Prenosy osobných údajov do Spojených štátov: správa o pokroku

Právne správy č. 55 – január 2023

Prenosy osobných údajov do Spojených štátov: správa o pokrokuPrávna neistota, ktorá v súčasnosti zaťažuje výmenu údajov medzi Európou a Spojenými štátmi, má vplyv na také konkrétne oblasti, ako je boj proti nedostatku bývania vo Francúzsku alebo využívanie online knižníc vo Fínsku.

Spoločnosť Abritel odmietla poskytnúť údaje o prenájme mestu Paríž, pretože mesto na tento zber využíva poskytovateľa služieb, ktorý údaje prenáša do Spojených štátov.

Parížsky súd vo svojom rozsudku z 30. novembra 2022 rozhodol v prospech spoločnosti Abritel.

Fínsky úrad na ochranu údajov v decembri minulého roka zistil, že štyri mestá okrem iného nelegálne preniesli osobné údaje do Spojených štátov pomocou služieb Google Analytics a Google Tag Manager v online službách svojich verejných knižníc.

Zložitosť prevodov v súčasnosti je najmä dôsledkom rozhodnutí Súdneho dvora Európskej únie vo veciach „Schrems I“ a „Schrems II“ z októbra 2015 a júla 2020.

Tieto rozhodnutia zrušili platnosť následných dohôd uzavretých medzi EÚ a Spojenými štátmi pod názvami Zásady bezpečného prístavu a Štít na ochranu osobných údajov.

Vo svojom rozhodnutí z roku 2020 Súdny dvor rozhodol, že štít na ochranu osobných údajov, hoci v zásade poskytuje úroveň ochrany v podstate rovnocennú úrovni Európskej únie, v praxi sa stal neúčinným v dôsledku konkrétnych požiadaviek týkajúcich sa národnej bezpečnosti, verejného záujmu a dodržiavania práva USA.

Zistilo sa, že rozsah právomocí amerických orgánov v oblasti dohľadu bol podľa európskeho práva nadmerný a že práva občanov iných ako USA odvolať sa na nezávislé súdy neboli zaručené.

Od zverejnenia tohto rozhodnutia musia prevádzkovatelia údajov, na ktorých sa vzťahuje GDPR, prijať osobitné opatrenia pred akýmkoľvek prenosom do Spojených štátov.

Použitie zmluvných doložiek zaručujúcich ochranu údajov zostáva možnosťou za predpokladu, že sa vykonajú osobitné kontroly týkajúce sa obsahu doložiek, kontextu prenosu a právneho režimu uplatniteľného v tretej krajine (najmä pokiaľ ide o národnú bezpečnosť).

Ak situácia predstavuje osobitné riziká, prevádzkovateľ musí prijať dodatočné opatrenia.

Komisia minulý rok prijala modernizované „štandardné zmluvné doložky“ s cieľom uľahčiť ich používanie a zverejnila praktické rady pre podniky.

Európsky výbor pre ochranu údajov vo svojich odporúčaniach z 18. júna 2021 tiež vysvetlil kontroly, ktoré sa majú vykonať v rámci analýzy vplyvu prenosu.

Takéto požiadavky však môže byť ťažké implementovať, ak má príjemca údajov dominantné postavenie.

Jednoduchším riešením v takýchto prípadoch je použiť riešenia na spracovanie údajov so sídlom v Európskej únii.

Európska komisia 13. decembra po niekoľkých mesiacoch rokovaní so Spojenými štátmi zverejnila dlho očakávaný návrh rozhodnutia o primeranosti týkajúceho sa úrovne ochrany údajov v rámci Atlantiku.

Medzi právami, z ktorých budú mať občania EÚ prospech v rámci nového právneho rámca, Európska komisia uvádza záruku opravných prostriedkov vrátane voľného prístupu k nezávislým mechanizmom riešenia sporov a rozhodcovskému tribunálu.

Ďalej uvádza niekoľko obmedzení a záruk týkajúcich sa prístupu verejných orgánov USA k údajom, najmä na účely presadzovania práva a národnej bezpečnosti.

Tieto záruky vyplývajú z nových pravidiel zavedených americkým dekrétom zo 7. októbra 2022, ktorý by reagoval na otázky, ktoré položil Súdny dvor EÚ v rozsudku Schrems II.

