Právny prehľad č. 65 – november 2023.

Sťažnosti a sankcie: aký je program pre orgány na ochranu údajov na rok 2024?

Nadobudnutie účinnosti GDPR viedlo k zvýšenému povedomiu o ochrane údajov, a to tak medzi prevádzkovateľmi údajov, ako aj medzi jednotlivcami.

To viedlo k nárastu sťažností adresovaných úradným rozvojovým agentúram, ktoré sú niekedy obviňované z toho, že sa týmito sťažnosťami nezaoberajú z dôvodu nedostatku dostatočných zdrojov.

Zatiaľ čo v Spojenom kráľovstve sa „komisár pre informácie“ rozhodol, že sa už nebude zaoberať určitými typmi sťažností, ktoré sa považujú za neprioritné, v Európskej únii sú orgány v zásade povinné zaoberať sa akoukoľvek sťažnosťou, samozrejme za predpokladu, že je prípustná.

Nórska odvolacia komisia pre ochranu súkromia tak zrušila rozhodnutie orgánu na ochranu údajov o ukončení sťažnosti zaslaním jednoduchého informačného listu prevádzkovateľovi údajov, v ktorom prevádzkovateľa zaviazala posúdiť zákonnosť spracovania a zdôraznila, že orgán na ochranu údajov si nemôže slobodne vybrať, ktoré prípady bude vyšetrovať a ktoré nie.

Vo Francúzsku zaviedla CNIL v roku 2022 zjednodušený sankčný postup, ktorý jej umožňuje rýchlejšie spracovať určité typy sťažností.

Ide o prípady, pre ktoré existuje ustálená judikatúra, rozhodnutia vydané užším senátom alebo skutkové alebo právne otázky, o ktorých sa ukáže, že je jednoduché rozhodnúť.

Postup je písomný, ale umožňuje dotknutej organizácii byť vypočutá a predložiť ústne pripomienky.

Sankcie sú v tejto konfigurácii obmedzenejšie a môžu pozostávať z varovania, príkazu na zosúladenie spracovania s predpismi – vrátane pokuty do výšky 100 EUR za deň omeškania alebo administratívnej pokuty do výšky 20 000 EUR.

CNIL práve udelila desiatim súkromným a verejným subjektom pokuty v celkovej výške 97 000 eur za porušenia predpisov:

• K povinnosti odpovedať na žiadosti CNIL;
• K minimalizácii údajov;
• Informácie o vykonanom spracovaní a jeho účeloch;
• Povinnosť rešpektovať práva jednotlivcov, a najmä odpovedať na žiadosť o námietku.

CNIL zdôrazňuje, že zo sťažností, ktorými sa musela zaoberať, vynikajú najmä dva problémy: geolokácia a trvalý kamerový dohľad nad zamestnancami.

Vykonané spracovanie sa často vykonáva v rozpore so zásadou minimalizácie údajov stanovenou v GDPR.

Komisia najmä poznamenáva, že „nepretržité zaznamenávanie údajov o geolokácii bez možnosti, aby zamestnanci zariadenie počas prestávok zastavili alebo pozastavili, je, pokiaľ nie je osobitne odôvodnené, nadmerným porušením slobody pohybu a práva zamestnancov na súkromie.“

To isté platí pre systémy video dohľadu, ktoré neustále natáčajú zamestnancov na ich pracovných staniciach.

„Prevencia pracovných úrazov a získavanie dôkazov neodôvodňujú zavedenie nepretržitého kamerového dohľadu nad pracoviskami,“ a zhromaždené osobné údaje sa nezdajú byť primerané ani relevantné.

Neustále monitorovanie zamestnancov je, až na niekoľko výnimiek, neprimerané sledovaným cieľom.

CNIL oznamuje svoj zámer zintenzívniť svoju represívnu politiku v roku 2024 a prijímať rozhodnutia v kratších časových rámcoch.

