Pravna ura št. 79 – januar 2025. 

Gostovanje profesionalnih podatkov: bodite pozorni na potrošniške platforme.

Obveznosti ponudnikov gostovanja podatkov v zvezi z bojem proti otroški pornografiji imajo zelo širok vpliv na zaupnost dokumentov, ki jim jih zaupamo.

To je nedavno na lastno škodo odkril pariški odvetnik, ko je v okviru kazenske zadeve na Google Drive shranil izjemno občutljive zaupne podatke.

Odločitev pariškega pritožbenega sodišča z dne 24. januarja opominja odvetnike – pa tudi vse strokovnjake, ki se ukvarjajo z občutljivimi podatki –, da zaupnost podatkov pri storitvah gostovanja, kot je Google Drive, ni zagotovljena.

Dejansko lahko Google, tako kot vsako drugo podjetje, za katero velja ameriška zakonodaja, v okviru boja proti spolni zlorabi otrok izbriše račun za gostovanje ali e-poštni račun v primeru suma nezakonitosti podatkov.

V tem konkretnem primeru je bil odvetniku, ki je na Google Drive shranil več deset slik otroške pornografije, obdelanih v legitimnem kontekstu kazenskega postopka, izbrisan račun Drive in Gmail.

Poročali so ga tudi NCMEC (Nacionalnemu centru za pogrešane in izkoriščane otroke).

Soočeno z odvetnikom, ki je od Googla zahteval vračilo svojih podatkov in odškodnino, je sodišče potrdilo, da posedovanje datotek, tudi v poklicnem kontekstu, ne upravičuje njihove hrambe in da je bila začasna ukinitev računa in poročila legitimna v skladu s pravnimi obveznostmi, ki veljajo za ponudnika gostovanja.

Velja si zapomniti, da algoritmi za zaznavanje, ki nenehno pregledujejo shranjene datoteke in e-pošto, ne razlikujejo med zakonito shranjenimi občutljivimi datotekami in nezakonito vsebino niti med osebnimi ali poklicnimi dejavnostmi.

Račun je mogoče začasno ukiniti brez predhodnega obvestila in brez možnosti pritožbe, kar pomeni, da lahko odvetnik izgubi takojšen dostop do svojih datotek in komunikacij, tudi med opravljanjem zakonitega poslovanja.

Poleg tega so ameriški ponudniki gostovanja, ki že pregledujejo vsebino, shranjeno na njihovih strežnikih, dolžni uporabnika prijaviti pristojni policijski službi za Francijo, in sicer OFMIN.

Uporaba varnih storitev je še toliko bolj pomembna pri opravljanju reguliranega poklica.

V zvezi s tem se spomnimo poročila, ki ga je ANSSI objavil leta 2023 o stanju kibernetskih groženj odvetniškim pisarnam.

Čeprav imajo odvetniki na splošno namenski in varen sistem (e-Drive) in naslov (avocat.fr), tako kot zdravniki, to ne velja nujno za vse poklice, zlasti za tiste, ki niso regulirani.

Danes evropski predpisi, zlasti francoski zakon LCEN (zakon z dne 21. junija 2004 o zaupanju v digitalno gospodarstvo), ne določajo obveznosti sistematičnega pregledovanja shranjenih podatkov s strani ponudnikov gostovanja, temveč obveznost preverjanja v primeru obvestila in suma kršitve.

Pravni okvir bi se kljub temu lahko razvil na evropski ravni s sprejetjem prihodnje uredbe CSAR, katere cilj je preprečevanje in boj proti spolni zlorabi otrok.

Čeprav nihče ne oporeka veljavnosti ciljev, načrt za omogočanje sistematičnega skeniranja zasebnih komunikacij sproža burno razpravo.

