Pravna ura št. 67 – januar 2024.

Vloga in viri pooblaščenih oseb za varstvo podatkov: rezultati enega leta revizij

CNIL in njeni evropski kolegi so 17. januarja objavili rezultate svojih preiskav o vlogi in virih pooblaščencev za varstvo podatkov (DPO) v okviru uporabe GDPR.

Ta tema je bila leta 2023 predmet usklajenega evropskega ukrepanja Evropskega odbora za varstvo podatkov (EDPB).

Glavne naloge pooblaščene osebe za varstvo podatkov, kot so določene v členih 37 do 39 GDPR, vključujejo obveščanje in svetovanje upravljavcu o vprašanjih varstva podatkov (vključno z izvajanjem ocen učinka), ozaveščanje in usposabljanje osebja ter spremljanje kršitev varnosti podatkov.

Pooblaščena oseba za varstvo podatkov sodeluje z nadzornim organom in je kontaktna oseba za posameznike, katerih podatki se obdelujejo.

Preiskave organov za varstvo podatkov so temeljile na vprašalniku, ki so ga skupaj razvili vsi organi, ki ga sestavljajo.

V Franciji je CNIL revidiral 14 upravljavcev podatkov in pošiljanje vprašalnika dopolnil z več pregledi na kraju samem.

Preverjanja so zajela javne akterje, kot so bolnišnice, univerze, občine, upravljavski centri, in zasebne akterje v sektorju luksuznih storitev in prometa.

Omeniti velja še posebej majhno število revidiranih uradnikov.

Tako kot več evropskih organov se je tudi CNIL odločil za izvedbo omejenega števila poglobljenih preiskav, medtem ko so drugi organi stopili v stik z več deset tisoč menedžerji, ne da bi izvedli tako temeljite preglede.

Poročilo Evropskega odbora za varstvo podatkov (EVP) v svoji analizi upošteva te razlike v pristopih.

CNIL daje na splošno pozitivno oceno vloge in virov, dodeljenih pooblaščeni osebi za varstvo podatkov.

Opozarja, da imajo na splošno dovolj sredstev.

Vendar pa poudarja velike razlike med viri, dodeljenimi uradnikom za varstvo podatkov v javnih strukturah, ki pogosto delajo sami, zlasti v majhnih skupnostih, medtem ko imajo uradniki za varstvo podatkov v zasebnem sektorju običajno ekipo.

To opažanje je potrjeno na evropski ravni.

Med ugotovljenimi pomanjkljivostmi je tveganje navzkrižja interesov med dolžnostmi pooblaščene osebe za varstvo podatkov in drugimi nalogami, ki so ji dodeljene, ter pomanjkanje sodelovanja pooblaščene osebe za varstvo podatkov pri odločitvah v zvezi z varstvom podatkov.

CNIL v zvezi s tem navaja, da je (zunaj te preiskave) organizaciji v socialnem sektorju naložil globo v višini 10.000 evrov, ker delegat ni mogel ustrezno opravljati svojih dolžnosti: ni bil dovolj vključen v zadeve, povezane z varstvom osebnih podatkov, njegove funkcije pa niso bile vidne zaposlenim v organizaciji.

Evropsko poročilo zaključuje to analizo z ugotovitvijo, da pooblaščene osebe za varstvo podatkov poleg svoje vloge v zvezi s Splošno uredbo o varstvu podatkov vse bolj prevzemajo ključne vloge v okviru novih evropskih predpisov, kot so tisti o umetni inteligenci, digitalnih storitvah, digitalnem trgu ali podatkih. 

Prav tako dobivajo nove vloge, povezane z etiko, upravljanjem podatkov in podatkovnimi prostori.

Glede na ta trend Odbor opozarja na povečano tveganje navzkrižja interesov ali neustreznost virov, ki so na voljo pooblaščenim osebam za varstvo podatkov.

Poudarja, da imajo organi za varstvo podatkov in upravljavci podatkov bistveno vlogo, da lahko pooblaščenec za varstvo podatkov v celoti opravlja svojo vlogo.

