Právny prehľad č. 86 – august 2025. 

 

Súbory cookie a cielenie na používateľov internetu: súčasný stav vecí.

CNIL 1. septembra uložila spoločnosti Google pokutu vo výške 325 miliónov eur a írskej dcérskej spoločnosti skupiny Shein pokutu vo výške 150 miliónov eur, čo sú dve sumy, ktoré výrazne zvýšia priemer sankcií, o ktorých CNIL rozhodla v posledných mesiacoch.

Spoločnosť Google bola sankcionovaná za zobrazovanie reklám vkladaných medzi e-maily používateľov Gmailu a za umiestňovanie súborov cookie pri vytváraní účtov Google bez platného súhlasu francúzskych používateľov.

CNIL tiež vyžaduje, aby spoločnosť Google do šiestich mesiacov odstránila toto zobrazovanie reklám a aby pri vytváraní účtu Google získala platný súhlas používateľov s umiestnením reklamných súborov cookie, pod hrozbou pokuty 100 000 eur za deň. 

Pokuta uložená spoločnosti Shein sa týka aj nedodržiavania pravidiel platných pre súbory cookie, ktoré sú umiestnené na zariadeniach používateľov navštevujúcich webovú stránku „shein.com“.

Tieto významné pokuty sú súčasťou rôznych opatrení, ktoré Komisia prijala na reguláciu sledovania a cielenia používateľov internetu a ktoré boli zverejnené na jej webovej stránke v roku 2019.

CNIL už v decembri 2021 udelila spoločnosti Google pokutu 150 miliónov eur za porušenie predpisov o súboroch cookie a 50 miliónov eur za nedostatočnú transparentnosť a jasnosť jej zásad ochrany osobných údajov a absenciu právneho základu pre personalizovanú reklamu.

Nedávno tiež sankcionovala spoločnosť Orange za podobné praktiky zasielania reklám vo forme e-mailov.

Tieto rozhodnutia nám dávajú príležitosť preskúmať praktiky cieleného útoku na používateľov internetu a právny rámec.

Pravidlá uplatniteľné na konkrétne prípady sú špecifické: Komisia pripomína, že operácie súvisiace s používaním sledovacích zariadení a elektronickým vyhľadávaním údajov nespadajú pod GDPR, ale pod iné pravidlá: smernicu o „elektronickom súkromí“, ktorá bola transponovaná do článku 82 zákona o ochrane údajov pre sledovacie zariadenia, a do článku 34-5 zákona o ochrane údajov pre komerčné vyhľadávanie údajov elektronickými prostriedkami.

Praktiky považované za nesúladné sa týkajú najmä umiestňovania sledovacích nástrojov bez súhlasu používateľa, ale aj rastúcej praxe používania „súborov cookie“, ktoré podmieňujú prístup používateľa k službe jeho súhlasom s umiestnením sledovacích nástrojov na jeho termináli.

CNIL nepovažuje túto prax sama o sebe za nezákonnú, na rozdiel od niektorých svojich európskych konkurentov.

Zdôrazňuje však, že súhlas musí byť udelený slobodne a že alternatívy ponúkané používateľovi musia byť prezentované vyváženým spôsobom, bez toho, aby ho nabádali k výberu jednej možnosti namiesto druhej (napríklad tým, že by sa jedna voľba stala zložitejšou ako druhá).

Je tiež potrebné, aby súhlas bol informovaný, čo znamená, že ľudia majú plné a jasné pochopenie dôsledkov svojich rozhodnutí.

Tieto rozhodnutia CNIL sú zároveň vyvrcholením sťažností, ktoré mimovládna organizácia noyb podala pred viac ako dvoma rokmi mnohým orgánom na ochranu údajov (DPA) v Európe, najmä v súvislosti s fenoménom „cookie walls“ alebo „pay or okay“ a s otázkou transparentnosti pri zbere údajov.

Rakúsky Spolkový správny súd sa teda v polovici augusta riadil stanoviskom rakúskeho úradu na ochranu údajov a usúdil, že existencia viacerých účelov umiestnenia súborov cookie si vyžaduje samostatný súhlas.

Podľa súdu by zoskupenie rôznych účelov spracovania porušilo slobodu rozhodovania a spôsobilo by neplatnosť súhlasu.

„Táto granularita úzko súvisí s požiadavkou, že súhlas musí byť udelený na konkrétny účel,“ uvádza sa v dôvodovej správe k rozsudku.

Tento nedávny vývoj potvrdzuje stanovisko dozorných orgánov, že právny rámec, a najmä smernica o súkromí a elektronických komunikáciách, sa prísne vzťahuje na súhlas, najmä na nepodstatné súbory cookie.

Úrady už netolerujú „štandardné“ súhlasy ani vágne informačné rozhrania.

