U središtu

Pregled novije poredbene sudske i zakonodavne prakse 6/23. - obrada podataka

25.01.2023 Autor u članku donosi pregled novije poredbene sudske i zakonodavne prakse s područja obrade podataka.

Pravo na zaborav u javnom imeniku

U nedavno odlučenom predmetu (C-129/21) pred Sudom Europske Unije (Sud EU-a) razmatrala su se određena pravila u vezi izvršitelja obrade podataka po pitanju pristanka na obradu podataka odnosno prigovora koji se tiču javnih imenika i, općenito, informacijskih usluga. Sukladno Direktivi 2002/58/EZ o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (tzv. ePrivacy direktiva), potrošači imaju pravo izbora u vezi javne dostupnosti svojih podataka u javnim imenicima (sukladno općim pravilima uređenim Općom uredbom o zaštiti podataka, tzv. GDPR Uredbom (EU) 2016/679). Ujedno, pojedinci imaju pravo na zaborav (right to be forgotten) odnosno pravo na brisanje (right to erasure) svojih podataka (čl. 17. GDPR Uredbe). Pravo na zaborav odnosno pravo na brisanje osobnih podataka predstavlja pravo ispitanika (pojedinac čiji je identitet utvrđen odnosno čiji se identitet može utvrditi obradom podataka) da, pod određenim uvjetima, zatraži od voditelja obrade podataka uklanjanje svojih osobnih podataka iz mrežnih pretraživača i drugih mrežnih direktorija i lokacija.

Činjenice predmeta odnose se na telekomunikacijskog operatera iz Belgije koji pruža uslugu održavanja javnog telefonskog imenika (ime i prezime, adresa i kontakt telefon) korisnika za više pružatelja telekomunikacijskih usluga. Navedeni operater podatke zaprima od pružatelja telekomunikacijskih usluga, a prikupljene podatke također dijeli i sa drugim telekomunikacijskim operaterima. Jedan korisnik zatražio je od navedenog operatera da se njegovi podaci izbrišu iz relevantnog javnog imenika, ali i svih drugih imenika u kojima su, posredstvom navedenog operatera, objavljeni njegovi podaci. Navedeni operater je udovoljio tom zahtjevu, no nešto kasnije od drugog operatera ponovno je zaprimio podatke o istom korisniku koje je automatski obradio i uvrstio u javni imenik. Na prigovor korisnika, belgijska Agencija za zaštitu podataka ocijenila je kako je operater prekršio korisnička prava. U postupku koji je uslijedio operater je ustvrdio kako nije potrebna posebna suglasnost korisnika za uvrštavanje u telefonske imenike, već svaki korisnik mora predati individualne zahtjeve za uklanjanje iz javnih imenika (tzv. opt-out sustav).

Sud EU-a nije se složio sa operaterom te je utvrdio kako je potrebno da svaki korisnik/pretplatnik da slobodnu, specifičnu, informiranu i jasnu suglasnost u vezi obrade svojih osobnih podataka kada je riječ o telefonskim i drugim javnim imenicima. Takva se suglasnost odnosi na svaku daljnju obradu podataka, neovisno o tome koji se sve operateri naknadno uključe u postupak obrade. Svaki korisnik ima pravo na brisanje svojih podataka iz takvih imenika, i dostatno je da takvu namjeru izrazi bilo kojem operateru na kojeg se, između ostalih, suglasnost odnosi. Davatelj usluge javnog imenika mora poduzeti razumne korake kako bi osigurao tehničku i organizacijsku mogućnost komunikacije sa svim relevantnim operaterima u vezi povlačenja suglasnosti odnosno u vezi korisničkog zahtjeva za brisanjem osobnih podataka. Time je Sud EU-a pojasnio obvezu telekomunikacijskih operatera i posrednika/pružatelja usluge javnih imenika u vezi potrebe pribavljanja suglasnosti korisnika prilikom obrade njihovih podataka kroz javne imenike, kako po pitanju unosa podataka, tako i po pitanju trajnog uklanjanja podataka.

Ključne riječi: C-129/21, pravo na zaborav, pravo na brisanje, Direktiva 2002/58/EZ, GDPR Uredba, javni imenici

Pravo na zaborav u pretraživaču

Problematika prava na zaborav također se pred Sudom EU-a razmatrala i u nedavnom predmetu (C-460/20) koji je razmatrao dužnost pružatelja usluge mrežnog pretraživača (search engine provider) na uklanjanje netočnih podataka o korisnicima na zahtjev tih korisnika. Takvi postupci u pravilu su brži od sudskih postupaka protiv izdavača za uklanjanje mrežnih sadržaja, no njima se svakako otvaraju brojna pitanja u vezi zaštite privatnosti i slobode govora te slobode informiranja.

