Právny prehľad č. 74 – august 2024.  

Telegram, Signal, Whatsapp… Aké dobré sú služby okamžitých správ v profesionálnom kontexte?

V médiách sa objavilo množstvo reakcií na zatknutie Pavla Durova, zakladateľa aplikácie na posielanie správ, vo Francúzsku. Telegram.

Bez ohľadu na politické debaty na túto tému nám tento prípad dáva príležitosť zhodnotiť spoľahlivosť služieb okamžitých správ.

Do akej miery sú vymieňané informácie skutočne dôverné? Sú tieto aplikácie porovnateľné a dajú sa použiť v profesionálnom kontexte?

Väčšina služieb okamžitých správ sa dnes chváli šifrovaním svojej komunikácie.

Prax sa však líši v závislosti od služby zasielania správ.

Mnohí používatelia Telegramu sa tak v posledných dňoch dozvedeli, že ich komunikácia nie je štandardne chránená.

Chránená je iba priama komunikácia medzi dvoma účastníkmi, ktorí majú v možnostiach konverzácie manuálne aktivované šifrovanie.

Treba poznamenať, že Telegram nepoužíva šifrovanie s otvoreným zdrojovým kódom, ako je protokol Signal, ale spolieha sa na „domácu“ technológiu, ktorú je nemožné overiť. 

Skupinové diskusie (alebo chatovacie kanály) nie je možné šifrovať, a preto má Telegram prístup k ich obsahu, ako aj k informáciám o členoch a administrátoroch týchto skupín.

Výmeny sa tu viac podobajú výmenám na sociálnych sieťach než na výmeny v službe zasielania správ.

Telegram je už roky kritizovaný za nedostatočnú moderáciu diskusných kanálov, ignorovanie žiadostí mnohých vlád o odstránenie nelegálneho obsahu a odmietanie zdieľania informácií o potenciálnych páchateľoch.

Tieto povinnosti moderovania a spolupráce s orgánmi činnými v trestnom konaní sú stanovené francúzskym právom a európskym nariadením o digitálnych službách.

Práve v tejto súvislosti bol jej zakladateľ zatknutý za nedostatok spolupráce a spolupáchateľstvo na organizovanom zločine.

Táto povinnosť spolupráce má však svoje obmedzenia: komunikácia šifrovaná medzi koncovými bodmi zostáva dôverná a nemôže byť zachytená treťou stranou, či už ide o poskytovateľa správ, vládu alebo hackera.

Niektoré štáty sa obávajú rozsiahleho používania šifrovania a lobujú za regulačné zmeny, ktoré by umožnili jeho obchádzanie.

Platí to najmä v kontexte navrhovaného európskeho nariadenia o sexuálnom zneužívaní detí.

Tento tlak na oslabenie dôvernosti komunikácie vyvoláva početné reakcie zo strany obhajcov individuálnych slobôd a orgánov na ochranu údajov, pre ktorých by to znamenalo rozsiahle sledovanie súkromnej komunikácie, ohrozilo by to digitálnu bezpečnosť prelomením šifrovania a neposkytlo by to žiadny dôkaz o tom, že by to vôbec dosiahlo svoj cieľ ochrany detí.

Vzhľadom na súčasný stav práva a technológií sa dôrazne odporúča používať na výmenu profesionálnych správ šifrované správy typu end-to-end, najmä ak je obsah správy citlivý (napr. lekárske alebo finančné údaje).

A v tomto ohľade nie sú všetky aplikácie rovnaké. Aj keď obsah správy môže byť chránený, šifrovanie nebráni zhromažďovaniu určitých identifikačných údajov používateľa a/alebo údajov o pripojení.

Pri používaní diskusných skupín sa vo všetkých prípadoch odporúča mimoriadna opatrnosť.

Používanie skupín WhatsApp Výmena citlivých údajov v profesionálnom kontexte tak viedla k tomu, že prevádzkovateľ bol sankcionovaný orgánom na ochranu údajov.

Signál je všeobecne uznávaný ako poskytovateľ vysokej úrovne ochrany, ale nie je jediný.

Napríklad môžeme spomenúť Threema A Olvid Tieto služby majú výhodu, že sú európske. Ich nevýhodou je však to, že sú stále relatívne neznáme. V rámci spoločnosti môžu takéto systémy zasielania správ napriek tomu predstavovať zaujímavú alternatívu.

