Právny prehľad č. 64 – október 2023.

Šifrovanie a zadné vrátka: od technických obmedzení až po spoločenské výzvy.

Súčasné udalosti vo Francúzsku odrážajú aktuálnu diskusiu, ktorá rozbúrila Európu, a to o prístupe orgánov činných v trestnom konaní k obsahu šifrovaných správ.

Minister vnútra v rozhlasovom vyjadrení k nedávnemu útoku na strednej škole v Arrase vyjadril 22. októbra želanie, aby boli do systémov šifrovaných správ integrované zadné vrátka, ktoré by umožnili obísť šifrovanie správ a získať prístup k ich obsahu.

Podľa ministra je táto technika účinnejšou alternatívou k súčasným riešeniam, ktoré zahŕňajú nabúranie spravodajských služieb do telefónu podozrivého, aby doň nainštalovali napríklad špionážny softvér.

Táto prax, prísne regulovaná zákonom, zlyhala počas sledovania teroristu, ktorý útok vykonal.

V súčasnosti sa veľa hovorí o „skenovaní na strane klienta“, čo je technika odlišná od zachytávania správ („človek uprostred“ – HDM).

Odborník, ktorý vystúpil na seminári na túto tému, ktorý 23. októbra zorganizoval európsky dozorný orgán pre ochranu údajov, opísal tieto techniky takto: „človek uprostred“ zachytáva správy počas ich prenosu, zatiaľ čo „skenovanie na strane klienta“ spočíva, obrazne povedané, v čítaní cez plece jednotlivca počas písania – pred šifrovaním – s cieľom porovnať jeho správu s obsahom spornej databázy.

Ide o formu moderovania obsahu, ktorá sa vykonáva na používateľskom termináli.

Dve iniciatívy zamerané na systematické využívanie skenovania na strane zákazníka sú v súčasnosti predmetom rozsiahlych reakcií v Bruseli a Londýne kvôli ich rušivému charakteru.

Na európskej úrovni je návrh nariadenia CSAM ten, ktorý vyvoláva najväčšiu kritiku.

Cieľom textu je bojovať proti detskej pornografii online odhaľovaním šírenia nelegálneho obsahu.

Hoci panuje zhoda v otázke prvoradého významu tohto cieľa, mnohé zainteresované strany spochybňujú účinnosť, nevyhnutnosť a primeranosť navrhovaných opatrení.

Orgány EÚ pre ochranu údajov, experti z európskych inštitúcií, ako aj organizácie na ochranu detí, akademici, experti na kybernetickú bezpečnosť a obete sexuálneho zneužívania detí vyjadrili vážne obavy.

Okrem rizika zahltenia orgánov činných v trestnom konaní falošne pozitívnymi výsledkami sa jeho kritici obávajú prílišného kroku smerom k spoločnosti, kde bude každý z nás žiť v pocite neustáleho dohľadu.

Pre viac ako sto popredných výskumníkov v tejto oblasti je konečne technicky nemožné implementovať skenovanie obsahu bez oslabenia end-to-end šifrovania a narušenia súkromia používateľov.

Mnohí odborníci sa zhodujú v tom, že súčasné špičkové technologické riešenia nie sú dostatočne spoľahlivé a sú tiež zraniteľné voči kybernetickým útokom.

K tomuto záveru dospela aj spoločnosť Apple, ktorá toto leto oznámila, že sa vzdáva svojho algoritmického projektu, a aj Meredith Whittaker, prezidentka messagingovej služby Signal: „Ak sa tam môže dostať polícia, môžu sa tam dostať aj hackeri, nepriateľské krajiny, Putin, iránska vláda a ktokoľvek, kto chce ublížiť (...). Preto je nevyhnutné, aby sme zachovali bezpečnosť a integritu týchto systémov.“

V tomto ohľade sa zdá, že britská vláda zmiernila svoj postoj k novému zákonu o online bezpečnosti, ktorý bol prijatý 26. októbra („Zákon o online bezpečnosti“).

Ministri však neodstránili kontroverznú monitorovaciu doložku, ale podmienili jej implementáciu technickou uskutočniteľnosťou.

