Právny prehľad č. 79 – január 2025. 

Hosting profesionálnych údajov: pozor na spotrebiteľské platformy.

Povinnosti poskytovateľov hostingu údajov týkajúce sa boja proti detskej pornografii majú veľmi široký vplyv na dôvernosť dokumentov, ktoré im zverujeme.

Toto nedávno na vlastnú päsť zistil parížsky právnik, keď v súvislosti s trestným konaním uložil mimoriadne citlivé dôverné informácie na Disk Google.

Rozhodnutie parížskeho odvolacieho súdu z 24. januára pripomína právnikom – ako aj všetkým odborníkom, ktorí pracujú s citlivými údajmi –, že dôvernosť údajov nie je zaručená v hostingových službách, ako je napríklad Disk Google.

Spoločnosť Google, rovnako ako ktorákoľvek iná spoločnosť podliehajúca právnym predpisom USA, môže v kontexte boja proti sexuálnemu zneužívaniu detí vymazať hostingový účet alebo e-mailový účet v prípade podozrenia z nezákonnosti údajov.

V tomto konkrétnom prípade bol právnikovi, ktorý mal na Disku Google uložené niekoľko desiatok obrázkov s detskou pornografiou spracovaných v legitímnom kontexte trestného konania, odstránený účet na Disku, ako aj účet Gmail.

Bol tiež nahlásený NCMEC (Národnému centru pre nezvestné a zneužívané deti).

Keďže súd konfrontoval právnika, ktorý požadoval od spoločnosti Google vrátenie svojich údajov, ako aj náhradu škody, potvrdil, že vlastníctvo súborov, a to ani v profesionálnom kontexte, neodôvodňovalo ich uchovávanie a že pozastavenie účtu a správy bolo legitímne podľa zákonných povinností, ktorým poskytovateľ hostingu podlieha.

Je potrebné pripomenúť, že detekčné algoritmy, ktoré neustále prehľadávajú uložené súbory a e-maily, nerozlišujú medzi legitímne uchovávanými citlivými súbormi a nelegálnym obsahom, ani medzi osobnými alebo profesionálnymi aktivitami.

Účet môže byť pozastavený bez predchádzajúceho upozornenia a bez možnosti nápravy, čo znamená, že právnik môže stratiť okamžitý prístup k svojim súborom a komunikácii, a to aj v rámci legitímneho podnikania.

Okrem toho, stále v súvislosti s detskou pornografiou, americkí poskytovatelia hostingu, ktorí už skenujú obsah uložený na svojich serveroch, sú povinní nahlásiť používateľa príslušnému policajnému orgánu vo Francúzsku, konkrétne OFMIN.

Používanie bezpečných služieb je o to dôležitejšie pri výkone regulovaného povolania.

V tejto súvislosti si pripomeňme správu zverejnenú spoločnosťou ANSSI v roku 2023 týkajúcu sa stavu kybernetických hrozieb pre právnické firmy.

Hoci právnici majú vo všeobecnosti vyhradený a bezpečný systém (e-Drive) a adresu (avocat.fr), rovnako ako lekári, neplatí to nevyhnutne pre všetky profesie, najmä pre tie, ktoré nie sú regulované.

Európske pravidlá, a najmä francúzsky zákon LCEN (zákon z 21. júna 2004 o dôvere v digitálnu ekonomiku), dnes nestanovujú povinnosť systematického skenovania uložených údajov poskytovateľmi hostingu, ale povinnosť overovania v prípade oznámenia a podozrenia z porušenia.

Právny rámec by sa napriek tomu mohol vyvíjať na európskej úrovni prijatím budúceho nariadenia CSAR zameraného na prevenciu a boj proti sexuálnemu zneužívaniu detí.

Hoci nikto nespochybňuje platnosť cieľov, plán umožniť systematické skenovanie súkromnej komunikácie vyvoláva intenzívnu diskusiu.

V súčasnosti sa v každom prípade dôrazne odporúča:

• Používať cloudové riešenia určené pre profesionálov, v prípade potreby navrhnuté pre regulované povolania a zaručujúce rešpektovanie služobného tajomstva;
• Prísne oddeľovať osobné a profesionálne použitie;
• Šifrovať dáta od začiatku do konca;
• Vyberte si suverénneho poskytovateľa hostingu so sídlom vo Francúzsku alebo aspoň v Európe.

