Právny prehľad č. 78 – december 2024. 

Aké sú vyhliadky ochrany údajov v roku 2025?

Nový rok pokračuje postupným zavádzaním „digitálneho balíka“ Európskej únie.ale aj nové právne predpisy zamerané na posilnenie ochrany osobných údajov tvárou v tvár výzvam, ktoré predstavujú kybernetické hrozby.

Keďže umelá inteligencia sa v podnikoch stáva čoraz rozšírenejšou, môžeme očakávať posun v podpore rozhodovania smerom k autonómnejším systémom, ktoré nechávajú menej priestoru pre ľudský úsudok, s rizikami, ktoré takéto používanie so sebou prináša z hľadiska kvality a ochrany údajov.

Tieto nové postupy upravuje nariadenie o umelej inteligencii, hoci na uplatňovanie všetkých jeho ustanovení bude potrebné počkať do augusta 2026..

Ako uvidíme v nižšie uvedených správach, jeho implementácia je už predmetom usmernení, o čom svedčí aj nedávne stanovisko Európskeho výboru pre ochranu údajov (EDPB).

Prevádzkovatelia údajov budú musieť zohľadniť aj nariadenie o digitálnych službách (DSA), ktoré platí od 17. februára.ktorá ukladá nové povinnosti, najmä pokiaľ ide o transparentnosť, moderovanie obsahu a ochranu používateľov.

Podľa Francúzskej asociácie úradníkov pre ochranu údajov (AFCPD) tieto nariadenia zavádzajú prekrývanie a vyžadujú od úradníkov pre ochranu údajov, aby si s značnými ťažkosťami udržiavali prehľad s cieľom zabezpečiť konzistentné dodržiavanie predpisov. Asociácia uvádza príklad spracovania údajov o ľudských zdrojoch, ktoré sa môže v závislosti od použitých technológií, ako je napríklad umelá inteligencia, zmeniť z necitlivej na citlivú kategóriu.

„Tieto interakcie vyvolávajú základné otázky o harmonickom riadení právnych záväzkov.“

Pokiaľ ide o bezpečnosť, európske nariadenie o kybernetickej odolnosti (Cyber Resilience Act, CRA) nadobudlo účinnosť 10. decembra 2024 a väčšina jeho ustanovení bude uplatniteľná v roku 2027.

Cieľom zákona CRA je posilniť ochranu spotrebiteľských a obchodných údajov pred kybernetickými hrozbami. Táto legislatíva ukladá povinnosti výrobcom, vývojárom a predajcom pripojených produktov, pokiaľ ide o posúdenia a informácie o kybernetickej bezpečnosti.

V rovnakej súvislosti bude od 17. januára platiť európske nariadenie o digitálnej operačnej odolnosti (Digital Operational Resilience Act, DORA)..

Stanovuje prísne požiadavky na zabezpečenie digitálnej odolnosti finančných inštitúcií a na riadenie operačných rizík súvisiacich s informačnými technológiami, najmä rizík spojených s externými dodávateľmi.

Európska smernica týkajúca sa bezpečnosti sietí a informačných systémov (NIS2) je v zásade uplatniteľná od 17. októbra, teda od dátumu, kedy mala byť transponovaná do francúzskeho práva.

Text rozširuje svoj rozsah pôsobnosti v porovnaní so smernicou NIS1 a zameriava sa konkrétne na infraštruktúry a subjekty, ktoré sú nevyhnutné pre riadne fungovanie hospodárskych a spoločenských činností na vnútornom trhu.

Na úplný súlad je plánované trojročné obdobie, ale minimálne požiadavky by sa mali zaviesť rýchlo, a to registrácia regulovaného subjektu v ANSSI, oznamovanie incidentov a preukázanie investícií do bezpečnostných riešení.

Keďže transpozičný zákon ešte nebol prijatý, pretrvávajú neistoty týkajúce sa identifikácie regulovaných subjektov a konkrétnych krokov, ktoré treba podniknúť.

Existuje tiež určitá neistota ohľadom časového harmonogramu niekoľkých európskych projektov: čo dlhodobý projekt ePrivacy?

Hoci Komisia zverejnila svoj prvý návrh nariadenia v januári 2017, proces stále čaká na stanovisko Európskeho parlamentu v prvom čítaní.

