Prenosi osebnih podatkov v Združene države Amerike: poročilo o napredku

Pravna ura št. 55 – Januar 2023

Prenosi osebnih podatkov v Združene države Amerike: poročilo o napredkuPravna negotovost, ki trenutno obremenjuje izmenjavo podatkov med Evropo in Združenimi državami, vpliva na tako konkretna področja, kot sta boj proti pomanjkanju stanovanj v Franciji ali uporaba spletnih knjižnic na Finskem.

Podjetje Abritel je zavrnilo posredovanje podatkov o najemninah mestu Pariz, ker slednje za to zbiranje uporablja ponudnika storitev, ki podatke prenaša v Združene države Amerike.

Pariško sodišče je v sodbi z dne 30. novembra 2022 razsodilo v korist družbe Abritel.

Finski organ za varstvo podatkov je decembra lani ugotovil, da so štiri mesta med drugim nezakonito prenesla osebne podatke v Združene države Amerike z uporabo storitev Google Analytics in Google Tag Manager v spletnih storitvah svojih javnih knjižnic.

Kompleksnost prenosov danes je predvsem posledica sodb Sodišča Evropske unije v zadevah „Schrems I“ in „Schrems II“ iz oktobra 2015 oziroma julija 2020.

Te sodbe so razveljavile zaporedne sporazume, sklenjene med EU in Združenimi državami Amerike pod imenoma Načela varnega pristana in Ščit zasebnosti.

Sodišče je v svoji sodbi iz leta 2020 razsodilo, da je zasebnostni ščit, čeprav načeloma zagotavlja raven zaščite, ki je v bistvu enakovredna ravni Evropske unije, v praksi postal neučinkovit zaradi konkretnih zahtev v zvezi z nacionalno varnostjo, javnim interesom in skladnostjo z zakonodajo ZDA.

Ugotovilo je, da je obseg nadzornih pooblastil ameriških oblasti v skladu z evropsko zakonodajo prekomeren in da pravice tujih državljanov do pritožbe na neodvisna sodišča niso zagotovljene.

Od objave te odločitve morajo upravljavci podatkov, za katere velja GDPR, pred vsakim prenosom v Združene države Amerike sprejeti posebne previdnostne ukrepe.

Uporaba pogodbenih klavzul, ki zagotavljajo varstvo podatkov, ostaja možnost, pod pogojem, da se izvedejo posebna preverjanja vsebine klavzul, konteksta prenosa in pravne ureditve, ki se uporablja v tretji državi (zlasti glede nacionalne varnosti).

Če situacija predstavlja posebna tveganja, mora upravljavec podatkov sprejeti dodatne ukrepe.

Komisija je lani sprejela posodobljene „standardne pogodbene klavzule“, da bi olajšala njihovo uporabo, in objavila praktične nasvete za podjetja.

Evropski odbor za varstvo podatkov je v svojih priporočilih z dne 18. junija 2021 pojasnil tudi preverjanja, ki jih je treba izvesti v okviru analize učinka prenosa.

Vendar pa je takšne zahteve lahko težko izpolniti, če ima prejemnik podatkov prevladujoč položaj.

V takih primerih je enostavnejša rešitev uporaba rešitev za obdelavo podatkov, ki se nahajajo v Evropski uniji.

Evropska komisija je 13. decembra po več mesecih pogajanj z Združenimi državami Amerike objavila dolgo pričakovani osnutek sklepa o ustreznosti glede ravni varstva podatkov na drugi strani Atlantika.

Med pravicami, ki jih bodo državljani EU imeli v skladu z novim pravnim okvirom, Evropska komisija omenja jamstvo za pravna sredstva, vključno s prostim dostopom do neodvisnih mehanizmov za reševanje sporov in arbitražnega senata.

Nadalje navaja številne omejitve in zaščitne ukrepe glede dostopa javnih organov ZDA do podatkov, zlasti za namene kazenskega pregona in nacionalne varnosti.

Ta jamstva izhajajo iz novih pravil, uvedenih z ameriškim odlokom z dne 7. oktobra 2022, ki bi odgovoril na vprašanja, ki jih je Sodišče EU postavilo v sodbi Schrems II.

