Pravna ura št. 63 – september 2023.

Brexit: pregled varstva podatkov.

Odkar je Združeno kraljestvo 31. januarja 2020 zapustilo Evropsko unijo, so se med okviri za varstvo podatkov na obeh straneh Rokavskega preliva pojavile vse večje razlike.

Država še vedno uporablja zakon, ki je prenesel GDPR na nacionalni ravni, imenovan »UK GDPR«, in od 28. junija 2021 ima Združeno kraljestvo ustrezno raven zaščite, ki dovoljuje izmenjavo podatkov z EU.

Odločitev o ustreznosti velja do 27. junija 2025, vendar bi jo lahko spremenili prej, če bi se britanski pravni okvir pred tem datumom bistveno spremenil.

Med dogodki, ki bi lahko vzbudili začudenje Evropske komisije, sta ambicija Združenega kraljestva, da postane "središče podatkov", ki bi olajšalo mednarodno izmenjavo podatkov, in trenutni osnutek revizije "britanske GDPR", katerega cilj je olajšati obveznosti britanskih podjetij.

Združeno kraljestvo je 21. septembra formaliziralo "most podatkov", sklenjen junija z Združenimi državami.

Sporazum bo začel veljati 12. oktobra.

Združeno kraljestvo je sklenilo tudi sporazume z več državami, ki jih EU že ocenjuje kot ustrezne: Kanado, Izraelom, Japonsko, Novo Zelandijo, Švico in Urugvajem.

Na njegovem seznamu prioritet so še Avstralija, Kolumbija, Dubaj, Republika Koreja in Singapur.

Zaradi tega poenostavljanja mednarodnih izmenjav se sproža vprašanje poznejših prenosov evropskih podatkov, ki bi jih po prehodu skozi Združeno kraljestvo pozneje prejela država, za katero EU meni, da ne zagotavlja enakovrednega varstva podatkov.

Združeno kraljestvo se dejansko premika k bolj pragmatični oceni jamstev, ki jih ponujajo tretje države, ki bolj temelji na tveganju.

Vzporedno s temi pobudami glede prenosa podatkov Združeno kraljestvo pripravlja zakon o varstvu podatkov in digitalnih informacij („Zakon o varstvu podatkov in digitalnih informacij (št. 2)“), katerega cilj je nadomestiti sedanjo britansko GDPR.

To besedilo je bilo v parlamentu lani spomladi že dvakrat prebrano in ga je treba še obravnavati v tretji obravnavi.

Projekt ohranja spoštovanje načela omejitve namena, vendar spreminja njegov obseg: dovoljuje nadaljnjo obdelavo, kadar so bili podatki zbrani brez privolitve, na primer v primerih uporabe, ki temelji na javnem interesu.

Vpliv tega pravila na uporabo piškotkov še ni jasen, čeprav vlada pravi, da želi omejiti neželena "pojavna okna", ki zahtevajo uporabnikovo soglasje.

Opredelitev znanstvenega raziskovanja je bila posodobljena in razširjena, pogoji za njegovo izvajanje pa so bili omilitvi.

To bi lahko podjetjem omogočilo lažjo obdelavo podatkov v komercialne namene, pri čemer trdijo, da te komercialne prakse sestavljajo tehnološke raziskave in razvoj. 

Projekt prav tako zmanjšuje zahteve, ki so naložene podjetjem glede vodenja evidenc in proaktivnega nadzora nad njihovimi dejavnostmi obdelave podatkov, razen za tista, katerih obdelava predstavlja veliko tveganje za pravice posameznikov.

Besedilo uvaja tudi okvir za uporabo "zanesljivih in varnih storitev digitalnega preverjanja", kar se zdi kot odgovor na projekt digitalne identitete Evropske unije.

Za podjetja, ki poslujejo po vsej EU, bodo nekatere koristi reforme, namenjene zmanjšanju upravnega bremena, omejene: še vedno bodo morala na primer imenovati pooblaščeno osebo za varstvo podatkov in ne bodo mogla izkoristiti omilitve nekaterih pravil v zvezi s hrambo podatkov.

Načrt vključuje tudi zamenjavo obstoječega regulativnega organa, ICO, s svetom in podelitev pooblastila državnemu sekretarju za vodenje določenih dejavnosti institucije z določitvijo strateških prednostnih nalog.

Obstoj neodvisnega regulatorja za varstvo podatkov bo eden ključnih elementov, ki jih bo EU upoštevala pri ponovni oceni „bistvene enakovrednosti“ Združenega kraljestva s svojimi pravili o varstvu podatkov.