 

     

• CNIL je v zadnjih tednih naložil več pomembnih sankcij.
• 29. decembra 2023 je Yahoo oglobil z 10 milijoni evrov, ker ni spoštoval izbire uporabnikov interneta, ki so zavrnili piškotke na njegovem spletnem mestu, in ker uporabnikom njegove storitve za sporočanje ni omogočil, da bi prosto preklicali svoje soglasje za piškotke.
• Francoski organ za varstvo podatkov (CNIL) je po inšpekcijskih pregledih na kraju samem v skladiščih Amazon France Logistique 27. decembra ugotovil tudi več kršitev GDPR v zvezi z obsežnim spremljanjem delovnih mest in multinacionalki naložil globo v višini 32 milijonov evrov. Po navedbah CNIL je Amazon uvedel "pretirano vsiljiv" sistem spremljanja, ki deluje brez zagotavljanja informacij in ni dovolj varen.
• CNIL je 29. decembra podjetju NS Cards France, distributerju elektronskega denarja, naložil tudi globo v višini 105.000 evrov zaradi pretiranega hrambe osebnih podatkov, nepopolnih politik zasebnosti, nezadostnih varnostnih ukrepov in pomanjkanja soglasja uporabnikov glede nebistvenih piškotkov.
• Nenazadnje začenja javno posvetovanje o osnutku smernic v zvezi z oceno učinka prenosov podatkov zunaj Evropskega gospodarskega prostora: pred vsakim prenosom v državo, ki nima sklepa o ustreznosti, je treba opraviti oceno ravni varstva podatkov v državi prejemnici, pa tudi oceno zaščitnih ukrepov, ki jih je treba zagotoviti za ta prenos. Prispevke je mogoče oddati do 12. februarja 2024.
• Francoska nacionalna agencija za kibernetsko varnost (ANSSI) je napovedala zagon platforme Hackropole, ki je namenjena seznanitvi ljudi s karierami na področju kibernetske varnosti. Platforma ponuja več kot 300 izzivov, ki so na voljo vsem in zajemajo vsa področja kibernetske varnosti, od kriptografije do hekanja.

 

Evropske institucije in organi 

• Belgija je v začetku januarja za šest mesecev prevzela predsedovanje Svetu Evropske unije s sloganom "Zaščiti, okrepi in pripravi".

Teme, ki bodo obravnavane v letu 2024, vključujejo kibernetsko odpornost povezanih izdelkov, digitalno identiteto, podatkovne prostore, čezmejno uporabo GDPR in umetno inteligenco.

 Leto 2024 bo tudi leto izvajanja številnih zakonov, ki so bili dokončno sprejeti lani, vključno z zakon o digitalnih storitvah, tam zakonodaja o digitalnih trgih in zakon o upravljanju podatkov.

• 2. februarja so veleposlaniki 27 držav Evropske unije soglasno, a ne brez težav, odobrili predpisi o umetni inteligenci, s čimer je na vladni ravni potrdil politični dogovor, dosežen decembra.

Po glasovanju odborov Evropskega parlamenta sredi februarja je sprejetje na plenarnem zasedanju začasno predvideno za 10. in 11. april.

Uredba bo začela veljati 20 dni po objavi v uradnem listu.

Prepovedi prepovedanih praks bodo začele veljati šest mesecev pozneje, obveznosti v zvezi z modeli umetne inteligence pa v enem letu.

• Vzporedno je Evropska komisija 24. januarja napovedala ustanovitev evropskega urada za umetno inteligenco, ki bo prispeval k izvajanju in uporabi prihodnje uredbe.

Ta urad si bo prizadeval objavljati smernice za vzpostavitev usklajenih pravil po vsej EU ter spodbujati in olajševati razvoj kodeksov ravnanja in kodeksov ravnanja na ravni Unije.

• Zakonodajni postopek v zvezi z Predpisi CSAR Ker (»nadzor klepeta«) še zdaleč ni dokončan, je Evropska unija predlagala podaljšanje začasne rešitve, ki tehnološkim velikanom omogoča prostovoljno skeniranje naprav svojih strank za otroško pornografijo.

Ta ukrep je bil deležen kritik, zlasti s strani Evropskega nadzornika za varstvo podatkov (EDPS). ENPS je v mnenju, objavljenem 29. januarja, izrazil zaskrbljenost glede ciljev te uredbe, ki bi omejila pravico posameznikov do zaupnosti njihovih komunikacij.

• Evropska komisija je 31. januarja objavila preglednico preglednosti Zakona o digitalnih storitvah (DSA). Ta ponuja pregled odločitev o moderiranju vsebin, ki jih sprejemajo največje spletne platforme.
• Evropska uredba o varstvu podatkov je začela veljati januarja 2024.

Njegovi cilji vključujejo spodbujanje pravične izmenjave podatkov, omogočanje organom javnega sektorja, da uporabljajo podatke, ki jih hrani zasebni sektor, za posebne namene javnega interesa, in omogočanje strankam, da enostavno zamenjajo ponudnike storitev obdelave podatkov, da bi spodbudili evropski trg storitev v oblaku.

• Evropska komisija bo preiskala partnerstvo med Microsoftom in OpenAI, v okviru katerega Microsoft načrtuje integracijo nabora orodij umetne inteligence v lastne izdelke.

