DSA – DMA : deux piliers de la stratégie numérique européenne.

DSA – DMA: dva stebra evropske digitalne strategije.

Pravna ura št. 46 – April 2022

DSA – DMA: dva stebra evropske digitalne strategijeOd sklenitve političnega sporazuma v noči z 22. na 23. april je DSA oziroma Zakon o digitalnih storitvah predmet številnih komentarjev v digitalnem svetu.

Ta zakonodaja o digitalnih storitvah je pravzaprav skupaj z zakonodajo o digitalnih trgih (Zakon o digitalnih trgih) v središču evropskega sistema, ki ga je Evropska komisija predstavila 15. decembra 2020.

Cilj te strategije je ustvariti enakovrednejše pogoje in narediti spletne platforme bolj odgovorne za vsebine, ki jih objavljajo.

Zlasti si Zakon o digitalnih storitvah prizadeva za večjo preglednost in varnost digitalnega okolja z opredelitvijo odgovornosti ponudnikov digitalnih storitev.

Dopolnjevala bo evropsko direktivo o e-trgovini in druga besedila, kot je uredba o "platformah za podjetja", ter sektorske določbe, ki urejajo na primer moderiranje spletnega sovražnega govora, terorizma, diskriminacije ali avtorskih pravic.

DSA se bo uporabljal za platforme, kot so iskalniki, družbeni mediji ali platforme za e-trgovino. 

To besedilo je bilo predmet številnih razprav in pritiskov, tako s strani civilne družbe, ki je zahtevala dovolj široko področje uporabe, kot s strani akterjev digitalnega gospodarstva, katerih zahteve so šle v nasprotno smer.

Predvsem se je pojavilo vprašanje obsega regulacije "temnih vzorcev" in drugih mehanizmov, katerih cilj je vplivanje na vedenje obiskovalcev (glej naše pismo št. 45).

Zdi se, da doseženi politični dogovor vzpostavlja ravnovesje med nadzorom hipercentraliziranega platformnega gospodarstva na eni strani in spoštovanjem temeljnih pravic, svobode izražanja in nediskriminacije posameznikov na drugi.

Posebej velja omeniti naslednje elemente:

  • Mehanizem za pritožbe bi moral ljudem, ki so odkrili potencialno nezakonito vsebino, omogočiti, da od gostitelja dobijo odgovor v skladu s preglednim postopkom in brez spreminjanja slednjega v policijske pomočnike.
  • Ciljno oglaševanje bo omejeno, brez uporabe občutljivih uporabniških podatkov.
  • Prepovedani bodo tudi temni vzorci – vključitev piškotkov v to prepoved je negotova.
  • Mehanizem za odzivanje na krize, uveden v okviru vojne v Ukrajini, Komisiji omogoča, da v posvetovanju z nacionalnimi regulatorji razglasi stanje digitalnih izrednih razmer.

Upoštevajte, da se ti ukrepi nanašajo na platforme, zato stanje glede spletnih mest na splošno ostaja nespremenjeno.

Kljub temu zanje še vedno veljajo določbe GDPR in evropske direktive o elektronskih komunikacijah.

DMA dopolnjuje digitalno strategijo s posebnim osredotočanjem na "upravljavce dostopa" na digitalnih trgih oziroma "varuhe vrat". ki imajo močan gospodarski položaj v Evropski uniji in ki povezujejo veliko uporabniško bazo z velikim številom podjetij.

O tem besedilu je bil 25. marca dosežen tudi politični dogovor, ki je pojasnil področje uporabe DMA: koncept zajema digitalne tržnice, trgovine z aplikacijami, iskalnike, družbena omrežja, storitve v oblaku, oglaševalske storitve, glasovne asistente in spletne brskalnike.

DMA si prizadeva zagotoviti, da se te platforme na spletu obnašajo pošteno.

Na primer, zagotoviti bodo morali interoperabilnost osnovnih funkcionalnosti svojih storitev za takojšnje sporočanje.

