Právny prehľad č. 68 – február 2024.

Kontroly CNIL: aké sú priority pre rok 2024? ?

Tak ako každý rok, aj na začiatku roka 2024 CNIL zverejnila prehľad svojej doterajšej činnosti a priority na nasledujúce mesiace.

Znamená to neustále sa zvyšujúce kontroly, ktoré sa v určitých prípadoch zefektívnili zavedením zjednodušeného postupu.

Minulý rok sa kontroly dotkli rôznych sektorov, ako je reklama a online obchod, bezpečnosť, geolokácia vozidiel, práva zamestnancov a spracovanie zdravotných údajov.

CNIL sankcionovala nadnárodné spoločnosti aj malé a stredné podniky, ako aj verejné aj súkromné subjekty.

Zdá sa však, že Komisia si uvedomila dodatočné úsilie, ktoré musia tí, ktorí riadia malé organizácie, vynaložiť na dodržiavanie GDPR.

V štúdii o ekonomickom dopade GDPR zverejnenej 1. marca poznamenáva, že „GDPR je úmerne priaznivejšie pre veľkých ekonomických hráčov, ktorí majú viac zdrojov na venovanie dodržiavaniu predpisov“.

Z toho vyvodzuje závery, keď poznamenáva, že „regulátor musí tento trend aktívne kompenzovať náročnou politikou voči veľkým hráčom, a ešte viac voči veľmi veľkým hráčom, úmerne k rizikám, ktoré predstavujú, a zdrojom, ktoré majú k dispozícii.“

Ako sa teda uvádza aj v spoločnom vyhlásení CNIL a Úradu pre hospodársku súťaž z decembra 2023, CNIL už predpokladá a v budúcnosti bude predpokladať ešte viac asymetrický rozmer svojej regulačnej činnosti na digitálnych trhoch.v spojení s úplným pochopením obchodných modelov v prospech jednotlivcov a na ochranu ich základných práv.

Medzi opatreniami oznámenými tento rok sú, neprekvapivo, aj spisy týkajúce sa olympijských a paralympijských hier v roku 2024 a právo jednotlivcov na prístup k ich údajom.

Ohľadom olympijských hierCNIL má v úmysle overiť používanie bezpečnostných zariadení, a najmä používanie rozšírených kamier, QR kódov pre oblasti s obmedzeným prístupom a prístupových oprávnení.

Objem údajov a počet partnerov zapojených do podujatia tiež povedú Komisiu k overeniu používania údajov o vstupenkách, aby sa zabránilo podvodnému opätovnému použitiu údajov dotknutých osôb.

Treba poznamenať, že otázka používania rozpoznávania tváre orgánmi činnými v trestnom konaní je tiež zahrnutá medzi priority Európskeho výboru pre ochranu údajov (EDPB) v jeho pracovnom programe na roky 2023 – 2024.

Právo jednotlivcov na prístup k svojim údajom je témou koordinovanej činnosti EDPB na rok 2024 (pozri aj nižšie).

EDPB prijal v roku 2023 usmernenia k tejto téme s cieľom pomôcť prevádzkovateľom údajov zaviesť postupy prístupu, ktoré dopĺňajú postupy zverejnené CNIL.

CNIL sa zameria aj na údaje zhromaždené online od maloletých Overí sa, či sú zavedené mechanizmy kontroly veku, aké bezpečnostné opatrenia sú plánované a či je dodržaná zásada minimalizácie údajov.

Nakoniec sa bude skúmať vplyv dematerializácie pokladničných dokladov a využívania vernostných programov na práva jednotlivcov..

Nahradenie papierových potvrdeniek napríklad SMS správami alebo e-mailom zahŕňa zhromažďovanie ďalších údajov.

CNIL špecifikuje, že tieto údaje, rovnako ako informácie o nákupoch jednotlivcov, možno použiť na účely cielenej reklamy iba s predchádzajúcim súhlasom dotknutých osôb.

Napokon treba poznamenať, že CNIL sa môže prípadom zaoberať nezávisle od stanovených priorít na základe sťažnosti, publikácie v tlači alebo správy orgánu na ochranu údajov inej európskej krajiny.

