Pravna ura št. 65 – november 2023.

Pritožbe in sankcije: kakšna je agenda za organe za varstvo podatkov za leto 2024?

Začetek veljavnosti GDPR je privedel do večje ozaveščenosti o varstvu podatkov, tako med upravljavci podatkov kot med posamezniki.

To je povzročilo povečanje pritožb uradnim razvojnim agencijam, ki so včasih obtožene, da zaradi pomanjkanja zadostnih virov ne ukrepajo glede teh pritožb.

Medtem ko se je v Združenem kraljestvu "informacijski pooblaščenec" odločil, da ne bo več obravnaval nekaterih vrst pritožb, ki veljajo za neprednostne, so v Evropski uniji organi načeloma dolžni obravnavati vsako pritožbo, seveda če je dopustna.

Norveška komisija za pritožbe glede zasebnosti je tako razveljavila odločitev organa za varstvo podatkov (DPA), da se pritožbeni primer zaključi s preprostim informativnim pismom upravljavcu podatkov, s čimer je upravljavca zavezala k oceni zakonitosti obdelave in poudarila, da organ za varstvo podatkov ne more prosto izbirati, katere primere bo preiskal in katerih ne.

V Franciji je CNIL leta 2022 uvedel poenostavljen postopek sankcij, ki mu omogoča hitrejšo obravnavo nekaterih vrst pritožb.

To so primeri, za katere obstaja ustaljena sodna praksa, odločitve, ki jih je predhodno izdal omejeni senat, ali dejanska ali pravna vprašanja, ki se izkažejo za enostavna za odločitev.

Postopek je pisni, vendar zadevni organizaciji omogoča, da se izrazi in predstavi ustne pripombe.

Sankcije so v tej konfiguraciji bolj omejene in lahko vključujejo opozorilo, odredbo o uskladitvi obdelave s predpisi – vključno z denarno kaznijo do 100 EUR na dan zamude – ali upravno globo do 20.000 EUR.

CNIL je pravkar deset zasebnih in javnih akterjev kaznoval s skupno 97.000 evri glob zaradi kršitev:

• K obveznosti odzivanja na zahteve CNIL;
• Za minimizacijo podatkov;
• Informacije o izvedeni obdelavi in njenih namenih;
• Obveznost spoštovanja pravic posameznikov in zlasti odgovora na zahtevo za ugovor.

CNIL poudarja, da med pritožbami, s katerimi se je moral ukvarjati, izstopata predvsem dve težavi: geolokacija in stalni video nadzor zaposlenih.

Obdelava podatkov se pogosto izvaja v nasprotju z načelom minimizacije podatkov, določenim v GDPR.

Komisija zlasti ugotavlja, da „neprekinjeno beleženje geolokacijskih podatkov brez možnosti, da bi zaposleni med odmori ustavili ali začasno ustavili napravo, razen če je to posebej utemeljeno, predstavlja pretirano kršitev svobode gibanja in pravice do zasebnosti zaposlenih.“

Enako velja za sisteme video nadzora, ki nenehno snemajo zaposlene na njihovih delovnih mestih.

»Preprečevanje nesreč na delovnem mestu in ugotavljanje dokazov ne upravičujeta izvajanja stalnega video nadzora delovnih mest,« zbrani osebni podatki pa se ne zdijo ustrezni ali relevantni.

Stalno spremljanje zaposlenih je, z redkimi izjemami, nesorazmerno z zastavljenimi cilji.

CNIL napoveduje, da bo leta 2024 okrepil svojo represivno politiko in sprejemal odločitve v krajših rokih.

Treba je opozoriti, da so se organi za varstvo podatkov, ki so člani Evropskega odbora za varstvo podatkov, v okviru sodelovanja na evropski ravni odločili, da bodo prihodnje leto dali prednost pravicam posameznikov. Njihovo usklajeno delovanje se bo osredotočilo na to, kako se upravljavci podatkov odzivajo na zahteve posameznikov za dostop do njihovih podatkov, kar je tema, ki bi jo bilo treba vključiti v prihajajoče poenostavljene postopke sankcij CNIL.

 

  

• CNIL je 15. novembra objavil Referenčni vodnik o obdobjih hrambe za najpogostejše načine zdravljenja v socialnem in zdravstveno-socialnem sektorju in praktični vodnik, ki ponuja metodologijo zadevnim strokovnjakom.
• V sodelovanju s francoskim organom za varstvo konkurence (AdlC) in Ekonomsko fakulteto v Toulousu CNIL 12. decembra organizira dogodek z naslovom »Varstvo podatkov in konkurenca: skupna ambicija«. Med tem poldnevnim dogodkom za regulatorje, raziskovalce in strokovnjake bosta AdlC in CNIL sprejela in predstavila skupno izjavo.
• CNIL (francoski organ za varstvo podatkov) je 9. novembra 2023 izdal opozorilo Ministrstvu za preobrazbo in javne službe ter Ministrstvu za gospodarstvo, finance ter industrijo in digitalno suverenost zaradi uporabe kontaktni podatki več kot dveh milijonov javnih uslužbencev da bi sporočili in utemeljili projekt pokojninske reforme, ki bo takrat sprejet.

