Pravna ura št. 86 – avgust 2025. 

 

Piškotki in ciljanje uporabnikov interneta: trenutno stanje.

CNIL je 1. septembra naložil Googlu globo v višini 325 milijonov evrov in irski podružnici skupine Shein 150 milijonov evrov, kar sta dva zneska, ki bosta znatno zvišala povprečje sankcij, ki jih je CNIL določil v zadnjih mesecih.

Google je bil sankcioniran zaradi prikazovanja oglasov, vstavljenih med e-poštna sporočila uporabnikov Gmaila, in zaradi nameščanja piškotkov pri ustvarjanju Google računov brez veljavnega soglasja francoskih uporabnikov.

CNIL od Googla zahteva tudi, da v šestih mesecih odstrani to prikazovanje oglasov in da pri ustvarjanju Google računa pridobi veljavno soglasje uporabnikov za namestitev oglaševalskih piškotkov, pod kaznijo globe v višini 100.000 evrov na dan. 

Globa, naložena Sheinu, se nanaša tudi na neupoštevanje pravil, ki veljajo za piškotke, nameščene na napravah uporabnikov, ki obiščejo spletno mesto »shein.com«.

Te znatne globe so del različnih ukrepov, ki jih je Komisija sprejela za ureditev sledenja in ciljanja uporabnikov interneta ter so bili objavljeni na njeni spletni strani leta 2019.

CNIL je Google že decembra 2021 kaznoval s 150 milijoni evrov zaradi kršitve predpisov o piškotkih in s 50 milijoni evrov zaradi pomanjkanja preglednosti in jasnosti politike zasebnosti ter pomanjkanja pravne podlage za prilagojeno oglaševanje.

Nedavno je sankcionirala tudi podjetje Orange zaradi podobnih praks pošiljanja oglasov v obliki e-poštnih sporočil.

Te odločitve nam dajejo priložnost, da pregledamo prakse ciljanja na uporabnike interneta in pravni okvir.

Pravila, ki se uporabljajo za posamezne primere, so specifična: Komisija opozarja, da operacije, povezane z uporabo sledilnikov in elektronskim iskanjem podatkov, ne spadajo pod GDPR, temveč pod druga pravila: direktivo o „e-zasebnosti“, ki je bila prenesena v člen 82 Zakona o varstvu podatkov za sledilnike, in člen 34-5 CPCE za komercialno iskanje podatkov z elektronskimi sredstvi.

Prakse, ki veljajo za neskladne, se nanašajo predvsem na namestitev sledilnikov brez uporabnikovega soglasja, pa tudi na vse večjo prakso uporabe »piškotkovnih zidov«, ki uporabnikov dostop do storitve pogojujejo z njegovim soglasjem z namestitvijo sledilnikov na njegov terminal.

CNIL te prakse same po sebi ne smatra za nezakonito, za razliko od nekaterih svojih evropskih kolegov.

Vendar poudarja, da mora biti privolitev dana prostovoljno in da morajo biti alternative, ki so ponujene uporabniku, predstavljene uravnoteženo, ne da bi ga spodbujali k uporabi ene možnosti namesto druge (na primer tako, da bi eno izbiro naredili bolj zapleteno kot drugo).

Prav tako je nujno, da je privolitev informirana, kar pomeni, da imajo ljudje popolno in jasno razumevanje posledic svojih odločitev.

Te odločitve CNIL so tudi vrhunec pritožb, ki jih je nevladna organizacija noyb pred več kot dvema letoma vložila pri številnih organih za varstvo podatkov (DPA) v Evropi, predvsem glede pojava piškotnih zidov ali plačila ali v redu in vprašanja preglednosti pri zbiranju podatkov.

Tako je avstrijsko zvezno upravno sodišče sredi avgusta sledilo mnenju avstrijskega organa za varstvo podatkov in menilo, da obstoj več namenov za namestitev piškotkov zahteva ločeno soglasje.

Po mnenju sodišča bi združevanje različnih namenov obdelave kršilo svobodo odločanja in privolitev bi bila neveljavna.

»Ta podrobnost je tesno povezana z zahtevo, da mora biti privolitev dana za določen namen,« piše v obrazložitvenem memorandumu sodbe.

Ta nedavna dogajanja potrjujejo stališče nadzornih organov, da se pravni okvir, zlasti Direktiva o e-zasebnosti, uporablja izključno za privolitev, zlasti za nebistvene piškotke.

Oblasti ne tolerirajo več "privzetih" soglasij ali nejasnih informacijskih vmesnikov.

