Pravni nadzor br. 73 – srpanj 2024.  

Usluge u oblaku: koji su kriteriji za koji izbor?

Od pandemije Covida, došlo je do sve većeg korištenja usluga u oblaku i u javnom i u privatnom sektoru.

Iako europski okvir u ovom području postaje jasniji, mnoge neizvjesnosti i danas ostaju.

• Trebamo li odabrati francuski, europski oblak koji ispunjava uvjete suverenog oblaka?
• Koji su rizici povjeravanja upravljanja vlastitim podacima tvrtkama GAFAM-a?

Iako ne postoji pravna definicija suverenog oblaka, općenito se smatra da on mora osigurati suverenitet na tri temeljne razine:

• Podaci,
• Operacije,
• Infrastruktura.

Oblak stoga mora predstavljati visoku razinu zahtjeva u pogledu digitalne sigurnosti i zaštite podataka, s tehničkog, operativnog i pravnog gledišta, a posebno isključivu nadležnost na nacionalnom teritoriju.

Stoga budite oprezni s tvrdnjama o "suverenom europskom oblaku" koje iznose tvrtke izvan Europe.

Francuska se unutar Europske unije ističe zbog svojih posebno strogih zahtjeva. posebno od implementacije SecNumCloud okvira i usvajanja SREN zakona 21. svibnja usmjerenog na osiguranje i regulaciju digitalnog prostora.

Ovaj zakon zahtijeva od državnih uprava i njihovih operatera koji koriste uslugu u oblaku koju pruža privatni pružatelj usluga da implementiraju posebne sigurnosne i zaštitne kriterije za rad računalnih sustava koji obrađuju podatke posebne osjetljivosti.

Cilj je spriječiti svaki neovlašteni pristup podacima od strane javnih tijela trećih država.

To je posebno relevantno s obzirom na Zakon o oblaku, koji ovlašćuje američke sigurnosne službe da pristupaju podacima koje posjeduju tvrtke izvan njihovog teritorija bez prethodnog odobrenja.

Ove obveze su u skladu s duhom doktrine „oblaka u središtu“ koju je francuska država razvila za svoje uprave.

Iako nisu obvezni za privatni sektor, ostaju korisni kao preporuke, posebno kada je u pitanju obrada osjetljivih podataka, na primjer u području zdravstva ili istraživanja.

Što je s razvojem usluga u oblaku drugdje u Europi?

Dostupne su mnoge kvalitetne usluge, na primjer u Njemačkoj i Švicarskoj.

Međutim, čini se da se pojam suverenog oblaka često tumači šire nego u francuskom kontekstu: njemački model definira kao suvereni svaki oblak koji se nalazi na teritoriju EU-a, a koji prodaje europska tvrtka, sa zaposlenicima koji su građani EU-a i specifičnim sigurnosnim zahtjevima u vezi s pristupom podacima, čak i ako uslugu oblaka u praksi nudi podružnica američke tvrtke, na primjer.

U tom smjeru trenutno ide projekt Europske unije za certifikaciju usluga u oblaku (EUCS).

U svojoj najnovijoj verziji iz ožujka, ovaj projekt "više ne dopušta pružateljima usluga da dokažu da štite pohranjene podatke od bilo kakvog pristupa strane sile, za razliku od kvalifikacije SecNumCloud u Francuskoj".

Upravo u tim terminima CNIL upozorava novu Europsku komisiju na čelu s Ursulom Von Der Leyen, koja je uključena u proces donošenja odluka o EUCS-u.

Među razlozima koji se navode za opravdanje uklanjanja zahtjeva za suverenitetom iz projekta su moguće optužbe za protekcionizam od strane Sjedinjenih Država ili Kine.

CNIL, sa svoje strane, osuđuje, osim rizika od povrede osobnih podataka, i utjecaj ove revizije europskih zahtjeva naniže na poticanje europske ponude usluga u oblaku.

S obzirom na trenutnu neizvjesnost na europskom frontu, okvir SecNumCloud koristan je izvor, posebno za obradu osjetljivih ili strateških podataka. 

Web stranica ANSSI-ja objavljuje popis usluga u oblaku kvalificiranih kao "SecNumCloud": sadrži, ažuriran 17. srpnja, popis 14 usluga u oblaku koje ispunjavaju kvalifikacijske uvjete i osam drugih u procesu kvalifikacije.

Bez obzira na okvir SecNumCloud, ostale europske usluge u oblaku ostaju atraktivne u usporedbi s međunarodnim konkurentima, s obzirom na trenutni pravni kontekst.

