Právny prehľad č. 80 – február 2025. 

Prenosy údajov do Spojených štátov: oslabený právny rámec.

5. februára 19 poslancov Európskeho parlamentu z celého politického spektra požiadalo Európsku komisiu, aby preskúmala, či je „Rámec ochrany údajov“ (DPF), ktorý upravuje transatlantické prenosy údajov, stále životaschopný.

Predseda Výboru pre občianske slobody, spravodlivosť a vnútorné veci mu 6. februára položil podobnú otázku.

Tieto otázky vyvolalo rozhodnutie Donalda Trumpa ukončiť funkčné obdobie troch demokratických členov Rada pre dohľad nad ochranou súkromia a občianskych slobôd (PCLOB), ktorá už nemá kvórum potrebné na fungovanie.

PCLOB sa v kontexte transatlantickej dohody považoval za základný prostriedok na rešpektovanie individuálnych práv v otázkach hromadného sledovania.

Odvtedy sa americké záruky týkajúce sa ochrany údajov zdajú byť čoraz krehkejšie.

Podľa článku, ktorý 3. marca publikoval Euractiv, jeden zo sudcov odvolacieho orgánu PCLOB, Súdu pre preskúmanie ochrany údajov, zmizol zo zoznamu sudcov na webovej stránke a rezignoval aj špeciálny právnik.

Okrem toho, „ak Donald Trump neodvolal generálneho inšpektora zodpovedného za dohľad nad spravodajskými agentúrami, odvolal najmenej 17 ďalších“ a údajne boli prepustení aj členovia jednotky na ochranu súkromia „Úradu pre personálny manažment“.

Napokon, „Projekt 2025“, politický program spojený s Trumpovou administratívou, verí, že nastupujúci prezident by mal vypracovať štúdiu „Bidenovho“ výkonného nariadenia týkajúceho sa DPF a „resetovať očakávania Európy“.

Tento projekt tiež plánuje pozastaviť ustanovenia, ktoré neprimerane bránia zhromažďovaniu informácií.

Stojí za to pripomenúť, že nedostatok nezávislých kontrolných a opravných mechanizmov týkajúcich sa amerických spravodajských agentúr bol dôvodom zrušenia predchádzajúcej dohody, Štítu na ochranu osobných údajov. 

Tieto rôzne faktory neveštia nič dobré pre životaschopnosť transatlantickej dohody. Otázkou zostáva, kedy sa situácia oficiálne objasní.

Európska komisia zatiaľ mlčí, ale očakáva sa, že na parlamentné otázky odpovie do konca mesiaca.

Súdny dvor Európskej únie, ktorý sa už touto záležitosťou zaoberal, by mohol vydať rozhodnutie v súlade so svojimi dvoma predchádzajúcimi rozhodnutiami, ktoré zrušili „zásady bezpečného prístavu“ a „štít na ochranu osobných údajov“, dátum tohto rozhodnutia však stále nie je známy.

A čo orgány na ochranu údajov?

Nórsky úrad pre ochranu údajov (Datatilsynet) vydal 26. februára vyhlásenie k tejto záležitosti. Zopakoval, že rozhodnutie Európskej komisie o primeranosti, ktorým sa potvrdzuje transatlantická obchodná dohoda, zostáva v platnosti, kým ho Európska komisia alebo Súdny dvor Európskej únie (SDEÚ) prípadne nezrušia.

Orgány na ochranu údajov (DPA) sú týmito rozhodnutiami viazané a nemôžu zakázať prenosy, ktoré sa uskutočňujú v súlade s rozhodnutím o primeranosti.

Vzhľadom na súčasný kontext, APD napriek tomu radí prevádzkovateľom údajov, aby si vypracovali stratégiu ukončenia činnosti pre prípad, že by súčasný rámec bol zrušený. pretože zmena by mohla nastať bez prechodného obdobia.

Prvým odporúčaním pre prevádzkovateľov údajov je dnes vypracovať komplexný zoznam všetkých prenosov údajov, ktoré ich spoločnosť vykonáva.

Táto úloha je náročná, pretože Spojené štáty sú teraz všadeprítomné v našom digitálnom svete a podobne ako pán Jourdain, aj my denne prenášame dáta bez toho, aby sme si to uvedomovali.

Bude potrebné zohľadniť jasne identifikovaných príjemcov v Spojených štátoch, ale aj napríklad používanie amerických „cloudových“ služieb na európskej pôde a viacero zobrazovacích alebo pripojovacích služieb, ako sú písma Google, analytické nástroje alebo mapy, alebo dokonca Facebook: Súdny dvor Európskej únie vo svojom rozhodnutí T-354/22 odsúdil Európsku komisiu za porušenie GDPR v súvislosti s online registráciou na podujatie, ktoré organizovala.