Poznámka / Mnohé analýzy podrobne popisujú silné a slabé stránky aplikácií na odosielanie správ. Pozrite si napríklad analýzu od spoločnosti Orange Cyberdefense: https://www.orangecyberdefense.com/fr/insights/blog/data/securite-et-vie-privee-comparatif-des-apps-de-messagerie-instantanee

Komplexnejšiu analýzu toho, čo môžu orgány činné v trestnom konaní získať zo služby zasielania správ, nájdete v tomto školiacom dokumente FBI, ktorý získala na základe žiadosti o slobodu informácií organizácia Property of the People, americká nezisková organizácia zameraná na transparentnosť vlády: https://propertyofthepeople.org/document-detail/?doc-id=21114562

 

        

Združenie SOS médecins 2. septembra oznámilo, že CNIL schválilo vytvorenie dátového skladu s názvom „Contact“ združením.

Podľa SOS médecins sa Contact „venuje neplánovanej starostlivosti a zlepšovaniu prístupu k starostlivosti a bude podporovať výskum a inovácie v zdravotníctve“.

Bezpečne a dôverne konsoliduje údaje miliónov pacientov, ktorí sú každoročne liečení v rámci 64 združení federácie.

Podľa federácie by sa tieto údaje mali opätovne použiť v prospech pacientov na zlepšenie postupov a optimalizáciu starostlivosti.

Univerzita Paris-Saclay oznámila, že sa 11. augusta stala terčom útoku ransomvéru. K tomuto incidentu došlo týždeň po ďalšom kybernetickom útoku na viac ako 40 kultúrnych inštitúcií vo Francúzsku: kyberzločinci údajne infiltrovali počítačový systém spoločný pre „Réunion des musées nationaux – Grand Palais“, ktorý centralizuje všetky finančné údaje týchto inštitúcií, a vyhrážali sa zverejnením údajov do 48 hodín, ak nebude zaplatené výkupné.

Podľa denníka L'Usine Digitale bolo postihnutých 36 predajní spravovaných touto sieťou a systémy boli odpojené. Parížska prokuratúra začala vyšetrovanie.

 

Európske inštitúcie a orgány

Európska komisia otvorila konzultácie o ochrane maloletých online, ktoré trvajú do 30. septembra. najmä v kontexte zákona o digitálnych službách (DSA) a nahlasovania detskej pornografie (CSAM).

Podľa zákona o digitálnych službách musí Komisia vypracovať usmernenia, ktoré pomôžu príslušným online platformám dodržiavať požiadavky na ochranu súkromia a bezpečnosti maloletých.

„Tieto usmernenia poskytnú neúplný zoznam osvedčených postupov a odporúčaní pre poskytovateľov online platforiem, ktoré im pomôžu znížiť riziká súvisiace s ochranou maloletých. Usmernenia tiež pomôžu Komisii a koordinátorom digitálnych služieb dohliadať na platformy a presadzovať zákon o digitálnych službách.“

Európska komisia zverejní túto jeseň svoju prvú správu o fungovaní „rámca na ochranu osobných údajov“ (DPF) medzi Európskou úniou a Spojenými štátmi. V júli sa na túto tému konalo bilaterálne hodnotiace stretnutie a Komisia tiež otvorila verejnú konzultáciu, ktorá umožňuje zasielanie pripomienok do 6. septembra.

Čína a EÚ začali rokovania o prenose údajov v rámci nového „mechanizmu komunikácie o cezhraničnom toku údajov“. Podľa Európskej komisie je cieľom mechanizmu nájsť spôsoby, ako uľahčiť cezhraničné prenosy neosobných údajov pre európske spoločnosti, ako aj ich dodržiavanie čínskych zákonov o údajoch.

 

Správy z členských krajín Európy.

V Nemecku odvolací súd vo Frankfurte nariadil spoločnosti Microsoft, aby sa zdržala umiestňovania a ukladania súborov cookie na zariadeniach dotknutej osoby bez jej súhlasu, a to aj v prípade, že to znamená, že spoločnosť Microsoft prestane umiestňovať akékoľvek sledovacie súbory cookie.

Toto rozhodnutie sa javí ako v súlade s nedávnym rozhodnutím holandského súdu, ktoré zakázalo spoločnostiam Microsoft, LinkedIn a Xandr umiestňovať sledovacie súbory cookie bez súhlasu používateľa a uložilo spoločnosti pokutu 1 000 eur za každý deň nedodržania rozhodnutia (prostredníctvom GDPRhub).

