Právny prehľad č. 62 – august 2023.

DMA, DSA: nové povinnosti technologických gigantov.

Začiatkom septembra sa rozširuje ochrana práv online používateľov, a to uplatnením zákona o digitálnych službách na hlavné platformy a zverejnením zoznamu spoločností, na ktoré sa vzťahuje zákon o digitálnych trhoch.

• Od 25. augusta sa európske nariadenie o digitálnych službách (DSA) vzťahuje na veľmi veľké online platformy (VLOP) a veľmi veľké online vyhľadávače (VLOS).

Nariadenie sa bude od 17. februára 2024 vzťahovať aj na všetkých sprostredkovateľov, ktorí ponúkajú svoje služby používateľom so sídlom v EÚ, vrátane online platforiem, ako sú obchody s aplikáciami, platformy kolaboratívneho hospodárstva a platformy sociálnych médií, s obmedzenejšími povinnosťami.

Pre malé a stredné podniky a mikropodniky sú stanovené ďalšie výnimky.

Podľa rozhodnutia Európskej komisie z 25. apríla spadá do kategórie VLOP a VLOSE devätnásť spoločností vrátane TikTok, Facebook, X, Snapchat, YouTube a Google Search, vplyvných online predajcov ako Amazon a Zalando a dvoch hlavných online vyhľadávačov Bing a Google Search.

Tieto spoločnosti budú musieť dodržiavať súbor povinností týkajúcich sa transparentnosti, ochrany maloletých, moderovania obsahu a rešpektovania súkromia.

Budú musieť najmä identifikovať a posúdiť systémové riziká vyplývajúce z ich služieb vrátane algoritmických systémov, ako napríklad:

• Šírenie nelegálneho obsahu
• Negatívne účinky na uplatňovanie základných práv
• Negatívne vplyvy na občiansku diskusiu a volebné procesy;
• Negatívne účinky na rodovo podmienené násilie, ochranu verejného zdravia a maloletých;
• Vážne negatívne dôsledky pre fyzické a duševné zdravie človeka.

Niekoľko povinností vyplývajúcich zo Zákona o ochrane údajov (DSA) sa prekrýva s povinnosťami vyplývajúcimi z GDPR. Tieto sú uvedené v nedávnom článku z fóra „Future of Privacy Forum“.

Napríklad existujú podobné alebo doplnkové povinnosti týkajúce sa „temných vzorov“, cielenej reklamy založenej na citlivých údajoch alebo týkajúcej sa maloletých, transparentnosti, profilovania, analýzy rizík a odstraňovania nelegálneho obsahu.

Kontrolné postupy sú zložité a môžu kolidovať s postupmi GDPR: na rozdiel od GDPR, ktoré zabezpečuje reguláciu najmä na vnútroštátnej úrovni s koordináciou zo strany Európskeho výboru pre ochranu údajov v cezhraničných prípadoch, DSA centralizuje kontroly na úrovni EÚ, pokiaľ ide o VLOP a VLOSE, pričom členským štátom dáva zodpovednosť za ostatných sprostredkovateľských poskytovateľov služieb.

Dúfajme, že sa zavedie koordinácia medzi týmito rôznymi orgánmi, ktorá bude usmerňovať dotknuté spoločnosti aj jednotlivcov, ktorí chcú podniknúť právne kroky.

• Hoci zákon o digitálnych trhoch je v platnosti od mája, až 6. septembra Komisia zverejnila zoznam šiestich technologických gigantov, „strážcov brány“, ktorí budú musieť dodržiavať jeho zásady. Sú to spoločnosti Alphabet, Amazon, Apple, ByteDance, Meta a Microsoft.

Komisia uvádza, že sa to týka celkovo 22 základných platforiem prevádzkovaných týmito šiestimi správcami.

Hlavným cieľom je zabrániť týmto spoločnostiam zneužívať ich dominantné postavenie.

Text teda zakazuje odkazovanie na seba alebo povinnosť pre profesionálnych používateľov používať iba služby alebo produkty príslušnej spoločnosti.

Strážcovia prístupu tiež nemôžu brániť obchodným používateľom v ponúkaní a propagácii konkurenčných služieb a majú povinnosť zdieľať s nimi informácie generované používaním ich platformy.

Plánujú sa aj špecifické požiadavky na interoperabilitu pre online služby zasielania správ a možnosti pre operačné systémy, prehliadače, vyhľadávače a virtuálnych asistentov.

