Pravna ura št. 83 – maj 2025. 

Evropska podatkovna suverenost: pobožne želje?

Microsoftova blokada e-poštnega računa generalnega tožilca Mednarodnega kazenskega sodišča (ICC) Karima Khana sproža ključno vprašanje digitalne suverenosti Francije in Evrope na splošno v luči velikih tehnoloških akterjev.

Po poročanju agencije AP je bil Khanov e-poštni račun blokiran brez opozorila, zaradi česar je bil prisiljen uporabljati storitve švicarskega ponudnika internetnih storitev Proton.

Ker je sodišče močno odvisno od ponudnikov storitev, kot je Microsoft, se je njegovo delo znatno upočasnilo.

Ta odločitev Microsofta je neposredna posledica ukrepov, ki jih je ameriški predsednik Donald Trump sprejel proti haaškemu sodišču februarja, potem ko je senat sodnikov Mednarodnega kazenskega sodišča izdal nalog za prijetje izraelskega premierja Benjamina Netanjahuja in njegovega nekdanjega obrambnega ministra Yoava Gallanta zaradi vojnih zločinov v Gazi.

Predsedniški odlok izrecno prepoveduje zagotavljanje sredstev, blaga ali storitev generalnemu tožilcu Mednarodnega kazenskega sodišča (MKS) in vsako transakcijo, ki bi zaobšla te prepovedi, z utemeljitvijo, da dejanja MKS predstavljajo nenavadno in izjemno grožnjo nacionalni varnosti in zunanji politiki Združenih držav.

Nizozemska publikacija z dne 31. maja v tem kontekstu ugotavlja, da bi lahko glede na število ameriških strežnikov, ki jih uporablja javni sektor, "ameriška vlada z enim samim pritiskom na gumb blokirala ali manipulirala z več kot 650 nizozemskimi vladnimi in kritičnimi poslovnimi spletnimi mesti, vključno s spletnimi mesti De Nederlandsche Bank in policije, pa tudi s spletnim mestom (…) ministrstva za zunanje zadeve. Tako kot spletno mesto Crisis.nl, ki je referenčno mesto za Nizozemce v primeru nesreče."

Drug primer morebitnih posledic naše tehnološke odvisnosti lahko najdemo v nedavnem primeru med OpenAI in ameriškim pravosodnim sistemom: podjetje se trenutno bori proti odločitvi, ki mu nalaga hrambo vseh uporabniških dnevnikov ChatGPT – vključno z izbrisanimi in občutljivimi klepeti – posnetih prek njegove komercialne ponudbe API-ja.

Odločitev je izvirala iz medijskih organizacij, ki so vložile zahtevke zaradi avtorskih pravic in obtožile OpenAI uničevanja dokazov.

V svojem odgovoru podjetje trdi, da se sodišče zanaša izključno na obtožbo New York Timesa in drugih medijskih tožnikov ter da "brez kakršnega koli veljavnega razloga preprečuje OpenAI, da spoštuje odločitve svojih uporabnikov o zasebnosti".

Brez zavzemanja stališča do legitimnega vprašanja spoštovanja avtorskih pravic nas primer vodi k dvomu o nadzoru, ki ga lahko imajo tuje sile, v tem primeru Združene države Amerike, nad našimi vsakodnevnimi delovnimi orodji, od trenutka, ko same odločajo o motivacijah nacionalnega interesa, ki upravičujejo tak nadzor.

To se zdi še posebej zaskrbljujoče v svetu, kjer je pravna država vse bolj ogrožena in kjer politična zavezništva dnevno nihajo.

V tem mračnem kontekstu, kjer Evropo pogosto obtožujejo zaostajanja, obstajajo spodbudne novice: Center za varen dostop do podatkov (CASD) je sredi maja postal prva storitev gostovanja podatkov v Evropi, ki je pridobila uradni certifikat GDPR, izdan v skladu s členom 42 GDPR in standardom Europrivacy.

To potrdilo uradno priznavajo organi za varstvo podatkov v 30 državah – vseh državah članicah EU in EGP.

CASD že ima številne certifikate (ISO 27001, ISO 2770) in je tudi, kar je še posebej pomembno, gostitelj zdravstvenih podatkov (HDS).

