Pravna ura št. 62 – avgust 2023.

DMA, DSA: nove obveznosti tehnoloških velikanov.

V začetku septembra se širi zaščita pravic spletnih uporabnikov z uporabo zakona o digitalnih storitvah na večjih platformah in objavo seznama podjetij, za katera velja zakon o digitalnih trgih.

• Od 25. avgusta se evropska uredba o digitalnih storitvah (DSA) uporablja za zelo velike spletne platforme (VLOP) in zelo velike spletne iskalnike (VLOS).

Uredba se bo od 17. februarja 2024 uporabljala tudi za vse posrednike, ki ponujajo svoje storitve uporabnikom s sedežem v EU, vključno s spletnimi platformami, kot so trgovine z aplikacijami, platforme sodelovalnega gospodarstva in platforme družbenih medijev, z bolj omejenimi obveznostmi.

Za mala in srednje velika podjetja ter mikropodjetja so določene dodatne izjeme.

V kategorijo VLOP-jev in VLOSE-jev spada devetnajst podjetij, v skladu z odločitvijo Evropske komisije z dne 25. aprila, vključno s TikTokom, Facebookom, X-om, Snapchatom, YouTubom in Google Searchom, vplivnimi spletnimi trgovci, kot sta Amazon in Zalando, ter dvema glavnima spletnima iskalnikoma Bing in Google Search.

Ta podjetja bodo morala izpolnjevati vrsto obveznosti glede preglednosti, zaščite mladoletnikov, moderiranja vsebin in spoštovanja zasebnosti.

Zlasti bodo morali prepoznati in oceniti sistemska tveganja, ki izhajajo iz njihovih storitev, vključno z algoritmičnimi sistemi, kot so:

• Distribucija nezakonitih vsebin
• Negativni učinki na uveljavljanje temeljnih pravic
• Negativni učinki na državljanski diskurz in volilne procese;
• Negativni učinki na nasilje na podlagi spola, varovanje javnega zdravja in mladoletnike;
• Resne negativne posledice za telesno in duševno počutje osebe.

Več obveznosti iz DSA se prekriva z obveznostmi iz GDPR. Te so navedene v nedavnem članku foruma »Prihodnost zasebnosti«.

Na primer, obstajajo podobne ali dopolnilne obveznosti glede „temnih vzorcev“, ciljnega oglaševanja na podlagi občutljivih podatkov ali v zvezi z mladoletniki, preglednosti, profiliranja, analize tveganja in odstranjevanja nezakonitih vsebin.

Nadzorni postopki so zapleteni in lahko vplivajo na postopke iz GDPR: za razliko od slednje, ki zagotavlja regulacijo predvsem na nacionalni ravni z usklajevanjem s strani Evropskega odbora za varstvo podatkov v čezmejnih primerih, DSA centralizira nadzor na ravni EU v zvezi z VLOP in VLOSE, hkrati pa daje državam članicam odgovornost za druge vmesne ponudnike storitev.

Upajmo, da bo vzpostavljeno usklajevanje med temi različnimi organi, da bi usmerjali tako zadevna podjetja kot posameznike, ki želijo sprožiti sodne postopke.

• Čeprav Zakon o digitalnih trgih velja od maja, je Komisija 6. septembra objavila seznam šestih tehnoloških velikanov, "vratarjev", ki bodo morali upoštevati njegova načela. To so Alphabet, Amazon, Apple, ByteDance, Meta in Microsoft.

Komisija navaja, da je prizadetih skupno 22 osnovnih platformnih storitev, ki jih upravlja teh šest skrbnikov.

Glavni cilj je preprečiti tem podjetjem, da bi izkoristila svoj prevladujoči položaj.

Besedilo torej prepoveduje samosklicevanje ali obveznost, da profesionalni uporabniki uporabljajo le storitve ali izdelke zadevnega podjetja.

Vratarji prav tako ne morejo poslovnim uporabnikom prepovedati ponujanja in promocije konkurenčnih storitev in so dolžni z njimi deliti informacije, ki nastanejo z uporabo njihove platforme.

Načrtujejo se tudi posebne zahteve glede interoperabilnosti za spletne storitve sporočanja ter možnosti za operacijske sisteme, brskalnike, iskalnike in virtualne asistente.

Poleg tega je "vratarjem" prepovedano slediti in profilirati uporabnike za namene ciljanega oglaševanja, razen če pridobijo njihovo soglasje, in jim preprečevati odstranitev prednaloženih aplikacij.

