Pravna ura št. 80 – februar 2025. 

Prenos podatkov v Združene države Amerike: oslabljen pravni okvir.

5. februarja je 19 poslancev Evropskega parlamenta z vsega političnega spektra pozvalo Evropsko komisijo, naj preuči, ali je "Okvir za varstvo podatkov" (DPF), ki ureja čezatlantski prenos podatkov, še vedno uporaben.

Podobno vprašanje mu je 6. februarja postavil predsednik Odbora za državljanske svoboščine, pravosodje in notranje zadeve.

Ta vprašanja je sprožila odločitev Donalda Trumpa, da konča mandate trem demokratskim članom Nadzorni odbor za zasebnost in državljanske svoboščine (PCLOB), ki nima več potrebne sklepčnosti za delovanje.

V okviru transatlantskega sporazuma je bil PCLOB obravnavan kot bistveno sredstvo za spoštovanje individualnih pravic v zadevah množičnega nadzora.

Od takrat se zdijo ameriška jamstva glede varstva podatkov vse bolj krhka.

Glede na članek, ki ga je 3. marca objavil Euractiv, je eden od sodnikov pritožbenega organa PCLOB, Sodišča za pregled varstva podatkov, izginil s seznama sodnikov na spletni strani, odstopil pa je tudi posebni odvetnik.

Poleg tega naj bi »če Donald Trump ni odpustil generalnega inšpektorja, zadolženega za nadzor obveščevalnih agencij, pa jih je odpustil vsaj 17,« odpuščeni pa naj bi bili tudi člani enote za varstvo zasebnosti »Urada za upravljanje s kadri«.

Končno, "Projekt 2025", politični program, povezan s Trumpovo administracijo, meni, da bi moral novoizvoljeni predsednik opraviti študijo o "Bidenovem" izvršnem ukazu o DPF in "ponastaviti evropska pričakovanja".

Ta projekt načrtuje tudi začasno ukinitev določb, ki neupravičeno ovirajo zbiranje informacij.

Velja spomniti, da je bilo pomanjkanje neodvisnih mehanizmov nadzora in pritožb v zvezi z ameriškimi obveščevalnimi agencijami razlog za odpoved prejšnjega sporazuma, ščita zasebnosti. 

Ti različni dejavniki ne obetajo dobrega za izvedljivost transatlantskega sporazuma. Odprto vprašanje je, kdaj bodo razmere uradno razjasnjene.

Evropska komisija zaenkrat molči, vendar naj bi na parlamentarna vprašanja odgovorila pred koncem meseca.

Sodišče Evropske unije, ki je zadevo že obravnavalo, bi lahko izdalo odločitev v skladu s svojima prejšnjima odločitvama, s katerima sta bila razveljavljena „načela varnega pristana“ oziroma „ščit zasebnosti“, vendar datum te odločitve še ni znan.

Kaj pa organi za varstvo podatkov?

Norveški organ za varstvo podatkov (Datatilsynet) je 26. februarja izdal izjavo o zadevi. Ponovno je poudaril, da sklep Evropske komisije o ustreznosti, ki potrjuje transatlantski trgovinski sporazum, ostaja v veljavi, dokler ga Evropska komisija ali Sodišče Evropske unije (SEU) morebiti ne prekliče.

Organi za varstvo podatkov so zavezani tem odločitvam in ne morejo prepovedati prenosov, ki se izvajajo v skladu z odločitvijo o ustreznosti.

Glede na trenutne razmere, Kljub temu APD upravljavcem podatkov svetuje, naj razvijejo izhodno strategijo v primeru, da bi bil trenutni okvir razveljavljen. ker bi se sprememba lahko zgodila brez prehodnega obdobja.

Prvo priporočilo upravljavcem podatkov danes je, da pripravijo celovit popis vseh prenosov podatkov, ki jih izvaja njihovo podjetje.

Naloga je zahtevna, ker so Združene države Amerike zdaj vseprisotne v našem digitalnem svetu in tako kot gospod Jourdain vsak dan prenašamo podatke, ne da bi se tega zavedali.

Upoštevati bo treba jasno opredeljene prejemnike v Združenih državah Amerike, pa tudi na primer uporabo ameriških storitev »v oblaku« na evropskih tleh ter več storitev prikaza ali povezovanja, kot so Googlove pisave, analitika ali zemljevidi ali celo Facebook: Sodišče Evropske unije je v svoji odločbi T-354/22 obsodilo Evropsko komisijo zaradi kršitve GDPR v okviru spletne prijave na dogodek, ki ga je organizirala.

