Pravna ura št. 81 – marec 2025. 

Kršitve podatkov: kateri organi pregona in kakšne so sankcije?

Kdo še ni pred kratkim prejel e-poštnega sporočila od svojega ponudnika telekomunikacijskih storitev ali od nevladne organizacije, ki ji mesečno donira, v katerem ga obveščajo, da so bili ogroženi njegovi kontaktni podatki, identifikatorji in včasih tudi bančni podatki?

V času, ko se kršitve podatkov množijo, postaja zaščita IT-sistemov pomemben problem za podjetja.

Od začetka veljavnosti GDPR in direktive NIS2 je varnost obdelave podatkov strogo regulirana, kršitve pa so za upravljavce podatkov predmet visokih kazni.

Med obveznostmi je treba omeniti obveznost obveščanja CNIL in zadevnih oseb o kršitvi pod določenimi pogoji, odprave kršitve in sprejetja vseh koristnih ukrepov za ublažitev njenih posledic.

CNIL ima obsežna preiskovalna pooblastila, njeno poslanstvo pa je podpirati, pa tudi sankcionirati upravljavce podatkov, kadar je vzrok za kršitev podatkov kršitev varnosti.

Komisija je v zadnjih letih naložila več sankcij:

• Družba Bouygues Telecom je bila leta 2017 kaznovana z 250.000 evri zaradi nezadostne varnosti na svoji spletni strani za stranke B&You, ki je omogočala dostop do pogodb dveh milijonov strank prek spremembe URL-ja.
• Leta 2016 je bil Uber kaznovan s 400.000 evri zaradi varnostne kršitve, ki je ogrozila 57 milijonov računov, in ker ni obvestil CNIL v zakonskih rokih.
• Pred kratkim je Dedalus Biologie zaradi napačne konfiguracije strežnika s strani podizvajalca razkril zdravstvene podatke 500.000 pacientov in ga je CNIL oglobil z 1,5 milijona evrov.
• Končno je bilo oktobra lani podjetje Ledger, ki se ukvarja z varnostjo kriptovalut, kaznovano s 750.000 evri, ker ni ustrezno zaščitilo podatkov svojih strank. Podjetje je leta 2020 utrpelo več kršitev osebnih podatkov, ki so prizadele številne stranke in potencialne stranke, in o njih molčalo.

Vendar se zdi, da Komisija trenutno daje prednost podpori pred sankcijami.in na svoji spletni strani objavlja številna priporočila za upravljavce podatkov.

V začetku leta se je odzvala na obsežne kršitve varnosti podatkov, ki so leta 2024 prizadele milijone ljudi, in predlagala ukrepe za okrepitev varnosti za obravnavo tveganj napadov.

CNIL vztraja pri notranjih postopkih podjetja in previdnostnih ukrepih, ki jih je treba sprejeti v primeru oddaje del podizvajalcem.

Drugod po Evropi, Številna podjetja so kaznovana z globami od nekaj tisoč do nekaj sto tisoč evrov, na primer zaradi "pozabitve" odvzema pravic dostopa do računalniškega sistema nekdanjih zaposlenih, slabe zasnove bančne aplikacije ali konfiguracije spletnega mesta, pomotoma pošiljanja SIM-kartice napačni stranki, prenosa datoteke stranke na Whatsapp ali nezadostnega nadzora nad praksami podizvajalca.

Na nadnacionalni ravniSodišče Evropske unije prav tako podaja pojasnila, zlasti glede odškodnine žrtvam.

Če mora oseba dokazati obstoj škode, ki jo je povzročila kršitev varnosti podatkov, ta škoda ne sme doseči določene stopnje resnosti (zadeva C-300/21, zadeva C-590/22).

Tako lahko strah osebe, da so bili njeni osebni podatki razkriti tretjim osebam, povzroči pravico do odškodnine, če oseba predloži dokaze o svojem strahu, skupaj z njegovimi negativnimi posledicami (zadeva C 340/21, zadeva C 687/21, zadeva C-590/22).

Sodišče EU je tudi razsodilo, da odškodnina za moralno škodo, povzročeno s krajo osebnih podatkov, ni omejena na primere, ko se dokaže, da je dejansko prišlo do kraje identitete.

Nadomestilna škoda lahko torej obstaja, ne da bi bila ugotovljena kraje identitete (zadevi C 182/22 in C 189/22).

