Pravni nadzor br. 74 – kolovoz 2024.  

Telegram, Signal, Whatsapp… Koliko su dobre usluge instant poruka u profesionalnom kontekstu?

U medijima su se pojavile brojne reakcije na uhićenje Pavela Durova, osnivača aplikacije za razmjenu poruka, u Francuskoj. Telegram.

Bez obzira na političke rasprave o toj temi, slučaj nam daje priliku da procijenimo pouzdanost usluga instant poruka.

U kojoj su mjeri razmijenjene informacije zaista povjerljive? Jesu li te aplikacije usporedive i mogu li se koristiti u profesionalnom kontekstu?

Većina servisa za instant poruke danas se hvali šifriranjem svoje komunikacije.

Međutim, praksa se razlikuje ovisno o usluzi razmjene poruka.

Mnogi korisnici Telegrama tako su posljednjih dana saznali da njihova komunikacija nije zaštićena prema zadanim postavkama.

Zaštićena je samo izravna komunikacija između dvaju sudionika koji su ručno aktivirali šifriranje u svojim opcijama razgovora.

Treba napomenuti da Telegram ne koristi enkripciju otvorenog koda poput Signal protokola, već se oslanja na "domaću" tehnologiju koju je nemoguće provjeriti. 

Grupne rasprave (ili chat kanali) ne mogu se šifrirati, pa Telegram stoga može pristupiti njihovom sadržaju, kao i informacijama o članovima i administratorima tih grupa.

Razmjene ovdje više nalikuju onima na društvenim mrežama nego onima na servisima za razmjenu poruka.

Telegram je godinama kritiziran zbog nedostatka moderiranja kanala za raspravu, ignoriranja zahtjeva mnogih vlada za uklanjanje ilegalnog sadržaja i odbijanja dijeljenja informacija o potencijalnim prekršiteljima.

Ove obveze moderiranja i suradnje s agencijama za provedbu zakona propisane su francuskim zakonom i europskom uredbom o digitalnim uslugama.

U tom kontekstu je njegov osnivač uhićen zbog nedostatka suradnje i suučesništva u organiziranom kriminalu.

Ova obveza suradnje ipak ima ograničenja: stoga, komunikacija šifrirana od kraja do kraja ostaje povjerljiva i ne može je presresti treća strana, bilo da se radi o pružatelju usluga razmjene poruka, vladi ili hakeru.

Neke države su zabrinute zbog široko rasprostranjene upotrebe enkripcije i lobiraju za regulatorne promjene koje bi omogućile njezino zaobilaženje.

To je posebno slučaj u kontekstu predložene europske uredbe o seksualnom zlostavljanju djece.

Ovaj pritisak za slabljenje povjerljivosti komunikacija izaziva brojne reakcije branitelja individualnih sloboda i tijela za zaštitu podataka, za koje bi to značilo široko rasprostranjeni nadzor privatnih komunikacija, potkopalo bi digitalnu sigurnost probijanjem enkripcije i ne bi pružilo nikakve dokaze da bi uopće postiglo svoj cilj zaštite djece.

S obzirom na trenutno stanje prava i tehnologije, toplo se preporučuje korištenje end-to-end enkriptiranih poruka za razmjenu profesionalnih poruka, posebno kada je sadržaj poruke osjetljiv (npr. medicinski ili financijski podaci).

I u tom pogledu, nisu sve aplikacije jednake. Iako sadržaj poruke može biti zaštićen, enkripcija ne sprječava prikupljanje određenih podataka o identifikaciji korisnika i/ili povezivanju.

Poseban oprez preporučuje se u svim slučajevima korištenja diskusijskih grupa.

Korištenje grupa WhatsApp Razmjena osjetljivih podataka u profesionalnom kontekstu rezultirala je sankcijama tijela za zaštitu podataka protiv kontrolora podataka.

Signal Općenito je prepoznat kao pružatelj visoke razine zaštite, ali nije jedini.

Na primjer, možemo spomenuti Threema I Olvid Prednost ovih usluga je što su europske. Međutim, nedostatak im je što su još uvijek relativno nepoznate. Unutar tvrtke, takvi sustavi za razmjenu poruka ipak mogu predstavljati zanimljivu alternativu.