Vemo tudi, da Evropa trenutno vlaga v umetno inteligenco, tako finančno kot s ciljem poenostavitve predpisov (glejte novice spodaj). Manifest IMA (Innovation Makers Alliance), ki ga podpirajo akterji, kot so OVHcloud, Hexatrust in Mistral AI, je marca predstavil tudi 33 predlogov, usmerjenih v umetno inteligenco, računalništvo v oblaku, kibernetsko varnost in javna naročila, z namenom nujnega ponovnega uravnoteženja ... Hkrati je Microsoft evropskim vladam ponudil brezplačen program kibernetske varnosti.

Evropske pobude bodo dosegle svoj polni potencial le, če se bodo naši refleksi razvili, bodisi v smislu strateških odločitev glede orodij umetne inteligence, storitev gostovanja, pa tudi digitalne higiene: pred prenosom ali shranjevanjem podatkov je bistveno, da se sprva obdelajo le nujno potrebni podatki in da se v javnem ali zasebnem sektorju izvajajo prakse in listine, ki omejujejo tveganja izgube nadzora nad temi podatki.

 

CNIL je 15. maja 2025 podjetju Solocal Marketing services naložil globo v višini 900.000 evrov zaradi nagovarjanja potencialnih strank brez njihovega soglasja in posredovanja njihovih podatkov partnerjem brez veljavne pravne podlage.

Istega dne je podjetju Caloga naložila globo v višini 80.000 evrov zaradi nagovarjanja potencialnih strank brez njihovega soglasja in posredovanja njihovih podatkov partnerjem brez veljavne pravne podlage.

Konec maja je poslanec in član CNIL Philippe Latombe ministru za gospodarstvo, finance in industrijo ter digitalno suverenost postavil parlamentarno vprašanje o izbiri vzajemne zavarovalnice ALAN s strani številnih javnih organov za zagotavljanje dopolnilnega zdravstvenega zavarovanja svojim zaposlenim.

Poudarja, da »ta francoski samorog (...) gosti svoje podatke pri Amazon Web Services (AWS) in je zato podvržen ekstrateritorialnosti ameriške zakonodaje.«

Poslanec sprašuje vlado, ali razmišlja o tem, da bi "zaradi zaščite občutljivih podatkov svojih agentov in skladnosti z navodili, ki jih izdaja, od ALAN-a zahtevala selitev v suvereni oblak".

Državni svet je v odločbi z dne 5. maja Sodišču Evropske unije (SEU) predložil predhodno vprašanje glede obsega privolitve: zadeva se nanaša na podjetje Canal+, ki ga je CNIL oktobra 2023 sankcioniral zaradi uporabe podatkov, ki so jih zbrali njegovi partnerski ponudniki internetnih storitev, za namene elektronskega trženja, čeprav partnerji ob dani privolitvi niso bili izrecno identificirani.

Državni svet v bistvu sprašuje Sodišče EU, ali je soglasje, ki ga glavni upravljavec podatkov (kot je ponudnik internetnih storitev) poda za obdelavo s strani "njegovih partnerjev", mogoče šteti za zadostno za pooblastilo vsakega od teh partnerjev za izvajanje trženjskih kampanj, tudi če v času zbiranja podatkov niso identificirani.

Državni svet (CE) je 25. aprila zavrnil začasno ustavitev sklepa CNIL, ki je Evropski agenciji za zdravila (EMA) pooblastil za izvajanje obdelave podatkov za študijo o incidenci in razširjenosti bolezni v okviru projekta »DARWIN EU«.

Vlagatelj je trdil, da je ukrep nujen, ker predlagana obdelava zadeva zdravstvene podatke 10 milijonov Francozov, ki bi jih hranil Microsoft, kar bi zahtevalo prenose v Združene države Amerike, kjer zaščitni ukrepi ne bi bili zadostni.

CE meni, da „čeprav ni mogoče popolnoma izključiti, da so podatki iz obdelave (...) lahko predmet zahtevkov za dostop s strani organov Združenih držav Amerike prek matične družbe gostitelja in da slednja morda ne bo mogla temu nasprotovati, to tveganje v trenutni fazi preiskave ostaja hipotetično“.

