Pravni nadzor br. 69 – ožujak 2024.

Sigurnost podataka, kibernetičke prijetnje: trenutno stanje i smjernice.

Nekoliko organizacija objavljuje svoja izvješća o stanju kibernetičkih prijetnji početkom ove godine: prilika za procjenu rizika i savjete za zaštitu osobnih podataka.

Agencija Europske unije za kibernetičku sigurnost (ENISA) objavila je svoje izvješće o kibernetičkim prijetnjama do 2030. godine.

Izvješće identificira prijetnje povezane s ovisnostima o softveru i kampanjama dezinformiranja, kao i one povezane s ljudskom pogreškom, kao posebno zabrinjavajuće.

Među dugoročnim prijetnjama, agencija ističe nedostatak vještina i neuspjehe pružatelja usluga, kao i porast prijetnji povezanih s umjetnom inteligencijom.

Inicijativa „akcija protiv kibernetičkog kriminala“ također dijeli svoju analizu stanja prijetnje u Francuskoj prilikom objave svog godišnjeg izvješća o aktivnostima. 

Phishing ostaje primarna prijetnja: sve se više diverzificira i postaje sofisticiraniji. Glavni oblici phishinga uključuju prometne prekršaje, dječju pornografiju ili lažnu tehničku podršku.

Nadalje, prijevare koje uključuju lažne bankovne savjetnike ostaju na visokoj konstantnoj razini.

Hakiranje računa je još jedna velika prijetnja, s posljedicama koje mogu dovesti do krađe identiteta i financijske štete.

Konačno, napadi ransomwarea i zlonamjerni softver (virusi) značajni su i sve češći uzroci zahtjeva za pomoć žrtvama.

Dana 27. ožujka, CNIL je objavio izvješće o sigurnosnim propustima u proteklih pet godina.

Napominje da je privatni sektor odgovoran za otprilike dvije trećine prijava kršenja propisa CNIL-u, uključujući 39 % od strane malih i srednjih poduzeća.

Javni sektor, u međuvremenu, čini 22 % obavijesti.

Što se tiče distribucije po aktivnostima, javne uprave predstavljaju 18 % obavijesti.

U privatnom sektoru najzastupljenije su specijalizirane, znanstvene i tehničke djelatnosti, a slijede financijske i osiguravajuće djelatnosti.

Aktivnosti povezane s ljudskim zdravljem također čine 12 % obavijesti.

U tom kontekstu, i kako bi se uzeo u obzir novi rizik za podatke, CNIL je krajem ožujka ažurirao svoj vodič o sigurnosti podataka.

Ova nova verzija restrukturira vodič u pet dijelova: korisnici, oprema, kontrola podataka, pripremljenost za incidente i konačno fokus na posebno aktualna pitanja.

CNIL uvodi nove informativne listove, posebno o umjetnoj inteligenciji (AI), mobilnim aplikacijama, računalstvu u oblaku i sučeljima za programiranje aplikacija (API-jima).

Vodič također uključuje informativne listove o analizi rizika i šifriranju.

Na kraju dokumenta, kontrolna lista vam omogućuje pregled mjera koje je poduzela odgovorna osoba i procjenu njezine razine sigurnosti.

Među preporučenim zaštitnim mjerama često se navodi višefaktorska autentifikacija (MFA), a sve se više preporučuje kako bi se baze podataka zaštitile od pokušaja lažnog pristupa.

CNIL je upravo otvorio javne konzultacije o usklađenosti rješenja koja koriste AMF s GDPR-om.

Nedavni primjer potvrđuje potrebu razjašnjenja konteksta korištenja AMF-a: u Španjolskoj je tvrtka osuđena na sudu zbog nametanja AMF-a svojim zaposlenicima na njihovim privatnim telefonima, iako je zakon zahtijevao da im u tu svrhu osigura službene mobilne telefone.

U svojoj preporuci, CNIL se bavi određivanjem pravne osnove, minimiziranjem prikupljenih podataka, razdobljima čuvanja i poštivanjem ostvarivanja prava dotičnih osoba.

