Pravna ura št. 74 – avgust 2024.  

Telegram, Signal, Whatsapp ... Kako dobre so storitve za takojšnje sporočanje v profesionalnem kontekstu?

V medijih so se pojavili številni odzivi na aretacijo Pavla Durova, ustanovitelja aplikacije za sporočanje, v Franciji. Telegram.

Ne glede na politične razprave na to temo nam primer daje priložnost, da ocenimo zanesljivost storitev takojšnjega sporočanja.

V kolikšni meri so izmenjane informacije resnično zaupne? Ali so te aplikacije primerljive in ali jih je mogoče uporabiti v profesionalnem kontekstu?

Večina storitev za takojšnje sporočanje se danes ponaša s šifriranjem svojih komunikacij.

Vendar se praksa razlikuje glede na storitev sporočanja.

Mnogi uporabniki Telegrama so tako v zadnjih dneh spoznali, da njihova komunikacija ni privzeto zaščitena.

Zaščitena je samo neposredna komunikacija med dvema udeležencema, ki sta v možnostih pogovora ročno aktivirala šifriranje.

Treba je opozoriti, da Telegram ne uporablja odprtokodnega šifriranja, kot je protokol Signal, temveč se zanaša na "domačo" tehnologijo, ki jo je nemogoče preveriti. 

Skupinskih razprav (ali klepetalnic) ni mogoče šifrirati, zato lahko Telegram dostopa do njihove vsebine ter informacij o članih in skrbnikih teh skupin.

Izmenjave tukaj so bolj podobne izmenjavam na družbenih omrežjih kot na storitvah za sporočanje.

Telegram je že leta kritiziran zaradi pomanjkanja moderiranja forumov, ignoriranja zahtev številnih vlad za odstranitev nezakonitih vsebin in zavračanja deljenja informacij o morebitnih kršiteljih.

Te obveznosti moderiranja in sodelovanja z organi pregona določata francoska zakonodaja in evropska uredba o digitalnih storitvah.

V tem kontekstu je bil njen ustanovitelj aretiran zaradi pomanjkanja sodelovanja in sokrivde pri organiziranem kriminalu.

Ta obveznost sodelovanja ima kljub temu omejitve: tako šifrirana komunikacija od konca do konca ostaja zaupna in je ne more prestreči tretja oseba, pa naj bo to ponudnik sporočil, vlada ali heker.

Nekatere države so zaskrbljene zaradi široke uporabe šifriranja in lobirajo za regulativne spremembe, ki bi omogočile njegovo izogibanje.

To še posebej velja v kontekstu predlagane evropske uredbe o spolni zlorabi otrok.

Ta pritisk za oslabitev zaupnosti komunikacij izzove številne odzive zagovornikov individualnih svoboščin in organov za varstvo podatkov, ki bi to pomenilo obsežen nadzor nad zasebnimi komunikacijami, spodkopalo digitalno varnost z vdorom v šifriranje in ne bi zagotovilo nobenega dokaza, da bi sploh doseglo svoj cilj zaščite otrok.

Glede na trenutno stanje prava in tehnologije je za izmenjavo profesionalnih sporočil močno priporočljiva uporaba šifriranega sporočanja od konca do konca, zlasti kadar je vsebina sporočila občutljiva (npr. zdravstveni ali finančni podatki).

In v tem pogledu niso vse aplikacije enake. Čeprav je vsebina sporočila lahko zaščitena, šifriranje ne preprečuje zbiranja določenih podatkov o identifikaciji uporabnika in/ali povezavi.

Pri uporabi diskusijskih skupin je v vseh primerih priporočljiva posebna previdnost.

Uporaba skupin WhatsApp Izmenjava občutljivih podatkov v poklicnem kontekstu je tako privedla do tega, da je organ za varstvo podatkov upravljavca podatkov sankcioniral.

Signal Na splošno velja, da zagotavlja visoko raven zaščite, vendar ni edini.

Na primer, lahko omenimo Threema In Olvid Prednost teh storitev je, da so evropske. Slabost pa je, da so še vedno relativno neznane. Znotraj podjetja lahko takšni sistemi za sporočanje kljub temu predstavljajo zanimivo alternativo.