Minister je uporabljal ENSAP, digitalno platformo, na kateri so na voljo zaupni dokumenti javnih uslužbencev, kot je njihova mesečna plačilna lista. 

Omejena komisija CNIL je predvsem opozorila, da platforme ENSAP ni mogoče uporabljati za komunikacijo politične narave.

• Ustavni svet je v sklepu z dne 16. novembra izrekel grajo oddaljena aktivacija mobilnih telefonov za zajemanje zvoka in slik ki jih določa zakon o usmeritvi in programiranju pravosodja v zvezi s sistemskim zakonom o odprtju, posodobitvi in odgovornosti sodnega organa.

Svet meni, da bo ta oddaljena aktivacija, brez potrebe po fizičnem dostopu preiskovalcev do zasebnih prostorov za namestitev nadzornih naprav, verjetno povzročila še posebej veliko in nesorazmerno kršitev pravice do spoštovanja zasebnega življenja.

Poudarja tudi, da ta ukrep omogoča spremljanje tako tistih, na katere se preiskave nanašajo, kot tretjih oseb. 

Vendar pa ustavni svet ne obsoja oddaljene aktivacije elektronskih naprav za namene geolokacije.

• Z začasno odredbo z dne 22. novembra 2023 je upravno sodišče v Caenu razsodilo, da Algoritemski video nadzorni sistem Briefcam uporablja medobčinski organ Cœur Côte Fleurie (vključno z Deauville-Trouville), predstavlja resno in očitno nezakonito kršitev pravice do zasebnosti ter je odgovornim osebam naložila izbris osebnih podatkov, ki izhajajo iz uporabe programske opreme.

Sodnik je v senatu ugotovil, da je bila uporaba zunaj kakršnega koli pravnega ali regulativnega okvira, in menil, da "ni bilo ugotovljeno niti trditveno, da za ohranitev javnega reda ne bi bilo mogoče uporabiti drugih, manj vsiljivih sredstev glede zasebnosti".

• 8. novembra 2023 je koalicija šestih organizacij, vključno z La Quadrature du Net in EDRi, vložila pritožbo pri državnem svetu zoper francoski odlok o izvajanju uredbe v zvezi z bojem proti širjenju terorističnih vsebin na spletu.

Državni svet pozivajo, naj Sodišču Evropske unije (SEU) predloži predhodno vprašanje o veljavnosti zakona TERREG glede na temeljne pravice, ki jih varuje pravo Evropske unije, in opozarjajo na kršitve svobode izražanja in pravice do spletnih informacij.

 

 

Evropske institucije in organi

• Odbora za okolje in državljanske svoboščine Evropskega parlamenta sta svoje stališče sprejela 28. novembra. vzpostavitev evropskega prostora zdravstvenih podatkov da bi spodbudili prenosljivost osebnih zdravstvenih podatkov in varnejšo izmenjavo.

Poslanci želijo zlasti obvezno pridobitev izrecnega dovoljenja pacientov za sekundarno uporabo njihovih zdravstvenih podatkov.

• Evropska unija je sprejela revizijo uredbe eIDAS, s čimer je utrla pot za uvedba digitalne identitete po vsej EU.

Nekateri vidiki ostajajo sporni, zlasti „kvalificirana potrdila o spletnem preverjanju pristnosti“ (QWAC), ki bodo od brskalnikov zahtevala, da sprejmejo korenska potrdila, ki jih izda vlada, namenjena preprečevanju goljufij in kraje identitete, kar nekateri strokovnjaki za kibernetsko varnost menijo za tveganje vdora v spletno preverjanje pristnosti: prodajalci brskalnikov ne bi mogli zavrniti QWAC-a, tudi če bi predstavljal varnostno grožnjo.

• Medtem ko Pogajanja o prihodnji ureditvi umetne inteligence še potekajo V času pisanja tega besedila ostaja še vedno nekaj neodgovorjenih vprašanj, vključno z upoštevanjem modelov temeljev, kot je ChatGPT, v predpisih.

Izjava o stališču civilne družbe, ki je bila evropskim pogajalcem posredovana 16. novembra, prav tako izpostavlja vprašanje obsega zaščite pred škodo, povezano z uporabo umetne inteligence za namene policijskega dela, migracij in nacionalne varnosti.