Pruža praktične primjere implementacije višefaktorske autentifikacije koja poštuje privatnost.

 

      

Francuska agencija za zaštitu tržišnog natjecanja izrekla je 20. ožujka Googleu kaznu od 250 milijuna eura zbog nepoštivanja svojih obveza i korištenja novinskih članaka za obuku svog sustava umjetne inteligencije (Bard/Gemini). 

Ova odluka, četvrta po redu u ovom slučaju u četiri godine, dio je konteksta donošenja zakona od 24. srpnja 2019. o srodnim pravima čiji je cilj stvoriti uvjete za uravnotežene pregovore između izdavača, novinskih agencija i digitalnih platformi.

Dana 8. travnja, CNIL je objavio preporuke za korištenje umjetne inteligencije na način koji poštuje osobne podatke.

Njihov je cilj pružiti konkretne odgovore, ilustrirane primjerima, na pravne i tehničke izazove povezane s primjenom GDPR-a na umjetnu inteligenciju.

Točke obrađene u ovim početnim preporukama omogućuju posebno određivanje primjenjivog pravnog režima, pravne kvalifikacije aktera, provođenje analize učinka gdje je to primjereno i integraciju zaštite podataka od faze projektiranja sustava (privatnost već u fazi projektiranja).

 

Europske institucije i tijela

Dana 11. ožujka Europski nadzornik za zaštitu podataka (EDPS) utvrdio je da je Europska komisija prekršila nekoliko ključnih pravila o zaštiti podataka prilikom korištenja sustava Microsoft 365.

Konkretno, „Komisija nije osigurala odgovarajuće zaštitne mjere kako bi se osiguralo da osobni podaci preneseni izvan EU/EGP-a uživaju razinu zaštite koja je u biti jednaka onoj zajamčenoj u EU/EGP-u.“

Nadalje, Komisija u svom ugovoru s Microsoftom nije dovoljno navela koje vrste osobnih podataka treba prikupljati i u koje eksplicitne i precizne svrhe prilikom korištenja sustava Microsoft 365 (...).

EDPB je nametnuo Komisiji korektivne mjere, uključujući obustavu, od 9. prosinca 2024., svih tokova podataka koji proizlaze iz njezine upotrebe sustava Microsoft 365 prema Microsoftu i njegovim povezanim društvima i podizvođačima koji se nalaze u zemljama izvan EU-a/EGP-a koje nisu obuhvaćene odlukom o adekvatnosti.

Iako se ova odluka odnosi na europske institucije, obrazloženje EDPS-a ima mnogo širi opseg i moglo bi imati posljedice na korištenje Microsofta 365 u državama članicama EU-a.

Dana 15. ožujka, Europski ombudsman pisao je Europskoj komisiji s pitanjem kako koristi umjetnu inteligenciju u svom procesu donošenja odluka.

Ombudsman je primijetio da „iako brzi razvoj umjetne inteligencije može poboljšati kvalitetu i učinkovitost rada, on predstavlja velike izazove u smislu točnosti, potencijalne pristranosti, objašnjivosti i ljudske kontrole.“

Također je naglasila da javne uprave moraju osigurati da umjetna inteligencija samo pomaže ljudskom donošenju odluka, a ne da ga zamjenjuje.

Pitanja se usredotočuju na korištenje umjetne inteligencije u tri specifična područja: analizi javnih povratnih informacija, otkrivanju potencijalnih kršenja pravila EU o tržišnom natjecanju i rješavanju pritužbi.

Dok je Europski parlament upravo glasao o uredbi o umjetnoj inteligenciji, uredbe o digitalnim tržištima (DMA) i digitalnim uslugama (DSA) su stupile na snagu, a Komisija je već pokrenula nekoliko postupaka u skladu s ova dva teksta.

Dana 25. ožujka pokrenula je postupak temeljen na DMA-u protiv tvrtki Alphabet, Apple i Meta.