Okrem toho majú „strážcovia prístupu“ zakázané sledovať a profilovať používateľov na účely cielenej reklamy, pokiaľ nezískajú ich súhlas, a brániť im v odinštalovaní ich predinštalovaných aplikácií.

Niektoré z týchto povinností preto posilňujú povinnosti stanovené v zákone o digitálnych službách, pokiaľ ide o ochranu používateľov, najmä pokiaľ ide o profilovanie.

Niekoľko spoločností ako TikTok, Meta a Google už zmenilo svoje podmienky používania.

Pokuty stanovené v zákone DSA a DMA môžu dosiahnuť 61 TP4T, respektíve 101 TP4T z obratu dotknutých spoločností.

V prípade opakovaného porušenia DMA môže pokuta dosiahnuť 20% obratu…

Sumy, ktoré presahujú 4% stanovený v GDPR, ktoré zákonodarca už v čase prijatia nariadenia prezentoval ako odrádzajúce.

 

A tiež

• CNIL pripravuje návrh odporúčania o systémoch vystavených závažnému riziku v prípade narušenia bezpečnosti a začína verejnú konzultáciu.

Jeho cieľom je zlúčiť všetky pokročilé bezpečnostné postupy do jedného dokumentu, ktorý sa konkrétne zameriava na tzv. „kritické“ spracovanie, definované nasledujúcimi dvoma kumulatívnymi kritériami:

• Spracovanie je rozsiahle v zmysle GDPR;
• Porušenie ochrany osobných údajov by mohlo mať veľmi závažné následky pre dotknuté osoby, pre národnú bezpečnosť alebo pre spoločnosť ako celok.

Konzultácie je možné sa zúčastniť do 8. októbra 2023.

• CNIL 8. augusta zverejnila informačnú správu o prepojených majákoch s cieľom pomôcť každému, kto sa stal obeťou zneužitia alebo nezákonného používania, chrániť sa.

Tieto štítky, ktoré umožňujú lokalizáciu a nájdenie predmetov (napríklad kľúčov alebo peňaženky), sa niekedy používajú na lokalizáciu ľudí bez ich vedomia.

• Pôle emploi 23. augusta oznámila, že osobné údaje približne desiatich miliónov ľudí registrovaných v jej súboroch boli ukradnuté v dôsledku „kybernetického útoku“.

Tieto údaje boli outsourcované spoločnosti Majorel, ktorá je zodpovedná za digitalizáciu dokumentov zaslaných uchádzačmi o zamestnanie.

Môže to ovplyvniť meno a priezvisko, súčasný alebo bývalý status uchádzača o zamestnanie a číslo sociálneho zabezpečenia.

„E-mailové adresy, telefónne čísla, heslá a bankové údaje“ však neboli ohrozené.

 

Európske inštitúcie a orgány

• Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA) organizuje 11. októbra v spolupráci s Európskou komisiou Fórum o dôveryhodných službách a elektronickej identifikácii s cieľom monitorovať vývoj v právnom prostredí, európskej digitálnej peňaženke a ochrane online aktivít občanov v celej EÚ.

ENISA tiež publikuje usmernenia pre smartfóny: „SMASHING – Usmernenia pre bezpečný vývoj smartfónov“.

Nástroj poskytuje mapu opatrení pre vývojárov aplikácií pre smartfóny zameraných na zabezpečenie vývoja bezpečných mobilných aplikácií.

• Európsky inštitút pre telekomunikačné normy (ETSI) zverejnil správu s názvom „Zabezpečenie umelej inteligencie (SAI); Automatizovaná manipulácia s multimediálnymi reprezentáciami identity“.

Dokument sa zaoberá technikami založenými na umelej inteligencii na automatickú manipuláciu s existujúcimi údajmi o identite alebo vytváranie falošných údajov o identite prezentovaných v rôznych mediálnych formátoch, ako je zvuk, video a text (deepfakes).

Opisuje rôzne technické prístupy a analyzuje hrozby, ktoré predstavujú deepfakey v rôznych útočných scenároch.

Následne navrhuje technické a organizačné opatrenia na zmiernenie týchto hrozieb a skúma ich účinnosť a obmedzenia.

• V kontexte svojho audítorského programu na rok 2023 sa EDPB zameriava na úlohu zodpovedných osôb.

Článok publikovaný IAPP 31. júla uvádza referenčné rozhodnutia európskych orgánov na ochranu údajov týkajúce sa určenia a zručností zodpovedných osôb.

• Spoločnosť Fitbit, ktorú vlastní Google, čelí v Európskej únii sťažnostiam na porušenie súkromia, v ktorých sa tvrdí, že spoločnosť nelegálne exportuje používateľské údaje v rozpore s pravidlami EÚ na ochranu údajov.

