Pravna ura št. 78 – december 2024. 

Kakšne so možnosti za varstvo podatkov v letu 2025?

Novo leto se nadaljuje s postopnim izvajanjem "digitalnega paketa" Evropske unije.pa tudi nova zakonodaja, namenjena krepitvi varstva osebnih podatkov pred izzivi, ki jih predstavljajo kibernetske grožnje.

Ker umetna inteligenca postaja vse bolj razširjena v podjetjih, lahko pričakujemo premik v podpori odločanju k bolj avtonomnim sistemom, ki puščajo manj prostora za človeško presojo, s tveganji, ki jih takšna uporaba prinaša glede kakovosti in zaščite podatkov.

Uredba o umetni inteligenci ureja te nove prakse, čeprav bo treba na uporabo vseh njenih določb počakati do avgusta 2026..

Kot bomo videli v spodnjih novicah, je njegovo izvajanje že predmet smernic, kar dokazuje tudi nedavno mnenje Evropskega odbora za varstvo podatkov (EDPB).

Upravljavci podatkov bodo morali upoštevati tudi uredbo o digitalnih storitvah (DSA), ki velja od 17. februarja.ki nalaga nove obveznosti, zlasti glede preglednosti, moderiranja vsebin in varstva uporabnikov.

Po podatkih Francoskega združenja pooblaščencev za varstvo podatkov (AFCPD) ti predpisi uvajajo prekrivanja in od pooblaščencev za varstvo podatkov zahtevajo, da s precejšnjimi težavami vzdržujejo pregled, da bi zagotovili dosledno skladnost. Združenje navaja primer obdelave podatkov o človeških virih, ki se lahko iz neobčutljive v občutljivo kategorijo spremeni, odvisno od uporabljenih tehnologij, kot je umetna inteligenca.

"Te interakcije sprožajo temeljna vprašanja o skladnem upravljanju pravnih obveznosti."

Kar zadeva varnost, je evropska uredba o kibernetski odpornosti (Cyber Resilience Act, CRA) začela veljati 10. decembra 2024, večina njenih določb pa se bo uporabljala leta 2027.

Cilj zakona CRA je okrepiti zaščito podatkov potrošnikov in podjetij pred kibernetskimi grožnjami. Ta zakonodaja nalaga obveznosti proizvajalcem, razvijalcem in trgovcem na drobno s povezanimi izdelki glede ocen in informacij o kibernetski varnosti.

V istem kontekstu bo od 17. januarja začela veljati evropska uredba o digitalni operativni odpornosti (Digital Operational Resilience Act, DORA)..

Nalaga stroge zahteve za zagotavljanje digitalne odpornosti finančnih institucij in za upravljanje operativnih tveganj, povezanih z informacijskimi tehnologijami, zlasti tveganj, povezanih z zunanjimi dobavitelji.

Evropska direktiva o varnosti omrežij in informacijskih sistemov (NIS2) se načeloma uporablja od 17. oktobra, datuma, ko bi morala biti prenesena v francosko zakonodajo.

Besedilo v primerjavi z direktivo NIS1 razširja svoje področje uporabe in je posebej usmerjeno na infrastrukturo in subjekte, ki so bistveni za pravilno delovanje gospodarskih in družbenih dejavnosti na notranjem trgu.

Za popolno skladnost je načrtovano triletno obdobje, vendar je treba hitro vzpostaviti minimalne zahteve, in sicer registracijo reguliranega subjekta pri ANSSI, obveščanje o incidentih in dokazovanje naložb v varnostne rešitve.

Ker zakon o prenosu še ni bil sprejet, ostajajo negotovosti glede identifikacije reguliranih subjektov in konkretnih korakov, ki jih je treba sprejeti.

Prav tako obstaja nekaj negotovosti glede časovnice več evropskih projektov: kaj pa dolgotrajni projekt e-zasebnosti?

Čeprav je Komisija svoj prvi osnutek uredbe objavila januarja 2017, postopek še čaka na stališče Evropskega parlamenta v prvi obravnavi.

To besedilo sproža živahne razprave o uporabi načela soglasja za piškotke in zaupnosti komunikacij.