Poleg tega ne bodo več mogli:

  • Promocija lastnih izdelkov ali storitev v škodo izdelkov ali storitev drugih (samo-sklicevanje)
  • Ponovna uporaba zasebnih podatkov, zbranih med eno storitvijo, za namene druge storitve
  • Vzpostavitev nepoštenih pogojev za profesionalne uporabnike
  • Prednamestite določene programske aplikacije
  • Zahteva, da razvijalci aplikacij uporabljajo določene storitve (npr. plačilne sisteme ali ponudnike identitete), da bi bili navedeni v trgovinah z aplikacijami

Vendar je treba omeniti pomisleke, ki jih je od takrat izrazilo več kot 40 predstavnikov sektorja konkurence in varstva podatkov: v tednu od 21. aprila so objavili pismo, v katerem so pojasnili svoje pomisleke glede preveč nejasnega besedila, ki bi zadevnim podjetjem omogočilo, da združijo vse podatke, ki jih imajo v lasti, z enim samim soglasjem, medtem ko GDPR zahteva pravno podlago za vsako vrsto obdelave, ki se izvaja.

Sporazumi o dejstvenem prometu (DMA), tako kot DSA, še niso dokončni: pred sprejetjem jih je treba odobriti na plenarnem zasedanju Evropskega parlamenta.

Medtem in glede na tveganje Evropa ne izgublja časa: menda namerava odpreti pisarno v San Franciscu za sodelovanje s tehnološkimi velikani Silicijeve doline, istimi podjetji, ki bodo v skladu z novimi digitalnimi pravili podvržena strogemu nadzoru.

In tudi

Francija:

  • Študija, ki jo je sredi aprila objavila novinarska šola Sciences Po, kaže, da 184 spletnih mest francoske javne uprave uporablja Google Analytics, kljub posledicam, ki so jih poudarili CNIL in njegovi kolegi glede prenosov v Združene države.

Ta mesta vključujejo mesta državnega sveta, carine in predsedstva.

  • CNIL objavlja vire o umetni inteligenci za različno občinstvo. : za strokovnjake opomnik načel in stališč CNIL ter vodnik za samoocenjevanje; za širšo javnost viri za boljše razumevanje problematike; in končno, za strokovnjake informacije in študije o problematiki in najsodobnejšem stanju tehnike.
  • V začetku aprila je CNIL spremenila svoje represivne postopke in uvedla poenostavljen postopek za manj zapletene primere: brez sestanka kolegija ali javne seje, razen na zahtevo zadevne organizacije.

Sankcije, ki se lahko naložijo v tem kontekstu, so omejene: opozorila, globe do 20.000 EUR in odredba z denarno kaznijo, omejeno na 100 EUR na dan zamude.

Te sankcije niso javno objavljene.

  • Ožji odbor CNIL je 15. aprila 2022 izdal Globa 1,5 milijona evrov proti podjetju Dedalus Biologie zaradi varnostnih pomanjkljivosti, ki so privedle do uhajanja zdravstvenih podatkov skoraj 500.000 ljudi.

Med operacijami migracije programske opreme so bile ugotovljene tehnične in organizacijske varnostne pomanjkljivosti.

Evropa:

Evropska komisija je začela svojo predlog za evropski prostor zdravstvenih podatkov (EHDS).

Namen predloga je olajšati dostop državljanov do njihovih zdravstvenih podatkov v elektronski obliki in jih deliti z drugimi zdravstvenimi delavci v EU, hkrati pa pod strogimi pogoji omogočiti dostop do teh podatkov raziskovalcem, inovatorjem, javnim ustanovam ali podjetjem.

Vsaka država članica bo morala imenovati organ za digitalno zdravje, ki bo sodeloval v čezmejni digitalni infrastrukturi (MyHealth@EU).

Evropski odbor za varstvo podatkov (EDPB)

  • Evropski odbor za varstvo podatkov (EDPB) je 6. aprila 2022 objavil izjava o osnutku transatlantskega okvira za varstvo podatkov.

Ta izjava sledi načelnemu dogovoru med Evropsko komisijo in Združenimi državami Amerike, ki je bil objavljen 25. marca 2022.

EOVP poudarja, da ta objava ne predstavlja pravnega okvira, na katerem bi lahko izvozniki podatkov utemeljili svoje prenose.

Še naprej morajo izvajati ukrepe, potrebne zlasti za skladnost s sodbo Sodišča Evropske unije v zadevi Schrems II.

  • EOVP je 28. aprila objavil tudi skupno stališče glede sodelovanje med organi za varstvo podatkov pri nadzornih zadevah skladnost z GDPR.

Dokument potrjuje pripravljenost organov za varstvo podatkov, da okrepijo svoje sodelovanje z opredelitvijo čezmejnih vprašanj strateškega pomena, spodbujanjem skupnih preiskav, izmenjavo informacij in izboljšanjem nekaterih postopkovnih pravil.