U predmetu je riječ o zahtjevu dva izvršna direktora da se sa Google mrežnog pretraživača uklone (tzv. „dereferenciranje“ podataka, data dereferencing) određeni članci i slikovni zapisi koji, prema navodu direktora, sadrže netočne i klevetničke informacije. Kompanija Google je odbila ukloniti navedene sadržaje uz obrazloženje kako nema mogućnost provjere istinitosti navedenih navoda. U sudskom postupku koji je uslijedio njemački nižestupanjski sudovi utvrdili su kako kompanija Google nije dužna dereferencirati podatke o tužiteljima iz razloga što isti nisu dokazali netočnosti spornih podataka. Njemački Vrhovni sud zatražio je uputu od Suda EU u vezi metodologije balansiranja između suprotstavljenih interesa prava na zaborav s jedne strane, te prava na slobodu izražavanja i informacija s druge strane.

Sud EU pojasnio je kako zahtjev za dereferenciranjem podataka za koje se tvrdi da su netočni mora, koliko je to razumno i moguće, upućivati na očitu netočnost informacija. Sud je vodio računa da teret dokazivanja na strani podnositelja zahtjeva ne bude pretjeran čime bi se prosječnog korisnika postavilo u nepovoljan položaj, pa se putem kriterija razumnosti pribavljanja relevantnih i dostatnih (ne i apsolutnih) dokaza o netočnosti informacija smanjuje teret dokazivanja na strani podnositelja zahtjeva. Posebno je naglašeno kako podnositelj zahtjeva nije dužan prethodno osigurati sudsku presudu protiv izdavača. Riječ je o dodatnom elementu zaštite interesa podnositelja zahtjeva čime se, u slučaju opravdanosti zahtjeva, ubrzava postupak zaštite interesa podnositelja zahtjeva. Ujedno, time se eliminiraju i potencijalni visoki troškovi sudskog postupka koji bi za neke potencijalne podnositelje zahtjeva predstavljali preveliko financijsko opterećenje koje bi ih priječilo u pokretanju postupka, čime bi isti bili postavljeni u nepovoljan položaj. S druge strane, od pružatelja usluge mrežnog pretraživača ne očekuje se bilo kakva aktivnost u smislu provjere točnosti podataka ili medijacije.

Ključne riječi: C-460/20, pravo na zaborav, mrežni pretraživači, netočne informacije, sloboda izražavanja, dereferenciranje podataka

Registar stvarnog vlasništva

U povezanim predmetima C-37/20 i C-601/20, Sud EU-a razmatrao je problematiku Direktive (EU) 2018/843 o sprječavanju korištenja financijskog sustava u svrhu pranja novca ili financiranja terorizma (tzv. AML Direktiva, Anti-Money Laundering Directive) u kontekstu objave registara stvarnog vlasništva u državama članicama Europske unije (EU) i zaštite prava na privatnost. Direktiva načelno dopušta da podaci iz registara (osobni podaci o vlasniku, podaci o vlasništvu) budu dostupni financijskim institucijama ali i drugim tijelima koja mogu dokazati legitimni interes za pristup podacima. Istovremeno, tekst nove verzije Direktive (za razliku od prethodne verzije) dopušta pravo pristupa javnosti neovisno o legitimnom interesu, a što se obrazlaže ciljem osiguravanja transparentnosti poslovanja i nadzora poslovanja od strane zainteresiranih pojedinaca, medija i organizacija civilnog društva. Navedeno dopuštenje predmet je ovog spora obzirom kako objava podataka potencijalno krši prava zajamčena čl. 7. i 8. Povelje EU-a o temeljnim pravima, te se kao bitno pitanje postavlja valjanost same Direktive odnosno valjanost navedene odredbe nove verzije Direktive.

Sud EU-a ocijenio je kako objava registara stvarnog vlasništva s ciljem ispunjavanja osnovnih ciljeva Direktive nije nužna i proporcionalna mjera te stoga nije u skladu sa općim pravom na zaštitu privatnosti (sukladno Povelji EU-a o temeljnim pravima, podredno se odnosi i na GDPR Uredbu). Sud EU-a je ustvrdio kako se ciljevi Direktive mogu ispuniti bez objave registara, poglavito iz razloga što Sud vjeruje kako mediji i organizacije civilnog društva u pravilu mogu dokazati legitimni interes kako bi pristupili podacima (mehanizam koji je dostupan kroz prethodnu verziju Direktive iz 2015. godine). Dodatno, Sud EU-a procijenio je kako Direktiva ne pruža adekvatne zaštite mehanizme u smislu zaštite osjetljivih privatnih podataka čije se korištenje ne može nadzirati ili kontrolirati. Stoga je Sud EU utvrdio kako su odredbe izmjena i dopuna iz 2018. godine u vezi općeg pristupa javnosti podacima (odnose objave registra) nevaljane te su iste stavljene izvan snage.

