Pravna ura št. 75 – september 2024.  

Anonimizacija ali psevdonimizacija: kvalifikacije, ki se sčasoma razvijajo?

CNIL je 5. septembra 2024 Cegedimu Santéju naložil globo v višini 800.000 evrov zaradi obdelave zdravstvenih podatkov brez dovoljenja.

Nadzorni organ ugotavlja, da so ti podatki ostali prepoznavni, čeprav so bili predstavljeni kot anonimni.

Ta sankcija nam daje priložnost, da pregledamo podrobnosti GDPR glede anonimizacije in psevdonimizacije podatkov.

Cegedim izdaja in prodaja programsko opremo za upravljanje splošnim zdravnikom, ki delajo v zasebnih ordinacijah in zdravstvenih centrih.

Ti programi omogočajo zdravnikom upravljanje urnikov, pacientovih kartotek in receptov.

Stranke imajo dostop tudi do baze podatkov, ki omogoča izdelavo študij in statistik na področju zdravja.

Preverjanja, ki jih je leta 2021 izvedla CNIL, so predvsem pokazala, da so bili podatki, ki jih je podjetje obdelovalo – brez predhodnega dovoljenja – psevdonimni zdravstveni podatki, zato prepoznavni.

Samo popolnoma anonimni podatki so izvzeti iz obveznosti GDPR.

Vendar je postopek anonimizacije še posebej zahteven.

V tem konkretnem primeru je Cegedim uvedel postopek za izbris identifikatorjev, v okviru prejšnjih ugotovitev iz leta 2012 pa je tudi CNIL menil, da so bili obdelani podatki dejansko anonimni.

Komisija je danes ponovno preučila te ugotovitve in navedla, da je treba pri oceni morebitne ponovne identifikacije podatkov upoštevati trenutni kontekst doktrine in sodne prakse.

Tako podatki, ki so bili anonimni pred desetimi leti, morda niso nujno anonimni danes: »Da bi ugotovili, ali je razumno verjetno, da se bodo sredstva uporabila za identifikacijo fizične osebe, je treba upoštevati vse objektivne dejavnike, kot so stroški identifikacije in čas, potreben zanjo, ob upoštevanju tehnologij, ki so bile na voljo v času obdelave, in njihovega razvoja.«

Natančneje, CNIL je – tako kot njegovi evropski kolegi od leta 2014 – določil zahteve, ki jih je treba upoštevati v okviru postopka anonimizacije.

Pojasnjuje glavne tehnike anonimizacije:

• randomizacija (katere cilj je spremeniti atribute v naboru podatkov tako, da so manj natančni, hkrati pa ohraniti celotno porazdelitev) in
• posplošitev (ki je sestavljena iz spreminjanja obsega atributov naborov podatkov ali njihovega reda velikosti).

CNIL svetuje:

• Za identifikacijo informacij, ki jih je treba hraniti, glede na njihovo relevantnost.
• Odstraniti elemente neposredne identifikacije in redke vrednosti, ki bi lahko omogočile enostavno ponovno identifikacijo posameznikov;
• Razločiti pomembne informacije od sekundarnih ali neuporabnih informacij;
• Določiti idealno in sprejemljivo raven podrobnosti za vsak shranjen podatek.

Za zagotovitev, da je nabor podatkov resnično anonimen, se lahko uporabijo trije kriteriji:

1. Individualizacija: posameznika v naboru podatkov ne sme biti mogoče izolirati;
2. Korelacija: ne bi smelo biti mogoče povezati različnih nizov podatkov o isti osebi;
3. Sklepanje: ne bi smelo biti mogoče s skoraj gotovostjo sklepati o novih informacijah o posamezniku.

V primeru Cegedima merilo individualizacije ni bilo upoštevano: storitev je omogočala nenehno sledenje ljudem skozi čas z uporabo edinstvenega identifikatorja in povečanje podatkov o njih.

To je omogočilo izolacijo posameznika v naboru podatkov in s tem povečalo tveganje za odpravo psevdonimnosti.

