Pegasus - spyware, ktorý spochybňuje zákon.

Právne správy č. 37 – Júl 2021

Pegasus – špionážny softvér, ktorý spochybňuje zákonV júli projekt Pegasus odhalil bezprecedentný vplyv izraelského špionážneho softvéru na sledovanie, ktorý dokáže odpočúvať a extrahovať údaje zo smartfónov so systémom iOS alebo Android.

Toto je záver medzinárodného vyšetrovania, ktoré vykonala mimovládna organizácia Forbidden Stories s pomocou Amnesty International a Citizen Lab na Univerzite v Toronte, ako aj 17 významných medzinárodných médií vrátane Le Monde a The Guardian.

Hoci sa o softvéri už v minulosti hovorilo, nedávne informácie poskytujú lepšie pochopenie rozsahu sledovania, ktoré je možné vykonávať bez vedomia používateľov smartfónov.

Údajne bolo vybraných približne 50 000 cieľových telefónnych čísel, vrátane tisícky vo Francúzsku, ktoré sa týkali aktérov občianskej spoločnosti, novinárov a politikov.

Medzi 55 krajinami uvedenými ako klienti spoločnosti NSO, ktorá softvér predáva, sú Saudská Arábia, Spojené arabské emiráty, India, Maďarsko, Rwanda, Mexiko a Kazachstan.

NSO tvrdí, že dodržiava prísne etické zásady a spolupracuje so spravodajskými službami a orgánmi činnými v trestnom konaní iba na účely boja proti kriminalite, terorizmu, obchodovaniu s drogami a pedofílii.

Tieto tvrdenia, ako aj uistenia poskytnuté vlastníkom softvéru, vyvolávajú praktické a právne otázky.

Aj keď sa záruky prijmú pred začiatkom marketingu, aké sú skutočné prostriedky na zabezpečenie dodržiavania zmluvného rámca medzi NSO a jej oficiálnymi klientmi a jeho používania neoprávnenými stranami a napríklad proti politickým alebo občiansko-spoločenským „cieľom“?

Obzvlášť rušivá a nezistiteľná povaha tejto technológie vyvoláva otázky o regulácii sledovacích techník v medzinárodnom a európskom kontexte.

V Európe majú orgány činné v trestnom konaní síce špecifické vyšetrovacie právomoci, ale tieto právomoci sú prísne regulované GDPR a vnútroštátnymi zákonmi, ktoré transponujú európsku smernicu o „polícii a justícii“ z 27. apríla 2016.

Vo Francúzsku je to kapitola XIII zákona o ochrane údajov.

Spracovanie údajov vykonávané konkrétnejšie štátnou bezpečnosťou alebo národnou obranou je vylúčené z rozsahu pôsobnosti európskej smernice, ale vo Francúzsku naďalej podlieha zákonu o ochrane údajov.

Tajné zavádzanie špionážneho softvéru do počítačových systémov možno povoliť len na základe osobitných zákonných ustanovení.

Túto záležitosť upravujú zákony č. 2015-912 z 24. júla 2015 týkajúce sa spravodajských služieb a č. 2017-1510 z 30. októbra 2017, známe ako zákon SILT.

CNIL tiež zdôrazňuje, že musia existovať prvky predstavujúce konkrétnu hrozbu pre telesnú integritu, život, slobodu ľudí alebo útok na základné záujmy národa.

Ak sa uplatňujú zásady zákona, CNIL nemá právomoc kontrolovať implementáciu súborov spravodajských služieb.

Vo svojich nedávnych stanoviskách k návrhu zákona o predchádzaní teroristickým činom a spravodajským informáciám (o ktorom sa teraz hlasuje) zopakovala svoju žiadosť, aby mohla vykonávať svoje kontrolné právomoci spôsobom prispôsobeným novým vyšetrovacím technikám.

Taktiež vyzvala na posilnenie právomocí Komisie pre kontrolu spravodajských techník (CNCTR).

CNIL aj Európsky výbor pre ochranu údajov zdôrazňujú dôležitosť účinného dohľadu v oblasti spravodajských služieb a štátnej bezpečnosti, najmä v kontexte čoraz rušivejšieho spracovania údajov v kombinácii s vývojom špičkových technológií, ktoré ignorujú hranice.

Tieto požiadavky patria medzi kritériá, ktoré výbor uviedol vo svojich nedávnych odporúčaniach týkajúcich sa základných záruk, ktoré majú tretie krajiny poskytnúť EÚ v oblasti dohľadu.