Prostredníctvom hypertextového odkazu „spojiť sa s Facebookom“ zobrazeného na domovskej stránke „vytvorila podmienky umožňujúce prenos IP adresy žiadateľa spoločnosti Facebook“ a následne do Spojených štátov amerických v období, keď bol štít na ochranu osobných údajov neplatný.

Ak existujú európske alternatívy, môžu predstavovať zaujímavé riešenie.Hovoríme napríklad o európskom cloude alebo certifikovanom francúzskom cloude.

Pokiaľ ide o sledovacie nástroje, CNIL zverejnila zoznam anonymných nástrojov na meranie publika.

V prípadoch, keď je prenos naďalej nevyhnutný, sa vývozca bude musieť spoľahnúť na nástroje, ako sú štandardné zmluvné doložky alebo záväzné firemné pravidlá, a vykonať analýzu vplyvu presným zdokumentovaním rizík zachytávania údajov orgánmi cez Atlantik a poskytnutých záruk, čo je obzvlášť náročná úloha.

CNIL 31. januára zverejnila finálnu verziu svojej príručky o posudzovaní vplyvov prenosov údajov mimo Európskej únie.

Podobne ako jeho nórsky náprotivok je pravdepodobné, že zverejní odporúčania týkajúce sa nadchádzajúceho medzinárodného vývoja.

 

  

Do navrhovaného zákona proti obchodovaniu s drogami bol práve predložený pozmeňujúci návrh, ktorého cieľom je prinútiť platformy zaviesť opatrenia, ktoré umožňujú orgánom činným v trestnom konaní prístup k údajom, najmä k údajom o šifrovaných službách zasielania správ.

V pripomienkach adresovaných vláde a poslancom parlamentu sa niekoľko spoločností vrátane spoločností Apple, Amazon, Google a Microsoft postavilo proti tomuto pozmeňujúcemu návrhu s odvolaním sa na postoje Európskeho výboru pre ochranu údajov (EDPB) a Európskeho dozorného úradníka pre ochranu údajov (EDPS) proti oslabeniu šifrovania medzi koncovými bodmi.

Návrh sa bude prerokúvať na plenárnom zasadnutí, ktoré sa začína 17. marca.

Tento vývoj odráža podobné vládne iniciatívy vo viacerých európskych krajinách, ako aj v Spojených štátoch (pozri nižšie, vývoj na národnej úrovni).

CNIL pripomenula vyhľadávaču Qwant jeho povinnosti vyplývajúce z GDPR týkajúce sa anonymizácie údajov.

Údaje, ktoré spoločnosť použila v súvislosti s predajom reklamného priestoru vo vyhľadávači prevádzkovanom prostredníctvom spoločnosti MICROSOFT, spoločnosť Qwant prezentovala ako anonymné. 

CNIL poznamenáva, že „napriek prísnym opatreniam prijatým v roku 2019 s cieľom zabrániť opätovnej identifikácii osôb, prenesený súbor údajov viedol k uplatneniu GDPR, a najmä jeho článkov 12 a 13“.

Komisia sa domnieva, že ide o počiatočnú chybu v analýze týkajúcu sa klasifikácie prenesených údajov bez úmyslu obísť ustanovenia GDPR, a preto neukladá žiadnu sankciu.

Komisia tiež udelila realitnej kancelárii pokutu 40 000 eur za nadmerné monitorovanie svojich zamestnancov pomocou softvéru (Time Doctor), ktorý zaznamenával údajné obdobia nečinnosti a pravidelne si robili snímky obrazovky svojho počítača.

Okrem toho boli zamestnanci neustále zaznamenávaní.

CNIL kritizuje zodpovednú osobu najmä za absenciu posúdenia vplyvu, absenciu právneho základu pre spracovanie a nedodržanie zásady minimalizácie údajov.

Zverejnila tiež aktualizáciu svojich tabuliek o ochrane údajov a súhrnné zošity z roku 2024, v ktorých sa zameriava na svoje dôležité nové rozhodnutia, ako aj na základy vnútroštátnej a európskej judikatúry v oblasti ochrany údajov.

 

Európske inštitúcie a orgány

V nadväznosti na správu o kontrole vhodnosti digitálnej spravodlivosti zverejnenú 3. októbra 2024 Európska komisia zvažuje vypracovanie nariadenia o digitálnej spravodlivosti („zákon o digitálnej spravodlivosti“) s cieľom riešiť otázky ochrany spotrebiteľa v online prostredí, ako je automatické ukončenie alebo obnovenie predplatného a konverzia bezplatných skúšobných verzií na platené predplatné.