Treba poznamenať, že v rámci spolupráce na európskej úrovni sa orgány pre ochranu údajov, ktoré sú členmi Európskeho výboru pre ochranu údajov, rozhodli uprednostniť práva jednotlivcov v budúcom roku. Ich koordinovaný postup sa zameria na to, ako prevádzkovatelia údajov reagujú na žiadosti jednotlivcov o prístup k ich údajom, čo je téma, ktorá by mala byť zahrnutá do pripravovaných zjednodušených sankčných postupov CNIL.

 

  

• CNIL uverejnila 15. novembra Referenčná príručka týkajúca sa lehôt uchovávania údajov pre najbežnejšie liečebné postupy v sociálnom a zdravotnícko-sociálnom sektore a praktickú príručku ponúkajúcu metodiku pre príslušných odborníkov.
• V spolupráci s francúzskym úradom pre hospodársku súťaž (AdlC) a Ekonomickou fakultou v Toulouse organizuje CNIL 12. decembra podujatie s názvom „Ochrana údajov a hospodárska súťaž: Spoločná ambícia“. Počas tohto poldenného podujatia pre regulačné orgány, výskumníkov a odborníkov AdlC a CNIL prijmú a predstavia spoločné vyhlásenie.
• Dňa 9. novembra 2023 vydal CNIL (francúzsky úrad pre ochranu údajov) varovanie Ministerstvu transformácie a verejnej služby a Ministerstvu hospodárstva, financií, priemyslu a digitálnej suverenity za používanie kontaktné údaje viac ako dvoch miliónov verejných činiteľov s cieľom komunikovať a zdôvodniť projekt dôchodkovej reformy, ktorý sa vtedy prijíma.

Minister používal ENSAP, digitálnu platformu, na ktorej sú k dispozícii dôverné dokumenty verejných činiteľov, ako napríklad ich mesačné výplatné pásky. 

Užší panel CNIL pripomenul najmä to, že platforma ENSAP sa nemôže používať na komunikáciu politického charakteru.

• Ústavná rada vo svojom rozhodnutí zo 16. novembra odsudzuje diaľková aktivácia mobilných telefónov na zachytávanie zvuku a obrazu ustanovené zákonom o orientácii a programovaní spravodlivosti, ktoré sa týkajú organického zákona o otvorení, modernizácii a zodpovednosti súdneho orgánu.

Rada sa domnieva, že táto diaľková aktivácia bez toho, aby vyšetrovatelia museli fyzicky vstúpiť do súkromných priestorov na nastavenie sledovacích zariadení, pravdepodobne spôsobí obzvlášť závažné a neprimerané porušenie práva na rešpektovanie súkromného života.

Zdôrazňuje tiež, že toto opatrenie umožňuje monitorovať osoby, na ktoré sa vyšetrovania zameriavajú, ako aj tretie strany. 

Ústavná rada však neodsudzuje diaľkovú aktiváciu elektronických zariadení na účely geolokácie.

• Predbežným rozhodnutím z 22. novembra 2023 správny súd v Caen rozhodol, že Algoritmický systém video monitorovania Briefcam používaný medziobecným orgánom Cœur Côte Fleurie (vrátane Deauville-Trouville) predstavuje závažné a zjavne nezákonné porušenie práva na súkromie a nariadil zodpovedným osobám vymazať osobné údaje vyplývajúce z používania softvéru.

Sudca v senáte poznamenal, že použitie bolo mimo akéhokoľvek právneho alebo regulačného rámca a usúdil, že „nebolo preukázané, ani netvrdené, že by na zachovanie verejného poriadku nebolo možné použiť iné, menej rušivé prostriedky týkajúce sa súkromia“.

• Dňa 8. novembra 2023 podala koalícia šiestich organizácií vrátane La Quadrature du Net a EDRi odvolanie na Štátnu radu proti francúzskemu dekrétu, ktorým sa vykonáva nariadenie týkajúce sa boja proti šíreniu teroristického obsahu online.