Evropski nadzornik za varstvo podatkov (EDPS)

TA Evropski nadzornik za varstvo podatkov (EDPS) organizira konferenco v Bruslju 16. in 17. junija, osredotočeno na skladnost z GDPR v digitalnem svetu.

CPDP

Omeniti velja tudi letno akademsko konferenco CPDP (Računalniki, zasebnost in varstvo podatkov), ki je bila letos prestavljena na 23.–25. maj. Program je strukturiran okoli teme "Doba inteligentnih strojev".

Evropski parlament

19. aprila je Preiskovalna komisija Pegasus Evropski parlament je začel svoje delo.

Komisija ima dvanajst mesecev časa, da pripravi poročilo o vohunski programski opremi, ki jo več vlad uporablja za vohunjenje številnih javnih osebnosti, politikov, novinarjev in aktivistov.

Sodišče Evropske unije

Dve pomembni postaji Sodišče Evropske unije so bili objavljeni prejšnji mesec:

  • Sodišče je 5. aprila potrdilo svojo sodno prakso, da podatkov elektronskih komunikacij (vključno s podatki o lokaciji) ni mogoče hraniti na splošno in nediskriminatorno za boj proti hudim kaznivim dejanjem.
  • Sodišče je 28. aprila izrecno priznalo, da lahko združenja za varstvo potrošnikov vložijo reprezentativne tožbe zaradi kršitev varstva osebnih podatkov, ne glede na dejansko kršitev pravice posameznika, na katerega se nanašajo osebni podatki, do varstva podatkov in če za to ni bilo izdano pooblastilo.

Španski organ za varstvo podatkov naložil globo v višini 1500 evrov osebi, ki je namestila video nadzorno kamero, obrnjeno proti javni cesti in v bližini zasebnih domov, brez informativnega plakata in v nasprotju s členoma 5(1)(c) in 13 GDPR.

Nizozemska agencija za varstvo podatkov je ministrstvu za zunanje zadeve naložila globo v višini 565.000 evrov. zaradi nezadostnih varnostnih ukrepov in pomanjkanja ustreznih informacij za zadevne osebe v okviru vlog za vizum.

Madžarski organ za varstvo podatkov je banki naložil 670.000 evrov globe zaradi nezakonite uporabe umetne inteligence.Banka je izvedla avtomatske analize zvočnih posnetkov svojih storitev za stranke.

Danski organ za varstvo podatkov je banki Danske Bank naložil globo v višini 1.345.000 evrov zaradi neupoštevanja postopkov hrambe in brisanja podatkov. v več kot 400 računalniških sistemih, v katere je vpletenih več milijonov ljudi. Primer je tudi predmet policijske preiskave.

V Belgiji je DPA naložil globo v višini 200.000 evrov bruseljskemu letališču Zaventem in 100.000 evrov letališču Brussels South Charleroi. za merjenje temperature potnikov, ki se izvaja v okviru boja proti COVID-19 brez veljavne pravne podlage.

Mednarodno:

Obstajajo pomisleki glede zmogljivosti poslušanja in snemanja pametnih zvočnikov.

Akademska študija, objavljena konec aprila, podrobno opisuje Amazonovo uporabo podatkov, ki jih je Alexa zbrala za namene ciljanja oglaševanja, in vrednotenje teh podatkov, ki se preprodajajo za tridesetkrat več kot drugi podatki.

Sredi aprila je irski komisar za človekove pravice izrazil enake zadržke ministru za pravosodje, tokrat glede ponovne uporabe teh podatkov v okviru policijskih preiskav.

Ameriška državna sekretarka Gina M. Raimondo je 21. aprila izdala izjavo o ustanovitvi »Globalnega foruma CBPR«.

Namen tega foruma je olajšati prenos osebnih podatkov in komercialnih dejavnosti med Združenimi državami Amerike, Kanado, Japonsko, Republiko Korejo, Filipini, Singapurjem in Tajvanom.

Upoštevajte, da pravila o čezmejni zasebnosti (CBPR) obstajajo že približno deset let, certificirana podjetja pa so večinoma v Združenih državah Amerike.

OECD namerava razviti okvir za zaupanja vreden dostop vlade do podatkov zasebnega sektorja.

Ta tema je ena od prednostnih nalog mednarodne organizacije za leto 2022, skupaj z lokalizacijo podatkov in mednarodnimi prenosi osebnih podatkov.

Anne Christine Lacoste

Anne Christine Lacoste, partnerica pri Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in delala na izvajanju GDPR v Evropski uniji.

Odkrijte Viqtor®
sl_SISL
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL