Právny prehľad č. 69 – marec 2024.

Bezpečnosť údajov, kybernetické hrozby: súčasná situácia a usmernenia.

Niekoľko organizácií zverejňuje svoje správy o stave kybernetických hrozieb začiatkom tohto roka: je to príležitosť zhodnotiť riziká a poskytnúť rady na ochranu osobných údajov.

Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA) zverejnila svoju správu o kybernetických hrozbách do roku 2030.

Správa identifikuje hrozby súvisiace so softvérovými závislosťami a dezinformačnými kampaňami, ako aj tie, ktoré súvisia s ľudskou chybou, ako obzvlášť znepokojujúce.

Medzi dlhodobými hrozbami agentúra poukazuje na nedostatok kvalifikovaných pracovníkov a zlyhania poskytovateľov služieb, ako aj na nárast hrozieb súvisiacich s umelou inteligenciou.

Iniciatíva „akcia proti kybernetickej kriminalite“ pri príležitosti zverejnenia svojej výročnej správy o činnosti taktiež zdieľa svoju analýzu stavu hrozby vo Francúzsku. 

Phishing zostáva hlavnou hrozbou: diverzifikuje sa a stáva sa sofistikovanejším. Medzi hlavné formy phishingu patria dopravné priestupky, detská pornografia alebo falošná technická podpora.

Okrem toho, podvody zahŕňajúce falošných bankových poradcov zostávajú na vysokej konštantnej úrovni.

Ďalšou veľkou hrozbou je hacking účtov, ktorého následky môžu viesť ku krádeži identity a finančným škodám.

Nakoniec, útoky ransomvéru a malvéru (vírusov) sú významnými a čoraz častejšími príčinami žiadostí o pomoc obetí.

CNIL 27. marca zverejnila správu o narušeniach bezpečnosti za posledných päť rokov.

Poznamenáva, že súkromný sektor je zodpovedný za približne dve tretiny oznámení o porušeniach pre CNIL vrátane 39 oznámení o porušeniach od malých a stredných podnikov.

Verejný sektor medzitým predstavuje 22 oznámení.

Pokiaľ ide o rozdelenie podľa činnosti, verejná správa predstavuje 18 oznámení.

V súkromnom sektore sú najviac zastúpené špecializované, vedecké a technické činnosti, nasledované finančnými a poisťovacími činnosťami.

Činnosti súvisiace s ľudským zdravím tiež predstavujú 12 oznámení %.

V tejto súvislosti a s cieľom zohľadniť nové riziká pre údaje CNIL koncom marca aktualizovala svoju príručku o bezpečnosti údajov.

Táto nová verzia rozdeľuje príručku do piatich častí: používatelia, vybavenie, kontrola údajov, pripravenosť na incidenty a nakoniec zameranie na obzvlášť aktuálne problémy.

CNIL predstavuje nové informačné listy, najmä o umelej inteligencii (AI), mobilných aplikáciách, cloudových výpočtoch a rozhraniach pre programovanie aplikácií (API).

Príručka obsahuje aj informačné listy o analýze rizík a šifrovaní.

Na konci dokumentu je kontrolný zoznam, ktorý vám umožňuje skontrolovať opatrenia prijaté zodpovednou osobou a posúdiť jej úroveň bezpečnosti.

Medzi odporúčanými ochrannými opatreniami sa často uvádza a čoraz častejšie odporúča viacfaktorové overovanie (MFA) na ochranu databáz pred pokusmi o podvodný prístup.

CNIL práve otvorila verejnú konzultáciu o súlade riešení využívajúcich AMF s GDPR.

Nedávny príklad potvrdzuje potrebu objasniť kontext používania AMF: v Španielsku bola spoločnosť odsúdená na súde za to, že vnucovala AMF svojim zamestnancom na ich súkromných telefónoch, pričom zákon od nej vyžadoval, aby im na tento účel poskytla firemné mobilné telefóny.

Vo svojom odporúčaní sa CNIL zaoberá určením právneho základu, minimalizáciou zhromažďovaných údajov, dobami uchovávania a rešpektovaním uplatňovania práv dotknutými osobami.

Poskytuje praktické príklady implementácie viacfaktorového overovania rešpektujúceho súkromie.

