Právny prehľad č. 73 – júl 2024.  

Cloudové služby: aké kritériá pre ktorý výber?

Od vypuknutia pandémie Covidu dochádza k rastúcemu využívaniu cloudových služieb vo verejnom aj súkromnom sektore.

Hoci sa európsky rámec v tejto oblasti stáva jasnejším, v súčasnosti pretrváva mnoho neistôt.

• Mali by sme si vybrať francúzsky, európsky cloud, ktorý spĺňa požiadavky suverénneho cloudu?
• Aké sú riziká zverenia správy vlastných údajov spoločnostiam GAFAM?

Hoci neexistuje právna definícia suverénneho cloudu, všeobecne sa predpokladá, že musí zabezpečiť suverenitu na troch základných úrovniach:

• Údaje,
• Operácie,
• Infraštruktúra.

Cloud preto musí predstavovať vysokú úroveň požiadaviek, pokiaľ ide o digitálnu bezpečnosť a ochranu údajov, z technického, prevádzkového a právneho hľadiska, a konkrétnejšie musí predstavovať výlučnú kompetenciu na území štátu.

Preto si dávajte pozor na tvrdenia o „suverénnom európskom cloude“ od mimoeurópskych spoločností.

Francúzsko vyniká v rámci Európskej únie vďaka svojim mimoriadne prísnym požiadavkám. najmä od implementácie rámca SecNumCloud a prijatia zákona SREN 21. mája zameraného na zabezpečenie a reguláciu digitálneho priestoru.

Tento zákon vyžaduje, aby štátne správy a ich prevádzkovatelia využívajúci cloudovú službu poskytovanú súkromným poskytovateľom zaviedli špecifické bezpečnostné a ochranné kritériá pre prevádzku počítačových systémov spracúvajúcich údaje s mimoriadnou citlivosťou.

Cieľom je zabrániť akémukoľvek neoprávnenému prístupu k údajom zo strany verejných orgánov tretích štátov.

Toto je obzvlášť dôležité vzhľadom na zákon o cloudových službách, ktorý umožňuje bezpečnostným službám USA prístup k údajom uchovávaným spoločnosťami so sídlom mimo ich územia bez predchádzajúceho povolenia.

Tieto povinnosti sú v súlade s duchom doktríny „cloud at the centre“ (oblak v centre), ktorú francúzsky štát vypracoval pre svoje administratívy.

Hoci nie sú pre súkromný sektor povinné, zostávajú užitočné ako odporúčania, najmä ak ide o spracovanie citlivých údajov, napríklad v oblasti zdravotníctva alebo výskumu.

A čo rozvoj cloudových služieb inde v Európe?

Existuje veľa kvalitných služieb, napríklad v Nemecku a Švajčiarsku.

Zdá sa však, že pojem suverénneho cloudu sa často interpretuje širšie ako vo francúzskom kontexte: nemecký model definuje ako suverénny akýkoľvek cloud nachádzajúci sa na území EÚ, ktorý predáva európska spoločnosť, so zamestnancami, ktorí sú občanmi EÚ, a so špecifickými bezpečnostnými požiadavkami týkajúcimi sa prístupu k údajom, a to aj v prípade, že cloudovú službu v praxi ponúka napríklad dcérska spoločnosť americkej spoločnosti.

Týmto smerom sa v súčasnosti uberá projekt certifikácie cloudových služieb Európskej únie (EUCS).

V najnovšej verzii z marca tento projekt „už neumožňuje poskytovateľom preukázať, že chránia uložené údaje pred akýmkoľvek prístupom zahraničnej mocnosti, na rozdiel od kvalifikácie SecNumCloud vo Francúzsku“.

Práve v tomto zmysle CNIL varuje novú Európsku komisiu na čele s Ursulou Von Der Leyen, ktorá je zapojená do rozhodovacieho procesu týkajúceho sa EUCS.

Medzi dôvodmi uvádzanými na odôvodnenie odstránenia požiadaviek na suverenitu z projektu sú možné obvinenia z protekcionizmu zo strany Spojených štátov alebo Číny.