V sporočilu za javnost z dne 9. januarja Komisija poziva vse zainteresirane strani, naj delijo svoje izkušnje in pripombe o ravni konkurence v kontekstu virtualnih svetov in generativne umetne inteligence ter svoje ideje o tem, kako lahko pravo o konkurenci pomaga zagotoviti, da ti novi trgi ostanejo konkurenčni.

• Evropska komisija je svoje poročilo objavila 15. januarja. ocena 11 odločitev o primernosti sprejeto v skladu z Direktivo o varstvu podatkov iz leta 1995.

Ugotavlja, da za osebne podatke, prenesene iz Evropske unije v Andoro, Argentino, Kanado, Ferske otoke, Guernsey, otok Man, Izrael, Jersey, Novo Zelandijo, Švico in Urugvaj, še naprej velja sklep o ustreznosti v skladu s Splošno uredbo o varstvu podatkov.

• Evropski odbor za varstvo podatkov (EDPB) je objavil orodje za pregled spletnega mesta za skladnost s Splošno uredbo EU o varstvu podatkov.

Orodje je razvila skupina strokovnjakov Evropskega odbora za varstvo podatkov (EDPB) in ga lahko uporabljajo organi za varstvo podatkov ter upravljavci in obdelovalci podatkov za poenostavitev priprave, izvajanja in ocenjevanja revizij. Gre za brezplačno in odprtokodno programsko opremo z licenco EUPL 1.2, ki jo je mogoče prenesti s spletne strani code.europa.eu.

• EOVP je 18. januarja objavil tudi datoteka o varnosti obdelave podatkov in obveščanju o kršitvah podatkov.

Dokument analizira odločitve, ki so jih nadzorni organi sprejeli v skladu s 60. členom GDPR v okviru mehanizma enotne kontaktne točke na področju varnosti obdelave in kršitev varnosti osebnih podatkov.

• Sodišče EU je v sodbi z dne 30. januarja razsodilo, da je splošno in neselektivno hrambo biometričnih in genetskih podatkov oseb, obsojenih za kazniva dejanja, do njihove smrti v nasprotju s pravom EU in zlasti s pravico do pozabe.
• Sodišče EU je 16. januarja prav tako odločilo, da GDPR velja za nacionalne parlamentarne odbore.

Sodišče je pojasnilo koncept nacionalne varnosti in navedlo, da morajo nacionalna sodišča v odsotnosti dokazov o cilju nacionalne varnosti ugotoviti, ali se uporablja člen 2(2)(a) glede področja uporabe GDPR.

• Tehnološki velikani imajo do 6. marca čas, da se uskladijo z določbami evropske uredbe o digitalnih trgih, svojim uporabnikom pa morajo zlasti omogočiti registracijo za eno samo storitev, ne da bi jo samodejno povezali z drugo.

V tem kontekstu je Meta 22. januarja napovedala, da bodo uporabniki Instagrama in Facebooka lahko upravljali svoje račune ločeno, tako da se njihovi podatki ne bodo več delili med obema računoma.

Google je na svoji strani centra za pomoč omenil tudi možnost, da evropski uporabniki izberejo storitve, s katerimi želijo ohraniti povezavo glede deljenja podatkov.

 

Novice iz evropskih držav članic

• Nizozemski organ za varstvo podatkov (APD) je 11. decembra 2023 v sodelovanju s CNIL izdal odločbo proti podjetjem. Uber BV in Uber Technologies

Družba je bila kaznovana z desetimi milijoni evrov zaradi več opustitev zagotavljanja informacij voznikom. 

Te pomanjkljivosti se nanašajo zlasti na postopke za pravico do dostopa do podatkov, prenose zunaj EU, obdobja hrambe in pravico do prenosljivosti podatkov.

• Nizozemski organ za varstvo podatkov je družbi ICS, ki izdaja kreditne kartice, naložil tudi globo v višini 150.000 evrov, ker ni izvedla ocene učinka (DPIA).

V svojih premislekih je APD poudaril, da odsotnost ocene učinka na varstvo podatkov sama po sebi predstavlja kršitev GDPR, hkrati pa povečuje verjetnost drugih kršitev uredbe, ker se pred izvedbo obdelave ne upoštevajo tveganja.

• Belgijski organ za varstvo podatkov (APD) je posredniku podatkov naložil globo v višini 174.640 evrov.

Med drugimi kršitvami se upravljavec podatkov ni mogel sklicevati na legitimni interes za zbiranje podatkov od tretjih oseb.

Prav tako v okviru zahteve za dostop prosilca ni obvestil o virih in prejemnikih podatkov. 