Nekatere od teh obveznosti zato krepijo tiste, ki jih določa Zakon o digitalizaciji podatkov (DSA) v smislu varstva uporabnikov, zlasti glede profiliranja.

Več podjetij, kot so TikTok, Meta in Google, je že spremenilo svoje pogoje storitve.

Globi, ki jih določata DSA in DMA, lahko dosežeta 61 TP4T oziroma 101 TP4T prometa zadevnih podjetij.

V primeru ponavljajočih se kršitev DMA lahko kazen doseže 20% prometa ...

Zneski, ki presegajo 4%, določen v GDPR, in jih je zakonodajalec že ob sprejetju uredbe predstavil kot odvračilne.

 

In tudi

• CNIL pripravlja osnutek priporočila o sistemih, ki so v primeru kršitve varnosti zelo ogroženi, in začenja javno posvetovanje.

Njegov cilj je združiti vse napredne varnostne prakse v en sam dokument, ki je posebej namenjen tako imenovani "kritični" obdelavi, opredeljeni z naslednjima dvema kumulativnima meriloma:

• Obdelava je obsežna v smislu GDPR;
• Kršitev varnosti osebnih podatkov bi lahko imela zelo resne posledice za zadevne posameznike, za nacionalno varnost ali za družbo kot celoto.

Sodelovanje v posvetovanju je možno do 8. oktobra 2023.

• CNIL je 8. avgusta objavil informativno sporočilo o povezanih oddajnikih, da bi vsem, ki so žrtve zlorabe ali nezakonite uporabe, pomagal pri zaščiti.

Te oznake, ki omogočajo lociranje in iskanje predmetov (na primer ključev ali denarnice), se včasih uporabljajo za lociranje ljudi brez njihove vednosti.

• Pôle emploi je 23. avgusta sporočil, da so bili osebni podatki približno desetih milijonov ljudi, registriranih v njihovih datotekah, ukradeni po "dejanju kibernetske zlonamernosti".

Te podatke je zunanje izvajalo podjetje Majorel, ki je odgovorno za digitalizacijo dokumentov, ki so jih poslali iskalci zaposlitve.

To bi lahko vplivalo na ime in priimek, trenutni ali prejšnji status iskalca zaposlitve in številko socialnega zavarovanja.

Vendar pa "e-poštni naslovi, telefonske številke, gesla in bančni podatki" niso bili ogroženi.

 

Evropske institucije in organi

• Agencija Evropske unije za kibernetsko varnost (ENISA) bo 11. oktobra v sodelovanju z Evropsko komisijo organizirala forum o storitvah zaupanja in elektronski identifikaciji, da bi spremljala razvoj pravnega okolja, evropske digitalne denarnice in zaščite spletnih dejavnosti državljanov po vsej EU.

ENISA objavlja tudi smernice za pametne telefone: »SMASHING – Smernice za varen razvoj pametnih telefonov«.

Orodje ponuja zemljevid ukrepov za razvijalce aplikacij za pametne telefone, katerih cilj je zagotoviti razvoj varnih mobilnih aplikacij.

• Evropski inštitut za telekomunikacijske standarde (ETSI) je objavil poročilo z naslovom »Zaščita umetne inteligence (SAI); Avtomatizirana manipulacija multimedijskih predstavitev identitete«.

Dokument zajema tehnike, ki temeljijo na umetni inteligenci, za samodejno manipulacijo obstoječih identitetnih podatkov ali ustvarjanje lažnih identitetnih podatkov, predstavljenih v različnih medijskih formatih, kot so zvok, video in besedilo (deepfakes).

Opisuje različne tehnične pristope in analizira grožnje, ki jih predstavljajo globoki ponaredi v različnih scenarijih napadov.

Nato predlaga tehnične in organizacijske ukrepe za ublažitev teh groženj ter preuči njihovo učinkovitost in omejitve.

• V okviru svojega programa revizij za leto 2023 se EOVP osredotoča na vlogo pooblaščenih oseb za varstvo podatkov.

Članek, ki ga je IAPP objavil 31. julija, navaja referenčne odločitve evropskih organov za varstvo podatkov v zvezi z imenovanjem in usposobljenostjo pooblaščenih oseb za varstvo podatkov.

• Fitbit, ki je v lasti Googla, se v Evropski uniji sooča s pritožbami glede zasebnosti, saj naj bi podjetje nezakonito izvažalo uporabniške podatke, kar je v nasprotju s pravili EU o varstvu podatkov.