CNIL zasa vyjadruje poľutovanie okrem rizík úniku osobných údajov aj nad vplyvom tejto revízie európskych požiadaviek smerom nadol na stimuláciu európskej ponuky cloudových služieb.

Vzhľadom na súčasnú neistotu na európskom fronte je rámec SecNumCloud užitočnou referenciou, najmä pri spracovaní citlivých alebo strategických údajov. 

Webová stránka ANSSI zverejňuje zoznam cloudových služieb kvalifikovaných ako „SecNumCloud“: obsahuje, aktualizovaný 17. júla, zoznam 14 cloudových služieb spĺňajúcich kvalifikačné požiadavky a osem ďalších v procese kvalifikácie.

Bez ohľadu na rámec SecNumCloud zostávajú ostatné európske cloudové služby atraktívne v porovnaní s ich medzinárodnými konkurentmi vzhľadom na súčasný právny kontext.

Hoci sa úroveň ochrany údajov v Spojených štátoch v súčasnosti považuje za primeranú, je potrebné pripomenúť, že prvé dve dohody medzi EÚ a EÚ boli zrušené Európskym súdnym dvorom a že Max Schrems, ktorý inicioval prvé dve žaloby, má v úmysle vystaviť „rámec ochrany osobných údajov“ rovnakému osudu.

 

         

Generálny advokát Súdneho dvora Európskej únie (SDEÚ) vo svojich záveroch z 11. júla rozhodol o potrebe spracovania údajov týkajúcich sa pohlavia („pán alebo pani“) na účely poskytovania vlakovej dopravy SNCF.

Keďže zhromažďovanie týchto údajov je na formulároch SNCF povinné, Štátna rada, na ktorú sa obrátilo združenie Mousse, sa Súdneho dvora EÚ opýtala, či by sa toto zhromažďovanie mohlo zakladať na článku 6.1.a (súhlas) alebo 6.1.b (nevyhnutné na plnenie zmluvy) GDPR.

Podľa Valného zhromaždenia takéto zaobchádzanie nie je nevyhnutné na poskytovanie služby, keďže v tomto prípade neprichádza do úvahy samostatné vozne pre mužov alebo ženy a SNCF uznala, že tieto informácie systematicky nepoužíva vo svojej komunikácii so svojimi zákazníkmi.

Generálny prokurátor pripomína najmä uplatňovanie zásady minimalizácie a spomína rozhodnutie „Bundeskartellamt“, v ktorom súd vyhlásil, že „aby sa spracovanie osobných údajov považovalo za nevyhnutné na plnenie zmluvy, (...) musí byť objektívne nevyhnutné na účel, ktorý tvorí neoddeliteľnú súčasť zmluvného záväzku, ktorému dotknutá osoba podlieha.“

Prevádzkovateľ údajov preto musí byť schopný preukázať, ako nemožno dosiahnuť hlavný účel zmluvy, ak sa predmetné spracovanie neuskutoční.

Valné zhromaždenie dospelo k záveru, že pohlavie používateľa nie je v tomto konkrétnom prípade potrebné.

Federácia dôveryhodných tretích strán v digitálnom sektore vydala „Sprievodcu osvedčenými postupmi pre digitálne cesty a súhlas“.

V regulačnom kontexte digitálnych podpisov je cieľom „zabezpečiť, aby agregácia všetkých komponentov v rozšírenom reťazci dôvery v celom procese poskytovala potrebné dôkazy na preukázanie konzistentnosti a spoľahlivosti procesu a posteriori“.

Štátna rada 21. júna čiastočne zrušila dekrét z roku 2021 týkajúci sa používania dronov orgánmi činnými v trestnom konaní..

Štátna rada usúdila, že niektoré ustanovenia tohto dekrétu neprimerane zasahujú do práva na rešpektovanie súkromného života a slobody zhromažďovania.

Použitie dronov na natáčanie demonštrácií možno povoliť iba vtedy, ak je pravdepodobné narušenie verejného poriadku a ak sú zaznamenané obrazy nevyhnutne potrebné na zabránenie takémuto narušeniu alebo na stíhanie zodpovedných osôb.

