Prijenosi osobnih podataka u Sjedinjene Američke Države: izvješće o napretku

Pravni nadzor br. 55 – Siječanj 2023.

Prijenosi osobnih podataka u Sjedinjene Američke Države: izvješće o napretkuPravna nesigurnost koja trenutno opterećuje razmjenu podataka između Europe i Sjedinjenih Država utječe na konkretna područja poput borbe protiv nedostatka stambenog prostora u Francuskoj ili korištenja online knjižnica u Finskoj.

Tvrtka Abritel odbila je dati podatke o najmu gradu Parizu jer potonji za to prikupljanje koristi pružatelja usluga koji podatke prenosi u Sjedinjene Američke Države.

Pariški sud presudio je u korist Abritela u svojoj presudi od 30. studenog 2022.

Prošlog prosinca, finska Uprava za zaštitu podataka otkrila je da su četiri grada, između ostalog, ilegalno prenijela osobne podatke u Sjedinjene Države koristeći Google Analytics i Google Tag Manager na online uslugama svojih javnih knjižnica.

Složenost transfera danas uglavnom je posljedica presuda Suda Europske unije u predmetima „Schrems I“ i „Schrems II“ iz listopada 2015., odnosno srpnja 2020.

Tim su presudama poništeni uzastopni sporazumi sklopljeni između EU-a i Sjedinjenih Država pod nazivima Načela sigurne luke i Štit privatnosti.

U svojoj presudi iz 2020. godine, Sud je utvrdio da je Štit privatnosti, iako u načelu pruža razinu zaštite koja je u biti jednaka onoj Europske unije, u praksi postao neučinkovit zbog konkretnih zahtjeva koji se odnose na nacionalnu sigurnost, javni interes i usklađenost sa zakonima SAD-a.

Utvrđeno je da je opseg nadzornih ovlasti američkih vlasti bio prekomjeran prema europskom pravu te da prava osoba koje nisu državljani SAD-a na žalbu neovisnim sudovima nisu bila zajamčena.

Od objave ove odluke, kontrolori podataka na koje se primjenjuje GDPR moraju poduzeti posebne mjere opreza prije bilo kakvog prijenosa u Sjedinjene Američke Države.

Korištenje ugovornih klauzula koje jamče zaštitu podataka ostaje opcija, pod uvjetom da se provedu posebne provjere u vezi sa sadržajem klauzula, kontekstom prijenosa i pravnim režimom koji se primjenjuje u trećoj zemlji (posebno u vezi s nacionalnom sigurnošću).

Ako situacija predstavlja posebne rizike, voditelj obrade podataka mora poduzeti dodatne mjere.

Prošle godine Komisija je usvojila modernizirane „standardne ugovorne klauzule“ kako bi olakšala njihovu upotrebu i objavila praktične savjete za poduzeća.

Europski odbor za zaštitu podataka također je u svojim preporukama od 18. lipnja 2021. objasnio provjere koje treba provesti kao dio analize učinka prijenosa.

Međutim, takve zahtjeve može biti teško provesti ako je primatelj podataka u dominantnom položaju.

Jednostavnije rješenje u takvim slučajevima je korištenje rješenja za obradu podataka koja se nalaze u Europskoj uniji.

Dana 13. prosinca, nakon nekoliko mjeseci pregovora sa Sjedinjenim Državama, Europska komisija objavila je dugo očekivani nacrt odluke o adekvatnosti u vezi s razinom zaštite podataka preko Atlantika.

Među pravima koja će građani EU-a imati u okviru novog pravnog okvira, Europska komisija spominje jamstvo pravnih sredstava, uključujući slobodan pristup neovisnim mehanizmima za rješavanje sporova i arbitražnom panelu.

Nadalje navodi niz ograničenja i zaštitnih mjera u vezi s pristupom podacima od strane javnih tijela SAD-a, posebno u svrhu provedbe zakona i nacionalne sigurnosti.

Ta jamstva proizlaze iz novih pravila uvedenih američkom uredbom od 7. listopada 2022., koja bi odgovorila na pitanja koja je postavio Sud EU-a u presudi Schrems II.

Prije donošenja konačne odluke, nacrt mora pregledati Europski odbor za zaštitu podataka (EDPB).

