Pravna ura št. 64 – oktober 2023.

Šifriranje in zadnja vrata: od tehničnih omejitev do družbenih izzivov.

Trenutni dogodki v Franciji odražajo trenutno razpravo, ki buri Evropo, in sicer o dostopu organov pregona do vsebine šifriranih sporočil.

Minister za notranje zadeve je 22. oktobra v radijskem pogovoru o nedavnem napadu na srednjo šolo v Arrasu izrazil željo, da bi se v sisteme za šifrirano sporočanje od konca do konca vključila zadnja vrata, ki bi omogočila obhod šifriranja sporočil in dostop do njihove vsebine.

Po ministrovih besedah je ta tehnika učinkovitejša alternativa trenutnim rešitvam, pri katerih obveščevalne službe vdrejo v telefon osumljenca, da bi vanj namestile na primer vohunsko programsko opremo.

Ta praksa, ki jo strogo ureja zakon, je med nadzorom terorista, ki je izvedel napad, propadla.

Dandanes se veliko govori o "skeniranju na strani odjemalca", tehniki, ki se razlikuje od prestrezanja sporočil ("človek v sredini" - HDM).

Strokovnjak, ki je na seminarju, ki ga je na to temo 23. oktobra organiziral evropski nadzornik za varstvo podatkov, je te tehnike opisal takole: »vmesni posrednik« prestreže sporočila med njihovim prenosom, medtem ko »skeniranje na strani odjemalca« figurativno rečeno pomeni branje čez ramo posameznika med pisanjem – pred šifriranjem – da se njegovo sporočilo primerja z vsebino sporne baze podatkov.

To je oblika moderiranja vsebine, ki se izvaja na uporabnikovem terminalu.

Dve pobudi, katerih cilj je sistematična uporaba skeniranja na strani strank, sta trenutno predmet številnih odzivov v Bruslju in Londonu zaradi svoje vsiljive narave.

Na evropski ravni je predlog uredbe CSAM tisti, ki je deležen največ kritik.

Namen besedila je boj proti spletni otroški pornografiji z odkrivanjem širjenja nezakonitih vsebin.

Čeprav obstaja soglasje o izjemnem pomenu tega cilja, številne zainteresirane strani dvomijo o učinkovitosti, nujnosti in sorazmernosti predlaganih ukrepov.

Resno zaskrbljenost so izrazili organi EU za varstvo podatkov, strokovnjaki iz evropskih institucij, pa tudi organizacije za zaščito otrok, akademiki, strokovnjaki za kibernetsko varnost in žrtve spolne zlorabe otrok.

Poleg tveganja, da bi organi pregona bili preobremenjeni z lažno pozitivnimi rezultati, se kritiki bojijo, da gre za korak predaleč v družbo, kjer bo vsak od nas živel v občutku nenehnega nadzora.

Za več kot sto vodilnih raziskovalcev na tem področju je končno tehnično nemogoče izvajati skeniranje vsebine, ne da bi pri tem oslabili šifriranje od konca do konca in kršili zasebnost uporabnikov.

Mnogi strokovnjaki se strinjajo, da trenutne najsodobnejše tehnološke rešitve niso dovolj zanesljive in so tudi ranljive za kibernetske napade.

Do takšnega zaključka je prišel tudi Apple, ki je poleti napovedal opuščanje svojega projekta algoritmov, in Meredith Whittaker, predsednica sporočilne storitve Signal: »Če lahko pride policija, lahko pridejo tudi hekerji, sovražne države, Putin, iranska vlada in vsi, ki želijo škodovati (...). Zato je bistveno, da ohranimo varnost in integriteto teh sistemov.«

V zvezi s tem se zdi, da je britanska vlada omilila svoje stališče glede novega zakona o spletni varnosti, razglašenega 26. oktobra (»Zakon o spletni varnosti«).

Ministri pa niso odpravili sporne klavzule o spremljanju, temveč so njeno izvajanje pogojevali s tehnično izvedljivostjo.