Okrem toho musia byť osoby, ktoré sú natáčané, primerane informované o používaní dronov a svojich právach na ochranu údajov (prostredníctvom AFCDP).

Štátna rada potvrdila právo darcov gamét namietať podľa článku 21 GDPR proti prenosu ich osobných údajov z organizácie, ktorej poskytli dar, do centrálneho registra darcov.

 

Európske inštitúcie a orgány

V súčasnosti prebieha spor medzi Európskou komisiou a Európskym dozorným úradníkom pre ochranu údajov (EDPS) ohľadom používania balíka Microsoft Office 365.

Komisia skutočne v polovici mája začala právne kroky s cieľom napadnúť zistenia vyšetrovania EDPS týkajúceho sa jej používania týchto služieb.

EDPS kritizuje Komisiu najmä za to, že neposkytla záruky týkajúce sa prenosu údajov do Spojených štátov. 

Komisia údajne vo svojej zmluve so spoločnosťou Microsoft dostatočne nešpecifikovala typy zhromažďovaných osobných údajov a účely spracovania, čo je v rozpore s nariadením EÚ GDPR.

EDPS naliehavo vyzval Komisiu, aby pozastavila predmetné prevody a dosiahla súlad s právnymi predpismi do 9. decembra. Závery Komisie boli uverejnené v polovici júla v Úradnom vestníku EÚ.

Európska komisia 12. júla zaslala spoločnosti X (predtým Twitter) svoje predbežné zistenia týkajúce sa súladu s európskym nariadením o digitálnych službách (DSA).

Konanie začaté v decembri 2023 sa konkrétne zameriava na „tmavé vzorce“, transparentnosť reklamy a prístup výskumníkov k údajom.

Elon Musk už oznámil, že zistenia komisie napadne na súde.

Na svojom plenárnom zasadnutí v polovici júla prijal EDPB vyhlásenie o úlohe orgánov na ochranu údajov (DPA) v kontexte nariadenia o umelej inteligencii.

V nariadení sa stanovuje, že členské štáty do 2. augusta 2025 určia národné „orgány dohľadu nad trhom“ s cieľom dohliadať na jeho uplatňovanie a vykonávanie.

Podľa EDPB už majú orgány pre ochranu údajov skúsenosti s vplyvom umelej inteligencie na základné práva, a preto by mali byť určené za orgány dohľadu nad trhom, čím sa zabezpečí lepšia koordinácia medzi rôznymi regulačnými orgánmi a väčšia právna istota pre všetky zainteresované strany.

Treba poznamenať, že nariadenie o umelej inteligencii, ktoré bolo zverejnené 12. júla v Úradnom vestníku EÚ, nadobudlo účinnosť 1. augusta.

EDPB tiež prijal dva dokumenty (FAQ) týkajúce sa dohody medzi Európskou úniou a Spojenými štátmi o ochrane osobných údajov s cieľom poskytnúť podrobnejšie informácie o jej fungovaní.

Tieto dokumenty sú určené na jednej strane pre jednotlivcov a na strane druhej pre firmy.

Súdny dvor EÚ zaujal 11. júla stanovisko v prípade, v ktorom postavil spoločnosť Meta proti nemeckej federácii spotrebiteľských organizácií.

Súd pripomenul, že povinnosť prevádzkovateľa poskytnúť informácie dotknutým osobám je dôsledkom práva týchto osôb na informácie podľa článkov 12 a 13 GDPR, a preto je jedným z práv, ktoré možno uplatniť prostredníctvom žaloby v zastúpení v súlade s článkom 80 ods. 2 GDPR.

Súd tiež poznamenal, že porušenie informačných povinností môže dotknutej osobe zabrániť v udelení „informovaného“ súhlasu, a v dôsledku toho môže mať spracovanie za nezákonné podľa článku 5 ods. 1 písm. a) nariadenia (prostredníctvom GDPRhub).

Spoločnosť Microsoft sa 19. júla dostala na titulné stránky novín v inom kontexte, keď jeden z jej subdodávateľov, Crowdstrike, distribuoval chybnú aktualizáciu svojho bezpečnostného softvéru Falcon Sensor.

