, donošenjem buduće uredbe CSAR usmjerene na sprječavanje i borbu protiv seksualnog zlostavljanja djece.

Iako nitko ne osporava valjanost ciljeva, plan kojim se omogućuje sustavno skeniranje privatne komunikacije izaziva intenzivnu raspravu.

Trenutno se u svakom slučaju toplo preporučuje:

• Koristiti rješenja u oblaku namijenjena profesionalcima, osmišljena gdje je to prikladno za regulirane profesije i koja jamče poštivanje profesionalne tajne;
• Strogo odvojiti osobnu i profesionalnu upotrebu;
• Za šifriranje podataka od početka do kraja;
• Odabrati suverenog pružatelja hostinga sa sjedištem u Francuskoj ili barem u Europi.

 

Francuska će 10. i 11. veljače biti domaćin Samit o djelovanju u području umjetne inteligencije (AI), koji će u Grand Palaisu okupiti šefove država i vlada, čelnike međunarodnih organizacija, izvršne direktore malih i velikih tvrtki, predstavnike akademske zajednice, nevladinih organizacija, umjetnike i članove civilnog društva.

CNIL objavljuje svoj strateški plan za razdoblje 2025.-2028.Potonji se sastoji od četiri glavne osi:

• Umjetna inteligencija,
• Prava maloljetnika,
• Kibernetička sigurnost
• Svakodnevna digitalna upotreba.

Usredotočit će se na dvije od ovih upotreba: mobilne aplikacije i digitalni identitet.

CNIL također objavljuje nekoliko smjernica za kontrolore podataka početkom ove godine.

Objavila je konačnu verziju 31. siječnja. vodič o procjenama učinka za prijenos podataka izvan Europske unije.

U objavi od 23. siječnja podsjeća nas na provjere koje treba provesti pri korištenju slobodno dostupnih baza podataka na internetu ili ih je pružila treća strana.

Također odgovara na velike povrede podataka koje su utjecale na milijune ljudi u 2024. godini i predlaže mjere za jačanje sigurnosti kako bi se riješili rizici od napada.

To se odnosi na interne postupke tvrtke, kao i na mjere opreza koje treba poduzeti u slučaju podugovaranja.

Ona se još uvijek sjeća nje preporuke o tome kako integrirati SDK-ove (komplete za razvoj softvera) u mobilne aplikacijei navodi da će provoditi provjere kako bi se osigurala njihova usklađenost s GDPR-om.

Konačno ga je objavila 20. siječnja. pregled svojih kontrola u okviru koordinirane europske akcije u vezi s poštivanjem prava pristupa, te napominje da mjere koje provode kontrolori podataka ponekad nisu dovoljne: na primjer, kada pojedinci ostvare svoje pravo pristupa svim svojim podacima, neke organizacije daju samo djelomičan ili nepotpun odgovor.

Udruga potrošača UFC-Que Choisir izgubila je tužbu protiv Googlea.

U lipnju 2019. pokrenula je kolektivnu tužbu protiv tvrtke, osuđujući prakse suprotne GDPR-u: nametljivu geolokaciju, praćenje kretanja bez pristanka, neželjeno ciljano oglašavanje.

Kolektivna tužba temeljila se na odluci CNIL-a koji je Googleu izrekao rekordnu kaznu od 50 milijuna eura.

Udruga je tražila 1000 eura po pogođenom korisniku, što je ukupno 27 milijardi eura.

Pariški sud odbio je zahtjev, navodeći nedostatak dovoljnih dokaza, i naložio udruzi da Googleu plati 10.000 eura sudskih troškova.

 

Europske institucije i tijela

Dana 16. siječnja, Europski odbor za zaštitu podataka usvojio je smjernice o pseudonimizaciji.

Njima se specificira definicija i uvjeti primjene pseudonimizacije, kao i njezine prednosti.

Također navode niz primjera.

Iako pseudonimizacija ne izuzima podatke od primjene GDPR-a, ipak smanjuje rizike povezane s obradom (na primjer u slučaju ransomwarea).