 

    

• CNIL uložila 31. januára poskytovateľovi realitných služieb PAP pokutu vo výške 100 000 eur.

CNIL (Francúzsky úrad pre ochranu údajov) zistil nedostatky týkajúce sa doby uchovávania údajov, informovania jednotlivcov, riadenia vzťahov medzi PAP (osobný prístupový bod) a subdodávateľom a bezpečnosti údajov (uchovávanie hesiel v obyčajnom texte). Zistené bezpečnostné nedostatky vystavili údaje riziku kybernetických útokov a únikov.

• Dňa 31. januára tiež uložila spoločnosti FORIOU pokutu 310 000 eur za používanie údajov poskytnutých sprostredkovateľmi údajov na účely komerčného prieskumu bez toho, aby sa uistila, že dotknuté osoby platne súhlasili s kontaktovaním.

CNIL nám pripomína, že je zodpovednosťou spoločnosti používajúcej údaje zabezpečiť, aby dotknuté osoby vopred, v čase zhromažďovania, udelili platný súhlas.

Komisia poznamenala, že hoci spoločnosť uložila svojim poskytovateľom údajov v hornej časti siete určité zmluvné požiadavky, v dolnej časti siete sa nevykonávala žiadna účinná kontrola nad týmito požiadavkami.

• Štátna rada 30. januára usúdila, že automatické prenosy daňových údajov medzi Francúzskom a Spojenými štátmi podľa dohody FATCA neporušujú články 5 a 46 GDPR, pričom absencia rozhodnutia o primeranosti nebráni prenosom údajov „nevyhnutným z dôležitých dôvodov verejného záujmu“.

Asociácia náhodne stratených Američanov požiadala Štátnu radu o zrušenie rozhodnutia CNIL, ktorá dospela k záveru o zamietnutí jej sťažnosti.

Štátna rada usúdila, že CNIL dostatočne odôvodnila svoje rozhodnutie.

Treba poznamenať, že v tej istej veci dospel belgický úrad na ochranu údajov k odlišnému záveru a zakázal prenos daňových údajov náhodných belgických Američanov do Spojených štátov.

• Francúzsky startup Mistral, špecializujúci sa na vývoj umelej inteligencie, oznámil 26. februára strategické partnerstvo so spoločnosťou Microsoft.

Podľa novín Le Monde toto oznámenie vyvoláva v Bruseli napätie po intenzívnom lobistickom úsilí, najmä zo strany Francúzska, s cieľom uprednostniť európske startupy a obmedziť povinnosti, ktoré sa ich týkajú v budúcom nariadení o umelej inteligencii.

Poslanci Európskeho parlamentu za stranu Zelených zaslali Európskej komisii list, v ktorom nastolili otázky týkajúce sa potenciálnych konfliktov záujmov a problémov s transparentnosťou v súvislosti s lobovaním spoločnosti Mistral v súvislosti s týmto nariadením.

• V polovici januára zverejnila ANSSI tri príručky zamerané na „riadenie nápravy kybernetického incidentu“.

Tieto príručky pozostávajú z troch častí: strategickej, operačnej a technickej.

Agentúra poukazuje na to, že „ak je závažný incident čiastočne alebo nedostatočne napravený, jeho účinky sa môžu časom predĺžiť“.

„Tento vysoký potenciál destabilizácie si vyžaduje (...) odborné znalosti v oblasti obmedzenia týchto kybernetických útokov, opätovného získania kontroly nad napadnutým informačným systémom a obnovenia dostatočného prevádzkového stavu.“

Nápravné opatrenia sú hlavným rozmerom reakcie na kybernetické incidenty, spolu s vyšetrovaním a krízovým riadením.

• Po ôsmich mesiacoch experimentovania je digitálny vodičský preukaz od 14. februára k dispozícii všetkým, ktorí oň požiadajú.

Pomocou aplikácie preukazu totožnosti vo Francúzsku je tiež možné digitalizovať váš občiansky preukaz a použiť ho na určité úkony, ako je napríklad vydanie plnej moci.

 

Európske inštitúcie a orgány

• Dňa 28. februára EDPB spustila svoj „koordinovaný rámec pre vyšetrovania“ (CFE) na rok 2024.

