Právny prehľad č. 75 – september 2024.  

Anonymizácia alebo pseudonymizácia: kvalifikácie, ktoré sa časom vyvíjajú?

CNIL 5. septembra 2024 uložila Cegedimovi Santéovi pokutu 800 000 eur za spracovanie zdravotných údajov bez povolenia.

Dozorný orgán poznamenáva, že tieto údaje zostali identifikovateľné, aj keď boli prezentované ako anonymné.

Táto sankcia nám dáva príležitosť preskúmať jemnosti GDPR týkajúce sa anonymizácie a pseudonymizácie údajov.

Spoločnosť Cegedim vydáva a predáva softvér na správu všeobecným lekárom pracujúcim v súkromných praxiach a zdravotných strediskách.

Tieto softvérové programy umožňujú lekárom spravovať ich rozvrhy, súbory pacientov a lieky na predpis.

Zákazníci majú tiež prístup k databáze, ktorá umožňuje tvorbu štúdií a štatistík v oblasti zdravia.

Kontroly vykonané CNIL v roku 2021 odhalili najmä to, že údaje spracovávané spoločnosťou – bez predchádzajúceho povolenia – boli pseudonymizované zdravotné údaje, a teda identifikovateľné.

Z povinností vyplývajúcich z GDPR sú vyňaté iba úplne anonymné údaje.

Proces anonymizácie je však obzvlášť náročný.

V tomto konkrétnom prípade spoločnosť Cegedim zaviedla postup zameraný na vymazanie identifikátorov a v kontexte predchádzajúcich zistení z roku 2012 sa CNIL tiež domnievala, že spracované údaje boli skutočne anonymné.

Komisia dnes tieto zistenia opätovne preskúmala a uviedla, že pri posudzovaní možnej opätovnej identifikácie údajov je potrebné zohľadniť súčasný kontext doktríny a judikatúry.

Údaje, ktoré boli anonymné pred desiatimi rokmi, teda nemusia byť anonymné aj dnes: „Na zistenie, či je primerane pravdepodobné, že sa prostriedky použijú na identifikáciu fyzickej osoby, je potrebné zohľadniť všetky objektívne faktory, ako sú náklady na identifikáciu a čas potrebný na ňu, berúc do úvahy technológie dostupné v čase spracovania a ich vývoj.“

Konkrétnejšie, CNIL – podobne ako jej európski náprotivky od roku 2014 – špecifikovala požiadavky, ktoré sa majú dodržiavať v rámci anonymizačného postupu.

Vysvetľuje hlavné techniky anonymizácie:

• randomizácia (ktorej cieľom je upraviť atribúty v súbore údajov tak, aby boli menej presné, pričom sa zachová celkové rozdelenie) a
• zovšeobecnenie (ktoré spočíva v úprave mierky atribútov súborov údajov alebo ich rádu veľkosti).

CNIL radí:

• Identifikovať informácie, ktoré sa majú uchovávať, podľa ich relevantnosti.
• Odstrániť priame identifikačné prvky, ako aj zriedkavé hodnoty, ktoré by mohli umožniť jednoduchú opätovnú identifikáciu jednotlivcov;
• Rozlišovať dôležité informácie od druhoradých alebo zbytočných informácií;
• Definovať ideálnu a prijateľnú úroveň detailov pre každú uloženú informáciu.

Na zabezpečenie skutočnej anonymity súboru údajov možno použiť tri kritériá:

1. Individualizácia: nesmie byť možné izolovať jednotlivca v súbore údajov;
2. Korelácia: nemalo by byť možné prepojiť odlišné súbory údajov týkajúcich sa tej istej osoby;
3. Inferencia: nemalo by byť možné s takmer istotou odvodiť nové informácie o jednotlivcovi.

V prípade Cegedimu nebolo rešpektované kritérium individualizácie: služba umožňovala neustále sledovať ľudí v priebehu času pomocou jedinečného identifikátora a zväčšovať množstvo údajov, ktoré sa ich týkajú.

To umožnilo izolovať jednotlivca v súbore údajov, a tým zvýšilo riziko zrušenia pseudonymity.

