Pravna ura št. 73 – julij 2024.  

Storitve v oblaku: kakšna so merila za katero izbiro?

Od pandemije covida-19 se je uporaba storitev v oblaku povečala tako v javnem kot zasebnem sektorju.

Čeprav evropski okvir na tem področju postaja jasnejši, še danes ostaja veliko negotovosti.

• Ali naj izberemo francoski, evropski oblak, ki izpolnjuje zahteve suverenega oblaka?
• Kakšna so tveganja zaupanja upravljanja svojih podatkov podjetjem GAFAM?

Čeprav ni pravne opredelitve suverenega oblaka, se na splošno šteje, da mora zagotavljati suverenost na treh temeljnih ravneh:

• Podatki,
• Operacije,
• Infrastruktura.

Oblak mora zato predstavljati visoko raven zahtev glede digitalne varnosti in varstva podatkov s tehničnega, operativnega in pravnega vidika, natančneje pa mora biti v izključni pristojnosti na nacionalnem ozemlju.

Zato bodite previdni pri trditvah o "suverenem evropskem oblaku", ki jih podajajo neevropska podjetja.

Francija v Evropski uniji izstopa zaradi svojih še posebej strogih zahtev. še posebej po uvedbi okvira SecNumCloud in sprejetju zakona SREN 21. maja, katerega cilj je zavarovati in regulirati digitalni prostor.

Ta zakon od državnih uprav in njihovih upravljavcev, ki uporabljajo storitve v oblaku, ki jih zagotavlja zasebni ponudnik, zahteva, da uvedejo posebna varnostna in zaščitna merila za delovanje računalniških sistemov, ki obdelujejo podatke posebne občutljivosti.

Cilj je preprečiti kakršen koli nepooblaščen dostop do podatkov s strani javnih organov tretjih držav.

To je še posebej pomembno glede na Zakon o oblaku, ki ameriškim varnostnim službam dovoljuje dostop do podatkov, ki jih hranijo podjetja s sedežem zunaj njihovega ozemlja, brez predhodnega dovoljenja.

Te obveznosti so v skladu z duhom doktrine "oblak v središču", ki jo je francoska država razvila za svoje uprave.

Čeprav za zasebni sektor niso obvezna, so še vedno uporabna kot priporočila, zlasti kadar gre za obdelavo občutljivih podatkov, na primer na področju zdravstva ali raziskav.

Kaj pa razvoj storitev v oblaku drugod po Evropi?

Na voljo je veliko kakovostnih storitev, na primer v Nemčiji in Švici.

Vendar se zdi, da se pojem suverenega oblaka pogosto razlaga širše kot v francoskem kontekstu: nemški model opredeljuje kot suveren vsak oblak, ki se nahaja na ozemlju EU in ga trži evropsko podjetje, z zaposlenimi, ki so državljani EU, in posebnimi varnostnimi zahtevami glede dostopa do podatkov, tudi če storitev v oblaku v praksi ponuja na primer hčerinska družba ameriškega podjetja.

V tej smeri trenutno poteka projekt Evropske unije za certificiranje storitev v oblaku (EUCS).

V svoji najnovejši različici iz marca ta projekt "ponudnikom ne dovoljuje več dokazovanja, da varujejo shranjene podatke pred kakršnim koli dostopom tuje sile, za razliko od kvalifikacije SecNumCloud v Franciji".

V teh izrazih CNIL opozarja novo Evropsko komisijo pod vodstvom Ursule Von Der Leyen, ki je vključena v proces odločanja o EUCS.

Med razlogi, ki so bili navedeni za utemeljitev odstranitve zahtev po suverenosti iz projekta, so morebitne obtožbe o protekcionizmu s strani Združenih držav ali Kitajske.

CNIL pa poleg tveganja kršitve osebnih podatkov obžaluje tudi vpliv te znižane revizije evropskih zahtev na spodbujanje evropske ponudbe storitev v oblaku.

Glede na trenutno negotovost na evropskem prizorišču je ogrodje SecNumCloud koristna referenca, zlasti za obdelavo občutljivih ali strateških podatkov. 

Spletna stran ANSSI objavlja seznam storitev v oblaku, ki so kvalificirane kot "SecNumCloud": vsebuje seznam 14 storitev v oblaku, ki izpolnjujejo kvalifikacijske zahteve, posodobljen 17. julija, in osem drugih, ki so v postopku kvalifikacije.

Ne glede na okvir SecNumCloud ostajajo druge evropske storitve v oblaku privlačne v primerjavi z mednarodnimi konkurenti glede na trenutni pravni okvir.

Čeprav raven varstva podatkov v Združenih državah Amerike trenutno velja za ustrezno, je treba opozoriti, da je Evropsko sodišče razveljavilo prva dva sporazuma med EU in da Max Schrems, ki je sprožil prvi dve tožbi, namerava "okvir za varstvo podatkov" doleteti z enako usodo.

