Právny prehľad č. 70 – apríl 2024.

Prenosy údajov mimo EÚ: súčasná situácia.

S prijímaním inštitucionálnych rozhodnutí a stanovísk sa situácia v oblasti medzinárodných prenosov údajov vyjasňuje. 

Zaznamenali sme teda niekoľko nedávnych iniciatív na európskej aj národnej úrovni zameraných na uľahčenie tokov údajov pri súčasnom rešpektovaní základných práv.

Na stretnutí, ktoré sa konalo 4. marca so zástupcami pätnástich krajín, ktoré už boli uznané za primerané, Európska komisia týmto spôsobom prejavila svoju ochotu rozšíriť formy medzinárodnej spolupráce EÚ.

Zatiaľ čo v minulosti Komisia uprednostňovala spoluprácu s Radou Európy zameranú na ľudské práva, európsky komisár pre spravodlivosť v marci spomenul aj užšiu spoluprácu s OECD, organizáciou, ktorej výhľad sa zameriava na hospodársky rozvoj.

 Dotknuté krajiny v Amerike a Ázii majú prístupy k ochrane súkromia, ktoré sa výrazne líšia od prístupov Európskej únie.

Stojí za to pripomenúť, že v januári Európska komisia obnovila rozhodnutia o primeranosti všetkých krajín, ktoré už mali prospech z kladného rozhodnutia.

Toto vyvolalo reakcie aj v súčasnom politickom kontexte, pričom otvorený list podporilo 11 organizácií občianskej spoločnosti, v ktorom 22. apríla žiadali európskeho komisára pre spravodlivosť o objasnenie jeho rozhodnutia obnoviť rozhodnutie o primeranosti týkajúce sa Izraela.

 List spochybňuje najmä dodržiavanie kritérií primeranosti v súvislosti so spracovaním údajov na účely národnej bezpečnosti, dodržiavanie ľudských práv, zásad právneho štátu a prístup k spravodlivosti.

Prenosy údajov sú samozrejme naďalej možné do krajín, ktoré nevyužívajú rozhodnutie o primeranosti, napríklad za predpokladu, že boli prijaté štandardné zmluvné doložky alebo že v rámci skupiny spoločností boli zavedené záväzné pravidlá upravujúce prenosy údajov.

Na podporu skupín v tomto procese CNIL práve zverejnila nástroj sebahodnotenia.

Ide o dotazník, ktorý nám umožňuje overiť úroveň zrelosti projektu vo vzťahu k požiadavkám noriem BCR prijatých Európskym výborom pre ochranu údajov (EDPB).

CNIL odporúča pred predložením záväzných obchodných pravidiel (BCR) na schválenie projekt otestovať.

Nástroj umožňuje overiť účinné plnenie nasledujúcich záväzkov:

• Režim zodpovednosti založený na európskom ústredí alebo európskej dcérskej spoločnosti zodpovednej na základe delegovania za ochranu údajov;
• Postup školenia zamestnancov;
• Postup auditu na zabezpečenie súladu so všeobecnými pravidlami auditu (GCR);
• Interný postup riešenia sťažností;
• Sieť úradníkov pre ochranu údajov alebo kvalifikovaných zamestnancov na monitorovanie dodržiavania pravidiel;
• Postup na určenie vhodnosti vykonania posúdenia vplyvu na súkromie (PIA);
• V prípade BCR „subdodávateľ“, povinnosti subdodávateľa voči prevádzkovateľovi údajov;
• Vhodné technické a organizačné opatrenia na zabezpečenie súladu so zásadami ochrany údajov.

CNIL ponúka interaktívnu mapu sveta na identifikáciu stavu každej krajiny z hľadiska ochrany údajov a zoznam krajín, ktoré profitujú z rozhodnutia o primeranosti, je k dispozícii na webovej stránke Európskej komisie.

