Právny prehľad č. 83 – máj 2025. 

Európska dátová suverenita: zbožné prianie?

Zablokovanie e-mailového účtu generálneho prokurátora Medzinárodného trestného súdu (ICC) Karima Khana spoločnosťou Microsoft vyvoláva kľúčovú otázku digitálnej suverenity Francúzska a Európy vo všeobecnosti vzhľadom na významných technologických hráčov.

Podľa agentúry AP bol pánovi Khanovi bez varovania zablokovaný e-mailový účet, čo ho prinútilo využívať služby švajčiarskeho internetového poskytovateľa Proton.

Keďže súd je silne závislý od poskytovateľov služieb, ako je Microsoft, jeho práca sa výrazne spomalila.

Toto rozhodnutie spoločnosti Microsoft je priamym dôsledkom opatrení, ktoré americký prezident Donald Trump prijal proti Haagskemu súdu vo februári po tom, čo panel sudcov Medzinárodného trestného súdu vydal zatykače na izraelského premiéra Benjamina Netanjahua a jeho bývalého ministra obrany Joava Gallanta za vojnové zločiny v pásme Gazy.

Prezidentský dekrét výslovne zakazuje poskytovanie finančných prostriedkov, tovaru alebo služieb generálnemu prokurátorovi Medzinárodného trestného súdu (ICC) a akúkoľvek transakciu, ktorá by obchádzala tieto zákazy, z dôvodu, že konanie ICC predstavuje nezvyčajnú a mimoriadnu hrozbu pre národnú bezpečnosť a zahraničnú politiku Spojených štátov.

Holandská publikácia z 31. mája v tejto súvislosti uvádza, že vzhľadom na počet amerických serverov používaných verejným sektorom by „vláda USA mohla jediným dotykom tlačidla zablokovať alebo manipulovať s viac ako 650 holandskými vládnymi a kritickými obchodnými webovými stránkami vrátane webových stránok De Nederlandsche Bank a polície, ale aj s webovou stránkou (...) ministerstva zahraničných vecí. Rovnako ako webová stránka Crisis.nl, ktorá je referenčným miestom pre Holanďanov v prípade katastrofy.“

Ďalší príklad potenciálnych dôsledkov našej technologickej závislosti možno nájsť v nedávnom prípade medzi OpenAI a americkým súdnym systémom: spoločnosť v súčasnosti bojuje proti rozhodnutiu, ktoré jej nariaďuje uchovávať všetky používateľské protokoly ChatGPT – vrátane vymazaných a citlivých chatov – zaznamenané prostredníctvom jej komerčnej ponuky API.

Rozhodnutie išlo na základe sťažností na autorské práva v tlači, ktoré obvinili OpenAI zo zničenia dôkazov.

Vo svojej odpovedi spoločnosť tvrdí, že súd sa opiera výlučne o tvrdenie denníka New York Times a ďalších mediálnych žalobcov a že „bez akéhokoľvek platného dôvodu bráni spoločnosti OpenAI rešpektovať rozhodnutia jej používateľov o ochrane súkromia“.

Bez zaujatia stanoviska k legitímnej otázke rešpektovania autorských práv nás tento prípad vedie k spochybňovaniu kontroly, ktorú môžu mať zahraničné mocnosti, v tomto prípade Spojené štáty, nad našimi každodennými pracovnými nástrojmi, a to od okamihu, keď samy rozhodnú o motiváciách národného záujmu, ktoré takúto kontrolu odôvodňujú.

Toto sa zdá byť obzvlášť znepokojujúce vo svete, kde je právny štát čoraz viac pod útokom a kde politické aliancie denne kolíšu.

V tomto pochmúrnom kontexte, kde je Európa často obviňovaná zo zaostávania, existujú povzbudivé správy: Centrum zabezpečeného prístupu k údajom (CASD) sa v polovici mája stalo prvou službou hostingu dát v Európe, ktorá získala oficiálnu certifikáciu GDPR vydanú podľa článku 42 GDPR a štandardu Europrivacy.

Túto certifikáciu oficiálne uznávajú orgány na ochranu údajov v 30 krajinách – všetkých členských štátoch EÚ a EHP.

CASD už má mnoho certifikácií (ISO 27001, ISO 2770) a je tiež, čo je dôležité, poskytovateľom zdravotníckych údajov (HDS).

