Právny prehľad č. 84 – jún 2025. 

Rozšírené kamery: CNIL stanovuje nové pravidlá.

CNIL 11. júla usúdila, že používanie „rozšírených“ kamier na odhad veku zákazníkov v tabakových predajniach s cieľom kontrolovať predaj výrobkov zakázaných maloletým osobám nie je ani nevyhnutné, ani primerané.

Tieto kamery sú prezentované ako nástroj na rozhodovanie. Spoliehajú sa na algoritmus umelej inteligencie, ktorý je predvolene aktivovaný a skenuje tváre všetkých osôb v ich zornom poli, aby odhadol, či ide o maloletých alebo dospelých.

CNIL (francúzsky úrad na ochranu údajov) poznamenáva, že keďže „rozšírená“ kamera vykonáva iba odhad, predajcovia tabakových výrobkov musia od svojich zákazníkov systematicky požadovať dôkaz o veku, aby splnili svoje povinnosti. „V dôsledku toho sa predchádzajúca analýza tváre kamerou na odhad veku nezdá byť potrebná: len by sa pridala ku kontrolám požadovaným zákonom.“

CNIL poukazuje na neprimerané používanie vzhľadom na sledovaný cieľ, ktoré vedie k natáčaniu všetkých osôb, dokonca aj tých, ktoré sú evidentne dospelé, a bráni ľuďom v uplatnení ich práva namietať.

Taktiež sa domnieva, že rozmiestnenie kamier v obytných priestoroch, ako sú napríklad obchody s tabakom, prispieva k riziku trivializácie a zvykania si na formu sledovania, ktorú posilňuje znásobenie takýchto nástrojov.

Nie je to prvýkrát, čo regulačný orgán zaujal stanovisko k tejto otázke. Koncom mája si vyvolal hnev primátora Nice tým, že zakázal umiestňovanie kamier s rozšírenou realitou pred mestskými školami, zdôraznil zhromažďovanie osobných údajov a zopakoval potrebu obmedziť sledovanie ľudí vo verejných priestoroch na nevyhnutné minimum.

V niektorých kontextoch však CNIL uprednostňuje používanie rozšírených kamier: preto usúdila, že nasadenie týchto kamier pre automatické pokladne supermarketov by mohlo predstavovať legitímny záujem na cieli obmedzenia strát príjmov spôsobených chybami alebo krádežami pri pokladniach, ale za určitých podmienok: že systém je nevyhnutný pre sledovaný cieľ a že neúmerne neporušuje práva osôb a že ho nemožno dosiahnuť menej rušivým spôsobom.

Musia sa zaviesť opatrenia na minimalizáciu údajov, ako napríklad obmedzenie oblasti snímania na samoobslužné pokladne a obmedzenie trvania, rozlíšenia a frekvencie snímania. Okrem toho musia byť používatelia informovaní o systéme a musí im byť poskytnutá alternatíva bez kamery.

CNIL má v úmysle regulovať používanie týchto systémov zabezpečením ich nevyhnutnosti a primeranosti v každom jednotlivom prípade. Odporúča tiež uplatňovať zásadu ochrany súkromia už v štádiu návrhu.

Je potrebné pripomenúť, že regulačný rámec pre algoritmický video dohľad je vyvíjajúca sa téma, ktorá podlieha zložitému regulačnému rámcu.

Tento rámec sa líši od rámca biometrických kamier, ktoré systematicky spracovávajú údaje týkajúce sa fyzických charakteristík ľudí s cieľom ich jedinečnej identifikácie alebo autentifikácie.

Tieto operácie spracovania, ktoré zahŕňajú citlivé údaje, sú zakázané, s výnimkou výnimočných okolností.

Pokiaľ ide o „rozšírené“ kamery, v súčasnosti neexistuje žiadny konkrétny text okrem experimentálneho rámca stanoveného zákonom o olympijských a paralympijských hrách z 19. mája 2023.