Omeniti moramo tudi morebitni vpliv Trumpovega predsedovanja na "okvir za varstvo podatkov" in širše na izmenjavo podatkov med Evropsko unijo in Združenimi državami.

Končno bi lahko bila GDPR deležna nekaterih posodobitev, zlasti glede prenosa podatkov, usklajenih preiskav organov za varstvo podatkov in uskladitve z (prihodnjo) uredbo o e-zasebnosti.

Nenazadnje smo priča razvoju kolektivnih ukrepov v EU: Kot smo poročali prejšnji mesec, lahko nevladna organizacija noyb zdaj vloži kolektivne tožbe v kateri koli državi članici.

V EU trenutno deluje še 43 drugih kvalificiranih subjektov, vključno z irskim svetom za državljanske svoboščine in finskim varuhom človekovih pravic za varstvo podatkov, ki trenutno predseduje Evropskemu odboru za varstvo podatkov.

Noyb je navedel, da namerava prve pravne tožbe vložiti leta 2025.

Tveganje sodnih sporov, ki bi ga morala podjetja jemati resno.

 

      

V sklepu, objavljenem 1. januarja v Uradnem listu, CNIL je zaskrbljen zaradi načrtovanih posodobitev informacijskih sistemov podjetja France Travail.

Zakon o polni zaposlenosti iz decembra 2023 določa prenovljen sistem podpore za iskalce zaposlitve, ki temelji zlasti na analizi podatkov in njihovi izmenjavi s številnimi regionalnimi in lokalnimi organizacijami.

CNIL priporoča varnostne ukrepe, prilagojene tveganjem.

CNIL pripravlja certifikat GDPR za podizvajalce. Da bi zgradili ustrezen okvir, odpira javno posvetovanje, ki traja do 28. februarja.

Certifikat bi moral upravljavcem podatkov pomagati pri izbiri podizvajalcev, "z zagotavljanjem, da je bila obdelava, ki jo izvaja podizvajalec, ocenjena kot skladna z merili standarda, ki ga priznava CNIL".

V sporočilu za javnost z dne 12. decembra 2024, CNIL je napovedal, da bo izdajateljem spletnih strani izdal uradna obvestila, naj spremenijo svoje pasice o piškotkih, ki jih štejejo za zavajajoče.

Organ uporabnike opominja, da se piškotki lahko namestijo šele po tem, ko so dali svoje soglasje.

Poleg tega bi morala biti zavrnitev piškotkov tako preprosta kot njihovo sprejemanje.

Velja opozoriti, da je več organov za varstvo podatkov, vključno z belgijskim organom, že zavzelo strogo stališče in zahtevalo, da sta predloga za sprejetje in zavrnitev na isti ravni z enako stopnjo preglednosti.

5. decembra 2024 je CNIL (francoski organ za varstvo podatkov) podjetju Kaspr naložil globo v višini 240.000 evrov. zlasti ker je na LinkedInu zbiral kontaktne podatke uporabnikov, ki so se kljub temu odločili omejiti svojo vidnost.

Komisija podjetju nalaga, naj te podatke izbriše ali, če to ni mogoče, če teh podatkov, katerih vidnost je bila omejena, ni mogoče ločiti od drugih podatkov, naj uporabnike "v treh mesecih obvesti o obdelavi njihovih podatkov in možnosti ugovora".

Poleg nezakonitega zbiranja kontaktnih podatkov in pomanjkanja preglednosti pri obdelavi CNIL kritizira tudi Kaspr, ker hrani podatke pet let, kar je za strokovnjake, ki pogosto menjajo službe, predolgo.

CNIL je 14. novembra telekomunikacijskemu podjetju Orange naložil globo v višini 50.000.000 evrov zaradi vstavljanja oglasov v e-poštne nabiralnike. in nameščali piškotke na uporabnikove naprave brez njihovega soglasja.

Podjetju je bilo naloženo, da uskladi svoje prakse s predpisi, sicer se bo soočilo z dodatnimi globami.

Francija bo 10. in 11. februarja gostila vrh za ukrepanje na področju umetne inteligence (UI).