Z razvojem kolektivnih tožb se podjetja, ki ne prevzemajo tveganj kršitev podatkov, resno izpostavljajo ne le sankcijam CNIL, temveč tudi pravnim ukrepom posameznikov.

 

 

Državni zbor je v četrtek, 20. marca, zvečer glasoval za ohranitev zaupnosti storitev šifriranega sporočanja..

Ukrep je določal možnost, da se od teh platform za sporočanje (Signal, WhatsApp itd.) zahteva, da obveščevalnim službam posredujejo sporočila trgovcev z ljudmi.

"Poslanci so prejšnji teden v odboru za pravo odpravili ta ukrep, ki je združil številne akterje in strokovnjake na področju kibernetske varnosti proti njemu. Po njihovem mnenju obstaja preveliko tveganje za nastanek ranljivosti, ki bi ogrozila pogovore vseh uporabnikov teh platform."

Da bi se zadevni strokovnjaki "lahko pripravili na prihajajoča posvetovanja ali razprave", je CNIL 27. marca predstavil delovni program in smernice, ki jih želi sprejeti leta 2025.

Med obravnavanimi temami so praktični vodniki o umetni inteligenci, osnutki referenčnih dokumentov o podizvajalcih, zdravstvu, bančnem sektorju, obdobjih hrambe podatkov na področju trženja in človeških virov, trije osnutki priporočil o soglasju za uporabo "več naprav", piksli v e-poštnih sporočilih in gospodarstvu starejših; nazadnje bo CNIL nadaljeval svoje delo na področju kamer v avtomobilu in politične agitacije.

Odločitev CNIL, ki Evropski agenciji za zdravila pod določenimi pogoji dovoljuje dostop do izvlečkov podatkov iz SNDS v okviru projekta DARWIN (Omrežje za analizo podatkov in zasliševanje v resničnem svetu) EU, je bilo objavljeno na Légifrance.

Komisija kritizira izbiro ponudnika gostovanja, za katerega velja ekstrateritorialno pravo, kar ga izpostavlja tveganju posredovanja občutljivih podatkov tujim silam, vendar kljub temu dovoljuje obdelavo, in sicer za obdobje, omejeno na tri leta za vzorec podatkov in eno leto po objavi študije.

Francoski organ za varstvo konkurence je v odločbi z dne 28. marca družbi Apple naložil globo v višini 150 milijonov evrov. "zaradi zlorabe prevladujočega položaja v sektorju distribucije mobilnih aplikacij za naprave iOS in iPadOS."

Ukrep je posebej usmerjen v Applovo preglednost sledenja aplikacijam (ATT), ki uporabnikom omogoča, da se preprosto odločijo, ali želijo omogočiti sledenje tretjih oseb ali ne.

Organ meni, da sam okvir "ni v osnovi problematičen", vendar poudarja, da ATT pretirano otežuje uporabo aplikacij tretjih oseb v okolju iOS, saj zahteva več pojavnih oken za soglasje.

Vloga bi še posebej kaznovala manjše založnike, "ki so za financiranje svojega poslovanja v veliki meri odvisni od zbiranja podatkov tretjih oseb".

V sklepu z dne 1. aprila Državni svet je odločil o blokiranju TikToka v Novi Kaledoniji med nemiri lani spomladi.

Čeprav meni, da v tem konkretnem primeru pogoji veljavnosti niso bili izpolnjeni, kljub temu ugotavlja pogoje, pod katerimi bi bila takšna blokada družbenega omrežja lahko zakonita, in ocenjuje, da se upravni organ "lahko (...) zateče k takšnemu [blokirnemu] ukrepu v izjemnih okoliščinah, če je to nujno za zadostitev potrebam trenutka".

Ukrep bi moral biti:

• Nepogrešljivo za obravnavo posebej resnih dogodkov;
• Brez kakršnih koli tehničnih sredstev, ki bi omogočala takojšnjo izvedbo alternativnih ukrepov;
• In sprejeti "za omejeno obdobje, potrebno za raziskavo in izvajanje teh alternativnih ukrepov".

 

V sodbi z dne 26. marca je socialni senat kasacijskega sodišča potrdil pravico zaposlene, da pridobi delno kopijo plačilnih list nekaterih svojih sodelavcev, da bi dokazala nepravično ravnanje. v njegovem kariernem napredovanju.

Sodišče ponovno poudarja načelo minimizacije podatkov in določa, da je odgovornost sodnika prve stopnje, "da zagotovi, da so informacije, za katere bo določil, da morajo ostati vidne, ustrezne, relevantne in strogo omejene na tisto, kar je bistveno za primerjavo med zaposlenimi, pri čemer se upošteva domnevni razlog(i) za diskriminacijo".

 

Evropske institucije in organi

Politico je v članku z dne 3. aprila napovedal, da Evropska komisija namerava v prihodnjih tednih predstaviti predlog za poenostavitev GDPR..

Po navedbah publikacije je to »ena od prednostnih nalog predsednice izvršnega organa EU Ursule von der Leyen, ki si prizadeva, da bi bila podjetja na stari celini bolj konkurenčna v primerjavi s tekmeci v Združenih državah Amerike, na Kitajskem in drugod«.

Komisija je 1. aprila predstavila svoj načrt za "novo evropsko strategijo notranje varnosti" z imenom ProtectEU, katerega cilj je zlasti razširiti pooblastila Europola in Frontexa.

Komisija bo izvedla oceno vpliva pravil o hrambi podatkov na ravni EU in pripravila tehnološki načrt za šifriranje, „da bi opredelila in ocenila tehnološke rešitve, ki bi organom pregona omogočile zakonit dostop do šifriranih podatkov, hkrati pa zaščitile kibernetsko varnost in temeljne pravice“.

Generalni pravobranilec Sodišča Evropske unije (SEU) v svojih sklepih z dne 27. marca meni, da lahko WhatsApp, ker je neposredno prizadet, izpodbija zavezujočo odločitev Evropskega odbora za varstvo podatkov pred Evropskim sodiščem v skladu s členom 263 PDEU.

Spomnimo se, da je irska komisija za varstvo podatkov po tej odločitvi Evropskega odbora za varstvo podatkov (EDPB) z dne 28. julija 2021 v okviru mehanizma za skladnost s Splošno uredbo o varstvu podatkov sprejela sklep o ugotovitvi kršitev ter naložitvi korektivnih ukrepov in upravnih glob v skupnem znesku 225 milijonov evrov.

WhatsApp je izpodbijal odločitev Evropskega odbora za varstvo podatkov pred Evropskim sodiščem in vzporedno s tem tudi končno odločbo irskega organa za azil (APD) o izvršitvi pred irskim sodiščem.

Generalna skupščina je istega dne menila tudi, da pošiljanje dnevnega glasila predstavlja „neposredno trženje“ za „podobne izdelke ali storitve“ v smislu Direktive o e-zasebnosti, in da se člen 6 GDPR ne uporablja, kadar je obdelava osebnih podatkov zakonita na podlagi te določbe: kadar obstaja posebna določba v Direktivi o e-zasebnosti, ki vključuje obveznosti z enakim ciljem kot ustrezne določbe GDPR, je treba uporabiti določbo o „e-zasebnosti“.

Sodišče je 20. marca končno razsodilo, da GDPR posameznikom, na katere se nanašajo osebni podatki, zagotavlja pravico do odredbe v primerih nezakonite obdelave. Ta preventivna možnost zahteve za odredbo ne zmanjšuje odškodninske nematerialne škode, ki izhaja iz takšne nezakonite obdelave.

Sodišče EU je 13. marca razsodilo, da 16. člen GDPR zahteva popravek spola transspolne osebe, ki je bil netočno zabeležen v javnem registru.

Čeprav lahko pristojni organ zahteva dokazilo o netočnosti, zahteva, da zadevna oseba dokaže, da je bila podvržena operaciji spremembe spola, predstavlja kršitev njenih človekovih pravic.

 

Novice iz držav članic Evropske unije.

V Nemčiji je Zvezno sodišče potrdilo dodelitev 500 evrov odškodnine za nepremoženjsko škodo tožniku zaradi škode na njegovem ugledu. v skladu s členom 82 GDPR.

Poleg tega je razsodilo, da sodišče pri določanju višine odškodnine ne more upoštevati niti resnosti kršitve GDPR niti vprašanja krivde.

Avstrijski organ za varstvo podatkov (APD) je odredil uničenje fotografij, ki jih je posnel fotograf, zaradi neskladnosti z GDPR..

Fotograf je na javnem spletnem mestu objavil fotografije prepoznavnih oseb, zlasti otrok in žensk, posnete na ulici, v občutljivih kontekstih, brez veljavne pravne podlage ali zadostnih jamstev (obveščenost, pravica do ugovora).