Približne 8,5 milióna počítačov so systémom Microsoft Windows používajúcich tento softvér zlyhalo a nebolo možné ich správne reštartovať, čo bolo opísané ako „najväčší výpadok v dejinách informačných technológií“.

Z právneho hľadiska predstavuje nedostatočná dostupnosť údajov spôsobená takýmto zlyhaním narušenie bezpečnosti, ktoré si vyžaduje prijatie opatrení najmä podľa európskej smernice NIS2 (ktorá bude platiť od budúceho októbra).

Európsky výbor pre ochranu údajov (EDPB) sa domnieva, že ide aj o porušenie ochrany osobných údajov v zmysle GDPR, článku 4 ods. 12 nariadenia, vrátane porušení, ktoré vedú k náhodnej alebo nezákonnej strate údajov.

V závislosti od dôsledkov to znamená oznámenie orgánom na ochranu údajov a dotknutým osobám.

O tomto stanovisku sa v súčasnosti diskutuje, pričom niektorí odborníci sa domnievajú, že nedostupnosť údajov nepredstavuje stratu v zmysle GDPR, zatiaľ čo iní poukazujú na niekedy zásadné dôsledky blokovania prístupu k údajom pre dotknuté osoby.

 

Správy z členských krajín Európy.

Nemecký súd rozhodol, že spoločnosť Google Ireland Limited ako prevádzkovateľ vyhľadávača Google je zodpovedná za zobrazovanie výsledkov vyhľadávania bez ohľadu na to, či tieto výsledky poskytuje spoločnosť Google LLC so sídlom v USA.

V Dánsku orgán na ochranu údajov pokarhal Ministerstvo pre imigráciu a integráciu za porušenie zásady obmedzenia uchovávania tým, že nedodržalo vlastnú politiku uchovávania údajov.

Španielska komora pre správne spory „Audiencia Nacional“ vo svojom rozhodnutí z 27. júna rozhodla, že španielsky úrad pre ochranu údajov (APD) je príslušný riešiť sťažnosť podanú proti spoločnosti Clearview AI so sídlom v USA.

Súd sa opieral o predchádzajúce rozhodnutia viacerých orgánov na ochranu údajov vrátane rozhodnutí talianskeho orgánu a rozhodnutia CNIL z 26. novembra 2021, v ktorých označil Clearview za spoločnosť patriacu do pôsobnosti článku 3 ods. 2 písm. b) GDPR.

CNIL zohľadnila vyhľadávanie fotografií na webe spoločnosťou Clearview, URL adresy týchto fotografií a ich metadáta, čo jej umožnilo identifikovať a vytvoriť podrobný profil dotknutých osôb, a teda sledovať ich správanie.

V Taliansku uložil úrad pre kybernetickú políciu (APD) prevádzkovateľovi údajov pokutu 30 000 eur po úniku údajov z dôvodu používania zastaraného nástroja CMS, ktorý je vysoko zraniteľný voči kybernetickým útokom.

Litovský úrad pre ochranu údajov (APD) udelil spoločnosti Vinted pokutu vo výške 2 385 276 eur, keďže jej praktiky „skrytých vylúčení“ (spočívajúce vo vylúčení používateľa z platformy bez jeho informovania), ako aj jej nereagovanie na žiadosti o vymazanie údajov, boli v rozpore so zásadami spravodlivosti a transparentnosti.

V tomto konkrétnom prípade sa žalobcovia, ktorí pochádzali z Francúzska a Poľska, obrátili na svoje príslušné orgány.

Sťažnosti boli postúpené litovskému orgánu, ktorý je v tejto súvislosti vedúcim orgánom, keďže hlavná prevádzka spoločnosti Vinted sa nachádza v Litve.

V Luxembursku súd potvrdil pokutu 18 000 eur, ktorú APD uložil prevádzkovateľovi údajov za to, že priamo nezapojil zodpovednú osobu skupiny do záležitostí ochrany údajov a neposkytol mu dostatočné zdroje.