Vieme tiež, že Európa v súčasnosti investuje do umelej inteligencie, a to finančne aj s cieľom zjednodušiť predpisy (pozri nižšie uvedené správy). Manifest IMA (Innovation Makers Alliance), ktorý podporujú hráči ako OVHcloud, Hexatrust a Mistral AI, v marci predstavil aj 33 návrhov zameraných na umelú inteligenciu, cloud computing, kybernetickú bezpečnosť a verejné obstarávanie s cieľom urgentne obnoviť rovnováhu... Zároveň spoločnosť Microsoft ponúkla európskym vládam bezplatný program kybernetickej bezpečnosti.

Európske iniciatívy dosiahnu svoj plný potenciál len vtedy, ak sa naše reflexy vyvinú, či už ide o strategické rozhodnutia týkajúce sa nástrojov umelej inteligencie, hostingových služieb, ale aj digitálnej hygieny: pred prenosom alebo ukladaním údajov je nevyhnutné spočiatku spracovávať iba nevyhnutné údaje a zavádzať, či už vo verejnom alebo súkromnom sektore, postupy a charty obmedzujúce riziká straty kontroly nad týmito údajmi.

 

Dňa 15. mája 2025 uložila CNIL spoločnosti Solocal Marketing services pokutu 900 000 eur za oslovovanie potenciálnych zákazníkov bez ich súhlasu a prenos ich údajov partnerom bez platného právneho základu.

V ten istý deň uložila spoločnosti Caloga pokutu 80 000 eur za oslovovanie potenciálnych zákazníkov bez ich súhlasu a prenos ich údajov partnerom bez platného právneho základu.

Koncom mája poslanec a člen CNIL Philippe Latombe položil ministrovi hospodárstva, financií a priemyslu a digitálnej suverenity parlamentnú otázku o výbere vzájomnej poisťovne ALAN mnohými verejnými orgánmi na poskytovanie doplnkového zdravotného poistenia svojim zamestnancom.

Poukazuje na to, že „tento francúzsky jednorožec (...) hostuje svoje dáta u Amazon Web Services (AWS), a preto podlieha extrateritorialite amerického práva.“

Poslanec sa vlády pýta, či zvažuje, „aby ochránila citlivé údaje svojich agentov a bola v súlade s vydanými smernicami, požiadať spoločnosť ALAN o migráciu do suverénneho cloudu“.

V rozhodnutí z 5. mája Štátna rada položila Súdnemu dvoru Európskej únie (SDEÚ) prejudiciálnu otázku týkajúcu sa rozsahu súhlasu: prípad sa týka spoločnosti Canal+, ktorú v októbri 2023 sankcionovala CNIL za používanie údajov zhromaždených jej partnerskými poskytovateľmi internetových služieb na účely elektronického marketingu, hoci partneri neboli pri udelení súhlasu výslovne identifikovaní.

Štátna rada sa v podstate pýta Súdneho dvora EÚ, či súhlas udelený hlavnému prevádzkovateľovi údajov (napríklad poskytovateľovi internetových služieb) na spracovanie údajov „jeho partnermi“ možno považovať za dostatočný na to, aby každý z týchto partnerov mohol vykonávať marketingové kampane, a to aj v prípade, že v čase zhromažďovania údajov nie sú identifikovaní.

Štátna rada (CE) 25. apríla odmietla pozastaviť rozhodnutie CNIL, ktoré povoľovalo Európskej agentúre pre lieky (EMA) vykonávať spracovanie údajov na účely štúdie o incidencii a prevalencii chorôb v rámci projektu „DARWIN EU“.

Žiadateľ argumentoval, že opatrenie je naliehavé, pretože navrhované spracovanie sa týka zdravotných údajov 10 miliónov Francúzov, ktoré by spravovala spoločnosť Microsoft, čo by si vyžadovalo prenosy do Spojených štátov, kde by záruky neboli dostatočné.