Nazadnje je treba opozoriti, da lahko oseba, odgovorna za vzpostavitev skladišča zdravstvenih podatkov, le-to izvaja le po odobritvi CNIL ali pod pogojem, da je skladno s standardom.

V primeru oddaje del podizvajalcem mora odgovorna oseba v pogodbo o oddaji del podizvajalcem vključiti vse zahteve, potrebne za zagotovitev skladnosti s predpisi, zlasti glede varnosti podatkov.

V večini primerov kršitev podatkov, ki danes polnijo naslovnice (glej spodaj), je bil šibka povezava pri izvoru kršitve podizvajalec.

 

 

Sestava nove vlade je znana od 21. septembra, z nekaj novostmi glede digitalnih vprašanj.

"Digitalna suverenost" izgine iz naziva ministrstva za gospodarstvo in finance, digitalne zadeve pa so pripisane ministru za visoko šolstvo in raziskave.

Končno, naziv odgovornega sekretariata je zdaj: Umetna inteligenca in digitalna tehnologija.

Za Henrija d'Agraina, generalnega delegata Cigrefa (združenja, ki zastopa podjetja in vladne agencije v digitalnem sektorju), ta naziv »ne zajame pomena kontinuuma oblaka, podatkov in umetne inteligence, ki ga mora sprejeti vsaka resna javna politika na tem področju.« Dodaja, da je treba »poudarek na umetni inteligenci v tem nazivu upoštevati glede na ambicije Elizejske palače za vrh o akciji za umetno inteligenco, ki bo februarja 2025 v Parizu.«

Po javnem posvetovanju je CNIL 24. septembra objavil končno različico svojih priporočil za pomoč strokovnjakom pri oblikovanju mobilnih aplikacij, ki spoštujejo zasebnost..

Od leta 2025 naprej bo zagotovila, da se bodo te ustrezno upoštevale s posebno nadzorno kampanjo.

CNIL namerava pojasniti in urediti vlogo strokovnjakov ter zagotoviti kakovost informacij in soglasje uporabnikov mobilnih aplikacij.

Po SFR prejšnji mesec je zdaj na vrsti Free, da svoje stranke opozori na uhajanje podatkov.

Med podatki, do katerih je napadalec dostopal, so bili vsaj ime, priimek, telefonska številka in poštni naslov strank.

Poleg teh dveh operaterjev so bili sredi septembra številni francoski trgovci, vključno z Boulangerjem, Culturo, Truffautom in Grosbilom, žrtve vdora v njihove podatke o dostavi, ki jih je isti heker objavil in preprodajal na temnem spletu.

Tveganja za posameznike se običajno nanašajo na krajo identitete in pridobivanje podatkov, povezanih z njihovim naslovom.

Kar zadeva Culturo, specializirano za prodajo kulturnih izdelkov, je prav tako pricurljala vsebina nakupovalnih košaric, ki zagotavlja natančne informacije o bralnih navadah kupcev, kar ima lahko zelo vsiljive posledice.

V večini teh napadov je heker ciljal na ponudnika storitev vpletenih podjetij.

Socialni senat kasacijskega sodišča je 25. septembra izdal sodbo, s katero je razveljavil odpoved delovnega razmerja zaposlenega na podlagi prestrezanja elektronskih sporočil, poslanih z njegovega službenega naslova.

Sodišče opozarja, da ima „delavec pravico, tudi med delom in na delovnem mestu, do spoštovanja zasebnosti svojega zasebnega življenja“.

To še posebej zadeva zaupnost korespondence.

Delodajalec torej ne more uporabiti vsebine osebnih sporočil, ki jih je delavec poslal ali prejel z uporabo računalniškega orodja, ki je na voljo za delovne namene, za discipliniranje delavca, ne da bi pri tem kršil to temeljno svoboščino.

 

Evropske institucije in organi

Komisija je 25. septembra v Bruslju zbrala ključne akterje v sektorju umetne inteligence, da bi proslavili prvih 100 podpisov zavez pakta o umetni inteligenci.