Preden se lahko sprejme končna odločitev, mora osnutek pregledati Evropski odbor za varstvo podatkov (EDPB).

Ta pregled bi lahko privedel do odločitve v približno dveh mesecih.

Osnutek sklepa bo nato moral odobriti odbor predstavnikov držav članic EU.

Evropski parlament ima tudi pravico pregledati odločitve o ustreznosti.

Bo končna odločitev, ki se pričakuje prihodnjo pomlad, zagotovila upanja vredna jamstva glede varstva podatkov, kjer prejšnji sporazumi niso bili uspešni?

Evropski nadzornik za varstvo podatkov (EDPS) je projekt nedavno komentiral optimistično: »To se razlikuje od tega, kar smo videli pri varnem pristanišču. To ni tisto, kar smo videli pri ščitu zasebnosti. To je nekaj novega in zelo obetavnega.«

Max Schrems je že napovedal, da je pripravljen na tretji pravni ukrep, če besedilo ne bo učinkovito zaščitilo temeljnih pravic Evropejcev.

In tudi

Francija:

Za zagonsko podjetje Lusha, obtoženo kraje poslovnih telefonskih številk in e-poštnih naslovov 1,5 milijona Francozov, uredba GDPR ne velja, je sporočil ožji odbor CNIL, pristojen za nalaganje sankcij.

Razprava se je osredotočila na razlago člena 3(2)(b) Uredbe, ki določa uporabo evropskega prava za podjetja, ki nimajo sedeža v EU, kadar izvajajo „spremljanje vedenja“ posameznikov, na katere se nanašajo osebni podatki: CNIL se je v svoji razpravi 20. decembra 2022 distanciral od sklepov svojega poročevalca in dejal, da „ne meni, da bi se spletno zbiranje ali analiza osebnih podatkov v zvezi s posamezniki v Uniji samodejno štela za „spremljanje““, in meni, da je treba upoštevati namen obdelave podatkov in zlasti vse nadaljnje tehnike vedenjske analize ali profiliranja, ki vključujejo te podatke.

CNIL je 29. decembra TikToku naložil globo v višini 5.000.000 evrov. za vstavljanje oglaševalskih identifikatorjev v uporabniške naprave brez njihovega predhodnega soglasja.

Tudi pasica za piškotke na TikToku je bila ocenjena kot premalo informativna.

Istega dne je sankcionirala tudi podjetje VOODOO, založnik iger za pametne telefone, je bil kaznovan s 3 milijoni evrov zaradi uporabe predvsem tehničnega identifikatorja za oglaševanje brez soglasja uporabnikov.

V nasprotju s trenutnim trendom se je mestni svet Montpellierja 16. decembra po predstavitvi o prepoznavanju obrazov v kontekstu video nadzora in javnih svoboščin odločil, da bo v svojem javnem prostoru prepovedal "uporabo avtomatizirane obdelave slik na podlagi osebnih ali individualnih podatkov".

Senat je 24. januarja odobril zakon o uporabi umetne inteligence v okviru olimpijskih iger leta 2024.

CNIL je podal pripombe k temu besedilu, pri čemer je ugotovil, da je več ukrepov v skladu z njegovimi priporočili: eksperimentalna uporaba, omejena glede časa in prostora, za določene specifične namene in ki ustreza resnim tveganjem za posameznike, odsotnost obdelave biometričnih podatkov in usklajevanja z drugimi datotekami ter odločitve, ki so predmet predhodnega človeškega posredovanja.

CNIL je poudaril tudi vsiljivo naravo določb, ki določajo obdelavo genetskih podatkov za protidopinške analize.

Evropa:

Po pritožbi Irskega sveta za državljanske svoboščine (ICCL) in odločitvi varuha človekovih pravic EU z dne 19. decembra 2022 se je Evropska komisija zavezala, da bo pregledala ravnanje organov za varstvo podatkov v primeru kršitev GDPR, ki vključujejo velika tehnološka podjetja.

Meril bo čas, potreben za vsak korak vsakega postopka, in njegov napredek, ta pregled pa bo izvajal šestkrat letno.

Evropski odbor za varstvo podatkov (EDPB) je ustanovil delovno skupino za podrobno preučitev vprašanj v zvezi s piškotki..

