Právny prehľad č. 81 – marec 2025. 

Porušenia údajov: aké orgány činné v trestnom konaní a aké sankcie?

Kto v poslednej dobe nedostal e-mail od svojho poskytovateľa telekomunikačných služieb alebo od mimovládnej organizácie, ktorej mesačne prispieva, v ktorom ho informujú o tom, že jeho kontaktné údaje, identifikátory a niekedy aj bankové údaje boli ohrozené?

V čase, keď sa množia úniky údajov, sa ochrana IT systémov stáva pre spoločnosti hlavným problémom.

Od nadobudnutia účinnosti GDPR a smernice NIS2 je bezpečnosť spracovania údajov prísne regulovaná a porušenia sú pre prevádzkovateľov údajov vystavené vysokým sankciám.

Medzi povinnosťami by sme mali spomenúť povinnosť informovať CNIL a dotknuté osoby o porušení za určitých podmienok, napraviť porušenie a prijať všetky užitočné opatrenia na zmiernenie jeho následkov.

CNIL má rozsiahle vyšetrovacie právomoci a jej poslaním je podporovať, ale aj sankcionovať prevádzkovateľov údajov, ak je príčinou úniku údajov narušenie bezpečnosti.

Komisia v posledných rokoch uložila niekoľko sankcií:

• Spoločnosť Bouygues Telecom dostala v roku 2017 pokutu 250 000 eur z dôvodu nedostatočného zabezpečenia svojej zákazníckej stránky B&You, ktorá umožňovala prístup k zmluvám 2 miliónov zákazníkov prostredníctvom úpravy URL adresy.
• V roku 2016 dostal Uber pokutu 400 000 eur za narušenie bezpečnosti, ktoré ohrozilo 57 miliónov účtov, a za to, že o tom neinformoval CNIL v zákonných lehotách.
• Nedávno spoločnosť Dedalus Biologie zverejnila zdravotné údaje 500 000 pacientov kvôli nesprávnej konfigurácii servera subdodávateľom a CNIL jej udelila pokutu 1,5 milióna eur.
• Nakoniec, vlani v októbri, bola spoločnosť Ledger, ktorá sa zaoberá bezpečnosťou kryptomien, pokutovaná sumou 750 000 eur za to, že dostatočne nechránila údaje svojich zákazníkov. Spoločnosť v roku 2020 utrpela – a mlčala – niekoľko únikov osobných údajov, ktoré ovplyvnili mnohých zákazníkov a potenciálnych zákazníkov.

Zdá sa však, že Komisia v súčasnosti uprednostňuje podporu pred sankciami.a na svojej webovej stránke zverejňuje množstvo odporúčaní pre prevádzkovateľov údajov.

Začiatkom roka reagovala na rozsiahle úniky údajov, ktoré v roku 2024 postihli milióny ľudí, a navrhla opatrenia na posilnenie bezpečnosti s cieľom riešiť riziká útoku.

CNIL trvá na dodržiavaní interných firemných postupov, ako aj na preventívnych opatreniach v prípade subdodávateľských zmlúv.

Inde v Európe, Mnohé spoločnosti dostávajú pokuty od niekoľkých tisíc do niekoľko stotisíc eur napríklad za to, že „zabudli“ odobrať prístupové práva k počítačovému systému bývalých zamestnancov, zle navrhujú bankovú aplikáciu alebo nakonfigurujú webovú stránku, omylom odošlú SIM kartu nesprávnemu zákazníkovi, stiahnu súbor zákazníka cez WhatsApp alebo dostatočne nekontrolujú praktiky subdodávateľa.

Na nadnárodnej úrovniSúdny dvor Európskej únie tiež poskytuje objasnenia, najmä pokiaľ ide o odškodnenie obetí.

Ak je od osoby požadované preukázať existenciu ujmy spôsobenej porušením ochrany údajov, táto ujma nesmie dosiahnuť určitý stupeň závažnosti (vec C-300/21, vec C-590/22).

Obava osoby z toho, že jej osobné údaje boli zverejnené tretím stranám, teda môže viesť k právu na odškodnenie, ak osoba preukáže svoj strach, a to aj s jeho negatívnymi dôsledkami (vec C 340/21, vec C 687/21, vec C-590/22).

Súdny dvor EÚ tiež rozhodol, že náhrada morálnej ujmy spôsobenej krádežou osobných údajov sa neobmedzuje len na prípady, keď sa preukáže, že skutočne viedla ku krádeži identity.

Nahraditeľná škoda môže teda existovať bez toho, aby bola preukázaná krádež identity. (Vec C 182/22 a C 189/22).

