Pravna ura št. 84 – junij 2025. 

Obogatene kamere: CNIL postavlja nove smernice.

CNIL je 11. julija menil, da uporaba "izboljšanih" kamer za ocenjevanje starosti strank v tobačnih trgovinah z namenom nadzora prodaje izdelkov, ki so prepovedani mladoletnikom, ni niti potrebna niti sorazmerna.

Te kamere so predstavljene kot orodje za odločanje. Zanašajo se na algoritem umetne inteligence, ki je privzeto aktiviran in skenira obraz vseh v njihovem vidnem polju, da oceni, ali so mladoletniki ali odrasli.

CNIL (francoski organ za varstvo podatkov) ugotavlja, da morajo prodajalci tobaka od svojih strank sistematično zahtevati dokazilo o starosti, ker "izboljšana" kamera izvaja le oceno, da bi izpolnili svoje obveznosti. "Posledično se predhodna analiza obraza s kamero za oceno starosti ne zdi potrebna: to bi le dopolnilo preverjanja, ki jih zahteva zakon."

CNIL opozarja na nesorazmerno uporabo glede na zastavljeni cilj, ki vodi do snemanja vseh ljudi, tudi tistih, ki so očitno odrasli, in ljudem preprečuje uveljavljanje pravice do ugovora.

Prav tako meni, da namestitev kamer v bivalne prostore, kot so prodajalne tobaka, prispeva k tveganju trivializacije in navajanja na obliko nadzora, ki jo še okrepi množenje takšnih orodij.

To ni prvič, da je regulativni organ zavzel stališče do tega vprašanja. Konec maja je razjezil župana Nice, ker je prepovedal namestitev kamer obogatene resničnosti pred mestnimi šolami, pri čemer je poudaril zbiranje osebnih podatkov in ponovno poudaril potrebo po zmanjšanju nadzora ljudi v javnih prostorih na najmanjšo možno mero.

V nekaterih primerih pa je uporaba obogatenih kamer v očeh CNIL naklonjena: zato je menila, da bi namestitev teh kamer za avtomatske blagajne supermarketov lahko predstavljala legitimni interes za cilj omejevanja izgub prihodkov zaradi napak ali tatvin na blagajnah, vendar pod določenimi pogoji: da je sistem potreben za zastavljeni cilj in da nesorazmerno ne krši pravic oseb ter da ga ni mogoče doseči na manj vsiljiv način.

Izvesti je treba ukrepe za zmanjšanje količine podatkov, kot so omejitev območja zajemanja na samopostrežne blagajne ter omejitev trajanja, ločljivosti in pogostosti zajemanja. Poleg tega je treba uporabnike obveščati o sistemu in jim zagotoviti alternativo brez kamere.

CNIL namerava uporabo teh sistemov regulirati tako, da bo za vsak primer posebej zagotovil njihovo nujnost in sorazmernost. Priporoča tudi uporabo načela vgrajene zasebnosti.

Velja spomniti, da je regulativni okvir za algoritmični video nadzor razvijajoča se tema, ki je predmet kompleksnega regulativnega okvira.

Ta okvir se razlikuje od okvira biometričnih kamer, ki sistematično obdelujejo podatke o fizičnih značilnostih ljudi z namenom njihove enolične identifikacije ali avtentikacije.

Ti postopki obdelave, ki vključujejo občutljive podatke, so prepovedani, razen v izjemnih okoliščinah.

Glede "izboljšanih" kamer trenutno ni posebnega besedila, razen eksperimentalnega okvira, ki ga določa zakon o olimpijskih in paraolimpijskih igrah z dne 19. maja 2023.

CNIL nas opominja, da se »mehanizmi, ki bi lahko vplivali na temeljna jamstva, ki so državljanom zagotovljena za uresničevanje javnih svoboščin, lahko uporabijo le, če jih dovoljuje in posebej ureja zakon«.

Za druge sisteme je treba vzpostaviti močne zaščitne ukrepe.

Poskusno obdobje za zakon o olimpijskih igrah je bilo nedavno podaljšano do leta 2027, kljub oceni, ki je bila predstavljena kot kontroverzna.

Ta zakon dovoljuje eksperimentalno uporabo naprav z razširjenimi kamerami za zagotavljanje varnosti nekaterih večjih športnih, rekreacijskih in kulturnih dogodkov pod zelo posebnimi pogoji: zaznavanje je dovoljeno le pri dogodkih, ki jih določa zakon, prepoznavanje obrazov pa ni dovoljeno.

Z bolj političnega vidika CNIL poziva javne oblasti, naj potegnejo mejo med tem, kaj bi smelo biti dovoljeno in kaj ne bi smelo biti dovoljeno v demokratični družbi: vse, kar je tehnično izvedljivo, ni nujno zaželeno z etičnega in družbenega vidika.