Žiadajú Štátnu radu, aby obrátila na Súdny dvor Európskej únie s prejudiciálnou otázkou o platnosti zákona TERREG, pokiaľ ide o základné práva chránené právom Európskej únie, a poukazujú na porušenia slobody prejavu a práva na informácie online.

 

 

Európske inštitúcie a orgány

• Výbory Európskeho parlamentu pre životné prostredie a občianske slobody prijali svoje stanovisko 28. novembra. vytvorenie európskeho priestoru pre zdravotnícke údaje s cieľom podporiť prenosnosť osobných zdravotných údajov a ich bezpečnejšie zdieľanie.

Poslanci parlamentu chcú najmä zaviesť povinnosť získať od pacientov výslovný súhlas na sekundárne použitie ich zdravotných údajov.

• Európska únia prijala revíziu nariadenia eIDAS, čím vydláždila cestu pre zavedenie digitálnej identity v celej EÚ.

Niektoré aspekty zostávajú sporné, najmä „Kvalifikované certifikáty webového overovania“ (QWAC), ktoré budú vyžadovať, aby prehliadače akceptovali vládou vydané koreňové certifikáty určené na predchádzanie podvodom a krádeži identity, ktoré niektorí odborníci na kybernetickú bezpečnosť považujú za riziko narušenia webového overovania: dodávatelia prehliadačov by neboli schopní odmietnuť QWAC, ani keby predstavoval bezpečnostnú hrozbu.

• Zatiaľ čo Rokovania o budúcej regulácii umelej inteligencie prebiehajú V čase písania tohto článku zostáva niekoľko otázok nezodpovedaných, vrátane zohľadnenia modelov nadácií, ako je ChatGPT, v predpisoch.

Vyhlásenie občianskej spoločnosti o stanovisku, ktoré bolo 16. novembra oznámené európskym vyjednávačom, tiež zdôrazňuje otázku rozsahu ochrany pred škodami súvisiacimi s používaním umelej inteligencie na účely policajnej činnosti, migrácie a národnej bezpečnosti.

• Európsky výbor pre ochranu údajov (EDPB) prijal 14. novembra usmernenia týkajúce sa technického rozsahu pôsobnosti článku 5 ods. 3 smernice o súkromí a elektronických komunikáciách.

Výbor vysvetľuje, že Vznik nových metód sledovania zameraných na nahradenie existujúcich nástrojov sledovania, ako sú súbory cookie, a na vytvorenie nových obchodných modelov sa stal hlavným problémom. z hľadiska ochrany údajov.

Tieto pokyny sa konkrétne zaoberajú „odtlačkami prstov zariadení“ a najbežnejšími technikami, ako je sledovanie URL a pixelov, sledovanie iba IP adries, hlásenie internetu vecí (IoT) a jedinečné identifikátory.

• Európsky dozorný úradník pre ochranu údajov (EDPS) zverejnil v polovici novembra dokument „TechDispatch“ venovanú vysvetliteľná umelá inteligencia („vysvetliteľná umelá inteligencia“) s cieľom riešiť efekt „čiernej skrinky“ umelej inteligencie.

Zaoberá sa otázkou rizík nepriehľadných systémov umelej inteligencie a opisuje, ako môže umelá inteligencia zahŕňať transparentnosť, interpretovateľnosť a vysvetliteľnosť.

EDPS tiež 8. novembra zverejnil štúdiu o podstate základných práv na rešpektovanie súkromia a ochranu osobných údajov.

Tento dokument skúma požiadavku rešpektovať „podstatu“ týchto práv, keď sú obmedzené podľa práva Európskej únie (EÚ).

• V rozhodnutí z 9. novembra Súdny dvor EÚ objasnil svoj výklad osobných údajov.

Cítila, že Identifikačné čísla vozidiel ako také nie sú osobnými údajmi..

