Právny prehľad č. 61 – júl 2023.

API v centre zdieľania osobných údajov.

Rozhrania pre programovanie aplikácií, bežne nazývané „API“ podľa ich anglického názvu „application programming interface“ (rozhranie pre programovanie aplikácií), sa často používajú na uľahčenie zdieľania informácií medzi verejnými alebo súkromnými organizáciami.

Toto zdieľanie údajov podporuje zákonodarca, čo potvrdzuje aj európska stratégia digitálnej suverenity: jej cieľom je vytvoriť jednotný trh s údajmi „podporou zodpovedného prístupu, zdieľania a opätovného použitia v súlade s hodnotami Európskej únie, a najmä s ochranou osobných údajov“.

Dopĺňa európsku stratégiu pre umelú inteligenciu.

Ak API integrujú ochranu údajov už od fázy návrhu systému zdieľania, môžu poskytnúť priaznivý technický rámec v súlade s GDPR.

CNIL preto v odporúčaní prijatom 7. júla nabáda k ich používaniu.

Zvlášť zdôrazňuje dôležitosť úrovne bezpečnosti zodpovedajúcej rizikám opätovného použitia a zdieľania údajov obmedzeného na nevyhnutné minimum.

Odporúčanie sa zameriava na tri typy aktérov: držiteľov údajov, správcov API a opätovných používateľov údajov.

Držiteľ údajov je charakterizovaný tým, že kontroluje údaje technickým alebo organizačným spôsobom.

Správca API je organizácia zodpovedná za niektoré alebo všetky technické komponenty, na ktorých je založené zdieľanie údajov.

Nakoniec, opätovný používateľ údajov je akákoľvek organizácia, ktorá plánuje pristupovať k údajom alebo ich prijímať prostredníctvom API pre vlastné použitie.

CNIL (Francúzsky úrad na ochranu údajov) zdôrazňuje, že tá istá organizácia môže zastávať viacero úloh, napríklad keď prevádzkovateľ sám vyvíja API: je potom aj správcom API a musí dodržiavať odporúčania týkajúce sa oboch úloh. Preto je nevyhnutné identifikovať svoju konkrétnu úlohu pri používaní API.

Každá kategória je zameraná na opatrenia, ktoré jej umožňujú dosiahnuť požadovanú úroveň bezpečnosti a dodržiavať zásady ochrany údajov.

Zainteresované strany sa vyzývajú, aby spolupracovali pri uvádzaní týchto odporúčaní do praxe.                              

• Držitelia údajov budú musieť venovať osobitnú pozornosť informovaniu opätovných používateľov, presnosti a integrite údajov a bezpečnosti údajov (oddelenie a dostupnosť, autentifikácia, protokolovanie).
• Manažéri API sa zamerajú na dokumentáciu, minimalizáciu dát, uplatňovanie práv týkajúcich sa zdieľania dát a bezpečnosť (komunikácia, bezpečnosť informačných systémov, logovanie).
• Opakovaní používatelia majú špecifické povinnosti týkajúce sa informovania dotknutých osôb, minimalizácie údajov a tiež bezpečnosti (riadenie rizík, zabezpečenie kľúčov, protokolovanie).

Odporúčanie sa zaoberá konkrétnymi prípadmi zdieľania údajov, napríklad medzi sociálnymi sieťami a výskumníkmi, alebo sprístupnením vládnych údajov.

Kvalifikácia rôznych aktérov neprejudikuje ich postavenie prevádzkovateľa alebo spracovateľa údajov v zmysle GDPR.

Možno však vyvodiť určité usmernenia: držiteľ údajov bude vo všeobecnosti zodpovedný za spracovanie údajov, pokiaľ slobodne rozhodol o účeloch a prostriedkoch spracovania alebo ak bol zo zákona nútený ho vykonať.

Opätovný používateľ bude často „príjemcom“ v zmysle GDPR.

Správca API bude zo svojej strany konať ako subdodávateľ, teda v mene a na základe pokynov držiteľa údajov a/alebo opätovného používateľa.

Odporúčania CNIL by mali byť čoskoro doplnené vítaným zverejnením praktických prípadov na webovej stránke Komisie.

 

A tiež

• CNIL 27. júla zverejnila výzvu na predkladanie príspevkov týkajúcich sa jej práce na umelej inteligencii.

Pri tejto príležitosti poskytuje úvodné informácie o pokroku svojej práce po zverejnení akčného plánu pre umelú inteligenciu 16. mája a vyhlasuje výzvu na predkladanie príspevkov, ktoré by podnietili jej úvahy, ešte pred prvými publikáciami plánovanými na jeseň.

• CNIL tiež navrhuje nový „pieskovisko“ na podporu troch projektov využívajúcich umelú inteligenciu (AI) v prospech verejných služieb.