Opomba / Številne analize podrobno opisujejo prednosti in slabosti aplikacij za sporočanje. Glejte na primer analizo podjetja Orange Cyberdefense: https://www.orangecyberdefense.com/fr/insights/blog/data/securite-et-vie-privee-comparatif-des-apps-de-messagerie-instantanee

Za celovitejšo analizo tega, kaj lahko organi pregona pridobijo od storitve sporočanja, si oglejte ta dokument o usposabljanju FBI, ki ga je na zahtevo Zakona o svobodi informacij pridobila organizacija Property of the People, ameriška neprofitna organizacija, posvečena preglednosti vlade: https://propertyofthepeople.org/document-detail/?doc-id=21114562

 

        

Zdravniki SOS so 2. septembra sporočili, da je CNIL odobril ustanovitev podatkovnega skladišča z imenom "Contact".

Po navedbah organizacije SOS médecins je Contact "posvečen nenačrtovani oskrbi in izboljšanju dostopa do oskrbe (ter) bo spodbujal raziskave in inovacije na področju zdravstva".

Varno in zaupno bo združil podatke milijonov pacientov, ki se vsako leto zdravijo v okviru 64 združenj federacije.

Po mnenju zveze bi bilo treba te podatke ponovno uporabiti v korist pacientov za izboljšanje praks in optimizacijo oskrbe.

Univerza Paris-Saclay je sporočila, da je bila 11. avgusta tarča napada z izsiljevalsko programsko opremo. Ta incident se je zgodil teden dni po drugem kibernetskem napadu na več kot 40 kulturnih ustanov v Franciji: kibernetski kriminalci so domnevno vdrli v računalniški sistem, skupen za "Réunion des musées nationaux – Grand Palais", ki centralizira vse finančne podatke teh ustanov, in zagrozili, da bodo podatke objavili v 48 urah, če odkupnina ne bo plačana.

Po poročanju L'Usine Digitale je bilo prizadetih 36 trgovin, ki jih upravlja omrežje, sistemi pa so bili odklopljeni. Pariško državno tožilstvo je sprožilo preiskavo.

 

Evropske institucije in organi

Evropska komisija je odprla posvetovanje o zaščiti mladoletnikov na spletu, ki bo trajalo do 30. septembra. zlasti v kontekstu Zakona o digitalnih storitvah (DSA) in Zakona o poročanju o otroški pornografiji (CSAM).

V skladu z Zakonom o digitalnih storitvah mora Komisija razviti smernice, ki bodo zadevnim spletnim platformam pomagale pri izpolnjevanju zahtev glede varstva zasebnosti in varnosti mladoletnikov.

„Te smernice bodo ponudnikom spletnih platform zagotovile neizčrpen seznam dobrih praks in priporočil, ki jim bodo pomagala zmanjšati tveganja, povezana z zaščito mladoletnikov. Smernice bodo Komisiji in koordinatorjem digitalnih storitev pomagale tudi pri nadzoru platform in izvrševanju Zakona o digitalnih storitvah.“

Evropska komisija bo to jesen objavila svoje prvo poročilo o delovanju "Okvirja za varstvo podatkov" (DPF) med Evropsko unijo in Združenimi državami Amerike. Julija je bil na to temo organiziran dvostranski ocenjevalni sestanek, Komisija pa je odprla tudi javno posvetovanje, ki omogoča pošiljanje pripomb do 6. septembra.

Kitajska in EU sta začeli razprave o prenosu podatkov v okviru novega "mehanizma za komunikacijo čezmejnega pretoka podatkov". Po navedbah Evropske komisije je namen mehanizma najti načine za lažji čezmejni prenos neosebnih podatkov za evropska podjetja, pa tudi njihovo skladnost s kitajsko zakonodajo o podatkih.

 

Novice iz držav članic Evrope.

V Nemčiji je pritožbeno sodišče v Frankfurtu odredilo Microsoftu, naj se vzdrži nameščanja in shranjevanja piškotkov na napravah zadevne osebe brez njenega soglasja, tudi če to pomeni, da Microsoft preneha nameščati vse sledilne piškotke.

Zdi se, da je ta odločitev v skladu z nedavno sodbo nizozemskega sodišča, ki je podjetjem Microsoft, LinkedIn in Xandr prepovedalo nameščanje sledilnih piškotkov brez soglasja uporabnikov in naložilo kazen v višini 1000 evrov na podjetje za vsak dan neupoštevanja odločitve (prek GDPRhub).