Európske orgány na ochranu údajov (DPA) sa budú počas celého roka podieľať na tejto iniciatíve zameranej na implementáciu práva na prístup k údajom.

Na svojom plenárnom zasadnutí v októbri 2023 si EDPB vybral právo na prístup k údajom ako svoje tretie koordinované vykonávacie opatrenie, „pretože je jadrom ochrany údajov a je jedným z najčastejšie uplatňovaných práv na ochranu údajov a jedným z práv, na ktoré orgány na ochranu údajov dostávajú mnoho sťažností.“

• EDPB čoskoro vydá rozhodujúce stanovisko k obchodnému modelu „akceptuj alebo zaplať“, ktorý vyžaduje platbu za prístup k obsahu webových stránok pre návštevníkov, ktorí odmietajú súbory cookie.

Spoločnosť Meta prijala tento prístup v novembri 2023, čo viedlo holandský, nórsky a hamburský orgán na ochranu údajov k tomu, aby požiadali EDPB o prijatie záväzného stanoviska k zákonnosti tejto praxe.

Občianska spoločnosť sa obáva, že ak sa tento ekonomický model legitimizuje, spoločnosti vo všetkých priemyselných odvetviach budú nasledovať Metin príklad, čo by mohlo znamenať koniec skutočného súhlasu s používaním údajov.

28 mimovládnych organizácií zaslalo EDPB list, v ktorom ho naliehavo žiadajú o vydanie stanoviska, ktoré bude chrániť základné právo na ochranu údajov.

• Počas svojho plenárneho zasadnutia v polovici februára EDPB prijal stanovisko, ktoré objasňuje pojem hlavného sídla v kontexte „jednotného kontaktného miesta“.

Spoločnosti si nemôžu jednoducho vytvoriť hlavnú prevádzkareň „umiestnením tabule na dvere“: prevádzkareň musí byť miestom, kde sa prijímajú rozhodnutia o spracovaní, a ak sa tieto rozhodnutia prijímajú v zahraničí, nemôže existovať žiadna hlavná prevádzkareň: jednotné kontaktné miesto sa neuplatňuje. EDPB tiež prijal vyhlásenie, v ktorom vyzýva zákonodarcov EÚ, aby zabezpečili, že nariadenie o CSAM, zamerané na ochranu práv detí online, bude rešpektovať práva na súkromie a ochranu údajov. 

• Európsky parlament, a konkrétnejšie podvýbor pre obranu, bol koncom februára v stave vysokej pohotovosti po tom, čo sa v telefónoch dvoch jeho členov objavili stopy po hackerských útokoch, čo vyvolalo obavy z kybernetických útokov a zahraničného zasahovania v období pred júnovými voľbami do Európskeho parlamentu.

V decembri minulého roka Politico informoval, že kybernetická bezpečnosť inštitúcie „zatiaľ nedosiahla priemyselné štandardy“ a „nie je úplne v súlade s úrovňou hrozby“, ktorú predstavujú hackeri.

Tieto nové odhalenia nadväzujú na predchádzajúce incidenty, v ktorých sa ďalší členovia Európskeho parlamentu stali terčom špionážneho softvéru Pegasus a Predator.

• Európska komisia začala 19. februára vyšetrovanie práv detí na TikToku.

Má podozrenie najmä na porušenia týkajúce sa transparentnosti a povinností chrániť maloletých podľa nariadenia o digitálnych službách (DSA) vrátane návykového dizajnu, nedostatočného overenia veku a nedostatočných predvolených nastavení ochrany súkromia. DSA platí v EÚ od 17. februára.

• Členské štáty EÚ s podporou Európskej komisie a Agentúry Európskej únie pre kybernetickú bezpečnosť (ENISA) zverejnili 21. februára správu o kybernetickej bezpečnosti a odolnosti európskych komunikačných infraštruktúr a sietí.

Táto správa nadväzuje na posúdenie rizík spojených s týmito infraštruktúrami a sieťami zo strany členských štátov.

Hodnotenie identifikovalo množstvo hrozieb, ako sú napríklad stierače, útoky ransomvéru, útoky v dodávateľskom reťazci, fyzické útoky a sabotáže.