Ich cieľom je chrániť európske údaje pred neprimeraným zasahovaním v prípade medzinárodného prenosu.

Vzhľadom na čoraz ľahšie zachytávanie komunikačných údajov vyvstávajú zásadnejšie otázky týkajúce sa technických opatrení, ktoré by sa mali prijať na obmedzenie týchto rizík.

Vo svojej tlačovej správe z 9. marca 2021 o nariadení o „súkromí v elektronických komunikáciách“ Európsky výbor zdôrazňuje potrebu zachovania dôvernosti údajov počas celého komunikačného procesu a šifrovania údajov.

Z rovnakého hľadiska vyvstáva otázka vhodnosti udržiavania „zadných dvierok“ v komunikačných termináloch na spravodajské účely, s rizikom nárastu zneužívania a sprenevery údajov mimo akejkoľvek kontroly.

A tiež

Francúzsko:

CNIL zverejnila svoje stanovisko k povinnému predĺženiu „zdravotného preukazu“ na určitých miestach.

Bez toho, aby spochybňovala svoju zásadu, pripomína potrebu obmedziť jej používanie v kontexte preukázanej zdravotnej núdze, žiada parlament o vyhodnotenie systému na jeseň a zdôrazňuje etické aspekty problému, ktoré presahujú otázky ochrany údajov.

Vyzýva zákonodarcu, aby zohľadnil „... riziko návyku a trivializácie takýchto zariadení, ktoré narúšajú súkromie a o posune v budúcnosti, a potenciálne z iných dôvodov, smerom k spoločnosti, kde by takéto kontroly boli normou a nie výnimkou.“

V súvislosti so zdravotnou krízou CNIL tiež zopakovala zásady, ktoré treba dodržiavať pri oznamovaní zoznamu neočkovaných pacientov lekárom.

Za zmienku stoja dve sankcie., uvalené CNIL 22. a 28. júla proti

• na jednej strane Skupina AG2R La Mondiale za sumu 1,75 milióna eur za nedodržanie povinností vyplývajúcich z GDPR týkajúcich sa uchovávania údajov a informácií o jednotlivcoch,
• a na druhej strane Spoločnosť Monsanto za sumu 400 000 eur, za to, že neinformoval osoby uvedené v lobistickom spise.

ANSSI a DINSIC publikujú príručku, ktorej cieľom je praktickým a konkrétnym spôsobom vysvetliť, ako agilita a bezpečnosť prispievajú k bezpečnému vývoju projektov a riadeniu digitálnych rizík.

Sprievodca ponúka postupnú podporu, workshop po workshope, konkrétne príklady a metodické listy.

Európa:

Spoločnosť Amazon práve dostala od luxemburského úradu na ochranu údajov rekordnú pokutu 746 miliónov eur. za nedodržiavanie zásad GDPR, a najmä za cielenie reklamy bez súhlasu dotknutých osôb.

Toto rozhodnutie z 15. júla nasleduje po kolektívnej sťažnosti, ktorú iniciovalo združenie pre občianske slobody

Spoločnosť La Quadrature du Net podala sťažnosť na francúzsky CNIL, v ktorej sa odvoláva na luxemburský úrad z dôvodu umiestnenia sídla spoločnosti Amazon v Luxembursku. Spoločnosť oznámila, že sa proti tomuto rozhodnutiu odvolá.

Holandský úrad na ochranu údajov udelil TikToku pokutu vo výške 750 000 eur. pre nedostatok jasných informácií o spracovaní údajov.

Informácie, dostupné iba v angličtine, boli považované za nezrozumiteľné pre deti, hlavných používateľov aplikácie.

Medzinárodné:

SPOJENÉ ŠTÁTY AMERICKÉ: Národný inštitút pre štandardy a technológie (NIST) publikoval príručku na identifikáciu a riadenie skreslení v umelej inteligencii: „návrh na identifikáciu a riadenie skreslení v rámci umelej inteligencie“.

Spoločnosť Zoom súhlasila so zaplatením 85 miliónov dolárov na urovnanie súdneho sporu v Spojených štátoch.

Bola obvinená zo zdieľania údajov svojich používateľov a z ich nechránenia pred určitými počítačovými útokmi („zoombombing“).

Spoločnosť sa zaviazala školiť svojich zamestnancov v oblasti ochrany údajov a posilňovať svoje bezpečnostné opatrenia.

Anne Christine Lacoste

Anne Christine Lacoste, partnerka v spoločnosti Olivier Weber Avocat, je právnička špecializujúca sa na právo týkajúce sa údajov; bola vedúcou oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.