S rozvojom kolektívnych žalôb sa spoločnosti, ktoré nepodstupujú riziká spojené s únikom údajov, vážne vystavujú nielen sankciám zo strany CNIL, ale aj právnym krokom zo strany jednotlivcov.

 

 

Národné zhromaždenie vo štvrtok večer 20. marca hlasovalo za zachovanie dôvernosti služieb šifrovaných správ..

Opatrenie stanovilo možnosť vyžadovať od týchto platforiem na odosielanie správ (Signal, WhatsApp atď.) oznamovanie komunikácie obchodníkov s ľuďmi spravodajským službám.

„Poslanci parlamentu minulý týždeň v právnom výbore stiahli toto opatrenie, ktoré zjednotilo mnohých aktérov a odborníkov v oblasti kybernetickej bezpečnosti. Podľa ich názoru existuje príliš veľké riziko vytvorenia zraniteľnosti, ktorá by ohrozila konverzácie všetkých používateľov týchto platforiem.“

Aby sa dotknutí odborníci „mohli pripraviť na nadchádzajúce konzultácie alebo diskusie“, CNIL 27. marca predstavila pracovný program a usmernenia, ktoré chce prijať v roku 2025.

Medzi preberanými témami sú praktické príručky o umelej inteligencii, návrhy referenčných dokumentov týkajúcich sa subdodávateľov, zdravotníctva, bankového sektora, doby uchovávania údajov v oblasti marketingu a ľudských zdrojov, tri návrhy odporúčaní týkajúcich sa súhlasu s „viacerými zariadeniami“, pixelov v e-mailoch a ekonomiky seniorov; nakoniec bude CNIL pokračovať vo svojej práci na palubných kamerách a politickej agitácii.

Rozhodnutie CNIL, ktorým sa Európskej agentúre pre lieky za určitých podmienok povoľuje prístup k výpisom údajov zo SNDS v rámci projektu DARWIN (Sieť pre analýzu údajov a vyšetrovanie v reálnom svete) EÚ, bola publikovaná na Légifrance.

Komisia kritizuje výber poskytovateľa hostingu podliehajúceho extrateritoriálnemu právu, ktoré ho vystavuje riziku oznámenia citlivých údajov zahraničným mocnostiam, no napriek tomu povoľuje spracovanie, a to na obdobie obmedzené na tri roky pre vzorku údajov a jeden rok po zverejnení štúdie.

Francúzsky úrad pre ochranu hospodárskej súťaže vo svojom rozhodnutí z 28. marca udelil spoločnosti Apple pokutu 150 miliónov eur. „za zneužívanie dominantného postavenia v sektore distribúcie mobilných aplikácií pre zariadenia so systémom iOS a iPadOS.“

Toto opatrenie sa konkrétne zameriava na transparentnosť sledovania aplikácií (ATT) spoločnosti Apple, ktorá používateľom umožňuje jednoducho si vybrať, či chcú povoliť sledovanie tretími stranami alebo nie.

Úrad sa domnieva, že samotný rámec „nie je zásadne problematický“, ale poukazuje na to, že ATT nadmerne komplikuje používanie aplikácií tretích strán v prostredí iOS tým, že vyžaduje viacero vyskakovacích okien so súhlasom.

Žiadosť by penalizovala najmä menších vydavateľov, „ktorí sú pri financovaní svojho podnikania do značnej miery závislí od zhromažďovania údajov tretími stranami“.

V rozhodnutí z 1. apríla Štátna rada rozhodla o blokovaní TikToku v Novej Kaledónii počas nepokojov minulú jar.

Hoci sa domnieva, že v tomto konkrétnom prípade neboli splnené podmienky platnosti, napriek tomu stanovuje podmienky, za ktorých by takéto blokovanie sociálnej siete mohlo byť zákonné, pričom usudzuje, že správny orgán „môže (...) sa k takémuto [blokovaciemu] opatreniu uchýliť za výnimočných okolností, ak je to nevyhnutné na splnenie potrieb daného okamihu“.

Opatrenie by malo byť:

• Nevyhnutné pri riešení obzvlášť závažných udalostí;
• Bez akýchkoľvek technických prostriedkov umožňujúcich okamžitú implementáciu alternatívnych opatrení;
• A prijaté „počas obmedzeného obdobia potrebného na výskum a implementáciu týchto alternatívnych opatrení“.

 

V rozhodnutí z 26. marca sociálna komora Kasačného súdu potvrdila právo zamestnankyne získať čiastočnú kópiu výplatných pások niektorých jej kolegov s cieľom preukázať nespravodlivé zaobchádzanie. v jeho kariérnom postupe.

