Právny prehľad č. 67 – január 2024.

Úloha a zdroje zodpovedných osôb za ochranu údajov: výsledky ročných auditov

CNIL a jej európski náprotivky zverejnili 17. januára výsledky svojich vyšetrovaní týkajúcich sa úlohy a zdrojov zodpovedných osôb (DPO) v kontexte uplatňovania GDPR.

Táto téma bola predmetom koordinovaného európskeho konania Európskeho výboru pre ochranu údajov (EDPB) v roku 2023.

Medzi hlavné funkcie zodpovednej osoby, ako sú stanovené v článkoch 37 až 39 GDPR, patrí informovanie a poradenstvo prevádzkovateľovi v otázkach ochrany údajov (vrátane vykonávania posúdení vplyvu), zvyšovanie povedomia a školenie zamestnancov a monitorovanie porušení ochrany údajov.

Zodpovedná osoba spolupracuje s dozorným orgánom a je kontaktnou osobou pre osoby, ktorých údaje sa spracúvajú.

Vyšetrovania orgánov na ochranu údajov boli založené na dotazníku, ktorý spoločne vypracovali všetky orgány, ktoré ho tvoria.

Vo Francúzsku CNIL vykonala audit 14 prevádzkovateľov údajov a zaslanie dotazníka doplnila niekoľkými kontrolami na mieste.

Kontroly sa týkali verejných subjektov, ako sú nemocnice, univerzity, obce, riadiace centrá a súkromné subjekty v sektore luxusného tovaru a dopravy.

Za zmienku stojí obzvlášť nízky počet kontrolovaných úradníkov.

Podobne ako niekoľko európskych orgánov, aj CNIL sa rozhodla vykonať obmedzený počet hĺbkových vyšetrovaní, zatiaľ čo iné orgány kontaktovali desaťtisíce manažérov bez toho, aby vykonali takéto dôkladné kontroly.

Správa EDPB vo svojej analýze zohľadňuje tieto rozdiely v prístupe.

CNIL celkovo pozitívne hodnotí úlohu a zdroje pridelené úradníkovi pre ochranu údajov.

Poznamenáva, že vo všeobecnosti majú dostatočné zdroje.

Zdôrazňuje však veľké rozdiely medzi zdrojmi pridelenými úradníkom pre ochranu údajov vo verejných štruktúrach, ktorí často pracujú samostatne, najmä v malých komunitách, zatiaľ čo úradníci pre ochranu údajov v súkromnom sektore majú vo všeobecnosti tím.

Toto pozorovanie je potvrdené na európskej úrovni.

Medzi zistenými nedostatkami je riziko konfliktu záujmov medzi povinnosťami zodpovednej osoby a inými úlohami, ktoré sú jej pridelené, ako aj nedostatočné zapojenie zodpovednej osoby do rozhodnutí týkajúcich sa ochrany údajov.

CNIL v tejto súvislosti uvádza, že (mimo tohto vyšetrovania) uložila organizácii v sociálnom sektore pokutu 10 000 eur, pretože delegát nebol schopný riadne vykonávať svoje povinnosti: nebol dostatočne zapojený do záležitostí týkajúcich sa ochrany osobných údajov a jeho funkcie neboli pre zamestnancov organizácie viditeľné.

Európska správa uzatvára túto analýzu konštatovaním, že zodpovedné osoby (DPO) čoraz viac preberajú okrem svojej úlohy týkajúcej sa GDPR aj kľúčové úlohy v kontexte nových európskych nariadení, ako sú tie, ktoré sa týkajú umelej inteligencie, digitálnych služieb, digitálneho trhu alebo údajov. 

Dostávajú tiež nové úlohy súvisiace s etikou, riadením údajov a dátovými priestormi.

Vzhľadom na tento trend výbor varuje pred zvýšeným rizikom konfliktu záujmov alebo nedostatočným množstvom zdrojov, ktoré majú úradníci pre ochranu údajov k dispozícii.