Podpisniki so multinacionalne korporacije in mala ter srednje velika evropska podjetja iz različnih sektorjev. Meta in Apple tega pakta doslej še nista podpisala.

Prostovoljne zaveze v dokumentu pozivajo sodelujoča podjetja, da se zavežejo k izvedbi vsaj treh temeljnih ukrepov:

• Sprejmite strategijo upravljanja umetne inteligence za spodbujanje uporabe umetne inteligence znotraj organizacije in si prizadevajte za prihodnjo skladnost s predpisi o umetni inteligenci.
• Prepoznajte in kartirajte sisteme umetne inteligence, ki jih je mogoče v skladu z uredbo o umetni inteligenci uvrstiti med visoko tvegane.
• Ozaveščanje zaposlenih o umetni inteligenci.

Podjetja se spodbujajo k sprejetju drugih zavez, prilagojenih njihovim dejavnostim, vključno z zagotavljanjem človeškega nadzora, zmanjševanjem tveganj in preglednim označevanjem določenih vrst vsebin, ki jih ustvarja umetna inteligenca, kot so »deepfakes«.

Sodišče Evropske unije (SEU) je v sodbi z dne 4. oktobra (C 621/22) razsodilo, da je lahko poslovni interes "zakonit interes" v smislu člena 6(1)(f) GDPR, če ni v nasprotju z zakonom.

Čeprav se to stališče morda zdi očitno, na Nizozemskem nekaj let ni bilo več tako: po mnenju nizozemskega organa za varstvo podatkov (DPA) mora legitimni interes temeljiti na pravni podlagi.

Sodišče ponovno poudarja, da je takšna zahteva pretirana in da zadostuje, da namen ni v nasprotju z zakonom. Treba je opozoriti, da ta odločitev ne predstavlja brezhibne veljavnosti za vse trženjske prakse: vedno je treba pretehtati zadevne interese in pravice.

Prav tako je Sodišče EU 4. oktobra izdalo sodbo v zadevi C-446/21, v kateri podpira tožbo, vloženo proti družbi Meta glede njene storitve Facebook.

Vprašanja so se nanašala na omejitev uporabe osebnih podatkov za spletno oglaševanje in omejitev uporabe javno dostopnih osebnih podatkov na namene, ki so bili prvotno predvideni za objavo.

Istega dne je Sodišče EU v zadevi C-21/23 potrdilo tudi možnost, da konkurent podjetja vloži tožbo pred civilnim sodiščem na podlagi prepovedi nepoštenih poslovnih praks, da bi preprečil kršitev materialnih določb GDPR s strani tega konkurenta.

Treba je opozoriti, da sodna praksa v tem smislu v francoskem pravu že obstaja.

Sodišče EU je 26. septembra (zadeva C 768/21) razsodilo, da v primeru ugotovljene kršitve varnosti podatkov organi za varstvo podatkov niso dolžni izvajati korektivnih pooblastil v skladu s členom 58(2) GDPR, kadar to ni primerno, potrebno ali sorazmerno za odpravo ugotovljene pomanjkljivosti.

Po mnenju Sodišča se lahko organi za varstvo podatkov po analizi vseh okoliščin primera vzdržijo izvajanja takšnega korektivnega pooblastila, na primer kadar je upravljavec izvedel ustrezne tehnične in organizacijske ukrepe za zagotovitev, da se kršitev preneha in se ne ponovi.

Sodišče je v sodbi z dne 12. septembra (združeni zadevi C 17/22 in C 18/22) končno razsodilo, da ne le zakonodajni akt, temveč tudi nacionalna sodna praksa lahko določa pravno obveznost, da se delničarju razkrije identiteta vseh drugih zadevnih delničarjev v skladu s členom 6(1)(c).

Po pobudah v Franciji, Danski, Španiji in Nemčiji na področju spletnega preverjanja starosti so evropska nevladna organizacija EDRi in 63 organizacij, akademikov in strokovnjakov za zasebnost, šifriranje, varnost otrok, pravice spolnih delavcev in pravice potrošnikov 16. septembra objavili skupno izjavo.