Pritožbe se nanašajo na Fitbitovo trditev, da so uporabniki privolili v mednarodni prenos svojih podatkov – v Združene države Amerike in drugam – medtem ko nevladna organizacija NOYB trdi, da podjetje uporabnike sili k privolitvi.

 

Novice iz držav članic Evrope.

• Na Nizozemskem je organ za varstvo podatkov (DPA) v svojem prvem poročilu z dne 1. septembra pozval k dodatnim ukrepom za nadzor tveganj, povezanih z algoritmi in umetno inteligenco, v pričakovanju prihajajoče evropske zakonodaje.

Da bi jih bolje nadzorovali, se morajo javni organi in podjetja soočiti z dvema izzivoma.

Prvič, tveganja, povezana s hitro integracijo inovacij umetne inteligence v družbo, kot so inteligentni klepetalni roboti.

Drugič, poročilo poudarja potrebo, da vse večje javne in zasebne institucije na Nizozemskem razumejo svojo uporabo algoritmov z visokim tveganjem – tistih, ki imajo znaten vpliv na življenja posameznikov. Poročilo navaja ukrepe, ki jih je treba izvesti.

• Španski organ za varstvo podatkov (APD) je medijsko podjetje oglobil z 20.000 evri, ker je objavilo fotografijo, posneto z zasebnega Instagram profila osebe, in jo na blogu z njenim imenom in starostjo, kar je v nasprotju s členom 6(1) GDPR.

Prav tako je družbi Fourth Party Logistics SL naložila globo v višini 120.000 EUR (zmanjšano na 72.000 EUR) zaradi nezakonitega oddajanja del podizvajalcem zaradi neformalizacije pogodb in neobstoja predhodnih dovoljenj za formalizacijo.

• Na Hrvaškem je bila fotografija, na kateri je bil identificiran policist, objavljena kot komentar k videoposnetku policijske operacije, ki je bil deljen v javni skupini na Facebooku.

APD je ugotovil kršitev člena 5(1)(b) in člena 6(1) GDPR ter odredil odstranitev fotografije.

• V podobnem kontekstu je ciprski organ za varstvo podatkov lokalnemu časopisu naložil globo v višini 7.000 evrov zaradi kršitve člena 5(1)(c) in člena 6 GDPR: časopis je objavil imena in fotografije policistov na dolžnosti.
• V okviru skupne preiskave so organi za varstvo podatkov v baltskih državah revidirali in sankcionirali podjetje za najem avtomobilov.

Pri izračunu globe je latvijski organ za varstvo podatkov kot oteževalno okoliščino izpostavil popolno nesodelovanje upravljavca podatkov.

Sprva je menila, da je primerna globa v višini 15.000 evrov. Vendar je zaradi finančnih težav, s katerimi se je soočal upravljavec podatkov, in visokega tveganja insolventnosti globo na koncu znižala na 1.000 evrov.

• Novi švicarski zvezni zakon o varstvu podatkov je začel veljati 1. septembra.

Med novimi določbami, ki jih je navdihnila GDPR, so ocene učinka za obdelavo občutljivih podatkov, evidence dejavnosti obdelave, imenovanje pooblaščene osebe za varstvo podatkov (DPO) in poročanje o kršitvah varnosti podatkov. Koncept »vgrajene zasebnosti« je zdaj izrecno omenjen.

 

• Dvanajst mednarodnih regulatorjev za varstvo podatkov in zasebnosti iz obeh Amerik, Evrope, Afrike in azijsko-pacifiške regije je 24. avgusta sporočilo, da od platform družbenih medijev in drugih spletnih mest pričakujejo, da se bodo zaščitile pred nezakonitim pridobivanjem podatkov (»spletno strganje«).

Ta objava ponavlja nasvete, ki so jih regulatorji, kot so Avstralska informacijska komisija, CNIL in Urad informacijskega pooblaščenca Združenega kraljestva, podali po preiskavah praks ravnanja z osebnimi podatki in obveznosti obveščanja o kršitvah podatkov družbe Clearview AI, Inc.