Sťažnosti sa týkajú tvrdenia spoločnosti Fitbit, že používatelia súhlasili s medzinárodným prenosom svojich informácií – do Spojených štátov a iných krajín – zatiaľ čo mimovládna organizácia NOYB tvrdí, že spoločnosť núti používateľov, aby udelili svoj súhlas.

 

Správy z členských krajín Európy.

• V Holandsku úvodná správa Úradu na ochranu údajov (DPA) z 1. septembra vyzýva na dodatočné opatrenia na kontrolu rizík spojených s algoritmami a umelou inteligenciou v očakávaní pripravovanej európskej legislatívy.

Aby ich mohli lepšie kontrolovať, verejné orgány a podniky musia čeliť dvom výzvam.

Po prvé, riziká spojené s rýchlou integráciou inovácií v oblasti umelej inteligencie do spoločnosti, ako sú inteligentné chatboty.

Po druhé, správa zdôrazňuje potrebu, aby všetky hlavné verejné a súkromné inštitúcie v Holandsku pochopili, ako používajú vysoko rizikové algoritmy – tie, ktoré majú podstatný vplyv na životy jednotlivcov. Správa uvádza zoznam opatrení, ktoré sa majú vykonať.

• Španielsky úrad na ochranu údajov (APD) udelil mediálnej spoločnosti pokutu 20 000 eur za zverejnenie fotografie prevzatej zo súkromného profilu osoby na Instagrame a jej umiestnenie na blogu s jej menom a vekom, čím porušil článok 6(1) GDPR.

Taktiež uložila spoločnosti Fourth Party Logistics SL pokutu vo výške 120 000 EUR (zníženú na 72 000 EUR) za nezákonné subdodávateľské služby z dôvodu nedostatočnej formalizácie zmlúv a absencie predchádzajúcich povolení na formalizáciu.

• V Chorvátsku bola fotografia identifikujúca policajta zverejnená ako komentár k videu o policajnej operácii zdieľanému vo verejnej skupine na Facebooku.

APD zistil porušenie článku 5(1)(b) a článku 6(1) GDPR a nariadil odstránenie fotografie.

• V podobnej súvislosti cyperský úrad pre ochranu údajov udelil miestnym novinám pokutu 7 000 eur za porušenie článku 5(1)(c) a článku 6 GDPR: noviny zverejnili mená a fotografie policajtov v službe.
• V rámci spoločného vyšetrovania orgány na ochranu údajov v pobaltských krajinách vykonali audit a sankcie v spoločnosti na prenájom áut.

Pri výpočte pokuty lotyšský úrad na ochranu údajov zdôraznil ako priťažujúcu okolnosť úplný nedostatok spolupráce zo strany prevádzkovateľa.

Spočiatku považovala pokutu vo výške 15 000 eur za primeranú. Vzhľadom na finančné ťažkosti, ktorým prevádzkovateľ čelil, a vysoké riziko platobnej neschopnosti však pokutu nakoniec znížila na 1 000 eur.

• Nový švajčiarsky federálny zákon o ochrane údajov nadobudol účinnosť 1. septembra.

Medzi nové ustanovenia inšpirované GDPR patria posúdenia vplyvu na spracovanie citlivých údajov, záznamy o činnostiach spracovania, vymenovanie zodpovednej osoby (DPO) a hlásenie porušení ochrany údajov. Koncept „ochrany súkromia už v štádiu návrhu“ sa teraz výslovne spomína.

 

• Dvanásť medzinárodných regulačných orgánov ochrany údajov a súkromia z Ameriky, Európy, Afriky a Ázie a Pacifiku 24. augusta oznámilo, že očakávajú, že platformy sociálnych médií a iné stránky sa budú chrániť pred nelegálnym získavaním údajov („web scraping“).

Toto oznámenie opakuje odporúčania, ktoré predtým poskytli regulačné orgány, ako napríklad Austrálska informačná komisia, CNIL a Úrad komisára pre informácie Spojeného kráľovstva, po vyšetrovaní postupov spoločnosti Clearview AI, Inc. pri nakladaní s osobnými údajmi a povinností oznamovania porušenia údajov.

• V Spojených štátoch zverejnili Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry („CISA“), Národná bezpečnostná agentúra („NSA“) a Národný inštitút pre štandardy a technológie („NIST“) 21. augusta spoločný informačný list o pripravenosti na kvantové výpočty s cieľom upozorniť organizácie – najmä tie, ktoré podporujú sektory infraštruktúry.

kritika – o hrozbách kvantových výpočtov a povzbudiť tieto organizácie, aby začali plánovať budúcu migráciu na postkvantové kryptografické štandardy („PQC“).

