Pravna ura št. 70 – april 2024.

Prenos podatkov zunaj EU: trenutno stanje.

Pokrajina mednarodnih prenosov podatkov postaja jasnejša, ko se sprejemajo institucionalne odločitve in stališča. 

Tako smo opazili več nedavnih pobud na evropski in nacionalni ravni, katerih cilj je olajšati pretok podatkov ob hkratnem spoštovanju temeljnih pravic.

Na srečanju 4. marca s predstavniki petnajstih držav, ki so že bile priznane kot ustrezne, je Evropska komisija tako pokazala svojo pripravljenost za razširitev oblik mednarodnega sodelovanja EU.

Medtem ko je Komisija v preteklosti dajala prednost sodelovanju s Svetom Evrope, osredotočenemu na človekove pravice, je evropski komisar za pravosodje marca omenil tudi tesnejše sodelovanje z OECD, organizacijo, katere pogled je osredotočen na gospodarski razvoj.

 Zadevne države v Ameriki in Aziji imajo pristope k varstvu zasebnosti, ki se bistveno razlikujejo od pristopov Evropske unije.

Velja spomniti, da je Evropska komisija januarja podaljšala sklepe o ustreznosti vsem državam, ki so že prejele pozitivno odločitev.

To je sprožilo odzive tudi v trenutnem političnem kontekstu, saj je 11 organizacij civilne družbe 22. aprila podprlo odprto pismo, v katerem so evropskega komisarja za pravosodje pozvali k pojasnilu glede njegove odločitve o podaljšanju sklepa o ustreznosti glede Izraela.

 V pismu se postavlja pod vprašaj zlasti skladnost z merili ustreznosti v zvezi z obdelavo podatkov za namene nacionalne varnosti, spoštovanje človekovih pravic, pravno državo in dostop do pravnega varstva.

Prenosi v države, ki niso upravičene do sklepa o ustreznosti, so seveda še vedno mogoči, če so bile na primer sprejete standardne pogodbene klavzule ali če so bila znotraj skupine podjetij vzpostavljena zavezujoča pravila, ki urejajo prenose podatkov.

Za podporo skupinam v tem procesu je CNIL pravkar objavil orodje za samoocenjevanje.

To je vprašalnik, ki nam omogoča, da preverimo stopnjo zrelosti projekta glede na zahteve standardov BCR, ki jih je sprejel Evropski odbor za varstvo podatkov (EDPB).

CNIL priporoča, da se projekt pred predložitvijo zavezujočih poslovnih pravil v odobritev preizkusi.

Orodje omogoča preverjanje učinkovitega izvajanja naslednjih zavez:

• Režim odgovornosti, ki temelji na evropskem sedežu ali evropski podružnici, odgovorni za varstvo podatkov na podlagi prenosa pooblastila;
• Postopek usposabljanja osebja;
• Postopek revizije za zagotavljanje skladnosti z GCR;
• Notranji postopek za obravnavo pritožb;
• Mreža pooblaščencev za varstvo podatkov ali usposobljenih zaposlenih za spremljanje skladnosti s pravili;
• Postopek za določitev ustreznosti izvedbe ocene vpliva na zasebnost (PIA);
• Za zavezujoča poslovna pravila „podizvajalec“, obveznosti podizvajalca do upravljavca podatkov;
• Ustrezni tehnični in organizacijski ukrepi za zagotovitev skladnosti z načeli varstva podatkov.

CNIL ponuja interaktivni zemljevid sveta, ki omogoča ugotavljanje stanja posameznih držav na področju varstva podatkov, seznam držav, ki imajo koristi od sklepa o ustreznosti, pa je na voljo na spletni strani Evropske komisije.

 

CNIL je 4. aprila podjetju HUBSIDE.STORE naložil globo v višini 525.000 evrov. zaradi izvajanja kampanj za iskanje potencialnih strank z uporabo osebnih podatkov, pridobljenih prek zavajajoče oblikovanih obrazcev, ki upravljavcu podatkov niso omogočili pridobitve veljavne privolitve.

Državni sekretar za digitalne zadeve je 25. marca predstavil francoski strateški načrt za digitalno desetletje. v prisotnosti generalnega direktorja za komunikacijska omrežja, vsebine in tehnologijo (GD Connect) Evropske komisije.

„Načrt je strukturiran okoli štirih področij dela, namenjenih doseganju ciljev 'digitalnega desetletja':

• Digitalne veščine,
• Digitalna infrastruktura,
• Digitalna preobrazba podjetij in
• Digitalizacija javnih storitev.

La Quadrature du Net je 2. maja vložila pritožbo pri CNIL zoper uvedbo algoritmičnega video nadzora (VSA). kar se ji zdi nezakonito.