Britský technologický regulačný úrad (Ofcom) si ponecháva právomoc vyžadovať od technologických spoločností, aby vyvíjali skenovací softvér v súlade s vyvíjajúcimi sa technológiami.

Ak bude táto technológia dostupná, zostáva otázkou, ako sa bude posudzovať rovnováha medzi represívnymi cieľmi úradov a súkromím jednotlivcov.

 

• CNIL 12. októbra uložila skupine CANAL+ GROUP pokutu vo výške 600 000 eur.

Pokuta sa týka najmä porušení informačnej povinnosti, uplatňovania práv dotknutými osobami, bezpečnostných otázok týkajúcich sa hesiel zamestnancov spoločnosti, subdodávateľských zmlúv a skutočnosti, že spoločnosť neoznámila CNIL závažné porušenie osobných údajov, ku ktorému došlo v roku 2020.

• CNIL organizuje 28. novembra podujatie zamerané na etické úvahy s názvom „UI a slobodná vôľa: sme digitálne ovce?“.

Výskumníci, odborníci a vizuálni umelci si vymenia názory na hlavné etické otázky týkajúce sa vplyvu umelej inteligencie na individuálne rozhodnutia.

• Taktiež v súvislosti s umelou inteligenciou publikovala CNIL 11. októbra praktické príručky o vytváraní tréningových databáz pre systémy umelej inteligencie.

Tieto informačné listy majú pomôcť odborníkom zosúladiť inovácie s rešpektovaním individuálnych práv. Verejné konzultácie sú otvorené do 16. novembra 2023.

• Mimovládna organizácia noyb podala 14. septembra vo Francúzsku tri sťažnosti proti spoločnosti Fnac, realitnej aplikácii SeLoger a fitness aplikácii MyFitnessPal.

Aplikácie týchto spoločností by nelegálne pristupovali k osobným údajom používateľov a zdieľali by ich s tretími stranami na účely sofistikovanej analýzy hneď po otvorení aplikácie bez toho, aby boli dotknuté osoby informované alebo získané od nich súhlas.

Mimovládna organizácia plánuje podať ďalšie sťažnosti na spoločnosti vyrábajúce mobilné aplikácie.

 

Európske inštitúcie a orgány

• Po tom, čo Európska komisia 12. októbra začala vyšetrovanie súladu spoločnosti X s nariadením o digitálnych službách (DSA), zaoberá sa aj spoločnosťami Meta a TikTok.

Spoločnosti sociálnych médií údajne dostali formálne žiadosti o informácie o tom, ako nakladajú s nelegálnym obsahom a dezinformáciami od začiatku vojny medzi Izraelom a Hamasom.

• Niektorí kritizujú Európsku komisiu za to, že nerešpektuje vlastné pravidlá týkajúce sa mikrotargetingu na sociálnych sieťach.

Dnes ju tlač, mimovládne organizácie a poslanci Európskeho parlamentu obviňujú z toho, že vo svojej komunikácii s publikom v krajinách skeptických voči jej navrhovanému nariadeniu o detskej pornografii (CSAM) cielene zacielila na určité profily používateľov internetu.

• V septembri 2023 Európska komisia zverejnila dve vzorové zmluvné doložky pre umelú inteligenciu, ktoré možno dobrovoľne použiť pri verejnom obstarávaní v oblasti umelej inteligencie, a to na spracovanie s vysokým rizikom alebo bez neho.

Tieto doložky sú určené pre verejné orgány, ktoré chcú získať systém umelej inteligencie vyvinutý externým dodávateľom.

• Európsky dozorný úradník pre ochranu údajov (EDPS) zverejnil 23. októbra odporúčania pre spoluzákonodarcov EÚ pre trialógy týkajúce sa nariadenia o umelej inteligencii.

Konkrétne podporuje zahrnutie práva osôb dotknutých používaním systémov umelej inteligencie podať sťažnosť príslušnému orgánu a využiť účinný súdny prostriedok nápravy proti jeho rozhodnutiam do nariadenia.

Ďalej opakuje svoju výzvu na určenie orgánov na ochranu údajov ako národných dozorných orgánov.