 

 

V okviru večje ozaveščenosti o boju proti diskriminaciji CNIL objavlja priporočilo o merjenju raznolikosti na delovnem mestu.

Poudarja, da je takšen ukrep občutljiva vaja, ki pomeni, da delodajalci strogo spoštujejo odločitev ustavnega sveta z dne 15. novembra 2007, ki se redno in napačno razlaga kot absolutna prepoved statističnih podatkov, povezanih s poreklom.

Komisija zlasti poudarja, da morajo preiskave ostati neobvezne, zaposleni ali zastopniki pa morajo biti ustrezno obveščeni in njihove pravice spoštovane.

Priporoča tudi, da se da prednost anonimnim anketam in omeji število podatkov, zbranih z vprašanji zaprtega tipa.

CNIL je objavil tudi dve pogosto zastavljeni vprašanji o uporabi umetne inteligence v šolah in mango, namenjeno ozaveščanju mladih o varstvu njihovih osebnih podatkov.

Objavila je tudi priporočila o orodjih za merjenje internetnega občinstva in orodju za samoocenjevanje za oceno njihove skladnosti s pravnim okvirom.

Objavila je priporočila o razvoju sistemov umetne inteligence, ki določajo pogoje za uporabo legitimnega interesa, zlasti v primeru zbiranja podatkov (spletnega strganja), 12. junija pa je odprla javno posvetovanje o svojem osnutku priporočila glede uporabe sledilnih slikovnih pik v e-poštnih sporočilih.

Cilj je pomagati akterjem, ki uporabljajo te sledilnike, da bolje razumejo svoje obveznosti, zlasti glede pridobivanja soglasja uporabnikov.

Glede na objavo medijske hiše Cybernews, ki se ukvarja s kibernetsko varnostjo, z dne 30. junija je na spletu trenutno dostopnih 16 milijard ukradenih uporabniških imen in gesel.

Ogroženi podatki vključujejo identifikatorje, kot so uporabniška imena in e-poštni naslovi, ter gesla.

Imeniki vsebujejo tudi žetone za dostop, piškotke za prijavo in metapodatke.

 To ne bi bilo novo uhajanje podatkov, temveč združevanje različnih preteklih uhajanj podatkov, kar lahko poveča tveganja kraje podatkov, saj olajša delo zlonamernih akterjev.

Google tvega rekordno kazen v višini 525 milijonov evrov zaradi ravnanja s piškotki in oglaševanjem v nabiralnikih Gmail.

V osnutku odločitve CNIL obtožuje Google, da je kršil načela o izvajanju evropske direktive o zasebnosti in elektronskih komunikacijah, ker ni pridobil soglasja uporabnika za prenos piškotkov pri ustvarjanju Gmail računa in za prikaz oglasov, ki so videti kot e-poštna sporočila, v Gmailovih nabiralnikih.

Če bo ožji odbor CNIL potrdil globo, bo to najvišja globa v zgodovini CNIL in najvišja globa, ki je bila kdajkoli izrečena za kršitev Direktive o e-zasebnosti. Končna odločitev bo objavljena čez nekaj tednov.

Neupoštevanje GDPR je razlog za prekinitev pogodbe, zlasti na področju storitev razvoja digitalnih komunikacij: po prejšnjih odločitvah je pritožbeno sodišče v Bordeauxu v sodbi z dne 11. junija 2025 potrdilo prisotnost zaščitne naprave reCAPTCHA, povezane z več piškotki, nameščenimi brez soglasja končnega uporabnika.

Glede na nadaljnje kršitve pogodbe s strani ponudnika storitev ima stranka pravico zahtevati odpoved pogodbe v skladu s členi 1610, 1217 in 1224 civilnega zakonika.

 

Evropske institucije in organi

Časovni načrt za izvajanje evropske uredbe o umetni inteligenci je bil objavljen sredi junija.

Po govoricah o morebitnem obdobju mirovanja je Komisija pojasnila, da se bo besedilo uporabljalo v skladu s predpisanimi roki.

Uredba se uporablja za sisteme umetne inteligence na podlagi tveganj, ki jih predstavljajo, in ureja modele umetne inteligence za splošno uporabo (GPAI) na podlagi njihovih zmogljivosti.

Pravila glede GPAI bodo začela veljati 2. avgusta 2026; za obstoječe sisteme se bo uporaba začela 2. avgusta 2027.

Poleg tega je bil 10. julija objavljen Kodeks dobrih praks za splošno umetno inteligenco.

Obsega 3 poglavja.

Poglavja o preglednosti in avtorskih pravicah vsem ponudnikom modelov umetne inteligence za splošno uporabo omogočajo, da dokažejo, da izpolnjujejo svoje obveznosti iz 53. člena zakona o umetni inteligenci.