Napomena / Brojne analize detaljno opisuju snage i slabosti aplikacija za razmjenu poruka. Na primjer, pogledajte onu tvrtke Orange Cyberdefense: https://www.orangecyberdefense.com/fr/insights/blog/data/securite-et-vie-privee-comparatif-des-apps-de-messagerie-instantanee

Za sveobuhvatniju analizu onoga što provođenje zakona može dobiti od usluge razmjene poruka, pogledajte ovaj FBI-jev dokument o obuci dobiven putem zahtjeva Zakona o slobodi informiranja od strane Property of the People, američke neprofitne organizacije posvećene transparentnosti vlade: https://propertyofthepeople.org/document-detail/?doc-id=21114562

 

        

SOS liječnici su 2. rujna naznačili da je CNIL dao odobrenje za stvaranje skladišta podataka udruge pod nazivom "Kontakt".

Prema SOS liječnicima, Contact je "posvećen neplaniranoj skrbi i poboljšanju pristupa skrbi, (i) promovirat će istraživanja i inovacije u zdravstvu."

Sigurno će i povjerljivo konsolidirati podatke milijuna pacijenata koji se svake godine liječe unutar 64 udruženja federacije.

Prema federaciji, ove podatke treba ponovno koristiti u korist pacijenata kako bi se poboljšale prakse i optimizirala skrb.

Sveučilište Paris-Saclay objavilo je da je 11. kolovoza bilo meta napada ransomwareom. Ovaj incident dogodio se tjedan dana nakon još jednog kibernetičkog napada na više od 40 kulturnih institucija u Francuskoj: kibernetički kriminalci su navodno infiltrirali računalni sustav zajednički za "Réunion des musées nationaux – Grand Palais", koji centralizuje sve financijske podatke tih institucija, te su zaprijetili objavom podataka u roku od 48 sati ako se ne plati otkupnina.

Prema L'Usine Digitale, 36 trgovina kojima upravlja mreža bile su pogođene i sustavi su bili isključeni. Pariško javno tužiteljstvo pokrenulo je istragu.

 

Europske institucije i tijela

Europska komisija otvorila je savjetovanje o zaštiti maloljetnika na internetu koje traje do 30. rujna. posebno u kontekstu Zakona o digitalnim uslugama (DSA) i Prijavljivanje materijala s dječjom pornografijom (CSAM).

U skladu sa Zakonom o digitalnim uslugama (DSA), Komisija mora razviti smjernice koje će pomoći dotičnim online platformama da se pridržavaju zahtjeva za zaštitu privatnosti i sigurnosti maloljetnika.

„Ove smjernice pružit će neiscrpan popis dobrih praksi i preporuka za pružatelje online platformi kako bi im pomogli u smanjenju rizika povezanih sa zaštitom maloljetnika. Smjernice će također pomoći Komisiji i koordinatorima digitalnih usluga u nadzoru platformi i provedbi Zakona o digitalnim uslugama.“

Europska komisija objavit će ove jeseni svoje prvo izvješće o funkcioniranju „Okvira za privatnost podataka“ (DPF) između Europske unije i Sjedinjenih Američkih Država. U srpnju je održan bilateralni sastanak za procjenu ove teme, a Komisija je također otvorila javno savjetovanje koje omogućuje slanje komentara do 6. rujna.

Kina i EU započele su rasprave o prijenosu podataka u okviru novog "mehanizma komunikacije prekograničnog protoka podataka". Prema Europskoj komisiji, mehanizam ima za cilj pronaći načine za olakšavanje prekograničnog prijenosa neosobnih podataka za europske tvrtke, kao i njihovu usklađenost s kineskim zakonima o podacima.

 

Vijesti iz zemalja članica Europe.

U Njemačkoj je Apelacijski sud u Frankfurtu naložio Microsoftu da se suzdrži od postavljanja i pohranjivanja kolačića na uređaje dotične osobe bez njezina pristanka, čak i ako to znači da Microsoft prestane postavljati sve kolačiće za praćenje.

Čini se da je ova odluka u skladu s nedavnom presudom nizozemskog suda kojom je Microsoftu, LinkedInu i Xandru zabranjeno postavljanje kolačića za praćenje bez pristanka korisnika te je izrečena kazna od 1000 eura po tvrtki za svaki dan nepoštivanja odluke (putem GDPRhuba).