Podporuje tiež potrebu európskeho prístupu, najmä v cezhraničných prípadoch s významným vplyvom, a návrh na zriadenie „európskeho úradu pre umelú inteligenciu“, ktorý predložil Európsky parlament.

• EDPS vydal 11. októbra aj stanovisko k dvom navrhovaným usmerneniam týkajúcim sa pravidiel zodpovednosti za umelú inteligenciu.
• Európsky výbor pre ochranu údajov (EDPB) a EDPS prijali 19. septembra spoločné stanovisko k návrhu nariadenia o dodatočných procesných pravidlách pre uplatňovanie GDPR.

Cieľom tohto návrhu je zabezpečiť zavedenie rýchlych nápravných opatrení pre jednotlivcov v cezhraničných prípadoch.

EDPB a EDPS vyzývajú na komplexnú harmonizáciu požiadaviek na prípustnosť, navrhujú zlepšenie budovania konsenzu prostredníctvom väčšieho zapojenia príslušných dozorných orgánov a vyzývajú spoluzákonodarcov, aby zachovali súčasný prístup k právu strán na vypočutie v procese riešenia sporov.

• EDPB a EDPS vydali 17. októbra spoločné stanovisko k návrhu nariadenia týkajúceho sa digitálneho eura.

Regulačné orgány schvaľujú najmä zachovanie možnosti pre používateľov platiť v digitálnych eurách alebo v hotovosti.

Napriek tomu uvádzajú niekoľko pripomienok s cieľom zabezpečiť, aby sa spracovávali iba nevyhnutné osobné údaje, najmä v kontexte boja proti podvodom, a aby sa predišlo nadmernej centralizácii osobných údajov Európskou centrálnou bankou alebo národnými centrálnymi bankami.

• Počas októbrového plenárneho zasadnutia si EDPB vybral tému pre svoje tretie koordinované opatrenie v oblasti implementácie GDPR: ako spoločnosti implementujú právo jednotlivcov na prístup k informáciám.

Táto akcia je plánovaná na rok 2024 a bude predmetom cieleného monitorovania na národnej a európskej úrovni.

• Nórsky úrad pre ochranu údajov (DPA) vydal 31. októbra vyhlásenie, v ktorom uviedol, že jeho rozhodnutie proti spoločnosti Meta sa rozšíri na EÚ/EHP.

V tlačovej správe sa uvádza, že EDPB práve schválila trvalé rozšírenie nórskeho zákazu behaviorálneho marketingu na Facebooku a Instagrame na celú Európu.

• Po odhaleniach a vyšetrovaní špionážneho softvéru Pegasus Európskym parlamentom sa správa Amnesty International a European Investigative Collaboration (EIC) zaoberá prípadom Predator a zdôrazňuje neschopnosť EÚ regulovať zneužívanie špionážneho softvéru na vlastnom území.

Správa sa zameriava na skupinu s názvom Intellexa Alliance so sídlom v Európe, ktorá v rokoch 2007 až 2022 „vyvinula, prevádzkovala a predávala“ „sadu monitorovacích produktov“. 

Tieto produkty umožňujú odosielať tiché pokusy o infekciu používateľom spolupracujúcich poskytovateľov internetových služieb alebo v rámci celej krajiny, ak má prevádzkovateľ spyware priamy prístup k internetovej prevádzke.

• Zástupcovia európskeho farmaceutického priemyslu (EPFIA) sa 6. septembra postavili proti zavedeniu mechanizmu odhlásenia sa zo zberu zdravotných údajov na sekundárne použitie v navrhovanom nariadení o budúcom Európskom priestore zdravotných údajov (EHDS).

Postoj skupiny odráža obavy výskumníkov a technologických dizajnérov, ktorí sa obávajú, že zavedenie možnosti odhlásenia sa do systému ohrozí využívanie údajov na výskum a inovácie.

• V tlačovej správe z 5. septembra 2023 TikTok oznámil, že posilňuje ochranu údajov svojich európskych používateľov.

Spoločnosť plánuje okrem dátového centra v Dubline aj dve nové v Európe.

TikTok si tiež najal európsku bezpečnostnú spoločnosť tretej strany, aby vykonala nezávislý audit spracovania údajov.