Što se tiče Applea i Alphabeta, Komisija namjerava utvrditi jesu li mjere provedene u vezi s njihovim obvezama koje se odnose na trgovine aplikacija u suprotnosti sa Zakonom o javnoj nabavi, koji od nadzornih tijela zahtijeva da dopuste programerima aplikacija da besplatno "usmjeravaju" potrošače na ponude koje nisu navedene u njihovim trgovinama aplikacija.

Što se tiče Mete, Komisija je pokrenula postupak kako bi utvrdila je li nedavno uvedeni model „plaćanja ili pristanka“ za korisnike u EU u skladu sa zakonom o zaštiti podataka, koji od skrbnika zahtijeva da dobiju privolu korisnika kada namjeravaju kombinirati ili unakrsno koristiti njihove osobne podatke.

Ovaj najnoviji postupak dolazi uz onaj koji je pokrenuo Europski odbor za zaštitu podataka o istoj temi.

Komisija je također 14. ožujka pokrenula formalni postupak prema Zakonu o digitalnim uslugama kako bi utvrdila je li AliExpress prekršio Zakon o digitalnim uslugama u područjima vezanim uz upravljanje rizicima i njihovo ublažavanje, moderiranje sadržaja i mehanizam za unutarnje rješavanje pritužbi, transparentnost sustava oglašavanja i preporuka, sljedivost trgovaca i pristup podacima za istraživače.

Istog datuma poslala je i zahtjev za informacijama LinkedInu u vezi s potencijalno ciljanim oglašavanjem na temelju osjetljivih podataka.

Europska komisija je 4. ožujka bila domaćin prvog sastanka na „visokoj razini“ o prekograničnom protoku podataka.

Sastanak je okupio povjerenika za pravosuđe, predsjednika EDPB-a, kao i ministre i čelnike tijela za zaštitu podataka iz 15 zemalja i teritorija za koje je EU donio odluku o adekvatnosti.

Cilj je potaknuti poboljšanu suradnju između ovih sudionika u području zaštite podataka.

U presudi od 7. ožujka, Sud Europske unije (CJEU) potvrdio je da TC niz („TC niz“) koji oglašivači koriste za kodiranje korisničkih preferencija „sadrži informacije o prepoznatljivom korisniku i stoga predstavlja osobni podatak u smislu GDPR-a.“

Kada su informacije sadržane u TC nizu povezane s identifikatorom, kao što je, između ostalog, IP adresa korisnikovog uređaja, te se informacije mogu koristiti za izradu profila tog korisnika i njegovu identifikaciju. 

Nadalje, IAB Europe mora se smatrati "zajedničkim kontrolorom" u smislu GDPR-a. (...)

Čini se da udruga utječe na operacije obrade podataka kada se preferencije korisničke suglasnosti bilježe u TC nizu te zajedno sa svojim članovima određuje i svrhe tih operacija i sredstva koja ih podupiru. 

Sud EU-a je 7. ožujka presudio po žalbi na odluku suda EU-a koja se odnosi na koncept osobnih podataka.

 Smatralo je da prepoznatljiva priroda nije povezana s činjenicom da „prosječni čitatelj“ može identificirati osobu, već ovisi o posjedovanju ili neposjedovanju „dodatnih čimbenika... potrebnih za identifikaciju... [ti čimbenici] mogu biti dostupni osobi koja nije kontrolor (vidi C-582/14, stavke 39. i 41.)“.

Sud je također pogriješio tvrdeći da su „sredstva koja se razumno vjerojatno“ mogu koristiti za identifikaciju dotične osobe bila ograničena.

Sud je trebao uzeti u obzir troškove i vrijeme potrebno za identifikaciju tužitelja kako bi utvrdio može li se potonji identificirati „razumnim sredstvima“.

Ova odluka odnosila se na primjenu uredbe o zaštiti podataka koja se primjenjuje na europske institucije, čije su definicije identične onima iz GDPR-a.

Na Kaizenerovoj web stranici naći ćete niz tablica s popisom brojnih europskih regulatornih inicijativa u digitalnom sektoru, kao i njihovom stanju provedbe. 

 

Vijesti iz zemalja članica Europe.