Zdôrazňuje, že orgány na ochranu údajov, ako aj prevádzkovatelia údajov, zohrávajú zásadnú úlohu, aby zodpovedná osoba mohla plne plniť svoju úlohu.

 

     

• CNIL v posledných týždňoch uvalila niekoľko významných sankcií.
• 29. decembra 2023 uložila spoločnosti Yahoo pokutu 10 miliónov eur za nerešpektovanie voľby používateľov internetu, ktorí odmietli súbory cookie na jej webovej stránke, a za to, že používateľom jej služby zasielania správ neumožnila slobodne odvolať svoj súhlas s používaním súborov cookie.
• Francúzsky úrad pre ochranu údajov (CNIL) po vykonaní kontrol na mieste v skladoch spoločnosti Amazon France Logistique 27. decembra zistil aj niekoľko porušení GDPR týkajúcich sa rozsiahleho monitorovania pracovísk a udelil nadnárodnej spoločnosti pokutu vo výške 32 miliónov eur. Podľa CNIL spoločnosť Amazon zaviedla „príliš rušivý“ monitorovací systém, ktorý funguje bez poskytovania informácií a nie je dostatočne bezpečný.
• CNIL 29. decembra uložila spoločnosti NS Cards France, distribútorovi elektronických peňazí, pokutu vo výške 105 000 eur za nadmerné uchovávanie osobných údajov, neúplné zásady ochrany osobných údajov, nedostatočné bezpečnostné opatrenia a nedostatok súhlasu používateľov s nepodstatnými súbormi cookie.
• Napokon začína verejnú konzultáciu k návrhu príručky týkajúcej sa posúdenia vplyvu prenosov údajov mimo Európskeho hospodárskeho priestoru: pred akýmkoľvek prenosom do krajiny, ktorá nemá rozhodnutie o primeranosti, sa musí vykonať hodnotenie úrovne ochrany údajov v prijímajúcej krajine, ako aj posúdenie záruk, ktoré sa majú pre tento prenos poskytnúť. Príspevky je možné predkladať do 12. februára 2024.
• Francúzska národná agentúra pre kybernetickú bezpečnosť (ANSSI) oznámila spustenie Hackropole, novej platformy určenej na predstavenie kariéry v kybernetickej bezpečnosti. Platforma ponúka viac ako 300 výziev dostupných pre všetkých, ktoré pokrývajú všetky oblasti kybernetickej bezpečnosti, od kryptografie až po hacking.

 

Európske inštitúcie a orgány 

• Belgicko prevzalo začiatkom januára na šesť mesiacov predsedníctvo Rady Európskej únie so sloganom „Chrániť, posilňovať a pripravovať“.

Medzi témy, ktoré sa budú riešiť v roku 2024, patrí kybernetická odolnosť pripojených produktov, digitálna identita, dátové priestory, cezhraničné uplatňovanie GDPR a umelá inteligencia.

 Rok 2024 bude tiež rokom implementácie mnohých zákonov dokončených v minulom roku vrátane právo digitálnych služieb, tam právo digitálnych trhov a zákon o správe údajov.

• 2. februára veľvyslanci 27 krajín Európskej únie jednomyseľne, ale nie bez ťažkostí, schválili predpisy o umelej inteligencii, čím na vládnej úrovni schválila politickú dohodu dosiahnutú v decembri.

Po hlasovaní výborov Európskeho parlamentu v polovici februára je prijatie na plenárnom zasadnutí predbežne naplánované na 10. a 11. apríla.

Nariadenie nadobudne účinnosť 20 dní po jeho uverejnení v úradnom vestníku.

Zákazy zakázaných praktík začnú platiť o šesť mesiacov neskôr a povinnosti týkajúce sa modelov umelej inteligencie do roka.