       

Senat ga je poleti zaslišal. Anton Carniaux, direktor za javne in pravne zadeve pri Microsoftu France, je priznal, da ne more "zagotoviti", da podatki francoskih državljanov, ki so nastanjeni v Evropi, nikoli ne bodo posredovani ameriški vladi. v skladu z zakonom o oblaku, čeprav se "to ni nikoli zgodilo".

V tem kontekstu odvisnosti od ameriških velikanov je danska vlada napovedala uradni začetek pobude za oceno integracije odprtokodnih rešitev v okviru svojih javnih storitev.

DGE in DGCCRF sta 9. septembra objavila osnutek imenovanja nacionalnih organov, odgovornih za izvajanje evropske uredbe o umetni inteligenci.

Dokument vključuje diagram, ki prikazuje – številne – pristojne organe v skladu z ustreznimi členi uredbe in namene obdelave z umetno inteligenco.

Zahvaljujoč delu namestnika vodje pravne misije DINUM je zdaj mogoče pregledati zemljevid kontrol CNIL po letih in sektorjih dejavnosti.

Kartiranje se osredotoča na te kontrole in ne vključuje vseh ukrepov CNIL, kot so ozaveščanje na terenu, uradna obvestila, sankcije itd.

Temelji na podatkih, ki jih CNIL objavlja na data.gouv.

 

Evropske institucije in organi

Evropske novice so v tem letnem času živahne zaradi dejavnosti institucij, zlasti Sodišča Evropske unije.

Predlog uredbe o nadzoru komunikacij („nadzor klepetalnic“), katere cilj je preprečevanje in boj proti spolni zlorabi otrok, je ponovno na dnevnem redu Evropskega sveta 12. septembra 2025 pod danskim predsedovanjem.

Revidirani predlog predvideva možnost skeniranja sporočil na uporabnikovem terminalu, preden so poslana, in po mnenju mnogih znanstvenikov in civilne družbe predstavlja korak nazaj v primerjavi z besedilom poljskega predsedstva.

Novo odprto pismo (četrto na to temo), ki ga je podpisalo več kot 600 znanstvenikov iz 34 držav, je bilo objavljeno 8. septembra.

Poudarja neučinkovitost in tveganja tega predloga glede šifriranja ter omenja možne alternative.

Evropska komisija je 4. septembra začela postopek za sprejetje sklepa o ustreznosti varstva podatkov z Brazilijo.

Ko bo ta odločitev sprejeta, bo prva odločitev o ustreznosti za Latinsko Ameriko po odločitvah, ki so se nanašale na Argentino 3. junija 2003 in Urugvaj 21. avgusta 2012.

Brazilske oblasti so prav tako sprožile postopek, katerega cilj je sprejetje enakovredne odločitve, ki bi omogočila prosti pretok brazilskih podatkov v EU.

Naslednji koraki bodo vključevali predložitev osnutka sklepa v pregled Evropskemu odboru za varstvo podatkov (EDPB) in Svetu ministrov, ki zastopajo države članice EU.

Predlog bo preučil tudi Evropski parlament.

5. septembra, Evropska komisija je sporočila, da bo Googlu naložila globo v višini 2,95 milijarde evrov. zaradi kršitve protimonopolnih pravil EU z izkrivljanjem konkurence v sektorju oglaševalske tehnologije („adtech“).

Google naj bi dajal prednost lastnim storitvam spletne oglaševalske tehnologije na račun konkurenčnih ponudnikov storitev oglaševalske tehnologije, oglaševalcev in spletnih založnikov.

Komisija je Googlu naročila, naj konča te prakse samopreferenciranja in uvede ukrepe za odpravo navzkrižja interesov, ki je neločljivo povezano z njegovo dobavno verigo oglaševalske tehnologije.

Google ima zdaj 60 dni časa, da Komisijo obvesti, kako namerava nadaljevati.

Ta sankcija je sprožila takojšen odziv Združenih držav Amerike, Donald Trump pa je nakazal svojo namero, da bo proti EU sprejel povračilne ukrepe.

3. septembra je v svoji odločbi T-553/23 | Latombe proti Komisiji Sodišče Evropske unije je zavrnilo tožbo poslanca Evropskega parlamenta Philippa Latombeja, s katero je želel razveljaviti tretjo različico sporazuma o prenosu podatkov med EU in Združenimi državami Amerike. okvir za varstvo podatkov (DPF), pri čemer je treba upoštevati, da so Združene države Amerike „zagotavljale ustrezno raven varstva osebnih podatkov“.

G. je še posebej poudaril, da ameriški pritožbeni organ, "Sodišče za pregled varstva podatkov" (DPRC), ni nepristranski in je odvisen od izvršilne veje oblasti.