Ovaj pregled mogao bi rezultirati odlukom u roku od otprilike dva mjeseca.

Nacrt odluke zatim će morati odobriti odbor predstavnika država članica EU-a.

Europski parlament također ima pravo preispitati odluke o adekvatnosti.

Hoće li konačna odluka, koja se očekuje sljedećeg proljeća, pružiti željena jamstva u pogledu zaštite podataka, tamo gdje prethodni sporazumi nisu uspjeli?

Europski nadzornik za zaštitu podataka (EDPS) nedavno je optimistično komentirao projekt: „Ovo se razlikuje od onoga što smo vidjeli sa Safe Harborom. Ovo nije ono što smo vidjeli sa Privacy Shieldom. Ovo je nešto novo i vrlo obećavajuće.“

Max Schrems je sa svoje strane već najavio da je spreman poduzeti treću pravnu akciju ako tekst ne bude učinkovito štitio temeljna prava Europljana.

I također

Francuska:

Startup Lusha, optužen za krađu profesionalnih telefonskih brojeva i adresa e-pošte 1,5 milijuna Francuza, ne podliježe GDPR-u, prema ograničenom odboru CNIL-a odgovornom za izricanje sankcija.

Rasprava se usredotočila na tumačenje članka 3(2)(b) Uredbe, koji predviđa primjenu europskog prava na tvrtke koje nemaju sjedište u EU kada provode „praćenje ponašanja“ ispitanika: u svojoj raspravi od 20. prosinca 2022., CNIL, distancirajući se od zaključaka svog izvjestitelja, „ne smatra da bi se online prikupljanje ili analiza osobnih podataka koji se odnose na pojedince u Uniji automatski smatrali „praćenjem““ te smatra da je potrebno uzeti u obzir svrhu obrade podataka i, posebno, sve naknadne tehnike analize ponašanja ili profiliranja koje uključuju te podatke.

Dana 29. prosinca, CNIL je kaznio TikTok s 5.000.000 eura. za ugrađivanje reklamnih identifikatora na korisničke uređaje bez njihovog prethodnog pristanka.

TikTokov banner o kolačićima također je smatran nedovoljno informativnim.

Istog dana, sankcionirala je i tvrtku VOODOO, izdavač igara za pametne telefone, kažnjen je s 3 milijuna eura zbog korištenja prvenstveno tehničkog identifikatora za oglašavanje bez pristanka korisnika.

Suprotno trenutnom trendu, Gradsko vijeće Montpelliera odlučilo je 16. prosinca, na kraju prezentacije o prepoznavanju lica u kontekstu video nadzora i javnih sloboda, zabraniti "korištenje automatizirane obrade analize slika na temelju osobnih ili individualnih podataka" u svom javnom prostoru.

Prijedlog zakona o korištenju umjetne inteligencije u kontekstu Olimpijskih igara 2024. godine Senat je odobrio 24. siječnja.

CNIL je izdao primjedbe na ovaj tekst, napomenuvši da je nekoliko mjera u skladu s njegovim preporukama: eksperimentalno raspoređivanje, ograničeno vremenski i prostorno, za određene specifične svrhe i koje odgovara ozbiljnim rizicima za pojedince, izostanak obrade biometrijskih podataka i usklađivanja s drugim datotekama te odluke podložne prethodnoj ljudskoj intervenciji.

CNIL je također istaknuo intruzivnu prirodu odredbi koje predviđaju obradu genetskih podataka za antidopinške analize.

Europa:

Nakon pritužbe Irskog vijeća za građanske slobode (ICCL) i odluke Ombudsmana EU-a od 19. prosinca 2022., Europska komisija obvezala se preispitati postupanje tijela za zaštitu podataka u slučajevima kršenja GDPR-a koja uključuju velike tehnološke tvrtke.

Mjerit će vrijeme potrebno za svaki korak svakog postupka i njegov napredak, a ovaj pregled provodit će šest puta godišnje.

Europski odbor za zaštitu podataka (EDPB) osnovao je radnu skupinu za detaljno ispitivanje pitanja vezanih uz kolačiće..