• Súbežne s tým Európska komisia 24. januára oznámila vytvorenie Európskeho úradu pre umelú inteligenciu, ktorý má prispieť k implementácii a uplatňovaniu budúceho nariadenia.

Cieľom tohto úradu bude publikovať usmernenia na stanovenie harmonizovaných pravidiel v celej EÚ a podporovať a uľahčovať tvorbu kódexov postupov a kódexov správania na úrovni Únie.

• Legislatívny proces týkajúci sa Predpisy CSAR Keďže systém („kontrola chatu“) ešte zďaleka nie je dokončený, Európska únia navrhla predĺžiť dočasné riešenie, ktoré by technologickým gigantom umožnilo dobrovoľne skenovať zariadenia svojich zákazníkov na prítomnosť detskej pornografie.

Toto opatrenie vyvolalo kritiku, najmä zo strany Európskeho dozorného úradníka pre ochranu údajov (EDPS). V stanovisku zverejnenom 29. januára EDPS vyjadril obavy týkajúce sa cieľov tohto nariadenia, ktoré by obmedzili právo jednotlivcov na dôvernosť ich komunikácie.

• Európska komisia 31. januára zverejnila hodnotiacu tabuľku transparentnosti zákona o digitálnych službách (DSA). Táto tabuľka poskytuje prehľad rozhodnutí o moderovaní obsahu, ktoré prijali najväčšie online platformy.
• Európske nariadenie o údajoch nadobudlo účinnosť v januári 2024.

Medzi jeho ciele patrí podpora spravodlivého zdieľania údajov, umožnenie orgánom verejného sektora používať údaje držané súkromným sektorom na konkrétne účely verejného záujmu a umožnenie zákazníkom jednoduchú zmenu poskytovateľov služieb spracovania údajov s cieľom podporiť európsky trh s cloudovými službami.

• Európska komisia bude vyšetrovať partnerstvo medzi spoločnosťami Microsoft a OpenAI, v rámci ktorého spoločnosť MS plánuje integrovať sadu nástrojov umelej inteligencie do svojich vlastných produktov.

V tlačovej správe z 9. januára Komisia vyzýva všetky zainteresované strany, aby sa podelili o svoje skúsenosti a pripomienky k úrovni hospodárskej súťaže v kontexte virtuálnych svetov a generatívnej umelej inteligencie, ako aj o svoje názory na to, ako môže právo hospodárskej súťaže pomôcť zabezpečiť, aby tieto nové trhy zostali konkurencieschopné.

• Európska komisia zverejnila svoju správu 15. januára. hodnotenie 11 rozhodnutí o vhodnosti prijaté podľa smernice o ochrane údajov z roku 1995.

Poznamenáva, že osobné údaje prenášané z Európskej únie do Andorry, Argentíny, Kanady, Faerských ostrovov, Guernsey, Ostrova Man, Izraela, Jersey, Nového Zélandu, Švajčiarska a Uruguaja naďalej požívajú výhody rozhodnutia o primeranosti podľa GDPR.

• Európsky výbor pre ochranu údajov (EDPB) zverejnil nástroj na audit webových stránok pre súlad so všeobecným nariadením EÚ o ochrane údajov.

Tento nástroj vyvinula skupina expertov EDPB a môžu ho používať orgány na ochranu údajov, ako aj prevádzkovatelia a spracovatelia údajov, na zefektívnenie prípravy, vykonávania a hodnotenia auditov. Ide o bezplatný softvér s otvoreným zdrojovým kódom licencovaný pod licenciou EUPL 1.2 a je možné si ho stiahnuť z webovej stránky code.europa.eu.

• EDPB tiež 18. januára zverejnil spis o bezpečnosti spracovania údajov a oznámení o porušení údajov.

Dokument analyzuje rozhodnutia prijaté dozornými orgánmi v súlade s článkom 60 GDPR v rámci mechanizmu jednotného kontaktného miesta v oblasti bezpečnosti spracovania a porušení ochrany osobných údajov.