Belgijsko tijelo za zaštitu podataka (DPA) odbacilo je pritužbu koju je podnio subjekt podataka nakon povrede podataka. Smatralo je da su tehničke i organizacijske mjere koje je poduzeo voditelj obrade podataka prema članku 32. GDPR-a bile primjerene.

Danska službena razvojna pomoć (ODA) smatralo se da bi postojao slobodan i izričit pristanak na korištenje prepoznavanja lica za pristup fitness centru, dotična osoba mora imati druge metode provjere koje ne uključuju obradu biometrijskih podataka.

U Španjolskoj je Tijelo za zaštitu podataka (APD) kaznilo kontrolora podataka s 145.000 eura nakon krađe nešifriranog USB pogona koji je sadržavao osobne podatke povezane s kaznenim postupkom.Utvrdila je kršenje načela povjerljivosti, iako nije bilo dokaza da je podacima pristupljeno.

U Italiji, APD izrekao je novčanu kaznu od 20.000 eura općini koja je nezakonito objavila imena neuspješnih prijavitelja u postupku javnog odabira. Nadalje, općina nije sklopila obvezujući ugovor sa svojim podizvođačem, što predstavlja kršenje članka 28(3) GDPR-a.

APD je također kaznio telekomunikacijskog davatelja usluga s milijun eura zbog kontaktiranja svojih korisnika u komercijalne svrhe bez dobivanja valjane suglasnosti. Tijelo za zaštitu podataka smatralo je da se voditelj obrade podataka ne može pozivati na legitimni interes za upućivanje telefonskih poziva svojim klijentima u marketinške svrhe.

Dana 22. srpnja, u suradnji s CNIL-om, nizozemska Agencija za zaštitu podataka (APD) izrekla je kaznu od 290 milijuna eura protiv tvrtki Uber BV (sa sjedištem u Nizozemskoj) i Uber technologies INC. (sa sjedištem u Sjedinjenim Državama) zbog prijenosa osobnih podataka izvan EU bez dovoljnih zaštitnih mjera.

CNIL (Francusko tijelo za zaštitu podataka) primilo je kolektivnu pritužbu Lige za ljudska prava, koja predstavlja više od 170 vozača na platformi. Nizozemsko tijelo za zaštitu podataka (APD) utvrdilo je da obrada osobnih podataka vozača, za koju su zajednički odgovorni Uber BV i Uber Technologies Inc., uključuje prijenose u Sjedinjene Američke Države. Između 6. kolovoza 2021. i 21. studenog 2023. (datum kada je Uber dodan u Okvir za zaštitu privatnosti podataka), ti prijenosi nisu bili podložni odgovarajućim zaštitnim mjerama. APD je zaključio da je došlo do kršenja članka 44. GDPR-a. Uber je najavio svoju namjeru da se žali na ovu odluku, koju smatra neutemeljenom.

Nizozemska Agencija za zaštitu podataka (APD) također je 3. rujna izrekla kaznu od 30,5 milijuna eura tvrtki Clearview AI, uz dodatnu kaznu od 5 milijuna eura zbog nepoštivanja propisa. Clearview je, posebno, stvorio ilegalnu bazu podataka koja sadrži milijarde slika lica, uključujući i one nizozemskih građana. APD je također nametnuo zabranu korištenja Clearviewovih usluga. Budući da tvrtka nije pokazala spremnost promijeniti svoje prakse, APD je naznačio da istražuje različite pravne puteve, uključujući mogućnost osobne odgovornosti rukovoditelja tvrtke za te prekršaje.

Norveško sveučilište za znanost i tehnologiju (NTNU) objavilo je izvješće pod nazivom "Pilotiranje Copilota za Microsoft 365" pod pokroviteljstvom "sandboxa" Norveškog tijela za zaštitu podataka.

Sveučilište je testiralo Microsoftovu uslugu umjetne inteligencije Copilot i objavilo 8 ključnih otkrića početkom ljeta 2024., korisnih prije početka korištenja ove nove usluge.

Slovenski organ za zaštitu podataka (APD) smatrao je da škola može djelomično odbiti udovoljiti zahtjevu za pristup koji je podnio roditelj ako bi otkrivanje određenih podataka moglo naštetiti najboljim interesima maloljetnika.

Švicarska je 14. kolovoza donijela odluku o adekvatnosti za Sjedinjene Države, dopuštajući prijenos podataka tvrtkama certificiranim prema švicarsko-američkom "okviru za zaštitu privatnosti podataka".