U nacrtu izvješća od 17. siječnja, EDPB pojašnjava specifične prakse koje su nezakonite, uključujući:

• Nedostatak opcije za odjavu na početnoj stranici
• Unaprijed označeni okviri
• Linkovi na opciju isključivanja malim slovima u odvojenom tekstu
• Veze na opciju isključivanja izvan bannera kolačića
• Tvrdnja o legitimnom interesu za instaliranje nebitnih kolačića
• Nepostojanje trajne mogućnosti povlačenja privole.

EDPB pojašnjava da ovi zaključci odražavaju minimalni prag u ocjenjivanju kolačića.

Treba ih kombinirati sa zahtjevima Direktive o e-privatnosti i čitati u svjetlu ostalog rada EDPB-a o tamnim obrascima.

Posebni odbor Europskog parlamenta (PEGA) istražit će korištenje Pegasusa i drugi softver za nadzor špijunskog softvera nastavlja svoj rad provođenjem studija, stručnih saslušanja i posjeta Izraelu, Poljskoj i Grčkoj radi utvrđivanja činjenica. Nacrt preporuka bit će predstavljen Parlamentu 10. lipnja.

Nevladina organizacija EDRi organizirala je svoju godišnju konferenciju, Kamp privatnosti, 25. siječnja. koja okuplja branitelje digitalnih prava, aktiviste, akademike i kreatore politika oko aktualnih pitanja ljudskih prava.

Prezentacije su dostupne online putem web stranice događaja.

U važnoj presudi od 12. siječnja 2023. (predmet C-154/21), Sud Europske unije potvrdio je da voditelj obrade podataka ima obvezu dostaviti svakoj osobi koja to zatraži popis točni primatelji njihovih osobnih podataka kada su podijeljeni s trećim stranama, a ne samo kategorija primatelja.

Sud EU-a u drugoj presudi od 12. siječnja (predmet C-132/21) navodi da Upravni i građanski pravni lijekovi predviđeni GDPR-om mogu se koristiti istodobno i neovisno jedno od drugoga.

Stoga se mogu pokrenuti paralelni postupci podnošenja pritužbi pred tijelima za zaštitu podataka i pravni postupci o istom pitanju.

Na državama je članicama da osiguraju da paralelno korištenje ovih pravnih sredstava ne naruši dosljednu i ujednačenu primjenu Uredbe.

Zakon o sigurnosti na internetu u Velikoj Britaniji trenutno se raspravlja u parlamentu.

Tekst, čiji je cilj zaštita djece, identificira rizičan sadržaj, posebno sadržaj samoozljeđivanja, „deep fakeove“ i dijeljenje intimnih slika bez pristanka, što će biti definirano kao nova kaznena djela.

Kritičari ističu nedostatak definicije ili preciznosti u tekstu, što bi omogućilo prekomjerno brisanje sadržaja i uspostavljanje široko rasprostranjenog nadzora.

Web stranica "enforcementtracker" predstavlja popis financijskih kazni koje su izrekla nadzorna tijela u primjeni GDPR-a: 2022. godina završila je s ukupno više od 830 milijuna eura za 448 kazni, u usporedbi s 1,3 milijarde eura u 2021. godini.

Nije iznenađujuće da Irska, dom najvećih tehnoloških tvrtki, drži prvo mjesto s preko 80 000 kazni.

Irska DPA je u četvrtak, 19. siječnja, objavila kaznu od 5,5 milijuna eura protiv WhatsAppa, uz slične odluke protiv Facebooka i Instagrama.

Utvrđeno je da je pravna osnova koju WhatsApp koristi za obradu osobnih podataka (poboljšanje usluge i sigurnost) u suprotnosti s europskim pravom.

Ovu odluku kritiziralo je civilno društvo, koje napominje da irsko tijelo nije riješilo središnje pitanje korištenja podataka za bihevioralno oglašavanje, marketing, pružanje metričkih podataka trećim stranama i razmjenu podataka s povezanim tvrtkama, unatoč odluci EDPB-a objavljenoj 24. siječnja.

Norveška službena razvojna pomoć (ODA) utvrđeno je da je kurirska i logistička tvrtka prekršila članak 32. GDPR-a zbog nedovoljne procjene rizika i nedostatka odgovarajućih sigurnosnih mjera.

