Právny prehľad č. 66 – december 2023.

Judikatúra týkajúca sa GDPR: Kľúčové trendy pre rok 2023

Či už vo Francúzsku alebo na európskej úrovni, orgány na ochranu údajov a súdne orgány prijali v roku 2023 množstvo rozhodnutí objasňujúcich podmienky uplatňovania GDPR.

Na európskej úrovni sa najvýznamnejšie sankcie uložené orgánmi na ochranu údajov týkajú medzinárodných technologických gigantov, ako aj niekoľkých národných spoločností.

Zameriavajú sa konkrétne na reklamu bez súhlasu používateľa a na neinformovanie používateľov.

• Írska komisia pre ochranu údajov udelila 4. januára 2023 spoločnosti Meta Platforms Ireland Ltd. pokutu vo výške 390 miliónov eur za nezákonné používanie osobných údajov na reklamné účely na Facebooku a Instagrame.

V máji 2023 tiež uložila spoločnosti Meta historickú pokutu vo výške 1,2 miliardy eur za nelegálny prenos údajov do Spojených štátov.

• Írsky úrad pre ochranu údajov (DPA) v januári 2023 tiež udelil spoločnosti WhatsApp pokutu vo výške 5,5 milióna eur za to, že nútila používateľov súhlasiť s používaním osobných údajov na účely „zlepšenia služieb a bezpečnosti“.
• Dňa 15. júna 2023 uložila CNIL spoločnosti CRITEO, ktorá sa špecializuje na online reklamu, pokutu vo výške 40 miliónov eur, najmä za to, že neoverila súhlas osôb, ktorých údaje spracovávala.
• Taliansky úrad na ochranu údajov v júni minulého roka udelil telemarketingovej spoločnosti TIM SpA pokutu 7,6 milióna eur za nedostatočný dohľad nad call centrami so zneužívajúcimi praktikami.

Vo Francúzsku prijala CNIL niekoľko ďalších sankcií, ktoré stoja za zmienku. Komisia sa zamerala najmä na:

• Z dôvodu nedostatku právneho základu v kontexte zhromažďovania biometrických údajov spoločnosťou Clearview;
• Pokiaľ ide o otázku rešpektovania zásady minimalizácie zhromažďovaných údajov, v tomto prípade geolokačných údajov v prípade Cityscoot zo 16. marca 2023;
• Pokiaľ ide o doby uchovávania údajov vo veci KG COM z 8. júna 2023 a vo veci Doctissimo z 11. mája 2023;
• Pokiaľ ide o rešpektovanie práv jednotlivcov v prípadoch Canal + (12. októbra), Free (20. marca) a Criteo (15. júna).

Pokiaľ ide o tento posledný bod, CNIL zdôrazňuje, že údaje musia byť žiadateľovi oznámené v zrozumiteľnej forme.

Taktiež poznamenáva, že nedodržanie mesačnej lehoty na odpoveď na žiadosť o prístup je častým priestupkom.

Stojí za to pripomenúť, že uplatňovanie práv jednotlivcov je témou koordinovaných vyšetrovaní orgánov na ochranu údajov v Európe v roku 2024.

Z hľadiska judikatúry francúzskych súdov a tribunálov spomeňme aj niekoľko nedávnych rozhodnutí týkajúcich sa kamerového dohľadu.

• Správne súdy v Nice a Lille 23. novembra a 29. novembra rozhodli v prospech obcí, ktoré nainštalovali systémy video monitorovania s algoritmickým rozpoznávaním tváre, z dôvodu, že tieto systémy (zatiaľ) neboli plne aktivované alebo nasadené na účely rozšíreného video monitorovania.
• Správny súd v Caen na druhej strane v predbežnom rozhodnutí z 22. novembra rozhodne dospel k záveru, že algoritmický systém video monitorovania Briefcam predstavuje závažné a zjavne nezákonné porušenie práva na súkromie.

Sudca v senáte poznamenal, že použitie bolo mimo akéhokoľvek právneho alebo regulačného rámca a usúdil, že „nebolo preukázané, ani netvrdené, že by na zachovanie verejného poriadku nebolo možné použiť iné, menej rušivé prostriedky týkajúce sa súkromia“.

Otázka právneho základu pre používanie algoritmického video dohľadu by sa mala stať ešte naliehavejšou s prijatím európskeho nariadenia o umelej inteligencii, ktoré bude obzvlášť prísne regulovať rozpoznávanie tváre vo verejných priestoroch (pozri nižšie uvedené stručné informácie).

Napokon, na európskej úrovni Súdny dvor Európskej únie (SDEÚ) prijal niekoľko rozhodnutí, ktoré objasňujú najmä zásady uplatniteľné na automatizované spracovanie a posudzovanie škody pri porušeniach GDPR:

• Súdny dvor EÚ tak 7. decembra prijal dve dôležité rozhodnutia týkajúce sa dominantného poskytovateľa úverových informačných služieb v Nemecku („Schufa“).