 

      

Francúzsky úrad pre hospodársku súťaž uložil 20. marca spoločnosti Google pokutu vo výške 250 miliónov eur za nedodržanie jej záväzkov a za používanie tlačových článkov na trénovanie jej systému umelej inteligencie (Bard/Gemini). 

Toto rozhodnutie, štvrté v tomto prípade za štyri roky, je súčasťou kontextu prijatia zákona z 24. júla 2019 o susedných právach, ktorého cieľom je vytvoriť podmienky pre vyvážené rokovania medzi vydavateľmi, tlačovými agentúrami a digitálnymi platformami.

CNIL 8. apríla zverejnila odporúčania pre používanie umelej inteligencie spôsobom, ktorý rešpektuje osobné údaje.

Ich cieľom je poskytnúť konkrétne odpovede, ilustrované príkladmi, na právne a technické výzvy súvisiace s uplatňovaním GDPR na umelú inteligenciu.

Body uvedené v týchto úvodných odporúčaniach umožňujú najmä určiť uplatniteľný právny režim, právnu kvalifikáciu aktérov, v prípade potreby vykonať analýzu vplyvu a integrovať ochranu údajov už od fázy návrhu systému (ochrana súkromia už od návrhu).

 

Európske inštitúcie a orgány

Európsky dozorný úradník pre ochranu údajov (EDPS) 11. marca zistil, že Európska komisia porušila niekoľko kľúčových pravidiel ochrany údajov pri používaní služby Microsoft 365.

Komisia najmä neposkytla primerané záruky na zabezpečenie toho, aby osobné údaje prenášané mimo EÚ/EHP požívali úroveň ochrany v podstate rovnocennú úrovni zaručenej v EÚ/EHP.

Okrem toho Komisia vo svojej zmluve so spoločnosťou Microsoft dostatočne nešpecifikovala, aké typy osobných údajov by sa mali zhromažďovať a na aké explicitné a presné účely pri používaní služby Microsoft 365 (...).

EDPB uložil Komisii nápravné opatrenia vrátane pozastavenia všetkých tokov údajov vyplývajúcich z jej používania služby Microsoft 365 spoločnosti Microsoft a jej pridruženým spoločnostiam a subdodávateľom so sídlom v krajinách mimo EÚ/EHP, na ktoré sa nevzťahuje rozhodnutie o primeranosti, od 9. decembra 2024.

Hoci sa toto rozhodnutie týka európskych inštitúcií, odôvodnenie EDPS má oveľa širší záber a mohlo by mať dôsledky pre používanie služby Microsoft 365 v členských štátoch EÚ.

Európsky ombudsman 15. marca napísal Európskej komisii list s otázkou, ako využíva umelú inteligenciu vo svojom rozhodovacom procese.

Ombudsman poznamenal, že „hoci rýchly vývoj v oblasti umelej inteligencie môže zlepšiť kvalitu a efektívnosť práce, predstavuje veľké výzvy, pokiaľ ide o presnosť, potenciálnu skreslenosť, vysvetliteľnosť a ľudskú kontrolu.“

Zdôraznila tiež, že verejné správy musia zabezpečiť, aby umelá inteligencia iba pomáhala ľudskému rozhodovaniu a nenahrádzala ho.

Otázky sa zameriavajú na využitie umelej inteligencie v troch špecifických oblastiach: analýza spätnej väzby od verejnosti, odhaľovanie potenciálnych porušení pravidiel hospodárskej súťaže EÚ a riešenie sťažností.

Zatiaľ čo Európsky parlament práve hlasoval o nariadení o umelej inteligencii, nariadenia týkajúce sa digitálnych trhov (DMA) a digitálnych služieb (DSA) nadobudli účinnosť a Komisia už začala niekoľko postupov podľa týchto dvoch textov.

Dňa 25. marca začala konanie na základe zákona o prístupe k dátam (DMA) proti spoločnostiam Alphabet, Apple a Meta.

Pokiaľ ide o spoločnosti Apple a Alphabet, Komisia má v úmysle určiť, či opatrenia zavedené v súvislosti s ich povinnosťami týkajúcimi sa obchodov s aplikáciami sú v rozpore so zákonom o verejnom obstarávaní, ktorý vyžaduje, aby kontrolóri umožňovali vývojárom aplikácií bezplatne „smerovať“ spotrebiteľov na ponuky, ktoré nie sú uvedené v ich obchodoch s aplikáciami.