 

CNIL uložila 4. apríla spoločnosti HUBSIDE.STORE pokutu vo výške 525 000 eur. za vykonávanie prieskumných kampaní s použitím osobných údajov získaných prostredníctvom klamlivo navrhnutých formulárov, ktoré prevádzkovateľovi neumožnili získať platný súhlas.

Štátny tajomník pre digitálne záležitosti predstavil 25. marca strategický plán Francúzska pre digitálne desaťročie. za prítomnosti generálneho riaditeľa pre komunikačné siete, obsah a technológie (DG Connect) Európskej komisie.

„Plán je štruktúrovaný okolo štyroch oblastí práce zameraných na dosiahnutie cieľov „digitálnej dekády“:

• Digitálne zručnosti,
• Digitálna infraštruktúra,
• Digitálna transformácia podnikov a
• Digitalizácia verejných služieb.

La Quadrature du Net podala 2. mája sťažnosť na CNIL proti nasadeniu algoritmického video dohľadu (VSA). ktoré považuje za nezákonné.

Projekt Prevent PCP, ktorý spája spoločnosti SNCF a RATP s panelom spoločností vrátane skupiny Atos a ChapsVision, má formu verejnej zákazky, ktorá umožňuje spoločnostiam nasadiť svoje systémy VSA na hlavných staniciach po celej Európe na detekciu „opustenej batožiny“ prostredníctvom metódy založenej na identifikácii a sledovaní majiteľov batožiny.

Vo Francúzsku sú tieto systémy VSA nasadené už mesiace na staniciach Gare du Nord a Gare de Lyon v Paríži alebo v poslednej dobe na stanici Gare de Marseille-Saint-Charles.

 

Európske inštitúcie a orgány

Európsky výbor pre ochranu údajov (EDPB) prijal v polovici apríla svoj pracovný program na roky 2024 – 2027.

Počas nasledujúcich štyroch rokov bude EDPB naďalej presadzovať dodržiavanie GDPR vypracovaním praktických usmernení a materiálov pre širšie publikum.

Prioritou zostáva aj spolupráca pri uplatňovaní právnych predpisov. 

Novým aspektom stratégie je dôraz kladený na interakciu s novým digitálnym regulačným rámcom.

EDPB bude naďalej venovať osobitnú pozornosť výzvam, ktoré predstavujú nové technológie, ako je umelá inteligencia.

EDPB zaujal 17. apríla aj stanovisko k modelu „plať alebo akceptuj súbory cookie“, ktorý bol uvalený na používateľov hlavných online platforiem.

V novembri 2023 zaviedla spoločnosť Meta mesačný poplatok pre používateľov, ktorí odmietli byť sledovaní na účely personalizovanej reklamy.

Organizácie pre občianske práva reagovali podaním niekoľkých sťažností príslušným orgánom na ochranu údajov (DPA), ktoré požiadali EDPB o záväzné stanovisko k tejto veci.

Toto stanovisko spochybňuje model, ktorý zaviedla spoločnosť Meta a podobné platformy: podľa výboru „vo väčšine prípadov nebudú veľké online platformy môcť splniť požiadavky na platný súhlas, ak budú konfrontovať používateľov iba s binárnou voľbou medzi súhlasom so spracovaním osobných údajov na účely behaviorálnej reklamy a zaplatením poplatku“.

Výbor opakuje, že súhlas musí byť udelený slobodne a že alternatíva ukladajúca odrádzajúcu platbu by slobodne udelenému súhlasu bránila.

Naliehavo žiada platformy, aby zaviedli alternatívny reklamný model založený na obmedzenejšom zhromažďovaní osobných údajov.

Iniciatíva Európskej komisie na povzbudenie veľkých technologických spoločností, aby sa dobrovoľne zaviazali k „záväzku používať súbory cookie“, ktorý by obmedzil sledovanie používateľov internetu a posilnil ich súhlas, nezískala podporu.