S hiperpovezavo »poveži se s Facebookom«, prikazano na domači strani, je »ustvarila pogoje, ki so omogočali prenos IP-naslova prosilca Facebooku« in posledično Združenim državam Amerike v obdobju, ko je bil ščit zasebnosti razveljavljen.

Kjer obstajajo evropske alternative, lahko te predstavljajo zanimivo rešitev.Na primer, govorimo o evropskem oblaku ali certificiranem francoskem oblaku.

Kar zadeva sledilnike, je CNIL objavil seznam anonimnih orodij za merjenje občinstva.

V primerih, ko prenos ostaja bistven, se bo moral izvoznik zanašati na orodja, kot so standardne pogodbene klavzule ali zavezujoča poslovna pravila, in izvesti analizo učinka z natančnim dokumentiranjem tveganj prestrezanja podatkov s strani organov čez Atlantik in zagotovljenih zaščitnih ukrepov, kar je še posebej težka naloga.

CNIL je 31. januarja objavil končno različico svojega priročnika o ocenah učinka za prenose podatkov zunaj Evropske unije.

Tako kot njegov norveški kolega bo verjetno objavil priporočila v zvezi s prihajajočim mednarodnim dogajanjem.

 

  

V predlagani zakon proti trgovini z drogami je bil pravkar vložen amandma, katerega cilj je prisiliti platforme k izvajanju ukrepov, ki organom pregona omogočajo dostop do podatkov, zlasti do podatkov storitev šifriranega sporočanja.

V pripombah, naslovljenih na vlado in poslance, je več podjetij, vključno z Appleom, Amazonom, Googlom in Microsoftom, nasprotovalo tej spremembi, pri čemer se je sklicevalo na stališča Evropskega odbora za varstvo podatkov (EDPB) in Evropskega nadzornika za varstvo podatkov (EDPS) proti oslabitvi šifriranja od konca do konca.

Predlog bo obravnavan na plenarnem zasedanju, ki se začne 17. marca.

Ta dogajanja odražajo podobne vladne pobude v več evropskih državah, pa tudi v Združenih državah Amerike (glej spodaj, nacionalni razvoj).

CNIL je iskalnik Qwant spomnil na njegove obveznosti v skladu z GDPR glede anonimizacije podatkov.

Podatke, ki jih je podjetje uporabilo v povezavi s prodajo oglasnega prostora v iskalniku, ki ga upravlja MICROSOFT, je Qwant predstavil kot anonimne. 

CNIL ugotavlja, da je »kljub strogim previdnostnim ukrepom, sprejetim leta 2019 za preprečitev ponovne identifikacije oseb, posredovani nabor podatkov privedel do uporabe GDPR, zlasti njenih členov 12 in 13«.

Komisija meni, da gre za začetno napako v analizi glede razvrstitve posredovanih podatkov brez namena zaobiti določb GDPR, zato ne nalaga nobene sankcije.

Komisija je nepremičninski agenciji naložila tudi globo v višini 40.000 evrov zaradi pretiranega spremljanja zaposlenih z uporabo programske opreme (Time Doctor), ki je beležila domnevna obdobja neaktivnosti in redno delali posnetke zaslona svojega računalnika.

Poleg tega so bili zaposleni nenehno zabeleženi.

CNIL zlasti kritizira odgovorno osebo zaradi pomanjkanja ocene učinka, pomanjkanja pravne podlage za obdelavo in neupoštevanja načela minimizacije podatkov.

Objavila je tudi posodobitev svojih tabel o varstvu podatkov in povzetke za leto 2024, v katerih se osredotoča na pomembne nove odločitve ter bistvene elemente nacionalne in evropske sodne prakse o varstvu podatkov.

 

Evropske institucije in organi

Po poročilu o preverjanju ustreznosti digitalne pravičnosti, objavljenem 3. oktobra 2024, Evropska komisija razmišlja o pripravi uredbe o digitalni pravičnosti („Zakon o digitalni pravičnosti“) za reševanje vprašanj varstva potrošnikov v spletnem okolju, kot sta samodejna prekinitev ali podaljšanje naročnin in pretvorba brezplačnih preizkusnih obdobij v plačljive naročnine.