Združenje Noyb je pravkar doživelo neuspeh pred pritožbenim sodiščem v Bruslju..

Sodišče je v sodbi z dne 19. marca razsodilo, da ...Pritožbe, ki jih posreduje združenje, morajo dokazovati osebni interes zadevne osebe..

V tem konkretnem primeru Trgovinsko sodišče navaja, da ni našlo nobene utemeljitve za tak interes tožnikov glede kršitev pravil o piškotkih.

Med drugim omenja, da Noyb v nobenem postopku ne trdi, da so bili tožniki redni ali celo občasni obiskovalci zadevnih spletnih strani/časopisov.

Tudi v Belgiji je erotična savna prejela opozorilo od pravdnega senata APD, zlasti zaradi vodenja spletne knjige gostov, ki je omogočala javno razširjanje občutljivih podatkov o strankah.

APD je opozoril na pomanjkanje preglednosti v politiki zasebnosti, odsotnost pravne podlage za obdelavo podatkov in neizpolnjevanje obveznosti v zvezi z registrom dejavnosti obdelave.

V Španiji je policija APD banko oglobila s 3.500.000 evri zaradi resne napake v zasnovi bančne aplikacije, ki je strankam omogočala dostop do računov, za katere niso imele pooblastila.

Zavarovalnica je bila prav tako kaznovana z 1.000.000 EUR zaradi napake pri kodiranju, zaradi katere so bili osebni podatki, vključno z občutljivimi podatki, 3.395 oseb po elektronski pošti poslani 354 podjetjem prejemnikom.

V Grčiji je APD banko oglobil s 3000 evri, ker po notranji kršitvi varnosti podatkov ni uvedla ustreznih varnostnih ukrepov.

Zaposleni si je po odhodu iz podjetja neupravičeno pridržal skrbniške pravice in nepooblaščeno dostopal do podatkov več kot 6000 drugih zaposlenih.

Podobno odločitev je opazil tudi italijanski organ za varstvo podatkov (APD).

V primeru neželene pošte SMS je grški organ za varstvo podatkov (APD) od nacionalnega organa za domenska imena zahteval, naj začasno ukine domensko ime zadevnega podjetja, ker naj bi se to domensko ime uporabljalo v slabi veri ali na način, ki je v nasprotju z javnim redom.

Opomba da so registrarji na ravni ICANN "začasno ukinili 2528 domenskih imen in onemogočili 328 spletnih mest, ki se uporabljajo za lažno predstavljanje" kot del prizadevanj za izvajanje ukrepov za skladnost.

Italijanski organ za varstvo podatkov (APD) je energetsko podjetje oglobil s 300.000 evri zaradi nezakonite obdelave osebnih podatkov za namene neposrednega trženja, neustreznega izvajanja načel varstva podatkov in neustreznega obveščanja kandidatov za zaposlitev o obdelavi njihovih podatkov.

Upravno sodišče v Luksemburgu je potrdilo globo v višini 746.000.000 evrov, ki jo je APD leta 2021 naložil hčerinski družbi Amazona zaradi nezakonite obdelave podatkov obiskovalcev spletnega mesta za namene oglaševanja na podlagi interesov, zaradi nezagotavljanja preglednih informacij in zaradi kršitve več pravic posameznikov, na katere se nanašajo osebni podatki.

Čeprav Amazon po poročanjih razmišlja o pritožbi, je APD izjavil, da med pritožbenim obdobjem ali morebitnimi postopki ne bo posredoval nobenih podrobnosti o svoji odločitvi.

Poljski organ za varstvo podatkov (APD) je poštni službi naložil globo v višini 6,3 milijona evrov, ker je v okviru volitev, ki so potekale med pandemijo covida-19, izvedla vladno zahtevo za obdelavo podatkov v zvezi s 30 milijoni državljanov, ne da bi preverila pravno podlago zahteve. 

La Poste bi morala počakati, da bi bile izčrpane vse možnosti pritožbe zoper to odločitev, ki pa jo je sodišče na koncu razveljavilo.

 

17. marca je v Združenem kraljestvu začel veljati zakon o spletni varnosti, ki od spletnih platform zahteva, da izvedejo vrsto ukrepov, namenjenih zmanjšanju tveganj za otroke in odstranjevanju škodljivih vsebin na splošno.

Britanski ponudniki storitev imajo čas do 16. marca, da opravijo ocene tveganja svojih storitev.