Belgický úrad na ochranu údajov (DPA) zamietol sťažnosť podanú dotknutou osobou po porušení ochrany údajov. Usúdila, že technické a organizačné opatrenia prijaté prevádzkovateľom podľa článku 32 GDPR boli primerané.

Dánska oficiálna rozvojová pomoc (ODA) usúdil, že na to, aby existoval slobodný a výslovný súhlas s použitím rozpoznávania tváre na vstup do fitnescentra, musí mať dotknutá osoba k dispozícii iné metódy overovania, ktoré nezahŕňajú spracovanie biometrických údajov.

V Španielsku uložil Úrad na ochranu údajov (APD) prevádzkovateľovi údajov pokutu 145 000 eur po krádeži nešifrovaného USB kľúča obsahujúceho osobné údaje súvisiace s trestným konaním.Zistila porušenie zásady dôvernosti, hoci neexistovali dôkazy o tom, že k údajom bol sprístupnený.

V Taliansku, APD uložil pokutu vo výške 20 000 eur obci, ktorá nezákonne zverejnila mená neúspešných uchádzačov vo verejnom výberovom konaní. Okrem toho obec neuzavrela záväznú zmluvu so svojím subdodávateľom, čo predstavuje porušenie článku 28(3) GDPR.

APD tiež uložila telekomunikačnému poskytovateľovi pokutu vo výške jedného milióna eur za kontaktovanie svojich zákazníkov na účely komerčného prieskumu bez získania platného súhlasu. Orgán na ochranu údajov usúdil, že prevádzkovateľ sa nemôže odvolávať na oprávnený záujem na telefonovanie svojim zákazníkom na marketingové účely.

Holandský úrad pre ochranu údajov (APD) udelil 22. júla v spolupráci s CNIL pokutu vo výške 290 miliónov eur spoločnostiam Uber BV (so sídlom v Holandsku) a Uber technologies INC. (so sídlom v Spojených štátoch) za prenos osobných údajov mimo EÚ bez dostatočných záruk.

CNIL (Francúzsky úrad na ochranu údajov) dostal kolektívnu sťažnosť od Ligy pre ľudské práva, ktorá zastupuje viac ako 170 vodičov na platforme. Holandský úrad na ochranu údajov (APD) zistil, že spracovanie osobných údajov vodičov, za ktoré sú spoločne zodpovedné spoločnosti Uber BV a Uber Technologies Inc., zahŕňa prenosy do Spojených štátov. V období od 6. augusta 2021 do 21. novembra 2023 (dátum, kedy bol Uber pridaný do rámca ochrany osobných údajov) tieto prenosy nepodliehali primeraným zárukám. APD dospel k záveru, že došlo k porušeniu článku 44 GDPR. Spoločnosť Uber oznámila svoj zámer odvolať sa proti tomuto rozhodnutiu, ktoré považuje za neopodstatnené.

Holandský úrad na ochranu údajov (APD) 3. septembra uložil spoločnosti Clearview AI pokutu vo výške 30,5 milióna eur spolu s ďalšou pokutou vo výške 5 miliónov eur za nedodržanie predpisov. Clearview najmä vytvorila nelegálnu databázu obsahujúcu miliardy obrázkov tvárí vrátane obrázkov holandských občanov. APD tiež uložil zákaz používania služieb Clearview. Keďže spoločnosť neprejavila ochotu zmeniť svoje postupy, APD uviedol, že skúma rôzne právne cesty vrátane možnosti osobnej zodpovednosti vedúcich pracovníkov spoločnosti za tieto porušenia.

Nórska univerzita vedy a techniky (NTNU) publikovala správu s názvom „Pilotné testovanie Copilota pre Microsoft 365“ pod záštitou „sandboxov“ nórskeho úradu na ochranu údajov.

Univerzita otestovala službu umelej inteligencie Copilot od spoločnosti Microsoft a začiatkom leta 2024 zverejnila 8 kľúčových zistení, ktoré boli užitočné pred začatím používania tejto novej služby.

Slovinský úrad pre ochranu údajov (APD) usúdil, že škola môže čiastočne odmietnuť vyhovieť žiadosti o prístup predloženej rodičom, ak by zverejnenie určitých údajov mohlo poškodiť najlepší záujem maloletého.

Švajčiarsko 14. augusta prijalo rozhodnutie o primeranosti pre Spojené štáty, ktoré umožňuje prenos údajov spoločnostiam certifikovaným podľa švajčiarsko-amerického „rámca ochrany osobných údajov“.