Ključne riječi: C-37/20, C-601/20, registar stvarnog vlasništva, Direktiva (EU) 2018/843, Povelja o temeljnim pravima, nevaljanost pojedinih odredbi direktive

Bihevioralno (ciljano) oglašavanje

Europski odbor za zaštitu podataka (EOZP; European Data Protection Board) i irska Agencija za zaštitu osobnih podataka okončali su postupak protiv kompanije Meta u vezi platforme Facebook i platforme Instagram. Spor se fokusirao na problematiku legalnosti i transparentnosti poslovanja kompanije Meta (podružnica iz Irske) u vezi obrade osobnih podataka s ciljem bihevioralnog oglašavanja (bihevioral advertising). Bihevioralno oglašavanje predstavlja oblik individualiziranog oglašavanja gdje oglašivači odnosno izdavači objavljuju personalizirane oglase i oglasne poruke (ciljano oglašavanje, targeted advertising) pojedincima, temeljeno na njihovim osobnim pretraživačkim navikama i interesima. Kompanija Meta relevantne pretraživačke navike i interese prikuplja, između ostaloga, putem platformi Facebook i Instagram, odnosno putem korisničkih profila i aktivnosti samih korisnika na navedenim (i drugim) platformama. Riječ je o tzv. agregaciji podataka i korisničkom profiliranju, bilo samostalnim prikupljanjem i obradom podataka, bilo posredstvom više distributera informacija. Obzirom kako su navedene platforme, uvjetno rečeno, besplatne za korištenje, kompanija Meta svoj poslovni model zasniva na komercijalnoj eksploataciji prikupljenih podataka, najčešće putem oglašavanja odnosno prodaje podataka oglašivačima odnosno distributerima za oglašavanje.

Prethodno stupanju GDPR Uredbe na snagu, Meta Irska izmijenila je svoje Opće uvjete poslovanja (za Facebook uslugu, i za Instagram uslugu) te od svih postojećih i novih korisnika zatražila davanje posebnog pristanka na izmijenjene uvjete poslovanja. Navedeni pristanak kompanija Meta tumačila je kao zasnivanje novog ugovornog odnosa između korisnika i kompanije, čime se podredno daje i dopuštenje za obradu osobnih podataka te pružanje personaliziranih usluga i provođenje usluge bihevioralnog oglašavanja. Time se, prema tumačenju Mete, poslovanje kompanije uskladilo sa zahtjevom legalnosti obrade osobnih podataka (čl. 6., st. 1.(b) GDPR Uredbe). Spor je započet od strane austrijskog građana (usluga Facebook) te belgijskog građana (usluga Instagram) na dan stupanja GDPR Uredbe na snagu (25.5.2018.), koji su ustvrdili kako je kompanija Meta svoje korisnike prisilila na davanje pristanka na sve oblike korištenja njihovih osobnih podataka samim činom pristanka na izmijenjene uvjete poslovanja, a što je protivno GDPR Uredbi.

Irska Agencija za zaštitu podataka utvrdila je kako kompanija Meta izmjenama Općih uvjeta poslovanja nije udovoljila zahtjevima GDPR Uredbe, jer nije na jasan, pošten i transparentan način (čl. 5., st. 1.(a) GDPR Uredbe) svojim korisnicima pojasnila koji se njihovi osobni podaci, temeljem koje pravne osnove, na koji način i u koju svrhu obrađuju. Istovremeno, Agencija je prihvatila tumačenje kompanije Meta kako ugovor kao pravna osnova za obradu podataka udovoljava zahtjevima GDPR Uredbe.

U nastavku postupka u kojem “zainteresirana nadzorna tijela” komentiraju nacrt odluke, dio nacionalnih agencija za zaštitu podataka nije prihvatio irsko stajalište u vezi valjanosti ugovorne osnove. Navedene agencije su zauzele stajalište kako ciljano oglašavanje temeljem prikupljenih osobnih podataka ne ulazi u okvir obrade podataka koju ugovor pretpostavlja, odnosno kako takve radnje nisu nužne za izvršavanje ugovora koji je sklopljen između korisnika i kompanije Meta. Irska Agencija ostala je pri svom stavu uz obrazloženje kako korištenje podataka korisnika (i u svrhu ciljanog oglašavanja) predstavlja osnovu poslovanja kompanije Meta, te je razumno za očekivati da su korisnici unaprijed s istim upoznati i isto prihvaćaju.