Údajne sa pripravuje verejná konzultácia a predbežná analýza vplyvu.

Komisia sa konečne rozhodla stiahnuť svoj návrh nariadenia o súkromí a elektronických komunikáciách, ktorého cieľom bolo modernizovať a objasniť povinnosti vyplývajúce zo súčasnej smernice a zároveň ich zosúladiť so zásadami GDPR.

Text vyvolal kontroverziu, najmä pokiaľ ide o rozsah výnimiek zo zásad dôvernosti komunikácie.

Na stole sú nové legislatívne návrhy, ktorých cieľom je riešiť otázky súkromia a zároveň oddeliť komerčný dohľad od štátneho dohľadu.

Smernica o zodpovednosti za umelú inteligenciu, ktorej cieľom bolo aktualizovať pravidlá EÚ o bezpečnosti výrobkov tak, aby sa vzťahovali na umelú inteligenciu a automatizáciu, je tiež na zozname stiahnutých legislatívnych návrhov.

V súlade so závermi parížskeho summitu o umelej inteligencii z februára 2025 kladie pracovný program Európskej komisie na rok 2025 dôraz na konkurencieschopnosť s explicitným cieľom podporiť hospodársky rast podporou inovácií.

2. februára nadobudli účinnosť prvé ustanovenia nariadenia o umelej inteligencii vrátane článku 5, ktorý sa zaoberá zakázanými praktikami umelej inteligencie.

O dva dni neskôr Európska komisia zverejnila usmernenia, v ktorých načrtla postupy umelej inteligencie považované za neprijateľné z dôvodu rizík, ktoré predstavujú pre európske hodnoty a základné práva.

Niekoľko orgánov na ochranu údajov (DPA), ktoré sa zúčastnili summitu o umelej inteligencii, vydalo spoločné vyhlásenie po diskusii za okrúhlym stolom „o zavedení spoľahlivých rámcov správy údajov na podporu rozvoja inovatívnej a súkromne chrániacej umelej inteligencie“, v ktorom zdôraznili potrebu integrovať zásady ochrany súkromia už od fázy návrhu systémov umelej inteligencie a zaviesť robustné interné rámce správy údajov.

Zároveň EDPB 12. februára oznámil, že rozširuje rozsah pôsobnosti svojej pracovnej skupiny ChatGPT na uplatňovanie umelej inteligencie a zriaďuje „tím rýchlej reakcie na koordináciu opatrení orgánov na ochranu údajov“ v súvislosti s naliehavými citlivými otázkami súvisiacimi s umelou inteligenciou.

EDPB začiatkom marca oznámil spustenie koordinovaných kontrol na rok 2025 týkajúcich sa práva na vymazanie.

Toto opatrenie nadväzuje na koordinované opatrenia týkajúce sa využívania cloudu verejným sektorom (2022), určenia a úlohy zodpovedných osôb (2023) a práva na prístup (2024).

Výskumná služba Európskeho parlamentu zverejnila 26. februára informačnú správu o napätí medzi predchádzaním algoritmickej diskriminácii a zaobchádzaním so špeciálnymi kategóriami údajov.

Dokument identifikuje nejasnosti týkajúce sa spoločného uplatňovania nariadenia o umelej inteligencii a GDPR, ktoré si môžu vyžadovať legislatívnu reformu alebo dodatočné usmernenia.

Dňa 27. februára vydal Súdny dvor EÚ dôležité rozhodnutie týkajúce sa rozsahu práv jednotlivcov dotknutých automatizovaným rozhodnutím.

Vo veci C 203/22 Dun & Bradstreet Austria Súdny dvor objasňuje, že článok 15(1)(h) GDPR „ponúka dotknutej osobe skutočné právo na vysvetlenie fungovania mechanizmu, ktorý je základom automatizovaného rozhodovacieho procesu, ktorému bola táto osoba vystavená, a výsledku, ku ktorému toto rozhodnutie viedlo“ (bod 57).

Údaje chránených tretích strán alebo obchodné tajomstvo nezbavujú prevádzkovateľa povinnosti poskytnúť konkrétne vysvetlenia: prevádzkovateľ je „povinný oznámiť tieto údajne chránené informácie príslušnému dozornému orgánu alebo súdu, ktorý je zodpovedný za zváženie dotknutých práv a záujmov s cieľom určiť rozsah práva dotknutej osoby na prístup k údajom stanoveného v článku 15 GDPR“ (bod 67).

