Pravna ura št. 66 – december 2023.

Sodna praksa GDPR: Ključni trendi za leto 2023

Organi za varstvo podatkov in sodni organi so leta 2023, bodisi v Franciji bodisi na evropski ravni, sprejeli številne odločitve, s katerimi so pojasnili pogoje za uporabo GDPR.

Na evropski ravni se najpomembnejše sankcije, ki so jih naložili organi za varstvo podatkov, nanašajo na mednarodne tehnološke velikane in nekaj nacionalnih podjetij.

Posebej ciljajo na oglaševanje brez uporabnikovega soglasja in neobveščanje uporabnikov.

• Irska komisija za varstvo podatkov je 4. januarja 2023 družbi Meta Platforms Ireland Ltd. naložila globo v višini 390 milijonov evrov zaradi nezakonite uporabe osebnih podatkov za oglaševalske namene na Facebooku in Instagramu.

Maja 2023 je družbi Meta naložila tudi zgodovinsko globo v višini 1,2 milijarde evrov zaradi nezakonitega prenosa podatkov v Združene države.

• Irski organ za varstvo podatkov (DPA) je januarja 2023 WhatsAppu naložil tudi globo v višini 5,5 milijona evrov, ker je uporabnike prisilil k soglasju za uporabo osebnih podatkov za namene "izboljšanja storitev in varnosti".
• CNIL je 15. junija 2023 podjetju CRITEO, specializiranemu za spletno oglaševanje, naložil globo v višini 40 milijonov evrov, predvsem zato, ker ni preverilo, ali so posamezniki, katerih podatke je obdelovalo, dali svoje soglasje.
• Italijanski organ za varstvo podatkov je junija lani podjetju za telemarketing TIM SpA naložil 7,6 milijona evrov globe zaradi nezadostnega nadzora nad klicnimi centri z zlorabami.

V Franciji je CNIL sprejela še več drugih sankcij, ki jih je vredno omeniti. Komisija se je osredotočila zlasti na:

• Zaradi pomanjkanja pravne podlage v kontekstu zbiranja biometričnih podatkov s strani podjetja Clearview;
• Glede vprašanja spoštovanja načela minimizacije zbranih podatkov, v tem primeru geolokacijskih podatkov v zadevi Cityscoot z dne 16. marca 2023;
• Glede obdobij hrambe podatkov v zadevi KG COM z dne 8. junija 2023 in zadevi Doctissimo z dne 11. maja 2023;
• Glede spoštovanja pravic posameznikov v primerih Canal + (12. oktober), Free (20. marec) in Criteo (15. junij).

Glede te zadnje točke CNIL poudarja, da je treba podatke prosilcu sporočiti v razumljivi obliki.

Prav tako ugotavlja, da je neupoštevanje enomesečnega roka za odgovor na zahtevo za dostop pogosta kršitev.

Velja opozoriti, da je uveljavljanje pravic posameznikov tema usklajenih preiskav organov za varstvo podatkov v Evropi za leto 2024.

V okviru sodne prakse francoskih sodišč in tribunalov naj omenimo tudi več nedavnih odločitev v zvezi z video nadzorom.

• Upravni sodišči v Nici in Lillu sta 23. oziroma 29. novembra razsodili v korist občin, ki so namestile sisteme za video nadzor z algoritmičnim prepoznavanjem obrazov, z utemeljitvijo, da ti sistemi (še) niso bili v celoti aktivirani ali uporabljeni za namene razširjenega video nadzora.
• Upravno sodišče v Caenu pa je v začasni odredbi z dne 22. novembra odločneje menilo, da algoritemski video nadzorni sistem Briefcam predstavlja resno in očitno nezakonito kršitev pravice do zasebnosti.

Sodnik je v senatu ugotovil, da je bila uporaba zunaj kakršnega koli pravnega ali regulativnega okvira, in menil, da "ni bilo ugotovljeno niti trditveno, da za ohranitev javnega reda ne bi bilo mogoče uporabiti drugih, manj vsiljivih sredstev glede zasebnosti".

Vprašanje pravne podlage za uporabo algoritmičnega video nadzora bi moralo postati še bolj pereče s sprejetjem evropske uredbe o umetni inteligenci, ki bo prepoznavanje obrazov v javnih prostorih urejala še posebej strogo (glej spodnja poročila).