V tem kontekstu bodo CNIL, Univerza Paris-Saclay in Univerza Caen-Normandie 23. januarja združile strokovnjake in raziskovalce, da bi razpravljali o načinih preprečevanja dezinformacij, goljufij in kršitev zasebnosti, hkrati pa izkoriščali umetno inteligenco.

Francoski observatorij za umetno inteligenco je 11. decembra v pripravah na vrh o umetni inteligenci organiziral tudi seminar o vplivih razvoja umetne inteligence na delo in zaposlovanje.

Razprave so se osredotočile zlasti na izzive, povezane z razložljivostjo odločitev, ki jih sprejema umetna inteligenca.

Računsko sodišče je 3. januarja objavilo poročilo o IT-varnosti zdravstvenih ustanov.

Ugotavlja, da je bilo »leta 2023 10 % žrtev kibernetskih napadov v Franciji zdravstvenih ustanov. Njihova ranljivost je povezana zlasti z večjo povezanostjo njihovih informacijskih sistemov z zunanjim svetom in s kroničnim premajhnim vlaganjem v digitalno tehnologijo.«

Ti napadi lahko resno vplivajo na delovanje ustanov in oskrbo pacientov.

Javni organi so se odzvali pozno in financirali petletni program preprečevanja in zaščite. Ta zagon je treba ohraniti.

Ministrstvo za zdravje je izrazilo zaskrbljenost glede razvoja storitve »Zdravje«, nove funkcije aplikacije Doctolib. ki predlaga centralizacijo zdravstvenih podatkov zavarovanih oseb.

Zdi se, da ta funkcija kopira »Moj zdravstveni prostor«, digitalni zdravstveni zapis, ki ga je država vzpostavila z zakonom z dne 24. julija 2019 v zvezi z organizacijo in preoblikovanjem zdravstvenega sistema.

Nevladna organizacija noyb je 12. decembra vložila pritožbo proti francoski platformi družbenih medijev BeReal. zaradi "temnih vzorcev", ki jih podjetje uporablja za pridobivanje uporabnikovega soglasja.

Ko uporabniki odprejo aplikacijo, se jim prikaže pojavno okno, v katerem morajo odgovoriti z »da« ali »ne« za uporabo svojih osebnih podatkov v oglaševalske namene: če uporabniki kliknejo »sprejmi«, pasice s soglasjem ne bodo nikoli več videli.

Če pa zavrnejo ciljanje, se bo pasica prikazovala vsak dan, dokler je ne sprejmejo.

 

Evropske institucije in organi

Odbor za varstvo podatkov je 18. decembra sprejel mnenje o modelih umetne inteligence. To mnenje analizira:

• Kako oceniti in dokazati, da je model umetne inteligence anonimen;
• Če lahko legitimni interes predstavlja pravno podlago za usposabljanje ali uporabo modelov umetne inteligence;
• Posledice učenja modela umetne inteligence z uporabo nezakonito obdelanih osebnih podatkov.

Po mnenju odbora je treba vprašanje, ali je model umetne inteligence anonimen, oceniti za vsak primer posebej: praktično nemogoče (»zelo malo verjetno«) mora biti (1) neposredno ali posredno identificirati posameznike, katerih podatki so bili uporabljeni za ustvarjanje modela, in (2) te osebne podatke iz modela pridobiti s poizvedbami.

Obvestilo vsebuje seznam metod za dokazovanje anonimnosti.

Glede legitimnega interesa mnenje zagotavlja smernice za varstvo podatkov pri oceni, ali je ta pravna podlaga ustrezna.

Nenazadnje, kadar je bil model umetne inteligence razvit iz nezakonito obdelanih osebnih podatkov, bi to lahko vplivalo na zakonitost njegove uporabe, razen če je bil model ustrezno anonimiziran.

Evropski nadzornik za varstvo podatkov (EDPS) je sprejel sklep, s katerim ugotavlja, da je Evropska komisija nezakonito ciljala na evropske državljane s prikazovanjem oglasov, ki so temeljili na "občutljivih" osebnih podatkih v zvezi z njihovimi političnimi prepričanji.