Podľa hovorcu Komisie v rozhovore pre Euronews sa väčšina spoločností domnievala, že zavedenie dobrovoľného prístupu k digitálnej reklame je „predčasné vzhľadom na nedávne nadobudnutie účinnosti nových právnych predpisov v tejto oblasti, ako je nariadenie o digitálnych službách (DSA) a nariadenie o digitálnych trhoch (DMA).“

Súdny dvor EÚ 11. apríla rozhodol, že prevádzkovateľ nie je oslobodený od zodpovednosti za škody podľa GDPR len preto, že osoba konajúca na základe jeho oprávnenia nedodržala jeho pokyny.

Pri posudzovaní výšky škody splatnej ako kompenzácia by sa nemali brať do úvahy kritériá stanovené na stanovenie administratívnych pokút.

Generálny advokát Súdneho dvora EÚ predniesol 25. apríla svoje stanovisko v prípade týkajúcom sa použitia údajov zverejnených sťažovateľom spoločnosťou Meta.

Podľa generálneho prokurátora uplatňovanie „zásady minimalizácie údajov“ obmedzuje použitie osobných údajov na reklamné účely, a to aj v prípade, že používatelia s reklamou súhlasili.

Táto zásada platí bez ohľadu na právny základ použitý na spracovanie: ani používateľ, ktorý súhlasí s personalizovanou reklamou, nemôže mať svoje osobné údaje používané na dobu neurčitú.

Okrem toho zásada „obmedzenia účelu“ stanovená v článku 5 ods. 1 GDPR zostáva uplatniteľná aj v kontexte „web scrapingu“: verejne dostupné informácie (v tomto prípade citlivé) nemožno zhromažďovať a spracovávať na iné účely, ako je napríklad cielená reklama.

Mimovládna organizácia noyb podala sťažnosť rakúskemu úradu na ochranu údajov (APD) týkajúcu sa „halucinácií“ ChatGPT, ktoré by porušovali zásady GDPR.

Max Schrems, riaditeľ spoločnosti noyb, uviedol, že jeho sťažnosť bola vyvolaná tým, že ChatGPT neposkytol jeho presný dátum narodenia a nahradil ho pritiahnutým za vlasy odhadom, pričom chatbot neinformoval používateľov, že nemá správne údaje na odpoveď na žiadosť.

Spoločnosť zaoberajúca sa umelou inteligenciou údajne odmietla opraviť alebo vymazať nesprávne odpovede a nezverejňuje žiadne informácie o spracovaných údajoch, ich zdrojoch ani príjemcoch.

Odkedy DSA nadobudol účinnosť v auguste 2023, hlavné online platformy a vyhľadávače („VLOP“ a „VLOSE“) sú povinné poskytovať verejne prístupné a transparentné reklamné úložiská.

Nová správa od spoločnosti Mozilla v spolupráci so spoločnosťou CheckFirst skúma tento problém v službách ponúkaných 11 spoločnosťami vrátane AliExpress, Apple App Store, Bing, Booking.com, Alphabet (Vyhľadávanie Google a YouTube), LinkedIn alebo Meta (Facebook a Instagram).

V správe sa uvádza „veľká rozmanitosť medzi platformami“ a uvádza sa, že žiadna z nich nemá „plne funkčný reklamný register a žiadna neposkytne výskumníkom a skupinám občianskej spoločnosti nástroje a údaje, ktoré potrebujú na efektívne monitorovanie vplyvu reklám VLOP v nadchádzajúcich voľbách v Európe“ (prostredníctvom GDPRtoday).

  

Správy z členských krajín Európy.

Belgický úrad na ochranu údajov (APD) 2. apríla usúdil, že zhromažďovanie digitálnych odtlačkov prstov z terminálu používateľa („online odtlačky prstov“) by malo byť v zásade založené na súhlase dotknutej osoby.

Táto technika umožňuje prevádzkovateľovi údajov ponúkať služby, ktoré identifikujú návštevníka webovej stránky aj pri prehliadaní v režime inkognito alebo pomocou VPN, a to priradením jedinečného identifikátora.