V osnutku poročila z dne 17. januarja EOVP pojasnjuje, katere so posebne nezakonite prakse, vključno z:

• Pomanjkanje možnosti odjave na domači strani
• Predhodno označena polja
• Povezave do možnosti odjave so napisane z malimi tiskanimi črkami v ločenem besedilu
• Povezave do možnosti zavrnitve zunaj pasice s piškotki
• Uveljavljanje legitimnega interesa za namestitev nebistvenih piškotkov
• Odsotnost trajne možnosti za preklic soglasja.

EOVP pojasnjuje, da ti sklepi odražajo minimalni prag pri ocenjevanju piškotkov.

Združiti jih je treba z zahtevami Direktive o e-zasebnosti in jih brati v luči drugega dela Evropskega odbora za varstvo podatkov o temnih vzorcih.

Posebni odbor Evropskega parlamenta (PEGA) bo preiskal uporabo sistema Pegasus in druga programska oprema za nadzor vohunske programske opreme nadaljuje svoje delo z izvajanjem študij, strokovnih zaslišanj in obiskov za ugotavljanje dejstev v Izraelu, na Poljskem in v Grčiji. Osnutek priporočil bo parlamentu predstavljen 10. junija.

Nevladna organizacija EDRi je 25. januarja organizirala svojo letno konferenco, Tabor zasebnosti. ki združuje zagovornike digitalnih pravic, aktiviste, akademike in oblikovalce politik okoli aktualnih vprašanj človekovih pravic.

Predstavitve so na voljo na spletu na spletni strani dogodka.

V pomembni sodbi z dne 12. januarja 2023 (zadeva C-154/21) je Sodišče Evropske unije potrdilo, da ima upravljavec podatkov obveznost, da vsaki osebi, ki to zahteva, sporoči seznam natančni prejemniki njihovih osebnih podatkov, ko so bili ti deljeni s tretjimi osebami, in ne le kategorij prejemnikov.

Sodišče EU v drugi sodbi z dne 12. januarja (zadeva C-132/21) navaja, da Upravna in civilna pravna sredstva, ki jih določa GDPR, se lahko uveljavljajo hkrati in neodvisno drug od drugega.

Tako se lahko v zvezi z isto zadevo sprožijo vzporedni postopki pritožbe pred organi za varstvo podatkov in sodni postopki.

Države članice morajo zagotoviti, da vzporedna uporaba teh pravnih sredstev ne ogroža dosledne in enotne uporabe Uredbe.

V britanskem parlamentu trenutno poteka razprava o zakonu o spletni varnosti.

Besedilo, katerega cilj je zaščititi otroke, opredeljuje tvegane vsebine, zlasti vsebine o samopoškodovanju, »globoke ponaredke« in deljenje intimnih slik brez privolitve, kar bo opredeljeno kot nova kazniva dejanja.

Kritiki opozarjajo na pomanjkanje opredelitve ali natančnosti v besedilu, kar bi omogočilo prekomerno brisanje vsebine in vzpostavitev obsežnega nadzora.

Spletna stran »enforcementtracker« predstavlja popis finančnih kazni, ki so jih nadzorni organi naložili na podlagi GDPR: leto 2022 se je končalo s skupno več kot 830 milijoni evrov za 448 kazni v primerjavi z 1,3 milijarde evrov v letu 2021.

Ni presenetljivo, da Irska, dom največjih tehnoloških podjetij, zaseda prvo mesto z več kot 80.000 globami.

Irski organ za varstvo podatkov (DPA) je v četrtek, 19. januarja, napovedal globo v višini 5,5 milijona evrov za WhatsApp, poleg podobnih odločitev pa je že sprejel tudi proti Facebooku in Instagramu.

Ugotovljeno je bilo, da je pravna podlaga, ki jo WhatsApp uporablja za obdelavo osebnih podatkov (izboljšanje storitev in varnost), v nasprotju z evropskim pravom.

To odločitev je kritizirala civilna družba, ki ugotavlja, da irski organ kljub odločitvi Evropskega odbora za varstvo podatkov (EDPB), objavljeni 24. januarja, ni obravnaval osrednjega vprašanja uporabe podatkov za vedenjsko oglaševanje, trženje, zagotavljanje metričnih podatkov tretjim osebam in izmenjavo podatkov s povezanimi podjetji.