CE sa domnieva, že „hoci nemožno úplne vylúčiť, že údaje zo spracovania (...) môžu byť predmetom žiadostí o prístup zo strany orgánov Spojených štátov prostredníctvom materskej spoločnosti hostiteľa a že táto spoločnosť nemusí byť schopná im namietať, toto riziko zostáva v súčasnej fáze vyšetrovania hypotetické.“

Po druhé, okrem toho, že spoločnosť Microsoft Ireland vlastní certifikáciu „Health Data Hosting“ (HDS) (...), je implementácia projektu sprevádzaná zárukami a bezpečnostnými opatreniami, najmä tým, že údaje budú niekoľkokrát pseudonymizované a nebudú priamo identifikovateľné, takže CNIL usúdila, že toto riziko bolo znížené na úroveň, ktorá neodôvodňuje odmietnutie požadovaného povolenia, ktorého trvanie tiež obmedzila na tri roky.

Odvolací súd v Bordeaux 13. mája zrušil zmluvu týkajúcu sa vývoja webovej stránky z dôvodu porušenia predpisov o ochrane osobných údajov, a najmä pokiaľ ide o povinnosti týkajúce sa informácií a súhlasu s používaním súborov cookie.

Sektor kryptomien je po niekoľkých pokusoch o únos v troskách.

Riaditeľ platformy Paymium, ktorá sa stala terčom nedávneho pokusu, poukazuje na regulačný vývoj, ktorý má v úmysle uplatniť na sektor kryptomien niekoľko pravidiel zameraných na zrušenie anonymity, ktoré sa už uplatňujú v bankovom sektore v otázkach prania špinavých peňazí alebo boja proti obchodovaniu s drogami.

Zameriavajú sa najmä na národné a európske mechanizmy určené na znemožnenie sledovania finančných prostriedkov.

Tieto obavy zdieľajú aj niektorí odborníci na kybernetickú bezpečnosť, ktorí tvrdia, že anonymitu možno používať v legitímnom kontexte, ale do perspektívy ich dávajú aj iní, ktorí poukazujú na všetky záruky ochrany údajov, ktoré sa už vzťahujú na finančný sektor.

 

Európske inštitúcie a orgány

Európska komisia 21. mája zverejnila návrh na zmenu GDPR zameranú na zmiernenie povinností malých a stredných podnikov a ich rozšírenie na stredne veľké spoločnosti zamestnávajúce menej ako 750 ľudí.

Najdôležitejšie zmeny sa týkajú požiadaviek týkajúcich sa záznamov o činnostiach spracovania (RPA).

Súčasná výnimka v § 30(5) by sa rozšírila na všetky takéto podniky.

Táto nová výnimka by sa uplatňovala, pokiaľ by spracovanie pravdepodobne viedla k „vysokému riziku“ pre práva a slobody dotknutých osôb (na rozdiel od súčasného „rizika“).

Do textu by sa tiež pridalo odôvodnenie, v ktorom by sa špecifikovalo, že spracovanie určitých kategórií údajov potrebných na uplatňovanie pracovného práva a práva sociálneho zabezpečenia podľa článku 9 ods. 2 písm. b) samo o sebe nespôsobuje povinnosť viesť hodnotiacu databázu údajov.

Návrhy by tiež zmenili ustanovenia týkajúce sa kódexov správania (článok 40) a certifikačných systémov (článok 42) s cieľom rozšíriť ich pôsobnosť na spoločnosti zamestnávajúce menej ako 750 ľudí.

Tieto články v súčasnosti vyžadujú od členských štátov, orgánov na ochranu údajov, Komisie a EDPB, aby „podporovali“ vývoj kódexov a certifikácií, ktoré zohľadňujú „špecifické potreby“ malých a stredných podnikov.

S cieľom informovať o budúcej dátovej stratégii EÚ Európska komisia otvára konzultácie o využívaní údajov v umelej inteligencii, zjednodušení pravidiel týkajúcich sa údajov a medzinárodných tokoch údajov.

Cieľom je umožniť vytváranie vysokokvalitných, interoperabilných a rozmanitých súborov údajov potrebných pre umelú inteligenciu a zároveň zabezpečiť konzistentnosť medzi politikami, infraštruktúrami a právnymi nástrojmi súvisiacimi s údajmi.

Konzultácia je otvorená do 18. júla.

Komisia tiež zverejňuje konzultáciu k návrhu usmernenia týkajúceho sa zákona o digitálnych službách (DSA), ktorá je otvorená do 10. júna.

Text obsahuje usmernenia o ochrane maloletých online. Komisia plánuje zverejniť konečné usmernenia toto leto. Pracuje aj na aplikácii na overenie veku.