Tento text vyvoláva živé diskusie o uplatňovaní zásady súhlasu s používaním súborov cookie a dôvernosti komunikácie.

Mali by sme spomenúť aj potenciálny vplyv Trumpovho prezidentstva na „rámec ochrany osobných údajov“ a v širšom zmysle na výmenu údajov medzi Európskou úniou a Spojenými štátmi.

Napokon by sa mohlo uskutočniť niekoľko aktualizácií GDPR, najmä pokiaľ ide o prenosy údajov, koordinované vyšetrovania zo strany orgánov na ochranu údajov a jeho zosúladenie s (budúcim) nariadením o súkromí a elektronických komunikáciách.

V neposlednom rade sme svedkami rozvoja kolektívnej akcie v EÚ: Ako sme informovali minulý mesiac, mimovládna organizácia noyb môže teraz podávať kolektívne žaloby v ktoromkoľvek členskom štáte.

V súčasnosti existuje v EÚ 43 ďalších oprávnených subjektov vrátane Írskej rady pre občianske slobody a fínskeho ombudsmana pre ochranu údajov, ktorý v súčasnosti predsedá EDPB.

Spoločnosť Noyb uviedla, že plánuje podať prvé právne kroky v roku 2025.

Riziko súdneho sporu, ktoré by mali spoločnosti brať vážne.

 

      

V rozhodnutí uverejnenom 1. januára v Úradnom vestníku, CNIL je znepokojená plánovanými aktualizáciami informačných systémov spoločnosti France Travail.

Zákon o plnej zamestnanosti z decembra 2023 stanovuje obnovený systém podpory pre uchádzačov o zamestnanie, ktorý je založený najmä na analýze údajov a ich zdieľaní s mnohými regionálnymi a miestnymi organizáciami.

CNIL odporúča bezpečnostné opatrenia prispôsobené rizikám.

CNIL pripravuje certifikáciu GDPR pre subdodávateľov S cieľom vybudovať vhodný rámec otvára verejnú konzultáciu do 28. februára.

Certifikácia by mala pomôcť prevádzkovateľom údajov pri výbere ich subdodávateľov „zabezpečením toho, aby spracovanie vykonávané subdodávateľom bolo posúdené ako spĺňajúce kritériá normy uznanej CNIL“.

V tlačovej správe z 12. decembra 2024, CNIL oznámila, že vydá formálne oznámenia vydavateľom webových stránok, aby upravili svoje bannery so súbormi cookie, ktoré považujú za zavádzajúce.

Úrad pripomína používateľom, že súbory cookie je možné umiestniť až po ich súhlase.

Okrem toho by odmietnutie súborov cookie malo byť rovnako jednoduché ako ich prijatie.

Stojí za to pripomenúť, že niekoľko orgánov na ochranu údajov vrátane belgického úradu už zaujalo prísne stanovisko a požadovalo, aby oba návrhy na prijatie a zamietnutie boli na rovnakej úrovni s rovnakou mierou viditeľnosti.

Dňa 5. decembra 2024 uložil CNIL (francúzsky úrad pre ochranu údajov) spoločnosti Kaspr pokutu vo výške 240 000 eur. najmä za to, že na LinkedIn zhromažďoval kontaktné údaje používateľov, ktorí sa napriek tomu rozhodli obmedziť svoju viditeľnosť.

Komisia nariaďuje spoločnosti, aby tieto údaje vymazala, alebo ak to nie je možné, a ak nie je možné odlíšiť tieto údaje, ktorých viditeľnosť bola obmedzená, od ostatných údajov, aby informovala používateľov „do 3 mesiacov o spracovaní ich údajov a o možnosti namietať proti nemu“.

Okrem nezákonného zhromažďovania kontaktných údajov a nedostatočnej transparentnosti pri spracovaní údajov CNIL kritizuje spoločnosť Kaspr aj za uchovávanie údajov päť rokov, čo je doba, ktorá sa považuje za nadmerne dlhú pre profesionálov, ktorí často menia zamestnanie.

CNIL 14. novembra uložila telekomunikačnej spoločnosti Orange pokutu 50 000 000 eur za vkladanie reklám do e-mailových schránok. a nainštalovali súbory cookie do zariadení používateľov bez ich súhlasu.