CNIL nám pripomína, že „mechanizmy, ktoré by mohli ovplyvniť základné záruky poskytované občanom na výkon verejných slobôd, možno použiť len vtedy, ak ich zákon povoľuje a konkrétne upravuje.“

Pre ostatné systémy je potrebné zaviesť silné ochranné opatrenia.

Skúšobná doba pre zákon o olympijských hrách bola nedávno predĺžená do roku 2027, a to aj napriek kontroverznému hodnoteniu.

Tento zákon povoľuje experimentálne používanie rozšírených kamerových zariadení na zaistenie bezpečnosti určitých významných športových, rekreačných a kultúrnych podujatí za veľmi špecifických podmienok: detekcii môžu byť podrobené iba udalosti špecifikované zákonom a nemožno vykonávať rozpoznávanie tváre.

Z politickejšieho hľadiska CNIL vyzýva verejné orgány, aby stanovili hranicu medzi tým, čo by malo a nemalo byť v demokratickej spoločnosti povolené: nie všetko, čo je technicky uskutočniteľné, je nevyhnutne žiaduce z etického a sociálneho hľadiska.

 

 

V kontexte zvýšeného povedomia o boji proti diskriminácii CNIL publikuje odporúčanie o meraní diverzity na pracovisku.

Zdôrazňuje, že takéto opatrenie je chúlostivým krokom, ktorý znamená, že zamestnávatelia musia prísne rešpektovať rozhodnutie Ústavnej rady z 15. novembra 2007, ktoré sa pravidelne a nesprávne interpretuje ako absolútny zákaz štatistík týkajúcich sa pôvodu.

Komisia zdôrazňuje najmä to, že vyšetrovania musia zostať dobrovoľné a zamestnanci alebo zástupcovia musia byť riadne informovaní a ich práva musia byť rešpektované.

Taktiež odporúča uprednostniť anonymné prieskumy a obmedziť údaje zhromažďované prostredníctvom uzavretých otázok.

CNIL tiež zverejnila dve často kladené otázky o používaní umelej inteligencie v školách a mangu zameranú na zvýšenie povedomia mladých ľudí o ochrane ich osobných údajov.

Zverejnila tiež odporúčania týkajúce sa nástrojov na meranie internetového publika a nástroja sebahodnotenia na vyhodnotenie ich súladu s právnym rámcom.

Zverejnila odporúčania týkajúce sa vývoja systémov umelej inteligencie, ktoré špecifikujú podmienky pre využitie oprávneného záujmu, najmä v prípade zberu údajov (web scraping), a 12. júna otvorila verejnú konzultáciu k návrhu odporúčania týkajúcemu sa používania sledovacích pixelov v e-mailoch.

Cieľom je pomôcť subjektom, ktoré používajú tieto sledovacie nástroje, lepšie pochopiť ich povinnosti, najmä pokiaľ ide o získavanie súhlasu používateľov.

Podľa publikácie média Cybernews, ktoré sa zaoberá kybernetickou bezpečnosťou, z 30. júna je v súčasnosti online dostupných 16 miliárd ukradnutých používateľských mien a hesiel.

Medzi ohrozené informácie patria identifikátory, ako sú používateľské mená a e-mailové adresy, ako aj heslá.

Adresáre obsahujú aj prístupové tokeny, prihlasovacie súbory cookie a metadáta.

 Nešlo by o nový únik údajov, ale o súhrn rôznych únikov údajov z minulosti, čo môže zvýšiť riziko krádeže údajov tým, že uľahčí prácu zlomyseľným aktérom.

Spoločnosť Google riskuje rekordnú pokutu vo výške 525 miliónov eur za nakladanie so súbormi cookie a reklamou v schránkach doručenej pošty Gmail.

Vo svojom návrhu rozhodnutia CNIL obviňuje spoločnosť Google z porušenia zásad implementujúcich európsku smernicu o súkromí a elektronických komunikáciách tým, že nezískala súhlas používateľa so sťahovaním súborov cookie pri vytváraní účtu Gmail a so zobrazovaním reklám, ktoré sa javia ako e-maily, v schránkach doručenej pošty Gmailu.