Nazadnje je Sodišče Evropske unije (SEU) na evropski ravni sprejelo več odločb, ki pojasnjujejo zlasti načela, ki se uporabljajo za avtomatizirano obdelavo, in upoštevanje škode pri kršitvah GDPR:

• Sodišče EU je tako 7. decembra sprejelo dve pomembni sodbi v zvezi s prevladujočim ponudnikom storitev kreditnih informacij v Nemčiji (»Schufa«).

Sodišče je zlasti navedlo, da za avtomatizirano obdelavo kreditne sposobnosti („točkovanje“) velja splošna prepoved v skladu s členom 22 GDPR.

Dodaja, da za podjetje, ki avtomatizirano določi kreditno oceno, še vedno velja člen 22, tudi če gre za drugo podjetje, ki se na to oceno zanaša pri sprejemanju odločitev, ki imajo (negativen) vpliv na zadevno osebo, pri čemer bi to sklepanje lahko vplivalo na sisteme, ki jih podpira umetna inteligenca.

• Glede odškodnine je Sodišče v sodbi Osterreichische Post AG z dne 4. maja 2023 razsodilo, da kršitev določb GDPR ni zadostna za podelitev pravice do odškodnine posamezniku, na katerega se nanašajo osebni podatki, ki ga je prizadela nezakonita obdelava: ta mora tudi dokazati škodo. Vendar pa je treba to škodo povrniti, tudi če ne doseže določene stopnje resnosti.
• Sodišče EU je v svoji sodbi z dne 14. decembra 2023 podalo široko razlago moralne škode.

Sodišče zlasti navaja, da lahko že strah, ki ga oseba doživlja glede morebitne zlorabe svojih osebnih podatkov s strani tretjih oseb zaradi kršitve GDPR, sam po sebi predstavlja moralno škodo.

V kombinaciji s sodbo Österreichische Post AG, ki določa, da ni minimalnega praga za nematerialno škodo, bi ta sodba lahko spodbudila razvoj skupinskih tožb v Evropi.

Velja opozoriti, da Francija, tako kot njeni evropski partnerji, trenutno prenaša direktivo z dne 25. novembra 2020 o zastopniških tožbah v obrambo kolektivnih interesov potrošnikov v nacionalno zakonodajo.

 

   

• Sredi decembra je CNIL objavil »Tabele obdelave podatkov in svoboščin« za strokovnjake za varstvo podatkov.

Te tabele združujejo in razvrščajo povzetke številnih odločitev francoskih in evropskih sodišč, vključno z Evropskim sodiščem za človekove pravice, Sodiščem Evropske unije, Ustavnim svetom, Državnim svetom in Kasacijskim sodiščem.

V tabelah so vključene tudi nekatere odločitve Evropskega odbora za varstvo podatkov (EDPB) in Komisije za nacionalno zaščito priseljencev (CNIL), s poudarkom na tistih, ki vzpostavljajo novo doktrino ali določajo načela.

• Sredi decembra je CNIL objavil tudi vodnik za ozaveščanje o GDPR, da bi podprl službe za varnost in zdravje pri delu (SPST) pri njihovem izpolnjevanju predpisov.
• Po Evropskem odboru za varstvo podatkov je zdaj na vrsti Generalni direktorat za konkurenco, potrošniške zadeve in boj proti goljufijam, ki bo objavil stran, namenjeno opozarjanju potrošnikov na "temne vzorce", tehnike ali postopke, katerih namen je vplivati na odločitve uporabnikov interneta, da bi jih spodbudili k naročilu izdelkov ali naročilu na storitve, ki jih sicer ne bi v celoti izbrali.
• Ministrstvo za notranje zadeve je pravkar zaključilo reorganizacijo svojih služb za boj proti kibernetski kriminaliteti.
• Novo "Poveljstvo ministrstva za notranje zadeve v kibernetskem prostoru" (Comcyber-MI) je bilo ustanovljeno z odlokom 23. novembra 2023 in bo usklajevalo vse vire ministrstva.
• Drug odlok formalizira ustanovitev novega "Urada za boj proti kibernetski kriminaliteti" (OFAC), ki znotraj policije združuje poddirektorat za boj proti kibernetski varnosti in nekdanji urad, Centralni urad za boj proti kriminalu, povezanemu z informacijskimi in komunikacijskimi tehnologijami (OCLCTIC).
• Končno, tretji odlok formalizira ustanovitev nacionalne kibernetske enote, priključene generalnemu direktoratu nacionalne žandarmerije.

Skupine iliad, CMA CGM in Schmidt Futures so ustanovile "Kyutai": neprofitni raziskovalni laboratorij za umetno inteligenco, katerega ambicija je reševanje glavnih izzivov umetne inteligence, kot sta razvoj velikih multimodalnih modelov in izum novih algoritmov.