Opozoril je tudi na prakso obveščevalnih služb, ki zbirajo množične količine osebnih podatkov, ki potujejo iz Evropske unije, brez predhodnega dovoljenja sodnika ali neodvisnega upravnega organa, torej brez dovolj jasnih in natančnih smernic.

Sodišče zavrača zahtevo za razveljavitev.

Poudarja, da za delovanje DLRC velja vrsta zaščitnih ukrepov, da Evropska komisija spremlja uporabo DPF, in meni, da je zadostno, da so obveščevalne dejavnosti, ki jih izvajajo ameriške agencije, predmet naknadnega sodnega pregleda s strani DLRC.

Na odločitev Sodišča EU se je mogoče pritožiti na Sodišče EU, poslanec Philippe Latombe pa je že izrazil namero, da bo vložil takšno pritožbo.

Sodišče EU je 4. septembra v pomembni sodbi (zadeva C-413/23 P | EDPB/CRU) razveljavilo odločitev sodišča EU v zvezi s konceptom osebnih podatkov.

Odloča o pritožbi Evropskega nadzornika za varstvo podatkov (EDPS) v zvezi z odločitvijo sodišča EU, ki je razveljavilo njegovo odločitev iz leta 2020.

V tej odločitvi je ENVP ugotovil, da je Evropski enotni odbor za reševanje (SRB) kršil Splošno uredbo o varstvu podatkov evropskih institucij, ker je računovodskemu podjetju posredoval pripombe upnikov in delničarjev o stečajnem postopku španske banke.

Sodišče EU meni, da osebna mnenja posameznikov predstavljajo osebne podatke in da bi jih Sodišče moralo tako tudi obravnavati.

Prav tako meni, da je treba tveganje ponovne identifikacije v zvezi z obdelavo in prenosom osebnih podatkov oceniti za vsak primer posebej v času zbiranja in da je Sodišče storilo napako, ko je razveljavilo prvotno odločitev Evropskega odbora za varstvo podatkov, deloma zato, ker ni ugotovilo, ali vsebina psevdonimiziranih komentarjev dejansko vsebuje osebne podatke.

Vendar pa se je Sodišče EU pri vprašanju, pod katerimi pogoji se lahko psevdonimizirani podatki štejejo tudi za osebne podatke, postavilo na stran CRU in v svoji odločbi zapisalo, da "Psevdonimizirani podatki se ne smejo v vseh primerih in za vsako osebo šteti za osebne podatke za namene uporabe (GDPR)" kolikor lahko psevdonimizacija, odvisno od okoliščin primera, učinkovito prepreči osebam, ki niso upravljavec, da bi identificirale posameznika, na katerega se nanašajo osebni podatki, na tak način, da zanje posameznik, na katerega se nanašajo osebni podatki, ni ali ni več določljiv.

V drugi sodbi, prav tako z dne 4. septembra (sodba C 655/23, IP proti Quirin Privatbank AG), je sodišče odločalo o obstoju pravice do preventivne odredbe o prenehanju obdelave zoper upravljavca in o obsegu moralne škode.

Sodišče meni, da GDPR ne ponuja preventivnega sodnega sredstva zoper prihodnjo nezakonito obdelavo, vendar lahko države članice to določijo.

Pojasnila je tudi, da so občutki, kot sta ponižanje ali skrb, lahko zadostni za ugotovitev moralne škode, če so predloženi dokazi.

Dodaja, da resnost krivde upravljavca podatkov ali pridobitev odredbe ne bi smela vplivati na višino odškodnine, ki ostaja izključno odškodninska.

 

Novice iz držav članic Evropske unije.

V Nemčiji je Zvezno delovno sodišče razsodilo, da je delodajalec nezakonito obdeloval zdravstvene podatke zaposlenega, tako da ga je spremljal, da bi preveril, ali si je pretvarjal, da ni zmožen delati.

Zaposleni je prisodila tudi 1500 evrov odškodnine za nepremoženjsko škodo.

Belgijski organ za varstvo podatkov (APD) je opominjal politika, ki je zbral e-poštni naslov nekoga iz javnega vira in mu poslal politična sporočila, s čimer je kršil načela zakonitosti, omejitve namena in preglednosti iz GDPR.

V Španiji je policija APD kaznovala podjetje Loro Parque, ki upravlja živalski vrt in vodni park, z 250.000 evri zaradi odvzema prstnih odtisov brez predhodne informacije ali soglasja: zadevne osebe so morale odvzeti prstne odtise, če so imele promocijske vstopnice, ki so jim omogočale vstop v oba parka z eno samo vstopnico.