Na záver treba poznamenať, že osoba zodpovedná za zriadenie skladu zdravotných údajov ho môže implementovať až po schválení CNIL alebo pod podmienkou, že spĺňa normu.

V prípade subdodávateľských zmlúv musí zodpovedná strana zahrnúť do subdodávateľskej zmluvy všetky požiadavky potrebné na zabezpečenie súladu s predpismi, najmä pokiaľ ide o bezpečnosť údajov.

Vo väčšine prípadov únikov údajov, ktoré sa dnes objavujú na titulných stránkach novín (pozri nižšie), bol slabým článkom pri vzniku úniku subdodávateľ.

 

 

Zloženie novej vlády je známe od 21. septembra, pričom došlo k niektorým novým udalostiam týkajúcim sa digitálnych otázok.

Z názvu ministerstva hospodárstva a financií mizne „digitálna suverenita“ a digitálne záležitosti sú priradené k ministrovi vysokého školstva a výskumu.

Názov zodpovedného sekretariátu je teraz: Umelá inteligencia a digitálne technológie.

Podľa Henriho d'Agraina, generálneho delegáta Cigrefu (združenia zastupujúceho podniky a vládne agentúry v digitálnom sektore), tento názov „nezachytáva dôležitosť cloudu, dát a kontinua umelej inteligencie, ktoré musí prijať akákoľvek seriózna verejná politika v tejto oblasti.“ Dodáva, že „dôraz na umelú inteligenciu v tomto názve by sa mal posudzovať vzhľadom na ambície Elyzejského paláca pre summit o akcii v oblasti umelej inteligencie, ktorý sa bude konať v Paríži vo februári 2025.“

Po verejnej konzultácii zverejnila CNIL 24. septembra konečnú verziu svojich odporúčaní, ktoré majú pomôcť odborníkom pri navrhovaní mobilných aplikácií rešpektujúcich súkromie..

Od roku 2025 zabezpečí, aby sa tieto skutočnosti riadne zohľadnili prostredníctvom osobitnej kontrolnej kampane.

CNIL má v úmysle objasniť a regulovať úlohu odborníkov a zabezpečiť kvalitu informácií a súhlasu používateľov mobilných aplikácií.

Po SFR minulý mesiac je teraz rad na Free, aby varoval svojich zákazníkov pred únikom údajov.

Medzi údajmi, ku ktorým mal útočník prístup, bolo minimálne meno, priezvisko, telefónne číslo a poštová adresa zákazníkov.

Okrem týchto dvoch prevádzkovateľov sa v polovici septembra stali obeťami hackerského útoku na ich dodacie údaje, ktoré zverejnil a ďalej predával na dark webe mnohí francúzski maloobchodníci vrátane spoločností Boulanger, Cultura, Truffaut a Grosbil.

Riziká pre jednotlivcov sa vo všeobecnosti týkajú krádeže identity a získania údajov súvisiacich s ich adresou.

Pokiaľ ide o spoločnosť Cultura, ktorá sa špecializuje na predaj kultúrnych produktov, unikol aj obsah nákupných košíkov, ktorý poskytuje presné informácie o čitateľských zvyklostiach kupujúcich, čo môže mať veľmi rušivé následky.

Vo väčšine týchto útokov sa hacker zameral na poskytovateľa služieb zúčastnených spoločností.

Dňa 25. septembra vydala sociálna komora Kasačného súdu rozsudok, ktorým zrušila prepustenie zamestnanca na základe zachytávania e-mailov odoslaných z jeho pracovnej adresy.

Súd pripomína, že „zamestnanec má právo, a to aj v čase a na mieste výkonu práce, na rešpektovanie súkromia svojho súkromného života“.

Týka sa to najmä dôvernosti korešpondencie.

Zamestnávateľ preto nemôže bez porušenia tejto základnej slobody použiť obsah osobných správ odoslaných alebo prijatých zamestnancom pomocou počítačového nástroja poskytnutého na pracovné účely na jeho disciplinárne účely.

 

Európske inštitúcie a orgány

Komisia 25. septembra zhromaždila v Bruseli kľúčových hráčov v sektore umelej inteligencie, aby oslávili prvých 100 podpisov záväzkov paktu o umelej inteligencii.