Pred prijatím konečného rozhodnutia musí návrh preskúmať Európsky výbor pre ochranu údajov (EDPB).

Toto preskúmanie by mohlo viesť k rozhodnutiu približne do dvoch mesiacov.

Návrh rozhodnutia bude potom musieť schváliť výbor zložený zo zástupcov členských štátov EÚ.

Európsky parlament má tiež právo preskúmať rozhodnutia o primeranosti.

Poskytne konečné rozhodnutie, ktoré sa očakáva na jar budúceho roka, očakávané záruky v oblasti ochrany údajov v situáciách, keď predchádzajúce dohody zlyhali?

Európsky dozorný úradník pre ochranu údajov (EDPS) sa nedávno k projektu vyjadril optimisticky: „Toto sa líši od toho, čo sme videli v prípade programu Safe Harbor. Toto nie je to, čo sme videli v prípade programu Privacy Shield. Toto je niečo nové a veľmi sľubné.“

Max Schrems už oznámil, že je pripravený podniknúť tretie právne kroky, ak text nebude účinne chrániť základné práva Európanov.

A tiež

Francúzsko:

Startup Lusha, obvinený z odcudzovania profesionálnych telefónnych čísel a e-mailových adries 1,5 milióna Francúzov, podľa užšieho výboru CNIL zodpovedného za ukladanie sankcií nepodlieha GDPR.

Diskusia sa zamerala na výklad článku 3 ods. 2 písm. b) nariadenia, ktorý stanovuje uplatňovanie európskeho práva na spoločnosti so sídlom mimo EÚ, keď vykonávajú „monitorovanie správania“ dotknutých osôb: CNIL sa vo svojom rokovaní z 20. decembra 2022 dištancovala od záverov svojho spravodajcu a uviedla, že „nedomnieva sa, že online zhromažďovanie alebo analýza osobných údajov týkajúcich sa jednotlivcov v Únii by sa automaticky považovali za „monitorovanie““, a považuje za potrebné zohľadniť účel spracovania údajov a najmä akékoľvek následné techniky behaviorálnej analýzy alebo profilovania zahŕňajúce tieto údaje.

CNIL uložila 29. decembra TikToku pokutu vo výške 5 000 000 eur. za implantovanie reklamných identifikátorov do zariadení používateľov bez ich predchádzajúceho súhlasu.

Banner s informáciami o súboroch cookie na TikToku bol tiež považovaný za nedostatočne informatívny.

V ten istý deň sankcionovala aj spoločnosť VOODOO., vydavateľ hier pre smartfóny, dostal pokutu 3 milióny eur za používanie primárne technického identifikátora na reklamné účely bez súhlasu používateľov.

Na rozdiel od súčasného trendu sa mestská rada v Montpellieri 16. decembra na konci prezentácie týkajúcej sa rozpoznávania tváre v kontexte video dohľadu a verejných slobôd rozhodla zakázať „používanie automatizovaného spracovania analýzy obrazu na základe osobných alebo individuálnych údajov“ vo svojom verejnom priestore.

Návrh zákona týkajúci sa využitia umelej inteligencie v kontexte olympijských hier 2024 schválil Senát 24. januára.

Komisia pre ochranu údajov (CNIL) vydala k tomuto textu pripomienky, pričom poznamenala, že niekoľko opatrení je v súlade s jej odporúčaniami: experimentálne nasadenie, obmedzené časovo a priestorovo, na určité špecifické účely a zodpovedajúce vážnym rizikám pre jednotlivcov, absencia spracovania biometrických údajov a zosúladenia s inými súbormi a rozhodnutia podliehajúce predchádzajúcemu ľudskému zásahu.

CNIL tiež zdôraznila rušivú povahu ustanovení upravujúcich spracovanie genetických údajov na účely antidopingových analýz.

Európa:

V nadväznosti na sťažnosť Írskej rady pre občianske slobody (ICCL) a rozhodnutie ombudsmana EÚ z 19. decembra 2022 sa Európska komisia zaviazala preskúmať postup orgánov na ochranu údajov v prípade porušení GDPR týkajúcich sa veľkých technologických spoločností.

Bude merať čas potrebný na každý krok každého postupu a jeho priebeh a toto preskúmanie bude vykonávať šesťkrát ročne.

Európsky výbor pre ochranu údajov (EDPB) zriadil pracovnú skupinu, ktorá sa bude podrobne zaoberať otázkami týkajúcimi sa súborov cookie..