Európska komisia 27. mája oznámila, že začala vyšetrovania na ochranu maloletých pred pornografickým obsahom podľa zákona o digitálnych službách (DSA).

Vyšetrovania spoločností Pornhub, Stripchat, XNXX a XVideos sa zameriavajú na riziká spojené s nedostatkom účinných opatrení na overenie veku.

Súbežne členské štáty, ktoré sa stretávajú v rámci Európskej rady pre digitálne služby, prijímajú koordinované opatrenia proti malým pornografickým platformám.

Európsky dozorný úradník pre ochranu údajov zverejnil 28. mája stanovisko k návrhu nariadenia, ktorým sa zavádza spoločný systém pre návrat štátnych príslušníkov tretích krajín s nelegálnym pobytom v EÚ.

Hoci uznáva potrebu účinnejšieho presadzovania existujúcich právnych predpisov v oblasti migrácie a azylu, zdôrazňuje, že „ochrana údajov – ako základné právo zakotvené v Charte – je jednou z posledných obranných línií pre zraniteľné osoby, ako sú migranti a žiadatelia o azyl, ktorí sa blížia k vonkajším hraniciam EÚ.“

Mimovládna organizácia noyb zaslala 14. mája spoločnosti Meta list s „označením zastavenia konania“ ako oprávnený subjekt podľa novej európskej smernice o kolektívnom uplatňovaní nárokov na nápravu, ktorý sa týkal školenia spoločnosti Meta v oblasti umelej inteligencie bez súhlasu používateľa.

Predbežné opatrenie podala v Nemecku aj Verbraucherzentrale NRW, súd ho koncom mája zamietol (pozri nižšie).

 

Správy z členských krajín Európskej únie.

Nemecký Federálny úrad na ochranu údajov (BfDI) zverejnil dotazník o dodržiavaní predpisov v oblasti umelej inteligencie, ktorý má pomôcť organizáciám overiť ich iniciatívy v oblasti umelej inteligencie a zabezpečiť, aby boli v súlade s GDPR.

Vrchný regionálny súd v Kolíne nad Rýnom 23. mája rozhodol, že spoločnosť Meta neporušila GDPR ani nariadenie o európskych digitálnych trhoch tým, že použila údaje z používateľských profilov na zlepšenie svojho systému umelej inteligencie, a poznamenal, že toto hodnotenie je v súlade s hodnotením írskej komisie pre ochranu údajov (DPC), ktorá je v Európe príslušná v súvislosti s spoločnosťou Meta.

TikTok čelí v Nemecku hromadnej žalobe. Holandská mimovládna organizácia Stichting Onderzoek Marktinformatie (Somi), ktorá podala žalobu o náhradu škody na berlínskom súde, tvrdí, že „TikTok zhromažďuje a analyzuje vysoko osobné a intímne údaje svojich používateľov v rozsahu, ktorý ďaleko presahuje nevyhnutný rámec.“

Organizácia tvrdí, že algoritmus platformy vytvára „systém manipulácie a závislosti“, najmä u detí. Mimovládna organizácia požaduje odškodné až do výšky 2 000 eur na osobu.

Belgický úrad pre ochranu údajov (APD) vykonal hodnotenie dohody FATCA uzavretej medzi Belgickom a Spojenými štátmi a dospel k záveru, že nie je v súlade s GDPR.

Sťažnosti sa týkali prenosu osobných údajov týkajúcich sa sťažovateľov vrátane belgických „náhodných Američanov“ americkým daňovým orgánom.

APD pokarhal Federálny úrad pre financie verejných služieb za porušenie GDPR a zistil porušenie zásad obmedzenia účelu, minimalizácie údajov a pravidiel prenosu údajov. 

Toto rozhodnutie má dôsledky, ktoré presahujú rámec Belgicka, keďže podobné dohody uzavreli Spojené štáty v iných krajinách Európskej únie.

Španielsky úrad na ochranu údajov (APD) udelil andalúzskej spoločnosti pokutu 1 200 eur za to, že od svojich zamestnancov pracujúcich na diaľku žiadala ich osobné telefónne číslo, aby ich mohla pridať do firemnej skupiny WhatsApp.

Zamestnanci mohli teoreticky súhlasiť s alternatívou e-mailu alebo si ju zvoliť, ale spoločnosť ich povzbudzovala, aby pre plynulý priebeh komunikácie používali WhatsApp.