Trenutno je v vsakem primeru močno priporočljivo:

• Uporabljati rešitve v oblaku, namenjene strokovnjakom, ki so po potrebi zasnovane za regulirane poklice in zagotavljajo spoštovanje poklicne skrivnosti;
• Strogo ločevati osebno in profesionalno uporabo;
• Za šifriranje podatkov od začetka do konca;
• Izbrati suverenega ponudnika gostovanja s sedežem v Franciji ali vsaj v Evropi.

 

10. in 11. februarja bo Francija gostila Vrh o umetni inteligenci (UI), ki se bo v Grand Palaisu zbrala voditelji držav in vlad, vodje mednarodnih organizacij, izvršni direktorji malih in velikih podjetij, predstavniki akademskih krogov, nevladnih organizacij, umetniki in člani civilne družbe.

CNIL objavlja svoj strateški načrt za obdobje 2025–2028Slednja obsega štiri glavne osi:

• Umetna inteligenca,
• Pravice mladoletnikov,
• Kibernetska varnost
• Vsakodnevna digitalna uporaba.

Osredotočil se bo na dve od teh uporab: mobilne aplikacije in digitalno identiteto.

CNIL bo v začetku letošnjega leta objavil tudi več smernic za upravljavce podatkov.

Končno različico je objavila 31. januarja. vodnik o ocenah učinka za prenose podatkov zunaj Evropske unije.

V objavi z dne 23. januarja nas spominja na preverjanja, ki jih je treba izvesti pri uporabi prosto dostopnih podatkovnih baz na internetu ali jih zagotovi tretja oseba.

Prav tako se odziva na obsežne kršitve podatkov, ki so leta 2024 prizadele milijone ljudi, in predlaga ukrepe za okrepitev varnosti za obravnavo tveganj napadov.

To se nanaša na interne postopke podjetja in previdnostne ukrepe, ki jih je treba sprejeti v primeru oddaje del podizvajalcem.

Še vedno se je spominja priporočila za integracijo SDK-jev (kompletov za razvoj programske opreme) v mobilne aplikacijein navaja, da bo izvajal preverjanja za zagotovitev njihove skladnosti z GDPR.

Končno ga je objavila 20. januarja. pregled svojih kontrol v okviru usklajenega evropskega ukrepanja glede spoštovanja pravice do dostopain ugotavlja, da so ukrepi, ki jih izvajajo upravljavci podatkov, včasih nezadostni: na primer, ko posamezniki uveljavljajo svojo pravico do dostopa do vseh svojih podatkov, nekatere organizacije zagotovijo le delni ali nepopoln odgovor.

Združenje potrošnikov UFC-Que Choisir je izgubilo tožbo proti Googlu.

Junija 2019 je proti podjetju vložila skupinsko tožbo, v kateri je obsodila prakse, ki so v nasprotju z GDPR: vsiljivo geolokacijo, sledenje gibanju brez soglasja in neželeno ciljno oglaševanje.

Skupinska tožba je temeljila na odločitvi CNIL, ki je Googlu naložila rekordno globo v višini 50 milijonov evrov.

Združenje je zahtevalo 1000 evrov na prizadetega uporabnika, kar skupaj znaša 27 milijard evrov.

Pariško sodišče je zahtevo zavrnilo, ker ni bilo dovolj dokazov, in združenju naložilo plačilo 10.000 evrov sodnih stroškov Googlu.

 

Evropske institucije in organi

16. januarja je Evropski odbor za varstvo podatkov je sprejel smernice glede psevdonimizacije.

Ti določajo definicijo in pogoje uporabe psevdonimizacije ter njene prednosti.

Navajajo tudi številne primere.

Čeprav psevdonimizacija ne izvzema podatkov iz uporabe GDPR, pa kljub temu zmanjšuje tveganja, povezana z obdelavo (na primer v primeru izsiljevalske programske opreme).

Smernice so odprte za komentarje do 28. februarja.

Splošno sodišče Evropske unije (GC) je v sredo, 29. januarja, v sporu z irskim organom za varstvo podatkov (DPA) razsodilo v korist Evropskega odbora za varstvo podatkov (EDPB).