 

Evropske institucije in organi

• EU je 9. decembra dosegla politični dogovor o uredbi o umetni inteligenci, ki naj bi bila uradno sprejeta v začetku leta 2024.

Začasni sporazum bi prepovedal na primer kognitivno manipulacijo vedenja, nenamerno zbiranje podob obrazov z interneta ali posnetkov nadzornih kamer, prepoznavanje čustev na delovnem mestu in v izobraževalnih ustanovah, socialno točkovanje, biometrično kategorizacijo za sklepanje o občutljivih podatkih, kot sta spolna usmerjenost ali verska prepričanja, ter nekatere primere napovednega policijskega dela za posameznike.

Sporazum določa več izjem za organe pregona in migracije.

• Evropski odbor za varstvo podatkov je na svojem zadnjem plenarnem zasedanju sprejel pismo v odgovor na pobudo Evropske komisije o prostovoljni zavezi glede piškotkov.

Odbor na splošno podpira dokument in priporoča, da podjetja, kadar uporabnik zavrne zbiranje svojih podatkov, počakajo eno leto, preden obnovijo svoje zahteve za soglasje, da bi zmanjšala utrujenost uporabnikov (»utrujenost od piškotkov«), ki zaradi ponavljajočih se prošenj vodi do tega, da uporabniki klikajo naključno, namesto da bi dejansko uveljavljali svoje pravice.

• Sodišče EU je v sodbi z dne 7. decembra 2023 pojasnilo, da naložitev globe za kršitev GDPR predpostavlja kršitev, storjeno namerno ali iz malomarnosti.

Nadalje razvija obseg odgovornosti in kvalifikacijo upravljavca podatkov: ta opredelitev se tako lahko nanaša na subjekt, ki je podjetju naročil razvoj mobilne računalniške aplikacije in ki je v tem kontekstu sodeloval pri določanju namenov in sredstev obdelave, tudi če ta subjekt sam ni izvedel postopkov obdelave, ni izrecno dal soglasja za izvedbo teh postopkov ali za to, da je aplikacija na voljo javnosti.

Poudarja, da opredelitev dveh subjektov kot skupnih upravljavcev obdelave ne predpostavlja niti obstoja sporazuma med tema subjektoma o določitvi namenov in sredstev obdelave niti obstoja sporazuma, ki določa pogoje v zvezi z njuno odgovornostjo.

• Sodišče EU je 21. decembra razsodilo, da pravica do odškodnine v skladu s členom 82 GDPR izpolnjuje odškodninsko funkcijo, »v smislu, da mora denarno odškodnino na podlagi te določbe omogočiti polno povračilo dejanske škode, nastale zaradi kršitve te uredbe«, in ne odvračilne ali kaznovalne funkcije.

Resnost kršitve, ki je povzročila zadevno škodo, zato ne bi smela vplivati na višino odškodnine.

• Microsoft je predstavil novo različico Outlooka, ki naj bi nadomestila program za e-pošto in koledar, integriran v sistem Windows leta 2024, kar vzbuja zaskrbljenost med evropskimi organi za varstvo podatkov.

Microsoft je lahko dostopal do e-poštnih sporočil in prilog, ko je uporabnik v aplikacijo dodal e-poštni račun, ki ni Microsoftov, prek poverilnic IMAP in SMTP tega računa.

 

Novice iz držav članic Evrope.

• Medtem ko naj bi bila Marie-Laure Denis po izjavi iz Elizejske palače, objavljeni konec novembra, ponovno imenovana za predsednico CNIL, je Helen Dixon, predsednica irske komisije za varstvo podatkov, 15. novembra 2023 na LinkedInu oznanila svoj odhod februarja 2024 po 10 letih na položaju.
• Italijanski organ za varstvo podatkov (APD) je upravljavcu podatkov naložil globo v višini 40.000 evrov zaradi dostopa do e-poštnih računov treh njegovih nekdanjih zaposlenih, kar je kršilo člen 5(1) in člen 13 GDPR.

Organ je prav tako menil, da je upravnik etažne lastnine kršil člen 5(1)(a) in člen 6 GDPR z nezakonito namestitvijo sistema video nadzora brez predhodnega sprejetja sklepa etažne lastnine.

Policija ZDA je naložila globo v višini 1.000 evrov in prepoved obdelave.