Belgijski organ za varstvo podatkov (DPA) je zavrnil pritožbo, ki jo je posameznik, na katerega se nanašajo osebni podatki, vložil zaradi kršitve varnosti podatkov. Menila je, da so tehnični in organizacijski ukrepi, ki jih je upravljavec podatkov sprejel v skladu s členom 32 GDPR, ustrezni.

Danska uradna razvojna pomoč menilo, da mora imeti zadevna oseba za svobodno in izrecno privolitev v uporabo prepoznavanja obraza za dostop do fitnesa na voljo druge metode preverjanja, ki ne vključujejo obdelave biometričnih podatkov.

V Španiji je organ za varstvo podatkov (APD) upravljavcu podatkov naložil globo v višini 145.000 evrov, potem ko je ta krajil nešifriran USB-ključek z osebnimi podatki v zvezi s kazenskim postopkom.Ugotovila je kršitev načela zaupnosti, čeprav ni bilo dokazov, da je bil dostop do podatkov opravljen.

V Italiji je APD je občini, ki je nezakonito objavila imena neuspešnih kandidatov v javnem izbirnem postopku, naložil globo v višini 20.000 evrov. Poleg tega občina s svojim podizvajalcem ni sklenila zavezujočega sporazuma, kar predstavlja kršitev 28. člena(3) GDPR.

APD je ponudniku telekomunikacijskih storitev naložil tudi milijon evrov globe, ker je brez veljavnega soglasja stopil v stik s strankami v komercialne namene. Organ za varstvo podatkov je menil, da upravljavec podatkov ne more sklicevati na legitimni interes za telefonske klice svojim strankam v trženjske namene.

Nizozemski organ za varstvo podatkov (APD) je 22. julija v sodelovanju s CNIL družbama Uber BV (s sedežem na Nizozemskem) in Uber technologies INC. (s sedežem v Združenih državah Amerike) naložil globo v višini 290 milijonov evrov zaradi prenosa osebnih podatkov zunaj EU brez zadostnih zaščitnih ukrepov.

CNIL (francoski organ za varstvo podatkov) je prejel kolektivno pritožbo Lige za človekove pravice, ki zastopa več kot 170 voznikov na platformi. Nizozemski organ za varstvo podatkov (APD) je ugotovil, da obdelava osebnih podatkov voznikov, za katero sta skupno odgovorni podjetji Uber BV in Uber Technologies Inc., vključuje prenose v Združene države Amerike. Med 6. avgustom 2021 in 21. novembrom 2023 (datum, ko je bil Uber dodan v okvir za varstvo podatkov) za te prenose niso veljali ustrezni zaščitni ukrepi. APD je ugotovil, da je prišlo do kršitve 44. člena GDPR. Uber je napovedal, da se bo na to odločitev pritožil, saj jo smatra za neutemeljeno.

Nizozemski organ za varstvo podatkov (APD) je 3. septembra podjetju Clearview AI naložil tudi globo v višini 30,5 milijona evrov, skupaj z dodatno kaznijo v višini 5 milijonov evrov zaradi neskladnosti. Clearview je med drugim ustvaril nezakonito podatkovno bazo, ki je vsebovala milijarde obrazov obrazov, vključno s podobami nizozemskih državljanov. APD je prav tako prepovedal uporabo storitev Clearview. Ker podjetje ni pokazalo pripravljenosti za spremembo svojih praks, je APD nakazal, da preučuje različne pravne poti, vključno z možnostjo, da bi vodstvo podjetja osebno odgovarjalo za te kršitve.

Norveška univerza za znanost in tehnologijo (NTNU) je pod okriljem »peskovnikov« norveškega organa za varstvo podatkov objavila poročilo z naslovom »Pilotni preizkus rešitve Copilot za Microsoft 365«.

Univerza je preizkusila Microsoftovo storitev umetne inteligence Copilot in v začetku poletja 2024 objavila 8 ključnih ugotovitev, ki so bile koristne pred začetkom uporabe te nove storitve.

Slovenski organ za varstvo podatkov (APD) je menil, da lahko šola delno zavrne zahtevo za dostop, ki jo vloži starš, če bi razkritje določenih podatkov lahko škodovalo interesom mladoletnika.