Iako se razina zaštite podataka u Sjedinjenim Državama trenutno smatra adekvatnom, vrijedi podsjetiti da je prva dva sporazuma između EU-a poništio Europski sud pravde te da Max Schrems, koji je pokrenuo prve dvije akcije, namjerava podvrgnuti "okvir za zaštitu privatnosti podataka" istoj sudbini.

 

         

U svojim zaključcima od 11. srpnja, glavni odvjetnik Suda Europske unije (CJEU) presudio je o potrebi obrade podataka koji se odnose na spol („gosp. ili gđa.“) za pružanje željezničke usluge SNCF-a.

Budući da je prikupljanje ovih podataka obvezno na SNCF obrascima, Državno vijeće, kojem je pristupila udruga Mousse, pitalo je Sud EU-a može li se to prikupljanje temeljiti na članku 6.1.a (privola) ili 6.1.b (potrebno za izvršenje ugovora) GDPR-a.

Prema Općoj skupštini, takav tretman nije nužan za pružanje usluge, budući da se u ovom slučaju ne postavlja pitanje odvojenih vagona za muškarce ili žene, a SNCF je priznao da te informacije ne koristi sustavno u komunikaciji sa svojim putnicima.

Vrhovni sudac posebno podsjeća na primjenu načela minimizacije i spominje presudu "Bundeskartellamt" u kojoj je Sud proglasio da "da bi se obrada osobnih podataka smatrala potrebnom za izvršenje ugovora, (...) mora biti objektivno neophodna za svrhu koja čini sastavni dio ugovorne obveze kojoj podliježe ispitanik."

Voditelj obrade stoga mora biti u mogućnosti dokazati kako se glavna svrha ugovora ne može postići ako se predmetna obrada ne provede.

Opća skupština zaključuje da spol korisnika u ovom konkretnom slučaju nije nužan.

Federacija pouzdanih trećih strana u digitalnom sektoru objavila je „Vodič za dobre prakse za digitalna putovanja i privolu“.

U regulatornom kontekstu digitalnih potpisa, cilj je "osigurati da agregacija svih komponenti u proširenom lancu povjerenja tijekom cijelog procesa pruža potrebne dokaze za naknadno dokazivanje dosljednosti i pouzdanosti procesa".

Dana 21. lipnja, Državno vijeće djelomično je poništilo uredbu iz 2021. koja se odnosi na korištenje dronova od strane policije..

Državno vijeće smatralo je da određene odredbe ove uredbe nesrazmjerno krše pravo na poštovanje privatnog života i slobodu okupljanja.

Korištenje dronova za snimanje demonstracija može se odobriti samo ako je vjerojatno da će doći do narušavanja javnog reda i mira i ako su snimljene slike nužno potrebne za sprječavanje takvih narušavanja ili kazneni progon odgovornih.

Osim toga, osobe koje se snimaju moraju biti adekvatno informirane o korištenju dronova i svojim pravima na zaštitu podataka (putem AFCDP-a).

Državno vijeće potvrdilo je pravo donora gameta da se, prema članku 21. GDPR-a, usprotive prijenosu svojih osobnih podataka iz organizacije u kojoj su dali organe u središnji registar donora.

 

Europske institucije i tijela

Trenutačno se vodi spor između Europske komisije i Europskog nadzornika za zaštitu podataka (EDPS) u vezi s korištenjem Microsoft Officea 365.

Komisija je doista pokrenula pravni postupak sredinom svibnja kako bi osporila nalaze istrage EDPS-a o njezinom korištenju tih usluga.

EDPS posebno kritizira Komisiju jer nije pružila jamstva u vezi s prijenosom podataka u Sjedinjene Američke Države. 

U svom ugovoru s Microsoftom, Komisija navodno nije dovoljno specificirala vrste prikupljenih osobnih podataka i svrhe obrade, što je kršenje EU GDPR-a.

EDPS je pozvao Komisiju da obustavi predmetne transfere i da se uskladi sa zakonom do 9. prosinca. Zaključci Komisije objavljeni su sredinom srpnja u Službenom listu EU-a.

Europska komisija je 12. srpnja poslala svoje preliminarne nalaze tvrtki X (bivši Twitter) u vezi s usklađenošću s Europskom uredbom o digitalnim uslugama (DSA).

Postupci pokrenuti u prosincu 2023. posebno su usmjereni na "tamne obrasce", transparentnost oglašavanja i pristup podacima za istraživače.

Elon Musk je već najavio da će osporiti nalaze Komisije na sudu.

Na svojoj plenarnoj sjednici sredinom srpnja, EDPB je usvojio izjavu o ulozi tijela za zaštitu podataka (DPA) u kontekstu Uredbe o umjetnoj inteligenciji.

Uredba propisuje da države članice do 2. kolovoza 2025. imenuju nacionalna „tijela za nadzor tržišta“ s ciljem nadzora njezine primjene i provedbe.