• Súdny dvor EÚ vo svojom rozsudku z 30. januára rozhodol, že všeobecné a nediferencované uchovávanie biometrických a genetických údajov osôb odsúdených za trestné činy až do ich smrti je v rozpore s právom EÚ, a najmä s právom byť zabudnutý.
• Súdny dvor EÚ tiež 16. januára rozhodol, že GDPR sa vzťahuje na národné parlamentné výbory.

Súdny dvor objasnil pojem národnej bezpečnosti a uviedol, že v prípade neexistencie dôkazov o cieli národnej bezpečnosti musia vnútroštátne súdy určiť, či sa uplatňuje článok 2(2)(a) týkajúci sa rozsahu pôsobnosti GDPR.

• Technologickí giganti majú do 6. marca čas na to, aby splnili ustanovenia európskeho nariadenia o digitálnych trhoch, a najmä musia svojim používateľom umožniť registráciu pre jednu službu bez jej automatického prepojenia s inou.

V tejto súvislosti spoločnosť Meta 22. januára oznámila, že používatelia Instagramu a Facebooku budú môcť spravovať svoje účty samostatne, takže ich informácie už nebudú zdieľané medzi týmito dvoma účtami.

Spoločnosť Google tiež na stránke centra pomoci spomenula možnosť, aby si európski používatelia vybrali služby, ktoré chcú zachovať prepojené z hľadiska zdieľania údajov.

 

Správy z členských štátov EÚ

• Dňa 11. decembra 2023 vydal holandský úrad pre ochranu údajov (APD) v spolupráci s CNIL rozhodnutie proti spoločnostiam Uber BV a Uber Technologies

Spoločnosť Inc. dostala pokutu desať miliónov eur za niekoľko nedostatkov pri poskytovaní informácií vodičom. 

Tieto nedostatky sa týkajú najmä postupov týkajúcich sa práva na prístup k údajom, prenosov mimo EÚ, lehôt uchovávania a práva na prenosnosť údajov.

• Holandský úrad na ochranu údajov tiež udelil spoločnosti ICS, ktorá vydáva kreditné karty, pokutu 150 000 eur za to, že nevykonala posúdenie vplyvu (DPIA).

Vo svojich úvahách APD zdôraznil, že absencia DPIA sama o sebe predstavuje porušenie GDPR, ale zároveň zvyšuje pravdepodobnosť ďalších porušení nariadenia, pretože pred vykonaním spracovania sa nezohľadnia riziká.

• Belgický úrad na ochranu údajov (APD) udelil sprostredkovateľovi údajov pokutu 174 640 eur.

Okrem iných porušení sa prevádzkovateľ nemohol odvolávať na oprávnený záujem zhromažďovať údaje od tretích strán.

Taktiež v rámci žiadosti o prístup neinformoval žiadateľa o zdrojoch a príjemcoch údajov. 

• Belgický úrad tiež vyšetroval praktiky prevádzkovateľa údajov po úniku údajov, ktorý sa dotkol takmer 90 000 ľudí.

Neprijala žiadne sankcie, keďže porušenie ochrany údajov išlo o ojedinelý incident a prevádzkovateľ údajov dodržal článok 33 GDPR.

• Rakúsky úrad na ochranu údajov (APD) udelil prevádzkovateľovi pokutu 10 000 eur za to, že s ním nespolupracoval v konaní o sťažnosti, čím porušil článok 31 GDPR.
• V Nemecku dostal bezpečnostný výskumník 17. januára pokutu 3 000 eur za objavenie a nahlásenie bezpečnostnej chyby v databáze elektronického obchodu, ktorá odhalila takmer 700 000 záznamov o zákazníkoch.

Zistenie hesla v obyčajnom texte a jeho použitie bez povolenia pri vyhľadávaní sa považuje za trestný čin.

Toto rozhodnutie, proti ktorému sa bude odvolávať, kritizuje bezpečnostný expert za jeho odrádzajúci vplyv na legitímny výskum zraniteľností systému.