Poleg tega je APD špansko gospodarsko zbornico oglobil s 500.000 evri, ker je davčne identifikacijske številke samozaposlenih delavcev prenesla na zasebna podjetja brez pravne podlage.

V Italiji je policija APD avtomobilskemu podjetju naložila globo v višini 50.000 evrov.

Slednja je z zaposlenimi po njihovi odsotnosti organizirala razgovore o "vrnitvi na delo", kar je povzročilo prekomerno zbiranje podatkov, vključno z občutljivimi podatki.

APD opozarja tudi na kršitev načel preglednosti in veljavnosti soglasja zaposlenih.

Litovski organ za varstvo podatkov (DPA) je podjetju Vinted naročil, naj preneha zbirati telefonske številke svojih strank za namene preverjanja računov.

Sprva je menila, da razlogi, na katere se je skliceval Vinted, in sicer preverjanje uporabniških računov in zagotavljanje varnosti platforme, niso bistveni vidik pogodbe med upravljavcem podatkov in posameznikom, na katerega se nanašajo osebni podatki.

Prav tako je opozorila, da pogoji uporabe omenjajo druge možne načine preverjanja identitete uporabnika in da zato obdelava osebnih podatkov ni izpolnjevala merila nujnosti iz člena 6(1)(b) GDPR.

Vrhovno upravno sodišče Nizozemske je razsodilo, da ustanova za duševno zdravje ni dolžna ugoditi zahtevi za izbris podatkov.

Hramba podatkov je bila potrebna v skladu s pogodbo o zdravniški oskrbi in za upravljanje storitev ustanove.

Na Poljskem je bila banka ING Bank Śląski kaznovana s 4.300.000 evri zaradi skeniranja osebnih dokumentov brez utemeljenega razloga ali ocene tveganja..

APD je ugotovil, da je banka nepotrebno obdelovala občutljive podatke, vključno s številkami PESEL in podrobnostmi dokumentov, s čimer je kršila pristop, ki temelji na tveganju, ki ga zahtevajo predpisi o preprečevanju pranja denarja.

 

Kitajska zaostruje svoja pravila glede prenosa podatkov v tujino.

Kitajske oblasti javne varnosti obtožujejo Diorjevo podružnico v Šanghaju, da je nezakonito prenašala podatke o strankah na sedež podjetja v Franciji, ne da bi pri tem upoštevala obvezna pravila o varnostni oceni, obveščanju uporabnikov in šifriranju.

Podružnica je bila podvržena upravni sankciji.

V Združenih državah Amerike je 44 generalnih državnih tožilcev poslalo pismo 13 podjetjem za umetno inteligenco, vključno z OpenAI, CharacterAI, Replika in Meta, v katerem jih je obvestilo, da bodo odgovarjala, če bodo povzročila škodo otrokom.

Pismo izpostavlja nedavna razkritja glede tehničnih smernic podjetja Meta za umetno inteligenco Meta in klepetalne robote Facebooka, WhatsAppa in Instagrama.

Ta dokument, ki so ga odobrile pravne, politične in tehnične ekipe podjetja, je klepetalnim robotom dovoljeval, da otroke povabijo k romantičnim ali zapeljivim izmenjavam s klepetalnim robotom, vključno s komentarji o otrokovem videzu in scenariji igranja vlog.

Microsoftov blog »Tech Community« je konec avgusta objavil, da najnovejša posodobitev programa MS Word za Windows privzeto samodejno shranjuje uporabnikove datoteke Word v oblak (OneDrive).

Microsoft to posodobitev predstavlja kot izboljšavo varnosti, dostopa, timskega dela in uporabe umetne inteligence.

Čeprav je te nastavitve mogoče spremeniti v nastavitvah programa Word, privzeto nalaganje dokumentov v ameriški oblak sproža vprašanja v zvezi z GDPR glede zaupnosti podatkov in dostopnosti teh podatkov s strani javnih organov ZDA.

Pametna očala "Halo" vzbujajo zaskrbljenost med strokovnjaki za umetno inteligenco.

L. Jarosvsky poroča, da so ta nova očala vedno prižgana, snemajo vse in nimajo indikatorja, ki bi ljudi opozoril, da jih snemajo.

V intervjuju za TechCrunch so ustanovitelji Halo domnevno zavrnili odgovornost in izjavili, da je v ameriških zveznih državah, kjer je nezakonito tajno snemati pogovore brez soglasja druge osebe, uporabnik dolžan pridobiti to soglasje, preden uporabi očala.