Evropsko komisijo poziva, naj da prednost učinkovitim ukrepom za varnost otrok, hkrati pa izraža resne pomisleke glede ustreznosti, sorazmernosti in negativnega vpliva sedanjih predlogov na temeljne pravice.

 

Novice iz držav članic Evropske unije.

Resolucija, ki jo je 11. septembra objavila Konferenca neodvisnih organov za varstvo podatkov Nemčije (DSK), vsebuje praktična priporočila za okvir za prenos osebnih podatkov v okviru "poslov s premoženjem" glede osebnih podatkov, ki jih hranijo podjetja: podatki strank in potencialnih strank podjetja, njegovih zaposlenih, poslovnih partnerjev itd.

V Nemčiji je hamburška komisija za zaščito podatkov (DPA) sprejela kontroverzen dokument o velikih jezikovnih modelih (LLM).

Organ je tako sklenil, da LLM ne shranjujejo osebnih podatkov in da je ta sklep v skladu z mnenjem Sodišča EU.

Vendar pa lahko vhodni in izhodni podatki sistema umetne inteligence predstavljajo osebne podatke, za razliko od faze usposabljanja, s posledicami, ki jih to implicira: zahteve za dostop, izbris ali popravek se torej lahko nanašajo na te podatke.

V Belgiji se Flandrija distancira od zvezne vlade glede vprašanj varstva zasebnosti.

Časopis Le Soir je 1. septembra objavil, da je flamski minister-predsednik Jan Jambon 20. septembra, nekaj dni pred odhodom s položaja, svojim ministrom naročil, naj osnutkov odlokov in sklepov ne pošiljajo več Zveznemu organu za varstvo podatkov (APD), temveč njegovemu regionalnemu organu, Vlaamse Toezichtcommissie (VTC).

Pravzaprav je flamska vlada že od leta 2019 sistematično zaobšla APD s sprejemanjem svojih odlokov prek VTC, kljub sodbi ustavnega sodišča iz marca 2023, ki je opozorila, da mora flamska vlada za sprejetje besedil APD iti skozi.

Danes želi minister-predsednik formalizirati flamsko pristojnost: Evropski komisiji je poslal pismo, v katerem zahteva priznanje pristojnosti VTC v zvezi z GDPR.

Belgijski organ za varstvo podatkov (APD) je upravljavcu podatkov naložil globo v višini 100.000 evrov, ker se ni pravočasno odzval na zahtevo posameznika, na katerega se nanašajo osebni podatki, za dostop.

Kljub temu je APD zavrnil zahtevo zadevne osebe za prejem informacij o konkretnih zaposlenih, ki so dostopali do njenih podatkov.

Tudi v Belgiji je senat za spore pri APD 6. septembra zavrnil veljavnost mandata za zastopanje, ki ga je predložil Noyb v zadevi glede integracije skriptov Google Analytics v spletno mesto v času, ko je Sodišče EU razveljavilo zasebnostni ščit.

Senat za spore je menil, da je mandat predstavljal zlorabo pravic s strani Noyba.

V ločenem primeru je belgijski organ za varstvo podatkov (APD) kljub temu ugodil več pritožbam, ki jih je Noyb vložil leta 2023, in štirim večjim belgijskim spletnim mestom z novicami naročil, naj svoje pasice s piškotki uskladijo z GDPR.

Španski organ za varstvo podatkov je 2. oktobra objavil poročilo o obdelavi osebnih podatkov in preverjanju starosti otrok v digitalnem okolju.

Dokument zagovarja razvoj proaktivnih zaščitnih politik s strani storitev informacijske družbe.

Španska agencija za varstvo podatkov (APD) je finančno-tehnološko podjetje oglobila s 72.000 evri zaradi izvajanja nezadostnih ukrepov za preverjanje identitete strank, kar je goljufom omogočilo, da so na ime žrtve brez njene vednosti najeli posojilo.