Smjernice su otvorene za komentare do 28. veljače.

U srijedu, 29. siječnja, Opći sud Europske unije (GC) presudio je u korist Europskog odbora za zaštitu podataka (EDPB) u sporu s irskim tijelom za zaštitu podataka (DPA).

Odluka Odbora, koju je osporila Irska, zatražila je od DPA-a da proširi istragu o Metinim kršenjima GDPR-a.

Sud primjećuje „da proširenje istrage, koje nužno zahtijeva barem polovica nadzornih tijela (...), nije namijenjeno, suprotno onome što tvrdi podnositelj zahtjeva, kompliciranju zadatka osobe koja je podnijela pritužbu ili zadatka kontrolora na kojeg se ona odnosi, već predstavlja mjeru za obranu njihovih odgovarajućih prava“ (§56).

U svojoj odluci T-354/22, Opći sud Europske unije osudio je Europsku komisiju zbog kršenja GDPR-a u kontekstu online registracije za događaj koji je organizirala.

Pomoću hiperveze „povezivanje s Facebookom“ prikazane na početnoj stranici, Komisija je „stvorila uvjete koji omogućuju prijenos IP adrese podnositelja zahtjeva Facebooku“ i, posljedično, Sjedinjenim Američkim Državama.

U to vrijeme, Štit privatnosti bio je poništen te se stoga smatralo da je prijenos suprotan članku 46. Uredbe 2018/1725.

Sud je utvrdio da se „moralna šteta koju podnositelj zahtjeva tvrdi mora smatrati stvarnom i izvjesnom“ budući da je prijenos „doveo podnositelja zahtjeva u situaciju nesigurnosti u pogledu obrade njegovih osobnih podataka, posebno njegove IP adrese“.

Ova odluka mogla bi imati posljedice ako se "Okvir za zaštitu privatnosti podataka" poništi, jer prepoznaje da samo povezivanje korisnika interneta s američkom uslugom predstavlja prijenos osobnih podataka u Sjedinjene Države.

U presudi u predmetu „Mousse“ od 9. siječnja 2025. (C-394/23), Sud Europske unije (CJEU) smatra da nije potrebno pitati kupce željezničkih karata trebaju li ih oslovljavati s „gospodine“ ili „gospođo“.

Sud podsjeća da „da bi se obrada osobnih podataka smatrala potrebnom za izvršenje ugovora, u smislu ove odredbe, mora biti objektivno neophodna za postizanje svrhe koja je sastavni dio ugovorne usluge namijenjene dotičnoj osobi“.

U ovom slučaju, Sud ukazuje na to da postoji praktično i manje nametljivo rješenje: dotična tvrtka mogla bi se odlučiti za komunikaciju temeljenu na generičkim, uključivim pristojnim formulama koje nisu povezane s pretpostavljenim rodnim identitetom.

U presudi od 9. siječnja, Sud EU-a također je pojasnio kriterije za definiranje „prekomjernih“ zahtjeva u smislu članka 57(4) GDPR-a, naglašavajući da nije riječ samo o broju zahtjeva koje je podnio subjekt podataka, već više o namjeri zlouporabe koja stoji iza tih zahtjeva.

Ova odluka se odnosi na APD-ove, ali obrazloženje je zanimljivo za kontrolore podataka.

Sud EU smatra da nadzorna tijela snose teret dokazivanja i moraju dokazati zlouporabnu namjeru osobe koja je podnijela zahtjev.

Presuda Suda EU-a od 19. prosinca 2024. (predmet C-65/23) pojašnjava da iako poslovni ugovori mogu predstavljati posebnu pravnu osnovu, poslodavci moraju osigurati da je ta vrsta ugovora u skladu s GDPR-om.

U ovom konkretnom slučaju, njemačka tvrtka i njezino radničko vijeće sklopili su ugovore o obradi podataka o zaposlenicima.

