Pravna ura št. 69 – marec 2024.

Varnost podatkov, kibernetske grožnje: trenutno stanje in smernice.

Več organizacij objavlja svoja poročila o stanju kibernetskih groženj na začetku letošnjega leta: to je priložnost za oceno tveganj in nasvete za zaščito osebnih podatkov.

Agencija Evropske unije za kibernetsko varnost (ENISA) je objavila poročilo o kibernetskih grožnjah do leta 2030.

Poročilo kot posebej zaskrbljujoče opredeljuje grožnje, povezane z odvisnostjo od programske opreme in dezinformacijskimi kampanjami, ter tiste, povezane s človeškimi napakami.

Med dolgoročnimi grožnjami agencija izpostavlja pomanjkanje znanj in spretnosti ter neuspehe ponudnikov storitev ter povečanje groženj, povezanih z umetno inteligenco.

Pobuda za "ukrepanje proti kibernetski kriminaliteti" ob objavi letnega poročila o dejavnostih deli tudi svojo analizo stanja groženj v Franciji. 

Lažno predstavljanje ostaja glavna grožnja: postaja vse bolj raznoliko in sofisticirano. Glavne oblike lažnega predstavljanja vključujejo prometne prekrške, otroško pornografijo ali lažno tehnično podporo.

Poleg tega prevare, v katere so vpleteni lažni bančni svetovalci, ostajajo na visoki konstantni ravni.

Vdiranje v račune je še ena velika grožnja, katere posledice lahko vodijo do kraje identitete in finančne škode.

Nenazadnje so napadi z izsiljevalsko programsko opremo in zlonamerna programska oprema (virusi) pomemben in vse pogostejši vzrok za prošnje žrtev za pomoč.

CNIL je 27. marca objavil poročilo o varnostnih kršitvah v zadnjih petih letih.

Opozarja, da je zasebni sektor odgovoren za približno dve tretjini prijav kršitev CNIL, vključno z 39 prijavami kršitev % s strani malih in srednje velikih podjetij.

Javni sektor pa predstavlja 22 obvestil v višini %.

Kar zadeva porazdelitev po dejavnostih, javne uprave predstavljajo 18 obvestil %.

V zasebnem sektorju so najbolj zastopane specializirane, znanstvene in tehnične dejavnosti, sledijo pa jim finančne in zavarovalniške dejavnosti.

Dejavnosti, povezane z zdravjem ljudi, prav tako predstavljajo 12 obvestil %.

V tem kontekstu in zaradi upoštevanja novih tveganj za podatke je CNIL konec marca posodobil svoj priročnik o varnosti podatkov.

Ta nova različica prestrukturira priročnik v pet delov: uporabniki, oprema, nadzor podatkov, pripravljenost na incidente in končno poudarek na posebej aktualnih vprašanjih.

CNIL uvaja nove informativne liste, zlasti o umetni inteligenci (UI), mobilnih aplikacijah, računalništvu v oblaku in vmesnikih za programiranje aplikacij (API).

Priročnik vključuje tudi informativne liste o analizi tveganja in šifriranju.

Na koncu dokumenta je kontrolni seznam, ki vam omogoča pregled ukrepov, ki jih je sprejela odgovorna oseba, in oceno njene ravni varnosti.

Med priporočenimi zaščitnimi ukrepi se pogosto omenja in vse bolj priporoča večfaktorska avtentikacija (MFA) za zaščito baz podatkov pred poskusi goljufivega dostopa.

CNIL je pravkar odprl javno posvetovanje o skladnosti rešitev, ki uporabljajo AMF, z GDPR.

Nedavni primer potrjuje potrebo po razjasnitvi konteksta uporabe AMF: v Španiji je bilo podjetje na sodišču obsojeno, ker je svojim zaposlenim vsiljevalo AMF na njihovih zasebnih telefonih, čeprav je zakon od njega zahteval, da jim v ta namen zagotovi službene mobilne telefone.

V svojem priporočilu CNIL obravnava določitev pravne podlage, zmanjšanje zbranih podatkov, obdobja hrambe in spoštovanje uveljavljanja pravic zadevnih oseb.