 

         

Generalni pravobranilec Sodišča Evropske unije (SEU) je v svojih sklepih z dne 11. julija odločil o potrebi po obdelavi podatkov v zvezi s spolom („g. ali ga.“) za zagotavljanje železniške storitve SNCF.

Ker je zbiranje teh podatkov na obrazcih SNCF obvezno, je Državni svet, na katerega se je obrnilo združenje Mousse, Sodišče EU vprašal, ali bi to zbiranje lahko temeljilo na členu 6.1.a (soglasje) ali 6.1.b (potrebno za izpolnitev pogodbe) GDPR.

Po mnenju Generalne skupščine takšna obravnava ni potrebna za zagotavljanje storitve, saj v tem primeru ni govora o ločenih vagonih za moške ali ženske, SNCF pa je priznal, da teh informacij ne uporablja sistematično v komunikaciji s strankami.

Generalni sodnik zlasti opozarja na uporabo načela minimizacije in omenja sodbo "Bundeskartellamt", v kateri je sodišče razglasilo, da "mora biti obdelava osebnih podatkov, da bi se štela za potrebno za izpolnjevanje pogodbe (...), objektivno nujna za namen, ki je sestavni del pogodbene obveznosti, ki velja za posameznika, na katerega se nanašajo osebni podatki".

Upravljavec podatkov mora zato biti sposoben dokazati, kako glavnega namena pogodbe ni mogoče doseči, če se zadevna obdelava ne izvede.

Generalna skupščina sklepa, da v tem konkretnem primeru spol uporabnika ni potreben.

Zveza zaupanja vrednih tretjih oseb v digitalnem sektorju je objavila »Vodnik po dobrih praksah za digitalne poti in soglasja«.

V regulativnem kontekstu digitalnih podpisov je cilj »zagotoviti, da združevanje vseh komponent v razširjeni verigi zaupanja skozi celoten postopek zagotavlja potrebne dokaze za naknadno dokazovanje doslednosti in zanesljivosti postopka«.

Državni svet je 21. junija delno razveljavil odlok iz leta 2021 o uporabi dronov s strani organov pregona..

Državni svet je menil, da nekatere določbe tega odloka nesorazmerno kršijo pravico do spoštovanja zasebnega življenja in svobodo zbiranja.

Uporaba dronov za snemanje demonstracij je dovoljena le, če je verjetno, da bodo prišlo do motenj javnega reda in miru, in če so posneti posnetki nujno potrebni za preprečitev takšnih motenj ali pregon odgovornih.

Poleg tega morajo biti osebe, ki jih snemajo, ustrezno obveščene o uporabi dronov in svojih pravicah do varstva podatkov (prek AFCDP).

Državni svet je potrdil pravico darovalcev spolnih celic, da v skladu s členom 21 GDPR ugovarjajo prenosu svojih osebnih podatkov iz organizacije, kjer so darovali, v centralni register darovalcev.

 

Evropske institucije in organi

Trenutno poteka spor med Evropsko komisijo in Evropskim nadzornikom za varstvo podatkov (EDPS) glede uporabe paketa Microsoft Office 365.

Komisija je sredi maja dejansko sprožila pravni postopek, da bi izpodbijala ugotovitve preiskave ENVP o njeni uporabi teh storitev.

ENVP še posebej kritizira Komisijo, ker ni zagotovila jamstev glede prenosa podatkov v Združene države Amerike. 

Komisija naj bi v pogodbi z Microsoftom tudi nezadostno opredelila vrst zbranih osebnih podatkov in namenov obdelave, kar je v nasprotju s Splošno uredbo EU o varstvu podatkov.

ENVP je pozval Komisijo, naj začasno ustavi zadevne prenose in do 9. decembra ravna v skladu z zakonom. Sklepi Komisije so bili sredi julija objavljeni v Uradnem listu EU.

Evropska komisija je 12. julija družbi X (prej Twitter) poslala svoje predhodne ugotovitve glede skladnosti z evropsko uredbo o digitalnih storitvah (DSA).

Postopek, ki se je začel decembra 2023, je posebej usmerjen na "temne vzorce", preglednost oglaševanja in dostop raziskovalcev do podatkov.

Elon Musk je že napovedal, da bo ugotovitve komisije izpodbijal na sodišču.

Na plenarnem zasedanju sredi julija je EOVP sprejel izjavo o vlogi organov za varstvo podatkov v okviru uredbe o umetni inteligenci.

Uredba določa, da države članice do 2. avgusta 2025 imenujejo nacionalne „organe za nadzor trga“ z namenom nadzora nad njeno uporabo in izvajanjem.