Britanski tehnološki regulator (Ofcom) ima še vedno pooblastilo, da od tehnoloških podjetij zahteva, da razvijejo programsko opremo za skeniranje v skladu z razvijajočo se tehnologijo.

Če bo ta tehnologija na voljo, bo treba še videti, kako bo ocenjeno ravnovesje med represivnimi cilji oblasti in zasebnostjo posameznikov.

 

• CNIL je 12. oktobra skupini CANAL+ naložil globo v višini 600.000 evrov.

Globa se nanaša zlasti na kršitve obveznosti posredovanja informacij, uveljavljanje pravic zadevnih oseb, varnostna vprašanja v zvezi z gesli zaposlenih v podjetju, oddajo del podizvajalcem in dejstvo, da podjetje ni obvestilo CNIL o resni kršitvi osebnih podatkov, ki se je zgodila leta 2020.

• CNIL bo 28. novembra organiziral dogodek o etični refleksiji z naslovom »Umetna inteligenca in svobodna volja: ali smo digitalne ovce?«.

Raziskovalci, strokovnjaki in vizualni umetniki bodo izmenjali mnenja o pomembnih etičnih vprašanjih, ki se nanašajo na vpliv umetne inteligence na individualne odločitve.

• Na temo umetne inteligence je CNIL 11. oktobra objavil tudi praktične vodnike o ustvarjanju podatkovnih baz za usposabljanje sistemov umetne inteligence.

Namen teh informativnih listov je pomagati strokovnjakom uskladiti inovacije s spoštovanjem individualnih pravic. Javno posvetovanje je na voljo do 16. novembra 2023.

• Nevladna organizacija noyb je 14. septembra v Franciji vložila tri pritožbe proti Fnac, aplikaciji za nepremičnine SeLoger in aplikaciji za fitnes MyFitnessPal.

Aplikacije teh podjetij bi nezakonito dostopale do osebnih podatkov uporabnikov in jih delile s tretjimi osebami za namene sofisticirane analize takoj, ko bi bila aplikacija odprta, ne da bi bile zadevne posameznike predhodno obveščene ali pridobljene s soglasjem.

Nevladna organizacija namerava vložiti nadaljnje pritožbe proti podjetjem za mobilne aplikacije.

 

Evropske institucije in organi

• Potem ko je Evropska komisija 12. oktobra začela preiskavo o skladnosti X z uredbo o digitalnih storitvah (DSA), preučuje tudi Meta in TikTok.

Podjetja družbenih medijev so po poročanjih od začetka vojne med Izraelom in Hamasom prejela uradne zahteve za informacije o svojem ravnanju z nezakonitimi vsebinami in dezinformacijami.

• Nekateri kritizirajo Evropsko komisijo, ker ne spoštuje lastnih pravil glede mikrociljanja na družbenih omrežjih.

Danes jo mediji, nevladne organizacije in evropski poslanci obtožujejo, da je v svoji komunikaciji z občinstvom v državah, ki so skeptične do njenega predloga o otroški pornografiji (CSAM), ciljala na določene profile uporabnikov interneta.

• Evropska komisija je septembra 2023 objavila dve vzorčni pogodbeni klavzuli za umetno inteligenco, ki se lahko prostovoljno uporabljata pri javnih naročilih na področju umetne inteligence, za obdelavo z visokim tveganjem ali brez njega.

Klavzule so namenjene javnim organom, ki želijo pridobiti sistem umetne inteligence, ki ga je razvil zunanji dobavitelj.

• Evropski nadzornik za varstvo podatkov (EDPS) je 23. oktobra objavil priporočila sozakonodajalcema EU za trialoge o uredbi o umetni inteligenci.

Zlasti podpira vključitev pravice oseb, ki jih prizadene uporaba sistemov umetne inteligence, da vložijo pritožbo pri pristojnem organu in da so zoper njegove odločitve upravičene do učinkovitega pravnega sredstva, v uredbo.

Nadalje ponavlja svoj poziv k imenovanju organov za varstvo podatkov za nacionalne nadzorne organe.