Osobnými údajmi sa však stávajú vtedy, keď osoba (fyzická), ktorá k nim má prístup, má prostriedky na identifikáciu vlastníka vozidla.

• Súdny dvor EÚ prijal 7. decembra dve dôležité rozhodnutia týkajúce sa dominantného poskytovateľa úverových informačných služieb („Schufa“) v Nemecku.

Súdny dvor najmä uviedol, že Automatizované hodnotenie úverovej bonity („skórovanie“) podlieha všeobecnému zákazu. podľa článku 22 GDPR.

Dodáva, že spoločnosť, ktorá si stanoví kreditné skóre automatizovanými prostriedkami, naďalej podlieha článku 22, a to aj v prípade, že iná spoločnosť sa na toto skóre spolieha pri prijímaní rozhodnutí, ktoré majú (negatívny) vplyv na dotknutú osobu. – uvažovanie, ktoré by mohlo mať vplyv na systémy s podporou umelej inteligencie.

Súdny dvor tiež potvrdil, že vnútroštátne súdy majú rozsiahle právomoci dohliadať na orgány na ochranu údajov.

• Európsky súd pre ľudské práva zverejnil v novembri dokument, v ktorom uvádza svoju judikatúru týkajúcu sa ochrany osobných údajov.
• Agentúra Európskej únie pre kybernetickú bezpečnosť ENISA zverejnila Prehľad kybernetických hrozieb podľa sektorov činnosti za rok 2023.

Podľa „Prehľadu hrozieb 2023“ zostávajú hlavnými cieľmi verejná správa a vlády, nasledované sektormi zdravotníctva, výroby, dopravy a financií.

• Dňa 28. novembra podala mimovládna organizácia noyb sťažnosť na spoločnosť Meta rakúskemu úradu na ochranu údajov.

DLHÉ spochybňuje „voľbu“, ktorú majú európski používatelia medzi súhlasom so sledovaním na účely personalizovanej reklamy a platením až 251,88 eur ročne „aby si zachovali základné právo na ochranu údajov na Instagrame a Facebooku.“ 

V rovnakej súvislosti Európska organizácia spotrebiteľov (BEUC) 30. novembra podala sťažnosť sieti orgánov na ochranu spotrebiteľa (CPC) z dôvodu, že spoločnosť Meta sa dopúšťa nekalých obchodných praktík.

Taktiež posudzuje, či Meta porušuje GDPR.

• 110 organizácií občianskej spoločnosti vyzýva tvorcov politík EÚ, aby odmietli prebiehajúcu reformu systému EURODAC.

Databáza, určená na zhromažďovanie a uchovávanie údajov o žiadateľoch o azyl, „by sa transformovala na nástroj dohľadu, ktorý by osoby žiadajúce o ochranu považoval za podozrivých z trestných činov, vrátane detí už od 6 rokov, ktorých odtlačky prstov a fotografie tváre by boli integrované do databázy.“

 

Správy z členských krajín Európy.

• V Belgicku APD 23. novembra v prípade monitorovania pracoviska usúdil, že nepretržité monitorovanie práce kamerou nie je v súlade so zásadou minimálneho spracovania údajov.

Komora pre spory APD uviedla, že ide o závažné porušenie, ale keďže sa týkalo malej spoločnosti, informovala ju o porušení a požiadala ju, aby spracovanie uviedla do súladu s predpismi bez uloženia pokuty.

• Dánsky úrad na ochranu údajov zamietol plán mesta Kodaň vyvinúť nástroje umelej inteligencie na identifikáciu občanov, ktorí potrebujú rehabilitáciu, pretože vnútroštátne právne predpisy použité na účely článku 6(1)(e) a článku 6(3) GDPR neboli dostatočne špecifické, pokiaľ ide o rozsah používania umelej inteligencie.
• Nemecký spolkový pracovný súd vykonal rozhodnutie Súdneho dvora EÚ C-453/21, pričom sa berie do úvahy, že Predseda zamestnaneckej rady dcérskej spoločnosti bol oprávnene odvolaný z funkcie zodpovednej osoby za ochranu údajov skupiny spoločností z dôvodu konfliktu záujmov medzi týmito dvoma funkciami.
• V Holandsku, ODA uložila 24. novembra nápravné opatrenia zamestnaneckej poisťovni (Uitvoeringsinstituut Werknemersverzekeringen – UWV) vo vzťahu k 703 osobám poberajúcim dávky.