       

Senát ho toto leto vypočúval. Anton Carniaux, riaditeľ pre verejné a právne záležitosti spoločnosti Microsoft France, pripustil, že nemôže „zaručiť“, že údaje francúzskych občanov umiestnených v Európe nebudú nikdy odovzdané americkej vláde. podľa zákona o cloude, aj keď sa „toto nikdy nestalo“.

V tejto súvislosti so závislosťou od amerických gigantov dánska vláda oznámila oficiálne spustenie iniciatívy na posúdenie integrácie riešení s otvoreným zdrojovým kódom v rámci svojich verejných služieb.

Dňa 9. septembra DGE a DGCCRF zverejnili návrh určenia vnútroštátnych orgánov zodpovedných za implementáciu európskeho nariadenia o umelej inteligencii.

Dokument obsahuje diagram zobrazujúci – početné – príslušné orgány podľa príslušných článkov nariadenia a účely spracovania údajov pomocou umelej inteligencie.

Vďaka práci zástupcu vedúceho právnej misie DINUM je teraz možné nahliadnuť do mapy kontrol CNIL podľa roku a sektora činnosti.

Mapovanie sa zameriava na tieto kontroly a nezahŕňa všetky činnosti CNIL, ako je zvyšovanie povedomia v teréne, formálne oznámenia, sankcie atď.

Vychádza z údajov, ktoré CNIL zverejňuje na data.gouv.

 

Európske inštitúcie a orgány

Európske správy sú v tomto ročnom období rušné kvôli aktivite inštitúcií a najmä Súdneho dvora Európskej únie (SDEÚ).

Návrh nariadenia o kontrole komunikácie („kontrola chatu“) zameraného na prevenciu a boj proti sexuálnemu zneužívaniu páchanému na deťoch je opäť na programe zasadnutia Európskej rady 12. septembra 2025 počas dánskeho predsedníctva.

Revidovaný návrh umožňuje skenovanie komunikácie na termináli používateľa pred jej odoslaním a v očiach mnohých vedcov a občianskej spoločnosti predstavuje krok späť v porovnaní s textom poľského predsedníctva.

Nový otvorený list (štvrtý na túto tému), ktorý podpísalo viac ako 600 vedcov z 34 krajín, bol zverejnený 8. septembra.

Zdôrazňuje neefektívnosť a riziká tohto návrhu z hľadiska šifrovania a spomína možné alternatívy.

Európska komisia 4. septembra spustila proces prijímania rozhodnutia o primeranosti ochrany údajov s Brazíliou.

Po prijatí bude toto rozhodnutie prvým rozhodnutím o primeranosti pre Latinskú Ameriku od rozhodnutí týkajúcich sa Argentíny z 3. júna 2003 a Uruguaja z 21. augusta 2012.

Brazílske orgány tiež začali proces zameraný na prijatie ekvivalentného rozhodnutia, ktoré by umožnilo voľný tok brazílskych údajov do EÚ.

Ďalšími krokmi bude predloženie návrhu rozhodnutia na preskúmanie Európskemu výboru pre ochranu údajov (EDPB) a Rade ministrov zastupujúcich členské štáty EÚ.

Návrh preskúma aj Európsky parlament.

5. septembra Európska komisia oznámila, že spoločnosti Google udelí pokutu vo výške 2,95 miliardy eur. za porušenie antitrustových pravidiel EÚ narúšaním hospodárskej súťaže v sektore reklamných technológií („adtech“).

Spoločnosť Google údajne uprednostňovala vlastné technologické služby online reklamy na úkor konkurenčných poskytovateľov technologických služieb reklamných technológií, inzerentov a online vydavateľov.

Komisia nariadila spoločnosti Google, aby ukončila tieto praktiky sebapreferovania a zaviedla opatrenia na odstránenie konfliktov záujmov, ktoré sú vlastné jej dodávateľskému reťazcu reklamných technológií.

Spoločnosť Google má teraz 60 dní na to, aby informovala Komisiu o svojom zámere postupovať.

Táto sankcia vyvolala okamžitú reakciu Spojených štátov, pričom Donald Trump naznačil svoj zámer prijať odvetné opatrenia voči EÚ.

Dňa 3. septembra vo svojom rozhodnutí T-553/23 | Latombe proti Komisii Súdny dvor Európskej únie zamietol žalobu poslanca Európskeho parlamentu Philippa Latombeho, ktorá sa týkala zrušenia tretej verzie dohody o prenose údajov medzi EÚ a Spojenými štátmi. rámec ochrany údajov (DPF) vzhľadom na to, že Spojené štáty „zaručili primeranú úroveň ochrany osobných údajov“.