Súdny dvor najmä uviedol, že automatizované spracovanie údajov o úverovej bonite („skórovanie“) podlieha všeobecnému zákazu podľa článku 22 GDPR.

Dodáva, že spoločnosť, ktorá si automatizovane určí kreditné skóre, naďalej podlieha článku 22, a to aj v prípade, že ide o inú spoločnosť, ktorá sa na toto skóre spolieha pri prijímaní rozhodnutí, ktoré majú (negatívny) vplyv na dotknutú osobu, pričom toto odôvodnenie by mohlo mať vplyv na systémy podporované umelou inteligenciou.

• Pokiaľ ide o náhradu škody, súd v rozsudku vo veci Osterreichische Post AG zo 4. mája 2023 rozhodol, že porušenie ustanovení GDPR nestačí na to, aby dotknutá osoba dotknutá nezákonným spracovaním mala nárok na odškodnenie: musí tiež preukázať ujmu. Táto ujma však musí byť nahradená, aj keď nedosiahne určitý stupeň závažnosti.
• Súdny dvor EÚ vo svojom rozsudku zo 14. decembra 2023 poskytuje široký výklad pojmu morálna ujma.

Súd najmä špecifikuje, že obava, ktorú osoba pociťuje z možného zneužitia svojich osobných údajov tretími stranami po porušení GDPR, sama o sebe pravdepodobne predstavuje morálnu ujmu.

V kombinácii s rozhodnutím vo veci Österreichische Post AG, ktoré stanovuje, že neexistuje minimálna hranica pre nemajetkovú ujmu, by toto rozhodnutie mohlo podporiť rozvoj hromadných žalôb v Európe.

Stojí za to pripomenúť, že Francúzsko, rovnako ako jeho európski partneri, práve transponuje do vnútroštátneho práva smernicu z 25. novembra 2020 o zastúpených žalobách na ochranu kolektívnych záujmov spotrebiteľov.

 

   

• V polovici decembra CNIL zverejnila pre odborníkov na ochranu údajov dokument „Tabuľky spracovania údajov a slobôd“.

Tieto tabuľky zoskupujú a klasifikujú zhrnutia mnohých rozhodnutí francúzskych a európskych súdov vrátane Európskeho súdu pre ľudské práva, Súdneho dvora Európskej únie, Ústavnej rady, Štátnej rady a Kasačného súdu.

Tabuľky obsahujú aj určité rozhodnutia EDPB a CNIL, so zameraním na tie, ktoré stanovujú novú doktrínu alebo zásady.

• V polovici decembra CNIL tiež zverejnila príručku na zvyšovanie povedomia o GDPR s cieľom podporiť služby bezpečnosti a ochrany zdravia pri práci (SPST) v ich dodržiavaní predpisov.
• Po EDPB je teraz na rade Generálne riaditeľstvo pre hospodársku súťaž, spotrebiteľské záležitosti a kontrolu podvodov, aby zverejnilo stránku určenú na upozornenie spotrebiteľov na „temné vzorce“, teda techniky alebo procesy, ktorých cieľom je ovplyvňovať rozhodnutia používateľov internetu s cieľom viesť ich k objednávke produktov alebo predplateniu si služieb, ktoré by si sami úplne nevybrali.
• Ministerstvo vnútra práve dokončilo reorganizáciu svojich služieb pre boj proti kybernetickej kriminalite.
• Nové „Veliteľstvo ministerstva vnútra v kyberpriestore“ (Comcyber-MI) bolo vytvorené dekrétom z 23. novembra 2023 a bude koordinovať všetky zdroje ministerstva.
• Ďalší dekrét formalizuje vytvorenie nového „Úradu pre boj proti kybernetickej kriminalite“ (OFAC), ktorý v rámci polície zlučuje podriadené riaditeľstvo pre boj proti kybernetickej bezpečnosti a bývalý úrad, Ústredný úrad pre boj proti kriminalite súvisiacej s informačnými a komunikačnými technológiami (OCLCTIC).
• Napokon, tretí dekrét formalizuje vytvorenie národnej kybernetickej jednotky pripojenej ku generálnemu riaditeľstvu národnej žandarmérie.

Skupiny iliad, CMA CGM a Schmidt Futures vytvorili „Kyutai“: neziskové výskumné laboratórium umelej inteligencie, ktorého ambíciou je riešiť hlavné výzvy umelej inteligencie, ako je vývoj rozsiahlych multimodálnych modelov a vynález nových algoritmov.