Poročajo se, da se pripravljata javno posvetovanje in predhodna analiza vpliva.

Komisija se je končno odločila umakniti svoj predlog uredbe o e-zasebnosti, katerega cilj je bil posodobiti in pojasniti obveznosti iz veljavne direktive ter jih hkrati uskladiti z načeli GDPR.

Besedilo je sprožilo polemiko, zlasti glede obsega izjem od načel zaupnosti komunikacij.

Na mizi so novi zakonodajni predlogi, katerih cilj je obravnavati vprašanja zasebnosti, hkrati pa ločiti komercialni nadzor od državnega nadzora.

Direktiva o odgovornosti za umetno inteligenco, katere cilj je bil posodobiti pravila EU o varnosti izdelkov, da bi zajemala umetno inteligenco in avtomatizacijo, je prav tako na seznamu umaknjenih zakonodajnih predlogov.

V skladu s sklepi vrha o umetni inteligenci v Parizu februarja delovni program Evropske komisije za leto 2025 poudarja konkurenčnost, z izrecnim ciljem spodbujanja gospodarske rasti s podpiranjem inovacij.

2. februarja so začele veljati prve določbe uredbe o umetni inteligenci, vključno s 5. členom, ki obravnava prepovedane prakse umetne inteligence.

Dva dni pozneje je Evropska komisija objavila smernice, v katerih je opisala prakse umetne inteligence, ki jih zaradi tveganj, ki jih predstavljajo za evropske vrednote in temeljne pravice, ocenjuje kot nesprejemljive.

Več organov za varstvo podatkov, prisotnih na vrhu o umetni inteligenci, je po okrogli mizi »o vzpostavitvi zanesljivih okvirov za upravljanje podatkov za spodbujanje razvoja inovativne in zasebnost varujoče umetne inteligence« izdalo skupno izjavo, v kateri je poudarilo potrebo po vključitvi načel zasebnosti že v fazo načrtovanja sistemov umetne inteligence in po uvedbi robustnih notranjih okvirov za upravljanje podatkov.

Hkrati je EDPB 12. februarja napovedal, da razširja obseg svoje delovne skupine ChatGPT na uporabo umetne inteligence in ustanavlja „ekipo za hitro odzivanje, ki bo usklajevala ukrepe organov za varstvo podatkov“ v zvezi z nujnimi občutljivimi vprašanji, povezanimi z umetno inteligenco.

EOVP je v začetku marca napovedal začetek usklajenega ukrepanja nadzora za leto 2025 glede pravice do izbrisa.

Ta ukrep sledi usklajenim ukrepom glede uporabe oblaka s strani javnega sektorja (2022), imenovanja in vloge pooblaščenih oseb za varstvo podatkov (2023) ter pravice do dostopa (2024).

Raziskovalna služba Evropskega parlamenta je 26. februarja objavila informativno sporočilo o napetosti med preprečevanjem algoritemske diskriminacije in obravnavo posebnih kategorij podatkov.

Dokument opredeljuje negotovosti glede skupne uporabe uredbe o umetni inteligenci in GDPR, ki bi lahko zahtevale zakonodajno reformo ali dodatne smernice.

Sodišče EU je 27. februarja izdalo pomembno sodbo glede obsega pravic posameznikov, na katere vpliva avtomatizirana odločitev.

V zadevi C 203/22 Dun & Bradstreet Austria Sodišče pojasnjuje, da člen 15(1)(h) GDPR „posamezniku, na katerega se nanašajo osebni podatki, „ponednika, na katerega se nanašajo osebni podatki, dejansko pravico do pojasnila delovanja mehanizma, na katerem temelji avtomatiziran postopek odločanja, ki mu je bila ta oseba podvržena, in rezultata, do katerega je ta odločitev privedla“ (točka 57).

Podatki zaščitenih tretjih oseb ali poslovne skrivnosti upravljavca ne odvezujejo konkretnih pojasnil: slednji je „dolžan te domnevno zaščitene podatke sporočiti pristojnemu nadzornemu organu ali sodišču, ki je odgovorno za tehtanje zadevnih pravic in interesov, da se določi obseg pravice posameznika, na katerega se nanašajo osebni podatki, do dostopa iz člena 15 GDPR“ (odstavek 67).