• Koncom januára dánsky úrad na ochranu údajov (APD) zistil, že obec porušila bezpečnostné pravidlá GDPR tým, že nešifrovala pevné disky svojich počítačov.

Z domu zamestnanca bol ukradnutý pracovný počítač, ktorý obsahoval citlivé osobné údaje, údaje o sociálnom zabezpečení a údaje týkajúce sa maloletých.

Pevný disk nebol šifrovaný.

Vyšetrovanie odhalilo, že takmer 1 200 notebookov obce tiež nebolo šifrovaných.

• Britské Národné centrum pre kybernetickú bezpečnosť zverejnilo 24. januára znepokojujúcu správu o krátkodobom vplyve umelej inteligencie na kybernetické hrozby.

V správe sa najmä uvádza, že Umelá inteligencia v nasledujúcich dvoch rokoch určite zvýši objem a dopad kybernetických útokov vďaka vylepšeniam existujúcich taktík, techník a postupov.

Taktiež poznamenáva, že umelá inteligencia obmedzuje ťažkosti pre amatérskych kyberzločincov, ktorí budú čoskoro schopní spúšťať sofistikované phishingové útoky, ktoré bude pre príjemcov ťažké identifikovať.

 

• Koncom januára diskutovali komisár pre vnútorný trh Thierry Breton a minister vnútornej bezpečnosti USA Alejandro N. Mayorkas o... Spoločný akčný plán EÚ a USA pre kyberneticky bezpečné produktypo samite EÚ – USA v októbri 2023.

Cieľom tejto spolupráce medzi Komisiou a príslušnými regulačnými agentúrami USA je preskúmať možné vzájomné uznávanie požiadaviek na kybernetickú bezpečnosť pre spotrebiteľský hardvér a softvér internetu vecí.

Akčný plán je založený na rámci práva EÚ o kybernetickej odolnosti a na programe označovania kybernetickej bezpečnosti, ktorý navrhli Spojené štáty (Cyber Trust Mark Act).

• Administratíva Bidena a Harrisa oznámila kľúčové opatrenia v oblasti umelej inteligencie 29. januára po tom, čo prezident Biden pred tromi mesiacmi prijal výkonný príkaz.

Vyhláška najmä stanovuje základné požiadavky na zverejňovanie informácií pre vývojárov najvýkonnejších systémov, posudzovanie rizík umelej inteligencie pre kritickú infraštruktúru a „bránenie snahám zahraničných aktérov vyvíjať umelú inteligenciu na škodlivé účely“.

Príslušné federálne agentúry a oddelenia uviedli, že všetky opatrenia stanovené v dekréte splnili do 90 dní a informovali o pokroku v opatreniach plánovaných na dlhodobý horizont.

• Kanadská vláda vytvorila „glosár osobných údajov a súkromia“, ktorý obsahuje anglické a francúzske výrazy pre viac ako 300 pojmov.

Zahŕňa aj ďalšie terminologické informácie (ktoré sa môžu v jednotlivých záznamoch líšiť), ktoré zahŕňajú ďalšie označenia, definície, poznámky a príklady použitia.

• Dvaja výskumníci z Carnegieho nadácie pre medzinárodný mier naliehavo vyzvali juhoafrickú vládu, aby dala najvyššiu prioritu kybernetickej bezpečnosti a aby v tejto oblasti prevzala silnejšie vedúce postavenie na medzinárodnej scéne.

Napriek digitálnej závislosti výskumníci naznačujú, že kybernetická stratégia krajiny má vážny nedostatok finančných prostriedkov a vláda nemá jasnú pozíciu v diskusiách o kybernetickej správe.

Podľa Juhoafrickej rady pre vedecký a priemyselný výskum je Južná Afrika africkou krajinou, ktorá je najviac terčom týchto kybernetických útokov, a je ôsma na svete.