Signatármi sú nadnárodné korporácie a malé a stredné európske spoločnosti z rôznych sektorov. Spoločnosti Meta a Apple tento pakt zatiaľ nepodpísali.

Dobrovoľné záväzky v dokumente vyzývajú zúčastnené spoločnosti, aby sa zaviazali k vykonaniu aspoň troch základných opatrení:

• Prijmite stratégiu riadenia umelej inteligencie na podporu jej zavádzania v rámci organizácie a pracujte na budúcom dodržiavaní predpisov týkajúcich sa umelej inteligencie.
• Identifikujte a zmapujte systémy umelej inteligencie, ktoré môžu byť podľa nariadenia o umelej inteligencii klasifikované ako vysoko rizikové.
• Zvyšovať povedomie zamestnancov o umelej inteligencii.

Spoločnosti sa vyzývajú, aby prijali ďalšie záväzky prispôsobené ich činnostiam vrátane zabezpečenia ľudského dohľadu, zmierňovania rizík a transparentného označovania určitých typov obsahu generovaného umelou inteligenciou, ako napríklad „deepfakes“.

Súdny dvor Európskej únie (SDEÚ) vo svojom rozsudku zo 4. októbra (C 621/22) rozhodol, že obchodný záujem môže byť „oprávneným záujmom“ v zmysle článku 6 ods. 1 písm. f) GDPR, pokiaľ nie je v rozpore so zákonom.

Hoci sa tento postoj môže zdať zrejmý, v Holandsku to tak už niekoľko rokov nebolo: podľa holandského úradu pre ochranu údajov (DPA) musel byť oprávnený záujem založený na právnom základe.

Súdny dvor opakuje, že takáto požiadavka je nadmerná a že postačuje na to, aby účel nebol v rozpore so zákonom. Treba poznamenať, že toto rozhodnutie nepredstavuje voľnú ruku pre všetky marketingové praktiky: vždy sa musí vykonať vyváženie dotknutých záujmov a práv.

Súdny dvor EÚ tiež 4. októbra vydal rozsudok vo veci C-446/21, v ktorom podporuje žalobu podanú proti spoločnosti Meta v súvislosti s jej službou Facebook.

Otázky sa týkali obmedzenia používania osobných údajov na online reklamu a obmedzenia používania verejne dostupných osobných údajov na účely pôvodne určené na zverejnenie.

V ten istý deň Súdny dvor EÚ vo veci C-21/23 potvrdil aj možnosť konkurenta spoločnosti podať žalobu na občianskoprávne súdy na základe zákazu nekalých obchodných praktík s cieľom zastaviť porušovanie hmotnoprávnych ustanovení GDPR zo strany tohto konkurenta.

Treba poznamenať, že judikatúra v tomto zmysle už vo francúzskom práve existuje.

Súdny dvor EÚ 26. septembra (vec C 768/21) rozhodol, že v prípade zistenia porušenia ochrany údajov nie sú orgány na ochranu údajov povinné uplatniť nápravnú právomoc podľa článku 58 ods. 2 GDPR, ak nie je vhodné, nevyhnutné alebo primerané na nápravu zisteného nedostatku.

Podľa Súdneho dvora môžu orgány na ochranu údajov po analýze všetkých okolností prípadu upustiť od uplatnenia takejto nápravnej právomoci, napríklad ak prevádzkovateľ zaviedol vhodné technické a organizačné opatrenia na zabezpečenie toho, aby porušenie prestalo a neopakovalo sa.

Súdny dvor nakoniec v rozsudku z 12. septembra (spojené veci C 17/22 a C 18/22) rozhodol, že nielen legislatívny akt, ale aj vnútroštátna judikatúra môžu stanoviť zákonnú povinnosť v súlade s článkom 6 ods. 1 písm. c) GDPR zverejniť akcionárovi totožnosť všetkých ostatných dotknutých akcionárov.

V nadväznosti na iniciatívy vo Francúzsku, Dánsku, Španielsku a Nemecku v oblasti online overovania veku zverejnila európska mimovládna organizácia EDRi a 63 organizácií, akademikov a odborníkov na súkromie, šifrovanie, bezpečnosť detí, práva sexuálnych pracovníkov a práva spotrebiteľov 16. septembra spoločné vyhlásenie.