V kombinácii s polohou používateľa tento identifikátor umožňuje sledovať okrem iného aj počet návštev používateľa.

APD vydala varovanie konkrétne za neposkytnutie informácií a za použitie kontaktných údajov dotknutej osoby na zasielanie marketingových e-mailov.

Spoločnosť Avast, ktorá sa zaoberá kybernetickou bezpečnosťou a antivírusmi, dostala od českého Úradu na ochranu osobných údajov (APD) pokutu 13,7 milióna eur, čo je najvyššia pokuta, akú kedy APD uložil.

Spoločnosť pred zdieľaním s tretími stranami na účely analýzy trhu neanonymizovala údaje o prehliadaní viac ako 100 miliónov používateľov.

Za pripomenutie stojí, že spoločnosť Avast bola vo februári v Spojených štátoch sankcionovaná aj Federálnou obchodnou komisiou (FTC) a bola nútená zaplatiť sumu viac ako 18 miliónov dolárov.

V Holandsku je tiež predmetom kolektívnej sťažnosti za rovnaké trestné činy.

Vo Fínsku bol hacker zodpovedný za nabúranie sa do záznamov pacientov v psychoterapeutickom centre Vastaamo, ktorý za ukradnuté údaje požadoval výkupné 400 000 eur, odsúdený okresným súdom v západnom Uusimaa na šesť rokov a tri mesiace väzenia. 

Hackerský útok sa týka záznamov približne 33 000 pacientov, čo je v právnej histórii Fínska bezprecedentný počet obetí. 

APD v tom čase uložila spoločnosti Vastaamo administratívnu pokutu vo výške 608 000 eur za porušenie GDPR, zanedbanie povinností týkajúcich sa bezpečného spracovania osobných údajov a za oneskorené nahlásenie porušenia ochrany údajov.

Bývalý generálny riaditeľ spoločnosti bol minulý rok odsúdený na tri mesiace väzenia s podmienečným odkladom za nedodržanie predpisov o ochrane citlivých osobných údajov.

Spoločnosť odvtedy vyhlásila bankrot.

V Holandsku dostala telekomunikačná skupina Odido, predtým T-Mobile Nederland, pokutu 175 000 eur. inšpekciou digitálnej infraštruktúry za nesprávne spracovanie údajov o premávke v rámci spoločného projektu s národným štatistickým úradom.

Cieľom projektu bolo vyvinúť algoritmus schopný poskytovať informácie o pohybe veľkých skupín ľudí, ale procesy spoločnosti Odido porušovali legislatívu o ochrane súkromia: spoločnosť Odido sa postarala o pseudonymizáciu spracovaných údajov, ale bez toho, aby bol o štúdii informovaný ktorýkoľvek z klientov.

Grécky úrad na ochranu údajov (APD) uložil Gréckej pošte pokutu vo výške 2 995 140 eur. za nezavedenie vhodných bezpečnostných opatrení, čo viedlo k úniku údajov, ktorý postihol viac ako 4 milióny ľudí.

Španielsky úrad na ochranu údajov (AEPD) sa rozhodol uložiť banke pokutu vo výške 2 000 000 eur. za nezískanie súhlasu dotknutých osôb so spracovaním ich osobných údajov.

Prevádzkovateľ údajov po tom, čo priznal svoje pochybenie, nakoniec zaplatil zníženú pokutu vo výške 1 200 000 eur. 

Španielsky zákon (39/2015) týkajúci sa administratívnych postupov skutočne umožňuje prevádzkovateľovi uznať zodpovednosť za údajné porušenie a/alebo zaplatiť pokutu navrhnutú AEPD vo fáze vyšetrovania výmenou za zníženie výšky pokuty o 40 %.

AEPD tiež uložil prevádzkovateľovi údajov pokutu 3 500 000 EUR za nevykonanie primeraného posúdenia rizika. a ktorá zanedbala bezpečnostné nedostatky, ktorým sa dalo predísť, čo viedlo k úniku údajov, ktorý postihol 1,3 milióna ľudí.