• V Združenih državah Amerike so Agencija za kibernetsko varnost in varnost infrastrukture (»CISA«), Agencija za nacionalno varnost (»NSA«) in Nacionalni inštitut za standarde in tehnologijo (»NIST«) 21. avgusta objavili skupni informativni list o pripravljenosti na kvantno računalništvo, da bi opozorili organizacije, zlasti tiste, ki podpirajo infrastrukturne sektorje.

kritike – o grožnjah kvantnega računalništva in spodbuditi te organizacije, da začnejo načrtovati prihodnjo migracijo na postkvantne kriptografske standarde („PQC“).

• Ameriška vlada uvaja program Cyber Trust Mark za označevanje varnosti interneta stvari.
• V Združenih državah Amerike kršitev podatkov vpliva tudi na Teslo: prizadetih je 75.000 ljudi.

Dva nekdanja zaposlena pri Tesli sta časopisu Handelsblatt posredovala osebne podatke in kontaktne podatke drugih zaposlenih.

Podjetje je o kršitvi varnosti obvestilo generalnega državnega tožilca Maina in prizadetim ponudilo storitve zaščite pred krajo identitete.

Aprila 2023 so si zaposleni ogledali in delili zasebne videoposnetke, ki so jih posneli avtomobili Tesla strank, vzeti iz varnostnih sistemov Sentry Mode v vozilih.

Tesla ni edino podjetje, ki izraža pomisleke glede zasebnosti.

Študija, ki jo je 5. septembra objavila fundacija Mozilla, opisuje avtomobile 25 proizvajalcev avtomobilov kot "nočne more na kolesih, ko gre za zasebnost podatkov".

Fundacija je ocenila politike in prakse 25 proizvajalcev avtomobilov in opozorila, da lahko zbirajo in komercialno izkoriščajo veliko več kot le zgodovino lokacij, vozne navade, zgodovino navigacije v avtomobilu in glasbene preference uporabnikov.

Nekateri proizvajalci lahko obdelujejo zelo osebne podatke, kot so – odvisno od politike zasebnosti – spolna aktivnost, priseljenski status, rasa, izrazi obraza, teža, zdravje in celo genetske informacije.

Poleg tega več kot polovica proizvajalcev prodaja podatke tretjim osebam.

• Na Kitajskem so bile 25. avgusta 2023 objavljene nove smernice glede označevanja vsebin, ustvarjenih z umetno inteligenco: Kitajski nacionalni tehnični odbor za standardizacijo informacijske varnosti (»TC260«) je objavil končno različico dokumenta »Praktične smernice za standarde kibernetske varnosti – Metoda za označevanje vsebin v generativnih storitvah umetne inteligence«.
• Kanada objavlja tudi kodeks ravnanja za generativno umetno inteligenco in spodbuja prispevke k svojemu dokumentu.
• V Indiji je bil Zakon o varstvu digitalnih osebnih podatkov iz leta 2023 objavljen v uradnem listu 12. avgusta.

Čeprav je ta zakon dobrodošel, ker zagotavlja zaščito podatkov 760 milijonov uporabnikov interneta, pa sproža tudi kritike glede ravni ponujene zaščite, zlasti glede na prelomno sodbo v zadevi Puttaswamy, ki je pred petimi leti v Indiji vzpostavila pravico do zasebnosti.

• Apple je 31. avgusta napovedal opustitev razvoja funkcije skeniranja iCloud za prepoznavanje vsebin otroške pornografije (CSAM).

Podjetje se zdaj osredotoča na nabor orodij in virov na uporabniških napravah, znanih kot »funkcije varnosti komunikacije«.

Po sodelovanju z vrsto raziskovalcev na področju varnosti in zasebnosti, skupinami za digitalne pravice in zagovorniki varnosti otrok je podjetje sklenilo, da ne more nadaljevati z razvojem mehanizma za skeniranje v oblaku, četudi bi bil zasnovan posebej za ohranjanje zasebnosti. 

"Analiza zasebnih podatkov iCloud vsakega uporabnika bi ustvarila nove vektorje groženj, ki bi jih tatovi podatkov lahko našli in izkoristili. Prav tako bi ustvarila tveganje za neželene posledice. Iskanje ene vrste vsebine na primer odpira vrata množičnemu nadzoru in bi lahko ustvarilo željo po iskanju drugih šifriranih sistemov za sporočanje za vse vrste vsebin."

To javno stališče je pomembno v trenutnih okoliščinah, saj Združeno kraljestvo, EU in ZDA pripravljajo zakonodajo, katere cilj je uvesti obsežno preverjanje spletnih akterjev v okviru boja proti kibernetski kriminaliteti na splošno in zlasti zaščite otrok na spletu.