 

Európske inštitúcie a orgány

• EÚ dosiahla 9. decembra politickú dohodu o nariadení o umelej inteligencii, ktoré by malo byť oficiálne prijaté začiatkom roka 2024.

Predbežná dohoda by zakazovala napríklad kognitívnu manipuláciu so správaním, necielené zhromažďovanie obrázkov tváre z internetu alebo záznamov z bezpečnostných kamier, rozpoznávanie emócií na pracovisku a vo vzdelávacích inštitúciách, sociálne bodovanie, biometrickú kategorizáciu na odvodenie citlivých údajov, ako je sexuálna orientácia alebo náboženské presvedčenie, a určité prípady prediktívnej policajnej práce pre jednotlivcov.

Dohoda stanovuje niekoľko výnimiek pre orgány činné v trestnom konaní a migráciu.

• Európsky výbor pre ochranu údajov na svojom poslednom plenárnom zasadnutí prijal list reagujúci na iniciatívu Európskej komisie týkajúcu sa dobrovoľného záväzku týkajúceho sa súborov cookie („záväzok používať súbory cookie“).

Výbor vo všeobecnosti dokument podporuje a odporúča, aby spoločnosti v prípade, že používateľ odmietne zhromažďovanie svojich údajov, počkali rok s obnovením svojich žiadostí o súhlas, aby sa znížila únava používateľov („únava z cookies“), ktorá v dôsledku opakovaných žiadostí vedie používateľov k náhodnému klikaniu namiesto skutočného uplatňovania svojich práv.

• V rozhodnutí zo 7. decembra 2023 Súdny dvor EÚ objasnil, že uloženie pokuty za porušenie GDPR predpokladá porušenie spáchané úmyselne alebo z nedbanlivosti.

Ďalej rozvíja rozsah zodpovednosti a kvalifikáciu prevádzkovateľa údajov: táto definícia sa teda môže vzťahovať na subjekt, ktorý poveril spoločnosť vývojom mobilnej počítačovej aplikácie a ktorý sa v tejto súvislosti podieľal na určení účelov a prostriedkov spracovania, a to aj v prípade, že tento subjekt sám nevykonal operácie spracovania, výslovne nedal súhlas na vykonanie týchto operácií alebo na sprístupnenie aplikácie verejnosti.

Zdôrazňuje, že kvalifikácia dvoch subjektov ako spoločných prevádzkovateľov spracúvania nepredpokladá ani existenciu dohody medzi týmito subjektmi o určení účelov a prostriedkov spracúvania, ani existenciu dohody, ktorá stanovuje podmienky týkajúce sa ich zodpovednosti.

• Súdny dvor EÚ 21. decembra rozhodol, že právo na odškodnenie podľa článku 82 GDPR plní kompenzačnú funkciu „v tom zmysle, že peňažná náhrada na základe tohto ustanovenia musí umožniť úplnú náhradu skutočnej ujmy spôsobenej v dôsledku porušenia tohto nariadenia“, a nie odrádzajúcu alebo represívnu funkciu.

Závažnosť porušenia, ktoré spôsobilo predmetnú škodu, by preto nemala ovplyvniť výšku náhrady škody.

• Spoločnosť Microsoft predstavila novú verziu Outlooku, ktorá má v roku 2024 nahradiť e-mailový a kalendárový program integrovaný do systému Windows, čo vyvoláva obavy európskych orgánov na ochranu údajov.

Spoločnosť Microsoft mohla získať prístup k e-mailom a prílohám, keď používateľ pridá do aplikácie e-mailový účet, ktorý nie je od spoločnosti Microsoft, a to prostredníctvom prihlasovacích údajov IMAP a SMTP daného účtu.

 

Správy z členských krajín Európy.

• Zatiaľ čo sa očakáva, že Marie-Laure Denis bude podľa vyhlásenia Elyzejského paláca zverejneného koncom novembra opätovne vymenovaná za prezidentku CNIL, Helen Dixonová, prezidentka írskej komisie pre ochranu údajov, 15. novembra 2023 na LinkedIn oznámila svoj odchod vo februári 2024 po 10 rokoch vo funkcii.
• Taliansky úrad na ochranu údajov (APD) udelil prevádzkovateľovi údajov pokutu 40 000 eur za prístup k e-mailovým účtom troch jeho bývalých zamestnancov, čím porušil článok 5 ods. 1 a článok 13 GDPR.

Úrad tiež usúdil, že správca bytového domu porušil článok 5(1)(a) a článok 6 GDPR tým, že nezákonne nainštaloval systém video monitorovania bez predchádzajúceho prijatia uznesenia bytového domu.

APD uložila pokutu 1 000 eur a zákaz spracovania.

