Nova godina u znaku iščekivanja

Pravni nadzor br. 42 – Prosinac 202.1

Nova godina u znaku iščekivanja

Što se tiče zaštite podataka, godina koja počinje ne najavljuje nikakve veće nove događaje, već evoluciju i možda strateške odluke u vezi s određenim aktualnim pitanjima.

Usredotočimo se na tri od njih: provedbu GDPR-a od strane nadzornih tijela, zdravstvena pitanja i regulaciju digitalnih divova.

Jedna od tema koje se ponavljaju od stupanja na snagu GDPR-a tiče se ozbiljnosti njegove provedbe od strane nacionalnih tijela za zaštitu podataka. i veliku razliku između broja i težine usvojenih sankcija, ovisno o tome je li odgovorna osoba u Irskoj ili Španjolskoj, na primjer.

Čini se da je potonja zemlja jedna od onih koje su nametnule najveći broj sankcija, dok Luksemburg i CNIL mogu tražiti najviše kazne od GAFAM-a (podsjetimo se na kaznu od 746 milijuna eura koju je Luksemburg nametnuo tvrtki Amazon).

Na drugom kraju spektra je irsko tijelo za zaštitu podataka, koje su otvoreno kritizirali neki od njegovih kolega, kao i potpredsjednik Europske komisije, zbog svoje nemarnosti prema glavnim web igračima.

Kako bi se ojačala kohezija i učinkovitost kontrolnih postupaka unutar Europe, neki govore o jačanju ovlasti Europskog odbora za zaštitu podataka (EDPB).

Problem će se rješavati na konferenciji koju organizira Europski nadzornik za zaštitu podataka 16. i 17. lipnja u Bruxellesu.

Obrada zdravstvenih podataka predstavlja, nakon zdravstvene krize, još jednu veliku temu koja izaziva zabrinutost..

Zabrinuti su

• Pitanja vezana uz uvjete medicinskih istraživanja,
• Obrada genetskih podataka i rizici preprodaje podataka prikupljenih kao dio testova probira od strane određenih laboratorija, kao što je pokazao nedavni britanski slučaj tvrtke Signpost Diagnostics,
• Praćenje pojedinaca putem aplikacija i drugih zdravstvenih propusnica, 

• I konačno, rizici povezani sa sigurnošću podataka: posebno mislimo na povredu podataka u vezi s rezultatima Covid testa tvrtke FranceTest, kojoj je CNIL prošlog listopada formalno naložio zaštitu podataka, ili curenje podataka u vezi s Assistance Publique-Hôpitaux de Paris.

Iako CNIL redovito objavljuje svoja stajališta o ovoj temi, primjećujemo da je u svojoj raspravi u parlamentu od 30. studenog naznačio da čeka da vlada dostavi elemente namijenjene potpori učinkovitosti implementiranih dosjea i sredstava kontrole.

Treće aktualno pitanje odnosi se na regulatorne inicijative Europske unije u vezi s digitalnim uslugama i umjetnom inteligencijom.

Osim upravljanja kolačićima, koje je i dalje na meti nacionalnih vlasti, europski zakonodavac zabrinut je zbog rastuće moći web divova, posrednika u dominantnom položaju koji pružaju usluge razmjene poruka i društvenih mreža.

Također je problematično korištenje biometrije i umjetne inteligencije za sve nametljivije svrhe profiliranja te manipulacija korisnicima interneta bez njihova znanja (tamni obrasci) putem prikazivanja ciljanog sadržaja.

Nekoliko je tekstova u procesu usvajanja na europskoj razini, uključujući dva prijedloga Europske komisije o digitalnim tržištima i digitalnim uslugama te prijedlog o umjetnoj inteligenciji. 

Europski parlament usvojio je stajalište o prijedlogu o digitalnim tržištima 5. prosinca.

Među promjenama u tekstu je i dodavanje zahtjeva za interoperabilnost između usluga glavnih platformi za instant poruke i društvene mreže, s ciljem da se korisnicima omogući jednostavna promjena pružatelja usluga i borba protiv dominantnih položaja.

Na početku francuskog predsjedanja Vijećem Europske unije, Europski nadzornik za zaštitu podataka upravo je uputio svoje najbolje želje za uspjeh francuskoj vladi, naglasivši važnost ova tri glavna pitanja vezana uz digitalnu tehnologiju i umjetnu inteligenciju te naznačivši da će pomno pratiti razvoj događaja u tim područjima.

Iako se čini da su neki prioriteti već dobro definirani, nadajmo se da će nam ova nova godina donijeti svoj dio lijepih iznenađenja, kao i velike daške svježeg zraka, konačno.

I također

Francuska:

CNIL je sankcionirao tvrtku 6. siječnja Google u iznosu od 150 milijuna eura, a tvrtka Facebook do 60 milijuna eura, zbog nepoštivanja zakonskih odredbi u vezi s kolačićima.