Aplikacija je koristila telefonske brojeve kao jedino sredstvo autentifikacije za pristup profilu korisnika.

Španjolska vlast smatralo je da se Nacionalna komisija protiv nasilja, rasizma, ksenofobije i netolerancije u sportu ne može pozvati na iznimku javnog interesa iz članka 9(2)(g) GDPR-a za obradu biometrijskih podataka nogometnih navijača koji ulaze na stadione.

Talijanska službena razvojna pomoć kaznio je sportski klub s 20.000 eura zbog nezakonitog korištenja sustava otiska prsta za evidentiranje prisutnosti zaposlenika na poslu.

Također je kažnjena tvrtka Areti, dobavljač energije, s milijun eura zbog pogrešnog označavanja nekih svojih kupaca kao prevaranata, čime ih je spriječila da promijene dobavljača energije.

Estonska službena razvojna pomoć (ODA) smatrao je da korištenje CCTV kamera za praćenje zaposlenika ne može biti utemeljeno na privoli, već samo na legitimnom interesu u smislu članka 6(1)(f) GDPR-a, pod uvjetom da je provedena valjana procjena tog interesa.

Međunarodni

„Privatnost već u dizajnu“ postaje međunarodni standardMeđunarodna organizacija za normizaciju (ISO) usvojit će 8. veljače normu ISO 31700.

To uključuje 30 zahtjeva i smjernica o načelima privatnosti već u dizajnu.

SJEDINJENE AMERIČKE DRŽAVE: Osim razvoja tehničkih standarda (NIST Risk Management Framework) u području politike umjetne inteligencije, Bijela kuća objavila je nacrt Povelje o pravima umjetne inteligencije.

Nekoliko američkih saveznih država također radi na zakonodavstvu u ovom području.

Predsjednik Biden nedavno je ponovio ove preporuke u kolumni za Wall Street Journal ističući napore svoje administracije u borbi protiv algoritamske diskriminacije, promicanju algoritamske transparentnosti i provedbi zakonodavstva za upravljanje umjetnom inteligencijom.

I u području umjetne inteligencije, Dana 27. siječnja Europska komisija i američka administracija potpisale su "administrativni sporazum o umjetnoj inteligenciji za javno dobro".

Sporazum je potpisan u okviru Vijeća za trgovinu i tehnologiju EU-a i SAD-a (TTC).

Microsoft je sredinom prosinca na svom blogu objavio da premješta pohranu podataka svojih europskih kupaca unutar Europske unije.

Međutim, ovaj program ne rješava sva pitanja vezana uz pristup Sjedinjenih Država europskim podacima.

Zakon o oblaku omogućuje američkim kaznenim vlastima pristup podacima američkih pružatelja usluga u oblaku, bez obzira na to gdje su podaci pohranjeni, i bez potrebe za pokretanjem postupka putem međunarodne uzajamne pravne pomoći.

Australija je već nekoliko mjeseci žrtva kibernetičkih napada usmjerenih na vladine agencije i privatni sektor.

Zemlja sumnja u napade ruskog i kineskog podrijetla, koji imaju za cilj paralizirati institucije i poduzeća u zemlji te izravno utjecati na živote građana masovnim širenjem osobnih podataka.

Za neke je ovo nagovještaj onoga što čeka zapadne zemlje, primjerice, nekoliko njemačkih željezničkih sustava nedavno je doživjelo čudne kvarove.

Nakon što je to najavljeno prošlog ožujkaRuska vlada formalno se povlači iz Konvencije Vijeća Europe 108 o zaštiti podataka. kao i sve ostale međunarodne ugovore Vijeća Europe.

Nakon te objave, Vijeće je sa svoje strane uvelo formalni mehanizam i jednostrano prekinulo članstvo Rusije.

Anne Christine Lacoste

Partnerica u tvrtki Olivier Weber Avocat, Anne Christine Lacoste, odvjetnica je specijalizirana za pravo podataka; bila je voditeljica međunarodnih odnosa u Europskom nadzorniku za zaštitu podataka i radila je na provedbi GDPR-a u Europskoj uniji.