Ak užší výbor CNIL pokutu potvrdí, bude to najvyššia pokuta v histórii CNIL a najvyššia pokuta, aká kedy bola uložená za porušenie smernice o súkromí a elektronických komunikáciách. Konečné rozhodnutie bude oznámené o niekoľko týždňov.

Nedodržiavanie GDPR je dôvodom na ukončenie zmluvy, najmä v oblasti služieb rozvoja digitálnej komunikácie: v nadväznosti na predchádzajúce rozhodnutia Odvolací súd v Bordeaux vo svojom rozsudku z 11. júna 2025 potvrdil existenciu ochranného zariadenia reCAPTCHA spojeného s niekoľkými súbormi cookie umiestnenými bez súhlasu koncového používateľa.

Vzhľadom na pokračujúce porušovanie zmluvných podmienok zo strany poskytovateľa služieb má klient právo požiadať o ukončenie zmluvy podľa článkov 1610, 1217 a 1224 Občianskeho zákonníka.

 

Európske inštitúcie a orgány

Harmonogram implementácie európskeho nariadenia o umelej inteligencii bol zverejnený v polovici júna.

Po fámach o možnej lehote odkladu Komisia objasnila, že text sa bude uplatňovať v súlade s predpísanými lehotami.

Toto nariadenie sa vzťahuje na systémy umelej inteligencie na základe rizík, ktoré predstavujú, a upravuje modely umelej inteligencie na všeobecné použitie (GPAI) na základe ich schopností.

Pravidlá týkajúce sa GPAI nadobudnú účinnosť 2. augusta 2026; pre existujúce systémy sa uplatňovanie začne 2. augusta 2027.

Okrem toho bol 10. júla zverejnený Kódex osvedčených postupov pre všeobecnú umelú inteligenciu.

Obsahuje 3 kapitoly.

Kapitoly o transparentnosti a autorských právach poskytujú všetkým poskytovateľom univerzálnych modelov umelej inteligencie prostriedky na preukázanie, že si plnia svoje povinnosti podľa § 53 zákona o umelej inteligencii.

Kapitola o bezpečnosti a ochrane sa týka len malého počtu dodávateľov vysoko pokročilých modelov, na ktorých sa vzťahujú povinnosti stanovené pre dodávateľov univerzálnych modelov umelej inteligencie, ktoré predstavujú systémové riziko podľa § 55 zákona o umelej inteligencii.

Podľa interného dokumentu, ktorý mal MLex nahliadnuť, sa návrh Európskej komisie na „digitálny omnibus“ v súčasnosti očakáva do 10. decembra.

Bude súčasťou balíka, ktorý zahŕňa nariadenie o digitálnych sieťach, revíziu nariadenia o kybernetickej bezpečnosti a európsku elektronickú peňaženku.

Predbežné prijatie predpisov týkajúcich sa vývoja cloudu a umelej inteligencie je naplánované na nasledujúci týždeň.

Koncom júna európske inštitúcie prijali spoločné stanovisko k dodatočným procesným pravidlám týkajúcim sa implementácie GDPR. Text musí teraz formálne schváliť hlasovaním Európsky parlament.

Na dvojdňovom stretnutí v Helsinkách 1. a 2. júla Európsky výbor pre ochranu údajov (EDPB) oznámil, že pomôže organizáciám lepšie pochopiť ich povinnosti vyplývajúce z GDPR zverejnením zjednodušených usmernení. Predsedníčka výboru vo svojom vyhlásení uviedla, že „prostredníctvom stručných a aktuálnych usmernení a nástrojov pripravených na použitie, ako je napríklad spoločná šablóna oznámenia o porušení ochrany údajov, kontrolné zoznamy, praktické príručky a často kladené otázky, budeme naďalej zabezpečovať, aby bol súlad s GDPR dosiahnuteľný a dostupný pre všetkých.“

Transatlantické toky údajov zostávajú zatiaľ v platnosti v rámci „rámca ochrany údajov“ napriek opatreniam prijatým Trumpovou administratívou, ktoré oslabujú rámec ochrany údajov v Spojených štátoch.