Irska komisija za varstvo podatkov (DPC) je 27. septembra družbi Meta naložila globo v višini 91 milijonov evrov.

Odločitev se nanaša na ukrepe, ki jih je podjetje sprejelo za zagotovitev ravni varnosti, ki ustreza tveganjem, povezanim z obdelavo gesel, in obveznostjo dokumentiranja in obveščanja organa za varstvo podatkov o kršitvah varnosti podatkov.

Organ opozarja upravljavce podatkov, da morajo oceniti tveganja, povezana s shranjevanjem uporabniških gesel, in izvesti ukrepe za ublažitev teh tveganj.

APD je 12. septembra napovedal tudi začetek preiskave proti Googlu glede uporabe osebnih podatkov evropskih uporabnikov za razvoj modela umetne inteligence na področju prevajanja.

Preiskava se nanaša na model umetne inteligence "Pathways Language Model 2" (PaLM 2), ki ga je Google predstavil leta 2023, ne da bi bila opravljena analiza vpliva na varstvo podatkov.

V Italiji je APD dobavitelju energije naložil globo v višini 5.000.000 evrov, ker ni izvedel ustreznih ukrepov za zagotovitev skladnosti svojih podizvajalcev z GDPR.

To jim je omogočilo, da so sklepali pogodbe z zadevnimi ljudmi brez njihove vednosti.

Portugalski organ za varstvo podatkov (APD) je upravljavcu podatkov naložil globo v višini 107.000 evrov zaradi večkratnega pošiljanja neželenih komercialnih sporočil.

Upravljavec podatkov je bil odgovoren, čeprav je odpreme opravil podizvajalec z uporabo lastne baze podatkov.

 

Poročilo ameriške Zvezne komisije za trgovino (FTC), objavljeno 19. septembra, razkriva, da so se velika podjetja za družbene medije in pretakanje videoposnetkov vpletla v široko razširjen nadzor uporabnikov z ohlapnim nadzorom zasebnosti in neustrezno zaščito otrok in najstnikov.

Poročilo priporoča omejitev hrambe in deljenja podatkov, omejitev ciljnega oglaševanja in okrepitev zaščite najstnikov.

Kitajska vlada je 30. septembra objavila "Predpise o upravljanju varnosti omrežnih podatkov", ki bodo začeli veljati 1. januarja 2025. 

Namen besedila je urediti dejavnosti obdelave omrežnih podatkov, zaščititi pravice in legitimne interese posameznikov in organizacij ter zaščititi nacionalno varnost in javne interese.

Tudi na Kitajskem je Nacionalni tehnični odbor za standardizacijo informacijske varnosti (TC260) objavil okvir za upravljanje informacijske varnosti v zvezi z umetno inteligenco.

Dokument vsebuje vrsto načel in ponuja uporabno klasifikacijo tveganj, povezanih z umetno inteligenco, in tehnološke ukrepe za njihovo obravnavo.

IBM je objavil poročilo o stroških kršitev podatkov za leto 2024.

Med sklepi poročila velja omeniti:

• Povprečni skupni stroški kršitve podatkov znašajo 4,88 milijona dolarjev, kršitve podatkov pa so najdražje v Združenih državah Amerike.
• Pomanjkanje znanj in spretnosti na področju kibernetske varnosti se je poslabšalo,
• Skoraj polovica kršitev se nanaša na osebne podatke (46 %) ali zapise intelektualne lastnine (43 %),
• Posredovanje organov pregona zmanjša stroške izsiljevalske programske opreme v povprečju za milijon dolarjev.
• Za odkrivanje in zajezitev kršitev, povezanih z ukradenimi poverilnicami, je potrebnih 292 dni.

Instagram zdaj ponuja najstniške račune s strožjimi varnostnimi nastavitvami, ki staršem omogočajo, da omejijo uporabo aplikacije.

Najstniški računi so zasnovani posebej za zaščito mladoletnikov pred škodljivo vsebino in neželenimi stiki, hkrati pa skrajšajo čas, porabljen za uporabo aplikacije.