Prav tako podpira potrebo po evropskem pristopu, zlasti v čezmejnih primerih s pomembnim vplivom, in predlog o ustanovitvi "evropskega urada za umetno inteligenco", ki ga je predstavil Evropski parlament.

• ENVP je 11. oktobra izdal tudi mnenje o dveh predlaganih smernicah v zvezi s pravili o odgovornosti za umetno inteligenco.
• Evropski odbor za varstvo podatkov (EDPB) in ENVP sta 19. septembra sprejela skupno mnenje o predlogu uredbe o dodatnih postopkovnih pravilih za uporabo GDPR.

Namen tega predloga je zagotoviti izvajanje hitrih korektivnih ukrepov za posameznike v čezmejnih primerih.

Evropski odbor za varstvo podatkov in Evropski nadzornik za varstvo podatkov pozivata k celoviti uskladitvi zahtev glede dopustnosti, predlagata izboljšanje doseganja soglasja z večjo udeležbo ustreznih nadzornih organov in pozivata sozakonodajalca, naj ohranita sedanji pristop k pravici strank do slišanja v postopku reševanja sporov.

• Evropski odbor za varstvo podatkov (EOVP) in Evropski nadzornik za varstvo podatkov (EDPS) sta 17. oktobra izdala skupno mnenje o predlogu uredbe v zvezi z digitalnim evrom.

Regulatorji še posebej odobravajo ohranitev izbire za uporabnike, da plačujejo v digitalnih evrih ali z gotovino.

Kljub temu podajajo več pripomb, da bi zagotovili, da se obdelujejo le potrebni osebni podatki, zlasti v okviru boja proti goljufijam, in da bi se izognili pretirani centralizaciji osebnih podatkov s strani Evropske centralne banke ali nacionalnih centralnih bank.

• Na oktobrskem plenarnem zasedanju je EOVP izbral temo za svoj tretji usklajeni ukrep za izvajanje GDPR: kako podjetja izvajajo pravico posameznikov do dostopa.

Ta ukrep je načrtovan za leto 2024 in bo predmet ciljno usmerjenega spremljanja na nacionalni in evropski ravni.

• Norveški organ za varstvo podatkov (DPA) je 31. oktobra izdal izjavo, v kateri je navedel, da bo njegova odločitev proti Meti razširjena na EU/EGP.

V sporočilu za javnost je navedeno, da je EDPB pravkar odobril trajno razširitev norveške prepovedi vedenjskega trženja na Facebooku in Instagramu na vso Evropo.

• Po razkritjih in preiskavi Evropskega parlamenta o vohunski programski opremi Pegasus poročilo Amnesty International in Evropskega preiskovalnega sodelovanja (EIC) preučuje primer Predator in poudarja nezmožnost EU, da bi regulirala zlorabo vohunske programske opreme na svojem ozemlju.

Poročilo se osredotoča na skupino Intellexa Alliance s sedežem v Evropi, ki je med letoma 2007 in 2022 "razvila, upravljala in tržila" "niz izdelkov za spremljanje". 

Ti izdelki omogočajo pošiljanje tihih poskusov okužbe uporabnikom sodelujočih ponudnikov internetnih storitev ali po celotni državi, če ima upravljavec vohunske programske opreme neposreden dostop do internetnega prometa.

• Predstavniki evropske farmacevtske industrije (EPFIA) so 6. septembra nasprotovali uvedbi mehanizma za zavrnitev zbiranja zdravstvenih podatkov za sekundarno uporabo v predlagani uredbi o prihodnjem evropskem prostoru zdravstvenih podatkov (EHDS).

Stališče skupine odraža zaskrbljenost raziskovalcev in tehnoloških oblikovalcev, ki se bojijo, da bo uvedba možnosti zavrnitve v sistem ogrozila uporabo podatkov za raziskave in inovacije.

• V sporočilu za javnost z dne 5. septembra 2023 je TikTok napovedal, da krepi varstvo podatkov svojih evropskih uporabnikov.

Podjetje načrtuje še dva nova podatkovna centra v Evropi, poleg tistega v Dublinu.