Obzirom kako se relevantna tijela nisu uspjela dogovoriti oko svih otvorenih pitanja, EOZP je donio dva obvezujuća mišljenja, pri čemu je po pitanju sporne stavke prihvatio stajalište navedenih agencija za zaštitu podataka koje su osporavale ugovornu osnovu kao valjanu pretpostavku za korištenje podataka u svrhu bihevioralnog oglašavanja. Irska Agencija izmijenila je svoj nacrt odluke te je odlučila kako je oslanjanje na ugovornu osnovu kao valjanu osnovu za obradu podataka u suprotnosti sa GDPR Uredbom. Konačni ishod spora rezultirao je sa novčanim kaznama (ukupno €390 miliona) i davanjem roka od 3 mjeseca za usklađivanje poslovanja sa zahtjevima GDPR Uredbe. Za očekivati je kako će kompanija Meta u narednom razdoblju pripremiti novi oblik suglasnosti sa obradom korisničkih podataka u različite svrhe, uključujući i korištenje podataka za potrebe ciljanog oglašavanja.

Ključne riječi: EOZP, bihevioralno oglašavanje, GDPR, Meta, korištenje osobnih podataka u komercijalne svrhe, suglasnost korisnika za obradu podataka

Pravila o korištenju strojne sinteze informacija

Kineska Uprava za kibernetički prostor usvojila je Pravila o dubokoj sintezi mrežnih informacijskih usluga koja su stupila na snagu u siječnju tekuće godine. Pravila definiraju duboku sintezu podataka kao proces obrade podataka korištenjem tehnologije dubokog učenja, virtualne stvarnosti i ostalih modaliteta generativne sinteze korištenjem naprednih računalnih algoritama kako bi se proizvele nove mrežne informacije u obliku teksta, slike, zvuka, videa, virtualnog prikaza i ostalih generirajućih funkcija. Primarni adresati Pravila su pružatelji usluge duboke sinteze podataka, pružatelji usluge tehnološke pomoći pružateljima duboke sinteze podataka, te korisnici usluge duboke sinteze podataka. Riječ je o prvenstveno o mrežnim uslugama koje, temeljem kraće upute korisnika (prompt), korištenjem algoritama (i mogućnosti strojnog učenja odnosno tzv. “umjetne inteligencije”) generiraju (tzv. artificial intelligence (AI) generation) slikovne, tekstualne i audiovizualne zapise, i koje su u sve većem broju javno dostupne. Dok se od korisnika usluge očekuje istinito iskazivanje identiteta i davanje odnosno pribavljanje prethodne suglasnosti kada je riječ o korištenju biometrijskih podataka u svrhu duboke sinteze podataka, pružatelji usluge i pružatelji usluge tehnološke pomoći podliježu čitavom nizu daljnjih zakonskih obveza i preduvjeta.

Po pitanju obveza pružatelja usluge, Pravila prije svega inzistiraju na identifikaciji korisnika (putem broja mobitela, broja osobne iskaznice, jedinstvene identifikacijske oznake društvenog kreditnog sustava (Unified Social Credit Identifier), javne usluge nacionalnog mrežnog identiteta, i sl.). Također, svaki generirani sadržaj mora imati oznaku duboke sinteze te individualni zapis generacije sadržaja koji se čuva u sustavu pohrane podataka pružatelja usluge.

