Pravna ura št. 68 – februar 2024.

Nadzor CNIL: kakšne so prednostne naloge za leto 2024? ?

Kot vsako leto je CNIL v začetku leta 2024 objavil pregled svojih preteklih dejavnosti in prednostne naloge za prihodnje mesece.

To kaže na nenehno naraščajoče kontrole, ki so postale učinkovitejše zaradi uvedbe poenostavljenega postopka za nekatere primere.

Lani so pregledi vplivali na različne sektorje, kot so oglaševanje in spletna trgovina, varnost, geolokacija vozil, pravice zaposlenih in obdelava zdravstvenih podatkov.

CNIL je sankcioniral tako multinacionalke kot mala in srednje velika podjetja, pa tudi javne in zasebne akterje.

Vendar se zdi, da se je Komisija zavedala dodatnih prizadevanj, ki jih morajo tisti, ki vodijo majhne organizacije, vložiti v skladnost z GDPR.

V študiji o ekonomskem vplivu GDPR, objavljeni 1. marca, ugotavlja, da je »GDPR sorazmerno ugodnejši za velike gospodarske akterje, ki imajo več sredstev za skladnost s predpisi«.

Iz tega sklepa, da mora regulator ta trend aktivno kompenzirati z zahtevno politiko do velikih akterjev, še bolj pa do zelo velikih akterjev, sorazmerno s tveganji, ki jih predstavljajo, in viri, ki jih imajo na voljo.

Kot je navedeno tudi v skupni izjavi CNIL in organa za konkurenco iz decembra 2023, CNIL že prevzema in bo v prihodnosti še bolj prevzemala asimetrično razsežnost svojih regulativnih ukrepov na digitalnih trgih.skupaj s popolnim razumevanjem poslovnih modelov, v korist posameznikov in zaščito njihovih temeljnih pravic.

Med ukrepi, napovedanimi letos, so, kot ne presenetljivo, tudi datoteke, povezane z olimpijskimi in paraolimpijskimi igrami leta 2024, ter pravica posameznikov do dostopa do njihovih podatkov.

Glede olimpijskih igerCNIL namerava preveriti uporabo varnostnih naprav, zlasti uporabo kamer z razširjeno tehnologijo, kod QR za območja z omejenim dostopom in dovoljenj za dostop.

Zaradi količine podatkov in števila partnerjev, vključenih v dogodek, bo Komisija preverila tudi uporabo podatkov o vstopnicah, da bi preprečila goljufivo ponovno uporabo podatkov zadevnih oseb.

Upoštevajte, da je vprašanje uporabe prepoznavanja obrazov s strani organov pregona vključeno tudi med prednostne naloge Evropskega odbora za varstvo podatkov (EDPB) v njegovem delovnem programu za obdobje 2023–2024.

Pravica posameznikov do dostopa do svojih podatkov je tema usklajenega delovanja Evropskega odbora za varstvo podatkov za leto 2024 (glej tudi spodaj).

EOVP je leta 2023 sprejel smernice o tej temi, da bi upravljavcem podatkov pomagal pri izvajanju postopkov dostopa, ki dopolnjujejo tiste, ki jih je objavila CNIL.

CNIL se bo osredotočil tudi na podatke, zbrane na spletu od mladoletnikov : preveril bo, ali so uvedeni mehanizmi za nadzor starosti, kakšni varnostni ukrepi so načrtovani in ali se spoštuje načelo minimizacije podatkov.

Nazadnje bo preučen vpliv dematerializacije blagajniških računov in uporabe programov zvestobe na pravice posameznikov..

Zamenjava papirnatih računov z SMS-om ali e-pošto na primer vključuje zbiranje dodatnih podatkov.

CNIL določa, da se ti podatki, tako kot podatki o nakupih posameznikov, lahko uporabljajo za namene ciljnega oglaševanja le s predhodnim soglasjem zadevnih oseb.

Nazadnje je treba opozoriti, da lahko CNIL obravnava primer neodvisno od opredeljenih prednostnih nalog, na podlagi pritožbe, objave v tisku ali poročila organa za varstvo podatkov druge evropske države.