• Norveški organ za varstvo podatkov (APD) je Norveško upravo za delo in socialno varnost (NAV) oglobil z 1.754.678 evri (20 milijonov norveških kron) in izdal več odredb zaradi 12 kršitev, ki se pripisujejo "hudi malomarnosti v daljšem obdobju" v informacijskih varnostnih in IT sistemih uprave.
• Danska agencija za varstvo podatkov (DPA) je oštela Agencijo za digitalno vlado zaradi uporabe JavaScripta v povezavi z MitID, danskim digitalnim identifikatorjem.

Čeprav so tveganja, povezana z uporabo tega programskega jezika, znana, ga je agencija uporabila brez predhodne ocene tveganja, s čimer je med drugim kršila člen 32(1) GDPR.

• Članek v reviji New Scientist, objavljen 18. decembra, omenja, da je umetna inteligenca, usposobljena za osebne podatke (zdravstvene, poklicne in finančne evidence) o šestih milijonih Dancev, lahko napovedala tveganja smrti z večjo natančnostjo kot obstoječi modeli, vključno s tistimi, ki se uporabljajo v zavarovalniškem sektorju.

Raziskovalci, ki stojijo za to tehnologijo, pravijo, da bi lahko pozitivno vplivala na zgodnje napovedovanje socialnih in zdravstvenih težav, vendar da ne sme biti v rokah velikih korporacij.

• Po sprejetju zakona o spletni varnosti oktobra lani, ki ga je civilna družba kritizirala zaradi ogrožanja šifriranja komunikacij od konca do konca, Združeno kraljestvo pripravlja nov kontroverzni zakon o preiskovalnih pooblastilih.

Glede na poročilo Politica se glavna skrb v zvezi s tem projektom nanaša na tako imenovani režim "obveščanja": ta bi ministrstvu za notranje zadeve omogočil, da od podjetij zahteva, da ga obvestijo o vseh načrtih za spremembo izdelkov ali sistemov svojih storitev, kar bi pomenilo morebitno izgubo nadzora podjetij nad lastnimi izdelki in jim na primer preprečilo odpravljanje ranljivosti v kodi, ki bi jih vlada ali njeni partnerji želeli izkoristiti.

Predlog zakona je trenutno v fazi poročila, naslednja seja pa je predvidena za 23. januar.

 

• Agencije za kibernetsko varnost iz 18 držav so se v dokumentu, objavljenem 26. novembra 2023, dogovorile o ustvarjanju modelov umetne inteligence, ki so "varni že po zasnovi": podjetja, ki načrtujejo in uporabljajo umetno inteligenco, jo morajo razviti in uvesti na način, ki ščiti njihove stranke in širšo javnost pred zlorabo.

Ta nezavezujoč sporazum so sprejele Združene države Amerike, Kanada, Japonska in 7 držav EU (Nemčija, Estonija, Francija, Italija, Poljska, Češka) ter Norveška in Združeno kraljestvo.

• V Združenih državah Amerike se je Google malo pred koncem leta dogovoril za poravnavo 5 milijard dolarjev vredne skupinske tožbe glede načina brez beleženja zgodovine v brskalniku Chrome. Google je bil obtožen, da je še naprej sledil, zbiral in identificiral podatke brskanja uporabnikov v realnem času, tudi po odprtju novega okna brez beleženja zgodovine.

Po poročanju Euractiva specifični pogoji sporazuma še niso javni, vendar naj bi bil uradni sporazum sodišču predložen do 24. februarja.

• Kalifornijska agencija za varstvo zasebnosti (CCPA) je podprla zakonodajni predlog, ki bi od prodajalcev spletnih brskalnikov zahteval, da vključijo funkcijo, ki ljudem omogoča uveljavljanje njihovih pravic prek preferenčnih signalov za »odjavo«.

CCPA ugotavlja, da številni brskalniki trenutno od potrošnikov zahtevajo namestitev vtičnika tretje osebe, ki lahko prenaša signal. 

Brskalniki, ki izvorno podpirajo signale za zavrnitev, trenutno predstavljajo manj kot 10 % svetovnega trga spletnih brskalnikov.

• Zvezna komisija za trgovino (FTC) je konec decembra predlagala nove omejitve za podjetja, ki zbirajo podatke o otrocih, mlajših od 13 let, in strožje standarde za hrambo teh podatkov, kot del posodobitve svojega Zakona o varstvu zasebnosti otrok (COPPA).
• Tudi v Združenih državah Amerike skupinska tožba obtožuje ameriško zdravstveno zavarovalnico Humana, da je z modelom umetne inteligence neupravičeno odrekla starejšim osebam bistveno rehabilitacijsko oskrbo.