Právny prehľad č. 63 – september 2023.

Brexit: prehľad ochrany údajov.

Odkedy Spojené kráľovstvo 31. januára 2020 opustilo Európsku úniu, medzi rámcami ochrany údajov na oboch stranách Lamanšského prielivu sa objavujú čoraz výraznejšie rozdiely.

Krajina stále uplatňuje zákon, ktorý transponoval GDPR na národnej úrovni, s názvom „UK GDPR“, a od 28. júna 2021 má Spojené kráľovstvo prospech z primeranej úrovne ochrany, ktorá povoľuje výmenu údajov s EÚ.

Rozhodnutie o primeranosti je platné do 27. júna 2025, ale mohlo by byť revidované skôr, ak by sa právny rámec Spojeného kráľovstva pred týmto dátumom výrazne zmenil.

Medzi vývojom, ktorý by mohol u Európskej komisie vyvolať pochybnosti, je ambícia Spojeného kráľovstva stať sa „dátovým centrom“, ktoré uľahčí medzinárodnú výmenu údajov, a súčasný návrh revízie „britského GDPR“, ktorého cieľom je zmierniť povinnosti britských spoločností.

Spojené kráľovstvo 21. septembra formalizovalo „dátový most“ uzavretý v júni so Spojenými štátmi.

Dohoda nadobudne platnosť 12. októbra.

Spojené kráľovstvo tiež uzavrelo dohody s niekoľkými krajinami, ktoré EÚ už považuje za primerané: Kanada, Izrael, Japonsko, Nový Zéland, Švajčiarsko a Uruguaj.

Na jeho zozname priorít sú aj Austrália, Kolumbia, Dubaj, Kórejská republika a Singapur.

Toto uľahčenie medzinárodných výmen vyvoláva otázku následných prenosov európskych údajov, ktoré by po prechode cez Spojené kráľovstvo neskôr prijala krajina, ktorú EÚ nepovažuje za krajinu, ktorá zaručuje rovnocennú ochranu údajov.

Spojené kráľovstvo sa skutočne posúva smerom k pragmatickejšiemu hodnoteniu záruk ponúkaných tretími krajinami, ktoré je viac založené na riziku.

Súbežne s týmito iniciatívami týkajúcimi sa prenosu údajov pripravuje Spojené kráľovstvo návrh zákona o ochrane údajov a digitálnych informácií („Návrh zákona o ochrane údajov a digitálnych informácií (č. 2)“), ktorého cieľom je nahradiť súčasné britské nariadenie GDPR.

Tento text bol v parlamente prečítaný už dvakrát minulú jar a ešte je potrebné o ňom diskutovať v treťom čítaní.

Projekt zachováva rešpekt zásady obmedzenia účelu, ale upravuje jej rozsah: povoľuje ďalšie spracovanie, ak boli údaje zhromaždené bez súhlasu, napríklad v prípadoch použitia na základe verejného záujmu.

Dopad tohto pravidla na používanie súborov cookie zatiaľ nie je jasný, aj keď vláda tvrdí, že chce obmedziť nechcené „vyskakovacie okná“ žiadajúce o súhlas používateľa.

Definícia vedeckého výskumu bola aktualizovaná a rozšírená a podmienky jeho vykonávania boli uvoľnené.

To by mohlo spoločnostiam umožniť jednoduchšie spracovávať údaje na komerčné účely, pričom argumentujú, že tieto obchodné praktiky pozostávajú z technologického výskumu a vývoja. 

Projekt tiež znižuje požiadavky kladené na spoločnosti týkajúce sa vedenia záznamov a proaktívnej kontroly ich činností spracovania údajov, s výnimkou tých, ktorých spracovanie predstavuje vysoké riziko pre práva jednotlivcov.

Text tiež zavádza rámec pre používanie „spoľahlivých a bezpečných služieb digitálneho overovania“, ktorý zrejme reaguje na projekt digitálnej identity Európskej únie.

Pre spoločnosti pôsobiace v celej EÚ budú niektoré výhody reformy zameranej na zníženie administratívnej záťaže obmedzené: stále budú musieť napríklad vymenovať zodpovednú osobu a nebudú môcť využívať zmiernenie určitých pravidiel týkajúcich sa uchovávania údajov.

Plán tiež zahŕňa nahradenie existujúceho regulačného orgánu, ICO, radou a udelenie právomoci štátnemu tajomníkovi usmerňovať určité činnosti inštitúcie určením strategických priorít.

Existencia nezávislého regulačného orgánu pre ochranu údajov bude jedným z kľúčových prvkov, ktoré EÚ zváži pri prehodnocovaní „základnej rovnocennosti“ Spojeného kráľovstva s jeho pravidlami ochrany údajov.