Pokiaľ ide o Meta, Komisia začala konanie s cieľom určiť, či nedávno zavedený model „platby alebo súhlasu“ pre používateľov v EÚ je v súlade s právnymi predpismi o ochrane údajov, ktoré vyžadujú, aby správcovia získali súhlas používateľov, keď majú v úmysle kombinovať alebo krížovo používať ich osobné údaje.

Tento najnovší postup dopĺňa postup, ktorý v rovnakej veci inicioval Európsky výbor pre ochranu údajov.

Komisia 14. marca tiež začala formálne konanie podľa zákona o digitálnych službách (DSA) s cieľom určiť, či spoločnosť AliExpress porušila zákon o digitálnych službách v oblastiach súvisiacich s riadením a zmierňovaním rizík, moderovaním obsahu a mechanizmom interného riešenia sťažností, transparentnosťou reklamných a odporúčacích systémov, sledovateľnosťou obchodníkov a prístupom výskumníkov k údajom.

V ten istý deň poslala spoločnosti LinkedIn aj žiadosť o informácie týkajúce sa potenciálne cielenej reklamy založenej na citlivých údajoch.

Európska komisia 4. marca usporiadala vôbec prvé stretnutie na „vysokej úrovni“ o cezhraničných tokoch údajov.

Na stretnutí sa zišiel komisár pre spravodlivosť, predseda EDPB, ako aj ministri a vedúci predstavitelia orgánov na ochranu údajov z 15 krajín a území, pre ktoré EÚ prijala rozhodnutie o primeranosti.

Cieľom je podporiť posilnenú spoluprácu medzi týmito účastníkmi v oblasti ochrany údajov.

V rozhodnutí zo 7. marca Súdny dvor Európskej únie (SDEÚ) potvrdil, že reťazec TC („reťazec TC“) používaný inzerentmi na kódovanie používateľských preferencií „obsahuje informácie o identifikovateľnom používateľovi, a preto predstavuje osobný údaj v zmysle GDPR.“

Keď sú informácie obsiahnuté v reťazci TC spojené s identifikátorom, ako je okrem iného IP adresa zariadenia používateľa, tieto informácie sa môžu použiť na vytvorenie profilu daného používateľa a jeho identifikáciu. 

Okrem toho sa spoločnosť IAB Europe musí považovať za „spoločného prevádzkovateľa“ v zmysle GDPR. (...)

Zdá sa, že združenie má vplyv na operácie spracovania údajov, keď sú preferencie súhlasu používateľa zaznamenané v reťazci TC, a spoločne so svojimi členmi určuje účely týchto operácií aj prostriedky, ktoré ich podporujú. 

Súdny dvor EÚ 7. marca rozhodol o odvolaní proti rozhodnutiu súdu EÚ týkajúcemu sa pojmu osobné údaje.

 Usúdil, že identifikovateľná povaha nesúvisí so skutočnosťou, že „priemerný čitateľ“ dokáže identifikovať osobu, ale závisí od toho, či má alebo nemá „ďalšie faktory... potrebné na identifikáciu... [tieto faktory] môžu byť prístupné inej osobe ako prevádzkovateľovi (pozri C-582/14, body 39 a 41)“.

Tribunál sa tiež dopustil chyby, keď tvrdil, že „prostriedky, ktoré je primerane pravdepodobné“, že sa použijú na identifikáciu dotknutej osoby, boli obmedzené.

Súd mal zvážiť náklady a čas potrebný na identifikáciu žalobcu, aby určil, či ho možno identifikovať „primeranými prostriedkami“.

Toto rozhodnutie sa týkalo uplatňovania nariadenia o ochrane údajov platného pre európske inštitúcie, ktorého definície sú identické s definíciami v GDPR.

Na webovej stránke Kaizener nájdete sériu tabuliek, ktoré uvádzajú mnohé európske regulačné iniciatívy v digitálnom sektore, ako aj stav ich implementácie. 

 

Správy z členských krajín Európy.