Spoločnosti bolo nariadené, aby uviedla svoje postupy do súladu s predpismi, inak jej hrozia ďalšie pokuty.

Francúzsko bude 10. a 11. februára hostiť summit o činnosti v oblasti umelej inteligencie (AI).

V tejto súvislosti CNIL, Univerzita Paris-Saclay a Univerzita Caen-Normandie 23. januára zhromaždia odborníkov a výskumníkov, aby prediskutovali spôsoby, ako predchádzať dezinformáciám, podvodom a narušovaniu súkromia a zároveň využívať umelú inteligenciu.

Francúzske observatórium umelej inteligencie zorganizovalo 11. decembra v rámci príprav na summit o umelej inteligencii seminár o vplyve vývoja umelej inteligencie na prácu a zamestnanosť.

Diskusie sa zamerali najmä na výzvy súvisiace s vysvetliteľnosťou rozhodnutí prijatých umelou inteligenciou.

Dvor audítorov zverejnil 3. januára správu o IT bezpečnosti zdravotníckych zariadení.

Poznamenáva, že „v roku 2023 bolo 10 % obetí kybernetických útokov vo Francúzsku zdravotníckymi zariadeniami. Ich zraniteľnosť súvisí najmä so zvýšeným prepojením ich informačných systémov s vonkajším svetom a s chronickým nedostatkom investícií do digitálnych technológií.“

Tieto útoky môžu mať vážne následky na fungovanie inštitúcií a na starostlivosť o pacientov.

Verejné orgány reagovali oneskorene financovaním päťročného programu prevencie a ochrany. Tento trend sa musí zachovať.

Ministerstvo zdravotníctva vyjadrilo znepokojenie nad vývojom služby „Zdravie“, novej funkcie aplikácie Doctolib. ktorý navrhuje centralizovať zdravotné informácie poistencov.

Zdá sa, že táto funkcia kopíruje „Môj zdravotný priestor“, digitálny zdravotný záznam zriadený štátom zákonom z 24. júla 2019 týkajúcim sa organizácie a transformácie systému zdravotnej starostlivosti.

Dňa 12. decembra podala mimovládna organizácia noyb sťažnosť na francúzsku platformu sociálnych médií BeReal. kvôli „temným vzorcom“, ktoré spoločnosť používa na získanie súhlasu používateľov.

Keď používatelia otvoria aplikáciu, zobrazí sa im vyskakovacie okno s výzvou na vyjadrenie súhlasu s použitím ich osobných údajov na reklamné účely „áno“ alebo „nie“. Ak používatelia kliknú na tlačidlo „súhlasím“, banner so súhlasom sa im už nikdy nezobrazí.

Ak však zacielenie odmietnu, banner sa bude zobrazovať každý deň, kým ho neprijmú.

 

Európske inštitúcie a orgány

EDPB prijal 18. decembra stanovisko k modelom umelej inteligencie. Toto stanovisko analyzuje:

• Ako posúdiť a preukázať, že model umelej inteligencie je anonymný;
• Ak oprávnený záujem môže predstavovať právny základ pre školenie alebo používanie modelov umelej inteligencie;
• Dôsledky trénovania modelu umelej inteligencie s použitím nelegálne spracovaných osobných údajov.

Podľa výboru sa otázka, či je model umelej inteligencie anonymný, musí posudzovať individuálne: musí byť prakticky nemožné („veľmi nepravdepodobné“) (1) priamo alebo nepriamo identifikovať osoby, ktorých údaje boli použité na vytvorenie modelu, a (2) extrahovať tieto osobné údaje z modelu prostredníctvom dopytov.

Oznámenie poskytuje zoznam metód na preukázanie anonymity.

Pokiaľ ide o oprávnený záujem, stanovisko poskytuje usmernenia pre orgány na ochranu údajov pri posudzovaní vhodnosti tohto právneho základu.

Nakoniec, ak bol model umelej inteligencie vyvinutý z nezákonne spracovaných osobných údajov, mohlo by to ovplyvniť zákonnosť jeho nasadenia, pokiaľ nebol model riadne anonymizovaný.

Európsky dozorný úradník pre ochranu údajov (EDPS) prijal rozhodnutie, v ktorom konštatuje, že Európska komisia sa nezákonne zameriavala na európskych občanov tým, že im zobrazovala reklamy založené na „citlivých“ osobných údajoch týkajúcich sa ich politických názorov.