Prema EDPB-u, tijela za zaštitu podataka već imaju iskustva u pogledu utjecaja umjetne inteligencije na temeljna prava te bi stoga trebala biti imenovana tijelima za nadzor tržišta, čime bi se osigurala bolja koordinacija između različitih regulatornih tijela i veća pravna sigurnost za sve dionike.

Treba napomenuti da je uredba o umjetnoj inteligenciji, koja je objavljena 12. srpnja u Službenom listu EU, stupila na snagu 1. kolovoza.

EDPB je također usvojio dva dokumenta (ČPP) o sporazumu između Europske unije i Sjedinjenih Američkih Država o zaštiti osobnih podataka kako bi pružio više detalja o tome kako on funkcionira.

Ovi dokumenti namijenjeni su pojedincima s jedne strane i tvrtkama s druge strane.

Dana 11. srpnja, Sud Europske unije zauzeo je stav u slučaju protiv tvrtke Meta njemačkoj federaciji potrošačkih organizacija.

Sud je podsjetio da je obveza kontrolora da pruži informacije ispitanicima posljedica prava tih osoba na informacije prema člancima 12. i 13. GDPR-a te je stoga jedno od prava koja se mogu ostvariti reprezentativnom tužbom u skladu s člankom 80. stavkom 2. GDPR-a.

Sud je također primijetio da kršenje obveza informiranja može spriječiti ispitanika da da „informirani“ pristanak te posljedično može učiniti obradu nezakonitom prema članku 5. stavku 1. točki (a) Uredbe (putem GDPRhuba).

Microsoft je dospio na naslovnice u drugom kontekstu 19. srpnja, kada je jedan od njegovih podizvođača, Crowdstrike, distribuirao neispravno ažuriranje sigurnosnog softvera Falcon Sensor.

Otprilike 8,5 milijuna Microsoft Windows računala koja su koristila softver srušilo se i nije se moglo pravilno ponovno pokrenuti, u onome što je opisano kao "najveći prekid u povijesti informacijske tehnologije".

S pravnog gledišta, nedostatak dostupnosti podataka uzrokovan takvim kvarom predstavlja sigurnosno kršenje koje zahtijeva donošenje mjera, posebno u skladu s europskom direktivom NIS2 (koja će se primjenjivati od sljedećeg listopada).

Europski odbor za zaštitu podataka (EDPB) smatra da je ovo također povreda osobnih podataka u smislu GDPR-a, članka 4(12) uredbe, uključujući povrede koje rezultiraju slučajnim ili nezakonitim gubitkom podataka.

Ovisno o posljedicama, to podrazumijeva obavještavanje tijela za zaštitu podataka i dotičnih osoba.

O ovom stavu trenutno se raspravlja, pri čemu neki stručnjaci smatraju da nedostupnost podataka ne predstavlja gubitak u smislu GDPR-a, dok drugi navode ponekad vitalne posljedice blokiranja pristupa podacima za dotične osobe.

 

Vijesti iz zemalja članica Europe.

Njemački sud presudio je da je Google Ireland Limited, kao operater Google tražilice, odgovoran za prikazivanje rezultata pretraživanja, bez obzira na to pruža li rezultate pretraživanja tvrtka Google LLC sa sjedištem u SAD-u.

U Danskoj je tijelo za zaštitu podataka ukorilo Ministarstvo za imigraciju i integraciju zbog kršenja načela ograničenja pohrane time što se nije pridržavalo vlastite politike zadržavanja podataka.

U odluci od 27. lipnja, Španjolsko vijeće za upravne sporove "Audiencia Nacional" presudilo je da je Španjolsko tijelo za zaštitu podataka (APD) nadležno za rješavanje pritužbe podnesene protiv američke tvrtke Clearview AI.

Sud se pozvao na prethodne odluke nekoliko tijela za zaštitu podataka, uključujući odluke talijanskog tijela i odluku CNIL-a od 26. studenog 2021. u kojoj je utvrdio da Clearview spada u područje primjene članka 3(2)(b) GDPR-a.

CNIL je uzeo u obzir pretragu fotografija na webu koju je provela tvrtka Clearview, URL-ove tih fotografija i njihove metapodatke, što mu je omogućilo identifikaciju i stvaranje detaljnog profila dotičnih osoba te praćenje njihovog ponašanja.

U Italiji je APD kaznio kontrolora podataka s 30.000 eura nakon kršenja podataka zbog korištenja zastarjelog CMS alata koji je vrlo ranjiv na kibernetičke napade.