Súd opakuje zásadu minimalizácie údajov a špecifikuje, že je zodpovednosťou sudcu v konaní „zabezpečiť, aby informácie, ktoré podľa neho musia zostať viditeľné, boli primerané, relevantné a prísne obmedzené na to, čo je nevyhnutné pre porovnanie medzi zamestnancami, berúc do úvahy údajný dôvod (dôvody) diskriminácie“.

 

Európske inštitúcie a orgány

Politico v článku z 3. apríla oznámilo, že Európska komisia plánuje v nasledujúcich týždňoch predložiť návrh na zjednodušenie GDPR..

Podľa publikácie je to „jedna z priorít predsedníčky exekutívy EÚ Ursuly von der Leyenovej, ktorá sa snaží o to, aby boli spoločnosti na starom kontinente konkurencieschopnejšie v porovnaní s ich súpermi v Spojených štátoch, Číne a inde“.

Komisia 1. apríla predstavila svoj plán pre „novú európsku stratégiu vnútornej bezpečnosti“ s názvom ProtectEU, ktorej cieľom je najmä rozšíriť právomoci Europolu a Frontexu.

Komisia vykoná posúdenie vplyvu pravidiel uchovávania údajov na úrovni EÚ a pripraví technologický plán pre šifrovanie „s cieľom identifikovať a posúdiť technologické riešenia, ktoré by umožnili orgánom presadzovania práva legálny prístup k šifrovaným údajom a zároveň chrániť kybernetickú bezpečnosť a základné práva“.

Generálny advokát Súdneho dvora Európskej únie (SDEÚ) vo svojich záveroch z 27. marca uviedol, že spoločnosť WhatsApp, ktorá je priamo dotknutá, môže napadnúť záväzné rozhodnutie EDPB pred Európskym súdom podľa článku 263 ZFEÚ.

Pripomíname, že po tomto rozhodnutí EDPB z 28. júla 2021 v rámci mechanizmu konzistentnosti GDPR prijala írska komisia pre ochranu údajov rozhodnutie, ktorým zistila porušenia, uložila nápravné opatrenia a správne pokuty v kumulatívnej výške 225 miliónov eur.

Spoločnosť WhatsApp napadla rozhodnutie EDPB na Európskom súdnom dvore a súbežne aj konečné rozhodnutie írskej komisie pre ochranu osobných údajov na írskom súde.

Valné zhromaždenie v ten istý deň tiež dospelo k záveru, že zasielanie denného bulletinu predstavuje „priamy marketing“ pre „podobné produkty alebo služby“ v zmysle smernice o súkromí a elektronických komunikáciách, a dospelo k záveru, že ak je spracovanie osobných údajov zákonné na základe tohto ustanovenia, článok 6 GDPR sa neuplatňuje: ak v smernici o súkromí a elektronických komunikáciách existuje osobitné ustanovenie, ktoré zahŕňa povinnosti s rovnakým cieľom ako zodpovedajúce ustanovenia GDPR, musí sa uplatniť ustanovenie o „súkromí a elektronických komunikáciách“.

Dňa 20. marca súd definitívne rozhodol, že GDPR poskytuje dotknutým osobám právo na súdny zákaz v prípadoch nezákonného spracovania. Táto preventívna možnosť domáhať sa súdneho zákazu neznižuje náhradu nemajetkovej ujmy vyplývajúcej z takéhoto nezákonného spracovania.

Súdny dvor EÚ 13. marca rozhodol, že článok 16 GDPR vyžaduje opravu pohlavia transrodovej osoby, ktoré je nesprávne zaznamenané vo verejnom registri.

Hoci príslušný orgán môže požadovať dôkaz o nepresnosti, požiadavka, aby dotknutá osoba preukázala, že podstúpila operáciu zmeny pohlavia, predstavuje porušenie jej ľudských práv.

 

Správy z členských krajín Európskej únie.

V Nemecku Spolkový súdny dvor potvrdil priznanie 500 eur ako náhrady nemajetkovej ujmy žalobcovi za poškodenie jeho povesti. podľa článku 82 GDPR.

Okrem toho rozhodol, že súd nemôže pri určovaní výšky škody zohľadniť ani závažnosť porušenia GDPR, ani otázku zavinenia.

Rakúsky úrad na ochranu údajov (APD) nariadil zničenie fotografií zhotovených fotografom z dôvodu nedodržiavania GDPR..