Mimovládna organizácia noyb, ktorá sťažnosť iniciovala, uvádza, že v kontexte debát o návrhu nariadenia o kontrole online diskusií („kontrola chatu“) Európska komisia označila Holandsko za členský štát, ktorý chce politicky ovplyvniť.

Za týmto účelom zverejnila na Twitteri/X správy, v ktorých nepriamo propagovala toto nariadenie liberálnym alebo ľavicovo orientovaným používateľom.

 

Správy z členských krajín Európskej únie.

Nemecký výrobca automobilov Volkswagen sa v predvečer nového roka ocitol pod vyšetrovaním po odhalení mediálneho portálu Spiegel, ktorý ho obvinil zo zverejnenia geolokačných údajov viac ako 800 000 vozidiel v Európe.

Vďaka týmto informáciám bolo možné zistiť polohu takmer 500 000 vozidiel s presnosťou na 10 centimetrov.

Vo Francúzsku sa údajne týka viac ako 50 000 vozidiel značiek Volkswagen, Audi, Škoda a Seat.

Aj v Nemecku dostal poskytovateľ služieb so sídlom v Hamburgu od miestneho úradu na ochranu údajov pokutu 900 000 eur za uchovávanie osobných údajov až päť rokov po dátume splatnosti.

Pre APD je „neprijateľné, že aktéri pôsobiaci v digitálnom sektore nevypracovali ucelený postup vymazávania“ (prostredníctvom AFCDP).

V Španielsku APD uložila sankcie autoservisu, ktorý pridal svoj zákaznícky súbor do skupiny WhatsApp, čím sprístupnil údaje 150 zákazníkov (telefónne čísla, mená a fotografie) všetkým členom skupiny.

APD zistil porušenie článku 6(1) GDPR, ktorý vyžaduje platný právny základ pre akékoľvek spracovanie osobných údajov, a uložil spoločnosti pokutu vo výške 3 000 eur.

Španielsko sa rozhodlo zakázať používanie služby „Google Workspace for Education“ v školách.

Toto rozhodnutie bolo prijaté na základe správy Španielskeho úradu na ochranu údajov (APD), ktorý sa domnieva, že dochádza k „invazívnemu zhromažďovaniu osobných údajov“.

Táto správa bola vypracovaná na žiadosť ministerstva školstva.

Írska komisia pre ochranu údajov (DPC) 17. decembra oznámila, že spoločnosti Meta udelila pokutu vo výške 251 000 000 eur za to, že nezabránila úniku údajov, ktorý ohrozil údaje miliónov používateľov Facebooku, a za to, že únik dostatočne nezdokumentovala.

Dva dni po tom, čo EDPB zverejnil svoje stanovisko k umelej inteligencii, taliansky úrad pre ochranu údajov uložil 20. decembra spoločnosti OpenAI pokutu vo výške 15 000 000 eur.

Domnieva sa, že spoločnosť použila osobné údaje používateľov internetu na trénovanie ChatGPT „bez toho, aby mala primeraný právny základ a porušila zásadu transparentnosti a súvisiace informačné povinnosti voči používateľom“.

Vyšetrovanie, ktoré koncom roka 2023 začala APD, ďalej odhaľuje, že firma neposkytla primeraný systém overovania veku, ktorý by zabránil tomu, aby boli používatelia mladší ako 13 rokov vystavení nevhodnému obsahu generovanému umelou inteligenciou.

Otvorená umelá inteligencia bude tiež musieť spustiť komunikačnú kampaň v krajine v rôznych médiách s cieľom zvýšiť povedomie verejnosti o tom, ako funguje ChatGPT, a pripomenúť im ich práva.

Môžeme stále používať model OpenAI a rozhranie ChatGPT API na poskytovanie vlastných generatívnych služieb umelej inteligencie?

Talianske rozhodnutie ponecháva otázku otvorenú, keďže uvádza, že o nej bude musieť rozhodnúť írsky orgán podľa mechanizmu článku 56 GDPR.

Taliansky úrad na ochranu údajov (APD) sa 13. novembra tiež vyjadril k zverejňovaniu fotografií maloletých na Facebooku a pripomenul, že je potrebný súhlas oboch rodičov.

