Pravna ura št. 59 – maj 2023.

Metasankcija: 1,2 milijarde evrov ... in kaj potem?

Kazen, ki jo je irski organ 12. maja naložil podjetju Meta, matični družbi Facebooka, je najvišja kazen, ki jo je kdajkoli naložil organ za varstvo podatkov od začetka veljavnosti GDPR, in to v času, ko uredba praznuje peto leto uporabe.

V središču te odločitve je Facebook prenaša podatke svojih evropskih uporabnikov v Združene države Amerike, državo, ki ne velja več za državo, ki ponuja ustrezno raven zaščite. od odločitve Sodišča Evropske unije z dne 16. julija 2020 (sodba Schrems II).

Ta nova sankcija je tudi simbol sodelovanja med organi za varstvo podatkov, saj je odločitev irskega organa rezultat dolgega in napornega postopka, da ne omenjamo vlečenja vrvi z evropskimi kolegi.

APD je bil zato prisiljen razširiti obseg svoje odločitve in naložiti znatno globo.

Po mnenju nevladne organizacije NOYB in njenega predsednika Maxa Schremsa, ki je sprožil pritožbo, ni nujno, da bi bilo treba praznovati.

Postopek je trajal tri leta, soočen z nacionalnim organom, ki ga je sistematično blokiral v različnih fazah, in je povzročil več kot deset milijonov evrov sodnih stroškov ... globe, ki bo šla v breme irske države.

 

Kakšne so konkretne posledice za Meto?

Odločitev vključuje obdobje izvedbe: podjetje ima do sredine oktobra čas, da preneha prenašati podatke svojih uporabnikov v Združene države.

Prav tako mora pred sredino novembra izbrisati vse podatke, ki so bili že preneseni iz njenih podatkovnih centrov v ZDA.

Čeprav je podjetje zagrozilo, da bo prenehalo zagotavljati svoje storitve v Evropi, je verjetnost te objave dvomljiva, saj je Evropa njegov največji vir prihodkov za Združenimi državami Amerike, saj je na evropskem ozemlju ustvarilo več podatkovnih centrov.

Družba je napovedala, da bo vložila nacionalno pritožbo zoper irski organ in da bo zahtevala zadržanje odredbe, dokler niso izčrpani vsi pravni postopki.

Meta verjetno le še zavzema čas, saj računa na nov transatlantski sporazum, ki bo pred jesenjo uredil prenos podatkov v Združene države.

Vendar je treba po eni strani vedeti, da nov sporazum ne bo legaliziral preteklih prenosov in že dokazanih kršitev zakona, po drugi strani pa, da so zahteve glede prihodnjega transatlantskega sporazuma visoke.

Trenutni projekt je že bil deležen ostrih kritik Evropskega parlamenta in ni gotovo, da bo vzdržal presojo Sodišča Evropske unije (SEU).

 

Vpliv na GAFAM-e in upravljavce podatkov na splošno

Ameriški zakoni o nadzoru, ki so podlaga za odločitve irskega organa, Evropskega odbora za varstvo podatkov in Sodišča EU, predstavljajo težavo za vse večje ameriške ponudnike storitev v oblaku, kot so Microsoft, Google ali Amazon.

Treba je opozoriti, da je treba ustrezni ameriški zakon o nadzoru (FISA 702) ponovno odobriti do decembra 2023.

Čeprav je več evropskih nadzornih organov že razsodilo, da je uporaba ameriških storitev, ki vključujejo prenos podatkov, nezakonita, njihovih odločitev ni spremljala tako visoka globa, kot je bila naložena Meti.

To bi lahko spodbudilo večja ameriška tehnološka podjetja in vse tiste, ki uporabljajo "oblačne" storitve ameriškega izvora, da pregledajo svoje prakse in opravijo vsaj analizo učinka prenosov.

 

Vendar bi bilo še vedno potrebno, da so organi za varstvo podatkov pri uporabi GDPR dovolj odvračilni.

Zdaj so kritizirani zaradi neučinkovitosti, kot je razvidno iz nedavnega poročila Irskega sveta za državljanske svoboščine (ICCL).

Njegova analiza kaže, da se GDPR le redko uporablja proti velikim tehnološkim podjetjem.

Le malo večjih evropskih primerov bi privedlo do resnih izvršilnih ukrepov: „register končnih odločitev Evropskega odbora za varstvo podatkov (EDPB) razkriva, da je bila večina (64 %) od 159 izvršilnih ukrepov, sprejetih konec leta 2022, zgolj opominov.“

Študija ne presenetljivo s prstom kaže na irsko Komisijo za varstvo podatkov, saj je organ v Evropskem odboru za varstvo podatkov z večino glasov razveljavil 75 preiskovalnih odločitev v primerih EU.