Belgijsko tijelo za zaštitu podataka objavilo je 15. ožujka odluku o pravnoj osnovi za obradu podataka korištenih za obuku modela umjetne inteligencije i naknadnu, odvojenu upotrebu tih modela u komercijalne svrhe. 

APD je smatrao da kontrolor ne može tvrditi da je riječ o kompatibilnoj uporabi (članak 6(4) GDPR-a) jer cilj osposobljavanja nije bio jasno utvrđen od samog početka.

Daljnja upotreba također je zahtijevala vlastitu pravnu osnovu.

Voditelj obrade podataka također mora svojim klijentima dati pravo prigovora na korištenje podataka za obuku modela.

Belgijsko tijelo za zaštitu podataka također je smatralo da je kontrolor podataka prekršio članak 5(1) GDPR-a time što nije pravovremeno izbrisao račun e-pošte bivšeg zaposlenika.

APD je naveo da bi poštanski sandučić trebao biti deaktiviran posljednjeg radnog dana, a automatski odgovor bi trebao biti deaktiviran u roku od jednog ili tri mjeseca u određenim iznimkama.

U sličnom kontekstu, talijansko tijelo za zaštitu podataka (APD) smatralo je da je kontrolor podataka prekršio načelo minimizacije podataka jer nije deaktivirao račun e-pošte bivšeg zaposlenika, navodeći potrebu preusmjeravanja korisnika na drugi račun.

Kontrolor podataka kažnjen je s 15.000 eura.

Talijanska agencija za zaštitu podataka (APD) kaznila je podizvođača s 800.000 eura zbog angažiranja sekundarnog podizvođača bez prethodnog odobrenja kontrolora podataka i zbog kasne obavijesti kontrolora podataka o povredi podataka.

Također je kažnjeno pet tvrtki koje su koristile prepoznavanje lica za praćenje prisutnosti na radnom mjestu.

Tijelo je utvrdilo da mjere zaštite podataka nisu bile odgovarajuće, da ljudi nisu primili potrebne informacije te da se mogao koristiti manje nametljiv sustav.

Talijanska agencija za zaštitu podataka (APD) također je 8. ožujka otvorila istragu protiv tvrtke OpenAI, koja je najavila pokretanje novog modela umjetne inteligencije pod nazivom "Sora".

Ovaj model bi bio sposoban stvoriti dinamične, realistične i maštovite scene iz nekoliko tekstualnih uputa.

APD je zatražio od OpenAija niz pojašnjenja s obzirom na implikacije koje bi "Sora" mogla imati na obradu osobnih podataka korisnika u Europskoj uniji, a posebno u Italiji.

Portugalsko tijelo za zaštitu podataka (APD) odlučilo je 25. ožujka naložiti Zakladi Worldcoin da privremeno ograniči prikupljanje biometrijskih podataka od strane "Orba" na nacionalnom teritoriju kako bi zaštitilo prava građana, posebno maloljetnika.

Odluka nameće hitnu privremenu mjeru Zakladi Worldcoin, kao voditelju obrade podataka, do završetka postupka istrage.

Španjolska je donijela sličnu odluku.

Finska agencija za zaštitu podataka (APD) kaznila je IT trgovca s 856.000 eura jer nije odredio razdoblje čuvanja podataka svojih kupaca.

APD je također smatrao da Obrada osobnih podataka vezanih uz pojedinačnu online kupnju ne zahtijeva stvaranje korisničkog računa.

U Njemačkoj je berlinski sud presudio da se kontrolor podataka, prilikom odgovaranja na zahtjev za pristup, ne može ograničiti na pružanje apstraktnog pregleda obrade.

Dužnosnik je naveo nesrazmjerne napore.

Prema sudu, na njih se može pozvati samo u vrlo iznimnim slučajevima.

Islandsko tijelo za zaštitu podataka (APD) kaznilo je Stjörnuna ehf s 10.059,92 eura (1.500.000 ISK). operatera Subwaya na Islandu zbog nezakonitog praćenja njegovih zaposlenika bez odgovarajućeg informiranja.