Belgický úrad na ochranu údajov zverejnil 15. marca rozhodnutie týkajúce sa právneho základu pre spracovanie údajov používaných na trénovanie modelov umelej inteligencie a následné samostatné používanie týchto modelov na komerčné účely. 

APD sa domnieval, že prevádzkovateľ sa nemohol odvolávať na zlučiteľné použitie (článok 6 ods. 4 GDPR), pretože cieľ školenia nebol od začiatku jasne stanovený.

Ďalšie použitie si tiež vyžadovalo vlastný právny základ.

Prevádzkovateľ údajov musí tiež poskytnúť svojim zákazníkom právo namietať proti použitiu údajov na trénovanie modelov.

Belgický úrad pre ochranu údajov tiež usúdil, že prevádzkovateľ porušil článok 5 ods. 1 GDPR tým, že včas nevymazal e-mailový účet bývalého zamestnanca.

APD uviedol, že poštová schránka by sa mala deaktivovať v posledný pracovný deň a že automatická odpoveď by sa mala deaktivovať do jedného mesiaca alebo v určitých výnimkách do troch mesiacov.

V podobnej súvislosti taliansky úrad pre ochranu údajov (APD) usúdil, že prevádzkovateľ porušil zásadu minimalizácie údajov, pretože nedeaktivoval e-mailový účet bývalého zamestnanca s odôvodnením potreby presmerovať zákazníkov na iný účet.

Prevádzkovateľovi údajov bola uložená pokuta 15 000 eur.

Taliansky úrad na ochranu údajov (APD) udelil subdodávateľovi pokutu 800 000 eur za najatie sekundárneho subdodávateľa bez predchádzajúceho súhlasu prevádzkovateľa údajov a za neskoré oznámenie porušenia ochrany údajov prevádzkovateľovi údajov.

Taktiež udelila pokutu piatim spoločnostiam, ktoré používali rozpoznávanie tváre na monitorovanie dochádzky na pracovisku.

Úrad zistil, že opatrenia na ochranu údajov boli nedostatočné, že ľudia nedostali požadované informácie a že sa mohol použiť menej rušivý systém.

Taliansky úrad na ochranu údajov (APD) tiež 8. marca začal vyšetrovanie proti spoločnosti OpenAI, ktorá oznámila spustenie nového modelu umelej inteligencie s názvom „Sora“.

Tento model by bol schopný vytvoriť dynamické, realistické a nápadité scény z niekoľkých textových pokynov.

APD požiadala spoločnosť OpenAi o poskytnutie viacerých objasnení vzhľadom na dôsledky, ktoré by „Sora“ mohla mať na spracovanie osobných údajov používateľov v Európskej únii a najmä v Taliansku.

Portugalský úrad pre ochranu údajov (APD) sa 25. marca rozhodol nariadiť Nadácii Worldcoin, aby dočasne obmedzila zhromažďovanie biometrických údajov spoločnosťou „Orb“ na území štátu s cieľom chrániť práva občanov, najmä maloletých.

Rozhodnutie ukladá nadácii Worldcoin ako prevádzkovateľovi údajov naliehavé predbežné opatrenie až do ukončenia vyšetrovacieho procesu.

Španielsko prijalo podobné rozhodnutie.

Fínsky úrad na ochranu údajov (APD) udelil predajcovi IT služieb pokutu 856 000 eur za to, že nestanovil dobu uchovávania údajov svojich zákazníkov.

APD tiež zvážila, že Spracovanie osobných údajov súvisiacich s jedným online nákupom si nevyžaduje vytvorenie zákazníckeho účtu.

V Nemecku berlínsky súd rozhodol, že prevádzkovateľ sa pri odpovedi na žiadosť o prístup nemôže obmedziť na poskytnutie abstraktného prehľadu o spracovaní.

Úradník poukázal na neprimerané úsilie.

Podľa súdu sa ich možno dovolávať len vo veľmi výnimočných prípadoch.

Islandský úrad na ochranu údajov (APD) udelil spoločnosti Stjörnuna ehf pokutu vo výške 10 059,92 eura (1 500 000 ISK). prevádzkovateľa spoločnosti Subway na Islande za nezákonné monitorovanie jeho zamestnancov bez toho, aby ich primerane informoval.