Naliehavo žiada Európsku komisiu, aby uprednostnila účinné opatrenia v oblasti bezpečnosti detí, pričom vyjadruje vážne obavy týkajúce sa primeranosti, proporcionality a negatívneho vplyvu súčasných návrhov na základné práva.

 

Správy z členských krajín Európskej únie.

Uznesenie zverejnené 11. septembra Konferenciou nezávislých orgánov na ochranu údajov Nemecka (DSK) poskytuje praktické odporúčania pre rámec pre prenosy osobných údajov v kontexte „obchodov s aktívami“ týkajúce sa osobných údajov, ktoré spoločnosti uchovávajú: údaje o zákazníkoch a potenciálnych zákazníkoch spoločnosti, jej zamestnancoch, obchodných partneroch atď.

V Nemecku prijala hamburská agentúra pre ochranu údajov kontroverzný dokument o modeloch veľkých jazykov (LLM).

Úrad teda dospel k záveru, že LLM neuchovávajú osobné údaje a že tento záver je v súlade so stanoviskom Súdneho dvora EÚ.

Vstupné a výstupné údaje systému umelej inteligencie však môžu na rozdiel od tréningovej fázy predstavovať osobné údaje s dôsledkami, ktoré z toho vyplývajú: žiadosti o prístup, vymazanie alebo opravu sa preto môžu týkať týchto údajov.

V Belgicku sa Flámsko dištancuje od federálnej vlády v otázkach ochrany súkromia.

Noviny Le Soir 1. septembra oznámili, že flámsky ministerský predseda Jan Jambon 20. septembra, niekoľko dní pred odchodom z funkcie, nariadil svojim ministrom, aby už nepredkladali návrhy dekrétov a rozhodnutí Federálnemu úradu na ochranu údajov (APD), ale jeho regionálnemu orgánu, Vlaamse Toezichtcommissie (VTC).

V skutočnosti flámska vláda už od roku 2019 systematicky obchádzala APD tým, že svoje dekréty schvaľovala prostredníctvom VTC, a to aj napriek rozhodnutiu Ústavného súdu z marca 2023, ktoré pripomenulo, že flámska vláda musela na prijatie textov APD prejsť.

Ministerský predseda chce dnes formalizovať flámsku kompetenciu: poslal Európskej komisii list so žiadosťou o uznanie kompetencií VTC v súvislosti s GDPR.

Belgický úrad na ochranu údajov (APD) udelil prevádzkovateľovi údajov pokutu 100 000 eur za to, že včas nereagoval na žiadosť dotknutej osoby o prístup k údajom.

APD napriek tomu zamietol žiadosť dotknutej osoby o informácie o konkrétnych zamestnancoch, ktorí mali prístup k jej údajom.

Aj v Belgicku komora pre spory APD 6. septembra zamietla platnosť mandátu na zastúpenie, ktorý predložila spoločnosť Noyb v prípade týkajúcom sa integrácie skriptov služby Google Analytics do webovej stránky v čase, keď Súdny dvor EÚ zrušil štít na ochranu osobných údajov.

Komora pre spory usúdila, že mandát predstavoval zneužitie práv zo strany spoločnosti Noyb.

V inom prípade belgický úrad na ochranu údajov (APD) napriek tomu vyhovel niekoľkým sťažnostiam podaným spoločnosťou Noyb v roku 2023 a nariadil štyrom významným belgickým spravodajským webom, aby zosúladili svoje bannery so súbormi cookie s GDPR.

Španielsky úrad na ochranu údajov zverejnil 2. októbra správu o spracovaní osobných údajov a overovaní veku detí v digitálnom prostredí.

Dokument sa zasadzuje za rozvoj proaktívnych ochranných politík zo strany služieb informačnej spoločnosti.

Španielsky úrad na ochranu údajov (APD) udelil fintech spoločnosti pokutu 72 000 eur za zavedenie nedostatočných opatrení na overovanie totožnosti zákazníkov, čo podvodníkom umožnilo vziať si pôžičku na meno obete bez jej vedomia.