Po mnenju Evropskega odbora za varstvo podatkov (EDPB) imajo organi za varstvo podatkov že izkušnje z vplivom umetne inteligence na temeljne pravice in bi jih zato morali imenovati za organe za nadzor trga, s čimer bi zagotovili boljše usklajevanje med različnimi regulativnimi organi in večjo pravno varnost za vse deležnike.

Treba je opozoriti, da je uredba o umetni inteligenci, ki je bila 12. julija objavljena v Uradnem listu EU, začela veljati 1. avgusta.

EOVP je sprejel tudi dva dokumenta (pogosto zastavljena vprašanja) o sporazumu med Evropsko unijo in Združenimi državami Amerike o varstvu osebnih podatkov, da bi zagotovil več podrobnosti o njegovem delovanju.

Ti dokumenti so namenjeni posameznikom na eni strani in podjetjem na drugi.

Sodišče EU je 11. julija zavzelo stališče v zadevi, v kateri je nasprotovalo podjetju Meta nemški zvezi potrošniških organizacij.

Sodišče je spomnilo, da je obveznost upravljavca, da posameznikom, na katere se nanašajo osebni podatki, zagotovi informacije, posledica pravice teh oseb do informacij v skladu s členoma 12 in 13 GDPR in je zato ena od pravic, ki jih je mogoče uveljavljati z zastopniško tožbo v skladu s členom 80(2) GDPR.

Sodišče je tudi ugotovilo, da lahko kršitev obveznosti obveščanja posamezniku, na katerega se nanašajo osebni podatki, prepreči podajo „informirane“ privolitve in posledično lahko povzroči, da je obdelava nezakonita v skladu s členom 5(1)(a) Uredbe (prek GDPRhub).

Microsoft je 19. julija prišel na naslovnice v drugačnem kontekstu, ko je eden od njegovih podizvajalcev, Crowdstrike, distribuiral napačno posodobitev svoje varnostne programske opreme Falcon Sensor.

Približno 8,5 milijona računalnikov z operacijskim sistemom Microsoft Windows, ki so uporabljali programsko opremo, se je sesulo in se niso mogli pravilno znova zagnati, kar je bilo opisano kot "največji izpad v zgodovini informacijske tehnologije".

S pravnega vidika pomanjkanje razpoložljivosti podatkov zaradi takšne napake predstavlja kršitev varnosti, ki zahteva sprejetje ukrepov zlasti v skladu z evropsko direktivo NIS2 (ki bo začela veljati od naslednjega oktobra).

Evropski odbor za varstvo podatkov (EDPB) meni, da gre tudi za kršitev varstva osebnih podatkov v smislu GDPR, člena 4(12) uredbe, vključno s kršitvami, ki povzročijo nenamerno ali nezakonito izgubo podatkov.

Glede na posledice to pomeni obveščanje organov za varstvo podatkov in zadevnih oseb.

O tem stališču se trenutno razpravlja, pri čemer nekateri strokovnjaki menijo, da nedostopnost podatkov ne predstavlja izgube v smislu GDPR, drugi pa navajajo včasih ključne posledice blokiranja dostopa do podatkov za zadevne osebe.

 

Novice iz držav članic Evrope.

Nemško sodišče je razsodilo, da je Google Ireland Limited kot upravljavec iskalnika Google odgovoren za prikazovanje rezultatov iskanja, ne glede na to, ali rezultate iskanja zagotavlja ameriško podjetje Google LLC.

Na Danskem je organ za varstvo podatkov opomnil ministrstvo za priseljevanje in integracijo zaradi kršitve načela omejitve shranjevanja, ker ni spoštovalo lastne politike hrambe podatkov.

Španski senat za upravne spore pri "Audiencia Nacional" je v odločbi z dne 27. junija razsodil, da je španski organ za varstvo podatkov (APD) pristojen za obravnavo pritožbe, vložene proti ameriškemu podjetju Clearview AI.

Sodišče se je sklicevalo na prejšnje odločbe več organov za varstvo podatkov, vključno z odločbami italijanskega organa in odločbo CNIL z dne 26. novembra 2021, v kateri je ugotovilo, da Clearview spada na področje uporabe člena 3(2)(b) GDPR.

CNIL je upošteval iskanje fotografij na spletu, ki ga je izvedlo podjetje Clearview, URL-je teh fotografij in njihove metapodatke, kar mu je omogočilo identifikacijo in ustvarjanje podrobnega profila zadevnih oseb ter s tem spremljanje njihovega vedenja.

V Italiji je policija APD upravljavcu podatkov naložila globo v višini 30.000 evrov po kršitvi varnosti podatkov zaradi uporabe zastarelega orodja CMS, ki je zelo ranljivo za kibernetske napade.