Európska komisia v polovici júna v odpovedi na parlamentnú otázku potvrdila, že odvolanie členov PCLOB (Výbor pre dohľad nad ochranou súkromia a občianskych slobôd) nemá vplyv na platnosť rámca ochrany údajov medzi EÚ a Spojenými štátmi, keďže PCLOB môže naďalej fungovať.

 

Správy z členských krajín Európskej únie.

Úrad na ochranu údajov (DPA) štátu Berlín v rozhodnutí z 27. júna dospela k záveru, že prenosy údajov spoločnosti DeepSeek do Číny sú nezákonné a žiada spoločnosti Google a Apple, aby aplikáciu zablokovali.

Spoločnosť DeepSeek údajne nebola schopná poskytnúť úradu pre ochranu údajov presvedčivé dôkazy o tom, že údaje nemeckých používateľov sú v Číne chránené na úrovni rovnocennej s úrovňou ochrany v Európskej únii.

„Čínske úrady majú rozsiahle prístupové práva k osobným údajom, ktoré uchovávajú čínske spoločnosti. Okrem toho používatelia DeepSeek v Číne nemajú vymáhateľné práva a účinné právne prostriedky nápravy, aké sú zaručené v Európskej únii.“

Belgická APD 26. júna zamietla 16 sťažností podaných mimovládnou organizáciou Noyb v 5 rôznych prípadoch z dôvodu, že neexistoval skutočný (nie fiktívny) mandát od dotknutých osôb.

Vo svojej tlačovej správe APD zdôrazňuje rozdiel medzi článkami 80(1) a 80(2) GDPR a skutočnosť, že belgický zákonodarca sa rozhodol nepovoliť organizáciám na ochranu spotrebiteľských práv podávať sťažnosti bez mandátu.

Na záver uviedla, že „vzhľadom na dôležitosť týchto organizácií je za legislatívnu zmenu, ktorá by túto možnosť umožnila aj v Belgicku“.

V DánskuNovela autorského zákona udelí občanom právo na ich hlas, tvár a telo, a to aj v prípade, že sú digitálne reprodukované generatívnou umelou inteligenciou.

Dánsky minister kultúry v tejto súvislosti uviedol, že „ľudským bytostiam hrozí, že sa z nich stanú digitálne kopírky a budú ich používať na všetky možné zneužívajúce účely, a ja to nie som pripravený akceptovať.“

V ŠpanielskuAPD uložila spoločnosti Carrefour pokutu vo výške 3 200 000 eur po sérii únikov údajov.

Zistila, že Carrefour nezaviedol primerané bezpečnostné opatrenia a nenahlásil porušenie dotknutým osobám.

APD tiež uložil subdodávateľovi pokutu vo výške 12 000 eur za uzavretie zmluvy so sekundárnym subdodávateľom bez súhlasu prevádzkovateľa, čím porušil článok 28(2) GDPR.

Microsoft čelí prvej hromadnej žalobe v Írsku Írska rada pre občianske slobody (ICCL) začala koncom mája konanie na Najvyššom súde v Dubline. Táto žaloba, podaná na základe novej európskej smernice o kolektívnom uplatňovaní nárokov, tvrdí, že systém ponúkania cien v reálnom čase (RTB) používaný spoločnosťou Microsoft na poskytovanie cielenej online reklamy je nezlučiteľný s GDPR.

Dokumenty týkajúce sa žiadostí o prístup nemožno uchovávať na dobu neurčitú: po vyšetrovaní iniciovanom používateľom, Litovská oficiálna rozvojová pomoc nariadil poskytovateľovi zdravotníckych služieb stanoviť lehoty uchovávania dokumentov súvisiacich so spracovaním žiadostí o prístup.

Dajte si pozor na sledovacie pixely: Nórska oficiálna rozvojová pomoc (ODA) uložila obci Kristiansand pokutu vo výške 250 000 NOK (21 600 EUR) za nezákonné spracovanie osobných údajov detí prostredníctvom služieb Snap a Meta pixels na jej webovej stránke linky pomoci pre obete zneužívania detí.