Norveška uradna razvojna pomoč (ODA) ugotovilo, da je kurirsko in logistično podjetje kršilo 32. člen GDPR zaradi nezadostne ocene tveganja in pomanjkanja ustreznih varnostnih ukrepov.

Aplikacija je uporabljala telefonske številke kot edino sredstvo za preverjanje pristnosti za dostop do profila stranke.

Španska oblast menila, da Nacionalna komisija za boj proti nasilju, rasizmu, ksenofobiji in nestrpnosti v športu ne more uveljavljati izjeme javnega interesa iz člena 9(2)(g) GDPR za obdelavo biometričnih podatkov nogometnih navijačev, ki vstopajo na stadione.

Italijanska uradna razvojna pomoč športnemu klubu naložil 20.000 evrov globe zaradi nezakonite uporabe sistema za prstne odtise za beleženje prisotnosti zaposlenih na delu.

Prav tako je dobavitelju energije Areti naložila globo v višini 1 milijona evrov, ker je nekatere svoje stranke napačno označil za goljufe, s čimer jim je preprečil zamenjavo dobavitelja energije.

Estonska uradna razvojna pomoč (ODA) menila, da uporaba kamer CCTV za spremljanje zaposlenih ne more temeljiti na privolitvi, temveč le na legitimnem interesu v smislu člena 6(1)(f) GDPR, pod pogojem, da je bila opravljena veljavna ocena tega interesa.

Mednarodno

»Zasebnost že vgrajena« postaja mednarodni standardMednarodna organizacija za standardizacijo (ISO) bo 8. februarja sprejela standard ISO 31700.

To vključuje 30 zahtev in smernic o načelih zasebnosti že vgrajene.

ZDRUŽENE DRŽAVE AMERIKE: Poleg razvoja tehničnih standardov (NIST Risk Management Framework) na področju politike umetne inteligence je Bela hiša objavila osnutek zakona o pravicah umetne inteligence.

Več ameriških zveznih držav prav tako pripravlja zakonodajo na tem področju.

Predsednik Biden je ta priporočila nedavno ponovil v kolumni za Wall Street Journal, v kateri je izpostavil prizadevanja svoje administracije za boj proti algoritemski diskriminaciji, spodbujanje algoritmične preglednosti in izvajanje zakonodaje za upravljanje umetne inteligence.

Tudi na področju umetne inteligence Evropska komisija in ameriška administracija sta 27. januarja podpisali "upravni sporazum o umetni inteligenci za javno dobro".

Sporazum je bil podpisan v okviru Sveta za trgovino in tehnologijo EU-ZDA (TTC).

Microsoft je sredi decembra na svojem blogu objavil, da bo shranjevanje podatkov svojih evropskih strank preselil znotraj Evropske unije.

Vendar ta program ne rešuje vseh vprašanj, povezanih z dostopom Združenih držav Amerike do evropskih podatkov.

Zakon o oblaku ameriškim kazenskim organom omogoča dostop do podatkov ameriških ponudnikov storitev v oblaku, ne glede na to, kje so podatki shranjeni, in brez potrebe po začetku postopka prek mednarodne medsebojne pravne pomoči.

Avstralija je že več mesecev žrtev kibernetskih napadov, usmerjenih na vladne agencije in zasebni sektor.

Država sumi napade ruskega in kitajskega izvora, katerih cilj je ohromiti državne institucije in podjetja ter neposredno vplivati na življenja državljanov z množičnim razširjanjem osebnih podatkov.

Za nekatere je to le predokus tega, kar čaka zahodne države, saj je na primer več nemških železniških sistemov pred kratkim doživelo nenavadne okvare.

Po objavi marca laniRuska vlada uradno odstopa od Konvencije Sveta Evrope št. 108 o varstvu podatkov. kot tudi vse druge mednarodne pogodbe Sveta Evrope.

Po tej objavi je Svet uvedel formalni mehanizem in enostransko prekinil članstvo Rusije.

Anne Christine Lacoste

Anne Christine Lacoste, partnerica pri Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in delala na izvajanju GDPR v Evropski uniji.