• Európsky súd pre ľudské práva (ESĽP) 13. februára rozhodol v prípade Podčasov o zhromažďovaní a prístupe Ruska k súkromnej komunikácii občanov.

Uprostred diskusie o údajných nebezpečenstvách šifrovanej komunikácie Súdny dvor jasne uviedol, že oslabenie šifrovania komunikácie pre všetkých občanov nie je opodstatnené.

Podľa E. Tuchtfelda „toto rozhodnutie vysiela dôležitý odkaz nielen ruskému štátu, ale aj iným európskym vládam, ktoré zvažujú inštaláciu „zadných vrátok“ do šifrovaných služieb na zasielanie správ, ako sú Telegram, Signal alebo WhatsApp“.

• ESĽP vo svojom rozsudku z 15. februára tiež usúdil, že systematické a nerozlišujúce uchovávanie telekomunikačných údajov používaných v Slovinsku proti bývalému sudcovi počas jeho súdneho procesu by sa malo považovať za porušenie jeho práva na súkromie.

V čase odsúdenia žiadateľa boli poskytovatelia komunikačných služieb povinní systematicky a bez rozdielu uchovávať telekomunikačné údaje počas 14 mesiacov.

Súd usúdil, že takáto ochrana nie je v medziach toho, čo je nevyhnutné v demokratickej spoločnosti.

Uchovávanie, prístup a spracovanie údajov v kontexte trestného konania proti žiadateľovi tak porušili jeho právo na rešpektovanie súkromného života.

 

Správy z členských krajín Európy.

• V Belgicku sprístupnil Belgický úrad pre ochranu údajov (APD) na svojej webovej stránke sekciu s názvom „Dokumenty pre zodpovednú osobu“

Zahŕňa to najmä súdne rozhodnutia a rozhodnutia APD týkajúce sa zodpovedných osôb, napríklad v témach, ako je konflikt záujmov a ochrana pred prepustením.

• Belgický úrad na ochranu údajov sa tiež domnieval, že bez ohľadu na stiahnutie sťažnosti má stále právomoc vyhlásiť porušenie práv dotknutej osoby a uložiť pokutu z dôvodu nedodržania GDPR.
• Taliansky úrad pre ochranu údajov (APD) 29. februára oznámil, že spoločnosti Enel Energia uložil pokutu vo výške viac ako 79 miliónov eur za závažné porušenia pri spracovaní osobných údajov mnohých používateľov v sektore elektrickej energie a plynu, ktoré sa vykonávalo na účely telemarketingu.
• APD tiež uložila obci Syrakúzy pokutu 5 000 eur za neposkytnutie kontaktných údajov zodpovednej osoby v súlade s článkom 37 GDPR.
• Grécky úrad pre ochranu údajov (DPA) udelil prevádzkovateľovi pokutu 5 000 eur, pretože jeho zodpovedná osoba (DPO) napriek niekoľkým upozorneniam neodpovedala na dotazník, ktorý mu úrad zaslal v rámci koordinovanej európskej akcie orgánov pre ochranu údajov v roku 2023.
• V Španielsku APD odmietol povoliť, aby sa povinnosti náležitej starostlivosti v oblasti boja proti praniu špinavých peňazí používali ako zámienka pre banku na nútenie sťažovateľa poskytnúť podrobnosti o pôvode jeho peňazí prostredníctvom nešifrovaných e-mailov.

Prevádzkovateľovi údajov uložila pokutu vo výške 2 500 000 eur.

• Dánsky úrad na ochranu údajov vo svojom piatom rozhodnutí týkajúcom sa Chromebooku zistil, že 53 obcí nezákonne zdieľalo osobné údaje študentov so spoločnosťou Google na účely vlastného vývoja spoločnosti Google, čím porušilo článok 6(1)(e) GDPR.
• V Spojenom kráľovstve uložila DPA britskému ministerstvu obrany pokutu 409 080 eur (350 000 libier šterlingov) za zverejnenie 265 e-mailových adries ľudí, ktorí sa snažili opustiť Afganistan po nástupe Talibanu k moci v roku 2021.
• Švajčiarsku federálnu spravodajskú službu (FIS) obviňuje časopis Republik, ktorý v polovici januára publikoval vyšetrovanie, v ktorom tvrdí, že FIS má prístup k e-mailom všetkých švajčiarskych občanov a že na základe zákona z roku 2016 masívne monitoruje ich komunikáciu.