 

    

• CNIL je 31. januarja ponudniku nepremičninskih storitev PAP naložil globo v višini 100.000 evrov.

CNIL (francoski organ za varstvo podatkov) je ugotovil pomanjkljivosti glede obdobij hrambe podatkov, obveščanja posameznikov, upravljanja odnosov med osebno dostopno točko (PAP) in podizvajalcem ter varnosti podatkov (shranjevanje gesel v navadnem besedilu). Ugotovljene varnostne pomanjkljivosti so podatke izpostavile tveganjem kibernetskih napadov in uhajanja podatkov.

• 31. januarja je družbi FORIOU naložila tudi globo v višini 310.000 evrov zaradi uporabe podatkov, ki jih posredujejo posredniki podatkov, za komercialne namene raziskovanja, ne da bi se prepričala, da so zadevne osebe veljavno privolile v stik z njimi.

CNIL nas opominja, da je odgovornost podjetja, ki uporablja podatke, da zagotovi, da so zadevne osebe predhodno, ob zbiranju podatkov, dale veljavno soglasje.

Komisija je ugotovila, da čeprav je družba svojim ponudnikom podatkov naložila nekatere pogodbene zahteve, na nižji ravni ni izvajala učinkovitega nadzora nad temi zahtevami.

• Državni svet je 30. januarja menil, da samodejni prenosi davčnih podatkov med Francijo in Združenimi državami Amerike v skladu s sporazumom FATCA ne kršijo členov 5 in 46 GDPR, saj odsotnost sklepa o ustreznosti ne preprečuje prenosov podatkov, "ki so potrebni zaradi pomembnih razlogov javnega interesa".

Združenje naključno izgubljenih Američanov je pozvalo državni svet, naj razveljavi odločitev CNIL, ki je zavrnila njihovo pritožbo.

Državni svet je menil, da je CNIL svojo odločitev zadostno utemeljil.

Upoštevajte, da je belgijski organ za varstvo podatkov glede iste teme prišel do drugačnega sklepa in prepovedal prenos davčnih podatkov naključnih belgijskih Američanov v Združene države.

• Francosko zagonsko podjetje Mistral, specializirano za razvoj umetne inteligence, je 26. februarja napovedalo strateško partnerstvo z Microsoftom.

Po poročanju časopisa Le Monde ta napoved povzroča trenja v Bruslju po intenzivnih lobistih, zlasti s strani Francije, da bi v prihodnji uredbi o umetni inteligenci dali prednost evropskim zagonskim podjetjem in omejili obveznosti, ki se jih nanašajo.

Zeleni poslanci Evropskega parlamenta so Evropski komisiji poslali pismo, v katerem so izpostavili vprašanja o morebitnih navzkrižjih interesov in vprašanjih preglednosti v zvezi z lobiranjem družbe Mistral pri tej uredbi.

• Sredi januarja je ANSSI objavil tri priročnike, namenjene "upravljanju sanacije kibernetskega incidenta".

Ti priročniki so sestavljeni iz treh delov: strateškega, operativnega in tehničnega.

Agencija poudarja, da "če je večji incident delno ali slabo odpravljen, se lahko njegovi učinki podaljšajo skozi čas".

"Ta visok potencial za destabilizacijo zahteva (...) strokovno znanje pri omejevanju teh kibernetskih napadov, ponovnem prevzemu nadzora nad ogroženim informacijskim sistemom in vzpostavitvi zadostnega stanja delovanja."

Sanacija je pomemben del odzivanja na kibernetske incidente, skupaj s preiskavo in kriznim upravljanjem.

• Po osmih mesecih eksperimentiranja je digitalno vozniško dovoljenje od 14. februarja na voljo vsem, ki zanj zaprosijo.

Z aplikacijo za identifikacijo Francije je mogoče digitalizirati tudi osebno izkaznico in jo uporabiti za določene postopke, kot je na primer izdaja pooblastila.

 

Evropske institucije in organi

• Evropski odbor za varstvo podatkov (EDPB) je 28. februarja predstavil svoj „usklajeni okvir za preiskave“ (CFE) za leto 2024.