Táto otázka už vyvolala v Európskom parlamente.

Zákon by mohol byť prijatý na jar budúceho roka.

 

• Dňa 18. septembra 2023 uložila CNIL leteckej prepravnej spoločnosti SAF LOGISTICS pokutu 200 000 eur za zhromažďovanie príliš veľkého množstva údajov od svojich zamestnancov vrátane citlivých údajov a výpisov z registra trestov.

Je tiež sankcionovaná za nedostatočnú spoluprácu so službami CNIL.

• Koncom septembra sa konal Európsky týždeň trvalo udržateľného rozvoja, ktorý poskytol CNIL príležitosť prezentovať svoju brožúru venovanú tejto téme: skúma prieniky medzi ochranou údajov, slobodami a životným prostredím: „Chráni ochrana údajov planétu? Sú naše slobody v procese transformácie? Mali by sme zdieľať údaje, aby sme chránili životné prostredie?“

Dokument sa pokúša odpovedať na tieto otázky a navrhuje odporúčania na zosúladenie dvoch cieľov.

• CNIL toto leto zverejnila návrh príručky o opätovnom použití verejných údajov.

Sprievodca zahŕňa stanovisko CNIL, jej partnerov, ako aj rozhodnutia francúzskych a európskych súdov, obohatené o sériu konzultácií s rôznymi aktérmi priamo zapojenými do vývoja prístupov k otváraniu, zdieľaniu a opätovnému používaniu verejne dostupných údajov (inštitucionálni partneri, združenia a spoločnosti, právnici, výskumníci).

• CNIL (francúzsky úrad na ochranu údajov) nariadil 29. augusta spoločnosti Boursorama, aby dodržiavala ustanovenia GDPR, „najmä ukončením spracovania prihlasovacích údajov pre webovú stránku impots.gouv.fr“: Boursorama skutočne žiadala o prístup k používateľskému menu a heslu webovej stránky impots.gouv.fr od tých, ktorí si chceli vziať pôžičku alebo otvoriť sporiaci plán s podielmi.

CNIL uvádza, že spoločnosť má na splnenie požiadaviek lehotu dvoch mesiacov.

• Mozilla spúšťa verejnú výzvu v reakcii na budúci zákon SREN, ktorý zavádza „filtrovanie proti podvodom“ na internete.

Nadácia v názve svojej petície tvrdí, že Francúzsko núti webové prehliadače „cenzurovať webové stránky“.

Povinný mechanizmus by od sprostredkovateľov vyžadoval, aby zaviedli všetky vhodné opatrenia, ktoré by zabránili používateľom internetu v prístupe k adresám považovaným za škodlivé, a to počas obdobia najmenej siedmich dní.

Nadácia v zásade považuje snahu o boj proti online podvodom za chvályhodné.

Spochybňuje však metódy zvolené na dosiahnutie tohto cieľa, ktoré vytvárajú precedens, keďže stratégia filtrovania by sa po zavedení mohla rozšíriť aj na iné problémy.

 

 

Európske inštitúcie a orgány

• Európska komisia zverejnila usmernenia k novej európskej smernici o kybernetickej bezpečnosti s názvom NIS2.

Táto smernica ukladá povinnosti týkajúce sa bezpečnosti, oznamovania incidentov a riadenia subjektom v rôznych kritických sektoroch vrátane energetiky, dopravy, financií, zdravotníctva a digitálnej infraštruktúry.

Tieto dva usmerňovacie dokumenty pomáhajú určiť, či sa uplatňujú požiadavky NIS2 alebo sektorové požiadavky, a ich cieľom je zabezpečiť, aby boli registračné požiadavky v celej Únii konzistentné.

• V priebehu októbra začne Výbor Európskeho parlamentu pre občianske slobody skúmať nariadenie o „ochrane detí na internete“ (CSAM).

Tento text je predmetom čoraz ostrejšej kritiky, najmä pokiaľ ide o opatrenie zamerané na povinnosť hlavných platforiem proaktívne skenovať súkromný obsah vymieňaný s ich službami s cieľom odhaľovať detskú pornografiu.

Mnohí aktéri občianskej spoločnosti, všetky európske orgány na ochranu údajov a tiež právnici z Rady EÚ sa domnievajú, že nariadenie by zaviedlo „obzvlášť významné obmedzenia práva na súkromie“ a že existuje „vážne riziko“, že je v rozpore so základnými textami EÚ.

• Mesiac kybernetickej bezpečnosti je príležitosťou pre ENISA, Agentúru Európskej únie pre informačnú bezpečnosť, aby zverejnila odporúčania týkajúce sa ransomvéru.

Medzi dostupnými dokumentmi sú tipy pre prevádzkovateľov v sektore elektrickej energie, ktorý je hlavným cieľom hackerov.