Zagotavlja praktične primere izvajanja večfaktorske avtentikacije, ki spoštuje zasebnost.

 

      

Francoski organ za varstvo konkurence je 20. marca podjetju Google naložil globo v višini 250 milijonov evrov zaradi neizpolnjevanja svojih zavez in uporabe časopisnih člankov za učenje svojega sistema umetne inteligence (Bard/Gemini). 

Ta odločitev, četrta v tej zadevi v štirih letih, je del konteksta sprejetja zakona o sorodnih pravicah z dne 24. julija 2019, katerega cilj je vzpostaviti pogoje za uravnotežena pogajanja med založniki, tiskovnimi agencijami in digitalnimi platformami.

CNIL je 8. aprila objavil priporočila za uporabo umetne inteligence na način, ki spoštuje osebne podatke.

Njihov cilj je zagotoviti konkretne odgovore, ponazorjene s primeri, na pravne in tehnične izzive, povezane z uporabo GDPR za umetno inteligenco.

Točke, obravnavane v teh začetnih priporočilih, omogočajo zlasti določitev veljavne pravne ureditve, pravne kvalifikacije akterjev, izvedbo analize učinka, kjer je to primerno, in vključitev varstva podatkov že v fazi zasnove sistema (zasebnost že pri vgradnji).

 

Evropske institucije in organi

Evropski nadzornik za varstvo podatkov (EDPS) je 11. marca ugotovil, da je Evropska komisija pri uporabi storitve Microsoft 365 kršila več ključnih pravil o varstvu podatkov.

Zlasti „Komisija ni zagotovila ustreznih zaščitnih ukrepov, s katerimi bi zagotovila, da osebni podatki, preneseni zunaj EU/EGP, uživajo raven varstva, ki je v bistvu enakovredna tisti, ki je zagotovljena v EU/EGP.“

Poleg tega Komisija v pogodbi z Microsoftom ni dovolj natančno opredelila, katere vrste osebnih podatkov je treba zbirati in za katere izrecne in natančne namene pri uporabi storitve Microsoft 365 (...).

Odbor za varstvo podatkov je Komisiji naložil korektivne ukrepe, vključno z začasno ustavitvijo vseh podatkovnih tokov, ki izhajajo iz njene uporabe storitve Microsoft 365, do Microsofta in njegovih povezanih družb ter podizvajalcev s sedežem v državah zunaj EU/EGP, ki niso zajeti v sklepu o ustreznosti, od 9. decembra 2024.

Čeprav se ta odločitev nanaša na evropske institucije, ima obrazložitev ENVP veliko širši obseg in bi lahko imela posledice za uporabo storitve Microsoft 365 v državah članicah EU.

Evropski varuh človekovih pravic je 15. marca pisal Evropski komisiji in jo vprašal, kako uporablja umetno inteligenco v svojem procesu odločanja.

Varuh človekovih pravic je opozoril, da „čeprav lahko hiter razvoj umetne inteligence izboljša kakovost in učinkovitost dela, predstavlja velike izzive glede natančnosti, morebitne pristranskosti, razložljivosti in človeškega nadzora“.

Poudarila je tudi, da morajo javne uprave zagotoviti, da umetna inteligenca le pomaga pri človeškem odločanju in ga ne nadomešča.

Vprašanja se osredotočajo na uporabo umetne inteligence na treh specifičnih področjih: analiza javnih povratnih informacij, odkrivanje morebitnih kršitev pravil EU o konkurenci in obravnavanje pritožb.

Medtem ko je Evropski parlament pravkar glasoval o uredbi o umetni inteligenci, sta uredbi o digitalnih trgih (DMA) in digitalnih storitvah (DSA) že začeli veljati, Komisija pa je že začela več postopkov v skladu s tema dvema besediloma.

25. marca je sprožila postopek na podlagi DMA proti podjetjem Alphabet, Apple in Meta.

Glede Applea in Alphabeta namerava Komisija ugotoviti, ali so ukrepi, izvedeni v zvezi z njunimi obveznostmi glede trgovin z aplikacijami, v nasprotju z zakonom o javnem naročanju, ki od nadzornih organov zahteva, da razvijalcem aplikacij dovolijo, da potrošnike brezplačno "usmerjajo" k ponudbam, ki niso navedene v njihovih trgovinah z aplikacijami.