• Belgijski organ je preiskal tudi ravnanje upravljavca podatkov po kršitvi varnosti podatkov, ki je prizadela skoraj 90.000 ljudi.

Ni sprejela nobenih sankcij, saj je šlo za osamljen primer in je upravljavec podatkov ravnal v skladu s 33. členom GDPR.

• Avstrijski organ za varstvo podatkov (APD) je upravljavcu podatkov naložil globo v višini 10.000 evrov, ker ni sodeloval z njim v postopku pritožbe, s čimer je kršil 31. člen GDPR.
• V Nemčiji je bil varnostni raziskovalec 17. januarja kaznovan s 3000 evri, ker je odkril in prijavil varnostno napako v podatkovni bazi za e-trgovino, ki je razkrila skoraj 700.000 zapisov o strankah.

Odkrivanje gesla v navadnem besedilu in njegova uporaba brez dovoljenja pri iskanju se šteje za kaznivo dejanje.

To odločitev, na katero se bo mogoče pritožiti, kritizira varnostni strokovnjak zaradi njenega odvračilnega učinka na legitimne raziskave sistemskih ranljivosti.

• Konec januarja je danski organ za varstvo podatkov (APD) ugotovil, da je občina kršila varnostna pravila GDPR, ker ni šifrirala trdih diskov svojih računalnikov.

Iz doma zaposlenega je bil ukraden službeni računalnik, ki je vseboval občutljive osebne podatke, podatke o socialnem zavarovanju in podatke o mladoletnikih.

Trdi disk ni bil šifriran.

Preiskava je pokazala, da skoraj 1200 prenosnikov občine prav tako ni bilo šifriranih.

• Britanski nacionalni center za kibernetsko varnost je 24. januarja objavil zaskrbljujoče poročilo o kratkoročnem vplivu umetne inteligence na kibernetsko grožnjo.

V poročilu je še posebej navedeno, da Umetna inteligenca bo v naslednjih dveh letih zagotovo povečala obseg in vpliv kibernetskih napadov z izboljšavami obstoječih taktik, tehnik in postopkov.

Prav tako ugotavlja, da umetna inteligenca omejuje težave amaterskih kibernetskih kriminalcev, ki bodo kmalu lahko izvajali sofisticirane phishing napade, ki jih bodo prejemniki težko prepoznali.

 

• Konec januarja sta Thierry Breton, komisar za notranji trg, in Alejandro N. Mayorkas, ameriški minister za domovinsko varnost, razpravljala o Skupni akcijski načrt EU in ZDA za kibernetsko varne izdelke, po vrhu EU-ZDA oktobra 2023.

Namen tega sodelovanja med Komisijo in ustreznimi regulativnimi agencijami ZDA je raziskati morebitno vzajemno priznavanje zahtev glede kibernetske varnosti za potrošniško strojno in programsko opremo interneta stvari.

Akcijski načrt temelji na okviru prava EU o kibernetski odpornosti in na programu označevanja kibernetske varnosti, ki ga predlagajo Združene države Amerike (Cyber Trust Mark Act).

• Administracija Bidna in Harrisa je 29. januarja napovedala ključne ukrepe na področju umetne inteligence, potem ko je predsednik Biden pred tremi meseci sprejel izvršni ukaz.

Odlok zlasti določa bistvene zahteve glede razkritja za razvijalce najzmogljivejših sistemov, ocenjevanje tveganj umetne inteligence za kritično infrastrukturo in "oviranje prizadevanj tujih akterjev za razvoj umetne inteligence v škodljive namene".

Pristojne zvezne agencije in oddelki so navedli, da so v 90 dneh izvedli vse ukrepe, določene v odloku, in navedli napredek pri ukrepih, načrtovanih za dolgoročno obdobje.

• Kanadska vlada je ustvarila "glosar osebnih podatkov in zasebnosti", ki vsebuje angleške in francoske izraze za več kot 300 konceptov.

Vključuje tudi druge terminološke informacije (ki se lahko razlikujejo od vnosa do vnosa), ki vključujejo druge oznake, definicije, opombe in primere uporabe.

• Dva raziskovalca iz Carnegiejeve fundacije za mednarodni mir sta pozvala južnoafriško vlado, naj da najvišjo prednost kibernetski varnosti in prevzame močnejše vodstvo na tem področju na mednarodnem prizorišču.

Kljub digitalni odvisnosti raziskovalci kažejo, da kibernetska strategija države močno primanjkuje sredstev in da vlada nima jasnega stališča v razpravah o kibernetskem upravljanju.

Po podatkih Južnoafriškega sveta za znanstvene in industrijske raziskave je Južna Afrika afriška država, ki je bila najbolj tarča teh kibernetskih napadov, in se uvršča na osmo mesto na svetu.