• Americká vláda spúšťa program Cyber Trust Mark na označovanie bezpečnosti internetu vecí.
• V Spojených štátoch sa únik údajov týka aj spoločnosti Tesla: postihnutých je 75 000 ľudí.

Dvaja bývalí zamestnanci spoločnosti Tesla poskytli novinám Handelsblatt osobné informácie a kontaktné údaje týkajúce sa iných zamestnancov.

Spoločnosť informovala generálneho prokurátora štátu Maine o narušení bezpečnosti a ponúkla postihnutým osobám služby ochrany pred krádežou identity.

V apríli 2023 si zamestnanci pozreli a zdieľali súkromné videá nahrané vozidlami Tesla zákazníkov, ktoré boli prevzaté z bezpečnostných systémov vozidiel v režime Sentry.

Tesla nie je jediná spoločnosť, ktorá vyjadruje obavy o narušenie súkromia.

Štúdia, ktorú 5. septembra zverejnila nadácia Mozilla Foundation, opisuje autá od 25 výrobcov automobilov ako „nočné mory na kolesách, pokiaľ ide o ochranu osobných údajov“.

Nadácia posúdila politiky a postupy 25 výrobcov automobilov a varovala, že môžu zhromažďovať a komerčne využívať oveľa viac než len históriu polohy, jazdné návyky, históriu navigácie v aute a hudobné preferencie používateľov.

Niektorí výrobcovia môžu spracovávať hlboko osobné údaje, ako napríklad – v závislosti od zásad ochrany osobných údajov – sexuálnu aktivitu, imigračný status, rasu, výrazy tváre, hmotnosť, zdravotný stav a dokonca aj genetické informácie.

Okrem toho viac ako polovica výrobcov predáva údaje tretím stranám.

• V Číne boli 25. augusta 2023 zverejnené nové usmernenia týkajúce sa označovania obsahu generovaného umelou inteligenciou: Čínsky národný technický výbor pre štandardizáciu informačnej bezpečnosti („TC260“) zverejnil finálnu verziu dokumentu „Praktické usmernenia pre normy kybernetickej bezpečnosti – Metóda označovania obsahu v generatívnych službách umelej inteligencie“.
• Kanada tiež zverejňuje kódex postupov pre generatívnu umelú inteligenciu a nabáda k prispievaniu k tomuto dokumentu.
• V Indii bol 12. augusta v úradnom vestníku zverejnený zákon o ochrane digitálnych osobných údajov z roku 2023.

Hoci je tento zákon vítaný, pretože poskytuje ochranu údajov 760 miliónov používateľov internetu, zároveň vyvoláva kritiku týkajúcu sa úrovne ponúkanej ochrany, najmä vzhľadom na prelomové rozhodnutie v prípade Puttaswamy, ktoré pred piatimi rokmi v Indii zaviedlo právo na súkromie.

• Spoločnosť Apple 31. augusta oznámila ukončenie vývoja svojej funkcie skenovania iCloud na identifikáciu detskej pornografie (CSAM).

Spoločnosť sa teraz zameriava na súbor nástrojov a zdrojov na zariadeniach používateľov, známych ako „funkcie komunikačnej bezpečnosti“.

Po spolupráci s radom výskumníkov v oblasti bezpečnosti a súkromia, skupín pre digitálne práva a zástancov bezpečnosti detí spoločnosť dospela k záveru, že nemôže pokračovať vo vývoji mechanizmu cloudového skenovania, a to ani v prípade, že by bol navrhnutý špeciálne na ochranu súkromia. 

„Analýza súkromných údajov každého používateľa v iCloude by vytvorila nové vektory hrozieb, ktoré by mohli zlodeji údajov nájsť a zneužiť. Zároveň by to vytvorilo riziko nezamýšľaných následkov. Napríklad hľadanie jedného typu obsahu otvára dvere hromadnému sledovaniu a mohlo by vyvolať túžbu hľadať iné šifrované systémy na zasielanie správ pre všetky typy obsahu.“

Tento verejný postoj je v súčasnom kontexte dôležitý, keďže Spojené kráľovstvo, EÚ a USA pripravujú legislatívu zameranú na zavedenie rozsiahleho preverovania webových aktérov v kontexte boja proti kybernetickej kriminalite vo všeobecnosti a ochrany detí online najmä.