Sodišče EU je 13. februarja prav tako menilo, da morajo nadzorni organi in sodišča pri določanju višine glob upoštevati dejstvo, da je upravljavec podatkov del podjetja v smislu členov 101 in 102 Pogodbe o delovanju Evropske unije (PDEU).

Poleg tega morajo najvišji znesek glob določiti na podlagi prometa podjetja in ne na podlagi prometa upravljavca podatkov.

Generalni pravobranilec Sodišča EU je 6. februarja predstavil svoje sklepe o zadevi EDPS proti SRB (C-413/23 P).

Primer se nanaša na to, ali psevdonimizirani podatki, ki jih agencija EU, Enotnega odbora za reševanje bank, posreduje svojemu svetovalnemu podjetju Deloitte, z vidika Deloitta predstavljajo osebne podatke.

Generalna skupščina se osredotoča na razumna sredstva, ki so na voljo prejemniku za identifikacijo zadevnih posameznikov, pri čemer je sprejela bistveno ožjo razlago koncepta osebnih podatkov kot ENVP in EOVP. Končna odločitev se pričakuje pred poletjem.

 

Novice iz držav članic Evropske unije.

Nemška sodna odločba (OLG Dresden/Nemčija (Az.: 4 U 940/24) potrjuje, da so upravljavci podatkov odgovorni ne le za svoja dejanja, temveč tudi za dejanja svojih podizvajalcev.

Sodišče je poudarilo, da ni dovolj zaupati podizvajalcu, ne da bi preverili, kot v tem primeru, ali je ob koncu pogodbe dejansko izbrisal podatke, oddane podizvajalcu.

Posledice nezadostnega preverjanja lahko trajajo še dolgo po začetnem incidentu, kot je bilo v tem primeru po vdoru, ki je povzročil uhajanje podatkov, čemur so sledili sodni postopki in škoda za ugled upravljavca podatkov.

V Španiji je policija APD ponudniku mobilne telefonije Orange naložila globo v višini 1,2 milijona evrov, ker ni preprečil izdaje dvojnika kartice SIM tretji osebi, ki jo je uporabila za dostop do bančnega računa zadevne osebe.

APD je menil, da upravljavec ni izvedel ustreznih zaščitnih ukrepov.

Tudi v Španiji je APD naložil več glob zadružni bančni skupini Caja Rural zaradi kršitve GDPR po kršitvi podatkov zaradi neustreznih varnostnih ukrepov in ranljivosti v IT sistemu.

V tem primeru je APD vsako banko, članico zadružne skupine, štel za individualno odgovorno, čeprav so vse uporabljale istega ponudnika IT storitev, in naložil sankcije v višini od 6.200 do 400.000 evrov, odvisno od števila strank in hitrosti odziva bank.

Grški organ za varstvo podatkov (APD) je sprejel odločitev, katere cilj je olajšati uveljavljanje pravic posameznikov pri Googlu.

Podjetju je naročila, naj odstrani povezave, ki se pojavljajo v rezultatih iskanja za ime osebe, Googlu pa, naj spremeni postopek zahteve za odstranitev tako, da dovoli priloge, navede neposredne kontaktne podatke in preneha pošiljati samodejne odgovore.

Na Nizozemskem posnetek zaslona, ki ga je na platformi Bluesky delil strokovnjak za kibernetsko varnost (in nekdanji nadzornik civilne obveščevalne službe), razkriva, da Google Analytics zbira podatke o kandidatih za zaposlitev v civilnih in vojaških obveščevalnih službah države.

Zaradi teh informacij je poslanec zahteval pojasnilo od ministra za notranje zadeve.

Poljski organ za varstvo podatkov (APD) je upravljavcu spletnega mesta naložil globo v višini 350.000 evrov (1.527.855 PLN) in njegovemu podizvajalcu 4.590 evrov (20.037 PLN) zaradi kršitve varnosti podatkov, potem ko je napačna konfiguracija spletnega mesta povzročila kršitev varnosti podatkov, ki je prizadela 21.453 ljudi.

V Romuniji je bilo podjetje Unicredit kaznovano s 15.000 evri (74.652 lei) zaradi dveh kršitev varnosti podatkov zaradi internih aplikacij.

Ti pred uvedbo niso bili preizkušeni, APD pa kaznuje neupoštevanje člena 25(1) GDPR, ki zahteva varstvo podatkov že od vgradnje ("zasebnost že od vgradnje").