Odločitev odbora, ki jo je izpodbijala Irska, je od organa za varstvo podatkov zahtevala, naj razširi preiskavo kršitev GDPR s strani družbe Meta.

Sodišče ugotavlja, „da razširitev preiskave, ki jo nujno zahteva vsaj polovica nadzornih organov (...), v nasprotju s trditvami vlagatelja ni namenjena otežanju naloge osebe, ki je vložila pritožbo, ali upravljavca, na katerega se pritožba nanaša, temveč predstavlja ukrep za zaščito njihovih pravic“ (§56).

Splošno sodišče Evropske unije je v svoji odločbi T-354/22 obsodilo Evropsko komisijo zaradi kršitve GDPR v okviru spletne registracije za dogodek, ki ga je organizirala.

Komisija je s hiperpovezavo »poveži se s Facebookom«, prikazano na domači strani, »ustvarila pogoje, ki omogočajo prenos IP-naslova prosilca Facebooku« in posledično Združenim državam.

Takrat je bil zasebnostni ščit razveljavljen in je bilo zato ugotovljeno, da je prenos v nasprotju s členom 46 Uredbe 2018/1725.

Sodišče je razsodilo, da je treba „moralno škodo, ki jo navaja tožnik, šteti za resnično in gotovo“, saj je prenos „tožnika postavil v negotov položaj glede obdelave njegovih osebnih podatkov, zlasti njegovega IP-naslova“.

Ta odločitev bi lahko imela posledice, če bi bil "Okvir za varstvo podatkov" razveljavljen, saj priznava, da že sama povezava internetnega uporabnika s storitvijo v ZDA predstavlja prenos osebnih podatkov v Združene države.

Sodišče Evropske unije (CJEU) je v sodbi „Mousse“ z dne 9. januarja 2025 (C-394/23) menilo, da kupcev železniških vozovnic ni treba spraševati, ali naj se jim reče „gospod“ ali „gospa“.

Sodišče opozarja, da „mora biti obdelava osebnih podatkov, da bi se štela za potrebno za izpolnjevanje pogodbe v smislu te določbe, objektivno nujna za dosego namena, ki je sestavni del pogodbene storitve, namenjene zadevni osebi“.

V tem primeru Sodišče navaja, da se zdi, da obstaja praktična in manj vsiljiva rešitev: zadevno podjetje bi se lahko odločilo za komunikacijo, ki temelji na generičnih, vključujočih vljudnih formulah, ki niso povezane z domnevno spolno identiteto.

Sodišče EU je v sodbi z dne 9. januarja pojasnilo tudi merila za opredelitev „pretiranih“ zahtev v smislu člena 57(4) GDPR in poudarilo, da ni pomembno le število zahtev, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, temveč bolj zlorabni namen, ki stoji za temi zahtevami.

Ta odločitev se nanaša na ponudnike zaščite podatkov (APD), vendar je obrazložitev zanimiva za upravljavce podatkov.

Sodišče EU meni, da nadzorni organi nosijo dokazno breme in morajo dokazati zlorabni namen osebe, ki je vložila zahtevo.

Sodba Sodišča EU z dne 19. decembra 2024 (zadeva C-65/23) pojasnjuje, da čeprav lahko podjetniški sporazumi predstavljajo posebno pravno podlago, morajo delodajalci zagotoviti, da je ta vrsta sporazuma skladna z GDPR.

V tem konkretnem primeru sta nemško podjetje in njegov svet delavcev sklenila sporazume o obdelavi podatkov o zaposlenih.

Spor se je nanašal na uporabo nove programske opreme v oblaku, prek katere so bili osebni podatki preneseni na strežnike v Združenih državah.

Sodišče EU poudarja, da morajo nacionalna sodišča preveriti skladnost z vsemi načeli GDPR, tudi če obdelava podatkov temelji na kolektivni pogodbi.

 

Novice iz držav članic Evropske unije.