Výzva na predkladanie projektov je otvorená do 30. septembra 2023.

• V rámci svojho akčného plánu pre mobilné aplikácie CNIL zverejňuje a predkladá na verejnú konzultáciu návrh odporúčania, ktorého cieľom je objasniť povinnosti rôznych aktérov v tomto ekosystéme, uľahčiť ich dodržiavanie a podporiť implementáciu osvedčených postupov.
• Viac ako šesťdesiat európskych mimovládnych organizácií napísalo 26. júla list európskemu komisárovi Thierrymu Bretonovi so žiadosťou o objasnenie jeho nedávnych komentárov, v ktorých naznačoval, že blokovanie online platforiem by mohlo byť uplatniteľným a odôvodneným opatrením podľa zákona o digitálnych službách (DSA).

Tieto komentáre nasledovali po vyjadreniach prezidenta republiky, v ktorých spomenul možnosť blokovania prístupu k platformám sociálnych médií v súvislosti s narušením verejného poriadku.

Mimovládne organizácie sa domnievajú, že tieto komentáre by mohli viesť k svojvoľnému blokovaniu online platforiem vládami na celom svete.

Žiadajú Európsku komisiu, aby zabezpečila, že implementácia a uplatňovanie DSA členskými štátmi neviedlo k príliš širokému výkladu týchto opatrení, čo by bolo v rozpore s jeho regulačnými cieľmi a porušovalo by Chartu základných práv EÚ.

• Štátna rada 26. júna rozhodla, že právo na opravu možno použiť na opravu údajov po zmene totožnosti, ale nie spätne na opravu dokumentov pred zmenou totožnosti: tieto predchádzajúce údaje v skutočnosti nemožno považovať za nepresné.
• Národné zhromaždenie 28. júna jednomyseľne schválilo „zákon o vytvorení digitálnej väčšiny a boji proti online nenávisti“.

Projekt bol tiež jednomyseľne prijatý Senátom 29. júna 2023.

Text zavádza digitálnu plnoletosť na úrovni 15 rokov, čo je vek, od ktorého maloletá osoba už nebude potrebovať súhlas rodičov na registráciu na sociálnej sieti.

 

Európske inštitúcie a orgány

• Európska komisia 10. júla prijala rozhodnutie o primeranosti „rámca ochrany údajov medzi EÚ a USA“, v ktorom dospela k záveru, že ochrana, ktorú Spojené štáty zaručujú prenášaným údajom, je porovnateľná s ochranou ponúkanou v EÚ.

Nový rámec nadobudol účinnosť 11. júla.

Podľa Komisie americké záväzky zavádzajú „nové záväzné záruky na riešenie všetkých obáv, ktoré vzniesol Európsky súdny dvor, najmä obmedzením prístupu amerických spravodajských služieb k údajom EÚ na to, čo je nevyhnutné a primerané, a zriadením súdu na ochranu údajov“.

Nie je prekvapením, že Max Schrems usúdil, že nový transatlantický rámec pre ochranu osobných údajov je do značnej miery kópiou „štítu na ochranu osobných údajov“ a že toto rozhodnutie napadne na súde.

Európsky výbor pre ochranu údajov (EDPB) zverejnil informačnú poznámku, ktorá má usmerniť dotknuté spoločnosti a jednotlivcov.

• Európska komisia 4. júla zverejnila svoj „Návrh nariadenia, ktorým sa stanovujú dodatočné procesné pravidlá pre uplatňovanie GDPR“, ktorého cieľom je zabezpečiť konzistentné uplatňovanie nariadenia v cezhraničných prípadoch.

V správe na Twitteri EDPB privítal rýchlu reakciu Komisie na jeho žiadosti o objasnenie.

Navrhované nariadenie však kritizujú niektoré mimovládne organizácie, ktoré poukazujú na riziko obmedzenia účasti občanov na sťažnostiach, ktoré podávajú orgánom na ochranu údajov v prípadoch zneužitia ich údajov.

• Pripojené zariadenia, ako sú bezpečnostné kamery, chladničky a inteligentné televízory, by čoskoro mohli ponúknuť lepšiu ochranu pred kybernetickými útokmi.

Členské štáty EÚ sa nedávno dohodli na spoločnom stanovisku týkajúce sa bezpečnostných požiadaviek na spomínané digitálne produkty.

Navrhovaný zákon o kybernetickej odolnosti by zaviedol povinné požiadavky na návrh, vývoj a výrobu zariadení.

• V rozsudku zo 4. júla 2023 zaujal Súdny dvor Európskej únie stanovisko k sporu medzi spoločnosťou Meta a nemeckým orgánom hospodárskej súťaže.