• Nórsky úrad na ochranu údajov (APD) udelil Nórskemu úradu práce a sociálnych vecí (NAV) pokutu vo výške 1 754 678 eur (20 miliónov nórskych korún) a vydal niekoľko príkazov za 12 porušení, ktoré sa pripisujú „závažnej nedbanlivosti počas dlhého obdobia“ v oblasti informačnej bezpečnosti a IT systémov úradu.
• Dánsky úrad na ochranu údajov (DPA) pokarhal Agentúru pre digitálnu vládu za používanie JavaScriptu v súvislosti s MitID, dánskym digitálnym identifikátorom.

Hoci sú riziká spojené s používaním tohto programovacieho jazyka známe, agentúra ho použila bez predchádzajúceho posúdenia rizík, čím porušila okrem iného článok 32(1) GDPR.

• Článok v časopise New Scientist publikovaný 18. decembra uvádza, že umelá inteligencia vycvičená na osobných údajoch (lekárske, profesionálne a finančné záznamy) týkajúcich sa šiestich miliónov Dánov dokázala predpovedať riziká úmrtia s väčšou presnosťou ako existujúce modely vrátane tých, ktoré sa používajú v poisťovníctve.

Výskumníci stojaci za touto technológiou tvrdia, že by mohla mať pozitívny vplyv na včasné predpovedanie sociálnych a zdravotných problémov, ale že musí zostať mimo rúk veľkých korporácií.

• Po prijatí zákona o online bezpečnosti v októbri minulého roka, ktorý občianska spoločnosť kritizovala za ohrozenie šifrovania komunikácie end-to-end, Spojené kráľovstvo pripravuje nový kontroverzný zákon o vyšetrovacích právomociach.

Podľa správy denníka Politico sa hlavné obavy týkajúce sa tohto projektu týkajú tzv. režimu „oznámení“: ten by ministerstvu vnútra umožnil požadovať od spoločností, aby ho informovali o akýchkoľvek plánoch na úpravu produktov alebo systémov svojich služieb, čo by znamenalo možnú stratu kontroly spoločností nad ich vlastnými produktmi a zabránilo by im napríklad v oprave zraniteľností v kóde, ktoré by vláda alebo jej partneri chceli zneužiť.

Návrh zákona je momentálne vo fáze správy, pričom ďalšie zasadnutie je naplánované na 23. januára.

 

• Kybernetické bezpečnostné agentúry z 18 krajín sa v dokumente zverejnenom 26. novembra 2023 dohodli na vytvorení modelov umelej inteligencie „zabezpečených už od návrhu“: spoločnosti, ktoré navrhujú a používajú umelú inteligenciu, ju musia vyvíjať a nasadzovať spôsobom, ktorý chráni ich zákazníkov a širokú verejnosť pred zneužitím.

Túto nezáväznú dohodu prijali Spojené štáty, Kanada, Japonsko a 7 štátov EÚ (Nemecko, Estónsko, Francúzsko, Taliansko, Poľsko, Česká republika), ako aj Nórsko a Spojené kráľovstvo.

• V Spojených štátoch sa spoločnosť Google krátko pred koncom roka dohodla na urovnaní hromadnej žaloby v hodnote 5 miliárd dolárov týkajúcej sa anonymného režimu v prehliadači Chrome. Spoločnosť Google bola obvinená z toho, že naďalej sleduje, zhromažďuje a identifikuje údaje o prehliadaní používateľov v reálnom čase, a to aj po otvorení nového anonymného okna.

Podľa Euractivu konkrétne podmienky dohody ešte nie sú zverejnené, ale očakáva sa, že formálna dohoda bude súdu predložená do 24. februára.

• Kalifornská agentúra na ochranu súkromia (CCPA) podporila legislatívny návrh, ktorý by od dodávateľov webových prehliadačov vyžadoval, aby zahrnuli funkciu, ktorá ľuďom umožní uplatňovať si svoje práva prostredníctvom preferenčných signálov „odhlásenia“.

CCPA poznamenáva, že mnoho prehliadačov v súčasnosti vyžaduje, aby si spotrebitelia nainštalovali doplnok tretej strany schopný prenášať signál. 

Prehliadače, ktoré natívne podporujú signály preferencií odhlásenia, v súčasnosti predstavujú menej ako 10 % globálneho trhu webových prehliadačov.

• Federálna obchodná komisia (FTC) koncom decembra navrhla nové limity pre spoločnosti, ktoré zhromažďujú údaje o deťoch mladších ako 13 rokov, a prísnejšie štandardy pre uchovávanie týchto informácií ako súčasť aktualizácie svojho zákona o ochrane súkromia detí (COPPA).
• Aj v Spojených štátoch hromadná žaloba obviňuje americkú zdravotnú poisťovňu Humana z neoprávneného použitia modelu umelej inteligencie na odopretie základnej rehabilitačnej starostlivosti starším ľuďom.