Drugič, poleg tega, da ima Microsoft Ireland certifikat "Health Data Hosting" (HDS) (...), je izvajanje projekta povezano z jamstvi in varnostnimi ukrepi, zlasti ker bodo podatki večkrat psevdonimizirani in ne bodo neposredno prepoznavni, tako da je CNIL menil, da je to tveganje zmanjšano na raven, ki ne upravičuje zavrnitve zahtevanega dovoljenja, katerega trajanje je prav tako omejil na tri leta.

Prizivno sodišče v Bordeauxu je 13. maja razveljavilo pogodbo o razvoju spletne strani zaradi kršitev predpisov o varstvu osebnih podatkov, zlasti glede obveznosti glede informacij in soglasja v zvezi s piškotki.

Sektor kriptovalut je po več poskusih ugrabitev v kaosu.

Direktor platforme Paymium, ki je bila tarča nedavnega poskusa, opozarja na regulativni razvoj, ki namerava v sektorju kriptovalut uporabiti več pravil, namenjenih odpravi anonimnosti, ki se že uporabljajo v bančnem sektorju na področju pranja denarja ali boja proti trgovini z drogami.

Še posebej so usmerjeni v nacionalne in evropske mehanizme, namenjene temu, da sredstva ne bi bilo mogoče izslediti.

Te pomisleke izražajo nekateri strokovnjaki za kibernetsko varnost, ki trdijo, da se anonimnost lahko uporablja v legitimnem kontekstu, vendar jih v perspektivo postavljajo tudi drugi, ki opozarjajo na vsa jamstva za varstvo podatkov, ki že veljajo v finančnem sektorju.

 

Evropske institucije in organi

Evropska komisija je 21. maja objavila predlog spremembe GDPR, katerega cilj je olajšati obveznosti malih in srednje velikih podjetij in jih razširiti na srednje velika podjetja z manj kot 750 zaposlenimi.

Najpomembnejše spremembe se nanašajo na zahteve v zvezi z evidenco dejavnosti obdelave (RPA).

Trenutna izjema iz člena 30(5) bi se razširila na vsa taka podjetja.

Ta nova izjema bi veljala, razen če je verjetno, da bo obdelava povzročila „visoko tveganje“ za pravice in svoboščine zadevnih oseb (v nasprotju s trenutnim „tveganjem“).

Besedilo bi dodalo tudi uvodno izjavo, ki bi določala, da obdelava določenih kategorij podatkov, potrebnih za uporabo delovnega prava in prava socialne varnosti v skladu s členom 9(2)(b), sama po sebi ne sproži obveznosti vzdrževanja RAT.

Predlogi bi spremenili tudi določbe o kodeksih ravnanja (člen 40) in shemah certificiranja (člen 42), da bi jih razširili na podjetja z manj kot 750 zaposlenimi.

Ti členi trenutno od držav članic, organov za varstvo podatkov, Komisije in Evropskega odbora za varstvo podatkov zahtevajo, da „spodbujajo“ razvoj kodeksov in certifikatov, ki upoštevajo „posebne potrebe“ malih in srednje velikih podjetij.

Za pripravo prihodnje podatkovne strategije EU Evropska komisija začenja posvetovanje o uporabi podatkov v umetni inteligenci, poenostavitvi pravil o podatkih in mednarodnem pretoku podatkov.

Cilj je omogočiti ustvarjanje visokokakovostnih, interoperabilnih in raznolikih naborov podatkov, potrebnih za umetno inteligenco, hkrati pa zagotoviti skladnost med politikami, infrastrukturami in pravnimi instrumenti, povezanimi s podatki.

Posvetovanje je odprto do 18. julija.

Komisija objavlja tudi posvetovanje o osnutku smernic v zvezi z zakonom o digitalnih storitvah, ki je odprto do 10. junija.

Besedilo vključuje smernice o zaščiti mladoletnikov na spletu. Komisija namerava končne smernice objaviti to poletje. Prav tako dela na aplikaciji za preverjanje starosti.