TikTok je najel tudi zunanje evropsko varnostno podjetje, da opravi neodvisno revizijo obdelave svojih podatkov.

 

Novice iz držav članic Evrope.

• Belgijski organ za varstvo podatkov (APD) je 20. oktobra objavil kontrolni seznam, ki bo organizacijam pomagal zagotoviti, da so njihove prakse glede piškotkov in drugih mehanizmov sledenja skladne z veljavnimi predpisi.

Dokument vam omogoča, da korak za korakom pregledate dobre in slabe prakse.

Direktiva o azilnih postopkih nas opominja, da so le nujno potrebni piškotki izvzeti iz soglasja, vse druge kategorije piškotkov pa je mogoče namestiti in prebrati le, če je uporabnik predhodno dal svobodno, specifično, informirano, nedvoumno in aktivno soglasje.

• Okrožno sodišče v Amsterdamu je 18. oktobra sprejelo pomembno odločitev v skrajšanem postopku glede AdTech in sledilnih piškotkov.

Francosko podjetje Criteo se ne more zgolj sklicevati na pogodbeno obveznost svojih strank (izdajateljev spletnih strani), da pridobi soglasje uporabnikov interneta: odgovorno je tudi za pridobitev veljavnega soglasja za namestitev piškotkov, brez katerega (in če založnik soglasja ne pridobi) je namestitev piškotkov nezakonita.

Odločitev temelji na Rimski konvenciji II (pristojnost Sodišča), Direktivi o „e-zasebnosti“ in GDPR.

Sodišče priznava odločitev CNIL in zavrača Criteov zagovor, da tožnik ni konfiguriral svojega brskalnika tako, da bi zavrnil piškotke.

Prav tako zavrača argument, da bi zahteve tožnika škodovale njegovemu poslovnemu modelu, saj prevladajo interesi tožnika glede zasebnosti.

Sodišče nadalje uporablja sodbo Sodišča v zadevi Österreichische Post (C-154/21) in razsodi, da mora Criteo zagotoviti popoln pregled tretjih oseb, s katerimi so bili podatki deljeni.

• Grški organ za varstvo podatkov (DPA) je Atenski mestni prometni organizaciji (OASA) naložil globo v višini 50.000 evrov zaradi kršitve člena 5(1)(e) GDPR, ker njen sistem elektronskih vozovnic ni bil skladen z načelom omejitve shranjevanja.

Nadalje je oštela OASA zaradi kršitve 35. člena(1) GDPR, saj je bila njena ocena učinka na varstvo podatkov za njen sistem elektronskih vozovnic nezadostna.

• Švedski organ za varstvo podatkov (APD) je šolskemu odboru mesta Stockholm naložil globo v višini 800.000 švedskih kron (približno 68.324 evrov) zaradi uporabe nadzornih kamer v šoli, kar je v nasprotju s členom 5(1)(a), (c), členom 6(1) in členom 13 GDPR.
• Italijanski organ za varstvo podatkov (APD) je italijansko odvetniško zbornico oglobil z 20.000 evri zaradi objave informacij o dveh pritožnikih na svoji spletni strani brez legitimne pravne podlage, v skladu s kombiniranimi določbami 10. člena GDPR in 20. člena italijanskega zakonika o zasebnosti.
• Hrvaški organ za varstvo podatkov (APD) je podjetju EOS Matrix doo, agenciji za izterjavo dolgov, naložil najvišjo upravno globo doslej v višini 5.470.000 evrov zaradi večkratnih kršitev GDPR.
• V Združenem kraljestvu je Clearview AI pred prvostopenjskim sodiščem (FTT) uspel v pritožbi zoper globo, ki jo je naložil britanski organ za varstvo podatkov (DPA).

Sodišče je razsodilo, da se "britanska uredba GDPR" ne uporablja, in trdilo, da so dejavnosti obdelave podatkov družbe Clearview vključevale opravljanje storitve v imenu organov pregona s sedežem v tretji državi, zunaj področja uporabe GDPR in "britanske uredbe GDPR".