U Austriji je Vrhovni upravni sud presudio da algoritam Utvrđivanje vjerojatnosti zapošljavanja kandidata za posao predstavlja automatizirano donošenje odluka u smislu članka 22. GDPR-a, čak i ako rezultat isključivo koristi javno tijelo za pružanje ciljanih savjeta o zapošljavanju tražiteljima posla.

 

Britanska vlada u ožujku objavio vodič za odgovorno nabavljanje i primjenu umjetne inteligencije u sektoru ljudskih resursa i zapošljavanja.

UN je 21. ožujka usvojio sveobuhvatnu rezoluciju o umjetnoj inteligenciji.

Organizacija prepoznaje da umjetna inteligencija može pomoći ubrzati postizanje 17 ciljeva održivog razvoja i naglašava hitnost "postizanja globalnog konsenzusa o sigurnim, zaštićenim i pouzdanim sustavima umjetne inteligencije".

Rezolucija potiče države članice da usvoje propise i politike o umjetnoj inteligenciji o raznim temama, uključujući zaštitu privatnosti.

Skupština je pozvala sve države članice i dionike "da se suzdrže od ili prestanu koristiti sustave umjetne inteligencije koji se ne mogu koristiti u skladu s međunarodnim pravom o ljudskim pravima ili koji predstavljaju prekomjerne rizike za uživanje ljudskih prava".

Prema članku Techcruncha od 26. ožujka, savezni sud u Kaliforniji objavio je nekoliko dokumenata kao dio kolektivne tužbe koju su potrošači podnijeli protiv Mete.

Facebook je 2016. godine navodno pokrenuo tajni projekt usmjeren na presretanje i dešifriranje mrežnog prometa između ljudi koji koriste aplikaciju Snapchat i njezinih servera.

Cilj je bio razumjeti ponašanje korisnika i pomoći Facebooku da se natječe sa Snapchatom.

Ministarstvo pravosuđa i FBI objavili su 25. ožujka da su milijuni američkih online računa uhvaćeni u kineskoj hakerskoj zavjeri.

Sedam kineskih državljana optuženo je za provođenje velike kampanje kibernetičkog napada.

Ministarstvo pravosuđa priopćilo je da su hakeri ciljali američke i strane kritičare Kine, tvrtke i političare.

Republikanski guverner Floride potpisao je 25. ožujka zakon kojim se djeci mlađoj od 14 godina zabranjuje pristup društvenim mrežama.

Maloljetnici u dobi od 14 ili 15 godina morat će dobiti izričitu roditeljsku suglasnost za stvaranje računa.

Kada pravila stupe na snagu 1. srpnja 2024., tvrtke poput Facebooka, Instagrama i TikToka u načelu će morati ukinuti postojeće račune koji ne ispunjavaju te uvjete i izbrisati sve odgovarajuće osobne podatke.

Ova je mjera kritizirana i očekuje se da će biti osporena na sudu na temelju ustavnih prava na slobodu izražavanja.

U međuvremenu, Sjedinjene Države razmatraju zabranu TikToka diljem zemlje.

Zastupnički dom je 13. ožujka usvojio takozvani "Zakon o zaštiti Amerikanaca od zahtjeva koje kontroliraju strani protivnici".

Ako Senat usvoji i bude važeći, TikTok će morati odvojiti video platformu od svoje kineske matične tvrtke ByteDance ili ukinuti Amerikancima pristup aplikaciji.

Dana 18. ožujka, na trećem summitu za demokraciju u Seulu, Južna Koreja, Finska, Njemačka, Irska, Japan, Poljska i Republika Koreja pridružile su se Sjedinjenim Državama u zajedničkoj izjavi o naporima u borbi protiv širenja i zlouporabe komercijalnog špijunskog softvera.

Zemlje se obvezuju raditi unutar svojih nacionalnih sustava kako bi uspostavile snažne zaštitne mjere za suzbijanje širenja i zlouporabe ove tehnologije nadzora.

U Kuvajtu je Regulatorno tijelo za informacijske i komunikacijske tehnologije (CITRA) objavilo novi zakon o zaštiti osobnih podataka.