Právny prehľad č. 59 – máj 2023.

Metasankcia: 1,2 miliardy eur… a čo potom?

Pokuta, ktorú írsky úrad uložil 12. mája spoločnosti Meta, materskej spoločnosti Facebooku, je najvyššou pokutou, akú kedy uložil úrad na ochranu údajov od nadobudnutia účinnosti GDPR, a to v čase, keď toto nariadenie oslavuje piaty rok uplatňovania.

Jadrom tohto rozhodnutia je Facebook prenáša údaje svojich európskych používateľov do Spojených štátov, krajiny, ktorá už neponúka primeranú úroveň ochrany. od rozhodnutia Súdneho dvora Európskej únie zo 16. júla 2020 (rozsudok Schrems II).

Táto nová sankcia je tiež symbolom spolupráce medzi orgánmi na ochranu údajov, keďže rozhodnutie írskeho orgánu je výsledkom dlhého a namáhavého postupu, nehovoriac o preťahovaní sa o lano s jeho európskymi kolegami.

APD bola preto nútená rozšíriť rozsah svojho rozhodnutia a uložiť značnú pokutu.

Podľa mimovládnej organizácie NOYB a jej prezidenta Maxa Schremsa, ktorý sťažnosť inicioval, nie je nevyhnutne dôvod na oslavu.

Konanie trvalo tri roky, pričom ho vnútroštátny orgán systematicky blokoval v rôznych fázach, a malo za následok viac ako desať miliónov eur na právnych nákladoch... pokutu, ktorá pôjde írskemu štátu.

 

Aké sú konkrétne dôsledky pre Metu?

Rozhodnutie zahŕňa implementačné obdobie: spoločnosť má do polovice októbra čas na to, aby prestala prenášať údaje svojich používateľov do Spojených štátov.

Taktiež musí do polovice novembra vymazať všetky údaje, ktoré už boli prenesené zo svojich dátových centier v USA.

Hoci spoločnosť pohrozila, že ukončí poskytovanie svojich služieb v Európe, pravdepodobnosť tohto oznámenia je pochybná, keďže Európa je jej najväčším zdrojom príjmov po Spojených štátoch, pričom na európskom území vytvorila niekoľko dátových centier.

Spoločnosť oznámila, že podá vnútroštátne odvolanie proti írskemu úradu a že bude žiadať o pozastavenie výkonu rozhodnutia až do vyčerpania súdnych prostriedkov.

Meta pravdepodobne len získava čas a spolieha sa na novú transatlantickú dohodu, ktorá regularizuje prenosy údajov do Spojených štátov ešte pred jeseňou.

Treba však mať na pamäti, že na jednej strane nová dohoda nelegalizuje minulé transfery a už preukázané porušenia zákona a na druhej strane, že latka, pokiaľ ide o budúcu transatlantickú dohodu, je vysoko.

Súčasný projekt už čelil silnej kritike zo strany Európskeho parlamentu a nie je isté, či obstojí pri kontrole Súdneho dvora Európskej únie (SDEÚ).

 

Dopad na GAFAM a prevádzkovateľov údajov vo všeobecnosti

Americké zákony o sledovaní, ktoré sú základom rozhodnutí írskeho orgánu, EDPB a Súdneho dvora EÚ, predstavujú problém pre všetkých hlavných poskytovateľov cloudových služieb v USA, ako sú Microsoft, Google alebo Amazon.

Treba poznamenať, že príslušný americký zákon o sledovaní (FISA 702) musí byť opätovne schválený do decembra 2023.

Hoci niekoľko európskych dozorných orgánov už rozhodlo o nezákonnom používaní amerických služieb zahŕňajúcich prenos údajov, ich rozhodnutia neboli sprevádzané pokutou takej vysokej, aká bola uložená spoločnosti Meta.

To by mohlo povzbudiť veľké americké technologické spoločnosti a všetkých, ktorí využívajú „cloudové“ služby amerického pôvodu, aby prehodnotili svoje postupy a vykonali aspoň analýzu vplyvu prevodov.

 

Napriek tomu by bolo stále potrebné, aby orgány na ochranu údajov boli pri uplatňovaní GDPR dostatočne odrádzajúce.

Teraz sú kritizovaní za nedostatočnú účinnosť, ako ukazuje nedávna správa Írskej rady pre občianske slobody (ICCL).

Jeho analýza ukazuje, že GDPR sa zriedka uplatňuje proti veľkým technologickým spoločnostiam.

Len málo významných európskych prípadov by viedlo k závažným opatreniam na presadzovanie práva: „register konečných rozhodnutí EDPB ukazuje, že väčšina (64 %) zo 159 opatrení na presadzovanie práva prijatých na konci roka 2022 boli iba pokarhania.“

Štúdia neprekvapivo poukazuje prstom na írsku Komisiu pre ochranu údajov, keďže Európsky výbor pre ochranu údajov zrušil 75 vyšetrovacích rozhodnutí v prípadoch EÚ, a to väčšinou hlasov.