V návrhu správy zo 17. januára EDPB objasňuje konkrétne nezákonné praktiky vrátane:

• Absencia možnosti odhlásenia na domovskej stránke
• Vopred zaškrtnuté políčka
• Odkazy na možnosť odhlásenia sú vytlačené malými písmenami v samostatnom texte
• Odkazy na možnosť odhlásenia mimo bannera so súbormi cookie
• Uplatnenie oprávneného záujmu na inštaláciu nepodstatných súborov cookie
• Absencia trvalej možnosti odvolať súhlas.

EDPB objasňuje, že tieto závery odrážajú minimálnu prahovú hodnotu pri hodnotení súborov cookie.

Mali by sa kombinovať s požiadavkami smernice o súkromí a elektronických komunikáciách a interpretovať v kontexte ďalšej práce EDPB o dark patterns.

Osobitný výbor Európskeho parlamentu (PEGA) vyšetrí používanie systému Pegasus a ďalší softvér na sledovanie špionážneho softvéru pokračuje vo svojej práci vykonávaním štúdií, vypočutí expertov a návštev Izraela, Poľska a Grécka za účelom zistenia faktov. Návrh odporúčaní bude parlamentu predložený 10. júna.

Mimovládna organizácia EDRi zorganizovala 25. januára svoju výročnú konferenciu s názvom Privacy Camp. ktorá združuje obhajcov digitálnych práv, aktivistov, akademikov a tvorcov politík okolo aktuálnych otázok ľudských práv.

Prezentácie sú dostupné online na webovej stránke podujatia.

V dôležitom rozsudku z 12. januára 2023 (vec C-154/21) Súdny dvor Európskej únie potvrdil, že prevádzkovateľ má povinnosť oznámiť každej osobe, ktorá o to požiada, zoznam presní príjemcovia ich osobných údajov, keď boli zdieľané s tretími stranami, a nielen kategórií príjemcov.

Súdny dvor EÚ v inom rozsudku z 12. januára (vec C-132/21) uvádza, že správne a občianskoprávne opravné prostriedky stanovené v GDPR možno uplatňovať súbežne a nezávisle jeden od druhého.

V tej istej veci sa tak môžu začať paralelné konania o sťažnostiach pred orgánmi na ochranu údajov a súdne konania.

Je na členských štátoch, aby zabezpečili, že súbežné uplatňovanie týchto opravných prostriedkov neohrozí konzistentné a jednotné uplatňovanie nariadenia.

Britský parlament v súčasnosti rokuje o zákone o online bezpečnosti.

Text, ktorého cieľom je chrániť deti, identifikuje rizikový obsah, najmä obsah zobrazujúci sebapoškodzovanie, „deep fakes“ a zdieľanie intímnych obrázkov bez súhlasu, ktoré budú definované ako nové trestné činy.

Kritici poukazujú na nedostatok definície alebo presnosti v texte, čo by umožnilo nadmerné vymazanie obsahu a zavedenie rozsiahleho sledovania.

Webová stránka „enforcementtracker“ predstavuje zoznam finančných sankcií uložených dozornými orgánmi pri uplatňovaní GDPR: rok 2022 sa skončil s celkovou sumou viac ako 830 miliónov eur za 448 sankcií v porovnaní s 1,3 miliardy eur v roku 2021.

Nie je prekvapením, že Írsko, domov najväčších technologických spoločností, drží prvé miesto s viac ako 80 000 pokutami.

Írsky úrad pre ochranu údajov (DPA) vo štvrtok 19. januára oznámil pokutu vo výške 5,5 milióna eur pre WhatsApp, okrem podobných rozhodnutí aj pre Facebook a Instagram.

Právny základ, ktorý WhatsApp používa na spracovanie osobných údajov (zlepšenie služieb a bezpečnosť), sa ukázal byť v rozpore s európskym právom.

Toto rozhodnutie kritizovala občianska spoločnosť, ktorá poznamenáva, že írsky orgán sa napriek rozhodnutiu EDPB zverejnenému 24. januára nezaoberal ústrednou otázkou používania údajov na behaviorálnu reklamu, marketing, poskytovanie metrických údajov tretím stranám a výmenu údajov s prepojenými spoločnosťami.