 

Správy z členských krajín Európy.

• Belgický úrad na ochranu údajov (APD) zverejnil 20. októbra kontrolný zoznam, ktorý má pomôcť organizáciám zabezpečiť, aby ich postupy týkajúce sa súborov cookie a iných mechanizmov sledovania boli v súlade s platnými predpismi.

Dokument vám umožňuje krok za krokom prejsť si dobré a zlé postupy.

Smernica o azylových procesoch (APD) nám pripomína, že od súhlasu sú oslobodené iba nevyhnutne potrebné súbory cookie a že všetky ostatné kategórie súborov cookie je možné umiestniť a čítať iba vtedy, ak používateľ vopred udelil slobodný, konkrétny, informovaný, jednoznačný a aktívny súhlas.

• Okresný súd v Amsterdame prijal 18. októbra dôležité rozhodnutie v skrátenom konaní týkajúcom sa reklamných technológií (AdTech) a sledovacích súborov cookie.

Francúzska spoločnosť Criteo sa nemôže jednoducho odvolávať na zmluvnú povinnosť svojich klientov (vydavateľov webových stránok) získať súhlas používateľov internetu: je tiež zodpovedná za získanie platného súhlasu s umiestnením súborov cookie, v opačnom prípade (a ak vydavateľ nezíska súhlas), je umiestnenie súborov cookie nezákonné.

Rozhodnutie je založené na Rímskom dohovore II (jurisdikcia súdu), smernici o „súkromí a elektronických komunikáciách“ a GDPR.

Súd uznáva rozhodnutie CNIL a zamieta obhajobu spoločnosti Criteo, že žalobca nenastavil svoj prehliadač tak, aby odmietal súbory cookie.

Taktiež odmieta argument, že požiadavky žalobcu by poškodili jeho obchodný model, keďže prevažujú záujmy žalobcu na ochranu súkromia.

Súd ďalej uplatňuje rozsudok Súdneho dvora vo veci Österreichische Post (C-154/21) a rozhodol, že Criteo musí poskytnúť úplný prehľad tretích strán, s ktorými boli údaje zdieľané.

• Grécky úrad na ochranu údajov (DPA) udelil Aténskej mestskej dopravnej organizácii (OASA) pokutu 50 000 eur za porušenie článku 5(1)(e) GDPR, pretože jej systém elektronických cestovných lístkov nebol v súlade so zásadou obmedzenia úložiska.

Ďalej pokarhala OASA za porušenie článku 35(1) GDPR, keďže jej posúdenie vplyvu na ochranu údajov v súvislosti s jej elektronickým systémom predaja cestovných lístkov bolo nedostatočné.

• Švédsky úrad na ochranu údajov (APD) udelil Mestskej rade pre vzdelávanie v Štokholme pokutu 800 000 švédskych korún (približne 68 324 eur) za používanie bezpečnostných kamier v škole v rozpore s článkom 5(1)(a), (c), článkom 6(1) a článkom 13 GDPR.
• Taliansky úrad na ochranu údajov (APD) udelil talianskej advokátskej komore pokutu 20 000 eur za zverejnenie informácií o dvoch sťažovateľoch na jej webovej stránke bez legitímneho právneho základu v súlade s kombinovanými ustanoveniami článku 10 GDPR a článku 2octies talianskeho zákonníka o ochrane osobných údajov.
• Chorvátsky úrad na ochranu údajov (APD) uložil spoločnosti EOS Matrix doo, vymáhajúcej pohľadávky, najvyššiu administratívnu pokutu v histórii vo výške 5 470 000 eur za viacnásobné porušenia GDPR.
• V Spojenom kráľovstve spoločnosť Clearview AI vyhrala odvolanie proti pokute britského úradu na ochranu údajov (DPA) na prvostupňovom tribunáli (FTT).

Súd rozhodol, že „britské nariadenie GDPR“ sa neuplatňuje, pričom argumentoval, že spracovateľské činnosti spoločnosti Clearview zahŕňali vykonávanie služby v mene orgánov činných v trestnom konaní so sídlom v tretej krajine mimo rozsahu pôsobnosti GDPR a „britského GDPR“.