Evropski organi za varstvo podatkov bodo skozi vse leto sodelovali v tej pobudi o izvajanju pravice do dostopa.

Na plenarnem zasedanju oktobra 2023 se je EOVP odločil za pravico do dostopa za svoj tretji usklajeni izvedbeni ukrep, „ker je v središču varstva podatkov in je ena najpogosteje uveljavljenih pravic do varstva podatkov, glede katere organi za varstvo podatkov prejemajo veliko pritožb.“

• Evropski odbor za varstvo podatkov (EOVP) bo kmalu izdal odločilno mnenje o poslovnem modelu »sprejmi ali plačaj«, ki od obiskovalcev, ki zavrnejo piškotke, zahteva plačilo za dostop do vsebine spletnega mesta.

Meta je ta pristop sprejela novembra 2023, zaradi česar so nizozemski, norveški in hamburški organi za varstvo podatkov zaprosili Evropski odbor za varstvo podatkov, naj sprejme zavezujoče mnenje o zakonitosti te prakse.

Civilna družba se boji, da bodo v primeru uzakonitve tega gospodarskega modela podjetja v vseh industrijskih sektorjih sledila Metinemu zgledu, kar bi lahko pomenilo konec pristnega soglasja za uporabo podatkov.

28 nevladnih organizacij je poslalo pismo Evropskemu odboru za varstvo podatkov, v katerem ga pozivajo k izdaji mnenja, ki ščiti temeljno pravico do varstva podatkov.

• Na plenarnem zasedanju sredi februarja je EOVP sprejel mnenje, ki pojasnjuje koncept glavnega sedeža v okviru sistema „vse na enem mestu“.

Podjetja ne morejo preprosto ustvariti glavnega sedeža »z namestitvijo znaka na vrata«: sedež mora biti tam, kjer se sprejemajo odločitve o obdelavi, in če se te odločitve sprejemajo v tujini, ne more biti glavnega sedeža: enotna kontaktna točka se ne uporablja. Evropski odbor za varstvo podatkov je sprejel tudi izjavo, v kateri poziva zakonodajalce EU, naj zagotovijo, da uredba CSAM, katere cilj je varovanje otrokovih pravic na spletu, spoštuje pravico do zasebnosti in varstva podatkov. 

• Evropski parlament, natančneje pododbor za obrambo, je bil konec februarja v visoki pripravljenosti, potem ko so v telefonih dveh njegovih članov odkrili sledi vdorov, kar je povečalo strah pred kibernetskimi napadi in tujim vmešavanjem v času pred evropskimi volitvami junija.

Politico je decembra lani poročal, da kibernetska varnost institucije "še ni dosegla industrijskih standardov" in "ni povsem v skladu z ravnijo grožnje", ki jo predstavljajo hekerji.

Ta nova razkritja sledijo prejšnjim incidentom, v katerih so bili drugi poslanci Evropskega parlamenta tarča vohunskih programov Pegasus in Predator.

• Evropska komisija je 19. februarja začela preiskavo o otrokovih pravicah na TikToku.

Sumi zlasti kršitve glede preglednosti in obveznosti varstva mladoletnikov v skladu z uredbo o digitalnih storitvah (DSA), vključno z zasvojljivo zasnovo, neustreznim preverjanjem starosti in nezadostnimi privzetimi nastavitvami zasebnosti. DSA v EU velja od 17. februarja.

• Države članice EU so s podporo Evropske komisije in Agencije Evropske unije za kibernetsko varnost (ENISA) 21. februarja objavile poročilo o kibernetski varnosti in odpornosti evropskih komunikacijskih infrastruktur in omrežij.

To poročilo sledi oceni držav članic o tveganjih, povezanih s to infrastrukturo in omrežji.

V oceni so bile opredeljene številne grožnje, kot so brisalci podatkov, napadi z izsiljevalsko programsko opremo, napadi v dobavni verigi, fizični napadi in sabotaže.

