Pravni nadzor br. 67 – siječanj 2024.

Uloga i resursi službenika za zaštitu podataka: rezultati jednogodišnjih revizija

Dana 17. siječnja, CNIL i njegovi europski kolege objavili su rezultate svojih istraga o ulozi i resursima službenika za zaštitu podataka (DPO) u kontekstu primjene GDPR-a.

Ova tema bila je predmet koordiniranog europskog djelovanja Europskog odbora za zaštitu podataka (EDPB) 2023. godine.

Glavne funkcije DPO-a, kako je predviđeno člancima 37. do 39. GDPR-a, uključuju informiranje i savjetovanje kontrolora o pitanjima zaštite podataka (uključujući provođenje procjena učinka), podizanje svijesti i osposobljavanje osoblja te praćenje povreda podataka.

DPO surađuje s nadzornim tijelom i kontaktna je točka za pojedince čiji se podaci obrađuju.

Istrage tijela za zaštitu podataka temeljile su se na upitniku koji su zajednički razvila sva tijela koja ga čine.

U Francuskoj je CNIL revidirao 14 kontrolora podataka i nadopunio slanje upitnika s nekoliko provjera na licu mjesta.

Provjere su obuhvatile javne aktere poput bolnica, sveučilišta, općina, centara za upravljanje i privatne aktere u sektoru luksuznih proizvoda i prometa.

Posebno je vrijedan pažnje mali broj revidiranih dužnosnika.

Poput nekoliko europskih tijela, CNIL je odlučio provesti ograničen broj dubinskih istraga, dok su druga tijela kontaktirala desetke tisuća menadžera, bez provođenja takvih temeljitih provjera.

Izvješće EDPB-a uzima u obzir te razlike u pristupu u svojoj analizi.

CNIL daje sveukupno pozitivnu ocjenu uloge i resursa dodijeljenih DPO-u.

Napominje da uglavnom imaju dovoljno resursa.

Međutim, ona ističe velike razlike između resursa dodijeljenih osobama s invaliditetom u javnim strukturama koje često rade same, posebno u malim zajednicama, dok osobe s invaliditetom u privatnom sektoru uglavnom imaju tim.

Ovo zapažanje potvrđeno je na europskoj razini.

Među uočenim nedostacima je rizik sukoba interesa između dužnosti DPO-a i drugih zadataka koji su mu dodijeljeni, kao i nedostatak uključenosti DPO-a u odluke koje se odnose na zaštitu podataka.

CNIL u tom smislu navodi da je (izvan ove istrage) sankcionirao organizaciju u socijalnom sektoru novčanom kaznom od 10.000 eura jer delegat nije bio u mogućnosti pravilno obavljati svoje dužnosti: nije bio dovoljno uključen u pitanja koja se odnose na zaštitu osobnih podataka, a njegovim funkcijama je nedostajala vidljivost za zaposlenike organizacije.

Europsko izvješće zaključuje ovu analizu napomenom da službenici za zaštitu podataka (DPO) sve više preuzimaju, uz svoju ulogu u vezi s GDPR-om, ključne uloge u kontekstu novih europskih propisa, poput onih koji se odnose na umjetnu inteligenciju, digitalne usluge, digitalno tržište ili podatke. 

Također im se dodjeljuju nove uloge vezane uz etiku, upravljanje podacima i podatkovne prostore.

U svjetlu ovog trenda, Odbor upozorava na povećani rizik sukoba interesa ili nedovoljnost resursa dostupnih službenicima za zaštitu podataka.

Naglašava da tijela za zaštitu podataka i kontrolori podataka imaju ključnu ulogu kako bi DPO mogao u potpunosti ispuniti svoju ulogu.

 

     