V Belgiji je belgijski organ za varstvo podatkov (APD) 7. januarja opominjal delodajalca zaradi nezakonitega ravnanja z obtožbami o napadu mladoletnika s strani enega od njegovih zaposlenih.

Vodja varnosti pri delodajalcu je francoski nacionalni varnostni organ zaprosil za podaljšanje varnostnega dovoljenja enemu od njegovih zaposlenih, prošnja pa je bila zavrnjena z obrazloženo odločitvijo organa, ki je bila posredovana vodstvu in zaposlenemu.

Vendar je vodstvo to informacijo posredovalo neposrednemu nadrejenemu osebe, ki je zoper njega sprožil disciplinski postopek.

V APD so navedene številne kršitve, vključno s pomanjkanjem pravne podlage, posredovanjem podatkov brez združljivega namena, nezakonito obdelavo občutljivih podatkov in pomanjkanjem preglednosti do zadevne osebe.

Na Danskem je APD ugodil zahtevi nogometnega kluba FC København za uporabo tehnologije prepoznavanja obrazov med nogometnimi tekmami v skladu z nacionalno zakonodajo, ker je predvidena uporaba suspenzov v znatnem javnem interesu.

Za druge dogodke, razen nogometnih tekem, ni bilo izdano nobeno dovoljenje.

Dansko združenje »Danes je nov dan« je predstavilo orodje, namenjeno preizkušanju sposobnosti uporabnikov za prepoznavanje vsebin, ustvarjenih z umetno inteligenco, hkrati pa jih obvešča o tveganjih, povezanih z njihovo zlorabo.

Orodje, predstavljeno v obliki interaktivnega kviza, zajema različna področja, kot so prepoznavanje sintetičnih slik, besedil in videoposnetkov.

Španska agencija za varstvo podatkov (APD) je za razliko od danske agencije menila, da uvedba neobveznega sistema za prepoznavanje obrazov, ki se uporablja za upravljanje dostopa do nogometnega stadiona, krši načelo minimizacije podatkov, saj obstajajo manj invazivne alternative, in je na tej podlagi odgovornim naložila globo v višini 200.000 evrov.

Španski organ za varstvo podatkov (APD) je operaterju CI Postal naložil tudi globo v višini 200.000 evrov, ker je med septembrom in oktobrom 2022 v javnih prostorih pustil približno 8000 pisem, ki so mu jih zaupala več podjetij.

APD ugotavlja kršitev členov 5(1)(f) in 32 GDPR glede zaupnosti in varnosti ter opozarja na odsotnost sistema sledljivosti pošte in nezadostno usposabljanje zaposlenih o pravilih varstva podatkov.

Prav tako je družbi Generali España naložila globo v višini 4.000.000 evrov, potem ko je ugotovila znatne pomanjkljivosti v pristopu družbe k varnosti podatkov., kar je nepooblaščeni tretji osebi omogočilo dostop do podatkov več kot 25.000 nekdanjih strank.

Estonski organ za varstvo podatkov (APD) je podjetju Asper Biogene naložil globo v višini 85.000 evrov (10 % prometa), ker ni ustrezno zaščitil občutljivih podatkov med napadom izsiljevalske programske opreme..

Podjetje izvaja genetske teste, kot so testi očetovstva in presejalni testi za dedne bolezni.

Hekerjem je uspelo prenesti več kot 33 GB datotek PDF, ki niso bile ne anonimizirane ne psevdonimizirane, in so se nanašale na približno 100.000 Estoncev.

V Grčiji je organ za varstvo podatkov (DPA) ministrstvu za podnebne krize in civilno zaščito naložil globo v višini 50.000 evrov, ker ni imenovalo pooblaščene osebe za varstvo podatkov (DPO)., s čimer je med drugim kršil 37. člen GDPR.

Kitajsko zagonsko podjetje Deepseek je konec januarja predstavilo klepetalni robot, ki je podoben OpenAI-jevemu ChatGPT-ju in Microsoftovemu Co-Pilotu.

