Pravna ura št. 61 – julij 2023.

API-ji v središču deljenja osebnih podatkov.

Vmesniki za programiranje aplikacij, običajno imenovani »API-ji« po angleškem imenu »application programming interface« (vmesnik za programiranje aplikacij), se pogosto uporabljajo za lažjo izmenjavo informacij med javnimi ali zasebnimi organizacijami.

To izmenjavo podatkov podpira zakonodajalec, kar potrjuje tudi evropska strategija za digitalno suverenost: njen cilj je razviti enotni trg podatkov »s podpiranjem odgovornega dostopa, izmenjave in ponovne uporabe v skladu z vrednotami Evropske unije in zlasti varstva osebnih podatkov«.

Dopolnjuje evropsko strategijo o umetni inteligenci.

Če API-ji vključujejo varstvo podatkov že od faze načrtovanja sistema za skupno rabo, lahko zagotovijo ugoden tehnični okvir v skladu z GDPR.

CNIL zato v priporočilu, sprejetem 7. julija, spodbuja njihovo uporabo.

Posebej poudarja pomen ravni varnosti, sorazmerne s tveganji ponovne uporabe, in pomena deljenja podatkov, omejenega na potreben minimum.

Priporočilo je namenjeno trem vrstam akterjev: imetnikom podatkov, upravljavcem API-jev in ponovnim uporabnikom podatkov.

Imetnik podatkov je značilno po tem, da nadzoruje podatke na tehnični ali organizacijski način.

Upravitelj API-ja je organizacija, ki je odgovorna za nekatere ali vse tehnične komponente, na katerih temelji deljenje podatkov.

Končno, ponovni uporabnik podatkov je katera koli organizacija, ki namerava dostopati do podatkov ali jih prejemati prek API-jev za lastno uporabo.

CNIL (francoski organ za varstvo podatkov) poudarja, da lahko ista organizacija opravlja več vlog, na primer ko upravljavec podatkov sam razvije API: takrat je tudi skrbnik API-ja in mora upoštevati priporočila v zvezi z obema vlogama. Zato je bistvenega pomena opredeliti svojo specifično vlogo pri uporabi API-ja.

Vsaka kategorija je usmerjena v ukrepe, ki ji omogočajo doseganje želene ravni varnosti in skladnost z načeli varstva podatkov.

Deležnike spodbujamo k sodelovanju pri uresničevanju teh priporočil.                              

• Imetniki podatkov bodo morali posebno pozornost nameniti obveščanju ponovnih uporabnikov, točnosti in celovitosti podatkov ter varnosti podatkov (ločevanje in razpoložljivost, preverjanje pristnosti, beleženje).
• Upravitelji API-jev se bodo osredotočili na dokumentacijo, minimizacijo podatkov, uveljavljanje pravic glede deljenja podatkov in varnost (komunikacije, varnost informacijskih sistemov, beleženje).
• Ponovni uporabniki imajo posebne obveznosti glede obveščanja zadevnih oseb, zmanjševanja količine podatkov in tudi varnosti (upravljanje tveganj, zavarovanje ključev, beleženje).

Priporočilo obravnava posebne primere izmenjave podatkov, na primer med družbenimi omrežji in raziskovalci, ali odpiranje vladnih podatkov.

Kvalifikacija različnih akterjev ne vpliva na njihov status upravljavca ali obdelovalca podatkov v smislu GDPR.

Vendar pa je mogoče oblikovati nekaj smernic: imetnik podatkov bo na splošno odgovoren za obdelavo v okviru izmenjave podatkov, če se je svobodno odločil o namenih in sredstvih obdelave ali če je bil k njeni izvedbi zakonsko prisiljen.

Ponovni uporabnik bo pogosto "prejemnik" v smislu GDPR.

Upravljavec API-ja bo deloval kot podizvajalec, torej v imenu in po navodilih imetnika podatkov in/ali ponovnega uporabnika.

Priporočila CNIL naj bi kmalu dopolnila dobrodošla objava praktičnih primerov na spletni strani Komisije.

 

In tudi

• CNIL je 27. julija objavil poziv k oddaji prispevkov v zvezi s svojim delom na področju umetne inteligence.

Ob tej priložnosti podaja prve posodobitve o napredku svojega dela po objavi akcijskega načrta o umetni inteligenci 16. maja in objavlja poziv k prispevkom, ki bodo podprli njeno razmišljanje, pred prvimi publikacijami, načrtovanimi za jesen.

• CNIL predlaga tudi nov "peskovnik" za podporo trem projektom, ki uporabljajo umetno inteligenco (UI) v korist javnih storitev.

Poziv za projekte je odprt do 30. septembra 2023.

• CNIL v okviru svojega akcijskega načrta za mobilne aplikacije objavlja in v javno razpravo predloži osnutek priporočila, katerega namen je razjasniti obveznosti različnih akterjev v tem ekosistemu, olajšati njihovo skladnost in spodbuditi izvajanje dobrih praks.
• Več kot šestdeset evropskih nevladnih organizacij je 26. julija pisalo evropskemu komisarju Thierryju Bretonu in ga prosilo za pojasnilo glede njegovih nedavnih komentarjev, v katerih je nakazoval, da bi lahko bilo blokiranje spletnih platform uporaben in upravičen ukrep v skladu z Zakonom o digitalnih storitvah (DSA).

Te pripombe so sledile izjavam predsednika republike, v katerih je omenil možnost blokiranja dostopa do platform družbenih medijev v okviru motenj javnega reda in miru.

Nevladne organizacije menijo, da bi te pripombe lahko spodbudile vlade po vsem svetu k samovoljnemu blokiranju spletnih platform.

Evropsko komisijo pozivajo, naj zagotovi, da izvajanje in uporaba Zakona o digitalnih storitvah s strani držav članic ne bosta vodila do preširoke razlage teh ukrepov, kar bi bilo v nasprotju z njegovimi regulativnimi cilji in kršilo Listino EU o temeljnih pravicah.

• Državni svet je 26. junija razsodil, da se pravica do popravka lahko uporabi za popravek podatkov po spremembi identitete, ne pa tudi za retroaktivni popravek dokumentov pred spremembo identitete: teh predhodnih podatkov dejansko ni mogoče šteti za netočne.
• Državni zbor je 28. junija soglasno sprejel "zakon o vzpostavitvi digitalne večine in boju proti spletnemu sovraštvu".

Projekt je senat 29. junija 2023 soglasno sprejel tudi sam.

Besedilo določa digitalno polnoletnost pri 15 letih, starosti, od katere mladoletnik ne bo več potreboval starševskega soglasja za registracijo na družbenem omrežju.

 

Evropske institucije in organi

• Evropska komisija je 10. julija sprejela sklep o ustreznosti za "okvir varstva podatkov med EU in ZDA", v katerem je ugotovila, da je zaščita, ki jo Združene države zagotavljajo za prenesene podatke, primerljiva z zaščito, ki jo ponuja EU.

Novi okvir je začel veljati 11. julija.

Po navedbah Komisije ameriške zaveze uvajajo "nova zavezujoča jamstva za odpravo vseh pomislekov, ki jih je izrazilo Evropsko sodišče, zlasti z omejitvijo dostopa ameriških obveščevalnih služb do podatkov EU na tisto, kar je potrebno in sorazmerno, ter z ustanovitvijo sodišča za varstvo podatkov".

Ni presenetljivo, da je Max Schrems menil, da je novi transatlantski okvir za varstvo osebnih podatkov v veliki meri kopija "ščita zasebnosti" in da bo odločitev izpodbijal na sodišču.

Evropski odbor za varstvo podatkov (EDPB) je objavil informativno sporočilo za podjetja in posameznike, ki jih to zadeva.

• Evropska komisija je 4. julija objavila svoj "Predlog uredbe o določitvi dodatnih postopkovnih pravil za uporabo GDPR", katerega namen je zagotoviti dosledno uporabo uredbe v čezmejnih primerih.

V sporočilu na Twitterju je EOVP pozdravil hiter odziv Komisije na njegove zahteve za pojasnilo.

Vendar pa nekatere nevladne organizacije kritizirajo predlagano uredbo, ki poudarja, da bi lahko omejila sodelovanje državljanov v pritožbah, ki jih vložijo pri organih za varstvo podatkov v primerih zlorabe njihovih podatkov.

• Povezane naprave, kot so nadzorne kamere, hladilniki in pametni televizorji, bi lahko kmalu ponudile boljšo zaščito pred kibernetskimi napadi.

Države članice EU so se nedavno dogovorile o skupnem stališču glede varnostnih zahtev za omenjene digitalne izdelke.

Predlagani zakon o kibernetski odpornosti bi uvedel obvezne zahteve za načrtovanje, razvoj in proizvodnjo naprav.

• Sodišče Evropske unije je v sodbi z dne 4. julija 2023 zavzelo stališče v sporu med družbo Meta in nemškim organom za varstvo konkurence.

Sodišče EU je razsodilo, da lahko organ za varstvo konkurence ugotovi kršitev GDPR in da lahko, ne da bi nadomestil organ za varstvo podatkov, še naprej prosto sklepa z vidika uporabe prava konkurence.

Sodišče EU tudi ugotavlja, da Facebook verjetno obdeluje "občutljive" podatke iz dejavnosti uporabnikov, ne da bi jih uporabnik nujno želel objaviti, kar izključuje izjemo od privolitve.

Sodišče je tudi zavrnilo Metino sklicevanje na nujnost izpolnjevanja pogodbe in legitimni interes za utemeljitev personalizacije vsebine.

Nazadnje ugotavlja, da prevladujoči položaj Facebooka na trgu družbenih omrežij vzbuja pomisleke glede veljavnosti privolitve in da mora upravljavec dokazati, da je bila privolitev dejansko dana prostovoljno.

Meta je 1. avgusta napovedala, da namerava spremeniti pravno podlago za svoje ciljno oglaševanje v Evropi: podjetje bo uporabnike prosilo za soglasje.

Ta sprememba je neposredna posledica odločitev Evropskega odbora za varstvo podatkov ter nacionalnih in evropskih sodnih organov.

• V okviru razprav o osnutku evropske uredbe o svobodi medijev 80 organizacij civilne družbe, medijskih organizacij, založnikov in radiotelevizijskih hiš ter sindikatov poziva Evropski parlament, naj brez izjeme prepove uporabo vohunske programske opreme proti novinarjem.
• 3. julija so skupine civilne družbe in internetni strokovnjaki pisali tudi komisarkama Jourovi in Reyndersu, da bi izrazili globoko zaskrbljenost zaradi predloga zakona o varstvu podatkov in digitalnih informacij (DPDI) britanske vlade, ki bi Združeno kraljestvo spremenil v "puščajoč ventil" in spodkopal pravice evropskih državljanov do varstva podatkov.

 

Novice iz držav članic Evrope.

• Belgijski organ za varstvo podatkov (APD) je menil, da združenje farmacevtov z nedoločenim hrambo podatkov v zvezi z disciplinskimi sankcijami, naloženimi na podlagi stare uredbe, med drugim krši načela zakonitosti, omejitve namena, minimizacije podatkov, točnosti in omejitve hrambe.

Združenje je bilo kaznovano s 30.000 evri kazni.

• Po podatkih belgijskega organa za varstvo podatkov upravljavec podatkov s sedežem v Združenih državah Amerike, katerega dejavnost vključuje organizacijo konferenc v Evropi, zavezan k GDPR in mora med drugim imenovati predstavnika v Belgiji.
• Latvijski organ za varstvo podatkov (APD) je menil, da uporaba edinstvenega osebnega identifikatorja ni zadostna za jasno identifikacijo posameznika, na katerega se nanašajo osebni podatki, in preprečevanje nezakonitega razkritja posebnih kategorij podatkov s strani nacionalnega izvajalca zdravstvenih storitev.

Uporaba dodatnih meril, kot je ime zadevne osebe, je bila nujna.

• Španska agencija za varstvo podatkov (APD) je varnostnika oglobila z 10.000 evri, ker je zajemal slike iz zaporniškega sistema CCTV in jih širil prek WhatsAppa, kar je kršilo 6. člen GDPR.
• Italijanski organ za varstvo podatkov (APD) je v odločbi z dne 22. junija italijanskemu avtocestnemu podjetju naložil globo v višini enega milijona evrov, ker ni opredelilo svoje vloge upravljavca podatkov v okviru uporabe storitev vračila denarja.
• Islandski organ za varstvo podatkov (APD) je Urad nacionalnega zdravniškega inšpektorja oglobil s približno 82.000 evri zaradi večkratnih kršitev GDPR, potem ko je prišlo do varnostne kršitve na spletni strani Heilsuvera, ki ponuja spletni sistem zdravstvenega varstva in portal za recepte.
• Švedska agencija za varstvo podatkov je po reviziji štirih podjetij, ki so na svojih spletnih mestih uporabljala Google Analytics, tem podjetjem odredila, naj prenehajo uporabljati orodje.

Dve podjetji sta bili upravno kaznovani z globo, eno pa je prostovoljno prenehalo uporabljati orodje.

Revizije so bile izvedene po pritožbah organizacije noyb, ki je podjetja obtožila nezakonitega prenosa osebnih podatkov v Združene države Amerike, kar je v nasprotju z evropsko zakonodajo.

• Po zgoraj omenjeni sodbi Sodišča EU je norveški organ za varstvo podatkov razglasil vedenjsko oglaševanje na Facebooku in Instagramu za nezakonito.

V naslednjih treh mesecih oziroma dokler ne dokaže skladnosti z norveško zakonodajo, podjetje družbenih medijev tega pristopa ne sme več uporabljati.

 

• Sredi julija je Bela hiša predstavila začasne ukrepe v obliki prostovoljnih zavez za "varen, zaščiten in pregleden razvoj ter uporabo umetne inteligence".

Amazon, Anthropic, Google, Inflection, Meta, Microsoft in OpenAI so se dogovorili, da bodo dali prednost raziskavam družbenih tveganj, ki jih predstavljajo sistemi umetne inteligence, ter spodbujali odkrivanje in poročanje o težavah in ranljivostih.

Vendar pa po mnenju nekaterih akademskih strokovnjakov ti sporazumi še zdaleč niso zadostni.

»Združene države Amerike še naprej ponujajo prostovoljne ukrepe, medtem ko bo Evropska unija kmalu sprejela najobsežnejšo zakonodajo o umetni inteligenci, kar smo jih doslej videli,« je dejala Brandie Nonnecke, ustanovna direktorica laboratorija Citris Policy Lab na Univerzi v Berkeleyju.

• Medtem Zvezna komisija za trgovino (FTC) preiskuje delovanje OpenAI v zvezi z delovanjem ChatGPT, pri čemer zastavlja podrobna vprašanja o finančnih prihodkih podjetja, načinu učenja modelov in obdelave podatkov, varnostnih tveganjih in postopkih, ustvarjanju vsebin o posameznikih, zunanjih napadih za manipulacijo LLM ("takojšnje injekcije") in varstvu osebnih podatkov.
• OpenAI je ukinil svoje orodje za razlikovanje med besedilom, ki ga je ustvaril človek, in besedilom, ki ga je ustvarila umetna inteligenca: »Od 20. julija 2023 klasifikator umetne inteligence ni več na voljo zaradi nizke stopnje natančnosti.« Podjetje nadaljuje raziskave za razvoj učinkovitejšega orodja.
• Amazon se je strinjal, da bo plačal več kot 30 milijonov dolarjev za poravnavo dveh tožb, ki jih je vložila Zvezna komisija za trgovino (FTC) zaradi kršitve zasebnosti uporabnikov, vključno z otroki, prek glasovnega asistenta Alexa in kamer za zvonec Ring.

Amazon je bil obtožen, da je več let brez soglasja in kljub zahtevam potrošnikov po izbrisu teh podatkov hranil video posnetke Ring in glasovne posnetke Alexa, skupaj s povezanimi geolokacijskimi podatki.

• Singapurski organ za razvoj medijev Infocomm je napovedal partnerstvo z Googlom za podporo pobude "tehnološkega peskovnika".

Ta pobuda bo podjetjem pomagala "zaščititi zasebnost uporabnikov in jim zagotoviti orodja, ki jim omogočajo nadaljnji dostop do podatkov brez piškotkov tretjih oseb".

Partnerstvo IMDA-Google je odprto za vsa podjetja s sedežem v Singapurju.

• Južnoafriški informacijski regulator je 3. julija Ministrstvu za pravosodje in ustavni razvoj izdal obvestilo o kršitvi in upravno globo v višini 5 milijonov randov (približno 240.000 evrov) zaradi neupoštevanja zakona o varstvu osebnih podatkov (POPIA).

Regulator je maja izdal odredbo, v kateri je ministrstvo pozval, naj podaljša nekatere licence za IT-varnost (protivirusna zaščita, zaščita pred vdori, SIEM) in sproži disciplinske postopke proti zadevnim uradnikom.

• V Vietnamu je 1. julija začel veljati odlok o varstvu osebnih podatkov.

Predvsem določa izvajanje ocen učinka prenosov podatkov in imenovanje pooblaščene osebe za varstvo podatkov za obdelavo občutljivih podatkov.

• Podjetji Meta, Onavo in Facebook Israel, sta bili 26. julija v Avstraliji kaznovani z 20 milijoni avstralskih dolarjev, ker uporabnikov VPN nista ustrezno opozorili, da bodo njihovi podatki zbrani v komercialne namene.

Sankcija, ki jo je naložil avstralski organ za varstvo konkurence in potrošnikov (ACCC), je največja, kar jih je bilo kdaj naloženih v Avstraliji glede varstva zasebnosti.