• Evropsko sodišče za človekove pravice (ESČP) je 13. februarja razsodilo v zadevi Podčasov o ruskem zbiranju in dostopu do zasebnih komunikacij državljanov.

Sredi razprave o domnevnih nevarnostih šifriranih komunikacij je Sodišče jasno navedlo, da oslabitev šifriranja komunikacij za vse državljane ni upravičena.

Po besedah E. Tuchtfelda »ta odločitev pošilja pomembno sporočilo ne le ruski državi, temveč tudi drugim evropskim vladam, ki razmišljajo o namestitvi 'zadnjih vrat' v storitve šifriranega sporočanja, kot so Telegram, Signal ali WhatsApp.«

• ESČP je v sodbi z dne 15. februarja prav tako menilo, da je treba sistematično in neselektivno hrambo telekomunikacijskih podatkov, ki so bili v Sloveniji uporabljeni proti nekdanjemu sodniku med njegovim sojenjem, šteti za kršitev njegove pravice do zasebnosti.

V času obsodbe prosilca so bili ponudniki komunikacijskih storitev dolžni sistematično in neselektivno hraniti telekomunikacijske podatke 14 mesecev.

Sodišče je menilo, da takšno ohranjanje ni v mejah tistega, kar je potrebno v demokratični družbi.

Hramba, dostop do in obdelava podatkov v okviru kazenskega postopka zoper tožnika so tako kršili njegovo pravico do spoštovanja zasebnega življenja.

 

Novice iz držav članic Evrope.

• V Belgiji je belgijski organ za varstvo podatkov (APD) na svojem spletnem mestu objavil razdelek z naslovom »Dokumenti za pooblaščeno osebo za varstvo podatkov«.

Vključuje zlasti sodne odločitve in odločitve APD v zvezi z pooblaščenimi osebami za varstvo podatkov, na primer o temah, kot sta navzkrižje interesov in zaščita pred odpovedjo.

• Belgijski organ za varstvo podatkov je prav tako menil, da ima ne glede na umik pritožbe še vedno pooblastilo, da ugotovi kršitev pravic zadevne osebe in naloži globo zaradi neskladnosti z GDPR.
• Italijanski organ za varstvo podatkov (APD) je 29. februarja sporočil, da je družbi Enel Energia naložil globo v višini več kot 79 milijonov evrov zaradi resnih kršitev pri obdelavi osebnih podatkov številnih uporabnikov v sektorju električne energije in plina, ki so bile izvedene za namene teletrženja.
• Policijska uprava ZDA je občini Syracuse naložila tudi globo v višini 5000 evrov, ker ni posredovala kontaktnih podatkov pooblaščene osebe za varstvo podatkov v skladu s 37. členom GDPR.
• Grški organ za varstvo podatkov (DPA) je upravljavcu podatkov naložil globo v višini 5000 evrov, ker pooblaščenec za varstvo podatkov (DPO) kljub več opominom ni odgovoril na vprašalnik, ki mu ga je poslal v okviru usklajenega evropskega delovanja organov za varstvo podatkov leta 2023.
• V Španiji je APD zavrnil uporabo obveznosti skrbnega pregleda za preprečevanje pranja denarja kot izgovor, da banka od pritožnika zahteva posredovanje podrobnosti o izvoru njegovega denarja prek nešifriranih e-poštnih sporočil.

Upravljavcu podatkov je naložila globo v višini 2.500.000 evrov.

• Danski organ za varstvo podatkov je v svoji peti odločbi v zvezi s Chromebookom ugotovil, da je 53 občin nezakonito delilo osebne podatke učencev z Googlom za lastne razvojne namene, kar je v nasprotju s členom 6(1)(e) GDPR.
• V Združenem kraljestvu je DPA britansko ministrstvo za obrambo kaznovala s 409.080 evri (350.000 funtov) zaradi razkritja 265 e-poštnih naslovov ljudi, ki so želeli zapustiti Afganistan po prihodu talibanov na oblast leta 2021.
• Švicarsko zvezno obveščevalno službo (FIS) je vpletla revija Republik, ki je sredi januarja objavila preiskavo, v kateri trdi, da ima FIS dostop do elektronske pošte vseh švicarskih državljanov in da na podlagi zakona iz leta 2016 množično spremlja njihovo komunikacijo.