Litovski organ za varstvo podatkov (APD) je družbi Vinted naložil globo v višini 2.385.276 evrov, ker je menil, da so bile njene prakse "skritih izključitev" (ki so vključevale izključitev uporabnika s platforme brez njegovega obvestila) in da se ni odzvala na zahteve za izbris podatkov, v nasprotju z načeli pravičnosti in preglednosti.

V tem konkretnem primeru sta se tožnika, ki sta bila iz Francije in Poljske, obrnila na svoja pristojna organa.

Pritožbe so bile posredovane litovskemu organu, ki je v tem kontekstu vodilni organ, saj je glavni sedež družbe Vinted v Litvi.

V Luksemburgu je sodišče potrdilo globo v višini 18.000 evrov, ki jo je APD naložil upravljavcu podatkov, ker v zadeve varstva podatkov ni neposredno vključil pooblaščene osebe za varstvo podatkov skupine in ker ji ni zagotovil zadostnih virov.

Nizozemski organ za varstvo podatkov (APD) je spletišču Kruidvat.nl naložil globo v višini 600.000 evrov, ker je namestilo sledilne piškotke, preden je pridobilo soglasje uporabnikov.

Organ za varstvo podatkov je tudi menil, da vnaprej označeno polje za sprejemanje sledilnih piškotkov ne predstavlja prostovoljno dane, specifične, informirane in nedvoumne privolitve.

 

Britanski organ za varstvo podatkov (ICO) je 19. junija objavil svojo odločitev glede aplikacije »My AI« družbe Snap in skladnosti z obveznostjo izvedbe ocene učinka na varstvo podatkov (DPIA).

Odločitev vsebuje podrobne komentarje o pričakovanjih ICO glede ravni podrobnosti, ki jo je treba vključiti v ocene učinka na varstvo podatkov na splošno, in posebne ugotovitve glede splošne umetne inteligence in umetne inteligence, ki se nanaša na otroke.

Ker je britanska zakonodaja, na kateri temeljijo te določbe, še vedno skoraj enaka zakonodaji EU, so ta opažanja lahko koristna tudi zunaj Združenega kraljestva.

ICO je 30. julija izdal tudi sporočilo za javnost, v katerem je navedel, da je volilno komisijo opominjal, ker ni zaščitila svojih strežnikov, kar je hekerjem omogočilo dostop do osebnih podatkov približno 40 milijonov ljudi.

V Združenih državah Amerike je bil senatu predložen zakon o umetni inteligenci ("Zakon o zaščiti izvora in integritete vsebin pred urejanimi in ponarejenimi mediji (COPIED ACT)"), ki naj bi se boril proti "ponarejanjem", povečal preglednost umetne inteligence in dal več moči ustvarjalcem vsebin.

Ameriški senat je konec julija sprejel Zakon o spletni varnosti in zasebnosti otrok.

Ta dvostranski zakon združuje več zakonov o varnosti, varstvu spletne zasebnosti otrok in mladostnikov ter preglednosti pri filtriranju, povezani z uporabo umetne inteligence.

Besedilo mora zdaj odobriti še Predstavniški dom.

Zvezna komisija za trgovino je v izjavi z dne 23. julija navedla, da je osmim podjetjem naročila, naj ji posredujejo informacije o izdelkih in storitvah, ki uporabljajo osebne podatke, vključno s financami in zgodovino brskanja, za personalizacijo cen za posameznike.

Namen odredb je pomagati FTC bolje razumeti nepregleden trg izdelkov, ki jih ponujajo tretji posredniki, ki uporabljajo napredne algoritme in uporabniške podatke (lokacijo, demografske podatke, kreditno sposobnost in zgodovino brskanja ali nakupov) za kategorizacijo posameznikov in ciljno določanje cen.

Medtem ko je Google začel postopoma odstranjevati piškotke za sledenje tretjih oseb iz Chroma prek svojega »peskovnika zasebnosti« (sistem sledenja, ki je predstavljen kot prijazen do zasebnosti, a je bil drugje izpodbijan), je podjetje 22. julija sporočilo, da projekt opušča.

Namesto odstranjevanja piškotkov tretjih oseb bi Google uvedel »novo izkušnjo v Chromu, ki bi uporabnikom omogočila premišljeno izbiro, ki bi veljala za vse njihovo brskanje po spletu«, izbiro, ki bi jo lahko kadar koli spremenili.

Britanska uradna razvojna agencija je izrazila obžalovanje zaradi opustitve projekta.

Zakon o varstvu podatkov v Malaviju je začel veljati julija.

Pridružila se bo že dolgemu seznamu afriških držav z zakonom o varstvu osebnih podatkov.

Poleg tega je Afriški observatorij za odgovorno umetno inteligenco marca lani objavil dokument z naslovom "Upravljanje odgovorne umetne inteligence v Afriki: perspektive za regulacijo, ki temelji na rezultatih".