Pán zdôraznil najmä to, že americký odvolací orgán, „Súd pre preskúmanie ochrany údajov“ (DPRC), nie je nestranný a závisí od výkonnej moci.

Poukázal tiež na prax spravodajských služieb zhromažďujúcich obrovské množstvo osobných údajov prechádzajúcich z Európskej únie bez predchádzajúceho povolenia sudcu alebo nezávislého správneho orgánu, a teda bez dostatočne jasných a presných usmernení.

Súd zamieta žiadosť o neplatnosť.

Zdôrazňuje, že fungovanie DPRC podlieha sérii záruk, že Európska komisia monitoruje uplatňovanie DPF a považuje za dostatočné, aby spravodajské činnosti vykonávané americkými agentúrami podliehali ex post súdnemu preskúmaniu zo strany DPRC.

Proti rozhodnutiu Súdneho dvora EÚ sa možno odvolať na Súdny dvor EÚ a poslanec Philippe Latombe už vyjadril svoj zámer podať takéto odvolanie.

Dňa 4. septembra Súdny dvor EÚ v dôležitom rozhodnutí (vec C-413/23 P | EDPB/CRU) zrušil rozhodnutie súdu EÚ týkajúce sa pojmu osobných údajov.

Rozhoduje o odvolaní Európskeho dozorného úradníka pre ochranu údajov (EDPS) týkajúceho sa rozhodnutia súdu EÚ, ktorým bolo zrušené jeho rozhodnutie z roku 2020.

V tomto rozhodnutí EDPS dospel k záveru, že Jednotná rada pre riešenie krízových situácií v Európe (SRB) porušila GDPR európskych inštitúcií tým, že účtovníckej firme oznámila pripomienky veriteľov a akcionárov k konkurznému konaniu španielskej banky.

Súdny dvor EÚ sa domnieva, že osobné názory jednotlivcov predstavujú osobné informácie a že súd s nimi mal tak aj zaobchádzať.

Taktiež sa domnieva, že riziko opätovnej identifikácie súvisiace so spracovaním a prenosom osobných údajov sa musí posudzovať individuálne v čase zhromažďovania a že súd sa dopustil chyby, keď zrušil pôvodné rozhodnutie EDPB, čiastočne preto, že neurčil, či obsah pseudonymizovaných komentárov skutočne obsahoval osobné informácie.

Súdny dvor EÚ sa však postavil na stranu CRU v otázke, za akých podmienok možno pseudonymizované údaje tiež považovať za osobné údaje, a vo svojom rozhodnutí napísal, že „Pseudonymizované údaje by sa nemali vo všetkých prípadoch a pre každú osobu považovať za osobné údaje na účely uplatňovania (GDPR)“ pokiaľ pseudonymizácia môže v závislosti od okolností prípadu účinne zabrániť iným osobám ako prevádzkovateľovi v identifikácii dotknutej osoby takým spôsobom, že pre ne dotknutá osoba nie je alebo už nie je identifikovateľná.

V inom rozsudku, taktiež zo 4. septembra (rozsudok C 655/23, IP v. Quirin Privatbank AG), súd rozhodol o existencii práva na preventívne zdržanie sa spracovania voči prevádzkovateľovi a o rozsahu morálnej ujmy.

Súdny dvor sa domnieva, že GDPR neponúka preventívny súdny prostriedok nápravy proti budúcemu nezákonnému spracovaniu, ale že členské štáty ho môžu ustanoviť.

Taktiež objasnila, že pocity ako poníženie alebo obavy môžu byť postačujúce na preukázanie morálnej ujmy, za predpokladu, že sa predloží dôkaz.

Dodáva, že závažnosť pochybenia prevádzkovateľa alebo získanie súdneho príkazu by nemali ovplyvniť výšku odškodnenia, ktoré zostáva výlučne kompenzačným.

 

Správy z členských krajín Európskej únie.

V Nemecku Spolkový pracovný súd rozhodol, že zamestnávateľ nezákonne spracoval zdravotné údaje zamestnanca tým, že ho monitoroval s cieľom overiť, či nepredstieral svoju práceneschopnosť.

Zamestnancovi tiež priznala náhradu nemajetkovej ujmy vo výške 1 500 eur.

Belgický úrad na ochranu údajov (APD) pokarhal politika, ktorý zhromaždil e-mailovú adresu osoby z verejného zdroja a posielal jej politické správy, čím porušil zásady zákonnosti, obmedzenia účelu a transparentnosti GDPR.

V Španielsku dostala spoločnosť Loro Parque, ktorá spravuje zoologickú záhradu a aquapark, od APD pokutu 250 000 eur za odber odtlačkov prstov bez predchádzajúceho informovania alebo súhlasu: dotknuté osoby museli poskytnúť odtlačky prstov, ak mali propagačné vstupenky, ktoré im oprávňovali vstup do oboch parkov s jednou vstupenkou.