Po ukazu britanske vlade o prekinitvi šifriranja iCloud je Apple pravkar umaknil celotno napredno varnostno funkcijo iz Združenega kraljestva.

Odredba se je nanašala posebej na funkcijo, uvedeno leta 2023, ki uporabnikom iClouda omogoča, da se odločijo za celovito šifriranje vseh podatkov, shranjenih v oblaku podjetja, in zagotavlja, da do podatkov ne more dostopati nobena tretja oseba, vključno z Applom.

Podjetje je imelo na izbiro med odstranitvijo funkcije šifriranja ali ustvarjanjem stranskih vrat, ki bi ogrozila šifriranje za vse uporabnike po vsem svetu, pri čemer je bila druga možnost za Apple izključena.

Hkrati Švedska zahteva tudi zadnja vrata, zaradi česar je Signal opozoril, da bo zapustil državo, če bo takšna zakonodaja sprejeta.

Dodajmo še, da Združene države Amerike po članku Forbesa z dne 24. februarja zasledujejo isti cilj dostopa do šifriranih podatkov.

 

Južna Koreja je pravkar sprejela zakon o umetni inteligenci, ki bo začel veljati januarja 2026.

Zakon je usklajen z evropsko uredbo o umetni inteligenci: uvaja obveznosti za podjetja, ki se ukvarjajo z umetno inteligenco, zlasti za umetno inteligenco z visokim učinkom in generativno umetno inteligenco, s poudarkom na obvladovanju tveganj, zaščiti uporabnikov in preglednosti.

IAPP poroča, da je skupina ameriških senatorjev, ki sedijo v "Senatskem odboru za obveščevalne dejavnosti", 5. februarja poslala pismo Beli hiši, v katerem so "izrazili zaskrbljenost zaradi tveganj za zasebnost in nacionalno varnost, ki jih predstavlja nedavno ustanovljeni Oddelek za vladno učinkovitost" (DOGE).

V pismu trdijo, da dejanja DOGE tvegajo razkritje tajnih in drugih občutljivih informacij, ogrožajo nacionalno varnost in kršijo zasebnost Američanov.

Trenutno poteka več tožb glede nezakonitega dostopa do podatkov, ki jih obdelujejo te agencije.

Zahteve obveščevalnih služb za podatke, ki jih hrani GAFAM, so se v zadnjih letih močno povečale.

To izhaja iz študije, ki jo je objavilo podjetje Proton in temelji na poročilih o preglednosti podjetij Apple, Meta in Google med letoma 2014 in 2024.

Kot poudarja 01net, morajo ta podjetja po ameriški zakonodaji (FISA, Cloud Act) odgovoriti na zahteve oblasti, ki želijo dostop do telefonskih posnetkov, besedilnih sporočil, e-poštnih sporočil ali varnostnih kopij v oblaku.

»Zahteve za dostop do uporabniških podatkov (katere koli narodnosti), kot so e-poštna sporočila ali sporočila, ki so jih Google, Apple in Meta v zadnjih desetih letih predložili ameriškim organom, so se za ta tri podjetja v povprečju povečale za ... 600 %.«

Malezijska zakonodaja o varstvu osebnih podatkov je bila okrepljena, da bi znatno povečala pooblastila regulativnega organa in okrepila pravice posameznikov.

Izvajal se bo v treh fazah v prvi polovici leta 2025, in sicer 1. januarja, nato 1. aprila in 1. junija.

Preiskava "sledilnih datotek", ki jo je izvedlo več mednarodnih medijev, vključno z Le Monde, France Info in francosko informativno oddajo 20:00, razkriva obseg sledenja in podrobnosti o osebnih podatkih, ki jih obdelujejo posredniki podatkov.

Geolokirani osebni podatki milijonov uporabnikov se zbirajo pod pogoji, ki pogosto niso zelo pregledni: na primer igranje spletnih iger na pametnem telefonu z uporabo aplikacije lahko povzroči prenos podatkov, kot so časi povezave, model pametnega telefona ali geografska lokacija, elementi, zbrani v ogromnih datotekah, ki jih prodajajo posredniki, kot je American Datastream Group.

V tej najnovejši datoteki je vključenih več kot 47 milijonov ljudi.

Prizadeti so lahko podatki vseh, pa tudi podatki diplomatov, vojaškega osebja ali novinarjev.