• Poslanec Philippe Latombe, člen CNIL, 7. septembra napadol pred Súdnym dvorom Európskej únie rámec ochrany osobných údajov, ktorý od tohto leta umožňuje výmenu údajov medzi EÚ a Spojenými štátmi.
• Latombe podal dve odvolania, jedno s cieľom okamžite pozastaviť dohodu a druhé sa týkalo obsahu textu.

Žiada Súdny dvor o urýchlené pozastavenie dohody s odvolaním sa na európske nariadenie z roku 1958, ktoré vyžaduje, aby boli európske texty všeobecného rozsahu napísané v štyroch úradných jazykoch, zatiaľ čo od 10. júla existuje DPF iba v angličtine.

• Používanie nástrojov na videokonferencie vyvoláva otázky ochrany údajov, najmä preto, že údaje sa veľmi často prenášajú mimo EÚ.

Súdny dvor EÚ vykonal v súvislosti s používaním platformy Cisco Webex „posúdenie vplyvu prenosu (TIA)“ a podriadil spracovanie schváleniu európskeho dozorného úradníka pre ochranu údajov (EDPS).

Rozhodnutie EDPS a posúdenie vplyvu Súdneho dvora EÚ sú užitočnými referenciami pre každého prevádzkovateľa údajov, ktorý tieto nástroje používa v profesionálnom kontexte.

 

Správy z členských krajín Európy.

• Belgický úrad na ochranu údajov (APD) 16. augusta zamietol sťažnosť napriek existencii porušení GDPR.

Domnievala sa, že porušenia nemali „významný spoločenský a/alebo osobný dopad“ a že zdroje potrebné na preskúmanie sťažnosti by preto boli neprimerané.

• V nadväznosti na záväzné rozhodnutie EDPB o riešení sporov zverejnila írska komisia pre ochranu údajov 1. septembra svoje konečné rozhodnutie, v ktorom najmä zistila, že TikTok porušil zásadu spravodlivosti GDPR pri spracovaní osobných údajov týkajúcich sa detí vo veku 13 až 17 rokov.

V kontextovom okne pri registrácii boli deti vyzvané, aby si zvolili verejný účet.

Konečné rozhodnutie APD sa domnieva, že predvolené verejné nastavenia boli tiež v rozpore so zásadami ochrany údajov už v štádiu návrhu a štandardného nastavenia, minimalizácie údajov a transparentnosti.

Okrem pokarhania a príkazu na dodržanie predpisov uložil írsky úrad na ochranu údajov pokutu vo výške 345 miliónov eur.

• Dolnosaský úrad na ochranu údajov (APD) v spolupráci so šiestimi ďalšími úradmi na ochranu údajov vypracoval príručku o používaní služby Microsoft 365 na profesionálne účely.

Úrady odporúčajú, aby bola medzi zodpovednou stranou a spoločnosťou Microsoft uzavretá dodatková dohoda, ktorá má prednosť pred všetkými protichodnými zmluvnými textami.

Táto dohoda by mala upravovať najmä lehoty na vymazanie prispôsobené potrebám prevádzkovateľa údajov, požiadavky na informácie týkajúce sa využívania subdodávateľov, ako aj spracovanie údajov spoločnosťou Microsoft na vlastné komerčné účely.

• V nariadení z polovice júla týkajúceho sa spracovania údajov na marketingové účely taliansky úrad pre ochranu údajov (APD) pripomína, že vzhľadom na zásadu obmedzenia uchovávania údajov nie je opodstatnené uchovávať údaje až do dátumu odvolania súhlasu.

Táto pripomienka je už zahrnutá v usmerneniach EDPB č. 5/2020, podľa ktorých sa musí zohľadniť kontext a oprávnené očakávania jednotlivcov: je osvedčeným postupom pravidelne vyžadovať nový súhlas.

• Taliansky Najvyšší súd potvrdil nezákonnosť prepustenia zamestnanca talianskou bankou z dôvodu nezákonného monitorovania e-mailov a sledovania tohto zamestnanca.

Najvyšší súd uviedol, že je potrebné zabezpečiť spravodlivú rovnováhu medzi požiadavkami ochrany záujmov a majetku spoločnosti spojenými so slobodou hospodárskej iniciatívy a ochranou dôstojnosti a súkromia pracovníka v závislosti od okolností.

Monitorovanie všetkej komunikácie na firemnom notebooku žalovaného bolo neodôvodnené, pretože bolo nerozlišujúce, neobmedzené a pretože žalobca neinformoval žalovaného o možnom monitorovaní komunikácie jeho notebooku, ani o povahe a rozsahu monitorovania.