 

10. a 11. februára bude Francúzsko hostiť Akčný summit o umelej inteligencii (AI), ktorá v Grand Palais spojí hlavy štátov a vlád, lídrov medzinárodných organizácií, generálnych riaditeľov malých a veľkých spoločností, zástupcov akademickej obce, mimovládnych organizácií, umelcov a členov občianskej spoločnosti.

CNIL zverejňuje svoj strategický plán na roky 2025 – 2028Tá pozostáva zo štyroch hlavných osí:

• Umelá inteligencia,
• Práva maloletých,
• Kybernetická bezpečnosť
• Každodenné digitálne použitie.

Zameria sa na dve z týchto použití: mobilné aplikácie a digitálnu identitu.

CNIL tiež začiatkom tohto roka zverejní niekoľko usmernení pre prevádzkovateľov údajov.

Svoju finálnu verziu zverejnila 31. januára. príručka k posúdeniam vplyvu prenosov údajov mimo Európskej únie.

V príspevku z 23. januára nám pripomína, kontroly, ktoré sa majú vykonať pri používaní voľne dostupných databáz na internete alebo poskytnuté treťou stranou.

Reaguje tiež na rozsiahle úniky údajov, ktoré v roku 2024 postihli milióny ľudí, a navrhuje opatrenia na posilnenie bezpečnosti s cieľom riešiť riziká útoku.

Tieto sa týkajú interných postupov spoločnosti, ako aj preventívnych opatrení, ktoré treba prijať v prípade subdodávateľských zmlúv.

Stále si na ňu pamätá odporúčania, ako integrovať SDK (Software Development Kits) do mobilných aplikáciía uvádza, že vykoná kontroly na zabezpečenie ich súladu s GDPR.

Nakoniec ho zverejnila 20. januára. preskúmanie svojich kontrol v rámci koordinovanej európskej akcie týkajúcej sa dodržiavania práva na prístupa poznamenáva, že opatrenia zavedené prevádzkovateľmi údajov sú niekedy nedostatočné: napríklad keď jednotlivci uplatňujú svoje právo na prístup ku všetkým svojim údajom, niektoré organizácie poskytnú iba čiastočnú alebo neúplnú odpoveď.

Spotrebiteľské združenie UFC-Que Choisir prehralo súdny spor proti spoločnosti Google.

V júni 2019 podala hromadnú žalobu proti spoločnosti, v ktorej odsúdila praktiky, ktoré sú v rozpore s GDPR: rušivá geolokácia, sledovanie pohybu bez súhlasu, nevyžiadaná cielená reklama.

Hromadná žaloba bola podaná na základe rozhodnutia CNIL, ktorá spoločnosti Google uložila rekordnú pokutu vo výške 50 miliónov eur.

Združenie požadovalo 1 000 eur za každého postihnutého používateľa, čo predstavuje spolu 27 miliárd eur.

Parížsky súd žiadosť zamietol s odvolaním sa na nedostatok dostatočných dôkazov a nariadil združeniu zaplatiť spoločnosti Google súdne trovy vo výške 10 000 eur.

 

Európske inštitúcie a orgány

16. januára Európsky výbor pre ochranu údajov prijal usmernenia týkajúce sa pseudonymizácie.

Tieto špecifikujú definíciu a podmienky uplatňovania pseudonymizácie, ako aj jej výhody.

Uvádzajú aj množstvo príkladov.

Hoci pseudonymizácia neoslobodzuje údaje od uplatňovania GDPR, napriek tomu znižuje riziká spojené so spracovaním (napríklad v prípade ransomvéru).

Pripomienky k týmto pokynom sú otvorené do 28. februára.

V stredu 29. januára Všeobecný súd Európskej únie (VS) rozhodol v prospech Európskeho výboru pre ochranu údajov (EDPB) v spore s írskym úradom pre ochranu údajov (DPA).