Poleg obtožb ameriških velikanov, da je Deepseek uporabljal podatke, ki jih ustvarjajo njihovi lastni sistemi, je kitajski klepetalni robot že pritegnil pozornost italijanskega organa za varstvo podatkov (APD): APD je 30. januarja blokiral klepetalni robot v Italiji in začel preiskavo, potem ko je od Deepseeka prejel odgovore, ki so bili ocenjeni kot popolnoma nezadostni na njegova vprašanja.

Irski, belgijski in francoski policijski oddelek so prav tako navedli, da so se vprašanja lotili.

Odločitve glede "temnih vzorcev" v piškotkih se množijo.ent: Na Švedskem je APD opomnil igralniško podjetje zaradi slabe zasnove pasice za piškotke.

Grafični poudarek možnosti sprejema in dodatni koraki, potrebni za zavrnitev piškotkov, so privolitev v skladu s 6. členom GDPR razveljavili.

APD je izdal tudi tri opomine proti podjetjem, ki so v obdobjih od nekaj mesecev do več let na svoje spletne strani integrirala storitev merjenja občinstva družbe Meta (Meta Pixel).

Ta integracija je imela učinek preusmeritve prometa na Meta, nevidno za uporabnike.

 

Britanski organ za varstvo podatkov (DPA) je 23. januarja v sporočilu za javnost sporočil, da se loteva vprašanja skladnosti s piškotki za 1000 največjih spletnih mest v Združenem kraljestvu.

ICO objavlja tudi "strategijo", s katero želi zagotoviti, da spletno sledenje ljudem daje "jasne izbire in zaupanje v to, kako se uporabljajo njihovi podatki", ter nova navodila o modelih "soglasje ali plačilo".

V Združenih državah Amerike so bili trije demokratski člani Nadzornega odbora za zasebnost in državljanske svoboščine (PCLOB), sveta, zadolženega za pregled programov nacionalnega varnostnega nadzora z vidika zasebnosti, 27. januarja odpuščeni, potem ko niso želeli odstopiti, kot je zahtevala Bela hiša.

PCLOB je bil v okviru "Okvira za varstvo podatkov" med Evropo in Združenimi državami Amerike obravnavan kot bistveno sredstvo za spoštovanje pravic posameznikov v zadevah množičnega nadzora.

Vpliv tega ukrepa na izvedljivost transatlantskega sporazuma do danes še ni znan.

Potem ko je preklical izvršni ukaz o umetni inteligenci nekdanjega predsednika Joeja Bidna, je Donald Trump podpisal novega, ki "preklicuje nekatere obstoječe politike in smernice o umetni inteligenci, ki so ovire za ameriške inovacije na področju umetne inteligence, s čimer Združenim državam utira pot k odločnemu ukrepanju in ohranitvi položaja svetovnega vodilnega na področju umetne inteligence".

23. januarja je OpenAI predstavil svojega agenta »Operator«, ki je opisan kot »agent, ki lahko na spletu opravlja naloge namesto vas«.

Medtem ko lahko generativne aplikacije umetne inteligence na primer odgovarjajo na vprašanja, povzemajo besedila in ustvarjajo sintetične slike in videoposnetke, lahko agentne aplikacije umetne inteligence opravljajo bolj kompleksne naloge ne le ustvarjanja, temveč tudi implementacije vsebine.

Operater je tako zasnovan za avtomatizacijo opravil, kot so načrtovanje počitnic, izpolnjevanje obrazcev ali naročanje živil.

Usposobljen je za interakcijo z običajnimi gumbi, meniji in besedilnimi polji na spletu, poleg tega pa lahko postavlja dodatna vprašanja za nadaljnjo personalizacijo teh nalog.

Odprta umetna inteligenca pojasnjuje, da lahko uporabniki kadar koli prevzamejo nadzor nad zaslonom.