Fotograf zverejnil na verejne dostupnej webovej stránke fotografie identifikovateľných osôb, najmä detí a žien, zhotovené na ulici v citlivých kontextoch bez platného právneho základu alebo dostatočných záruk (informácie, právo namietať).

Združenie Noyb práve utrpelo neúspech pred odvolacím súdom v Bruseli..

V rozhodnutí z 19. marca súd rozhodol, že...Sťažnosti, ktoré združenie predkladá, musia preukazovať osobný záujem dotknutej osoby..

V tomto konkrétnom prípade Obchodný súd uvádza, že nenašiel žiadne opodstatnenie pre takýto záujem žalobcov, pokiaľ ide o porušenie pravidiel týkajúcich sa súborov cookie.

Okrem iného uvádza, že Noyb v žiadnom bode konania netvrdí, že žalobcovia boli pravidelnými alebo dokonca príležitostnými návštevníkmi predmetných webových stránok/novín.

Aj v Belgicku dostala erotická sauna varovanie od súdnej komory APD, najmä za vedenie online knihy návštev, ktorá umožňovala verejné šírenie citlivých údajov o zákazníkoch.

APD poznamenal nedostatočnú transparentnosť v politike ochrany osobných údajov, absenciu právneho základu pre spracovanie údajov a nedodržiavanie povinností týkajúcich sa registra činností spracovania.

V Španielsku uložil úrad pre digitálne policajné služby banke pokutu 3 500 000 eur za závažnú konštrukčnú chybu v bankovej aplikácii, ktorá umožňovala zákazníkom prístup k účtom, ku ktorým nemali žiadne oprávnenie.

Poisťovňa dostala tiež pokutu 1 000 000 EUR za chybu v kódovaní, ktorá viedla k odoslaniu osobných údajov vrátane citlivých údajov 3 395 osôb e-mailom 354 prijímajúcim spoločnostiam.

V Grécku uložila polícia APD banke pokutu 3 000 eur za to, že po internom úniku údajov nezaviedla vhodné bezpečnostné opatrenia.

Zamestnanec si po odchode zo spoločnosti neoprávnene ponechal administrátorské práva a neoprávnene pristupoval k údajom viac ako 6 000 ďalších zamestnancov.

Podobné rozhodnutie zaznamenal aj taliansky úrad pre ochranu údajov (APD).

V prípade SMS spamu požiadal grécky úrad pre ochranu údajov (APD) národný úrad pre doménové mená o pozastavenie doménového mena dotknutej spoločnosti z dôvodu, že toto doménové meno sa používalo v zlej viere alebo spôsobom, ktorý je v rozpore s verejným poriadkom.

Poznámka že na úrovni ICANN registrátori „pozastavili 2 528 doménových mien a deaktivovali 328 webových stránok používaných na phishingové operácie“ ako súčasť úsilia o implementáciu opatrení na dodržiavanie predpisov.

Taliansky úrad pre ochranu údajov (APD) udelil energetickej spoločnosti pokutu 300 000 eur za nezákonné spracovanie osobných údajov na účely priameho marketingu, za nedostatočné uplatňovanie zásad ochrany údajov a za nedostatočné informovanie uchádzačov o zamestnanie o spracovaní ich údajov.

Luxemburský správny súd potvrdil pokutu vo výške 746 000 000 eur, ktorú APD uložil dcérskej spoločnosti Amazon v roku 2021 za nezákonné spracovanie údajov o návštevníkoch webových stránok na účely reklamy založenej na záujmoch, za neposkytnutie transparentných informácií a za porušenie viacerých práv dotknutých osôb.

Hoci Amazon údajne zvažuje odvolanie, APD uviedol, že počas odvolacieho obdobia ani v prípade akéhokoľvek prípadného konania neposkytne žiadne podrobnosti o svojom rozhodnutí.

Poľský úrad na ochranu údajov (APD) udelil poštovej službe pokutu vo výške 6,3 milióna eur za vykonanie žiadosti vlády o spracovanie údajov týkajúcich sa 30 miliónov občanov v súvislosti s voľbami konanými počas pandémie Covid bez overenia právneho základu žiadosti. 

Spoločnosť La Poste mala počkať, kým nebudú vyčerpané všetky možnosti odvolania sa proti tomuto rozhodnutiu, ktoré však súdy nakoniec zrušili.

 

17. marca nadobudol účinnosť britský zákon o online bezpečnosti, ktorý od online platforiem vyžaduje, aby zaviedli sériu opatrení zameraných na zníženie rizík pre deti a všeobecnejšie odstránenie škodlivého obsahu.

Britskí poskytovatelia služieb majú do 16. marca vykonať posúdenie rizík svojich služieb.