• CNIL je posljednjih tjedana nametnuo nekoliko značajnih sankcija.
• Dana 29. prosinca 2023. godine, Yahoo je kažnjen s 10 milijuna eura zbog nepoštivanja izbora korisnika interneta koji su odbili kolačiće na njegovoj web stranici i zbog toga što korisnicima njegove usluge razmjene poruka nije dopustio da slobodno povuku svoj pristanak na kolačiće.
• Nakon što je provela inspekcije na licu mjesta u skladištima Amazon France Logistique, francusko tijelo za zaštitu podataka (CNIL) 27. prosinca također je utvrdilo nekoliko kršenja GDPR-a u vezi s opsežnim praćenjem radnih mjesta te je multinacionalnoj tvrtki izreklo kaznu od 32 milijuna eura. Prema CNIL-u, Amazon je implementirao "pretjerano nametljiv" sustav praćenja koji radi bez pružanja informacija i nije dovoljno siguran.
• Dana 29. prosinca, CNIL je također izrekao kaznu od 105.000 eura tvrtki NS Cards France, distributeru elektroničkog novca, zbog prekomjernog zadržavanja osobnih podataka, nepotpunih politika privatnosti, nedovoljnih sigurnosnih mjera i nedostatka privole korisnika u vezi s nebitnim kolačićima.
• Konačno, pokreće javne konzultacije o nacrtu vodiča o procjeni učinka prijenosa podataka izvan Europskog gospodarskog prostora: prije svakog prijenosa u zemlju koja nema odluku o adekvatnosti mora se provesti procjena razine zaštite podataka u zemlji primateljici, kao i procjena zaštitnih mjera koje treba osigurati za taj prijenos. Prilozi se mogu dostaviti do 12. veljače 2024.
• Francuska nacionalna agencija za kibernetičku sigurnost (ANSSI) najavila je pokretanje Hackropolea, nove platforme osmišljene kako bi ljude upoznala s karijerama u kibernetičkoj sigurnosti. Platforma nudi više od 300 izazova dostupnih svima, koji pokrivaju sva područja kibernetičke sigurnosti, od kriptografije do hakiranja.

 

Europske institucije i tijela 

• Belgija je početkom siječnja preuzela predsjedanje Vijećem Europske unije na šest mjeseci sa sloganom "Zaštititi, ojačati i pripremiti".

Teme koje će se obrađivati u 2024. uključuju kibernetičku otpornost povezanih proizvoda, digitalni identitet, podatkovne prostore, prekograničnu primjenu GDPR-a i umjetnu inteligenciju.

 2024. će također biti godina provedbe mnogih zakona dovršenih prošle godine, uključujući zakon o digitalnim uslugamatamo zakon o digitalnim tržištima i zakon o upravljanju podacima.

• Drugog veljače veleposlanici 27 zemalja Europske unije jednoglasno su, ali ne bez poteškoća, odobrili propisi o umjetnoj inteligenciji, čime je na vladinoj razini potvrđen politički sporazum postignut u prosincu.

Nakon glasovanja odbora Europskog parlamenta sredinom veljače, usvajanje na plenarnoj sjednici privremeno je zakazano za 10. i 11. travnja.

Uredba stupa na snagu 20 dana nakon objave u Službenom listu.

Zabrane zabranjenih praksi počet će se primjenjivati šest mjeseci kasnije, a obveze koje se odnose na modele umjetne inteligencije u roku od godinu dana.

• Paralelno s tim, Europska komisija je 24. siječnja najavila osnivanje Europskog ureda za umjetnu inteligenciju koji će doprinijeti provedbi i primjeni buduće uredbe.

Ovaj će ured imati za cilj objavljivanje smjernica za uspostavljanje usklađenih pravila diljem EU-a te poticanje i olakšavanje razvoja kodeksa prakse i kodeksa ponašanja na razini Unije.

• Zakonodavni proces koji se odnosi na CSAR propisi S obzirom na to da ('kontrola chata') nije ni blizu potpune, Europska unija predložila je produljenje privremenog rješenja koje tehnološkim divovima omogućuje dobrovoljno skeniranje uređaja svojih korisnika u potrazi za dječjom pornografijom.

Ova je mjera izazvala kritike, posebno od strane Europskog nadzornika za zaštitu podataka (EDPS). U mišljenju objavljenom 29. siječnja, EDPS je izrazio zabrinutost zbog ciljeva ove uredbe, koja bi ograničila pravo pojedinaca na povjerljivost njihovih komunikacija.

• Europska komisija objavila je 31. siječnja Tablicu transparentnosti Zakona o digitalnim uslugama (DSA). Ona pruža pregled odluka o moderiranju sadržaja koje donose najveće online platforme.
• Europska uredba o podacima stupila je na snagu u siječnju 2024.

Njegovi ciljevi uključuju promicanje pravedne razmjene podataka, omogućavanje tijelima javnog sektora da koriste podatke koje posjeduje privatni sektor za specifične svrhe od javnog interesa i omogućavanje korisnicima jednostavne promjene pružatelja usluga obrade podataka kako bi se promoviralo europsko tržište računalstva u oblaku.

• Europska komisija će istražiti partnerstvo između Microsofta i OpenAI-a, unutar kojeg MS planira integrirati paket AI alata u vlastite proizvode.