Projekt Prevent PCP, ki združuje SNCF in RATP s skupino podjetij, vključno s skupino Atos in ChapsVision, poteka v obliki javnega naročila, ki podjetjem omogoča, da na večjih postajah po vsej Evropi namestijo svoje sisteme VSA za odkrivanje "zapuščene prtljage" z metodo, ki temelji na identifikaciji in sledenju lastnikov prtljage.

V Franciji so ti sistemi VSA že mesece nameščeni na železniških postajah Gare du Nord in Gare de Lyon v Parizu oziroma v zadnjem času na železniški postaji Gare de Marseille-Saint-Charles.

 

Evropske institucije in organi

Evropski odbor za varstvo podatkov (EDPB) je sredi aprila sprejel svoj delovni program za obdobje 2024–2027.

V naslednjih štirih letih bo EOVP še naprej spodbujal skladnost z GDPR z razvojem praktičnih smernic in gradiv za širše občinstvo.

Sodelovanje pri uporabi zakonodaje ostaja tudi prednostna naloga. 

Nov vidik strategije je poudarek na interakciji z novim digitalnim regulativnim okvirom.

Evropski odbor za varstvo podatkov bo še naprej posvečal posebno pozornost izzivom, ki jih predstavljajo nove tehnologije, kot je umetna inteligenca.

EOVP je 17. aprila zavzel tudi stališče glede modela »plačaj ali sprejmi piškotke«, ki je bil naložen uporabnikom večjih spletnih platform.

Novembra 2023 je Meta uvedla mesečno naročnino za uporabnike, ki niso želeli slediti za namene prilagojenega oglaševanja.

Organizacije za državljanske pravice so se odzvale z vložitvijo več pritožb pri pristojnih organih za varstvo podatkov, ki so od Evropskega odbora za varstvo podatkov zahtevali zavezujoče mnenje o zadevi.

To mnenje postavlja pod vprašaj model, ki ga vsiljujejo Meta in podobne platforme: po mnenju odbora »velike spletne platforme v večini primerov ne bodo mogle izpolniti zahtev glede veljavne privolitve, če bodo uporabnike soočale le z binarno izbiro med privolitvijo v obdelavo osebnih podatkov za namene vedenjskega oglaševanja in plačilom pristojbine«.

Odbor ponovno poudarja, da mora biti soglasje dano prostovoljno in da bi alternativa, ki bi naložila odvračilno plačilo, preprečila prostovoljno dano soglasje.

Platforme poziva k uvedbi alternativnega oglaševalskega modela, ki temelji na bolj omejenem zbiranju osebnih podatkov.

Pobuda Evropske komisije za spodbujanje velikih tehnoloških podjetij k prostovoljni "zavezi o piškotkih", ki bi zmanjšala sledenje uporabnikom interneta in okrepila njihovo soglasje, ni bila sprejeta.

Po besedah tiskovnega predstavnika Komisije v pogovoru za Euronews je večina podjetij menila, da je uvedba prostovoljnega pristopa k digitalnemu oglaševanju "preuranjena glede na nedavni začetek veljavnosti nove zakonodaje na tem področju, kot sta uredba o digitalnih storitvah (DSA) in uredba o digitalnih trgih (DMA)."

Sodišče EU je 11. aprila razsodilo, da upravljavec podatkov ni oproščen odgovornosti za škodo v skladu z GDPR zgolj zato, ker oseba, ki deluje na podlagi njegovega pooblastila, ni upoštevala njegovih navodil.

Za oceno višine odškodnine, ki se ji izplača, se merila, določena za določanje upravnih glob, ne bi smela upoštevati.

Generalni pravobranilec Sodišča EU je 25. aprila podal svoje mnenje v zadevi, ki se nanaša na Metino uporabo podatkov, ki jih je objavil pritožnik.

Po mnenju generalnega inšpektorja uporaba „načela minimizacije podatkov“ omejuje uporabo osebnih podatkov za oglaševalske namene, tudi če so uporabniki privolili v oglaševanje.

To načelo velja ne glede na pravno podlago, ki se uporablja za obdelavo: tudi uporabnik, ki privoli v prilagojeno oglaševanje, svojih osebnih podatkov ne more uporabljati v nedogled.

Poleg tega načelo „omejitve namena“ iz člena 5(1) GDPR še vedno velja v kontekstu „strganja spletnih strani“: javno dostopnih informacij (v tem primeru občutljivih) ni mogoče zbirati in obdelovati za druge namene, kot je ciljno oglaševanje.

Nevladna organizacija noyb je pri avstrijskem organu za varstvo podatkov (APD) vložila pritožbo glede "halucinacij" ChatGPT, ki bi kršile načela GDPR.