Britský regulačný orgán (Ofcom) vypracoval kódex osvedčených postupov a implementačný program.

Kritici tohto zákona kritizujú najmä jeho rozsah v šedých oblastiach, ako je obťažovanie alebo kontrola správania, a z toho vyplývajúce riziká cenzúry.

Tento zákon prichádza popri dvoch ďalších britských nariadeniach, ktoré by mohli ohroziť obnovenie rozhodnutia Spojeného kráľovstva o primeranosti v júni: poznámka zverejnená výskumnou službou Európskeho parlamentu sa odvoláva na zákon o údajoch a na zmenu zákona o vyšetrovacích právomociach, pričom oba majú za cieľ rozšíriť prístup vlády a orgánov činných v trestnom konaní k údajom používateľov.

Úrad austrálskeho komisára pre informácie zverejnil 19. marca štúdiu o politikách a postupoch austrálskych agentúr verejného sektora týkajúcich sa používania aplikácií na odosielanie správ.

Správa zistila, že aplikácie na odosielanie správ sa v austrálskej verejnej službe bežne používajú bez primeraného dohľadu alebo postupov. Štúdia predstavuje zoznam odporúčaní na riešenie tohto problému.

Kanadský komisár pre ochranu súkromia práve vydal nástroj na posúdenie, či porušenie ochrany osobných údajov predstavuje skutočné riziko značnej ujmy pre jednotlivcov.

V Číne „Národný internetový informačný úrad“ 13. marca zverejnil opatrenia na riadenie bezpečnosti pre aplikáciu biometrických technológií, ktoré vyžadujú, aby činnosti rozpoznávania tváre boli v súlade s platnými zákonmi, prijímali bezpečnostné opatrenia a minimalizovali vplyv na ľudské práva.

Nemecké noviny Der Spiegel 26. marca oznámili, že sa im podarilo získať prístup k osobným údajom a online kontaktným informáciám, a dokonca aj k heslám niektorých najvyšších predstaviteľov americkej bezpečnosti vrátane ministra obrany a bývalého moderátora Fox News Peta Hegsetha.

Novinári použili verejné vyhľadávače, ako aj „napadnuté údaje o zákazníkoch“, ktoré boli zverejnené online.

Medzi tými, ktorých informácie unikli na internet, sú pravdepodobne aj poradca pre národnú bezpečnosť Mike Waltz a riaditeľka národnej spravodajskej služby Tulsi Gabbardová.

Aj v Spojených štátoch sa regulácia umelej inteligencie výrazne zvyšuje: v roku 2024 bolo identifikovaných viac ako 600 zákonov súvisiacich s umelou inteligenciou, z ktorých bolo prijatých takmer 100.

Úroveň ochrany sa však v jednotlivých štátoch značne líši.

Sledovač ponúkaný webovou stránkou „Multistate“ vám umožňuje vizualizovať stav predpisov v roku 2025.

Medzitým 18. marca prezident Trump odvolal dvoch demokratických členov Federálnej obchodnej komisie (FTC), čím zvýšil súčasnú neistotu ohľadom účinnosti mechanizmov ochrany spotrebiteľa a kontroly v Spojených štátoch a ďalej oslabil stabilitu transatlantickej dohody o ochrane údajov.

Vo Vietname by mohol byť zákon o ochrane údajov prijatý na jar.

Vláda nedávno prijala uznesenie na urýchlenie legislatívneho procesu a ministerstvo verejnej bezpečnosti bolo poverené predložením návrhu zákona Národnému zhromaždeniu na formálne prijatie v máji 2025.

Pokročilé generátory obrázkov s umelou inteligenciou majú významný vplyv na ochranu údajov, o čom svedčí aj článok L. Jarošského.

• Efekt „Ghibli“, ktorý umožňuje vytvárať obrázky v štýle slávnych kreslených filmov Myasaki, viedol v posledných dňoch tisíce ľudí k tomu, aby dobrovoľne nahrali svoje tváre a osobné fotografie do ChatGPT, čím poskytli OpenAI priamy a bezplatný prístup k niekoľkým tisíckam nových tvárí na trénovanie svojich modelov umelej inteligencie.
• Generátory obrázkov tiež mimoriadne uľahčujú, zlacňujú a sprístupňujú vytváranie falošných dôkazov. Ktokoľvek so zlým úmyslom si tak môže vytvoriť falošné faktúry, doklady totožnosti, doklad o adrese alebo dokonca bankové dokumenty v priebehu niekoľkých minút a prakticky bez nákladov, čo predstavuje riziko krádeže identity.