V tomto konkrétnom prípade otec dieťaťa mladšieho ako 14 rokov zdieľal svoju fotografiu na Facebooku, aby ukázal svoju podobnosť so svojím nevlastným bratom, ktorý sa na fotografii tiež objavil.

Matka dieťaťa, rozvedená s otcom, ho neúspešne požiadala o odstránenie fotografie z Facebooku a podala sťažnosť na polícii APD.

Holandské úrady tiež 6. decembra varovali Národný archív pred zverejňovaním holandských vojnových archívov online.

Tieto dokumenty obsahujú spisy o osobách podozrivých z kolaborácie s okupantom počas druhej svetovej vojny, vrátane citlivých údajov, ako je náboženstvo, politická príslušnosť, zdravotný stav alebo etnická príslušnosť ľudí, ktorí sú niekedy ešte nažive.

Aj keď majú nepopierateľnú hodnotu, spôsob, akým chce Národný archív sprístupniť údaje online, podľa APD porušuje zákon o archívoch a GDPR.

Preto vyzýva na lepšiu kontrolu podmienok prístupu k údajom.

Dňa 18. decembra APD uložila spoločnosti Netflix pokutu za to, že riadne neinformovala svojich zákazníkov o spracovaní ich údajov v rokoch 2018 až 2020.

Okrem toho informácie poskytnuté spoločnosťou Netflix boli v niektorých bodoch nejasné.

Z tohto dôvodu APD uložila streamovacej službe pokutu vo výške 4 750 000 eur.

Odvtedy Netflix aktualizoval svoje vyhlásenie o ochrane osobných údajov a vylepšil svoje informácie.

Vo Švédsku uložil úrad prenajímateľovi pokutu 200 000 SEK (17 366 EUR) za umiestnenie osemnástich kamier v spoločných priestoroch bytového domu a za nereagovanie na žiadosť o informácie.

 

Štúdia s názvom „Sledovanie polohy v interiéri, pohybu a obsadenosti stolov na pracovisku“, publikovaná v novembri, analyzuje technológie monitorovania a profilovania správania zamestnancov pomocou snímačov pohybu a infraštruktúry Wi-Fi v priestoroch spoločnosti.

Táto štúdia sa zameriava na potenciálne dôsledky pre zamestnancov v Európe a skúma najrozšírenejšie riešenia ponúkané spoločnosťami Cisco, Juniper, Spacewell, Locatee a ďalšími podobnými poskytovateľmi technológií.

Spoločnosť Cisco tvrdí, že doteraz spracovala 17 200 miliárd „bodov údajov o polohe“ zhromaždených prostredníctvom viac ako troch miliónov prístupových bodov Wi-Fi nainštalovaných v 250 000 budovách po celom svete.

Štúdia sa stručne zaoberá tým, ako sa pracovníci bránili inštalácii detektorov pohybu zo strany svojich zamestnávateľov (prostredníctvom AFCDP).

Po súdnom konaní, ktoré v roku 2019 začal WhatsApp, sudca v Kalifornii koncom decembra vyhlásil izraelskú spoločnosť NSO Group, tvorcu špionážneho softvéru Pegasus, za vinnú z hackerského útoku.

Toto rozhodnutie považujú odporcovia tohto odvetvia za „historické“.

Podľa Willa Cathcarta, riaditeľa WhatsAppu, „NSO Group tvrdí, že zodpovedne slúži vládam, ale zistili sme, že v máji minulého roka sa terčom útoku stalo viac ako sto obhajcov ľudských práv a novinárov; toto zneužívanie musí prestať.“

Americká vláda začiatkom decembra odhalila, že Čína napadla 8 amerických operátorov (vrátane spoločností AT&T, Verizon a Lumen Technologies).

Špionáž sa týka nového formátu RCS na odosielanie SMS správ medzi iPhonom a smartfónom so systémom Android.

FBI a Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) uviedli, že hackerská kampaň, ktorú spoločnosť Microsoft nazvala Salt Typhoon, je jedným z najväčších porušení bezpečnosti v histórii.

Hackeri získali prístup k nahrávkam hovorov, živým telefonátom od konkrétnych osôb a dokonca aj k utajovaným súdnym príkazom.

Úrady odporúčajú používať zabezpečené a šifrované aplikácie na odosielanie správ, aby sa zabránilo odhaleniu súkromnej komunikácie.