Súd ďalej považuje spoločnosť Clearview a jej klientov za spoločných prevádzkovateľov spracovania na tento represívny účel.

Zdôvodnenie súdu vyvolalo medzi odborníkmi na ochranu údajov rozsiahlu diskusiu o kvalifikácii spoločných prevádzkovateľov a neuplatňovaní európskeho a/alebo britského práva v danom prípade.

• Začiatkom októbra upútal pozornosť ICO chatbot spoločnosti Snap s umelou inteligenciou.

APD oznámil, že vydal predbežné oznámenie o presadzovaní práva voči spoločnosti Snap za to, čo opisuje ako „potenciálne zlyhanie pri riadnom posúdení rizík pre súkromie, ktoré predstavuje jej chatbot „My AI“.

Rastúci počet orgánov na ochranu údajov, ako napríklad tie v Spojenom kráľovstve a Taliansku, preberá zodpovednosť za regulačné orgány v oblasti umelej inteligencie.

 

• Globálne zhromaždenie pre ochranu súkromia (GPA) usporiadalo svoju výročnú konferenciu v polovici októbra na Bermudách.

Úrady diskutovali o uplatňovaní predpisov o ochrane súkromia na umelú inteligenciu a 20. októbra prijali uznesenie týkajúce sa generatívnej umelej inteligencie.

Uznesenie prichádza po tom, čo lídri skupiny G7 30. októbra prijali medzinárodné hlavné zásady pre umelú inteligenciu (AI) a dobrovoľný kódex správania pre vývojárov AI ako súčasť Hirošimského procesu o AI.

• Spojené štáty americké tiež 30. októbra zverejnia dekrét o umelej inteligencii a manuál riadenia rizík v oblasti umelej inteligencie, zatiaľ čo Spojené kráľovstvo 2. novembra organizuje summit o bezpečnosti umelej inteligencie.
• Úrad komisára pre ochranu súkromia na Novom Zélande vydal príručku o vývoji a používaní systémov umelej inteligencie v súlade so zásadami ochrany súkromia (PPP).
• Kanada v septembri tiež zverejnila kódex správania pre vývojárov a manažérov pokročilých generatívnych systémov umelej inteligencie.

Kódex identifikuje opatrenia, ktoré sa majú zaviesť na zmiernenie rizík spojených s týmito systémami, a to na základe šiestich základných princípov: zodpovednosť, bezpečnosť, spravodlivosť/čestnosť, transparentnosť, ľudský dohľad, platnosť/robustnosť systémov.

• Spojené štáty: Generálni prokurátori zo 41 štátov USA spojili sily a podali žalobu proti spoločnosti Meta s tvrdením, že jej platformy sociálnych médií Instagram a Facebook sú návykové a škodlivé pre deti.

Žaloba obviňuje spoločnosť Meta z opakovaného a systematického zhromažďovania informácií o deťoch mladších ako 13 rokov a z toho, že neinformovala alebo nezískala súhlas rodičov s ich použitím.

• Kalifornia 12. októbra 2023 zverejnila návrh zákona regulujúci sprostredkovateľov údajov, ktorým sa mení a dopĺňa existujúci zákon z roku 2018 (CCPA).

Text stanovuje, že sprostredkovatelia údajov sa musia zaregistrovať v agentúre na ochranu súkromia a poskytovať jej podrobnejšie informácie týkajúce sa jednotlivých žiadostí, zhromažďovania určitých informácií a povinného auditu ich súladu so zákonom.

Projekt tiež vytvára mechanizmus, ktorý umožňuje jednotlivcom požiadať všetkých sprostredkovateľov údajov o vymazanie osobných údajov o nich.

• Služba genetického testovania 23andMe utrpela únik údajov.

Hacker zverejnil genetické informácie štyroch miliónov používateľov na fóre o kyberkriminalite BreachForums.

Tento incident nasleduje po ďalšom úniku, ku ktorému došlo začiatkom októbra.

• V Spojených arabských emirátoch ministerstvo umelej inteligencie, digitálnej ekonomiky a aplikácií telepráce publikuje bielu knihu s názvom „Rámec samosprávy pre zodpovedný metaverzum“.