Evropska komisija je 27. maja sporočila, da je začela preiskave za zaščito mladoletnikov pred pornografskimi vsebinami v skladu z zakonom o digitalnih storitvah (DSA).

Preiskave platform Pornhub, Stripchat, XNXX in XVideos se osredotočajo na tveganja, povezana s pomanjkanjem učinkovitih ukrepov za preverjanje starosti.

Vzporedno države članice, ki se sestajajo v okviru Evropskega sveta za digitalne storitve, usklajeno ukrepajo proti majhnim pornografskim platformam.

Evropski nadzornik za varstvo podatkov je 28. maja objavil mnenje o predlogu uredbe o vzpostavitvi skupnega sistema za vračanje državljanov tretjih držav, ki nezakonito prebivajo v EU.

Čeprav priznava potrebo po učinkovitejšem izvrševanju obstoječe zakonodaje o migracijah in azilu, poudarja, da je „varstvo podatkov – kot temeljna pravica, zapisana v Listini – ena zadnjih obrambnih linij za ranljive osebe, kot so migranti in prosilci za azil, ki se približujejo zunanjim mejam EU.“

Nevladna organizacija noyb je 14. maja družbi Meta kot kvalificirani subjekt v skladu z novo evropsko direktivo o kolektivnih tožbah poslala pismo o "prenehanju in opustitvi" v zvezi z usposabljanjem Mete za umetno inteligenco brez soglasja uporabnikov.

V Nemčiji je Verbraucherzentrale NRW vložila tudi predhodno odredbo, ki jo je sodišče konec maja zavrnilo (glej spodaj).

 

Novice iz držav članic Evropske unije.

Nemški zvezni organ za varstvo podatkov (BfDI) je objavil vprašalnik o skladnosti z umetno inteligenco, ki je namenjen pomoči organizacijam pri potrjevanju njihovih pobud na področju umetne inteligence in zagotavljanju skladnosti z GDPR.

Višje regionalno sodišče v Kölnu je 23. maja razsodilo, da Meta z uporabo podatkov uporabniških profilov za izboljšanje svojega sistema umetne inteligence ni kršila GDPR ali evropske uredbe o digitalnih trgih, pri čemer je poudarilo, da je ta ocena skladna z oceno irske komisije za varstvo podatkov (DPC), ki je v Evropi pristojna za Meto.

TikTok se v Nemčiji sooča s skupinsko tožbo. Nizozemska nevladna organizacija Stichting Onderzoek Marktinformatie (Somi), ki je na berlinskem sodišču vložila odškodninsko tožbo, trdi, da "TikTok zbira in analizira zelo osebne in intimne podatke svojih uporabnikov v obsegu, ki daleč presega tisto, kar je potrebno."

Organizacija trdi, da algoritem platforme ustvarja "sistem manipulacije in odvisnosti", zlasti pri otrocih. Nevladna organizacija zahteva odškodnino do 2000 evrov na osebo.

Belgijski organ za varstvo podatkov (APD) je opravil oceno sporazuma FATCA, sklenjenega med Belgijo in Združenimi državami Amerike, in ugotovil, da ni združljiv z GDPR.

Pritožbe so se nanašale na prenos osebnih podatkov pritožnikov, vključno z belgijskimi "naključnimi Američani", ameriškim davčnim organom.

APD je Zvezni javni finančni službi izrekel opomin zaradi kršitev GDPR in ugotovil kršitev načel omejitve namena, minimizacije podatkov in pravil o prenosu podatkov. 

Ta odločitev ima posledice, ki segajo preko meja Belgije, saj so Združene države Amerike sklenile podobne sporazume z drugimi državami Evropske unije.

Španska agencija za varstvo podatkov (APD) je andaluzijsko podjetje oglobila z 1200 evri, ker je od svojih zaposlenih, ki delajo na daljavo, zahtevalo, da posredujejo svojo osebno telefonsko številko, da bi jih lahko dodali v skupino podjetja na WhatsAppu.

Zaposleni bi teoretično lahko privolili v alternativo e-pošte ali jo izbrali, vendar jih je podjetje spodbujalo k uporabi WhatsAppa za nemoten potek komunikacije.