Švica je 14. avgusta sprejela sklep o ustreznosti za Združene države Amerike, ki dovoljuje prenos podatkov podjetjem, certificiranim v skladu s švicarsko-ameriškim "okvirom za varstvo podatkov".

Švica se tako pridružuje Evropski uniji in Združenemu kraljestvu, ki organizacijam omogočata prenos osebnih podatkov svojih prebivalcev v Združene države Amerike pod podobnimi pogoji.

Nevladna organizacija noyb je 12. avgusta opozorila medije na družbeno omrežje "X", ki je začelo nezakonito uporabljati osebne podatke več kot 60 milijonov uporabnikov v EU/EGP za usposabljanje svoje tehnologije umetne inteligence ("Grok") brez njihovega soglasja.

Za razliko od Mete (ki je morala pred kratkim končati usposabljanje za umetno inteligenco v EU) Twitter po navedbah nevladne organizacije svojih uporabnikov ni obvestil vnaprej. Irska komisija za varstvo podatkov je sprožila sodne postopke proti X, noyb pa je v devetih evropskih državah vložil pritožbe za ustavitev teh praks. Zaveza X, da bo prenehal uporabljati te podatke, je končno prišla, ko je zdaj na voljo nova različica Groka. Po navedbah nevladne organizacije je bil model umetne inteligence medtem dejansko usposobljen z uporabo podatkov EU.

 

V Združenem kraljestvu je bil upravljavec podatkov opomnjen, ker pred uvedbo sistema za prepoznavanje obrazov v šoli ni opravil ocene vpliva na zasebnost, kot to zahteva 35. člen britanske uredbe GDPR. Upravljavec podatkov tudi ni pridobil veljavnega soglasja.

Združeni narodi in Mednarodna organizacija dela sta objavila poročilo z naslovom »Upoštevajte razkorak zaradi umetne inteligence – oblikovanje globalne perspektive o prihodnosti dela«.

Med drugimi ugotovitvami poročilo omenja, da tehnološki napredek ogroža delovna mesta v sektorjih, kot so klicni centri in druge vrste zunanjega izvajanja poslovnih procesov, ki so razširjene v nekaterih državah v razvoju.

Čeprav bi nekatere naloge v teh poklicih lahko avtomatizirali, dokument dodaja, da večina še vedno zahteva človeško posredovanje. "Takšna delna avtomatizacija bi lahko vodila do povečanja učinkovitosti, kar bi ljudem omogočilo, da bi več časa posvetili drugim področjem dela."

Ameriški zvezni sodnik je 5. avgusta razsodil, da ima Google nezakonit monopol nad internetnim iskanjem. Sodišče je ugotovilo, da je »Google kršil 2. člen Shermanovega zakona, ker je s svojimi ekskluzivnimi distribucijskimi pogodbami ohranil monopol na dveh trgih izdelkov v Združenih državah Amerike – splošnih iskalnih storitvah in splošnem besedilnem oglaševanju«.

Nigerija je svojo "nacionalno strategijo za umetno inteligenco" objavila lanskega avgusta.

Zlasti navaja, da: »Nigerija in širša afriška celina se soočata z nekaterimi najbolj značilnimi in prepričljivimi izzivi ter priložnostmi, s katerimi bi se lahko spopadla umetna inteligenca. Od optimizacije kmetijstva v različnih podnebjih do izboljšanja infrastrukture javnega zdravja so lokalno razvite rešitve umetne inteligence, prilagojene lokalnim realnostim, veliko bolje opremljene za reševanje teh izzivov kot zunanje vsiljeni modeli, ustvarjeni za povsem drugačen kontekst in ljudi. (…) Številni nabori podatkov v Nigeriji trpijo zaradi netočnosti, nepopolnosti in pomanjkanja standardizacije. Kakovost podatkov je treba izboljšati, da se zagotovi zanesljivost in učinkovitost algoritmov umetne inteligence, ki za optimalno delovanje zahtevajo čiste in natančne podatke.«

»X« je po mesecih spora s sodnikom vrhovnega sodišča prekinil svoje delovanje v Braziliji.

Sodnik je 31. avgusta odredil prepoved X in zamrznitev sredstev vesoljskega podjetja Starlink Elona Muska. Ta odločitev sledi večmesečni preiskavi širjenja lažnih in obrekljivih informacij prek družbenega omrežja ter nadaljnji preiskavi Muska zaradi domnevnega oviranja pravosodja.