Poglavje o varnosti in zaščiti zadeva le majhno število dobaviteljev zelo naprednih modelov, za katere veljajo obveznosti, določene za dobavitelje splošnih modelov umetne inteligence, ki predstavljajo sistemsko tveganje v skladu s 55. členom zakona o umetni inteligenci.

Predlog Evropske komisije za "digitalni omnibus" se trenutno pričakuje do 10. decembra, v skladu z internim dokumentom, v katerega je vpogledal MLex.

To bo del svežnja, ki vključuje uredbo o digitalnih omrežjih, revizijo uredbe o kibernetski varnosti in evropsko elektronsko denarnico.

Predpisi o razvoju oblaka in umetne inteligence so okvirno predvideni za naslednji teden.

Konec junija so evropske institucije sprejele skupno stališče o dodatnih postopkovnih pravilih v zvezi z izvajanjem GDPR. Besedilo mora zdaj formalno odobriti z glasovanjem Evropski parlament.

Na dvodnevnem srečanju v Helsinkih 1. in 2. julija je Evropski odbor za varstvo podatkov (EDPB) napovedal, da bo organizacijam pomagal bolje razumeti njihove obveznosti glede GDPR z objavo poenostavljenih smernic. Predsednica odbora je v svoji izjavi navedla, da bodo »z jedrnatimi in pravočasnimi smernicami ter orodji, ki so že na voljo, kot so skupna predloga za obveščanje o kršitvah podatkov, kontrolni seznami, praktični vodniki in pogosto zastavljena vprašanja, še naprej zagotavljali, da bo skladnost z GDPR dosegljiva in dostopna vsem«.

Čezatlantski pretok podatkov zaenkrat ostaja veljaven v okviru "okvira za varstvo podatkov", kljub ukrepom, ki jih je sprejela Trumpova administracija in ki slabijo okvir za varstvo podatkov v Združenih državah.

Evropska komisija je sredi junija v odgovoru na parlamentarno vprašanje potrdila, da razrešitev članov Odbora za nadzor zasebnosti in državljanskih svoboščin (PCLOB) ne vpliva na veljavnost okvira za varstvo podatkov med EU in Združenimi državami Amerike, saj PCLOB še naprej deluje.

 

Novice iz držav članic Evropske unije.

Organ za varstvo podatkov (DPA) zvezne države Berlin v odločbi z dne 27. junija sklenil, da so prenosi podatkov DeepSeeka na Kitajsko nezakoniti, in od Googla in Apple zahteva, da aplikacijo blokirata.

DeepSeek naj ne bi mogel predložiti prepričljivih dokazov, da so podatki nemških uporabnikov na Kitajskem zaščiteni na ravni, ki je enakovredna ravni v Evropski uniji.

"Kitajski organi imajo obsežne pravice dostopa do osebnih podatkov, ki jih hranijo kitajska podjetja. Poleg tega uporabniki DeepSeeka na Kitajskem nimajo izvršljivih pravic in učinkovitih pravnih sredstev, kot so zagotovljena v Evropski uniji."

Belgijski APD 26. junija je zavrnil 16 pritožb, ki jih je vložila nevladna organizacija Noyb v 5 različnih primerih, z utemeljitvijo, da ni bilo dejanskega (ne fiktivnega) mandata zadevnih oseb.

V svojem sporočilu za javnost APD poudarja razliko med členoma 80(1) in 80(2) GDPR ter dejstvo, da se je belgijski zakonodajalec odločil, da organizacijam za pravice potrošnikov ne bo dovolil vlaganja pritožb brez mandata.

Zaključila je z izjavo, da »glede na pomen teh organizacij podpira zakonodajno spremembo, ki bi to možnost omogočila tudi v Belgiji«.

Na DanskemSprememba zakona o avtorskih pravicah bo državljanom podelila pravico do njihovega glasu, obraza in telesa, tudi če so ti digitalno reproducirani z generativno umetno inteligenco.

Danski minister za kulturo je v zvezi s tem izjavil, da »ljudje tvegajo, da bodo postali digitalni fotokopirni stroji in uporabljeni za vse vrste zlorab, in tega nisem pripravljen sprejeti«.

V ŠpanijiPolicijska uprava ZDA je Carrefourju naložila globo v višini 3.200.000 evrov zaradi vrste kršitev varnosti podatkov.

Ugotovila je, da Carrefour ni uvedel ustreznih varnostnih ukrepov in ni prijavil kršitve vpletenim osebam.

APD je podizvajalcu naložil tudi globo v višini 12.000 EUR, ker je brez dovoljenja upravljavca sklenil pogodbo s sekundarnim podizvajalcem, kar je kršilo člen 28(2) GDPR.