Sodišče nadalje obravnava Clearview in njegove stranke kot skupne upravljavce obdelave za ta represivni namen.

Obrazložitev sodišča je sprožila veliko razprav med strokovnjaki za varstvo podatkov glede kvalifikacije skupnih upravljavcev in neuporabe evropskega in/ali britanskega prava v konkretnem primeru.

• V začetku oktobra je Snapov klepetalni robot z umetno inteligenco pritegnil pozornost ICO.

APD je sporočil, da je izdal predhodno obvestilo o uveljavljanju zakona proti Snapu zaradi tega, kar opisuje kot "morebitno neustrezno oceno tveganj za zasebnost, ki jih predstavlja njegov klepetalni robot 'My AI'".

Vedno več organov za varstvo podatkov, kot so tisti v Združenem kraljestvu in Italiji, prevzema odgovornosti regulatorjev umetne inteligence.

 

• Globalna skupščina o zasebnosti (GPA) je sredi oktobra na Bermudih organizirala svojo letno konferenco.

Oblasti so razpravljale o uporabi predpisov o zasebnosti za umetno inteligenco in 20. oktobra sprejele resolucijo o generativni umetni inteligenci.

Resolucija prihaja v času, ko so voditelji skupine G7 30. oktobra v okviru Hirošimskega procesa o umetni inteligenci sprejeli mednarodna vodilna načela o umetni inteligenci (UI) in prostovoljni kodeks ravnanja za razvijalce UI.

• Združene države Amerike bodo 30. oktobra objavile tudi odlok o umetni inteligenci in priročnik za obvladovanje tveganj na področju umetne inteligence, Združeno kraljestvo pa bo 2. novembra organiziralo vrh o varnosti umetne inteligence.
• Urad novozelandskega pooblaščenca za varstvo zasebnosti je objavil priročnik o razvoju in uporabi sistemov umetne inteligence v skladu z načeli zasebnosti (PPP).
• Kanada je septembra objavila tudi kodeks ravnanja za razvijalce in upravljavce naprednih generativnih sistemov umetne inteligence.

Kodeks opredeljuje ukrepe, ki jih je treba izvesti za ublažitev tveganj, povezanih s temi sistemi, na podlagi šestih temeljnih načel: odgovornost, varnost, pravičnost/poštenost, preglednost, človeški nadzor, veljavnost/robustnost sistemov.

• Združene države Amerike: Generalni državni tožilci iz 41 ameriških zveznih držav so združili moči, da bi vložili tožbo proti podjetju Meta, v kateri trdijo, da sta njegovi platformi družbenih medijev Instagram in Facebook zasvojljivi in škodljivi za otroke.

Tožba Meto obtožuje, da je večkrat in sistematično zbirala podatke o otrocih, mlajših od 13 let, in da ni obvestila ali pridobila starševskega soglasja za njihovo uporabo.

• Kalifornija je 12. oktobra 2023 objavila zakon, ki ureja posrednike podatkov in spreminja obstoječi zakon iz leta 2018 (CCPA).

Besedilo določa, da se morajo posredniki podatkov registrirati pri agenciji za varstvo podatkov in ji posredovati podrobnejše informacije o posameznih zahtevah, zbiranju določenih informacij in obveznem pregledu njihove skladnosti z zakonom.

Projekt ustvarja tudi mehanizem, ki posameznikom omogoča, da od vseh posrednikov podatkov zahtevajo izbris njihovih osebnih podatkov.

• Storitev genetskega testiranja 23andMe je utrpela kršitev podatkov.

Heker je na forumu o kibernetski kriminaliteti BreachForums objavil genetske podatke štirih milijonov uporabnikov.

Ta incident sledi še enemu puščanju, ki se je zgodilo v začetku oktobra.

• V Združenih arabskih emiratih je ministrstvo za umetno inteligenco, digitalno gospodarstvo in aplikacije za delo na daljavo objavilo belo knjigo z naslovom "Okvir samoupravljanja za odgovorno metaverzum".