Glede Meta je Komisija začela postopek za ugotavljanje, ali je nedavno uvedeni model „plačila ali soglasja“ za uporabnike v EU skladen z zakonodajo o varstvu podatkov, ki od skrbnikov zahteva, da pridobijo soglasje uporabnikov, kadar nameravajo združiti ali navzkrižno uporabiti njihove osebne podatke.

Ta najnovejši postopek dopolnjuje postopek, ki ga je na isto temo sprožil Evropski odbor za varstvo podatkov.

Komisija je 14. marca začela tudi formalni postopek v skladu z zakonom o digitalnih storitvah (DSA), da bi ugotovila, ali je AliExpress kršil zakon o digitalnih storitvah na področjih, povezanih z obvladovanjem in blaženjem tveganj, moderiranjem vsebin in mehanizmom za notranje obravnave pritožb, preglednostjo oglaševalskih in priporočilnih sistemov, sledljivostjo trgovcev ter dostopom raziskovalcev do podatkov.

Istega dne je na LinkedIn poslala tudi zahtevo za informacije v zvezi s potencialno ciljno usmerjenim oglaševanjem na podlagi občutljivih podatkov.

Evropska komisija je 4. marca gostila prvo srečanje na visoki ravni o čezmejnem pretoku podatkov.

Na sestanku so se zbrali komisar za pravosodje, predsednik Evropskega odbora za varstvo podatkov ter ministri in vodje organov za varstvo podatkov iz 15 držav in ozemelj, za katere je EU sprejela sklep o ustreznosti.

Cilj je spodbujati okrepljeno sodelovanje med temi udeleženci na področju varstva podatkov.

Sodišče Evropske unije (CJEU) je v sodbi z dne 7. marca potrdilo, da niz TC (»niz TC«), ki ga oglaševalci uporabljajo za kodiranje uporabniških nastavitev, »vsebuje informacije o določljivem uporabniku in zato predstavlja osebni podatek v smislu GDPR«.

Ko so podatki v nizu TC povezani z identifikatorjem, kot je med drugim IP-naslov uporabnikove naprave, se ti podatki lahko uporabijo za ustvarjanje profila tega uporabnika in njegovo identifikacijo. 

Poleg tega je treba IAB Europe šteti za "skupnega upravljavca" v smislu GDPR. (...)

Združenje očitno vpliva na postopke obdelave podatkov, ko so nastavitve uporabniškega soglasja zabeležene v nizu TC, in skupaj s svojimi člani določa tako namene teh postopkov kot tudi sredstva, na katerih temeljijo. 

Sodišče EU je 7. marca odločilo o pritožbi zoper odločitev sodišča EU v zvezi s konceptom osebnih podatkov.

 Menilo je, da prepoznavna narava ni povezana z dejstvom, da lahko "povprečen bralec" identificira osebo, temveč je odvisna od tega, ali ima oseba "dodatne dejavnike ... potrebne za identifikacijo ... [ti dejavniki] so lahko dostopni osebi, ki ni upravljavec (glej C-582/14, točki 39 in 41)".

Sodišče je prav tako napačno trdilo, da so bila „sredstva, ki se razumno verjetno“ uporabijo za identifikacijo zadevne osebe, omejena.

Sodišče bi moralo upoštevati stroške in čas, potreben za identifikacijo tožnika, da bi ugotovilo, ali je slednjega mogoče identificirati z "razumnimi sredstvi".

Ta odločitev se je nanašala na uporabo uredbe o varstvu podatkov, ki se uporablja za evropske institucije in katere opredelitve so enake opredelitvam iz GDPR.

Na spletni strani Kaizener boste našli vrsto tabel, ki navajajo številne evropske regulativne pobude v digitalnem sektorju, pa tudi njihovo stanje izvajanja. 

 

Novice iz držav članic Evrope.