Nevladna organizacija noyb, ki je sprožila pritožbo, navaja, da je Evropska komisija v okviru razprav o osnutku uredbe o nadzoru spletnih razprav („Nadzor klepeta“) Nizozemsko opredelila kot državo članico, na katero želi politično vplivati.

V ta namen je na Twitterju/X objavljala sporočila, v katerih je to uredbo posredno promovirala liberalnim ali levo usmerjenim uporabnikom.

 

Novice iz držav članic Evropske unije.

Nemški proizvajalec avtomobilov Volkswagen se je na predvečer novega leta znašel pod preiskavo, potem ko je medij Spiegel razkril podatke o geolokaciji več kot 800.000 vozil v Evropi.

Te informacije so omogočile poznavanje položaja skoraj 500.000 vozil z natančnostjo 10 centimetrov.

V Franciji naj bi bilo prizadetih več kot 50.000 vozil znamk Volkswagen, Audi, Škoda in Seat.

Tudi v Nemčiji je lokalni organ za varstvo podatkov ponudnika storitev s sedežem v Hamburgu kaznoval z 900.000 evri zaradi hrambe osebnih podatkov do pet let po preteku roka.

Za APD je »nesprejemljivo, da akterji, ki delujejo v digitalnih sektorjih, niso razvili skladnega postopka brisanja« (prek AFCDP).

V Španiji je policija APD sankcionirala avtomehanično delavnico, ki je svojo datoteko strank dodala skupini WhatsApp, s čimer je podatke 150 strank (telefonske številke, imena in fotografije) naredila vidne vsem članom skupine.

APD je ugotovil kršitev člena 6(1) GDPR, ki zahteva veljavno pravno podlago za kakršno koli obdelavo osebnih podatkov, in podjetju naložil globo v višini 3000 evrov.

Španija se je odločila prepovedati uporabo »Google Workspace for Education« v šolah.

Ta odločitev je bila sprejeta na podlagi poročila španske agencije za varstvo podatkov (APD), ki meni, da gre za "invazivno zbiranje osebnih podatkov".

To poročilo je bilo pripravljeno na zahtevo ministrstva za izobraževanje.

Irska komisija za varstvo podatkov (DPC) je 17. decembra sporočila, da je družbi Meta naložila globo v višini 251.000.000 evrov, ker ni preprečila kršitve varnosti podatkov, ki je ogrozila podatke milijonov uporabnikov Facebooka, in ker kršitve ni ustrezno dokumentirala.

Dva dni po tem, ko je EDPB objavil svoje mnenje o umetni inteligenci, je italijanski organ za varstvo podatkov 20. decembra podjetju OpenAI naložil globo v višini 15.000.000 evrov.

Meni, da je podjetje za usposabljanje ChatGPT uporabilo osebne podatke uporabnikov interneta »brez ustrezne pravne podlage in kršilo načelo preglednosti ter s tem povezane obveznosti obveščanja do uporabnikov«.

Preiskava, ki jo je konec leta 2023 začela policija APD, nadalje razkriva, da podjetje ni zagotovilo ustreznega sistema za preverjanje starosti, da bi preprečilo, da bi bili uporabniki, mlajši od 13 let, izpostavljeni neprimerni vsebini, ki jo ustvarja umetna inteligenca.

Odprta umetna inteligenca bo morala v državi začeti tudi komunikacijsko kampanjo na različnih medijih, da bi ozavestila javnost o delovanju ChatGPT in jih spomnila na njihove pravice.

Ali lahko še vedno uporabljamo model OpenAI in API ChatGPT za zagotavljanje lastnih generativnih storitev umetne inteligence?

Italijanska odločitev pušča vprašanje odprto, saj določa, da bo o njem moral odločiti irski organ v skladu z mehanizmom iz člena 56 GDPR.

Tudi italijanski organ za varstvo podatkov (APD) je 13. novembra zavzel stališče glede objave fotografij mladoletnikov na Facebooku in spomnil, da je za to potrebno soglasje obeh staršev.

V tem konkretnem primeru je oče otroka, mlajšega od 14 let, na Facebooku delil svojo fotografijo, da bi pokazal podobnost s polbratom, ki se je prav tako pojavil na fotografiji.