Spor se odnosio na korištenje novog softvera u oblaku putem kojeg su se osobni podaci prenosili na poslužitelje u Sjedinjenim Državama.

Sud EU naglašava da su nacionalni sudovi dužni provjeriti usklađenost sa svim načelima GDPR-a, čak i ako se obrada podataka temelji na kolektivnom ugovoru.

 

Vijesti iz zemalja članica Europske unije.

U Belgiji je belgijsko tijelo za zaštitu podataka (APD) 7. siječnja ukorilo poslodavca zbog nezakonitog postupanja s optužbama za napad na maloljetnika od strane jednog od njegovih zaposlenika.

Voditelj sigurnosti poslodavca zatražio je od francuske Nacionalne sigurnosne agencije da produži sigurnosnu provjeru jednog od njegovih zaposlenika, zahtjev koji je odbijen obrazloženom odlukom Agencije, koja je proslijeđena upravi i zaposleniku.

Međutim, uprava je tu informaciju proslijedila izravnom nadređenom osobe, koji je protiv nje/njege pokrenuo disciplinski postupak.

U APD-u se ukazuje na višestruka kršenja, uključujući nedostatak pravne osnove, prijenos podataka bez kompatibilne svrhe, nezakonitu obradu osjetljivih podataka i nedostatak transparentnosti prema dotičnoj osobi.

U Danskoj je APD prihvatio zahtjev FC Copenhagena za korištenje tehnologije prepoznavanja lica tijekom nogometnih utakmica prema nacionalnom zakonodavstvu, uz obrazloženje da namjeravana primjena suspenzija predstavlja značajan javni interes.

Nije izdana nikakva dozvola za događaje osim nogometnih utakmica.

Danska udruga "Danes je nov dan" pokrenula je alat osmišljen za testiranje sposobnosti korisnika da identificiraju sadržaj generiran umjetnom inteligencijom, a istovremeno ih informira o rizicima povezanim s njegovom zlouporabom.

Predstavljen u obliku interaktivnog kviza, alat pokriva različita područja poput prepoznavanja sintetičkih slika, tekstova i videa.

Za razliku od danske agencije, španjolska Agencija za zaštitu podataka (APD) smatrala je da implementacija opcionalnog sustava za prepoznavanje lica, koji se koristi za upravljanje pristupom nogometnom stadionu, krši načelo minimizacije podataka budući da postoje manje invazivne alternative, te je na toj osnovi odgovornima izrekla kaznu od 200.000 eura.

Španjolska agencija za zaštitu podataka (APD) također je kaznila operatera CI Postal s 200.000 eura jer je između rujna i listopada 2022. u javnim prostorima ostavila oko 8000 pisama koje su mu povjerile tvrtke.

APD primjećuje kršenje članaka 5(1)(f) i 32. GDPR-a u vezi s povjerljivošću i sigurnošću te ukazuje na nepostojanje sustava sljedivosti pošte i nedovoljnu obuku zaposlenika o pravilima zaštite podataka.

Također je kaznila Generali Españu s 4.000.000 eura nakon što je utvrdila značajne nedostatke u pristupu tvrtke sigurnosti podataka., što je omogućilo neovlaštenoj trećoj strani pristup podacima više od 25 000 bivših kupaca.

Estonsko tijelo za zaštitu podataka (APD) kaznilo je Asper Biogene s 85.000 eura (10% prometa) zbog toga što nije adekvatno zaštitilo osjetljive podatke u napadu ransomwarea..

Tvrtka provodi genetske testove poput testova očinstva i probira za nasljedne bolesti.

Hakeri su uspjeli preuzeti više od 33 GB PDF datoteka, ni anonimiziranih ni pseudonimiziranih, koje se odnose na otprilike 100.000 Estonaca.

U Grčkoj je Tijelo za zaštitu podataka (DPA) izreklo kaznu od 50.000 eura Ministarstvu za klimatske krize i civilnu zaštitu zbog neimenovanja službenika za zaštitu podataka (DPO)., čime je prekršio – između ostalog – članak 37. GDPR-a.