Belgijski organ za varstvo podatkov je 15. marca objavil odločitev o pravni podlagi za obdelavo podatkov, ki se uporabljajo za usposabljanje modelov umetne inteligence, in posledično ločeno uporabo teh modelov v komercialne namene. 

APD je menil, da upravljavec ne more trditi, da gre za združljivo uporabo (člen 6(4) GDPR), ker cilj usposabljanja ni bil jasno določen že od samega začetka.

Nadaljnja uporaba je zahtevala tudi svojo pravno podlago.

Upravljavec podatkov mora svojim strankam dati tudi pravico, da ugovarjajo uporabi podatkov za usposabljanje modelov.

Belgijski organ za varstvo podatkov je prav tako menil, da je upravljavec podatkov kršil člen 5(1) GDPR, ker ni pravočasno izbrisal e-poštnega računa nekdanjega zaposlenega.

APD je navedel, da je treba poštni predal deaktivirati zadnji delovni dan in da je treba samodejni odgovor deaktivirati v enem mesecu oziroma v nekaterih izjemah v treh mesecih.

V podobnem kontekstu je italijanski organ za varstvo podatkov (APD) menil, da je upravljavec podatkov kršil načelo minimizacije podatkov, ker ni deaktiviral e-poštnega računa nekdanjega zaposlenega, pri čemer je kot razlog navedel potrebo po preusmeritvi strank na drug račun.

Upravljavec podatkov je bil kaznovan s 15.000 evri.

Italijanski organ za varstvo podatkov (APD) je podizvajalcu naložil globo v višini 800.000 evrov, ker je brez predhodnega dovoljenja upravljavca podatkov najel sekundarnega podizvajalca in ker je upravljavca podatkov pozno obvestil o kršitvi varnosti podatkov.

Prav tako je kaznovala pet podjetij, ki so uporabljala prepoznavanje obrazov za spremljanje prisotnosti na delovnem mestu.

Organ je ugotovil, da so bili ukrepi za varstvo podatkov neustrezni, da ljudje niso prejeli zahtevanih informacij in da bi lahko uporabili manj vsiljiv sistem.

Italijanski organ za varstvo podatkov (APD) je 8. marca prav tako začel preiskavo proti podjetju OpenAI, ki je napovedalo lansiranje novega modela umetne inteligence z imenom "Sora".

Ta model bi bil sposoben ustvariti dinamične, realistične in domiselne prizore iz nekaj besedilnih navodil.

APD je od OpenAi zahteval številna pojasnila glede posledic, ki bi jih lahko imela »Sora« na obdelavo osebnih podatkov uporabnikov v Evropski uniji in zlasti v Italiji.

Portugalski organ za varstvo podatkov (APD) se je 25. marca odločil, da bo fundaciji Worldcoin naložil, naj začasno omeji zbiranje biometričnih podatkov s strani "Orba" na nacionalnem ozemlju, da bi zaščitil pravice državljanov, zlasti mladoletnikov.

Odločitev nalaga fundaciji Worldcoin kot upravljavcu podatkov nujni začasni ukrep do zaključka preiskovalnega postopka.

Španija je sprejela podobno odločitev.

Finski organ za varstvo podatkov (APD) je trgovcu na drobno z IT-tehnologijo naložil globo v višini 856.000 evrov, ker ni določil obdobja hrambe podatkov svojih strank.

APD je tudi menil, da Obdelava osebnih podatkov, povezanih z enim samim spletnim nakupom, ne zahteva ustvarjanja uporabniškega računa.

V Nemčiji je berlinsko sodišče razsodilo, da se upravljavec podatkov pri odgovoru na zahtevo za dostop ne more omejiti na podajanje abstraktnega pregleda obdelave.

Uradnik je navedel nesorazmerna prizadevanja.

Po mnenju sodišča se nanje lahko sklicuje le v zelo izjemnih primerih.

Islandski organ za varstvo podatkov (APD) je družbi Stjörnuna ehf naložil globo v višini 10.059,92 evra (1.500.000 ISK). upravljavca družbe Subway na Islandiji zaradi nezakonitega spremljanja njenih zaposlenih, ne da bi jih ustrezno obvestil.