Súdny dvor EÚ rozhodol, že orgán hospodárskej súťaže môže konštatovať porušenie GDPR a bez toho, aby nahradil orgán na ochranu údajov, má naďalej možnosť vyvodiť vlastné závery z hľadiska uplatňovania práva hospodárskej súťaže.

Súdny dvor EÚ tiež poznamenáva, že Facebook pravdepodobne spracúva „citlivé“ údaje z aktivity používateľov bez toho, aby ich používateľ nevyhnutne chcel zverejniť, čo vylučuje výnimku zo súhlasu.

Súd tiež vylúčil odvolanie sa spoločnosti Meta na nevyhnutnosť plnenia zmluvy a oprávnený záujem na odôvodnenie personalizácie obsahu.

Napokon poznamenáva, že dominantné postavenie Facebooku na trhu sociálnych sietí vyvoláva obavy o platnosť súhlasu a že je na prevádzkovateľovi, aby preukázal, že súhlas bol skutočne udelený slobodne.

Spoločnosť Meta 1. augusta oznámila, že má v úmysle zmeniť právny základ používaný pre svoju cielenú reklamu v Európe: spoločnosť bude žiadať o súhlas používateľov.

Táto zmena je priamym dôsledkom rozhodnutí EDPB a vnútroštátnych a európskych súdnych orgánov.

• V kontexte diskusií o návrhu európskeho nariadenia o slobode médií 80 organizácií občianskej spoločnosti, mediálnych organizácií, vydavateľov a vysielateľov, ako aj odborových zväzov, vyzýva Európsky parlament, aby bez výnimky zakázal nasadzovanie špionážneho softvéru proti novinárom.
• 3. júla napísali skupiny občianskej spoločnosti a internetoví experti komisárom Jourovej a Reyndersovi list, v ktorom vyjadrili hlboké znepokojenie nad návrhom zákona o ochrane údajov a digitálnych informácií (DPDI) britskej vlády, ktorý by zo Spojeného kráľovstva urobil „deravý ventil“ a ohrozil by práva európskych občanov na ochranu údajov.

 

Správy z členských krajín Európy.

• Belgický úrad na ochranu údajov (APD) usúdil, že združenie farmaceutov tým, že na dobu neurčitú uchováva údaje týkajúce sa disciplinárnych sankcií uložených podľa starého nariadenia, porušuje okrem iného zásady zákonnosti, obmedzenia účelu, minimalizácie údajov, presnosti a obmedzenia uchovávania.

Združenie dostalo pokutu 30 000 eur.

• Podľa belgického úradu pre ochranu údajov sa na prevádzkovateľa údajov so sídlom v Spojených štátoch, ktorého činnosť zahŕňa organizovanie konferencií v Európe, vzťahuje GDPR a musí okrem iných povinností vymenovať zástupcu v Belgicku.
• Lotyšský úrad na ochranu údajov (APD) usúdil, že použitie jedinečného osobného identifikátora nebolo dostatočné na jasnú identifikáciu dotknutej osoby a na zabránenie nezákonnému zverejneniu osobitných kategórií údajov zo strany poskytovateľa zdravotnej starostlivosti vnútroštátneho charakteru.

Použitie dodatočných kritérií, ako napríklad meno dotknutej osoby, bolo nevyhnutné.

• Španielsky úrad na ochranu údajov (APD) udelil pokutu 10 000 eur bezpečnostnému strážnikovi za zachytávanie záberov z väzenského kamerového systému CCTV a ich šírenie prostredníctvom aplikácie WhatsApp, čo je v rozpore s článkom 6 GDPR.
• Taliansky úrad pre ochranu údajov (APD) vo svojom rozhodnutí z 22. júna udelil talianskej diaľničnej spoločnosti pokutu vo výške jedného milióna eur za to, že neidentifikovala svoju úlohu prevádzkovateľa údajov v súvislosti s využívaním služieb cashback.
• Islandský úrad na ochranu údajov (APD) udelil Úradu národného lekárskeho vyšetrovateľa pokutu približne 82 000 eur za viacnásobné porušenia GDPR po narušení bezpečnosti jeho webovej stránky Heilsuvera, ktorá ponúka online systém zdravotnej starostlivosti a portál na predpis liekov.
• Po audite štyroch spoločností, ktoré používali Google Analytics na svojich webových stránkach, švédsky úrad na ochranu údajov nariadil týmto spoločnostiam, aby tento nástroj prestali používať.

Dve zo spoločností dostali administratívnu pokutu, zatiaľ čo ďalšia dobrovoľne prestala nástroj používať.

Audity boli vykonané na základe sťažností organizácie noyb, ktorá obvinila spoločnosti z nelegálneho prenosu osobných údajov do Spojených štátov v rozpore s európskou legislatívou.

