Ochrana údajov v plnom prúde

Právny prehľad č. 20 – 10. februára 2020

Toto si pamätáme z prvých týždňov tohto nového roka, s početnými debatami pri príležitosti významných udalostí:

• Medzinárodný deň ochrany údajov, 28. januára
• Medzinárodná konferencia o ochrane údajov, ktorú minulý týždeň v Bruseli zorganizoval akademický sektor, a
• Medzinárodné fórum kybernetickej bezpečnosti v Lille v posledných januárových dňoch.

Február nezostane bokom, keďže sa v Paríži uskutoční konferencia o „intenzívnej ochrane údajov“, ktorú organizuje Medzinárodná asociácia úradníkov pre ochranu údajov (IAPP).

Spomedzi mnohých prerokovaných tém vynikajú dve: zintenzívnenie debát o rozpoznávaní tváre a špecifická situácia malých a stredných podnikov (VMP) a malých a stredných podnikov (MSP) v súvislosti s GDPR.

Rozpoznávanie tváre je spochybnené

To, čo koncom januára zapálilo poistku, bola hypotéza, ktorú v bielej knihe predložila Európska komisia, o moratórium o rozpoznávaní tvárí na verejných miestach.

Tento dokument v štádiu návrhu nebol určený na distribúciu a Komisia odvtedy oznámila, že sa vzdáva možnosti moratória a uprednostňuje iné možnosti regulácie.

Svoju prednášku o umelej inteligencii predstaví 19. februára.

Myšlienka prísnejšej regulácie alebo dokonca zákazu automatického rozpoznávania osôb na určitých miestach, si razí cestu medzi regulačné orgány, ako aj do súkromného a verejného sektora a dokonca aj za hranicami Európy.

K tejto téme sa vyjadrili okrem iného aj Európsky dozorný úradník pre ochranu údajov (EDPS) a komisár Rady Európy pre ochranu údajov.

Európsky výbor pre ochranu údajov (EDPB) sa tejto problematike venuje aj vo svojich najnovších usmerneniach prijatých koncom januára.

Stále viac miest, ako napríklad San Francisco a Cambridge, zakázalo túto technológiu vo svojich verejných priestoroch.

Potenciálne využitie údajov vytvára takú neistotu, že aj technologickí giganti ako Microsoft volajú po väčšej jasnosti.

Medzi predloženými argumentmi zdôrazňujeme najmä riziká diskriminácie na základe etnického pôvodu a iných predsudkov, čo vedie k príliš veľkému počtu „falošne pozitívnych výsledkov“.

Perspektíva verejného priestoru pod úplným dohľadom vyvoláva otázky aj vzhľadom na súčasné možnosti zberu údajov: máme na mysli databázu Clearview, spoločnosť, ktorá ukladá tváre dostupné na všetkých sociálnych sieťach, aby ich predávala orgánom činným v trestnom konaní v Spojených štátoch, a ktorá sa začiatkom tohto roka dostala na titulné stránky novín.

Za zmienku stojí aj medzinárodný rozmer problému.

Dôkazom toho je aj nedávna parlamentná otázka na európskej úrovni týkajúca sa projektu „Bezpečné mesto“ vyvinutého v Srbsku, založeného na čínskej technológii rozpoznávania tváre. 

Situácia mikropodnikov a malých a stredných podnikov

Diskusie, ktoré sa konali počas rôznych podujatí v januári, zdôraznili hlavné výzvy, ktorým čelia (veľmi) malé a stredné podniky.

Ak predstavujú najväčšiu časť európskej ekonomiky, sú najviac znevýhodnení pri riešení otázok bezpečnosti ich IT platformy, používania cloudu, outsourcingu a používania nástrojov sebahodnotenia (auditov).

Zoči-voči týmto otázkam, niekoľko iniciatív uzreli svetlo sveta. 

Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA) spustila 28. januára online platformu, ktorá má pomôcť podnikom, najmä malým a stredným podnikom, zabezpečiť ich údaje.

Existujú aj dve iniciatívy zamerané na pomoc vývojárom webových stránok: príručka CNIL a iniciatíva organizácie EDRI, ktorých cieľom je podporiť vývoj stránok v súlade s GDPR.

Hoci výber bezpečného (a ideálne európskeho) cloudu zostáva zložitý, stojí za zmienku úsilie európskych regulačných orgánov v tomto smere. Napríklad spoločnosť Microsoft nedávno pod tlakom EDPS a Holandska upravila zmluvné podmienky balíka Office 365, aby ich zosúladila s GDPR.

A tiež:

Vo Francúzsku:

Ako bolo oznámené, CNIL zverejnila 14. januára 2020 návrh odporúčania týkajúceho sapoužívanie súborov cookie a iných sledovacích nástrojov.

Jeho cieľom je objasniť podmienky na získanie súhlasu a obsahuje konkrétne príklady oznámení pre používateľov internetu. Text je otvorený na konzultáciu do 25. februára.

V Európe:

Tam Odchod Spojeného kráľovstva z Európskej únie bude mať dôsledky na prenos údajov.

Napriek tomu bude žiadna zmena počas roka 2020, prechodný rok, počas ktorého Európska komisia posúdi úroveň ochrany ponúkanú Spojeným kráľovstvom s cieľom prijať prípadné rozhodnutie o primeranosti. 

Tlačové správy od ICO (britského dozorného orgánu) a CNIL tieto prvky špecifikujú.

Medzinárodné:

• SPOJENÉ ŠTÁTY Po nadobudnutí účinnosti začiatkom roka 2020 Kalifornský zákon o ochrane súkromia spotrebiteľov, je rad na štáte Washington, aby pripravil zákon o ochrane súkromia.

• Indonézia : a zákon o ochrane údajov bol predložený parlamentu 28. januára. Jeho najnovšia verzia zo 6. decembra 2019, silne inšpirovaná GDPR, sa vzťahuje na verejný aj súkromný sektor.

Pripomíname, že zoznam krajín, ktorých zákony Európska únia považuje za primerané, a tým uľahčuje prenos údajov do týchto krajín, je k dispozícii tu.

• Andorra,
• Argentína,
• Kanada (obchodné organizácie),
• Faerské ostrovy,
• Guernsey,
• Izrael,
• Ostrov Man,
• Japonsko,
• Jersey,
• Nový Zéland,
• Švajčiarsko,
• Uruguaj a
• Spojené štáty americké (obmedzené na rámec štítu na ochranu osobných údajov)

Anne Christine Lacoste

Anne Christine Lacoste, partnerka v spoločnosti Olivier Weber Avocat, je právnička špecializujúca sa na právo týkajúce sa údajov; bola vedúcou oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.