Okrem toho APD uložila Španielskej obchodnej komore pokutu 500 000 eur za prevod daňových identifikačných čísel samostatne zárobkovo činných osôb na súkromné spoločnosti bez právneho základu.

V Taliansku uložila polícia (APD) automobilovej spoločnosti pokutu 50 000 eur.

Táto spoločnosť organizovala so svojimi zamestnancami pohovory na tému „návrat do práce“ po ich neprítomnosti, čo viedlo k nadmernému zhromažďovaniu údajov vrátane citlivých údajov.

APD tiež poukazuje na porušenie zásad transparentnosti a platnosti súhlasu zamestnancov.

Litovský úrad na ochranu údajov (DPA) nariadil spoločnosti Vinted, aby prestala zhromažďovať telefónne čísla svojich zákazníkov na účely overovania účtov.

Spočiatku sa domnievala, že dôvody uvedené spoločnosťou Vinted, konkrétne overovanie používateľských účtov a záruka bezpečnosti platformy, nepredstavujú podstatný aspekt zmluvy medzi prevádzkovateľom a dotknutou osobou.

Taktiež poznamenala, že v podmienkach používania sa uvádzajú ďalšie možné spôsoby overenia totožnosti používateľa, a preto spracovanie osobných údajov nespĺňa kritérium nevyhnutnosti stanovené v článku 6 ods. 1 písm. b) GDPR.

Najvyšší správny súd Holandska rozhodol, že zariadenie duševnej starostlivosti nie je povinné vyhovieť žiadosti o vymazanie údajov.

Uchovávanie údajov bolo nevyhnutné na základe zmluvy o lekárskej starostlivosti a na účely riadenia služieb zariadenia.

V Poľsku bola banke ING Bank Śląski uložená pokuta 4 300 000 eur za skenovanie dokladov totožnosti bez legitímneho dôvodu alebo posúdenia rizika..

APD zistila, že banka zbytočne spracovávala citlivé údaje vrátane čísel PESEL a údajov o dokumentoch, čím porušila prístup založený na riziku, ktorý vyžadujú predpisy o boji proti praniu špinavých peňazí.

 

Čína sprísňuje svoje pravidlá týkajúce sa prenosu údajov do zahraničia.

Čínske orgány verejnej bezpečnosti obviňujú šanghajskú pobočku značky Dior z nelegálneho prenosu údajov o zákazníkoch do ústredia vo Francúzsku bez dodržania povinných pravidiel bezpečnostného posúdenia, informovania používateľov a šifrovania.

Pobočka bola podrobená administratívnej sankcii.

V Spojených štátoch poslalo 44 generálnych prokurátorov list 13 spoločnostiam zaoberajúcim sa umelou inteligenciou vrátane OpenAI, CharacterAI, Replika a Meta, v ktorom ich informovalo, že budú zodpovedné, ak spôsobia ujmu deťom.

List zdôrazňuje nedávne odhalenia týkajúce sa technických pokynov spoločnosti Meta pre umelú inteligenciu Meta a chatbotov Facebooku, WhatsAppu a Instagramu.

Tento dokument, schválený právnym, politickým a technickým tímom spoločnosti, oprávňoval chatbotov pozývať deti na romantické alebo zvodné rozhovory s chatbotom vrátane komentárov k vzhľadu detí, ako aj scenárov hrania rolí.

Blog spoločnosti Microsoft s názvom „Tech Community“ koncom augusta oznámil, že najnovšia aktualizácia programu MS Word pre Windows štandardne automaticky ukladá súbory programu Word používateľov do cloudu (OneDrive).

Spoločnosť Microsoft prezentuje túto aktualizáciu ako vylepšenie v oblasti zabezpečenia, prístupu, tímovej práce a používania umelej inteligencie.

Hoci je možné tieto nastavenia upraviť v nastaveniach programu Word, predvolené nahrávanie dokumentov do amerického cloudu vyvoláva otázky týkajúce sa GDPR, týkajúce sa dôvernosti údajov a problematiky prístupnosti týchto údajov zo strany verejných orgánov USA.

Inteligentné okuliare „Halo“ vyvolávajú obavy medzi odborníkmi na umelú inteligenciu.

L. Jarošovský uvádza, že tieto nové okuliare sú stále zapnuté, nahrávajú všetko a nemajú žiadny indikátor, ktorý by ľudí upozornil, že sú nahrávané.

V rozhovore pre TechCrunch sa zakladatelia Halo údajne zriekli zodpovednosti s tým, že v štátoch USA, kde je nezákonné tajne nahrávať rozhovory bez súhlasu druhej osoby, je na používateľovi, aby si tento súhlas pred použitím okuliarov získal.