Podatki bi se zbirali neposredno iz komunikacijskih kablov, prek opreme, nameščene v infrastrukturi ponudnikov internetnih storitev. SRC te obtožbe zanika (prek pisma AFCDP).

• Kibernetski napad na ameriško podjetje je privedel do razkritja občutljivih informacij o švicarskih letalskih silah na temnem spletu.

Hekerska skupina ALPHV je prevzela odgovornost za napad, zaradi katerega so bili objavljeni tajni dokumenti, vključno s pogodbo v vrednosti 5 milijonov dolarjev med Švico in podjetjem Ultra Intelligence & Communications, ponudnikom šifrirnih in komunikacijskih tehnologij za obrambni sektor.

Julija 2023 je podoben napad prizadel švicarsko podjetje Xplain, novembra pa je sledil vdor v programsko podjetje Concevis, ki dela tudi za obrambni sektor in davčno upravo.

 

• Bidenova administracija je 28. februarja sprejela izvršilni odlok, katerega cilj je zaščititi občutljive osebne podatke Američanov pred izkoriščanjem s strani nekaterih tretjih držav ("držav, ki vzbujajo zaskrbljenost").

Ta odlok pooblašča generalnega državnega tožilca, da prepreči obsežno posredovanje osebnih podatkov Američanov državam, ki vzbujajo zaskrbljenost, in zagotavlja zaščitne ukrepe za druge dejavnosti, ki bi tem državam lahko omogočile dostop do občutljivih podatkov Američanov.

Ti podatki vključujejo zlasti genomske, biometrične, zdravstvene, geolokacijske in finančne podatke.

• Ameriški Nacionalni inštitut za standarde in tehnologijo (NIST) je februarja objavil konkretne ukrepe za vključitev varnosti v vse faze cikla razvoja programske opreme.

Priročnik priporoča, da proizvajalci dajo prednost vrsti konkretnih ukrepov, vključno z določitvijo osnovnih varnostnih zahtev za integracijo odprtokodne programske opreme in razširitvijo spremljanja "podatkov o izvoru".

• Tudi v Združenih državah Amerike je Zvezna komisija za trgovino (FTC) pravkar prepovedala Avastu prodajo podatkov brskanja svojih strank v oglaševalske namene.

Zvezna komisija za trgovino (FTC) je preiskovala obtožbe, da je Avast prodajal podatke o brskanju, medtem ko je trdil, da njegovi izdelki blokirajo spletno sledenje. Avast je bil kaznovan s 16,5 milijona dolarjev.

Upoštevajte, da je češki organ za varstvo podatkov podjetje sankcioniral aprila 2023 iz istih razlogov.

• Spremembe gruzijskega zakona o varstvu podatkov so začele veljati 1. marca.

Namen teh sprememb je zagotoviti zaščito, ki je bližja tisti iz GDPR. 

Mobilnim operaterjem in njihovim ponudnikom storitev SMS je zdaj prepovedana uporaba osebnih podatkov državljanov za namene neposrednega trženja brez njihovega predhodnega soglasja.

Poleg tega je zdaj za javne ustanove in nekatera zasebna podjetja obvezno imenovati pooblaščeno osebo za varstvo podatkov.

• Hongkonški pooblaščenec za varstvo osebnih podatkov (PDPC) je med avgustom 2023 in februarjem 2024 izvedel preverjanja skladnosti v 28 lokalnih organizacijah glede njihove obdelave osebnih podatkov v okviru uporabe umetne inteligence.

Vaja je zajela različne sektorje, vključno s telekomunikacijami, financami in zavarovalništvom, lepotnimi storitvami, trgovino na drobno, prometom, izobraževanjem in vladnimi ministrstvi.

PCPD ni odkril nobenih kršitev, čeprav je opozoril, da vse več javnih in zasebnih organizacij uporablja umetno inteligenco za izboljšanje svoje vsakodnevne operativne učinkovitosti.