Súdny dvor EÚ 13. februára tiež rozhodol, že dozorné orgány a súdy musia pri stanovovaní výšky pokút zohľadniť skutočnosť, že prevádzkovateľ je súčasťou podniku v zmysle článkov 101 a 102 Zmluvy o fungovaní Európskej únie (ZFEÚ).

Okrem toho musia maximálnu výšku pokút určiť na základe obratu spoločnosti, a nie na základe obratu prevádzkovateľa údajov.

Generálny advokát Súdneho dvora EÚ sa 6. februára podelil o svoje závery vo veci EDPS proti SRB (C-413/23 P).

Prípad sa týka toho, či pseudonymizované údaje, ktoré agentúra EÚ, Jednotná rada pre riešenie krízových situácií, preniesla svojej konzultačnej firme Deloitte, predstavujú z pohľadu spoločnosti Deloitte osobné údaje.

Valné zhromaždenie sa zameriava na primerané prostriedky, ktoré má príjemca k dispozícii na identifikáciu dotknutých osôb, pričom prijíma výrazne užší výklad pojmu osobné údaje ako EDPS a EDPB. Konečné rozhodnutie sa očakáva pred letom.

 

Správy z členských krajín Európskej únie.

Rozhodnutie nemeckého súdu (OLG Dresden/Nemecko (Az.: 4 U 940/24) potvrdzuje, že prevádzkovatelia údajov sú zodpovední nielen za svoje vlastné konanie, ale aj za konanie svojich subdodávateľov.

Súd zdôraznil, že nestačí dôverovať subdodávateľovi bez overenia, ako v tomto prípade, či na konci zmluvy skutočne vymazal údaje zadané subdodávateľovi.

Dôsledky nedostatočného overenia môžu pretrvávať dlho po prvotnom incidente, ako to bolo v tomto prípade po hackerskom útoku, ktorý spôsobil únik údajov, po ktorom nasledovalo súdne konanie a poškodenie reputácie prevádzkovateľa údajov.

V Španielsku uložil úrad pre núdzové policajné aktivity (APD) pokutu mobilnému operátorovi Orange vo výške 1,2 milióna eur za to, že nezabránil vydaniu duplikátu SIM karty tretej strane, ktorá ju použila na prístup k bankovému účtu dotknutej osoby.

APD usúdil, že prevádzkovateľ nezaviedol vhodné ochranné opatrenia.

Aj v Španielsku uložil úrad pre opatrovanie (APD) niekoľko pokút skupine družstevných bankových spoločností Caja Rural za porušenie GDPR po úniku údajov z dôvodu nedostatočných bezpečnostných opatrení a zraniteľnosti v IT systéme.

V tomto prípade APD považovala každého bankového člena družstevnej skupiny za individuálne zodpovedného, hoci všetci využívali toho istého poskytovateľa IT služieb, a uložila sankcie v rozmedzí od 6 200 eur do 400 000 eur v závislosti od počtu zákazníkov a rýchlosti reakcie bánk.

Grécky úrad na ochranu údajov (APD) prijal rozhodnutie zamerané na uľahčenie uplatňovania individuálnych práv u spoločnosti Google.

Nariadila spoločnosti odstrániť odkazy zobrazujúce sa vo výsledkoch vyhľadávania pre meno danej osoby a nariadila spoločnosti Google, aby zmenila svoj postup pri žiadosti o odstránenie povolením príloh, poskytovaním priamych kontaktných informácií a ukončením automatických odpovedí.

V Holandsku zdieľal expert na kybernetickú bezpečnosť (a bývalý vedúci civilnej spravodajskej služby) na platforme Bluesky snímka obrazovky, ktorá odhaľuje, že služba Google Analytics zhromažďuje údaje o uchádzačoch o zamestnanie v rámci civilných a vojenských spravodajských služieb krajiny.

Táto informácia viedla poslanca k tomu, aby požiadal ministra vnútra o objasnenie.

Poľský úrad na ochranu údajov (APD) udelil prevádzkovateľovi webovej stránky pokutu 350 000 eur (1 527 855 PLN) a jeho subdodávateľovi 4 590 eur (20 037 PLN) za porušenie bezpečnosti údajov po tom, čo nesprávna konfigurácia webovej stránky viedla k úniku údajov, ktorý postihol 21 453 ľudí.

V Rumunsku dostala spoločnosť Unicredit pokutu 15 000 eur (74 652 lei) za dva úniky údajov v dôsledku interných aplikácií.