U priopćenju za medije od 9. siječnja, Komisija poziva sve zainteresirane strane da podijele svoja iskustva i komentare o razini konkurencije u kontekstu virtualnih svjetova i generativne umjetne inteligencije, kao i svoje ideje o tome kako pravo tržišnog natjecanja može pomoći u osiguravanju da ta nova tržišta ostanu konkurentna.

• Europska komisija objavila je svoje izvješće 15. siječnja. evaluacija 11 odluka o prikladnosti usvojen prema Direktivi o zaštiti podataka iz 1995.

Napominje da se osobni podaci preneseni iz Europske unije u Andoru, Argentinu, Kanadu, Farske otoke, Guernsey, Otok Man, Izrael, Jersey, Novi Zeland, Švicarsku i Urugvaj i dalje odnose na odluku o adekvatnosti prema GDPR-u.

• Europski odbor za zaštitu podataka (EDPB) objavio je alat za reviziju web stranice radi usklađenosti s Općom uredbom EU o zaštiti podataka.

Alat je razvio tim stručnjaka EDPB-a, a mogu ga koristiti tijela za zaštitu podataka, kao i kontrolori i obrađivači podataka, kako bi se pojednostavila priprema, provedba i evaluacija revizija. Riječ je o besplatnom softveru otvorenog koda licenciranom pod EUPL 1.2 i može se preuzeti s code.europa.eu.

• EDPB je također objavio 18. siječnja datoteka o sigurnosti obrade podataka i obavijesti o povredi podataka.

Dokument analizira odluke koje su nadzorna tijela donijela u skladu s člankom 60. GDPR-a u okviru mehanizma jedinstvenog kontakta u području sigurnosti obrade podataka i povreda osobnih podataka.

• Sud EU-a je u presudi od 30. siječnja presudio da je opće i neselektivno zadržavanje biometrijskih i genetskih podataka osoba osuđenih za kaznena djela, do njihove smrti, suprotno pravu EU-a, a posebno pravu na zaborav.
• Sud EU je također 16. siječnja odlučio da GDPR se primjenjuje na nacionalne parlamentarne odbore.

Sud je pojasnio koncept nacionalne sigurnosti i izjavio da u nedostatku dokaza o cilju nacionalne sigurnosti, nacionalni sudovi moraju utvrditi primjenjuje li se članak 2(2)(a) koji se odnosi na područje primjene GDPR-a.

• Tehnološki divovi imaju rok do 6. ožujka da se pridržavaju odredbi europske uredbe o digitalnim tržištima, a posebno moraju omogućiti svojim korisnicima da se registriraju za jednu uslugu bez automatskog povezivanja s drugom.

U tom kontekstu, Meta je 22. siječnja objavila da će korisnici Instagrama i Facebooka moći odvojeno upravljati svojim računima, tako da se njihovi podaci više neće dijeliti između ta dva računa.

Google je na svojoj stranici centra za pomoć također spomenuo mogućnost da europski korisnici odaberu usluge koje žele zadržati povezane u smislu dijeljenja podataka.

 

Vijesti iz europskih država članica

• Dana 11. prosinca 2023., u suradnji s CNIL-om, nizozemsko tijelo za zaštitu podataka (APD) izdalo je presudu protiv tvrtki Uber BV i Uber Technologies

d.d. kažnjen je s deset milijuna eura zbog nekoliko propusta u pružanju informacija vozačima. 

Ti se nedostaci posebno odnose na postupke za pravo pristupa podacima, prijenose izvan EU-a, razdoblja čuvanja i pravo na prenosivost podataka.

• Nizozemska Agencija za zaštitu podataka također je kaznila ICS, tvrtku za kreditne kartice, sa 150.000 eura zbog neprovođenja procjene učinka (DPIA).

U svojim razmatranjima, APD je naglasio da izostanak DPIA-e sam po sebi predstavlja kršenje GDPR-a, ali da također povećava vjerojatnost drugih kršenja uredbe jer se prije provedbe obrade ne razmatraju rizici.

• Belgijska agencija za zaštitu podataka (APD) kaznila je posrednika u obradi podataka sa 174.640 eura.

Između ostalih kršenja, voditelj obrade podataka nije se mogao pozvati na legitimni interes za prikupljanje podataka od trećih strana.

Također nije obavijestio podnositelja zahtjeva o izvorima i primateljima podataka u kontekstu zahtjeva za pristup. 

• Belgijsko tijelo također je istražilo prakse kontrolora podataka nakon kršenja podataka koje je utjecalo na gotovo 90 000 ljudi.

Nije usvojila nikakve sankcije, s obzirom na to da je povreda podataka bila izolirani incident i da je voditelj obrade podataka postupio u skladu s člankom 33. GDPR-a.