V Avstriji je vrhovno upravno sodišče razsodilo, da algoritem Določanje verjetnosti zaposlitve kandidatov za zaposlitev predstavlja avtomatizirano odločanje v smislu 22. člena GDPR, tudi če rezultat uporablja izključno javni organ za zagotavljanje ciljno usmerjenega svetovanja iskalcem zaposlitve glede zaposlitve.

 

Britanska vlada marca objavil vodnik za odgovorno pridobivanje in uporabo umetne inteligence v sektorju človeških virov in zaposlovanja.

ZN je 21. marca sprejel celovito resolucijo o umetni inteligenci.

Organizacija priznava, da lahko umetna inteligenca pomaga pospešiti doseganje 17 ciljev trajnostnega razvoja, in poudarja nujnost "doseganja globalnega soglasja o varnih, zaščitenih in zaupanja vrednih sistemih umetne inteligence".

Resolucija spodbuja države članice k sprejetju predpisov in politik o umetni inteligenci na različnih področjih, vključno z varstvom zasebnosti.

Skupščina je pozvala vse države članice in deležnike, "naj se vzdržijo ali prenehajo uporabljati sisteme umetne inteligence, ki jih ni mogoče upravljati v skladu z mednarodnim pravom o človekovih pravicah ali ki predstavljajo prekomerno tveganje za uživanje človekovih pravic".

Glede na članek Techcruncha z dne 26. marca je zvezno sodišče v Kaliforniji objavilo več dokumentov v okviru skupinske tožbe, ki so jo potrošniki vložili proti podjetju Meta.

Leta 2016 naj bi Facebook začel tajni projekt, katerega cilj je prestrezanje in dešifriranje omrežnega prometa med ljudmi, ki uporabljajo aplikacijo Snapchat, in njenimi strežniki.

Cilj je bil razumeti vedenje uporabnikov in pomagati Facebooku, da konkurira Snapchatu.

Ministrstvo za pravosodje in FBI sta 25. marca sporočila, da so bili milijoni ameriških spletnih računov ujeti v kitajski hekerski zaroti.

Sedem kitajskih državljanov je bilo obtoženih izvajanja obsežne kampanje kibernetskih napadov.

Ministrstvo za pravosodje je sporočilo, da so hekerji ciljali na ameriške in tuje kritike Kitajske, podjetja in politike.

Republikanski guverner Floride je 25. marca podpisal zakon, ki prepoveduje dostop do družbenih omrežij otrokom, mlajšim od 14 let.

Mladoletniki, stari 14 ali 15 let, bodo morali za ustvarjanje računa pridobiti izrecno soglasje staršev.

Ko bodo pravila začela veljati 1. julija 2024, bodo morala podjetja, kot so Facebook, Instagram in TikTok, načeloma ukiniti obstoječe račune, ki ne izpolnjujejo teh zahtev, in izbrisati vse ustrezne osebne podatke.

Ta ukrep je bil kritiziran in pričakuje se, da bo izpodbijan na sodišču na podlagi ustavnih pravic do svobode izražanja.

Medtem Združene države razmišljajo o prepovedi TikToka po vsej državi.

Predstavniški dom je 13. marca sprejel tako imenovani "Zakon o zaščiti Američanov pred vlogami, ki jih nadzirajo tuji nasprotniki".

Če bo senat sprejel in uveljavil zakon, bo moral TikTok ločiti video platformo od svoje kitajske matične družbe ByteDance ali pa Američanom onemogočiti dostop do aplikacije.

18. marca so se na tretjem vrhu za demokracijo v Seulu Južna Koreja, Finska, Nemčija, Irska, Japonska, Poljska in Republika Koreja pridružile Združenim državam Amerike v skupni izjavi o prizadevanjih za boj proti širjenju in zlorabi komercialne vohunske programske opreme.

Države se zavezujejo, da bodo v okviru svojih nacionalnih sistemov vzpostavile močne zaščitne ukrepe za preprečevanje širjenja in zlorabe te nadzorne tehnologije.

V Kuvajtu je Uprava za regulacijo informacijskih in komunikacijskih tehnologij (CITRA) objavila nov zakon o varstvu osebnih podatkov.