APD je ponovil, da soglasje ni veljavna pravna podlaga v razmerju med delodajalcem in delodajalcem.

Tudi v Španiji je APD podjetju Carrefour naložil globo v višini 3,2 milijona evrov, ker ni zaščitilo dostopa do računov svojih strank.

Podjetje je bilo obsojeno, čeprav poverilnice, uporabljene pri vdoru, niso bile ukradene neposredno od njega, temveč zato, ker ni izpolnilo svoje dolžnosti skrbnega ravnanja in ker mu varnostni sistemi niso omogočali zaznavanja množičnih napadov z zelo velikega števila naslovov IP.

Italijanski organ za varstvo podatkov (APD) je ameriško podjetje Luka Inc, ponudnika "virtualnega spremljevalca" "Replika AI", oglobil s 5 milijoni evrov zaradi nezakonite obdelave osebnih podatkov, kršitve pravil o preglednosti in neizvajanja učinkovitih mehanizmov za preverjanje starosti uporabnikov.

Poljski organ za varstvo podatkov (APD) je poljskemu ministru za digitalizacijo naložil globo v višini 100.000 PLN (23.448,50 EUR) in poljski pošti v višini 27.124.816 PLN (6.444.174 EUR) zaradi nezakonite obdelave osebnih podatkov približno 30 milijonov državljanov za omogočanje glasovanja po pošti na splošnih volitvah.

 

Avstralska vlada je objavila standardne klavzule v zvezi z umetno inteligenco.

Te klavzule se nanašajo na pogoje nakupa sistemov umetne inteligence in zagotavljajo, da so kupljeni in implementirani odgovorno, etično in varno. Njihov cilj je zmanjšati tveganja ter spodbujati preglednost in odgovornost pri uvajanju umetne inteligence.

Poročilo, ki ga je 5. junija objavila organizacija Privacy Laws and Business, kaže, da številne afriške države sprejemajo zakone o varstvu osebnih podatkov v družbeno-ekonomskem okolju, ki se popolnoma razlikuje od tistega v Evropi ali Severni Ameriki.

»Afrika je vodilna celina za uporabo mobilnega denarja, saj ima več kot 1,1 milijarde registriranih računov, kar predstavlja več kot polovico svetovnega števila. Posledično se prednostne naloge politike zasebnosti v afriških državah nujno razlikujejo od tistih v evropskih državah.«

Za avtorja ta drugačen družbeno-ekonomski kontekst pomeni, da bi morale ocene EU o "primernosti" za Kenijo in druge države v Afriki, Aziji in Latinski Ameriki do neke mere upoštevati nacionalne okoliščine.

Predsednik Združenih držav je 19. maja podpisal zakon "Take It Down Act", katerega namen je blokirati intimne slike brez privolitve in ki zajema tudi "deepfake" z umetno inteligenco.

»Take It Down« je kratica za »Tools to Address Known Exploitation by Immobilizing Technological Deepfakes On Websites and Networks Act« (Zakon o orodjih za odpravljanje znanih izkoriščanj z imobilizacijo tehnoloških ponaredkov na spletnih straneh in omrežjih).

Google se je strinjal, da bo zvezni državi Teksas plačal 1,375 milijarde dolarjev za poravnavo dveh tožb, v katerih se podjetje obtožuje sledenja lokacijam uporabnikov, iskanja v "anonimnem načinu" ter glasovnih in obraznih podatkov brez njihovega dovoljenja.

Družba je menda izjavila, da se je v sodnem postopku poravnala brez priznanja krivde ali odgovornosti in brez potrebe po spreminjanju svojih izdelkov, ter da so se njene prakse od dogodkov spremenile.

Medtem pa raziskave, objavljene 3. junija, kažejo, da Meta in rusko podjetje Yandex sledita brskanju po spletu uporabnikov Androida, tudi v načinu brez beleženja zgodovine ali z VPN-jem, tako da izkoriščata lokalna vrata za povezovanje dejavnosti brskanja s povezano identiteto.

Google pravi, da preiskuje to zlorabo, ki Meta in Yandexu omogoča pretvorbo kratkotrajnih spletnih identifikatorjev v trajne identitete uporabnikov mobilnih aplikacij.