Kineski startup Deepseek krajem siječnja pokrenuo je chatbot sličan OpenAI-jevom ChatGPT-u i Microsoftovom Co-Pilotu.

Osim optužbi američkih divova da je Deepseek koristio podatke generirane njihovim vlastitim sustavima, kineski chatbot već je privukao pozornost talijanske Agencije za zaštitu podataka (APD): 30. siječnja APD je blokirao chatbota u Italiji i otvorio istragu nakon što je od Deepseeka primio odgovore koji su smatrani potpuno nedovoljnima na njegova pitanja.

Irski, belgijski i francuski APD također su naznačili da su se pozabavili tim pitanjem.

Odluke u vezi s "tamnim uzorcima" u kolačićima se množe.U Švedskoj je APD ukorio tvrtku za kockanje zbog lošeg dizajna bannera za kolačiće.

Grafičko isticanje opcije prihvaćanja i dodatni koraci potrebni za odbijanje kolačića učinili su privolu nevažećom prema članku 6. GDPR-a.

APD je također izdao tri opomene protiv tvrtki koje su, u razdobljima od nekoliko mjeseci do nekoliko godina, integrirale Metinu uslugu mjerenja publike (Meta Pixel) u svoje web stranice.

Ova integracija je imala učinak preusmjeravanja prometa na Metu nevidljivo za korisnike.

 

Britansko tijelo za zaštitu podataka (DPA) objavilo je 23. siječnja u priopćenju za javnost da se bavi problemom usklađenosti s kolačićima za 1000 najvećih web stranica u Velikoj Britaniji.

ICO također objavljuje „strategiju“ kako bi osigurao da online praćenje ljudima daje „jasan izbor i povjerenje u način na koji se njihovi podaci koriste“ te nove smjernice o modelima „pristanak ili plaćanje“.

U Sjedinjenim Državama, tri demokratska člana Nadzornog odbora za privatnost i građanske slobode (PCLOB), vijeća zaduženog za preispitivanje programa nacionalnog sigurnosnog nadzora s gledišta privatnosti, otpuštena su 27. siječnja nakon što su odbili dati ostavku na zahtjev Bijele kuće.

U kontekstu "Okvira za zaštitu privatnosti podataka" između Europe i Sjedinjenih Država, PCLOB se smatrao bitnim sredstvom za poštivanje prava pojedinaca u pitanjima masovnog nadzora.

Utjecaj ove mjere na održivost transatlantskog sporazuma još je uvijek nepoznat.

Nakon što je poništio izvršnu naredbu o umjetnoj inteligenciji bivšeg predsjednika Joea Bidena, Donald Trump potpisao je novu, kojom se "ukidaju određene postojeće politike i smjernice o umjetnoj inteligenciji koje su prepreke američkim inovacijama u umjetnoj inteligenciji, otvarajući put Sjedinjenim Državama da odlučno djeluju kako bi zadržale svoju poziciju svjetskog lidera u umjetnoj inteligenciji".

OpenAI je 23. siječnja predstavio svog agenta "Operator", opisanog kao "agent koji može na webu obavljati zadatke za vas".

Dok generativne AI aplikacije mogu, na primjer, odgovarati na pitanja, sažimati tekstove i stvarati sintetičke slike i videozapise, agentske AI aplikacije mogu obavljati složenije zadatke ne samo stvaranja već i implementacije sadržaja.

Operator je stoga dizajniran za automatizaciju zadataka poput planiranja odmora, ispunjavanja obrazaca ili naručivanja namirnica.

Obučen je za interakciju s uobičajenim gumbima, izbornicima i tekstualnim poljima na webu, a može postavljati i dodatna pitanja kako bi dodatno personalizirao te zadatke.

Otvorena umjetna inteligencija pojašnjava da korisnici mogu preuzeti kontrolu nad zaslonom u bilo kojem trenutku.