Dana 28. prosinca, CNIL je tvrtki izrekao kaznu od 300.000 eura. BESPLATNI MOBITEL, posebno zbog nepoštivanja prava pojedinaca i sigurnosti podataka svojih korisnika.

Istog datuma, sankcionirala je i tvrtku SLIMPAY, koja svojim korisnicima nudi rješenja za plaćanje, kažnjena je sa 180.000 eura zbog toga što nije adekvatno zaštitila osobne podatke korisnika i nije ih obavijestila o povredi podataka.

Predsjednik CNIL-a formalno je obavijestio tvrtku 26. studenog CLEARVIEW AI prestati prikupljati fotografije i videozapise dostupne na internetu te izbrisati podatke u roku od 2 mjeseca.

Tvrtka je razvila softver za prepoznavanje lica čija se baza podataka temelji na ekstrakciji fotografija i videozapisa javno dostupnih na internetu.

A nova verzija CNIL vodiča za razvojne programere upravo je objavljen. Ovaj vodič pruža novi sadržaj osmišljen kako bi pomogao stručnjacima za web i razvoj aplikacija u osiguravanju usklađenosti njihovog rada.

Tamo SNCF U prosincu je svojih 7000 servera i 250 aplikacija preselio u Amazonov oblak, točnije u tri podatkovna centra u pariškoj regiji.

Cilj tvrtke je također proširiti upotrebu umjetne inteligencije.

Europa

THE Europski odbor za zaštitu podataka objavila je 14. prosinca smjernice kako bi pomogla kontrolorima podataka u upravljanju sigurnosnim propustima.

Tekst uključuje velik broj primjera i razrađuje mjere koje treba poduzeti ovisno o vrsti prekršaja.

Agencija Europske unije za temeljna prava (FRA) u suradnji s tijelima za zaštitu podataka objavljuje vodič namijenjen boljem informiranju tražitelja azila i migranata o korištenju njihovih otisaka prstiju.

Kada ih se zaustavi na vanjskoj granici Europske unije, dužni su dati otiske prstiju, koji se pohranjuju u Eurodac datoteci.

Upravni sud u Wiesbadenu Dana 1. prosinca, njemačka tvrtka naredila je Sveučilištu primijenjenih znanosti RheinMain da prestane koristiti upravitelj privola „Cookiebot“. Razlog tome bio je nezakonit prijenos podataka posjetitelja web stranice u Sjedinjene Države.

Finsko tijelo za zaštitu podataka 7. prosinca kaznila je tvrtku za psihoterapiju s više od 600.000 eura zbog toga što nije adekvatno osigurala sigurnost podataka svojih pacijenata i nije ih obavijestila o dva sigurnosna propusta koja su dovela do ucjene dotičnih pacijenata i same tvrtke.

Norveško tijelo za zaštitu podataka izrečena mu je novčana kazna od 6.300.000 eura Grindr dijeliti podatke svojih korisnika s trećim stranama u svrhu profiliranja i oglašavanja, bez njihovog pristanka.

Nizozemska porezna uprava kažnjen je s 2.750.000 eura zbog obrade podataka bez pravne osnove i kršenjem načela pravičnosti (članci 5(1)(a) i 6(1)(e) GDPR-a).

Belgijsko ministarstvo obrane bio je žrtvom ozbiljnog kibernetičkog napada 20. prosinca uzrokovanog zlonamjernim softverom Log4Shell, koji je nekoliko dana utjecao na aktivnosti administracije. 

Belgijsko tijelo za zaštitu podataka kaznio je tvrtku s 10.000 eura zbog kupnje baze podataka za potrebe izravnog marketinga bez provjere jesu li podaci prikupljeni zakonito.

Tvrtka također nije obavijestila dotične pojedince o ovom neizravnom prikupljanju podataka, niti je odgovorila na zahtjev pojedinca za pristup.

Međunarodno:

Amazon podnijela je nekoliko patentnih prijava za biometrijske tehnologije osmišljene kako bi omogućile kamerama videotelefona otkrivanje sumnjivih osoba na temelju različitih kriterija: mirisa, teksture kože, otisaka prstiju, oka, glasa i hoda.

Tamo Južna Koreja smatra se da pruža odgovarajuću razinu zaštite od 17. prosinca. Odluka Europske komisije dolazi nekoliko mjeseci nakon sklapanja sporazuma o slobodnoj trgovini između Europske unije i Koreje, koji je stupio na snagu u srpnju 2021.

Od 15. veljače, Kineska vlada podvrgnut će kineske tvrtke s međunarodnim poslovnim operacijama nizu kontrola kibernetičke sigurnosti.

Provjere imaju za cilj ograničiti prijenos strateških podataka izvan zemlje.