• Evropski odbor za varstvo podatkov (EDPB) je 14. novembra sprejel smernice glede tehničnega področja uporabe člena 5(3) direktive o e-zasebnosti.

Odbor pojasnjuje, da Pojav novih metod sledenja, katerih cilj je nadomestiti obstoječa orodja za sledenje, kot so piškotki, in ustvariti nove poslovne modele, je postal velika skrb. glede varstva podatkov.

Smernice posebej obravnavajo "prstni odtis naprave" in najpogostejše tehnike, kot so sledenje URL-jem in slikovnim pikam, sledenje samo IP-naslovom, poročanje o internetu stvari (IoT) in enolični identifikatorji.

• Evropski nadzornik za varstvo podatkov (EDPS) je sredi novembra objavil dokument »TechDispatch«, posvečen razložljiva umetna inteligenca ("razložljiva umetna inteligenca"), da bi obravnavali učinek "črne škatle" umetne inteligence.

Obravnava vprašanje tveganj nepreglednih sistemov umetne inteligence in opisuje, kako lahko umetna inteligenca vključuje preglednost, interpretabilnost in razložljivost.

ENVP je 8. novembra objavil tudi študijo o bistvu temeljnih pravic do spoštovanja zasebnosti in varstva osebnih podatkov.

Ta dokument preučuje zahtevo po spoštovanju "bistva" teh pravic, kadar so omejene v skladu s pravom Evropske unije (EU).

• Sodišče EU je v odločbi z dne 9. novembra pojasnilo svojo razlago osebnih podatkov.

Čutila je, da Identifikacijske številke vozil kot take niso osebni podatki..

Vendar pa postanejo osebni podatki, ko ima oseba (fizična oseba), ki ima dostop do njih, sredstva za identifikacijo lastnika vozila.

• Sodišče EU je 7. decembra sprejelo dve pomembni sodbi v zvezi s prevladujočim ponudnikom storitev kreditnih informacij („Schufa“) v Nemčiji.

Sodišče je zlasti navedlo, da Avtomatizirano ocenjevanje kreditne sposobnosti ("točkovanje") je predmet splošne prepovedi. v skladu s členom 22 GDPR.

Dodaja, da za podjetje, ki avtomatizirano določi kreditno oceno, še vedno velja člen 22, tudi če se drugo podjetje zanaša na to oceno pri sprejemanju odločitev, ki imajo (negativen) vpliv na zadevno osebo. – sklepanje, ki bi lahko vplivalo na sisteme, podprte z umetno inteligenco.

Sodišče je tudi potrdilo, da imajo nacionalna sodišča široka pooblastila za nadzor nad organi za varstvo podatkov.

• Evropsko sodišče za človekove pravice je novembra objavilo dokument, v katerem je naštelo svojo sodno prakso o varstvu osebnih podatkov.
• ENISA, Agencija Evropske unije za kibernetsko varnost, je objavila Pregled kibernetskih groženj po sektorjih dejavnosti za leto 2023.

Glede na poročilo »Threat Landscape 2023« ostajata glavni tarči javna uprava in vlade, sledijo pa jim zdravstveni, proizvodni, prometni in finančni sektor.

• Nevladna organizacija noyb je 28. novembra vložila pritožbo proti Meti pri avstrijskem organu za varstvo podatkov.

DOLGO izpodbija "izbiro", ki jo imajo evropski uporabniki med soglasjem za sledenje za namene prilagojenega oglaševanja in plačilom do 251,88 evra na leto "da bi ohranili svojo temeljno pravico do varstva podatkov na Instagramu in Facebooku." 

V istem kontekstu je Evropska organizacija potrošnikov (BEUC) 30. novembra vložila pritožbo pri Mreži za varstvo potrošnikov (CPC), v kateri trdi, da se Meta ukvarja z nepoštenimi poslovnimi praksami.

Prav tako oceni, ali Meta krši GDPR.

• 110 organizacij civilne družbe poziva oblikovalce politik EU, naj zavrnejo tekočo reformo sistema EURODAC.

Podatkovna baza, namenjena zbiranju in shranjevanju podatkov o prosilcih za azil, "bi se preoblikovala v orodje za nadzor, ki bi ljudi, ki iščejo zaščito, obravnavalo kot osumljence kaznivih dejanj, vključno z otroki, starimi komaj 6 let, katerih prstni odtisi in podobe obraza bi bili vključeni v podatkovno bazo."

 

Novice iz držav članic Evrope.

• V Belgiji je APD 23. novembra v primeru nadzora na delovnem mestu menil, da neprekinjeno spremljanje dela s kamerami ni v skladu z načelom minimalne obdelave podatkov.