Až do začiatku tohto roka, UWV nelegálne sledovala online správanie týchto ľudí poberajúcich dávky v nezamestnanosti pomocou algoritmu.

• V kontexte postupu podľa článku 60 GDPR, Írsky úrad na ochranu údajov (DPA) pokarhal spoločnosť Airbnb Ireland za porušenie zásad minimalizácie údajov a obmedzenia ukladania. a za neplatné uplatnenie článku 6 ods. 1 písm. f) GDPR ako dôvodu na spracovanie pri uchovávaní dokladov totožnosti dotknutej osoby.
• Talianska APD koncom novembra spustil vyšetrovanie na verejných a súkromných webových stránkach s cieľom overiť prijatie Vhodné bezpečnostné opatrenia na zabránenie hromadnému zhromažďovaniu (webscrapingu) osobných údajovtretími stranami na účely trénovania algoritmov umelej inteligencie.
• Berlínsky regionálny súd odhadoval, že LinkedIn sa dopustil nekalých obchodných praktík a porušil GDPR tým, že nezohľadnil použitie Parametre „Nesledovať“ (DNT) ako námietku voči spracovaniu a predbežným zaškrtnutím nastavenia „viditeľnosť mimo LinkedIn“, keď si používatelia prvýkrát vytvoria účet.

DNT, napriek nedostatočnej štandardizácii, predstavujú podľa súdu účinnú námietku proti spracovaniu údajov: inými slovami, právo namietať stanovené v GDPR možno uplatniť aj automatizovanými prostriedkami, ako sú nastavenia prehliadača.

• Ministri digitálnych technológií a technológií skupiny G7 a OECD sa stretli virtuálne 1. decembra 2023, aby pokračovali v diskusiách zameraných na operacionalizáciu „voľného toku údajov s dôverou“ (DFFT) s cieľom uľahčiť cezhraničné toky údajov.

Pokrok a ďalšie kroky sú podrobne opísané v tlačovej správe dostupnej online.

• Generálni riaditelia najväčších platforiem sociálnych médií sa objavili pred súdnym výborom Senátu USA. 6. decembra, aby vypovedal o sexuálnom vykorisťovaní detí a údajnom zlyhaní spoločností pri ochrane detí na svojich platformách.
• Austrálska vláda verejne reagovala k správe o preskúmaní zákona o ochrane súkromia zverejnenej 28. septembra 2023 a potvrdzuje svoj záväzok posilniť austrálske normy v oblasti ochrany súkromia s cieľom ich viac zosúladiť s globálnymi normami.

 

Cieľom série návrhov by bolo zaviesť dodatočnú ochranu súkromia detí.

• Elon Musk oznámil, že Grok, jeho chatbot s umelou inteligenciou, bude funkčný začiatkom decembra.

Chatbot, vyvinutý spoločnosťou xAI, ktorá sa zaoberá umelou inteligenciou, bude súčasťou aplikácie pre predplatiteľov X Premium+.

• YouTube zverejnil blogový príspevok, v ktorom oznamuje rôzne opatrenia zamerané na označovanie obsahu generovaného umelou inteligenciou a boj proti „deepfakes“.

Spoločnosť má v úmysle zaviesť aktualizácie, ktoré budú používateľov informovať, keď sa im zobrazuje syntetický obsah.

YouTube preto požiada tvorcov, aby uviedli, či vytvorili realistický upravený alebo syntetický obsah, a to aj s použitím nástrojov umelej inteligencie.