Kontekst glede pravnih sredstev se razvija v smeri boljše zaščite posameznikov: evropska direktiva o kolektivnih pravnih sredstvih naj bi začela veljati to poletje, kar bo evropskim uporabnikom omogočilo dodatno možnost pritožbe, saj jim bo omogočilo vložitev kolektivnih tožb v primeru kršitve GDPR po vsej Evropski uniji.

Nizozemska, ki tovrstno pravno sredstvo že dovoljuje, beleži porast pravnih postopkov.

Nizozemska organizacija za pravice potrošnikov "Consumentenbond" trenutno združuje nizozemske uporabnike Facebooka, da bi vložili pritožbo zoper prenos podatkov med Evropsko unijo in Združenimi državami.

Končno je nedavna sodba Sodišča EU (Österreichische Post AG) odprla pot za "majhne zahtevke" zaradi kršitev zasebnosti in potrdila, da prag resnosti za nastalo moralno škodo ni potreben, kar bi uporabnikom lahko omogočilo, da zahtevajo odškodnino za kršitve, ki se na primer nanašajo na množični nadzor s strani Združenih držav.

To bi vodilo do odškodninskih zahtevkov, ki daleč presegajo trenutne kazni.

 

In tudi

     

• CNIL je 16. maja objavil akcijski načrt za uvedbo sistemov umetne inteligence, ki spoštujejo zasebnost posameznikov.

Namerava razširiti svoje delo na področju obogatenih kamer in ga razširiti na generativno umetno inteligenco in modele velikih jezikov (LLM) ter izpeljane aplikacije (vključno s klepetalnimi roboti).

To delo bo pripomoglo tudi k pripravam na začetek veljavnosti osnutka evropske uredbe o umetni inteligenci.

• CNIL je podjetju DOCTISSIMO naložil globo v višini 380.000 evrov.

Komisija je ugotovila več pomanjkljivosti v GDPR, zlasti glede obdobij hrambe podatkov, zbiranja zdravstvenih podatkov prek spletnih testov, varnosti podatkov in načinov nameščanja piškotkov na uporabniške terminale.

• CNIL je svoje poročilo o dejavnostih za leto 2022 objavil 23. maja.

V njem so navedeni poudarki preteklega leta, vključno z večjo podporo podjetjem in upravam, kampanjami za obveščanje javnosti in digitalnim izobraževanjem za mlajše, obravnavo pritožb in ukrepi za izvrševanje.

• Državni svet je na spletu objavil posnetek dneva razprav, ki jih je 10. februarja 2023 gostil v sodelovanju s CNIL in francosko zvezo IHU, na temo "Umetna inteligenca in veliki podatki, kako bodo revolucionarno spremenili medicinske raziskave in prakso prihodnosti".

Sledila je študiji državnega sveta "Umetna inteligenca in javno delovanje" iz avgusta 2022.

• Pariško pritožbeno sodišče je v sodbi z dne 23. aprila 2023 razsodilo, da je treba sporočila WhatsApp obravnavati kot SMS sporočila, če so izmenjana pod enakimi pogoji.

V okviru spora med podjetjem in nekdanjimi zaposlenimi je razsodilo, da lahko delodajalec dostopa do nedoločenih "osebnih" sporočil iz skupine WhatsApp na službenih telefonih nekdanjih zaposlenih.

 

Evropske institucije in organi

• Ob peti obletnici GDPR številne študije predstavljajo mešano oceno njenega izvajanja.

Nevladna organizacija noyb o tej temi objavlja pregled 800 primerov GDPR, ki jih je v zadnjih petih letih vložila pri organih za varstvo podatkov (DPA), od katerih 86 primerov % še vedno čaka na odločitev.

Nevladna organizacija je opredelila več kot 60 postopkovnih težav, ki ovirajo uporabo GDPR.

Čeprav je globa, naložena Meti, v medijih, nevladna organizacija meni, da organi za varstvo podatkov na splošno ne uporabljajo GDPR pravočasno.

• Ocena, ki jo je izvedel Forum za prihodnost zasebnosti (FPF), razkriva, da so kršitve 25. člena GDPR v zvezi z „vgrajeno zasebnostjo“ tiste, ki so povzročile najvišje globe.

Študija temelji na več kot 90 primerih in pojasnjuje, da »nekateri organi za varstvo podatkov uporabljajo 25. člen, še preden pride do drugih kršitev GDPR ali celo preden se izvede predvidena obdelava podatkov«.