APD zopakovala, že súhlas nie je platným právnym základom vo vzťahu medzi zamestnancom a zamestnávateľom.

Aj v Španielsku dostala spoločnosť Carrefour od úradu APD pokutu 3,2 milióna eur za to, že nechránila prístup k účtom svojich zákazníkov.

Spoločnosť bola odsúdená, aj keď prihlasovacie údaje použité pri hackerskom útoku neboli priamo ukradnuté od nej, ale preto, že si nesplnila svoju povinnosť starostlivosti a jej bezpečnostné systémy jej neumožnili odhaliť masívne útoky z veľmi veľkého počtu IP adries.

Taliansky úrad pre ochranu údajov (APD) udelil americkej spoločnosti Luka Inc, poskytovateľovi „virtuálneho spoločníka“ „Replika AI“, pokutu vo výške 5 miliónov eur za nezákonné spracovanie osobných údajov, porušenie pravidiel transparentnosti a za nezavedenie účinných mechanizmov na overovanie veku používateľov.

Poľský úrad na ochranu údajov (APD) udelil poľskému ministrovi digitalizácie pokutu 100 000 PLN (23 448,50 €) a poľskej pošte pokutu 27 124 816 PLN (6 444 174 €) za nezákonné spracovanie osobných údajov približne 30 miliónov občanov s cieľom uľahčiť hlasovanie poštou vo všeobecných voľbách.

 

Austrálska vláda zverejnila štandardné ustanovenia týkajúce sa umelej inteligencie.

Tieto doložky sa vzťahujú na podmienky nákupu systémov umelej inteligencie a zabezpečujú, aby boli nakupované a implementované zodpovedne, eticky a bezpečne. Ich cieľom je zmierniť riziká a podporiť transparentnosť a zodpovednosť pri zavádzaní umelej inteligencie.

Správa zverejnená 5. júna organizáciou Privacy Laws and Business naznačuje, že mnohé africké krajiny prijímajú zákony o ochrane osobných údajov v socioekonomickom prostredí úplne odlišnom od prostredia Európy alebo Severnej Ameriky.

„Afrika je popredným kontinentom v používaní mobilných peňazí s viac ako 1,1 miliardami registrovaných účtov, čo predstavuje viac ako polovicu celosvetového počtu. V dôsledku toho sa priority politiky ochrany osobných údajov v afrických krajinách nevyhnutne líšia od priorít v európskych krajinách.“

Pre autora tento odlišný sociálno-ekonomický kontext znamená, že posúdenia „vhodnosti“ Kene a ďalších krajín v Afrike, Ázii a Latinskej Amerike zo strany EÚ by mali do istej miery zohľadňovať vnútroštátne okolnosti.

Prezident Spojených štátov 19. mája podpísal zákon „Take It Down Act“, ktorého účelom je blokovať intímne zábery bez súhlasu a ktorý sa vzťahuje aj na „deepfakes“ umelej inteligencie.

„Take It Down“ je skratka pre „Tools to Address Known Exploitation by Immobilizing Technological Deepfakes On Websites and Networks Act“ (Zákon o nástrojoch na riešenie známeho zneužívania prostredníctvom imobilizácie technologických deepfakov na webových stránkach a sieťach).

Spoločnosť Google súhlasila so zaplatením 1,375 miliardy dolárov štátu Texas na urovnanie dvoch súdnych sporov, ktoré spoločnosť obviňujú zo sledovania polohy používateľov, „inkognito“ vyhľadávania a hlasových a tvárových údajov bez ich súhlasu.

Spoločnosť údajne uviedla, že súdne konanie urovnáva bez toho, aby priznala vinu alebo zodpovednosť a bez toho, aby musela upravovať svoje produkty, a že jej postupy sa od udalostí vyvinuli.

Medzitým, výsledky výskumu zverejnené 3. júna ukazujú, že Meta a ruská spoločnosť Yandex sledujú prehliadanie webu používateľov systému Android, a to aj v režime inkognito alebo s VPN, využívaním lokálneho portu na prepojenie aktivity prehliadania s pripojenou identitou.

Google uviedol, že vyšetruje toto zneužitie, ktoré umožňuje spoločnostiam Meta a Yandex previesť prchavé webové identifikátory na trvalé identity používateľov mobilných aplikácií.