To vprašanje je že sprožilo vprašanja v Evropskem parlamentu.

Zakon bi lahko bil sprejet prihodnjo pomlad.

 

• CNIL je 18. septembra 2023 letalskemu prevozniškemu podjetju SAF LOGISTICS naložil globo v višini 200.000 evrov zaradi zbiranja preveč podatkov od svojih zaposlenih, vključno z občutljivimi podatki in izpiski iz kazenske evidence.

Prav tako je kaznovana zaradi nezadostnega sodelovanja s službami CNIL.

• Konec septembra je potekal Evropski teden trajnostnega razvoja, ki je CNIL ponudil priložnost za komunikacijo o svoji knjižici, posvečeni tej temi: raziskuje presečišča med varstvom podatkov, svoboščinami in okoljem: "Ali varstvo podatkov varuje planet? Ali so naše svoboščine v prehodu? Ali bi morali deliti podatke za zaščito okolja?"

Dokument poskuša odgovoriti na ta vprašanja in predlaga priporočila za uskladitev obeh ciljev.

• CNIL je to poletje objavil osnutek priročnika o ponovni uporabi javnih podatkov.

Priročnik vključuje stališče CNIL, njenih kolegov ter odločitve francoskih in evropskih sodišč, obogaten pa je z vrsto posvetovanj z različnimi akterji, ki so neposredno vključeni v razvoj pristopov k odpiranju, izmenjavi in ponovni uporabi javno dostopnih podatkov (institucionalni partnerji, združenja in podjetja, odvetniki, raziskovalci).

• CNIL (francoski organ za varstvo podatkov) je 29. avgusta odredil družbi Boursorama, naj ravna v skladu z določbami GDPR, "zlasti s prenehanjem obdelave prijavnih podatkov za spletno mesto impots.gouv.fr": Boursorama je dejansko zahtevala dostop do uporabniškega imena in gesla za spletno mesto impots.gouv.fr od tistih, ki so želeli pridobiti posojilo ali odpreti načrt delniškega varčevanja.

CNIL navaja, da ima podjetje za izpolnitev obveznosti dva meseca.

• Mozilla objavlja javni poziv v odgovor na prihodnji zakon SREN, ki predvideva uvedbo "filtra proti prevaram" na internetu.

Fundacija v naslovu svoje peticije trdi, da Francija sili spletne brskalnike, da "cenzurirajo spletna mesta".

Obvezni mehanizem bi od posrednikov zahteval, da uvedejo vse ustrezne ukrepe, s katerimi bi uporabnikom interneta preprečili dostop do naslovov, ki se štejejo za škodljive, za obdobje najmanj sedmih dni.

Fundacija načeloma meni, da je pohvalno, da si prizadeva za boj proti spletnim goljufijam.

Vendar pa izpodbija metode, izbrane za dosego tega cilja, ki ustvarjajo precedens, saj bi se strategija filtriranja, ko bi bila enkrat vzpostavljena, lahko razširila na druga vprašanja.

 

 

Evropske institucije in organi

• Evropska komisija je objavila smernice o novi evropski direktivi o kibernetski varnosti, NIS2.

Ta direktiva nalaga obveznosti glede varnosti, obveščanja o incidentih in upravljanja subjektom v različnih kritičnih sektorjih, vključno z energetiko, prometom, financami, zdravstvom in digitalno infrastrukturo.

Smernici pomagata ugotoviti, ali veljajo zahteve NIS2 ali sektorske zahteve, in si prizadevata zagotoviti, da so zahteve glede registracije skladne po vsej Uniji.

• Odbor Evropskega parlamenta za državljanske svoboščine bo oktobra začel preučevati uredbo o "zaščiti otrok na internetu" (CSAM).

To besedilo je predmet vse ostrejših kritik, zlasti glede ukrepa, katerega cilj je zavezati večje platforme k proaktivnemu pregledovanju zasebnih vsebin, ki si jih izmenjujejo z njihovimi storitvami, da bi odkrile otroško pornografijo.

Mnogi akterji civilne družbe, vsi evropski organi za varstvo podatkov in tudi pravniki Sveta EU menijo, da bi uredba uvedla "še posebej pomembne omejitve pravice do zasebnosti" in da obstaja "resno tveganje", da je v nasprotju s temeljnimi besedili EU.

• Mesec kibernetske varnosti je priložnost, da ENISA, Agencija Evropske unije za informacijsko varnost, objavi priporočila glede izsiljevalske programske opreme.

Med razpoložljivimi dokumenti so nasveti za operaterje v elektroenergetskem sektorju, ki je glavna tarča hekerjev.

• Poslanec Philippe Latombe, član CNIL, je 7. septembra pred Sodiščem Evropske unije izpodbijal Okvir za varstvo podatkov, ki od letošnjega poletja dovoljuje izmenjavo podatkov med EU in Združenimi državami.
• Latombe je vložil dve pritožbi, eno za takojšnjo začasno prekinitev sporazuma in drugo glede vsebine besedila.

Od sodišča zahteva, naj nujno začasno prekine sporazum, pri čemer se sklicuje na evropsko uredbo iz leta 1958, ki zahteva, da so evropska besedila splošnega pomena napisana v štirih uradnih jezikih, medtem ko DPF od 10. julija obstaja le še v angleščini.

• Uporaba orodij za videokonference sproža vprašanja varstva podatkov, zlasti ker se podatki zelo pogosto prenašajo zunaj EU.

Sodišče EU je v zvezi z uporabo storitve Cisco Webex izvedlo „oceno učinka prenosa (TIA)“ in obdelavo podvrglo odobritvi Evropskega nadzornika za varstvo podatkov (EDPS).

Odločba ENVP in ocena učinka Sodišča EU sta koristni referenci za vsakega upravljavca podatkov, ki ta orodja uporablja v poklicnem kontekstu.

 

Novice iz držav članic Evrope.

• Belgijski organ za varstvo podatkov (APD) je 16. avgusta zavrnil pritožbo kljub obstoju kršitev GDPR.

Menila je, da kršitve niso imele "večjega družbenega in/ali osebnega vpliva" in da bi bili zato viri, potrebni za preučitev pritožbe, nesorazmerni.

• Po zavezujoči odločitvi Evropskega odbora za varstvo podatkov (EDPB) o reševanju sporov je irska komisija za varstvo podatkov 1. septembra objavila svojo končno odločitev, v kateri je ugotovila zlasti, da je TikTok pri obdelavi osebnih podatkov v zvezi z otroki, starimi od 13 do 17 let, kršil načelo pravičnosti iz GDPR.

V pojavnem oknu za prijavo so otroke spodbudili, da se odločijo za javni račun.

V končni odločitvi APD meni, da so bile privzete javne nastavitve v nasprotju tudi z načeli vgrajenega in privzetega varstva podatkov, minimizacije podatkov in preglednosti.

Irski organ za varstvo podatkov je poleg opomina in odredbe o skladnosti naložil tudi globo v višini 345 milijonov evrov.

• Spodnjesaški organ za varstvo podatkov je v sodelovanju s šestimi drugimi organi za varstvo podatkov pripravil priročnik o uporabi storitve Microsoft 365 v poklicne namene.

Oblasti priporočajo sklenitev dodatnega sporazuma med odgovorno stranko in Microsoftom, ki mora imeti prednost pred vsemi nasprotujočimi si pogodbenimi besedili.

Ta sporazum bi moral urejati zlasti obdobja izbrisa, prilagojena potrebam upravljavca podatkov, zahteve glede informacij v zvezi z uporabo podizvajalcev ter obdelavo podatkov s strani Microsofta za lastne komercialne namene.

• V odredbi o obdelavi podatkov za namene trženja iz sredine julija italijanski organ za varstvo podatkov (APD) opozarja, da glede na načelo omejitve hrambe podatkov ni upravičeno hraniti podatkov do datuma preklica soglasja.

Ta opomnik je že vključen v smernice Evropskega odbora za varstvo podatkov št. 5/2020, v skladu s katerimi je treba upoštevati kontekst in legitimna pričakovanja posameznikov: dobra praksa je redno zahtevati novo privolitev.

• Italijansko vrhovno sodišče je potrdilo nezakonitost odpustitve zaposlenega s strani italijanske banke zaradi nezakonitega spremljanja elektronske pošte in nadzora nad tem zaposlenim.

Vrhovno sodišče je navedlo, da je treba zagotoviti pravično ravnovesje med zahtevami po varstvu interesov in premoženja podjetja, povezanimi s svobodo gospodarske pobude, ter varstvom dostojanstva in zasebnosti delavca, odvisno od okoliščin.

Spremljanje vseh komunikacij na službenem prenosniku toženca je bilo neupravičeno, ker je bilo neselektivno, neomejeno in ker tožnik toženca ni obvestil o morebitnem spremljanju komunikacij na njegovem prenosniku, niti o naravi in obsegu spremljanja.

• Španski organ za varstvo podatkov (APD) je v odločbi, objavljeni 21. avgusta, upravljavca podatkov sankcioniral zaradi kršitve členov 28(2) in 28(3) GDPR.

Ta sankcija je bila naložena, čeprav med upravljavcem podatkov in podizvajalci ni bilo sklenjene pogodbe in upravljavec podatkov ni bil obveščen o vpletenosti podizvajalcev v dejavnosti obdelave podatkov.

• Španska agencija za varstvo podatkov (APD) objavlja blog o digitalnih valutah, v katerem obravnava največja tveganja, ki jih predstavljajo kriptovalute: nestanovitnost, špekulacije, lažen občutek dostopnosti, varnost in anonimnost.
• Britanska volilna komisija je 8. avgusta sporočila, da je bila žrtev kršitve varnosti podatkov.

Kibernetski napad sega v avgust 2021 in je bil odkrit oktobra 2022.

Hekerji, ki ostajajo neimenovani, so med letoma 2014 in 2022 pridobili dostop do podatkov 40 milijonov registriranih volivcev.

• Britanska vlada je začasno ustavila načrte za oslabitev spletnega šifriranja z uvedbo zakona o spletni varnosti.

Namen tega zakona je bil od aplikacij za sporočanje, kot je WhatsApp, zahtevati, da analizirajo pogovore svojih uporabnikov za otroško pornografijo. Sporne določbe bi ostale v zakonu, vendar je britanska vlada izjavila, da tehnoloških podjetij ne bo silila k njihovi uvedbi.

• Britanska raziskovalna skupina je avgusta 2023 objavila članek o svojem razvoju umetne inteligence (UI), ki je sposobna dešifrirati geslo preprosto s poslušanjem zvokov, ki jih proizvajajo tipke na tipkovnici.

Umetna inteligenca je bila usposobljena na naboru podatkov z več kot 100.000 pritiski tipk in uspešno preizkušena na različnih napravah, vključno s prenosniki, pametnimi telefoni in pametnimi zvočniki.

 

• Mednarodna organizacija za standardizacijo je nedavno objavila standard ISO 22989:2022 – Koncepti in terminologija umetne inteligence, ki določa terminologijo in opisuje koncepte na področju umetne inteligence.

Ta dokument se lahko uporablja za razvoj drugih standardov in za podporo komunikaciji med različnimi zainteresiranimi stranmi ali deležniki. Uporablja se za vse vrste organizacij (komercialna podjetja, vladne agencije, neprofitne organizacije).

• Meta naj bi po poročanjih uvedla plačljivo naročnino za svoji platformi družbenih medijev Instagram in Facebook.

Po poročanju Wall Street Journala bi morali uporabniki, ki ne želijo biti sledeni za namene prilagojenega oglaševanja, plačati med 10 in 15 evri na mesec, odvisno od uporabljene naprave (pametni telefon, računalnik).

• Video nadzor z biometričnim prepoznavanjem je v središču škandala v Argentini: napake, sistem, dovzeten za manipulacije, nepooblaščen dostop, pomanjkanje ukrepov za preglednost ...

Petinsedemdeset odstotkov prestolnice je pod video nadzorom, vendar je sistem za prepoznavanje obrazov tarča kritik, potem ko je od leta 2019 vsaj 140 napak privedlo do policijskih kontrol ali aretacij.

Aktivisti so se odločili tožiti mestno oblast in aprila 2022 dosegli deaktivacijo sistema.

Od takrat se mesto Buenos Aires bori za njegovo ponovno uporabo.

• Indonezijski varnostni raziskovalec je na Twitterju razkril, da je heker za 10.000 dolarjev dal naprodaj datoteko, ki vsebuje podatke skoraj 35 milijonov imetnikov potnih listov.

Heker je že znan po tem, da je leta 2022 s strežnikov indonezijskega ministrstva za komunikacije in informacijsko tehnologijo ukradel in dal v prodajo podatke 1,3 milijarde SIM-kartic, osumljen pa je tudi kraje osebnih podatkov 17 milijonov strank indonezijskega elektroenergetskega podjetja leta 2022 (prek AFCDP).

• Savdska Arabija je sredi septembra objavila predpise za izvajanje zakona o varstvu osebnih podatkov ter predpise o prenosu osebnih podatkov izven kraljestva.
• Ruandska vlada je 15. oktobra 2021 sprejela zakon o varstvu osebnih podatkov in zasebnosti.

Vlada je odobrila dveletno prehodno obdobje, ki posameznikom in organizacijam omogoča uskladitev njihovih dejavnosti obdelave podatkov z zakonom. To obdobje se bo končalo 15. oktobra 2023.