Rozhodnutie výboru, ktoré napadlo Írsko, požiadalo úrad pre ochranu údajov, aby rozšíril vyšetrovanie porušení GDPR zo strany spoločnosti Meta.

Súd poznamenáva, že „rozšírenie vyšetrovania, o ktoré nevyhnutne požiada aspoň polovica dozorných orgánov (...), nemá na rozdiel od toho, čo tvrdí žiadateľ, za cieľ skomplikovať úlohu osoby, ktorá podala sťažnosť, alebo úlohy prevádzkovateľa, na ktorého sa sťažnosť vzťahuje, ale predstavuje opatrenie na ochranu ich príslušných práv“ (§ 56).

Všeobecný súd Európskej únie vo svojom rozhodnutí T-354/22 odsúdil Európsku komisiu za porušenie GDPR v súvislosti s online registráciou na podujatie, ktoré organizovala.

Prostredníctvom hypertextového odkazu „spojiť sa s Facebookom“ zobrazeného na domovskej stránke Komisia „vytvorila podmienky umožňujúce prenos IP adresy žiadateľa na Facebook“ a následne do Spojených štátov.

V tom čase bol štít na ochranu osobných údajov zrušený a prenos sa preto považoval za rozporný s článkom 46 nariadenia 2018/1725.

Súd rozhodol, že „morálna ujma, ktorú si žiadateľ nárokuje, sa musí považovať za skutočnú a určitú“, pretože prenos „postavil žiadateľa do situácie neistoty, pokiaľ ide o spracovanie jeho osobných údajov, najmä jeho IP adresy“.

Toto rozhodnutie by mohlo mať dôsledky, ak bude „rámec ochrany osobných údajov“ zrušený, pretože uznáva, že samotné pripojenie používateľa internetu k službe v USA predstavuje prenos osobných údajov do Spojených štátov.

V rozsudku vo veci „Mousse“ z 9. januára 2025 (C-394/23) Súdny dvor Európskej únie (SDEÚ) usúdil, že nie je potrebné pýtať sa kupujúcich cestovných lístkov na vlak, či sa majú oslovovať „pane“ alebo „pani“.

Súd pripomína, že „aby sa spracovanie osobných údajov považovalo za nevyhnutné na plnenie zmluvy v zmysle tohto ustanovenia, musí byť objektívne nevyhnutné na dosiahnutie účelu, ktorý je neoddeliteľnou súčasťou zmluvnej služby určenej pre dotknutú osobu“.

V tomto prípade Súdny dvor uvádza, že sa zdá, že existuje praktické a menej rušivé riešenie: dotknutá spoločnosť by sa mohla rozhodnúť pre komunikáciu založenú na všeobecných, inkluzívnych zdvorilých formuláciách, ktoré nesúvisia s predpokladanou rodovou identitou.

V rozsudku z 9. januára Súdny dvor EÚ tiež objasnil kritériá na vymedzenie „nadmerných“ žiadostí v zmysle článku 57 ods. 4 GDPR a zdôraznil, že nejde len o počet žiadostí podaných dotknutou osobou, ale skôr o zneužívajúci úmysel, ktorý sa za týmito žiadosťami skrýva.

Toto rozhodnutie sa týka APD, ale jeho zdôvodnenie je zaujímavé pre prevádzkovateľov údajov.

Súdny dvor EÚ sa domnieva, že dozorné orgány nesú dôkazné bremeno a musia preukázať zneužívajúci úmysel zo strany osoby, ktorá žiadosť podala.

Rozhodnutie Súdneho dvora EÚ z 19. decembra 2024 (vec C-65/23) objasňuje, že hoci obchodné zmluvy môžu predstavovať špecifický právny základ, zamestnávatelia musia zabezpečiť, aby tento typ zmluvy bol v súlade s GDPR.

V tomto konkrétnom prípade uzavreli nemecká spoločnosť a jej zamestnanecká rada dohody týkajúce sa spracovania údajov o zamestnancoch.

Spor sa týkal používania nového cloudového softvéru, prostredníctvom ktorého boli osobné údaje prenášané na servery v Spojených štátoch.

ESD zdôrazňuje, že vnútroštátne súdy sú povinné overiť súlad so všetkými zásadami GDPR, a to aj v prípade, že spracovanie údajov je založené na kolektívnej zmluve.

 

Správy z členských krajín Európskej únie.

V Belgicku belgický úrad na ochranu údajov (APD) 7. januára pokarhal zamestnávateľa za nezákonné nakladanie s obvineniami týkajúcimi sa napadnutia maloletej osoby jedným z jeho zamestnancov.

Bezpečnostný manažér zamestnávateľa požiadal francúzsky Národný bezpečnostný úrad o predĺženie bezpečnostnej previerky jedného zo svojich zamestnancov, pričom táto žiadosť bola zamietnutá odôvodneným rozhodnutím úradu, ktoré bolo doručené vedeniu a zamestnancovi.

Vedenie však túto informáciu postúpilo priamemu nadriadenému danej osoby, ktorý proti nej začal disciplinárne konanie.

Smernica o azylovom procese poukazuje na viacero porušení vrátane nedostatku právneho základu, prenosu údajov bez zlučiteľného účelu, nezákonného spracovania citlivých údajov a nedostatku transparentnosti voči dotknutej osobe.

V Dánsku APD schválil žiadosť futbalového klubu FC Kodaň o používanie technológie rozpoznávania tváre počas futbalových zápasov podľa vnútroštátneho práva z dôvodu, že zamýšľané uplatnenie suspendácií predstavuje podstatný verejný záujem.

Na iné podujatia ako futbalové zápasy nebolo udelené žiadne povolenie.

Dánske združenie „Danes je nov dan“ spustilo nástroj určený na testovanie schopnosti používateľov identifikovať obsah generovaný umelou inteligenciou a zároveň ich informuje o rizikách spojených s jeho zneužitím.

Nástroj, prezentovaný vo forme interaktívneho kvízu, pokrýva rôzne oblasti, ako je rozpoznávanie syntetických obrázkov, textov a videí.

Na rozdiel od dánskeho náprotivku španielsky úrad pre ochranu údajov (APD) usúdil, že implementácia voliteľného systému rozpoznávania tváre, ktorý sa používa na správu prístupu na futbalový štadión, porušuje zásadu minimalizácie údajov, keďže existujú menej invazívne alternatívy, a na tomto základe uložil zodpovedným osobám pokutu vo výške 200 000 eur.

Španielsky úrad na ochranu údajov (APD) tiež udelil prevádzkovateľovi CI Postal pokutu 200 000 eur za to, že medzi septembrom a októbrom 2022 nechal na verejných priestranstvách približne 8 000 listov, ktoré mu zverili viaceré spoločnosti.

APD konštatuje porušenie článku 5(1)(f) a článku 32 GDPR týkajúcich sa dôvernosti a bezpečnosti a poukazuje na absenciu systému sledovateľnosti pošty a nedostatočné školenie zamestnancov v oblasti pravidiel ochrany údajov.

Taktiež uložila spoločnosti Generali España pokutu 4 000 000 eur po tom, čo zistila významné nedostatky v prístupe spoločnosti k bezpečnosti údajov., čo umožnilo neoprávnenej tretej strane prístup k údajom viac ako 25 000 bývalých zákazníkov.

Estónsky úrad na ochranu údajov (APD) udelil spoločnosti Asper Biogene pokutu vo výške 85 000 eur (10 % z obratu) za nedostatočnú ochranu citlivých údajov pri útoku ransomvéru..

Spoločnosť vykonáva genetické testy, ako sú testy otcovstva a skríningy dedičných chorôb.

Hackerom sa podarilo stiahnuť viac ako 33 GB súborov PDF, ktoré neboli anonymizované ani pseudonymizované a týkali sa približne 100 000 Estóncov.

V Grécku uložil Úrad na ochranu údajov (DPA) ministerstvu pre klimatickú krízu a civilnú ochranu pokutu 50 000 eur za to, že nevymenovalo zodpovednú osobu za ochranu údajov (DPO)., čím porušili – okrem iného – článok 37 GDPR.

Čínsky startup Deepseek spustil koncom januára chatbota, ktorý je podobný ChatGPT od OpenAI a Co-Pilot od Microsoftu.

Okrem obvinení amerických gigantov, že Deepseek používal údaje generované ich vlastnými systémami, čínsky chatbot už upútal pozornosť talianskeho úradu pre ochranu údajov (APD): 30. januára APD zablokoval chatbota v Taliansku a začal vyšetrovanie po tom, čo od Deepseeku dostal odpovede, ktoré boli na jeho otázky považované za úplne nedostatočné.

Írske, belgické a francúzske APD tiež uviedli, že sa touto otázkou zaoberali.

Rozhodnutia týkajúce sa „tmavých vzorov“ v súboroch cookie sa množia.ent: Vo Švédsku APD pokarhala spoločnosť zaoberajúcu sa hazardnými hrami za zlý dizajn jej bannera so súbormi cookie.

Grafické zvýraznenie možnosti súhlasu a dodatočné kroky potrebné na odmietnutie súborov cookie spôsobili, že súhlas bol podľa článku 6 GDPR neplatný.

APD tiež vydal tri rozhodnutia o pokarhaní voči spoločnostiam, ktoré počas období od niekoľkých mesiacov do niekoľkých rokov integrovali službu merania sledovanosti spoločnosti Meta (Meta Pixel) do svojich webových stránok.

Táto integrácia mala za následok neviditeľné presmerovanie návštevnosti na Meta pre používateľov.

 

Britský úrad pre ochranu údajov (DPA) v tlačovej správe z 23. januára oznámil, že sa zaoberá otázkou dodržiavania predpisov o súboroch cookie pre 1 000 najväčších webových stránok v Spojenom kráľovstve.

ICO tiež zverejňuje „stratégiu“, ktorá má zabezpečiť, aby online sledovanie poskytlo ľuďom „jasné možnosti a dôveru v to, ako sa ich informácie používajú“, a nové usmernenia k modelom „súhlas alebo platba“.

V Spojených štátoch boli 27. januára prepustení traja demokratickí členovia Rady pre dohľad nad ochranou súkromia a občianskych slobôd (PCLOB), rady poverenej preskúmaním programov národného bezpečnostného dohľadu z hľadiska súkromia, po tom, čo odmietli odstúpiť na žiadosť Bieleho domu.

Dohoda PCLOB sa v kontexte „rámca na ochranu osobných údajov“ medzi Európou a Spojenými štátmi považovala za základný prostriedok na rešpektovanie práv jednotlivcov v záležitostiach hromadného sledovania.

Vplyv tohto opatrenia na životaschopnosť transatlantickej dohody je doteraz stále neznámy.

Po zrušení výkonného nariadenia o umelej inteligencii od bývalého prezidenta Joea Bidena Donald Trump podpísal nové, ktoré „ruší určité existujúce politiky a usmernenia týkajúce sa umelej inteligencie, ktoré sú prekážkou amerických inovácií v oblasti umelej inteligencie, a tým Spojeným štátom otvára cestu k rozhodnému konaniu s cieľom udržať si pozíciu svetového lídra v oblasti umelej inteligencie“.

23. januára spoločnosť OpenAI predstavila svojho agenta s názvom „Operator“, ktorý je opísaný ako „agent, ktorý môže na webe vykonávať úlohy za vás“.

Zatiaľ čo generatívne aplikácie umelej inteligencie dokážu napríklad odpovedať na otázky, zhrnúť texty a vytvoriť syntetické obrázky a videá, agentické aplikácie umelej inteligencie dokážu vykonávať zložitejšie úlohy nielen pri vytváraní, ale aj implementácii obsahu.

Operátor je teda navrhnutý tak, aby automatizoval úlohy, ako je plánovanie dovoleniek, vypĺňanie formulárov alebo objednávanie potravín.

Je vyškolený na interakciu s bežnými tlačidlami, ponukami a textovými poľami na webe a dokáže tiež klásť ďalšie otázky na ďalšie prispôsobenie týchto úloh.

Otvorená umelá inteligencia objasňuje, že používatelia môžu kedykoľvek prevziať kontrolu nad obrazovkou.