• V nadväznosti na vyššie uvedené rozhodnutie Súdneho dvora EÚ nórsky úrad na ochranu údajov vyhlásil behaviorálnu reklamu na Facebooku a Instagrame za nezákonnú.

Počas nasledujúcich troch mesiacov alebo kým spoločnosť sociálnych médií nepreukáže súlad s nórskym právom, už nesmie tento prístup používať.

 

• V polovici júla Biely dom predstavil predbežné opatrenia vo forme dobrovoľných záväzkov pre „bezpečný, chránený a transparentný vývoj a používanie umelej inteligencie“.

Spoločnosti Amazon, Anthropic, Google, Inflection, Meta, Microsoft a OpenAI sa dohodli, že budú uprednostňovať výskum spoločenských rizík, ktoré predstavujú systémy umelej inteligencie, a že budú podporovať odhaľovanie a hlásenie problémov a zraniteľností.

Podľa niektorých akademických expertov však tieto dohody zďaleka nie sú postačujúce.

„Spojené štáty naďalej ponúkajú dobrovoľné opatrenia, zatiaľ čo Európska únia sa chystá prijať najkomplexnejšiu legislatívu v oblasti umelej inteligencie, akú sme doteraz videli,“ povedala Brandie Nonnecke, zakladajúca riaditeľka Citris Policy Lab na Univerzite v Berkeley.

• Medzitým Federálna obchodná komisia (FTC) vyšetruje OpenAI ohľadom fungovania ChatGPT, pričom sa podrobne zaoberá jej finančnými príjmami, spôsobom trénovania modelov a spracovania údajov, bezpečnostnými rizikami a postupmi, generovaním obsahu o jednotlivcoch, externými útokmi na manipuláciu s LLM („prompt injections“) a ochranou osobných údajov.
• Spoločnosť OpenAI ukončila podporu svojho nástroja na rozlišovanie medzi textom generovaným človekom a textom generovaným umelou inteligenciou: „Od 20. júla 2023 už klasifikátor umelej inteligencie nie je k dispozícii z dôvodu nízkej miery presnosti.“ Spoločnosť pokračuje vo výskume s cieľom vyvinúť efektívnejší nástroj.
• Spoločnosť Amazon súhlasila so zaplatením viac ako 30 miliónov dolárov na urovnanie dvoch žalôb, ktoré podala Federálna obchodná komisia (FTC) za porušenie súkromia používateľov vrátane detí prostredníctvom hlasového asistenta Alexa a zvončekových kamier Ring.

Amazon bol obvinený z toho, že niekoľko rokov bez súhlasu a napriek žiadostiam spotrebiteľov o vymazanie týchto údajov uchovával videozáznamy z Ringu a hlasové nahrávky Alexy spolu s pridruženými geolokačnými údajmi.

• Singapurský úrad pre rozvoj médií Infocomm oznámil partnerstvo so spoločnosťou Google na podporu iniciatívy „technologického sandboxu“.

Táto iniciatíva pomôže spoločnostiam „chrániť súkromie používateľov a poskytnúť im nástroje, ktoré im umožnia naďalej pristupovať k údajom bez súborov cookie tretích strán“.

Partnerstvo IMDA-Google je otvorené pre všetky spoločnosti so sídlom v Singapure.

• Juhoafrický regulačný orgán pre informácie vydal 3. júla Ministerstvu spravodlivosti a ústavného rozvoja oznámenie o porušení predpisov a administratívnu pokutu vo výške 5 miliónov randov (približne 240 000 eur) za nedodržiavanie zákona o ochrane osobných údajov (POPIA).

Regulačný orgán vydal v máji súdny príkaz, v ktorom požiadal ministerstvo o obnovenie určitých licencií v oblasti IT bezpečnosti (antivírusový program, ochrana pred vniknutím, SIEM) a o začatie disciplinárneho konania proti dotknutým úradníkom.

• Vo Vietname nadobudol 1. júla účinnosť dekrét o ochrane osobných údajov.

Predovšetkým sa v ňom stanovuje vykonávanie posúdení vplyvu prenosov údajov a vymenovanie zodpovednej osoby pre ochranu údajov na účely spracovania citlivých údajov.

• Dcérske spoločnosti Meta, Onavo a Facebook Israel, dostali 26. júla v Austrálii pokutu 20 miliónov austrálskych dolárov za to, že dostatočne neupozornili používateľov VPN, že ich údaje budú zhromažďované na komerčné účely.

Sankcia uvalená austrálskym Úradom pre hospodársku súťaž a ochranu spotrebiteľa (ACCC) je najväčšia, aká bola kedy v Austrálii uvalená v oblasti ochrany súkromia.