V Rakúsku Najvyšší správny súd rozhodol, že algoritmus Určovanie pravdepodobnosti prijatia uchádzačov o zamestnanie predstavuje automatizované rozhodovanie v zmysle článku 22 GDPR, a to aj v prípade, že výsledok používa výlučne verejný orgán na poskytovanie cieleného poradenstva v oblasti zamestnania uchádzačom o zamestnanie.

 

Britská vláda v marci zverejnila príručku pre zodpovedné získavanie a nasadzovanie umelej inteligencie v sektore ľudských zdrojov a náboru.

OSN prijala 21. marca komplexnú rezolúciu o umelej inteligencii.

Organizácia uznáva, že umelá inteligencia môže pomôcť urýchliť dosiahnutie 17 cieľov trvalo udržateľného rozvoja a zdôrazňuje naliehavosť „dosiahnutia globálneho konsenzu o bezpečných, chránených a dôveryhodných systémoch umelej inteligencie“.

Uznesenie nabáda členské štáty, aby prijali predpisy a politiky v oblasti umelej inteligencie v rôznych oblastiach vrátane ochrany súkromia.

Zhromaždenie vyzvalo všetky členské štáty a zainteresované strany, „aby sa zdržali alebo prestali používať systémy umelej inteligencie, ktoré nemožno prevádzkovať v súlade s medzinárodným právom v oblasti ľudských práv alebo ktoré predstavujú nadmerné riziká pre uplatňovanie ľudských práv“.

Podľa článku na Techcrunch z 26. marca zverejnil federálny súd v Kalifornii niekoľko dokumentov ako súčasť hromadnej žaloby podanej spotrebiteľmi proti spoločnosti Meta.

V roku 2016 Facebook údajne spustil tajný projekt zameraný na zachytávanie a dešifrovanie sieťovej prevádzky medzi ľuďmi používajúcimi aplikáciu Snapchat a jej servermi.

Cieľom bolo pochopiť správanie používateľov a pomôcť Facebooku konkurovať Snapchatu.

Ministerstvo spravodlivosti a FBI 25. marca oznámili, že milióny online účtov Američanov boli zasiahnuté čínskym hackerským plánom.

Sedem čínskych občanov bolo obvinených z vykonania rozsiahlej kybernetickej útokovej kampane.

Ministerstvo spravodlivosti uviedlo, že hackeri sa zamerali na amerických a zahraničných kritikov Číny, firmy a politikov.

Republikánsky guvernér Floridy podpísal 25. marca zákon zakazujúci prístup k sociálnym sieťam deťom mladším ako 14 rokov.

Maloletí vo veku 14 alebo 15 rokov budú musieť na vytvorenie účtu získať výslovný súhlas rodičov.

Keď pravidlá nadobudnú účinnosť 1. júla 2024, spoločnosti ako Facebook, Instagram a TikTok budú v zásade povinné zrušiť existujúce účty, ktoré nespĺňajú tieto požiadavky, a vymazať všetky súvisiace osobné údaje.

Toto opatrenie bolo kritizované a očakáva sa, že bude napadnuté na súde na základe ústavných práv na slobodu prejavu.

Medzitým Spojené štáty zvažujú zákaz TikToku na celoštátnej úrovni.

Snemovňa reprezentantov 13. marca schválila takzvaný „Zákon o ochrane Američanov pred žiadosťami kontrolovanými zahraničnými protivníkmi“.

Ak Senát tento návrh schváli a uzákoní ho, TikTok bude musieť oddeliť svoju video platformu od svojej čínskej materskej spoločnosti ByteDance alebo odstrániť prístup Američanov k aplikácii.

18. marca sa na treťom summite za demokraciu v Soule Južná Kórea, Fínsko, Nemecko, Írsko, Japonsko, Poľsko a Kórejská republika pripojili k Spojeným štátom v spoločnom vyhlásení o úsilí v boji proti šíreniu a zneužívaniu komerčného špionážneho softvéru.

Krajiny sa zaväzujú pracovať v rámci svojich národných systémov na zavedení silných záruk proti šíreniu a zneužívaniu tejto sledovacej technológie.

V Kuvajte zverejnil Úrad pre reguláciu informačných a komunikačných technológií (CITRA) nový zákon o ochrane osobných údajov.