Britanski regulativni organ (Ofcom) je razvil kodeks dobre prakse in program izvajanja.

Kritiki tega zakona še posebej kritizirajo njegov obseg na siva področja, kot sta nadlegovanje ali nadzor vedenja, in posledična tveganja cenzure.

Ta zakon je sprejet poleg dveh drugih britanskih predpisov, ki bi lahko spodkopali podaljšanje odločitve Združenega kraljestva o ustreznosti iz junija: opomba, ki jo je objavila raziskovalna služba Evropskega parlamenta, se nanaša na zakon o podatkih in spremembo zakona o preiskovalnih pooblastilih, ki si prizadevata razširiti dostop vlade in organov pregona do uporabniških podatkov.

Avstralski urad informacijskega pooblaščenca je 19. marca objavil študijo o politikah in praksah avstralskih agencij javnega sektorja glede njihove uporabe aplikacij za sporočanje.

Poročilo ugotavlja, da se aplikacije za sporočanje v avstralski javni upravi pogosto uporabljajo brez ustreznega nadzora ali postopkov. Študija predstavlja seznam priporočil za reševanje tega problema.

Kanadski pooblaščenec za varstvo zasebnosti je pravkar izdal orodje za oceno, ali kršitev varstva osebnih podatkov predstavlja resnično tveganje za znatno škodo posameznikom.

Na Kitajskem je "Nacionalni urad za internetne informacije" 13. marca objavil varnostne ukrepe za uporabo biometričnih tehnologij, ki zahtevajo, da dejavnosti prepoznavanja obrazov izpolnjujejo veljavne zakone, sprejmejo varnostne ukrepe in čim bolj zmanjšajo vpliv na človekove pravice.

Nemški časopis Der Spiegel je 26. marca objavil, da mu je uspelo dostopati do osebnih podatkov, spletnih kontaktnih podatkov in celo gesel nekaterih najvišjih ameriških varnostnih uradnikov, vključno z obrambnim ministrom in nekdanjim voditeljem Fox News Petom Hegsethom.

Novinarji so uporabili javne iskalnike in "vdrte podatke o strankah", ki so bili objavljeni na spletu.

Med tistimi, katerih podatki so pricurljali v javnost, naj bi bila tudi svetovalec za nacionalno varnost Mike Waltz in direktorica nacionalne obveščevalne službe Tulsi Gabbard.

Tudi v Združenih državah Amerike se regulacija umetne inteligence znatno povečuje: leta 2024 je bilo ugotovljenih več kot 600 zakonov, povezanih z umetno inteligenco, od katerih jih je bilo sprejetih skoraj 100.

Vendar se raven zaščite od države do države zelo razlikuje.

Sledilnik, ki ga ponuja spletna stran »Multistate«, vam omogoča vizualizacijo stanja predpisov v letu 2025.

Medtem je predsednik Trump 18. marca odpustil dva demokratska člana Zvezne komisije za trgovino (FTC), kar je povečalo trenutno negotovost glede učinkovitosti varstva potrošnikov in nadzornih mehanizmov v Združenih državah Amerike ter dodatno oslabilo stabilnost transatlantskega sporazuma o varstvu podatkov.

V Vietnamu bi lahko zakon o varstvu podatkov sprejeli spomladi.

Vlada je nedavno sprejela resolucijo za pospešitev zakonodajnega postopka, ministrstvo za javno varnost pa je bilo zadolženo, da predlog zakona predloži državnemu zboru v uradno sprejetje maja 2025.

Napredni generatorji slik z umetno inteligenco imajo pomembne posledice za varstvo podatkov, kar dokazuje članek L. Jarosvkyja.

• Učinek »Ghibli«, ki omogoča ustvarjanje slik v slogu znanih risank Myasaki, je v zadnjih dneh spodbudil tisoče ljudi, da prostovoljno naložijo svoje obraze in osebne fotografije na ChatGPT, s čimer je OpenAI omogočil neposreden in brezplačen dostop do več tisoč novih obrazov za učenje svojih modelov umetne inteligence.
• Generatorji slik omogočajo tudi izjemno enostavno, poceni in dostopno ustvarjanje ponarejenih dokazov. Vsakdo z zlonamernimi nameni lahko tako v nekaj minutah in praktično brezplačno ustvari ponarejene račune, osebne dokumente, dokazila o naslovu ali celo bančne dokumente, kar pa predstavlja tveganje kraje identitete.