Max Schrems, direktor podjetja noyb, je povedal, da je bila njegova pritožba posledica tega, da ChatGPT ni navedel njegovega natančnega datuma rojstva in ga je nadomestil z navideznim ugibanjem, medtem ko klepetalni robot uporabnikov ne obvesti, da nima pravilnih podatkov za odgovor na zahtevo.

Podjetje za umetno inteligenco naj bi zavrnilo popravljanje ali brisanje napačnih odgovorov in ne razkriva nobenih informacij o obdelanih podatkih, njihovih virih ali prejemnikih.

Odkar je DSA začel veljati avgusta 2023, morajo večje spletne platforme in iskalniki (»VLOP« in »VLOSE«) zagotavljati javno dostopne in pregledne oglasne repozitorije.

Novo poročilo Mozille, ki ga je v sodelovanju s CheckFirst objavila, preučuje to težavo za storitve, ki jih ponuja 11 podjetij, vključno z AliExpressom, Appleovo trgovino App Store, Bingom, Booking.com, Alphabetom (Iskanje Google in YouTube), LinkedInom ali Meto (Facebook in Instagram).

Poročilo ugotavlja »velike razlike med platformami« in navaja, da nobena od njih nima »popolnoma delujočega oglasnega repozitorija in nobena ne bo raziskovalcem in skupinam civilne družbe zagotovila orodij in podatkov, ki jih potrebujejo za učinkovito spremljanje vpliva oglasov VLOP na prihajajočih volitvah v Evropi« (prek GDPRtoday).

  

Novice iz držav članic Evrope.

Belgijski organ za varstvo podatkov (APD) je 2. aprila menil, da bi moralo zbiranje digitalnih prstnih odtisov uporabnikovega terminala ("spletno odvzemanje prstnih odtisov") načeloma temeljiti na soglasju zadevne osebe.

Ta tehnika upravljavcu podatkov omogoča, da ponudi storitve, ki obiskovalca spletnega mesta identificirajo tudi med brskanjem v načinu brez beleženja zgodovine ali uporabo VPN-ja, tako da mu dodeli edinstven identifikator.

V kombinaciji z lokacijo uporabnika ta identifikator med drugim omogoča sledenje številu obiskov uporabnika.

APD je izdal opozorilo posebej zaradi neposredovanja informacij in uporabe kontaktnih podatkov zadevne osebe za pošiljanje trženjskih e-poštnih sporočil.

Češki organ za varstvo podatkov (APD) je podjetju za kibernetsko varnost in protivirusne programe Avast po pritožbi naložil globo v višini 13,7 milijona evrov, kar je najvišja kazen, ki jo je APD kdajkoli naložil.

Podjetje pred deljenjem s tretjimi osebami za namene tržne analize podatkov brskanja več kot 100 milijonov uporabnikov ni anonimiziralo.

Velja spomniti, da je Avast februarja v Združenih državah Amerike sankcionirala tudi Zvezna komisija za trgovino (FTC) in bila prisiljena plačati več kot 18 milijonov dolarjev.

Zaradi istih kaznivih dejanj je zoper njo vložena tudi kolektivna pritožba na Nizozemskem.

Na Finskem je bil heker, odgovoren za vdor v zdravstvene kartoteke pacientov v psihoterapevtskem centru Vastaamo, ki je za ukradene podatke zahteval odkupnino v višini 400.000 evrov, na okrožnem sodišču v zahodni provinci Uusimaa obsojen na šest let in tri mesece zapora. 

Vdor je vključeval zapise približno 33.000 pacientov, kar je rekordno število žrtev v finski pravni zgodovini. 

Takrat je APD družbi Vastaamo naložil upravno globo v višini 608.000 evrov zaradi kršitve GDPR, opustitve obveznosti glede varne obdelave osebnih podatkov in zamude pri poročanju o kršitvi varnosti podatkov.

Nekdanji izvršni direktor podjetja je bil lani pogojno obsojen na tri mesece zapora zaradi neupoštevanja varstva občutljivih osebnih podatkov.

Podjetje je od takrat vložilo zahtevo za stečaj.

Na Nizozemskem je bila telekomunikacijska skupina Odido, prej T-Mobile Nederland, kaznovana s 175.000 evri kazni. s strani inšpekcijskega pregleda digitalne infrastrukture zaradi napačne obdelave prometnih podatkov v okviru skupnega projekta z nacionalnim statističnim uradom.

Namen projekta je bil razviti algoritem, ki bi lahko zagotavljal informacije o gibanju velikih skupin ljudi, vendar so Odidovi procesi kršili zakonodajo o zasebnosti: Odido je poskrbel za psevdonimizacijo obdelanih podatkov, vendar o študiji ni bil obveščen noben od strank.

Grški organ za varstvo podatkov (APD) je grški pošti naložil globo v višini 2.995.140 evrov. zaradi neizvajanja ustreznih varnostnih ukrepov, kar je povzročilo kršitev podatkov, ki je prizadela več kot 4 milijone ljudi.