Kontext týkajúci sa nápravných opatrení sa vyvíja smerom k lepšej ochrane jednotlivcov: európska smernica o kolektívnych nápravných opatreniach by mala byť implementovaná toto leto, čo poskytne európskym používateľom ďalšiu možnosť nápravy tým, že im umožní podať kolektívne žaloby v prípade porušenia GDPR v celej Európskej únii.

Holandsko, ktoré už tento typ nápravy umožňuje, zaznamenáva nárast súdnych sporov.

Holandská organizácia na ochranu spotrebiteľských práv „Consumentenbond“ v súčasnosti združuje holandských používateľov Facebooku, aby podali sťažnosť na prenos údajov medzi Európskou úniou a Spojenými štátmi.

Napokon, nedávne rozhodnutie Súdneho dvora EÚ (Österreichische Post AG) otvorilo cestu pre „drobné žaloby“ za porušenie súkromia, čím potvrdilo, že sa nevyžaduje prah závažnosti spôsobenej morálnej ujmy, čo by mohlo používateľom umožniť požadovať náhradu škody za porušenia týkajúce sa napríklad hromadného sledovania zo strany Spojených štátov.

To by viedlo k nárokom na odškodnenie, ktoré ďaleko prevyšujú súčasné pokuty.

 

A tiež

     

• CNIL 16. mája zverejnila akčný plán nasadenia systémov umelej inteligencie, ktoré rešpektujú súkromie jednotlivcov.

Má v úmysle rozšíriť svoju prácu na rozšírených kamerách a rozšíri svoju prácu na generatívnu umelú inteligenciu a modely s rozsiahlymi jazykmi (LLM), ako aj odvodené aplikácie (vrátane chatbotov).

Táto práca tiež pomôže pripraviť sa na nadobudnutie účinnosti návrhu európskeho nariadenia o umelej inteligencii.

• CNIL uložila spoločnosti DOCTISSIMO pokutu vo výške 380 000 eur.

Komisia zaznamenala niekoľko nedostatkov v GDPR, najmä pokiaľ ide o doby uchovávania údajov, zhromažďovanie zdravotných údajov prostredníctvom online testov, bezpečnosť údajov a metódy umiestňovania súborov cookie na koncové zariadenia používateľov.

• CNIL zverejnila svoju správu o činnosti za rok 2022 23. mája.

Uvádza sa v ňom zoznam najdôležitejších udalostí uplynulého roka vrátane zvýšenej podpory pre podniky a administratívu, kampaní na informovanie verejnosti a digitálneho vzdelávania pre mladých ľudí, riešenia sťažností a opatrení na presadzovanie práva.

• Štátna rada zverejnila online záznam z diskusie, ktorú usporiadala 10. februára 2023 v spolupráci s CNIL a Alianciou IHU France na tému „Umelá inteligencia a veľké dáta, ako zrevolucionizujú medicínsky výskum a prax zajtrajška“.

Nasledovalo to po štúdii Štátnej rady s názvom „Umelá inteligencia a verejná činnosť“ z augusta 2022.

• V rozhodnutí z 23. apríla 2023 odvolací súd v Paríži rozhodol, že správy cez WhatsApp by sa mali považovať za SMS správy, ak sa vymieňajú za rovnakých podmienok.

V kontexte sporu medzi spoločnosťou a bývalými zamestnancami rozhodol, že zamestnávateľ má prístup k nešpecifikovaným „osobným“ správam zo skupiny WhatsApp na pracovných telefónoch bývalých zamestnancov.

 

Európske inštitúcie a orgány

• Keďže GDPR oslavuje svoje 5. výročie, početné štúdie predstavujú zmiešané hodnotenie jeho implementácie.

Mimovládna organizácia noyb zverejňuje na túto tému prehľad 800 prípadov GDPR, ktoré za posledných päť rokov podala orgánom na ochranu údajov (DPA), z ktorých 86 prípadov % stále čaká na rozhodnutie.

Mimovládna organizácia identifikovala viac ako 60 procedurálnych problémov, ktoré bránia uplatňovaniu GDPR.

Hoci pokuta uložená spoločnosti Meta sa dostáva na titulné stránky novín, mimovládna organizácia sa domnieva, že orgány na ochranu údajov vo všeobecnosti neuplatňujú GDPR včas.

• Hodnotenie, ktoré vykonalo Fórum pre budúcnosť súkromia (FPF), odhaľuje, že porušenia článku 25 GDPR týkajúceho sa „ochrany súkromia už v štádiu návrhu“ viedli k najvyšším pokutám.