• V rozhodnutí zverejnenom 21. augusta španielsky úrad pre ochranu údajov (APD) sankcionoval prevádzkovateľa údajov za porušenie článkov 28(2) a 28(3) GDPR.

Táto sankcia bola uložená aj napriek tomu, že medzi prevádzkovateľom a subdodávateľmi neexistovala žiadna zmluva a prevádzkovateľ nebol informovaný o zapojení subdodávateľov do činností spracovania údajov.

• Španielsky úrad na ochranu údajov (APD) zverejňuje blog o digitálnych menách, v ktorom sa venuje najväčším rizikám, ktoré kryptomeny predstavujú: volatilita, špekulácie, falošný pocit dostupnosti, bezpečnosť a anonymita.
• Britská volebná komisia 8. augusta oznámila, že sa stala obeťou úniku údajov.

Kybernetický útok sa datuje do augusta 2021 a bol odhalený v októbri 2022.

Hackeri, ktorých mená zostávajú neznáme, získali medzi rokmi 2014 a 2022 prístup k údajom 40 miliónov registrovaných voličov.

• Britská vláda pozastavila svoje plány na oslabenie online šifrovania prostredníctvom implementácie zákona o online bezpečnosti.

Cieľom tohto návrhu zákona bolo vyžadovať od aplikácií na odosielanie správ, ako je WhatsApp, aby analyzovali konverzácie svojich používateľov na prítomnosť detskej pornografie. Kontroverzné ustanovenia by v návrhu zákona zostali, ale britská vláda uviedla, že nebude nútiť technologické spoločnosti, aby ich implementovali.

• Britský výskumný tím publikoval v auguste 2023 článok o vývoji umelej inteligencie (AI) schopnej rozlúštiť heslo jednoduchým počúvaním zvukov vydávaných klávesmi na klávesnici.

Umelá inteligencia bola trénovaná na súbore údajov s viac ako 100 000 stlačeniami klávesov a úspešne testovaná na rôznych zariadeniach vrátane notebookov, smartfónov a inteligentných reproduktorov.

 

• Medzinárodná organizácia pre normalizáciu nedávno publikovala normu ISO 22989:2022 – Koncepty a terminológia umelej inteligencie, ktorá stanovuje terminológiu a opisuje koncepty v oblasti umelej inteligencie.

Tento dokument možno použiť na vývoj ďalších noriem a na podporu komunikácie medzi rôznymi zainteresovanými stranami alebo zainteresovanými stranami. Je použiteľný pre všetky typy organizácií (obchodné podniky, vládne agentúry, neziskové organizácie).

• Spoločnosť Meta údajne pripravuje zavedenie plateného predplatného pre svoje platformy sociálnych médií Instagram a Facebook.

Podľa denníka Wall Street Journal by používatelia, ktorí si neželajú byť sledovaní na účely personalizovanej reklamy, mali platiť 10 až 15 eur mesačne v závislosti od použitého zariadenia (smartfón, počítač).

• Video dohľad s biometrickým rozpoznávaním je jadrom škandálu v Argentíne: chyby, systém náchylný na manipuláciu, neoprávnený prístup, nedostatok opatrení na transparentnosť…

Sedemdesiatpäť percent hlavného mesta je pod video dohľadom, ale systém rozpoznávania tvárí je kritizovaný po tom, čo od roku 2019 viedlo najmenej 140 chýb k policajným kontrolám alebo zatknutiam.

Aktivisti sa rozhodli zažalovať mestskú správu a v apríli 2022 dosiahli deaktiváciu systému.

Odvtedy mesto Buenos Aires bojuje o jeho opätovné uvedenie do prevádzky.

• Indonézsky bezpečnostný výskumník na Twitteri odhalil, že hacker dal na predaj za 10 000 dolárov súbor obsahujúci údaje takmer 35 miliónov držiteľov pasov.

Je už známe, že hacker v roku 2022 ukradol a dal na predaj dáta 1,3 miliardy SIM kariet zo serverov indonézskeho ministerstva komunikácií a informačných technológií a je tiež podozrivý z toho, že stojí za krádežou osobných údajov 17 miliónov zákazníkov indonézskej energetickej spoločnosti v roku 2022 (prostredníctvom AFCDP).

• Saudská Arábia v polovici septembra zverejnila svoje nariadenia na vykonávanie zákona o ochrane osobných údajov, ako aj nariadenia o prenose osobných údajov mimo kráľovstva.
• Rwandská vláda 15. októbra 2021 prijala zákon o ochrane osobných údajov a súkromia.

Vláda poskytla dvojročné prechodné obdobie, ktoré umožní jednotlivcom a organizáciám zosúladiť svoje činnosti spracovania údajov so zákonom. Toto obdobie sa skončí 15. októbra 2023.