• Evropski odbor za varstvo podatkov (EDPB) je pravkar za svojo predsednico izvolil finskega komisarja za varstvo podatkov Anuja Talusa.

Nova predsednica bo nadomestila odhajajočo predsednico Andreo Jelinek in bo naslednjih pet let nadzorovala delo odbora.

• Evropski odbor za varstvo podatkov (EOVP) objavlja zbirko primerov o pravici do ugovora in izbrisa v skladu s členom 17 GDPR. Preučuje izbor primerov odločitev iz svojega javnega registra.
• Usmerjevalna skupina IAB Europe za »Okvir za preglednost in soglasje« je objavila različico 2.2 svojega referenčnega okvira.

Glavne spremembe vključujejo odpravo pravne podlage legitimnega interesa za personalizacijo oglaševanja in vsebin, izboljšanje informacij, ki se zagotavljajo končnim uporabnikom, in zahtevo, da ponudniki zagotovijo dodatne informacije o svojih dejavnostih obdelave podatkov.

• Skupina 30 strokovnjakov za IT in kibernetsko varnost s sedežem v Evropi je voditeljem EU napisala odprto pismo.

Izražajo zaskrbljenost zaradi resnih tveganj, ki jih predlagana uredba Evropske komisije o spolni zlorabi otrok predstavlja za zaupnost in varnost vseh komunikacij ter za splošno zdravje internetnega in informacijskega ekosistema.

 

Novice iz držav članic Evrope.

• Nemški zvezni organ za varstvo podatkov (BfDI) je potrdil, da je pregled tehnoloških dosežkov, kot je generativna umetna inteligenca, z vidika varstva podatkov del njegove pristojnosti.
• Danski organ za varstvo podatkov je oštel upravljavca podatkov, ker je osebne podatke delil z družbo Meta Ireland, ne da bi se predhodno prepričal, da slednja pri prenosu podatkov na platforme Meta v Združenih državah Amerike ravna v skladu z GDPR.
• Po odmevnem škandalu z vdorom v podatke in po pritožbi, ki jo je vložila nevladna organizacija noyb, je malteški organ za varstvo podatkov (DPA) odredil podjetju C-Planet, naj ugodi zahtevi za dostop do podatkov in razkrije vir osebnih podatkov, ki jih hrani. V tem primeru so bili podatki razkriti v okviru kršitve v zvezi s političnimi mnenji 335.000 volivcev na otoku.
• Nizozemska zveza potrošnikov je vložila skupinsko tožbo proti Googlu zaradi sledenja lokaciji uporabnikov, brskanja po spletu in uporabe aplikacij brez veljavnega soglasja. Google naj bi odškodnil vse uporabnike, ki so uporabljali njegove storitve od 1. marca 2012.
• Belgijski organ za varstvo podatkov (APD) je odredil prepoved prenosa davčnih podatkov ameriških državljanov, ki prebivajo v Belgiji, v Združene države Amerike. Po mnenju APD sporazum FATCA, ki dovoljuje takšne prenose, ni skladen z GDPR, belgijski davčni organ pa bi moral opraviti oceno učinka.
• Norveški odbor za pritožbe glede zasebnosti je ugotovil, da ima platforma za najem avtomobilov pravno podlago v skladu s členom 6(1)(f) GDPR za oceno kreditne sposobnosti posameznika, na katerega se nanašajo osebni podatki, da bi zmanjšala finančno tveganje podjetja.
• Hrvaški organ za varstvo podatkov (APD) je po anonimni pritožbi zoper agencijo za izterjavo dolgov izdal globo v višini 2.265.000 evrov zaradi pomanjkanja varnostnih ukrepov, soglasja in kršitve obveznosti posredovanja informacij s strani upravljavca podatkov.
• Avstrijski organ za varstvo podatkov (APD) je 10. maja 2023 po pritožbi izdal odločbo proti podjetju za prepoznavanje obrazov Clearview AI. V odločbi so bile ugotovljene kršitve GDPR (členi 5, 6 in 9), upravljavcu je bilo naloženo, naj izbriše podatke pritožnika in imenuje zastopnika v Avstriji v skladu s členom 27 Uredbe.
• Urad informacijskega pooblaščenca (ICO) je 15. maja TikTok oglobil z 12.700.000 funti zaradi številnih kršitev zakonodaje o varstvu podatkov, vključno z nezakonito uporabo osebnih podatkov otrok.