Švajčiarsko sa tak pripája k Európskej únii a Spojenému kráľovstvu, ktoré umožňujú organizáciám prenášať osobné údaje svojich obyvateľov do Spojených štátov za podobných podmienok.

Mimovládna organizácia noyb 12. augusta upozornila médiá na sociálnu sieť „X“, ktorá začala nelegálne používať osobné údaje viac ako 60 miliónov používateľov v EÚ/EHP na trénovanie svojej technológie umelej inteligencie („Grok“) bez ich súhlasu.

Na rozdiel od spoločnosti Meta (ktorá musela nedávno ukončiť školenie o umelej inteligencii v EÚ), Twitter podľa mimovládnej organizácie svojich používateľov vopred neinformoval. Írska komisia pre ochranu údajov začala súdne konanie proti spoločnosti X a noyb podal sťažnosti v deviatich európskych krajinách s cieľom zastaviť tieto praktiky. Záväzok spoločnosti X prestať tieto údaje používať nakoniec prišiel s dostupnou novou verziou Grok. Podľa mimovládnej organizácie bol model umelej inteligencie medzitým skutočne trénovaný s použitím údajov z EÚ.

 

V Spojenom kráľovstve bol prevádzkovateľ údajov pokarhaný za to, že pred nasadením systému rozpoznávania tváre v škole nevykonal posúdenie vplyvu na súkromie podľa požiadaviek článku 35 britského GDPR. Prevádzkovateľ údajov tiež nezískal platný súhlas.

Organizácia Spojených národov a Medzinárodná organizácia práce zverejnili správu s názvom „Mind the AI Divide – Shaping a Global Perspective on Future of Work“ (Dbajte na rozdiely v umelej inteligencii – formovanie globálnej perspektívy budúcnosti práce).

Správa okrem iného uvádza, že technologický pokrok ohrozuje pracovné miesta v sektoroch, ako sú call centrá a iné typy outsourcingu obchodných procesov, ktoré sú v niektorých rozvojových krajinách rozšírené.

Hoci niektoré úlohy v týchto profesiách by sa potenciálne dali automatizovať, dokument dodáva, že väčšina z nich si stále vyžaduje ľudský zásah. „Takáto čiastočná automatizácia by mohla viesť k zvýšeniu efektívnosti, čo by ľuďom umožnilo venovať viac času iným oblastiam práce.“

Americký federálny sudca 5. augusta rozhodol, že spoločnosť Google má nezákonný monopol na internetové vyhľadávanie. Súd dospel k záveru, že „spoločnosť Google porušila oddiel 2 Shermanovho zákona tým, že si prostredníctvom svojich exkluzívnych distribučných zmlúv udržala monopol na dvoch produktových trhoch v Spojených štátoch – všeobecné vyhľadávacie služby a všeobecná textová reklama“.

Nigéria zverejnila svoju „národnú stratégiu pre umelú inteligenciu“ vlani v auguste.

Uvádza sa v ňom najmä to, že: „Nigéria a širší africký kontinent čelia niektorým z najvýraznejších a najpresvedčivejších výziev a príležitostí, ktoré by mohla umelá inteligencia riešiť. Od optimalizácie poľnohospodárstva v rôznych klimatických podmienkach až po zlepšenie infraštruktúry verejného zdravotníctva sú lokálne vyvinuté riešenia umelej inteligencie, prispôsobené miestnym podmienkam, oveľa lepšie vybavené na riešenie týchto výziev ako externe vnútené modely vytvorené pre úplne iný kontext a ľudí. (...) Mnohé súbory údajov v Nigérii trpia nepresnosťami, neúplnosťou a nedostatkom štandardizácie. Kvalitu údajov je potrebné zlepšiť, aby sa zabezpečila spoľahlivosť a účinnosť algoritmov umelej inteligencie, ktoré na optimálne fungovanie vyžadujú čisté a presné údaje.“

Spoločnosť „X“ pozastavila svoju činnosť v Brazílii po mesiacoch konfliktu so sudcom Najvyššieho súdu.

Sudca 31. augusta nariadil zákaz spoločnosti X a zmrazenie aktív vesmírnej spoločnosti Starlink Elona Muska. Toto rozhodnutie nasleduje po mesiacoch trvajúcom vyšetrovaní šírenia nepravdivých a hanlivých informácií prostredníctvom sociálnej siete, ako aj po ďalšom vyšetrovaní Muska za údajné marenie spravodlivosti.