Tieto neboli pred nasadením testované a APD penalizuje nedodržanie článku 25(1) GDPR, ktorý vyžaduje ochranu údajov už od návrhu („privacy by design“).

Po príkaze britskej vlády prelomiť šifrovanie iCloudu spoločnosť Apple práve stiahla z Veľkej Británie celú svoju pokročilú bezpečnostnú funkciu.

Nariadenie sa týkalo konkrétne funkcie zavedenej v roku 2023, ktorá umožňuje používateľom iCloudu zvoliť si end-to-end šifrovanie všetkých údajov uložených v cloude spoločnosti a zabezpečuje, že k údajom nemá prístup žiadna tretia strana vrátane spoločnosti Apple.

Spoločnosť mala na výber medzi odstránením funkcie šifrovania alebo vytvorením zadných vrátok, ktoré by ohrozili šifrovanie pre všetkých používateľov na celom svete, pričom druhá možnosť bola pre Apple vylúčená.

Zároveň Švédsko vyžaduje aj zadné vrátka, čo viedlo spoločnosť Signal k varovaniu, že v prípade prijatia takejto legislatívy opustí krajinu.

Dodajme, že Spojené štáty podľa článku Forbesu z 24. februára sledujú rovnaký cieľ, ktorým je prístup k šifrovaným údajom.

 

Južná Kórea práve prijala zákon o umelej inteligencii, ktorý nadobudne účinnosť v januári 2026.

Zákon je v súlade s európskym nariadením o umelej inteligencii: zavádza povinnosti pre spoločnosti zaoberajúce sa umelou inteligenciou, najmä pre umelú inteligenciu s vysokým dopadom a generatívnu umelú inteligenciu, s dôrazom na riadenie rizík, ochranu používateľov a transparentnosť.

IAPP informuje, že skupina amerických senátorov, ktorí zasadajú vo „Výbore Senátu pre spravodajské služby“, poslala 5. februára Bielemu domu list, v ktorom „vyjadrila znepokojenie nad rizikami pre súkromie a národnú bezpečnosť, ktoré predstavuje nedávno vytvorené Ministerstvo pre efektívnosť vlády“ (DOGE).

V liste sa tvrdí, že konanie DOGE predstavuje riziko odhalenia utajovaných a iných citlivých informácií, ohrozenia národnej bezpečnosti a narušenia súkromia Američanov.

V súčasnosti prebieha niekoľko súdnych sporov týkajúcich sa nezákonného prístupu k údajom spracovávaným týmito agentúrami.

Žiadosti spravodajských služieb o údaje, ktoré má GAFAM k dispozícii, v posledných rokoch prudko vzrástli.

Vyplýva to zo štúdie publikovanej spoločnosťou Proton, ktorá vychádza zo správ o transparentnosti spoločností Apple, Meta a Google v rokoch 2014 až 2024.

Ako zdôrazňuje 01net, tieto spoločnosti sú podľa amerického práva (FISA, Cloud Act) povinné reagovať na žiadosti úradov, ktoré chcú mať prístup k telefonickým nahrávkam, textovým správam, e-mailom alebo cloudovým zálohám.

„Žiadosti o prístup k údajom používateľov (akejkoľvek štátnej príslušnosti), ako sú e-maily alebo správy, ktoré spoločnosti Google, Apple a Meta predložili americkým úradom za posledných desať rokov, sa v prípade týchto troch spoločností (...) v priemere zvýšili o... 600 %.“

Malajzijské právo o ochrane osobných údajov bolo posilnené s cieľom výrazne zvýšiť právomoci regulačného orgánu a posilniť práva jednotlivcov.

Bude implementovaný v troch fázach počas prvej polovice roku 2025, a to 1. januára, potom 1. apríla a 1. júna.

Vyšetrovanie „sledovacích súborov“, ktoré vykonalo niekoľko medzinárodných médií vrátane Le Monde, France Info a francúzskeho spravodajského programu 20:00, odhaľuje rozsah sledovania a podrobnosti o osobných údajoch spracovávaných sprostredkovateľmi údajov.

Geolokované osobné údaje miliónov používateľov sa zhromažďujú za podmienok, ktoré často nie sú veľmi transparentné: napríklad hranie online na smartfóne pomocou aplikácie môže generovať prenos údajov, ako sú časy pripojenia, model smartfónu alebo geografická poloha, prvky zhromaždené v gigantických súboroch predávaných maklérmi, ako je American Datastream Group.

V tomto najnovšom súbore je zahrnutých viac ako 47 miliónov ľudí.

Ovplyvnené môžu byť údaje každého, ale aj údajov diplomatov, vojenského personálu alebo novinárov.