Litvanska agencija za zaštitu podataka (APD) kaznila je Vinted s 2.385.276 eura, smatrajući da su njegove prakse "skrivenih isključenja" (koje se sastoje od isključivanja korisnika s platforme bez obavještavanja), kao i neodgovaranje na zahtjeve za brisanje podataka, bile u suprotnosti s načelima pravednosti i transparentnosti.

U ovom konkretnom slučaju, tužitelji, koji su bili iz Francuske i Poljske, kontaktirali su svoje nadležne organe.

Pritužbe su proslijeđene litavskom tijelu, koje je vodeće tijelo u ovom kontekstu s obzirom na to da se glavni poslovni nastan Vinteda nalazi u Litvi.

U Luksemburgu je sud potvrdio kaznu od 18.000 eura koju je APD izrekao kontroloru podataka zbog toga što nije izravno uključio DPO-a grupe u pitanja zaštite podataka i što mu nije osigurao dovoljne resurse.

Nizozemska agencija za zaštitu podataka (APD) kaznila je Kruidvat.nl s 600.000 eura zbog postavljanja kolačića za praćenje prije dobivanja privole korisnika.

DPA je također smatrao da unaprijed označeni okvir za prihvaćanje kolačića za praćenje ne predstavlja slobodno danu, specifičnu, informiranu i nedvosmislenu privolu.

 

Dana 19. lipnja, britansko tijelo za zaštitu podataka (ICO) objavilo je svoju odluku u vezi sa Snapovom aplikacijom "My AI" i usklađenošću s obvezom provođenja procjene utjecaja na zaštitu podataka (DPIA).

Odluka sadrži detaljne komentare o očekivanjima ICO-a u vezi s razinom detalja koja će biti uključena u DPIA-e općenito i posebna zapažanja kada je riječ o umjetnoj inteligenciji opće namjene i umjetnoj inteligenciji koja se odnosi na djecu.

Budući da je britansko pravo na kojem se temelje ove odredbe još uvijek gotovo identično pravu EU, ova zapažanja mogu biti korisna i izvan Ujedinjenog Kraljevstva.

ICO je također 30. srpnja izdao priopćenje za javnost u kojem navodi da je ukorio Izborno povjerenstvo zbog neuspjeha u zaštiti svojih servera, što je hakerima omogućilo pristup osobnim podacima otprilike 40 milijuna ljudi.

U Sjedinjenim Državama, Senatu je predstavljen zakon o umjetnoj inteligenciji („Zakon o zaštiti izvora i integriteta sadržaja od uređenih i lažnih medija (COPIED ACT)“) s ciljem borbe protiv „deepfakeova“, povećanja transparentnosti umjetne inteligencije i davanja veće moći kreatorima sadržaja.

Američki Senat je krajem srpnja usvojio Zakon o sigurnosti i privatnosti djece na internetu.

Ovaj dvostranački zakon kombinira nekoliko zakona koji se tiču sigurnosti, zaštite privatnosti djece i adolescenata na internetu te transparentnosti u filtriranju povezanom s korištenjem umjetne inteligencije.

Tekst sada mora odobriti Zastupnički dom.

U izjavi od 23. srpnja, Savezna trgovinska komisija navela je da je naložila osam tvrtki da joj dostave informacije o proizvodima i uslugama koje koriste osobne podatke, uključujući financije i povijest pregledavanja, za personalizaciju cijena za pojedince.

Nalozi imaju za cilj pomoći FTC-u da bolje razumije neprozirno tržište proizvoda koje nude posrednici trećih strana koji koriste napredne algoritme kao i korisničke podatke (lokaciju, demografske podatke, kreditnu sposobnost i povijest pregledavanja ili kupnje) za kategorizaciju pojedinaca i ciljano određivanje njihovih cijena.

Iako je Google postupno počeo uklanjati kolačiće za praćenje trećih strana iz Chromea putem svog "privacy sandboxa" (sustava praćenja koji je predstavljen kao prilagođen privatnosti, ali je drugdje osporavan), tvrtka je 22. srpnja objavila da napušta projekt.

Umjesto uklanjanja kolačića trećih strana, Google bi uveo "novo iskustvo u Chromeu koje bi korisnicima omogućilo informiranu odluku koja bi se primjenjivala na cjelokupno pregledavanje weba", odluku koja bi se mogla promijeniti u bilo kojem trenutku.

Britanska ODA je izrazila žaljenje zbog napuštanja projekta.

Zakon o zaštiti podataka u Malaviju stupio je na snagu u srpnju.

Pridružit će se sada već dugom popisu afričkih zemalja sa zakonom koji štiti osobne podatke.

Nadalje, Afrički opservatorij za odgovornu umjetnu inteligenciju objavio je prošlog ožujka dokument pod naslovom "Upravljanje odgovornom umjetnom inteligencijom u Africi: Perspektive za regulaciju temeljenu na rezultatima".