APD tiež usúdil, že informácie týkajúce sa návštev stránok webovej stránky s obsahom o konkrétnych lekárskych otázkach predstavujú citlivé údaje a pokarhal spoločnosť za nezákonné spracovanie týchto citlivých informácií prostredníctvom metapixelu.

 

V Spojenom kráľovstve získal zákon o používaní a prístupe k údajom (DUAA) 19. júna kráľovský súhlas. Tento zákon obsahuje ustanovenia zamerané na podporu rozvoja služieb digitálneho overovania, nových programov inteligentných dát, ako je napríklad Open Banking, a nového národného registra podzemných aktív.

Zahŕňa aj významné zmeny v britských právnych predpisoch o ochrane údajov.

DUAA nenahradí britské GDPR, ale prinesie určité zmeny „na zjednodušenie pravidiel pre organizácie, podporu inovácií, pomoc orgánom činným v trestnom konaní v boji proti kriminalite a umožnenie zodpovedného zdieľania údajov pri zachovaní vysokých štandardov ochrany údajov“.

V Spojených štátoch nedávne rozhodnutie Najvyššieho súdu v prípade Free Speech Coalition vs. Paxton otriaslo digitálnou krajinou.Článok z IAPP vyjadruje obavy nad spochybňovaním pojmov overovanie veku, sloboda prejavu a dôsledky pre súkromie.

Rozhodnutie z 27. júna potvrdzuje texaský zákon, ktorý vyžaduje, aby webové stránky ponúkajúce obsah pre dospelých overovali vek návštevníkov pomocou potenciálne rušivých techník, ako sú biometria. Hoci cieľom tohto rozhodnutia je chrániť maloletých pred explicitným obsahom, zároveň vyvoláva otázky o rizikách spojených so zhromažďovaním citlivých osobných údajov.

Aj v Spojených štátoch Kongres začiatkom júla hlasoval za prijatie zákona „One Big Beautiful Bill Act“ (Jeden veľký krásny zákon).kodifikácia národnej agendy prezidenta Trumpa s jednou kľúčovou výnimkou: moratórium na reguláciu umelej inteligencie, ktoré bolo pôvodne zahrnuté v návrhu zákona. Toto moratórium by zastavilo viac ako 1 000 návrhov zákonov o regulácii umelej inteligencie, ktoré od januára prechádzali legislatívnymi procesmi v hlavných mestách štátov.

Spoločnosť Meta, vlastník aplikácie WhatsApp, 16. júna oznámila spustenie nových funkcií na karte „Aktualizácie“ v aplikácii WhatsApp, vrátane cielenej reklamy a modelu predplatného.Spoločnosť uviedla, že tieto funkcie budú postupne sprístupňované používateľom „v priebehu nasledujúcich mesiacov“. Na tento účel bude Meta používať „reklamné preferencie a informácie“ z účtov používateľov na Facebooku a Instagrame, ktoré sú prepojené s WhatsApp.

Írska komisia na ochranu údajov (DPC) uviedla, že spoločnosť WhatsApp ju informovala, že jej reklamný model nebude v EÚ zavedený do roku 2026 a že bude prerokovaný s ostatnými orgánmi na ochranu údajov, aby mohli ako európski regulátori vyjadriť svoje obavy.

Podľa novín L'Express z 26. mája plánuje Rusko od 1. septembra 2025 zaviesť experimentálny projekt, ktorý od cudzincov s dočasným pobytom v Moskve a jej regióne vyžaduje používanie mobilnej geolokačnej aplikácie a podrobovanie sa biometrickým kontrolám.Používatelia sa budú musieť zaregistrovať v aplikácii, „súhlasiť so zhromažďovaním svojich osobných údajov vrátane geolokácie, uviesť ministerstvu vnútra miesto svojho bydliska a aktualizovať ho do troch dní, ak sa presťahujú“.