Nový rok v znamení očakávania

Právne upozornenie č. 42 – December 2021

Nový rok v znamení očakávania

Pokiaľ ide o ochranu údajov, začínajúci rok nepredznamenáva žiadny významný nový vývoj, ale skôr vývoj a možno aj strategické rozhodnutia týkajúce sa určitých aktuálnych otázok.

Zamerajme sa na tri z nich: implementácia GDPR dozornými orgánmi, otázky zdravia a regulácia digitálnych gigantov.

Jednou z opakujúcich sa tém od nadobudnutia účinnosti GDPR je závažnosť jeho implementácie zo strany vnútroštátnych orgánov na ochranu údajov. a veľký rozdiel medzi počtom a závažnosťou prijatých sankcií v závislosti od toho, či sa zodpovedná osoba nachádza napríklad v Írsku alebo Španielsku.

Zdá sa, že táto posledná krajina je jednou z tých, ktoré uvalili najväčší počet sankcií, zatiaľ čo Luxembursko a CNIL si môžu voči spoločnosti GAFAM nárokovať najvyššie pokuty (pripomeňme si pokutu 746 miliónov eur, ktorú Luxembursko uložilo spoločnosti Amazon).

Na opačnom konci spektra je írsky úrad pre ochranu údajov, ktorý niektorí jeho kolegovia, ako aj podpredseda Európskej komisie, otvorene kritizovali za jeho laxnosť voči hlavným webovým hráčom.

S cieľom posilniť súdržnosť a účinnosť kontrolných postupov v rámci Európy niektorí hovoria o posilnení právomocí Európskeho výboru pre ochranu údajov (EDPB).

Touto otázkou sa bude zaoberať konferencia, ktorú organizuje Európsky dozorný úradník pre ochranu údajov 16. a 17. júna v Bruseli.

Spracovanie zdravotných údajov predstavuje v dôsledku zdravotnej krízy ďalšiu významnú tému obáv..

Sú znepokojení

• Otázky týkajúce sa podmienok lekárskeho výskumu,
• Spracovanie genetických údajov a riziká ďalšieho predaja údajov zozbieraných v rámci skríningových testov určitými laboratóriami, ako to dokazuje nedávny britský prípad spoločnosti Signpost Diagnostics,
• Sledovanie jednotlivcov prostredníctvom aplikácií a iných zdravotných preukazov, 

• A nakoniec, riziká súvisiace s bezpečnosťou údajov: máme na mysli najmä únik údajov týkajúci sa výsledkov testov Covid spoločnosti FranceTest, ktorej CNIL v októbri minulého roka formálne nariadila zabezpečenie jej údajov, alebo únik údajov týkajúci sa organizácie Assistance Publique-Hôpitaux de Paris.

Hoci CNIL pravidelne zverejňuje svoje stanoviská k tejto téme, poznamenávame, že vo svojom rokovaní v parlamente z 30. novembra uviedla, že čaká na to, kým vláda poskytne prvky určené na podporu účinnosti zavedených spisov a prostriedkov kontroly.

Tretia aktuálna otázka sa týka regulačných iniciatív Európskej únie týkajúcich sa digitálnych služieb a umelej inteligencie.

Okrem správy súborov cookie, ktorá zostáva v hľadáčiku národných orgánov, je európsky zákonodarca znepokojený rastúcou silou webových gigantov, týchto sprostredkovateľov v dominantnom postavení, ktorí poskytujú služby zasielania správ a sociálnych sietí.

Problémom je aj používanie biometrie a umelej inteligencie na čoraz rušivejšie účely profilovania a manipulácia s používateľmi internetu bez ich vedomia (tmavé vzory) prostredníctvom prezentácie cieleného obsahu.

Na európskej úrovni sa práve prijíma niekoľko textov vrátane dvoch návrhov Európskej komisie o digitálnych trhoch a digitálnych službách a návrhu týkajúceho sa umelej inteligencie. 

Európsky parlament prijal svoju pozíciu k návrhu o digitálnych trhoch 5. decembra.

Medzi zmenami v texte je doplnenie požiadavky na interoperabilitu medzi službami hlavných platforiem okamžitých správ a sociálnych sietí, pričom cieľom je umožniť používateľom jednoduchú zmenu poskytovateľov služieb a bojovať proti dominantnému postaveniu.

Na začiatku francúzskeho predsedníctva Rady Európskej únie európsky dozorný úradník pre ochranu údajov práve zaželal francúzskej vláde veľa úspechov a zároveň zdôraznil dôležitosť týchto troch hlavných otázok súvisiacich s digitálnymi technológiami a umelou inteligenciou a naznačil, že bude pozorne sledovať vývoj v týchto oblastiach.

Hoci sa zdá, že niektoré priority sú už dobre stanovené, dúfajme, že tento nový rok nám všetkým prinesie svoj podiel príjemných prekvapení, ako aj konečne veľký dúšok čerstvého vzduchu.