Otrokova mati, ločena od očeta, ga je neuspešno prosila, naj fotografijo odstrani s Facebooka, in vložila pritožbo pri policiji APD.

Nizozemske oblasti so 6. decembra Nacionalni arhiv opozorile tudi pred objavo nizozemskih vojnih arhivov na spletu.

Ti dokumenti vsebujejo dosjeje o ljudeh, osumljenih sodelovanja z okupatorjem med drugo svetovno vojno, vključno z občutljivimi podatki, kot so vera, politična pripadnost, zdravstveno stanje ali etnična pripadnost ljudi, ki so včasih še živi.

Čeprav imajo nesporno vrednost, način, kako želi Nacionalni arhiv podatke objaviti na spletu, krši Zakon o arhivih in GDPR, meni APD.

Zato poziva k boljšemu nadzoru pogojev dostopa do podatkov.

APD je 18. decembra kaznoval Netflix, ker svojih strank ni ustrezno obvestil o obdelavi njihovih podatkov med letoma 2018 in 2020.

Poleg tega so bile informacije, ki jih je posredoval Netflix, v nekaterih točkah nejasne.

Zaradi tega je APD storitvi pretakanja naložil globo v višini 4.750.000 evrov.

Od takrat je Netflix posodobil svojo izjavo o zasebnosti in izboljšal svoje informacije.

Na Švedskem je policija APD najemodajalca oglobila z 200.000 SEK (17.366 EUR), ker je v skupnih prostorih stanovanjske stavbe namestil osemnajst kamer in ker se ni odzval na zahtevo po informacijah.

 

Študija z naslovom »Sledenje lokaciji v zaprtih prostorih, gibanju in zasedenosti miz na delovnem mestu«, objavljena novembra, analizira tehnologije za spremljanje vedenja zaposlenih in profiliranje z uporabo senzorjev gibanja in infrastrukture Wi-Fi v prostorih podjetja.

Ta študija se osredotoča na morebitne posledice za zaposlene v Evropi in preučuje najbolj razširjene rešitve, ki jih ponujajo Cisco, Juniper, Spacewell, Locatee in drugi podobni ponudniki tehnologije.

Cisco trdi, da je doslej obdelal 17.200 milijard "lokacijskih podatkovnih točk", zbranih prek več kot treh milijonov dostopnih točk Wi-Fi, nameščenih v 250.000 stavbah po vsem svetu.

Študija na kratko obravnava, kako so se delavci upirali namestitvi detektorjev gibanja s strani svojih delodajalcev (prek AFCDP).

Po sodnem postopku, ki ga je leta 2019 sprožil WhatsApp, je sodnik v Kaliforniji konec decembra izraelsko podjetje NSO Group, ustvarjalca vohunske programske opreme Pegasus, razglasil za krivo vdora.

Nasprotniki te panoge to sodbo smatrajo za "zgodovinsko".

Po besedah Willa Cathcarta, direktorja WhatsAppa, »skupina NSO trdi, da odgovorno služi vladam, vendar smo odkrili, da je bilo maja lani v napadu tarča napada več kot sto zagovornikov človekovih pravic in novinarjev; te zlorabe se morajo ustaviti.«

Ameriška vlada je v začetku decembra razkrila, da je Kitajska vdrla v 8 ameriških operaterjev (vključno z AT&T, Verizon in Lumen Technologies).

Vohunjenje se nanaša na novo obliko RCS za pošiljanje SMS sporočil med iPhonom in pametnim telefonom Android.

FBI in Agencija za kibernetsko varnost in varnost infrastrukture (CISA) sta izjavila, da je hekerska kampanja, ki jo je Microsoft poimenoval Salt Typhoon, ena največjih kršitev v zgodovini.

Hekerji so pridobili dostop do posnetkov klicev, telefonskih klicev v živo določenih posameznikov in celo do tajnih sodnih odredb.

Oblasti svetujejo uporabo varnih in šifriranih aplikacij za sporočanje, da se prepreči razkritje zasebnih komunikacij.