Údaje by sa zhromažďovali priamo z komunikačných káblov prostredníctvom zariadení nainštalovaných v infraštruktúre poskytovateľov internetových služieb. SRC tieto obvinenia popiera (prostredníctvom listu AFCDP).

• Kybernetický útok na americkú spoločnosť viedol k zverejneniu citlivých informácií o švajčiarskom letectve na dark webe.

K útoku sa prihlásila hackerská skupina ALPHV, ktorá viedla k zverejneniu utajovaných dokumentov vrátane zmluvy v hodnote 5 miliónov dolárov medzi Švajčiarskom a spoločnosťou Ultra Intelligence & Communications, poskytovateľom šifrovacích a komunikačných technológií pre obranný sektor.

V júli 2023 zasiahol podobný útok švajčiarsku spoločnosť Xplain, po ktorom v novembri nasledoval hackerský útok na softvérovú spoločnosť Concevis, ktorá pracuje aj pre sektor obrany a daňovú správu.

 

• Bidenova administratíva prijala 28. februára výkonné nariadenie zamerané na ochranu citlivých osobných údajov Američanov pred zneužívaním určitými tretími krajinami („krajiny vzbudzujúce obavy“).

Tento dekrét oprávňuje generálneho prokurátora zabrániť rozsiahlemu prenosu osobných údajov Američanov do krajín, ktoré vyvolávajú obavy, a poskytuje záruky pre iné činnosti, ktoré by mohli týmto krajinám umožniť prístup k citlivým údajom Američanov.

Tieto údaje zahŕňajú najmä genomické, biometrické, zdravotné, geolokačné a finančné údaje.

• Americký Národný inštitút pre štandardy a technológie (NIST) zverejnil vo februári konkrétne opatrenia na integráciu bezpečnosti do každej fázy cyklu vývoja softvéru.

Sprievodca odporúča, aby výrobcovia uprednostnili sériu konkrétnych opatrení vrátane stanovenia základných bezpečnostných požiadaviek na integráciu softvéru s otvoreným zdrojovým kódom a rozšírenia monitorovania „údajov o pôvode“.

• Aj v Spojených štátoch Federálna obchodná komisia (FTC) práve zakázala spoločnosti Avast predávať údaje o prehliadaní svojich zákazníkov na reklamné účely.

Federálna obchodná komisia (FTC) vyšetrovala obvinenia, že spoločnosť Avast predávala údaje o prehliadaní, pričom tvrdila, že jej produkty blokujú online sledovanie. Spoločnosť Avast dostala pokutu 16,5 milióna dolárov.

Treba poznamenať, že český úrad pre ochranu údajov (DPA) uvalil na spoločnosť sankcie v apríli 2023 z rovnakých dôvodov.

• Revízie gruzínskeho zákona o ochrane údajov nadobudli účinnosť 1. marca.

Cieľom týchto zmien je zabezpečiť ochranu bližšiu ochrane podľa GDPR. 

Mobilní operátori a ich poskytovatelia SMS služieb majú teraz zakázané používať osobné údaje občanov na účely priameho marketingu bez ich predchádzajúceho súhlasu.

Okrem toho je teraz pre verejné inštitúcie a niektoré súkromné spoločnosti povinné vymenovať zodpovednú osobu.

• Hongkonský komisár pre ochranu osobných údajov (PDPC) vykonal od augusta 2023 do februára 2024 kontroly súladu v 28 miestnych organizáciách, pokiaľ ide o ich spracovanie osobných údajov v kontexte používania umelej inteligencie.

Cvičenie sa týkalo rôznych sektorov vrátane telekomunikácií, financií a poisťovníctva, kozmetických služieb, maloobchodu, dopravy, vzdelávania a vládnych ministerstiev.

PCPD nezistila žiadne porušenia, hoci poznamenala, že rastúci počet verejných aj súkromných organizácií nasadzuje umelú inteligenciu na zlepšenie svojej každodennej prevádzkovej efektívnosti.