Vo Švédsku vydal Úrad na ochranu údajov (APD) pokarhanie prevádzkovateľovi údajov za to, že požiadal dotknuté osoby o poskytnutie kópie svojho dokladu totožnosti. ako aj dokumenty podpísané poštou v súvislosti so žiadosťou o vymazanie údajov, ak neexistoval žiadny opodstatnený dôvod pochybovať o totožnosti dotknutých osôb.

 

Grindr bol predmetom hromadnej žaloby v Spojenom kráľovstve. v ktorej sa tvrdilo, že zoznamovacia aplikácia pre LGBTQ zdieľala s inzerentmi citlivé informácie o svojich používateľoch, ako napríklad ich HIV status a sexuálnu orientáciu.

Podľa správy BBC aplikácia údajne používala „tajnú sledovaciu technológiu“ na nelegálne zhromažďovanie a zdieľanie týchto údajov s tretími stranami (prostredníctvom GDPRtoday).

Rada OECD 3. mája prijala revízie Zásad umelej inteligencie.

V reakcii na nedávny vývoj v oblasti technológií umelej inteligencie vrátane vzniku generalistickej a generatívnej umelej inteligencie sa aktualizované zásady priamo zaoberajú výzvami spojenými s umelou inteligenciou, pokiaľ ide o súkromie, práva duševného vlastníctva, bezpečnosť a integritu informácií.

V Spojených štátoch bol paragraf 702 amerického zákona o dohľade nad zahraničnými spravodajskými službami (FISA) opätovne schválený na dva roky.

Tento oddiel, ktorý povoľuje obmedzené sledovanie určitej komunikácie bez povolenia, musí Kongres pravidelne obnovovať.

Hlasovanie bolo údajne kontroverzné, keďže Kongres zvažoval niekoľko návrhov na aktualizáciu textu zákona: podľa agentúry Associated Press panovala nezhoda v otázke, či by FBI malo byť obmedzené vo využívaní zákona na špehovanie Američanov.

Senát nakoniec návrh zákona prijal 20. apríla s veľmi malými zmenami v texte.

Senát 23. apríla schválil zákon o ochrane Američanov pred aplikáciami kontrolovanými zahraničnými protivníkmi, ktorý bol všeobecne označovaný za zákaz TikToku.

Americký prezident Joe Biden práve podpísal zákon, ktorý prinúti čínsku platformu oddeliť svoje americké operácie od operácií svojej materskej spoločnosti ByteDance alebo akceptovať, že občania USA už nebudú môcť túto službu používať. TikTok už oznámil právne kroky.

Navrhované nariadenie Federálnej obchodnej komisie USA (FTC) z 15. apríla obviňuje spoločnosť poskytujúcu telemedicínu v oblasti duševného zdravia z porušenia jej zásad ochrany osobných údajov a zavádzania jej zákazníkov ohľadom jej politiky rušenia služieb.

Federálna obchodná komisia (FTC) má v úmysle udeliť spoločnosti Cerebral a jej generálnemu riaditeľovi pokutu vo výške 7 miliónov dolárov za zhromažďovanie osobných údajov o svojich zákazníkoch a ich následný predaj tretím stranám.

Európsky súd pre ľudské práva v súčasnosti prejednáva niekoľko tisíc prípadov týkajúcich sa odsúdení v Turecku za členstvo v ozbrojenej teroristickej organizácii na základe údajného používania aplikácie na šifrované zasielanie správ s názvom „Bylock“.

Žiadatelia tvrdia, že ich odsúdenia boli založené na údajnom používaní tejto aplikácie, ktorá bola podľa tureckých súdov určená výhradne pre členov FETÖ/PDY pod rúškom globálnej aplikácie.

Podľa nich by každý, kto používal Bylocka, mohol byť v zásade odsúdený len na tomto základe za príslušnosť k ozbrojenej teroristickej organizácii.