Španska agencija za varstvo podatkov (AEPD) se je odločila, da banki naloži globo v višini 2.000.000 evrov. zaradi nepridobitve soglasja posameznikov, na katere se nanaša obdelava njihovih osebnih podatkov.

Upravljavec podatkov je, potem ko je priznal svojo kršitev, na koncu plačal znižano globo v višini 1.200.000 evrov. 

Španski zakon (39/2015) o upravnih postopkih dejansko upravljavcu omogoča, da prizna odgovornost za domnevno kršitev in/ali plača globo, ki jo v fazi preiskave predlaga AEPD, v zameno za znižanje zneska globe za 40 %.

AEPD je upravljavcu podatkov naložil tudi globo v višini 3.500.000 evrov, ker ni opravil ustrezne ocene tveganja. in ki je zanemarila varnostne pomanjkljivosti, ki bi se jim lahko izognili, kar je povzročilo kršitev varnosti podatkov, ki je prizadela 1,3 milijona ljudi.

Na Švedskem je organ za varstvo podatkov (APD) izdal opomin upravljavcu podatkov, ker je od posameznikov, na katere se nanašajo osebni podatki, zahteval kopijo svojega osebnega dokumenta. kot tudi dokumenti, podpisani po pošti v okviru zahteve za izbris podatkov, kadar ni bilo utemeljenega razloga za dvom o identiteti zadevnih oseb.

 

Grindr je bil v Združenem kraljestvu predmet skupinske tožbe. v kateri so trdili, da je aplikacija za zmenke LGBTQ z oglaševalci delila občutljive podatke o svojih uporabnikih, kot sta njihov status HIV in spolna usmerjenost.

Po poročanju BBC naj bi aplikacija uporabljala "skrivno tehnologijo sledenja" za nezakonito zbiranje in deljenje teh podatkov s tretjimi osebami (prek GDPRtoday).

Svet OECD je 3. maja sprejel revizije načel o umetni inteligenci.

Kot odgovor na nedavni razvoj tehnologij umetne inteligence, vključno s pojavom splošne in generativne umetne inteligence, posodobljena načela bolj neposredno obravnavajo izzive, povezane z umetno inteligenco, glede zasebnosti, pravic intelektualne lastnine, varnosti in celovitosti informacij.

V Združenih državah Amerike je bil člen 702 ameriškega zakona o nadzoru tujih obveščevalnih služb (FISA) pravkar ponovno potrjen za dve leti.

Ta člen, ki dovoljuje omejen nadzor določenih komunikacij brez naloga, mora Kongres redno podaljševati.

Glasovanje je bilo menda sporno, saj je kongres obravnaval več predlogov za posodobitev besedila zakona: po poročanju Associated Pressa je prišlo do nesoglasij glede tega, ali bi moral biti FBI omejen pri uporabi zakona za vohunjenje za Američani.

Senat je zakon končno sprejel 20. aprila z zelo malo spremembami besedila.

Senat je 23. aprila sprejel Zakon o zaščiti Američanov pred aplikacijami, ki jih nadzirajo tuji nasprotniki, zakon, ki je bil na splošno opisan kot prepoved TikToka.

Ameriški predsednik Joe Biden je pravkar podpisal zakon, ki bo kitajsko platformo prisilil, da loči svoje ameriške operacije od operacij svoje matične družbe ByteDance ali pa sprejme dejstvo, da ameriški državljani ne bodo več mogli uporabljati storitve. TikTok je že napovedal pravne ukrepe.

Predlagana odredba ameriške Zvezne komisije za trgovino (FTC) z dne 15. aprila obtožuje podjetje za telezdravje duševnega zdravja, da krši svojo politiko zasebnosti in zavaja svoje stranke glede svoje politike preklica storitev.

Zvezna komisija za trgovino (FTC) namerava podjetju Cerebral in njegovemu izvršnemu direktorju naložiti 7 milijonov dolarjev globe zaradi zbiranja osebnih podatkov o strankah in njihove prodaje tretjim osebam.

Evropsko sodišče za človekove pravice trenutno obravnava več tisoč primerov v zvezi z obsodbami v Turčiji zaradi članstva v oboroženi teroristični organizaciji, ki temeljijo na domnevni uporabi aplikacije za šifrirano sporočanje z imenom "Bylock".

Vlagatelji trdijo, da so bile njihove obsodbe utemeljene na domnevni uporabi te aplikacije, ki je bila po mnenju turških sodišč zasnovana za izključno uporabo članov FETÖ/PDY pod krinko globalne aplikacije.

Vsakdo, ki je uporabljal Byllock, bi bil po njihovem mnenju načeloma lahko že samo na tej podlagi obsojen zaradi pripadnosti oboroženi teroristični organizaciji.