Senat za spore pri APD je izjavil, da gre za resno kršitev, vendar je, ker je šlo za majhno podjetje, le-to obvestil o kršitvi in ga pozval, naj obdelavo uskladi s predpisi, ne da bi mu naložil globo.

• Danski organ za varstvo podatkov je zavrnil načrt mesta København za razvoj orodij umetne inteligence za prepoznavanje državljanov, ki potrebujejo rehabilitacijo, ker nacionalna zakonodaja, uporabljena za namene člena 6(1)(e) in člena 6(3) GDPR, ni bila dovolj natančna glede obsega uporabe umetne inteligence.
• Nemško zvezno delovno sodišče izvedel odločbo Sodišča EU C-453/21, pri čemer je upošteval, da Predsednik sveta delavcev hčerinske družbe je bil upravičeno razrešen položaja pooblaščene osebe za varstvo podatkov v skupini podjetij zaradi navzkrižja interesov med obema vlogama.
• Na Nizozemskem je uradna razvojna pomoč (ODA) je 24. novembra uvedlo korektivne ukrepe agenciji za zavarovanje zaposlenih (Uitvoeringsinstituut Werknemersverzekeringen – UWV) v zvezi s 703 osebami, ki prejemajo nadomestilo.

Do začetka letošnjega leta, UWV je nezakonito sledil spletnemu vedenju teh ljudi, ki so prejemali nadomestilo za brezposelnost, z uporabo algoritma.

• V okviru postopka iz 60. člena GDPR, Irska agencija za varstvo podatkov (DPA) je oštela Airbnb Ireland zaradi kršitve načel minimizacije podatkov in omejitve shranjevanja. in ker se je pri hrambi osebnih dokumentov posameznika, na katerega se nanašajo osebni podatki, neupravičeno skliceval na člen 6(1)(f) GDPR kot podlago za obdelavo.
• Italijanski APD konec novembra začel preiskavo na javnih in zasebnih spletnih straneh, da bi preveril sprejetje Ustrezni varnostni ukrepi za preprečevanje množičnega zbiranja (spletnega strganja) osebnih podatkovs strani tretjih oseb za namene učenja algoritmov umetne inteligence.
• Deželno sodišče v Berlinu ocenjeno, da LinkedIn se je ukvarjal z nepoštenimi poslovnimi praksami in kršil GDPR, ker ni upošteval uporabe Parametri »Ne sledi« (DNT) kot ugovor obdelavi in s predhodnim preverjanjem nastavitve »vidnost zunaj LinkedIna«, ko uporabniki prvič ustvarijo račun.

Kljub pomanjkanju standardizacije DNT po mnenju sodišča predstavljajo učinkovit ugovor zoper obdelavo podatkov: z drugimi besedami, pravico do ugovora, ki jo določa GDPR, je mogoče uveljavljati tudi z avtomatiziranimi sredstvi, kot so nastavitve brskalnika.

• Srečanje ministrov za digitalno tehnologijo in tehnologijo skupine G7 ter OECD praktično 1. decembra 2023, da bi nadaljevali razprave o operacionalizaciji "prostega pretoka podatkov z zaupanjem" (DFFT) za lažji čezmejni pretok podatkov.

Napredek in naslednji koraki so podrobno opisani v sporočilu za javnost, ki je na voljo na spletu.

• Izvršni direktorji največjih platform družbenih medijev so se pojavili pred pravosodnim odborom ameriškega senata. 6. decembra, da bi pričal o spolnem izkoriščanju otrok in domnevnem neuspehu podjetij pri zaščiti otrok na svojih platformah.
• Avstralska vlada se je javno odzvala poročilu o pregledu zakona o zasebnosti, objavljenem 28. septembra 2023, in potrjuje svojo zavezanost krepitvi avstralskih standardov zasebnosti, da bi jih bolj uskladili s svetovnimi standardi.

 

Vrsta predlogov bi si prizadevala za uvedbo dodatnih zaščitnih ukrepov glede zasebnosti otrok.

• Elon Musk je napovedal, da bo Grok, njegov klepetalni robot z umetno inteligenco, začel delovati v začetku decembra.

Klepetalni robot, ki ga je razvilo Muskovo podjetje za umetno inteligenco xAI, bo funkcija v aplikaciji za naročnike X Premium+.

• YouTube je objavil objavo na blogu, v kateri je napovedal različne ukrepe za označevanje vsebin, ustvarjenih z umetno inteligenco, in boj proti "globokim ponaredkom".

Podjetje namerava uvesti posodobitve, ki bodo uporabnike obvestile, kdaj je vsebina, ki jo vidijo, sintetična.

YouTube bo zato ustvarjalce prosil, naj navedejo, ali so ustvarili realistično spremenjeno ali sintetično vsebino, vključno z uporabo orodij umetne inteligence.