Microsoft se sooča s prvo skupinsko tožbo na Irskem Irski svet za državljanske svoboščine (ICCL) je konec maja sprožil postopek pred višjim sodiščem v Dublinu. Ta pravna tožba, vložena na podlagi nove evropske direktive o kolektivnih tožbah, trdi, da sistem licitiranja v realnem času (RTB), ki ga Microsoft uporablja za zagotavljanje ciljno usmerjenega spletnega oglaševanja, ni združljiv z GDPR.

Dokumentov v zvezi z zahtevami za dostop ni mogoče hraniti v nedogled: po preiskavi, ki jo sproži uporabnik, Litovska uradna razvojna pomoč je ponudniku zdravstvenih storitev naložil, naj določi obdobja hrambe dokumentov, povezanih z obdelavo zahtev za dostop.

Pazite na sledilne piksle: Norveška uradna razvojna pomoč (ODA) občini Kristiansand naložil globo v višini 250.000 NOK (21.600 EUR) zaradi nezakonite obdelave osebnih podatkov otrok prek Snap in Meta pixels na spletni strani telefonske linije za pomoč žrtvam zlorabe otrok.

APD je prav tako menil, da podatki v zvezi z obiski strani spletnega mesta z vsebino o specifičnih zdravstvenih vprašanjih predstavljajo občutljive podatke, in je podjetje opomnil zaradi nezakonite obdelave teh občutljivih podatkov prek metapiksla.

 

V Združenem kraljestvu je Zakon o uporabi in dostopu do podatkov (DUAA) 19. junija prejel kraljevo soglasje. Ta zakon vključuje določbe za spodbujanje razvoja storitev digitalnega preverjanja, novih programov pametnih podatkov, kot je odprto bančništvo, in novega nacionalnega registra podzemnih sredstev.

Vključuje tudi pomembne spremembe zakonodaje Združenega kraljestva o varstvu podatkov.

Zakon DUAA ne bo nadomestil britanske uredbe GDPR, bo pa uvedel nekaj sprememb, »da bi poenostavil pravila za organizacije, spodbudil inovacije, pomagal organom pregona v boju proti kriminalu in omogočil odgovorno izmenjavo podatkov ob hkratnem ohranjanju visokih standardov varstva podatkov«.

V Združenih državah Amerike je nedavna odločitev vrhovnega sodišča v primeru Koalicije za svobodo govora proti Paxtonu povzročila šok v digitalni krajini.Članek IAPP izraža zaskrbljenost zaradi dvomov o pojmih preverjanja starosti, svobode izražanja in posledic za zasebnost.

Sodba z dne 27. junija potrjuje teksaški zakon, ki od spletnih mest, ki ponujajo vsebine za odrasle, zahteva, da preverjajo starost obiskovalcev z uporabo potencialno vsiljivih tehnik, kot so biometrični podatki. Čeprav je namen te odločitve zaščititi mladoletnike pred eksplicitnimi vsebinami, pa hkrati sproža tudi vprašanja o tveganjih, povezanih z zbiranjem občutljivih osebnih podatkov.

Tudi v Združenih državah Amerike je kongres v začetku julija glasoval za sprejetje zakona "One Big Beautiful Bill Act" (En velik lep zakon).kodifikacija nacionalne agende predsednika Trumpa, z eno ključno izjemo: moratorijem na regulacijo umetne inteligence, ki je bil prvotno vključen v zakon. Ta moratorij bi ustavil več kot 1000 zakonov o regulaciji umetne inteligence, ki so od januarja napredovali v zakonodajnih postopkih v prestolnicah zveznih držav.

Meta, lastnik WhatsAppa, je 16. junija napovedal uvedbo novih funkcij na zavihku »Posodobitve« v WhatsAppu, vključno s ciljno usmerjenim oglaševanjem in modelom naročnine.Podjetje je izjavilo, da bodo te funkcije uporabnikom postopoma na voljo »v naslednjih nekaj mesecih«. V ta namen bo Meta uporabila »oglaševalske nastavitve in informacije« iz uporabniških računov Facebook in Instagram, ki so povezani s WhatsAppom.

Irska komisija za varstvo podatkov (DPC) je sporočila, da jo je WhatsApp obvestil, da njihov oglaševalski model v EU ne bo uveden pred letom 2026 in da se bodo o njem pogovorili z drugimi organi za varstvo podatkov, da bi lahko kot evropski regulatorji izrazili pomisleke.

Po poročanju časopisa L'Express z dne 26. maja namerava Rusija od 1. septembra 2025 naprej izvajati eksperimentalni projekt, ki od tujcev z začasnim bivanjem v Moskvi in moskovski regiji zahteva uporabo mobilne geolokacijske aplikacije in biometrično preverjanje.Uporabniki se bodo morali registrirati v aplikaciji, "soglašati z zbiranjem svojih osebnih podatkov, vključno z geolokacijo, ministrstvu za notranje zadeve sporočiti kraj bivanja in ga v primeru selitve posodobiti v treh dneh".