Štúdia je založená na viac ako 90 prípadoch a vysvetľuje, že „niektoré orgány na ochranu údajov uplatňujú článok 25 predtým, ako dôjde k iným porušeniam GDPR alebo dokonca predtým, ako dôjde k zamýšľanému spracovaniu údajov“.

• Európsky výbor pre ochranu údajov (EDPB) práve zvolil za svojho prezidenta Anua Talusa, fínskeho komisára pre ochranu údajov.

Nová prezidentka nahradí odchádzajúcu prezidentku Andreu Jelinekovú a bude dohliadať na prácu výboru počas nasledujúcich piatich rokov.

• EDPB zverejňuje zbierku prípadov týkajúcich sa práva namietať a vymazať údaje podľa článku 17 GDPR. Skúma výber vzorových rozhodnutí zo svojho verejného registra.
• Riadiaca skupina IAB Europe pre „Rámec transparentnosti a súhlasu“ zverejnila verziu 2.2 svojho referenčného rámca.

Medzi hlavné zmeny patrí odstránenie právneho základu oprávneného záujmu pre personalizáciu reklamy a obsahu, zlepšenie informácií poskytovaných koncovým používateľom a požiadavka, aby poskytovatelia poskytovali dodatočné informácie o svojich činnostiach spracovania údajov.

• Skupina 30 odborníkov na IT a kybernetickú bezpečnosť so sídlom v Európe napísala otvorený list lídrom EÚ.

Vyjadrujú svoje obavy nad vážnymi rizikami, ktoré predstavuje navrhované nariadenie Európskej komisie o sexuálnom zneužívaní detí (CSA) pre dôvernosť a bezpečnosť všetkej komunikácie, ako aj pre celkové zdravie internetového a informačného ekosystému.

 

Správy z členských krajín Európy.

• Nemecký Federálny úrad na ochranu údajov (BfDI) potvrdil, že preskúmanie technologického vývoja, ako je generatívna umelá inteligencia, z hľadiska ochrany údajov je súčasťou jeho pôsobnosti.
• Dánsky úrad na ochranu údajov pokarhal prevádzkovateľa údajov za zdieľanie osobných údajov so spoločnosťou Meta Ireland bez toho, aby sa najprv uistil, že spoločnosť Meta Ireland pri prenose údajov na platformy Meta v Spojených štátoch dodržiava nariadenie GDPR.
• V dôsledku medializovaného škandálu s únikom údajov a po sťažnosti podanej mimovládnou organizáciou noyb maltský úrad pre ochranu údajov (DPA) nariadil spoločnosti C-Planet, aby vyhovela žiadosti o prístup k údajom a zverejnila zdroj osobných údajov, ktoré uchováva. V tomto prípade boli údaje zverejnené v rámci porušenia týkajúceho sa politických názorov 335 000 voličov na ostrove.
• Holandská únia spotrebiteľov podala hromadnú žalobu na spoločnosť Google za sledovanie polohy používateľov, prehliadania webu a používania aplikácií bez platného súhlasu. Očakáva sa, že spoločnosť Google odškodní všetkých používateľov, ktorí využívali jej služby od 1. marca 2012.
• Belgický úrad na ochranu údajov (APD) nariadil zákaz prenosu daňových údajov od občanov USA s bydliskom v Belgicku do Spojených štátov. Podľa APD nie je dohoda FATCA, ktorá umožňuje takéto prenosy, v súlade s GDPR a belgický daňový úrad mal vykonať posúdenie vplyvu.
• Nórska odvolacia rada pre ochranu súkromia rozhodla, že platforma na prenájom áut má právny základ podľa článku 6(1)(f) GDPR na posúdenie úverovej bonity dotknutej osoby s cieľom znížiť finančné riziko spoločnosti.
• Chorvátsky úrad pre ochranu údajov (APD) udelil pokutu vo výške 2 265 000 eur na základe anonymnej sťažnosti na inkasnú agentúru za nedostatok bezpečnostných opatrení, súhlasu a porušenie povinnosti poskytnúť informácie zo strany prevádzkovateľa údajov.
• Rakúsky úrad na ochranu údajov (APD) vydal 10. mája 2023 na základe sťažnosti rozhodnutie proti spoločnosti Clearview AI, ktorá sa zaoberá rozpoznávaním tvárí. V rozhodnutí sa zistilo porušenie GDPR (články 5, 6 a 9), prevádzkovateľovi sa nariadilo vymazať údaje sťažovateľa a vymenovať zástupcu v Rakúsku podľa článku 27 nariadenia.
• Úrad komisára pre informácie (ICO) udelil 15. mája spoločnosti TikTok pokutu 12 700 000 libier za niekoľko porušení právnych predpisov o ochrane údajov vrátane nezákonného používania osobných údajov detí.

 

• V profesionálnom kontexte rastie trend používania umelej inteligencie. Napríklad americký právnik použil ChatGPT na vyhľadávanie právnych prípadov pre súdny podnet a najmenej šesť z uvedených právnych prípadov neexistovalo – typický prípad halucinácie umelej inteligencie, pri ktorej si chatbot vymýšľa informácie.

Sudca predsedajúci prípadu napísal: „Súd čelí bezprecedentnej situácii. Podanie podané právnikom žalobcu, v ktorom namieta proti návrhu na zamietnutie, je plné citácií neexistujúcich prípadov.“ Právnik sa ospravedlnil a teraz čelí disciplinárnemu konaniu.

• 16. mája vypovedal pred americkým Kongresom Sam Altman, generálny riaditeľ spoločnosti OpenAI.

Po tom, čo uznal, že umelá inteligencia by sa potenciálne mohla „pokaziť“, a vyjadril svoju túžbu spolupracovať s vládou, aby sa tomu zabránilo, svoje poznámky upresnil: vývojár ChatGPT verí, že je dôležité umožniť spoločnostiam a projektom s otvoreným zdrojovým kódom vyvíjať určité modely „pod významnou hranicou kapacity“ bez prísnej regulácie alebo mechanizmov, ako sú licencie alebo audity.

• Kongres USA zverejnil 23. mája správu s názvom „Generatívna umelá inteligencia a ochrana osobných údajov: Úvod“: správa sa zameriava na otázky ochrany súkromia a politické aspekty relevantné pre Kongres.
• V oblasti umelej inteligencie publikovalo Centrum pre elektronické informácie o súkromí (EPIC) správu s názvom „Generovanie škôd – vplyv generatívnej umelej inteligencie a cesty vpred“. Dokument preklenuje priepasť medzi oblasťami súkromia a umelej inteligencie z pohľadu potenciálnych škôd.
• Federálna obchodná komisia Spojených štátov vydala vyhlásenie o politike zhromažďovania biometrických údajov, ktoré nezostalo bez povšimnutia.

Agentúra uvádza, že využije svoje odborné znalosti v oblasti nekalých praktík na stíhanie škodlivého spracovania biometrických informácií a vyvíja širokú interpretáciu biometrických údajov vrátane údajov, ako je fotografia tváre, a to aj v prípade, že sa nespracúvajú na identifikáciu dotknutej osoby.

• Generálny prokurátor štátu Washington 18. mája oznámil, že spoločnosť Google zaplatí štátu 39,9 milióna dolárov za klamlivé geolokačné praktiky.

Google tiež zavedie sériu reforiem na zvýšenie transparentnosti svojich nastavení geolokácie.

• Európska komisia v spolupráci s ASEAN (Združenie národov juhovýchodnej Ázie) zverejnila príručku o prenose osobných údajov s použitím štandardných zmluvných doložiek prijatých týmito dvoma organizáciami.

Príručka bude vydaná v dvoch častiach: „Referenčná príručka“ s porovnaním medzi spoločnými obchodnými krajinami ASEAN-u a spoločnými obchodnými krajinami EÚ a „Implementačná príručka“ s prehľadom osvedčených postupov spoločností, ktoré spĺňajú požiadavky oboch súborov zmluvných doložiek.

• Iberoamerická sieť orgánov na ochranu údajov („RIPD“) 8. mája oznámila, že bude koordinovať vyšetrovanie týkajúce sa ChatGPT.
• Dňa 11. apríla 2023 zverejnila Čínska správa kyberpriestoru (CAC) návrh administratívnych opatrení pre generatívne služby umelej inteligencie („návrh opatrení v oblasti umelej inteligencie“).

Tento projekt by bol v súlade s všeobecným prístupom Číny k regulácii údajov, kybernetickej bezpečnosti a online obsahu, ktorý kladie silný dôraz na udržiavanie politického a spoločenského poriadku.

CAC tiež 30. mája zverejnil usmernenia týkajúce sa registrácie štandardných zmlúv o exporte osobných údajov.

• Pakistanské ministerstvo informačných technológií a telekomunikácií 23. mája dokončilo návrh zákona o ochrane osobných údajov.

Nadobudne účinnosť najneskôr dva roky od dátumu jeho vyhlásenia, podľa toho, čo určí federálna vláda.

• Brazílske úrady nariadili zablokovanie aplikácie Telegram, ktorá je v Brazílii hojne používaná, s odôvodnením, že dostatočne nespolupracuje pri prebiehajúcom vyšetrovaní neonacistických skupín.

Súd nariadil spoločnosti Telegram zaplatiť pokutu približne 200 000 eur denne za neposkytnutie týchto informácií. Žiadosť poskytla požadované údaje len čiastočne.