 

• V profesionalnem kontekstu narašča trend uporabe umetne inteligence. Ameriški odvetnik je na primer s pomočjo ChatGPT iskal pravne primere za sodno dokumentacijo, vsaj šest od navedenih pravnih primerov pa ni obstajalo – tipičen primer halucinacije umetne inteligence, pri kateri si klepetalni robot izmišljuje informacije.

Sodnik, ki je vodil zadevo, je zapisal: »Sodišče se sooča z brezprecedentno situacijo. Vloga, ki jo je vložil odvetnik tožnika, v kateri nasprotuje predlogu za zavrženje, je polna navedb neobstoječih primerov.« Odvetnik se je opravičil in se zdaj sooča z disciplinskim zaslišanjem.

• 16. maja je Sam Altman, izvršni direktor podjetja OpenAI, pričal pred ameriškim kongresom.

Potem ko je priznal, da bi lahko umetna inteligenca "šla narobe", in izrazil željo po sodelovanju z vlado, da bi to preprečili, je svoje pripombe niansiral: razvijalec ChatGPT meni, da je pomembno, da se podjetjem in projektom odprte kode omogoči razvoj določenih modelov "pod pomembnim pragom zmogljivosti", brez stroge regulacije ali mehanizmov, kot so licence ali revizije.

• Ameriški kongres je 23. maja objavil poročilo z naslovom »Generativna umetna inteligenca in zasebnost podatkov: uvod«: poročilo se osredotoča na vprašanja zasebnosti in politične vidike, ki so pomembni za kongres.
• Tudi na področju umetne inteligence je Center za elektronske informacije o zasebnosti (EPIC) objavil poročilo z naslovom »Ustvarjanje škode – vpliv generativne umetne inteligence in poti naprej«. Dokument premosti vrzel med področjema zasebnosti in umetne inteligence z vidika morebitne škode.
• Zvezna komisija za trgovino Združenih držav Amerike je izdala izjavo o politiki zbiranja biometričnih podatkov, ki ni ostala neopažena.

Agencija navaja, da bo svoje strokovno znanje na področju nepoštenih praks uporabila za pregon škodljive obdelave biometričnih podatkov in razvija široko razlago biometričnih podatkov, vključno s podatki, kot je fotografija obraza, tudi če se ne obdelujejo za identifikacijo zadevne osebe.

• 18. maja je državni tožilec zvezne države Washington napovedal, da bo Google državi plačal 39,9 milijona dolarjev zaradi zavajajočih praks geolokacije.

Google bo uvedel tudi vrsto reform za povečanje preglednosti svojih nastavitev geolokacije.

• Evropska komisija je v sodelovanju z ASEAN (Združenjem držav jugovzhodne Azije) objavila priročnik o prenosu osebnih podatkov z uporabo standardnih pogodbenih klavzul, ki sta jih sprejeli obe organizaciji.

Priročnik bo objavljen v dveh delih: »Referenčni priročnik« s primerjavo med skupnimi centri za sodelovanje (CMC) ASEAN in skupnimi centri za sodelovanje (CSC) EU, ter »Izvedbeni priročnik« s predstavitvijo najboljših praks podjetij, ki izpolnjujejo zahteve obeh sklopov pogodbenih klavzul.

• Iberoameriška mreža organov za varstvo podatkov (»RIPD«) je 8. maja napovedala, da bo koordinirala preiskavo v zvezi s ChatGPT.
• Kitajska uprava za kibernetski prostor (CAC) je 11. aprila 2023 objavila osnutek upravnih ukrepov za generativne storitve umetne inteligence (»osnutek ukrepov za umetno inteligenco«).

Ta projekt bi bil usklajen s splošnim pristopom Kitajske k regulaciji podatkov, kibernetski varnosti in spletnim vsebinam, ki močno poudarja ohranjanje političnega in družbenega reda.

CAC je 30. maja objavil tudi smernice o registraciji standardnih pogodb za izvoz osebnih podatkov.

• Pakistansko ministrstvo za informacijsko tehnologijo in telekomunikacije je 23. maja dokončalo osnutek zakona o varstvu osebnih podatkov.

Veljati bo začel najkasneje dve leti po datumu razglasitve, v skladu s tem, kar določi zvezna vlada.

• Brazilske oblasti so odredile blokado aplikacije Telegram, ki se v Braziliji pogosto uporablja, saj trdijo, da ni dovolj sodelovala v preiskavi neonacističnih skupin, ki še poteka.

Sodišče je Telegramu naložilo plačilo kazni v višini približno 200.000 evrov na dan zaradi neposredovanja teh informacij. Vloga je zahtevane podatke podala le delno.