Írska komisia pre ochranu údajov (DPC) udelila 27. septembra spoločnosti Meta pokutu vo výške 91 miliónov eur.

Rozhodnutie sa týka opatrení, ktoré spoločnosť prijala na zabezpečenie úrovne bezpečnosti primeranej rizikám spojeným so spracovaním hesiel a povinnosti dokumentovať a informovať orgán pre ochranu údajov o narušeniach ochrany údajov.

Úrad pripomína prevádzkovateľom údajov, že musia posúdiť riziká spojené s uchovávaním hesiel používateľov a zaviesť opatrenia na zmiernenie týchto rizík.

Dňa 12. septembra APD tiež oznámila začatie vyšetrovania proti spoločnosti Google týkajúceho sa používania osobných údajov európskych používateľov na vývoj modelu umelej inteligencie v oblasti prekladov.

Vyšetrovanie sa týka modelu umelej inteligencie „Pathways Language Model 2“ (PaLM 2), ktorý spoločnosť Google spustila v roku 2023 bez toho, aby bola vykonaná analýza vplyvu na ochranu údajov.

V Taliansku uložil úrad pre ochrannú políciu (APD) dodávateľovi energie pokutu 5 000 000 eur za to, že nezaviedol primerané opatrenia na zabezpečenie súladu s GDPR zo strany svojich subdodávateľov.

To im umožnilo uzatvárať zmluvy s dotknutými osobami bez ich vedomia.

Portugalský úrad na ochranu údajov (APD) udelil prevádzkovateľovi údajov pokutu 107 000 eur za opakované zasielanie nevyžiadaných obchodných oznámení.

Prevádzkovateľ údajov bol braný na zodpovednosť, aj keď odoslania vykonal subdodávateľ s použitím vlastnej databázy.

 

Správa Federálnej obchodnej komisie USA (FTC) zverejnená 19. septembra odhaľuje, že veľké spoločnosti zaoberajúce sa sociálnymi médiami a streamovaním videa sa zapojili do rozsiahleho sledovania používateľov s laxnou kontrolou súkromia a nedostatočnou ochranou detí a tínedžerov.

Správa odporúča obmedziť uchovávanie a zdieľanie údajov, obmedziť cielenú reklamu a posilniť ochranu tínedžerov.

Čínska vláda 30. septembra zverejnila „Predpisy o riadení bezpečnosti sieťových údajov“, ktoré nadobudnú účinnosť 1. januára 2025. 

Cieľom textu je regulovať činnosti spracovania údajov v sieti, chrániť práva a oprávnené záujmy jednotlivcov a organizácií a chrániť národnú bezpečnosť a verejné záujmy.

Aj v Číne Národný technický výbor pre štandardizáciu informačnej bezpečnosti (TC260) zverejnil rámec riadenia informačnej bezpečnosti týkajúci sa umelej inteligencie.

Dokument obsahuje súbor zásad a poskytuje užitočnú klasifikáciu rizík súvisiacich s umelou inteligenciou a technologické opatrenia na ich riešenie.

Spoločnosť IBM zverejnila správu o nákladoch na úniky údajov za rok 2024.

Medzi závermi správy stojí za zmienku, že:

• Priemerné celkové náklady na únik údajov sú 4,88 milióna dolárov a úniky údajov sú najdrahšie v Spojených štátoch.
• Nedostatok zručností v oblasti kybernetickej bezpečnosti sa zhoršil,
• Takmer polovica porušení sa týka osobných údajov (46 %) alebo záznamov o duševnom vlastníctve (43 %),
• Zásah orgánov činných v trestnom konaní znižuje náklady na ransomvér v priemere o 1 milión dolárov.
• Na identifikáciu a obmedzenie porušení súvisiacich s odcudzenými prihlasovacími údajmi je potrebných 292 dní.

Instagram teraz ponúka účty pre tínedžerov s prísnejšími bezpečnostnými nastaveniami, ktoré umožňujú rodičom obmedziť používanie aplikácií.

Účty pre tínedžerov sú špeciálne navrhnuté tak, aby chránili maloletých pred škodlivým obsahom a nechcenými kontaktmi a zároveň skrátili čas strávený v aplikácii.