• Austrijsko tijelo za zaštitu podataka (APD) kaznilo je kontrolora podataka s 10.000 eura zbog nesuradnje s njim u postupku pritužbe, čime je prekršilo članak 31. GDPR-a.
• U Njemačkoj je istraživač sigurnosti 17. siječnja kažnjen s 3000 eura zbog otkrivanja i prijavljivanja sigurnosnog propusta u bazi podataka e-trgovine koji je otkrio gotovo 700 000 zapisa o kupcima.

Otkrivanje lozinke u običnom tekstu i njezino korištenje bez ovlaštenja u pretraživanju smatra se zločinom.

Ovu odluku, na koju će se uložiti žalba, kritizira sigurnosni stručnjak zbog njenog zastrašujućeg učinka na legitimno istraživanje ranjivosti sustava.

• Krajem siječnja, danska Agencija za zaštitu podataka (APD) utvrdila je da je jedna općina prekršila sigurnosna pravila GDPR-a time što nije šifrirala tvrde diskove svojih računala.

Iz doma zaposlenika ukradeno je poslovno računalo koje je sadržavalo osjetljive osobne podatke, podatke o socijalnom osiguranju i podatke o maloljetnicima.

Tvrdi disk nije bio šifriran.

Istraga je otkrila da gotovo 1200 općinskih laptopa također nije bilo šifrirano.

• Dana 24. siječnja, britanski Nacionalni centar za kibernetičku sigurnost objavio je zabrinjavajuće izvješće o kratkoročnom utjecaju umjetne inteligencije na kibernetičku prijetnju.

U izvješću se posebno navodi da Umjetna inteligencija će zasigurno povećati obujam i utjecaj kibernetičkih napada u sljedeće dvije godine poboljšanjima postojećih taktika, tehnika i postupaka.

Također napominje da umjetna inteligencija ograničava poteškoće za amaterske kibernetičke kriminalce koji će uskoro moći pokretati sofisticirane phishing napade koje je primateljima teško identificirati.

 

• Krajem siječnja, Thierry Breton, povjerenik za unutarnje tržište, i Alejandro N. Mayorkas, američki ministar domovinske sigurnosti, raspravljali su o Zajednički akcijski plan EU-a i SAD-a za kibernetički sigurne proizvode, nakon summita EU-a i SAD-a u listopadu 2023.

Cilj ove suradnje između Komisije i relevantnih američkih regulatornih agencija je istražiti moguće međusobno priznavanje zahtjeva za kibernetičku sigurnost za potrošačke hardverske i softverske proizvode Interneta stvari.

Akcijski plan temelji se na okviru prava EU o kibernetičkoj otpornosti i na programu označavanja kibernetičke sigurnosti koji su predložile Sjedinjene Američke Države (Cyber Trust Mark Act).

• Bidenova i Harrisova administracija objavila je ključne mjere umjetne inteligencije 29. siječnja nakon što je predsjednik Biden prije tri mjeseca donio izvršnu naredbu.

Uredba posebno predviđa postavljanje bitnih zahtjeva za otkrivanje informacija za razvojne programere najmoćnijih sustava, procjenu rizika umjetne inteligencije za kritičnu infrastrukturu i "sprečavanje napora stranih aktera da razvijaju umjetnu inteligenciju u štetne svrhe".

Nadležne savezne agencije i odjeli naveli su da su dovršili sve radnje propisane uredbom u roku od 90 dana te su naznačili napredak mjera planiranih za dugoročniji period.

• Kanadska vlada izradila je "glosar osobnih podataka i privatnosti" koji sadrži engleske i francuske izraze za više od 300 pojmova.

Također uključuje i druge terminološke informacije (koje se mogu razlikovati od unosa do unosa) koje uključuju druge oznake, definicije, napomene i primjere upotrebe.

• Dva istraživača iz Carnegiejeve zaklade za međunarodni mir pozvala su južnoafričku vladu da da najveći prioritet kibernetičkoj sigurnosti i da preuzme jače vodstvo u tom području na međunarodnoj sceni.

Unatoč digitalnoj ovisnosti, istraživači ukazuju na to da kibernetičkoj strategiji zemlje ozbiljno nedostaje financiranja, a vlada nema jasan stav u raspravama o kibernetičkom upravljanju.

Prema Južnoafričkom vijeću za znanstvena i industrijska istraživanja, Južna Afrika je afrička zemlja koja je najviše meta ovih kibernetičkih napada i zauzima osmo mjesto u svijetu.