Švicarska se tako pridružuje Europskoj uniji i Ujedinjenom Kraljevstvu, koje organizacijama omogućuju prijenos osobnih podataka svojih stanovnika u Sjedinjene Države pod sličnim uvjetima.

Nevladina organizacija noyb upozorila je medije 12. kolovoza na društvenu mrežu "X" koja je počela ilegalno koristiti osobne podatke više od 60 milijuna korisnika u EU/EGP-u za obuku svoje AI tehnologije ("Grok") bez njihovog pristanka.

Za razliku od Mete (koja je nedavno morala prekinuti obuku za umjetnu inteligenciju u EU), Twitter, prema nevladinoj organizaciji, nije unaprijed obavijestio svoje korisnike. Irska komisija za zaštitu podataka pokrenula je pravni postupak protiv X-a, a noyb je podnio pritužbe u devet europskih zemalja kako bi zaustavio te prakse. X-ova obveza da prestane koristiti ove podatke konačno je došla kada je sada dostupna nova verzija Groka. Prema nevladinoj organizaciji, model umjetne inteligencije doista je u međuvremenu obučen korištenjem podataka EU-a.

 

U Ujedinjenom Kraljevstvu, voditelj obrade podataka ukoren je zbog toga što nije proveo procjenu utjecaja na privatnost kako je propisano člankom 35. britanske GDPR-a prije uvođenja sustava za prepoznavanje lica u školi. Voditelj obrade podataka također nije dobio valjanu privolu.

Ujedinjeni narodi i Međunarodna organizacija rada objavili su izvješće pod nazivom "Mind the AI Divide – Shaping a Global Perspective on Future of Work" (Pazite na podjelu umjetne inteligencije – Oblikovanje globalne perspektive o budućnosti rada).

Između ostalih nalaza, izvješće spominje da tehnološki napredak ugrožava radna mjesta u sektorima poput pozivnih centara i drugih vrsta outsourcinga poslovnih procesa koji su rašireni u nekim zemljama u razvoju.

Iako bi se neki zadaci u tim profesijama potencijalno mogli automatizirati, u dokumentu se dodaje da većina i dalje zahtijeva ljudsku intervenciju. „Takva djelomična automatizacija mogla bi dovesti do povećanja učinkovitosti, omogućujući ljudima da posvete više vremena drugim područjima rada.“

Američki savezni sudac presudio je 5. kolovoza da Google ima nezakoniti monopol na internetsko pretraživanje. Sud je zaključio da je "Google prekršio članak 2. Shermanovog zakona održavajući svoj monopol na dva tržišta proizvoda u Sjedinjenim Državama - općim uslugama pretraživanja i općem tekstualnom oglašavanju - putem svojih ekskluzivnih ugovora o distribuciji."

Nigerija je prošlog kolovoza objavila svoju "nacionalnu strategiju za umjetnu inteligenciju".

Posebno se navodi da: „Nigerija i širi afrički kontinent posjeduju neke od najizrazitijih i najzanimljivijih izazova i prilika koje bi umjetna inteligencija mogla riješiti. Od optimizacije poljoprivrede u različitim klimama do poboljšanja infrastrukture javnog zdravstva, lokalno razvijena rješenja umjetne inteligencije, prilagođena lokalnim stvarnostima, daleko su bolje opremljena za rješavanje tih izazova od izvana nametnutih modela stvorenih za potpuno drugačiji kontekst i ljude. (...) Mnogi skupovi podataka u Nigeriji pate od netočnosti, nepotpunosti i nedostatka standardizacije. Kvaliteta podataka mora se poboljšati kako bi se osigurala pouzdanost i učinkovitost algoritama umjetne inteligencije, kojima su za optimalno funkcioniranje potrebni čisti i točni podaci.“

"X" je obustavio svoje poslovanje u Brazilu nakon višemjesečnog sukoba sa sucem Vrhovnog suda.

Sudac je 31. kolovoza naredio zabranu X-a i zamrzavanje imovine Elon Muskove svemirske tvrtke Starlink. Ova odluka uslijedila je nakon višemjesečne istrage širenja lažnih i klevetničkih informacija putem društvene mreže, kao i daljnje istrage protiv Muska zbog navodnog ometanja pravde.