Nórska oficiálna rozvojová pomoc (ODA) zistila, že kuriérska a logistická spoločnosť porušila článok 32 GDPR z dôvodu nedostatočného posúdenia rizika a nedostatku vhodných bezpečnostných opatrení.

Aplikácia používala telefónne čísla ako jediný prostriedok overenia na prístup k profilu zákazníka.

Španielsky úrad usúdil, že Národná komisia proti násiliu, rasizmu, xenofóbii a intolerancii v športe sa nemôže odvolávať na výnimku verejného záujmu podľa článku 9(2)(g) GDPR na spracovanie biometrických údajov futbalových fanúšikov vstupujúcich na štadióny.

Talianska oficiálna rozvojová pomoc udelil športovému klubu pokutu 20 000 eur za nelegálne používanie systému odtlačkov prstov na zaznamenávanie dochádzky svojich zamestnancov do práce.

Taktiež udelila dodávateľovi energie Areti pokutu vo výške 1 milióna eur za to, že niektorých svojich zákazníkov nesprávne označil za podvodníkov, čím im zabránil v zmene dodávateľa energie.

Estónska oficiálna rozvojová pomoc (ODA) usúdil, že používanie kamier CCTV na monitorovanie zamestnancov nemôže byť založené na súhlase, ale iba na oprávnenom záujme v zmysle článku 6 ods. 1 písm. f) GDPR, za predpokladu, že bolo vykonané platné posúdenie tohto záujmu.

Medzinárodné

„Privacy by Design“ sa stáva medzinárodným štandardomMedzinárodná organizácia pre normalizáciu (ISO) 8. februára prijme normu ISO 31700.

Zahŕňa to 30 požiadaviek a usmernení týkajúcich sa zásad ochrany súkromia už v štádiu návrhu.

SPOJENÉ ŠTÁTY AMERICKÉ: Okrem vývoja technických noriem (NIST Risk Management Framework) v oblasti politiky umelej inteligencie Biely dom zverejnil aj návrh Listiny práv umelej inteligencie.

Niekoľko štátov USA tiež pracuje na legislatíve v tejto oblasti.

Prezident Biden nedávno zopakoval tieto odporúčania v stĺpčeku pre Wall Street Journal, v ktorom zdôraznil úsilie svojej administratívy v boji proti algoritmickej diskriminácii, podpore algoritmickej transparentnosti a implementácii legislatívy pre riadenie umelej inteligencie.

Aj v oblasti umelej inteligencie Európska komisia a americká administratíva 27. januára podpísali „administratívnu dohodu o umelej inteligencii pre verejné blaho“.

Dohoda bola podpísaná v rámci Rady pre obchod a technológie (TTC) medzi EÚ a USA.

Microsoft v polovici decembra na svojom blogu oznámila, že presúva úložisko údajov svojich európskych zákazníkov v rámci Európskej únie.

Tento program však nerieši všetky problémy súvisiace s prístupom Spojených štátov k európskym údajom.

Zákon o cloude umožňuje orgánom činným v trestnom konaní v USA prístup k údajom od poskytovateľov cloudových služieb v USA bez ohľadu na to, kde sú údaje uložené, a bez nutnosti začatia konania prostredníctvom medzinárodnej vzájomnej právnej pomoci.

Austrália je už niekoľko mesiacov obeťou kybernetických útokov zameraných na jej vládne agentúry a súkromný sektor.

Krajina má podozrenie z útokov ruského a čínskeho pôvodu, ktorých cieľom je paralyzovať inštitúcie a podniky krajiny a priamo ovplyvňovať životy občanov prostredníctvom masívneho šírenia osobných údajov.

Pre niektorých je to predzvesť toho, čo čaká západné krajiny, keďže napríklad niekoľko nemeckých železničných systémov nedávno zaznamenalo zvláštne poruchy.

Po oznámení v marci minulého rokaRuská vláda formálne odstupuje od Dohovoru Rady Európy č. 108 o ochrane údajov. ako aj všetky ostatné medzinárodné zmluvy Rady Európy.

Po tomto oznámení Rada zo svojej strany zaviedla formálny mechanizmus a jednostranne ukončila členstvo Ruska.

Anne Christine Lacoste

Anne Christine Lacoste, partnerka v spoločnosti Olivier Weber Avocat, je právnička špecializujúca sa na právo týkajúce sa údajov; bola vedúcou oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.