Holandský úrad na ochranu údajov (APD) udelil spoločnosti Kruidvat.nl pokutu 600 000 eur za umiestnenie sledovacích súborov cookie pred získaním súhlasu používateľov.

Úrad pre ochranu údajov tiež usúdil, že vopred zaškrtnuté políčko na prijatie sledovacích súborov cookie nepredstavuje slobodne udelený, konkrétny, informovaný a jednoznačný súhlas.

 

Dňa 19. júna zverejnil britský úrad pre ochranu údajov (ICO) svoje rozhodnutie týkajúce sa aplikácie „My AI“ od spoločnosti Snap a súladu s povinnosťou vykonať posúdenie vplyvu na ochranu údajov (DPIA).

Rozhodnutie obsahuje podrobné komentáre k očakávaniam ICO týkajúce sa úrovne podrobností, ktoré sa majú zahrnúť do posúdení vplyvov na ochranu údajov vo všeobecnosti, a konkrétne postrehy, pokiaľ ide o všeobecnú umelú inteligenciu a umelú inteligenciu týkajúcu sa detí.

Keďže britské právo, ktoré je základom týchto ustanovení, je stále takmer identické s právom EÚ, tieto pozorovania môžu byť užitočné aj mimo Spojeného kráľovstva.

Úrad pre ochranu osobných údajov (ICO) tiež 30. júla vydal tlačovú správu, v ktorej uviedol, že pokarhal volebnú komisiu za nedostatočnú ochranu jej serverov, čo umožnilo hackerom prístup k osobným údajom približne 40 miliónov ľudí.

V Spojených štátoch bol v Senáte predložený návrh zákona o umelej inteligencii („Zákon o ochrane pôvodu a integrite obsahu pred upravenými a hlboko falošnými médiami (COPIED ACT)“) s cieľom bojovať proti „deepfakes“, zvýšiť transparentnosť umelej inteligencie a dať väčšiu moc tvorcom obsahu.

Americký Senát schválil koncom júla zákon o bezpečnosti a ochrane súkromia detí na internete.

Tento dvojstranný návrh zákona kombinuje niekoľko návrhov zákonov týkajúcich sa bezpečnosti, ochrany súkromia detí a dospievajúcich online a transparentnosti pri filtrovaní súvisiaceho s používaním umelej inteligencie.

Text musí teraz schváliť Snemovňa reprezentantov.

Federálna obchodná komisia vo vyhlásení z 23. júla uviedla, že nariadila ôsmim spoločnostiam, aby jej poskytli informácie o produktoch a službách, ktoré používajú osobné údaje vrátane financií a histórie prehliadania na prispôsobenie cien pre jednotlivcov.

Tieto nariadenia majú pomôcť FTC lepšie pochopiť nepriehľadný trh s produktmi ponúkanými tretími stranami, ktoré používajú pokročilé algoritmy, ako aj údaje o používateľoch (poloha, demografické údaje, úverová história a história prehliadania alebo nákupov) na kategorizáciu jednotlivcov a cielené stanovenie ich cien.

Zatiaľ čo Google začal postupne odstraňovať sledovacie súbory cookie tretích strán z prehliadača Chrome prostredníctvom svojho „privacy sandboxu“ (sledovací systém prezentovaný ako priateľský k súkromiu, ale inde spochybňovaný), spoločnosť 22. júla oznámila, že od projektu odstupuje.

Namiesto odstránenia súborov cookie tretích strán by Google zaviedol „nový zážitok v prehliadači Chrome, ktorý by používateľom umožnil informovane sa rozhodnúť pre všetky ich prehliadania webu“, pričom túto voľbu by bolo možné kedykoľvek zmeniť.

Britská ODA naznačila, že ľutuje zrušenie projektu.

Zákon o ochrane údajov v Malawi nadobudol účinnosť v júli.

Pridá sa tak k už dlhému zoznamu afrických krajín so zákonom na ochranu osobných údajov.

Africké observatórium pre zodpovednú umelú inteligenciu okrem toho v marci minulého roka zverejnilo dokument s názvom „Riadenie zodpovednej umelej inteligencie v Afrike: Perspektívy regulácie založenej na výsledkoch“.