A tiež

Francúzsko:

CNIL udelila spoločnosti sankcie 6. januára. Google vo výške 150 miliónov eur a spoločnosť Facebook až do výšky 60 miliónov eur za nedodržanie zákonných ustanovení týkajúcich sa súborov cookie.

CNIL uložila 28. decembra spoločnosti pokutu vo výške 300 000 eur. BEZPLATNÝ MOBIL, najmä za nerešpektovanie práv jednotlivcov a bezpečnosti údajov svojich používateľov.

V ten istý deň spoločnosť tiež sankcionovala SLIMPAY, ktorá svojim zákazníkom ponúka platobné riešenia, dostala pokutu 180 000 eur za to, že dostatočne nechránila osobné údaje používateľov a neinformovala ich o úniku údajov.

Prezident CNIL formálne informoval spoločnosť 26. novembra CLEARVIEW AI prestať zhromažďovať fotografie a videá dostupné online a vymazať tieto údaje do 2 mesiacov.

Spoločnosť vyvinula softvér na rozpoznávanie tvárí, ktorého databáza je založená na extrakcii fotografií a videí verejne dostupných na internete.

A nová verzia sprievodcu vývojárov CNIL práve bola publikovaná. Táto príručka poskytuje nový obsah určený na podporu profesionálov v oblasti vývoja webových stránok a aplikácií pri zabezpečovaní súladu ich práce s predpismi.

Tam SNCF V decembri presunula svojich 7 000 serverov a 250 aplikácií do cloudu spoločnosti Amazon, konkrétne do troch dátových centier v parížskom regióne.

Cieľom spoločnosti je tiež rozšíriť využívanie umelej inteligencie.

Európa

THE Európsky výbor pre ochranu údajov 14. decembra zverejnila usmernenia, ktoré majú pomôcť prevádzkovateľom údajov riadiť narušenia bezpečnosti.

Text obsahuje veľké množstvo príkladov a rozpracováva opatrenia, ktoré sa majú prijať v závislosti od typu priestupku.

Agentúra Európskej únie pre základné práva (FRA) v spolupráci s orgánmi na ochranu údajov vydáva príručku, ktorej cieľom je lepšie informovať žiadateľov o azyl a migrantov o používaní ich odtlačkov prstov.

Pri zastavení na vonkajšej hranici Európskej únie sú povinní poskytnúť odtlačky prstov, ktoré sú uložené v súbore Eurodac.

Správny súd vo Wiesbadene Nemecká spoločnosť 1. decembra nariadila Univerzite aplikovaných vied RheinMain, aby zastavila akékoľvek používanie správcu súhlasu „Cookiebot“. Dôvodom bol nezákonný prenos údajov návštevníkov webových stránok do Spojených štátov.

Fínsky úrad na ochranu údajov 7. decembra uložil psychoterapeutickej spoločnosti pokutu viac ako 600 000 eur za to, že dostatočne nezabezpečila bezpečnosť údajov svojich pacientov a neinformovala ich o dvoch narušeniach bezpečnosti, ktoré viedli k vydieraniu dotknutých pacientov a samotnej spoločnosti.

Nórsky úrad na ochranu údajov uložil pokutu vo výške 6 300 000 eur Grindr zdieľať údaje svojich používateľov s tretími stranami na účely profilovania a reklamy bez ich súhlasu.

Holandská daňová správa bola uložená pokuta vo výške 2 750 000 EUR za spracovanie údajov bez právneho základu a v rozpore so zásadou spravodlivosti (články 5(1)(a) a 6(1)(e) GDPR).

Belgické ministerstvo obrany sa 20. decembra stala obeťou vážneho kybernetického útoku spôsobeného malvérom Log4Shell, ktorý na niekoľko dní ovplyvnil činnosť administratívy. 

Belgický úrad na ochranu údajov udelil spoločnosti pokutu 10 000 eur za zakúpenie databázy na účely priameho marketingu bez overenia, či boli údaje zhromaždené legálne.

Spoločnosť tiež neinformovala dotknuté osoby o tomto nepriamom zbere ani nereagovala na žiadosť jednotlivca o prístup.

Medzinárodné:

Amazon podala niekoľko patentových prihlášok na biometrické technológie, ktoré umožňujú kamerám videotelefónov detekovať podozrivé osoby na základe rôznych kritérií: čuch, textúra pokožky, odtlačky prstov, oči, hlas a chôdza.

Tam Južná Kórea sa od 17. decembra považuje za poskytovateľa primeranej úrovne ochrany. Rozhodnutie Európskej komisie prichádza niekoľko mesiacov po uzavretí dohody o voľnom obchode medzi Európskou úniou a Kóreou, ktorá nadobudla platnosť v júli 2021.

Od 15. februára Čínska vláda podrobí čínske spoločnosti s medzinárodnými obchodnými operáciami sérii kontrol kybernetickej bezpečnosti.

Kontroly majú obmedziť prenos strategických údajov mimo krajiny.