Pružatelj usluge dužan je uspostaviti bazu podataka zabranjenih i neželjenih sadržaja, čime se vrši kontrola sadržaja dostupnog kroz uslugu generacije sadržaja. Ujedno, pružatelj usluge dužan je izrađivati i održavati zapise svih korisničkih uputa i generiranog sadržaja. U slučaju poklapanja sadržaja koje korisnik generira sa sadržajem baze zabranjenog i neželjenog sadržaja, odnosno u slučaju relevantne dojave, pružatelj usluge dužan je odmah o istome izvijestiti nadležna tijela te primijeniti odgovarajuću razinu sankcije protiv odgovornog korisnika (upozorenje, ograničavanje mogućnosti generacije sadržaja, ukidanje korisničkog računa). Pravila također uvode i obvezu održavanja integriranog sustava koji prati i eliminira širenje glasina i lažnih vijesti (anti-rumor system, false information dissemination system). Kada navedeni sustav detektira takve sadržaje, isti se automatski uklanjanju, a pružatelj usluge dužan je o pojavi istoga odmah izvijestiti Upravu o kibernetičkom prostoru. U skladu s time treba tumačiti i obvezu izdavača da jasno označi izvor vijesti odnosno informacije koja je generirana kroz sustav duboke sinteze sadržaja, odnosno obvezu distribucijskih platformi da uspostave odgovarajuće sigurnosne sustave i sustave provjere usklađenosti sigurnosne procjene i zapisa sustava duboke sinteze sadržaja. Očito je kako postoji velika potreba na strani zakonodavca da se implementiraju brojni tehnološki i upravljački mehanizmi kontrole generiranog sadržaja, a što pridonosi kako zaštiti javnog prostora od neželjenog sadržaja, tako i kontroli sadržaja koji ulazi u javni prostor.

Uprava za kibernetički prostor u Pravila je uvrstila i čitav niz obveznih sigurnosnih sustava koje pružatelj usluge mora implementirati prije početka pružanja usluge. Riječ je o sustavu upravljanja podacima, sustavu nadzora algoritamskih funkcija, sustavu strojnog učenja, sustavu očuvanja kvalitete i zaštite baze podataka za strojno učenje, sustavu etičkog nadzora procesa, sustavu nadzora objave informacija i sadržaja, sustavu sprječavanja mrežne prevare, sustavu zaštite osobnih podataka, te sustavu kibernetičke zaštite podataka i procesa.

Kada je riječ o AI generaciji sadržaja temeljem biometrijskih podataka (primjerice, prikaz lica, korištenje glasa, i sl.), potrebno je izvršiti sigurnosnu provjeru obzirom kako se korištenjem takve usluge potencijalno mogu ugroziti interesi javnog reda i mira, javne i nacionalne sigurnosti, ugleda i časti zemlje, interesa zemlje, i sl. Pružatelj usluge mora uspostaviti sustav jasnog označivanja korištenja sustava duboke sinteze na svakom sadržaju koji generira “inteligentan dijalog”, virtualnog ljudskog asistenta odnosno simulaciju ljudskog ponašanja, sintezu odnosno imitaciju ljudskog govora, sintezu prikaza lica, kontrole pokretanja lica i promjene karakteristika lica, sintezu uvjerljivih prikaza virtualne stvarnosti, i svih drugih oblika generacije koje u bitnoj mjeri mijenjaju fizičke i druge karakteristike osoba, odnosno druge vrste relevantnih informacija. Riječ je o vrlo uopćenim pravilima sa širokim opsegom, čime se na jasan način daje do znanja kako je Uprava za kibernetički prostor svjesna sigurnosnih i drugih izazova koje moderna tehnologija predstavlja.

Po pitanju generacije sadržaja temeljem biometrijskih podataka nužno je prethodno osigurati suglasnost osobe čiji se biometrijski podaci koriste. Iako se navedena obveza prebacuje na korisnika usluge, isto ne znači da se i potencijalna odgovornost za generaciju tzv. “duboko uvjerljivih lažnih” sadržaja (deepfake) u potpunosti prebacuje na korisnika. Pružatelj usluge nije dužan provjeravati je li takva suglasnost ishođena, no dužan je promptno reagirati po dojavi lažnog sadržaja, odnosno postupati u skladu sa prethodno iznesenim obvezama. Konačno, pružatelj takvih usluga prethodno je također dužan ishoditi sva dopuštenja u skladu sa Uredbom o upravljanju mrežnom informacijskom uslugom algoritamskih preporuka, o čemu se prethodno pisalo (br. 1., 2022.).

S obzirom na čitav niz usluga informacijskog društva odnosno sustava koje je potrebno osigurati kako bi se počela pružati osnovna usluga duboke sinteze sadržaja, za očekivati je kako će pružatelji navedene usluge često potraživati usluge trećih osoba po pitanju “pomoćnih” usluga odnosno informacijskih sustava (kako su nabrojani u prethodnom tekstu). Pružatelji usluge tehnološke pomoći pružateljima duboke sinteze podataka u pravilu moraju prethodno ispuniti preduvjete uspostave sustava elektroničkog zapisa svih algoritamskih procesa, sustava upravljanja podacima za strojno učenje, sustava pribavljanja prethodne suglasnosti korisnika, te ishođenja sigurnosne provjere. Ako su pružatelji usluge tehnološke pomoći uključeni u procese duboke sinteze biometrijskih podataka, moraju ispunjavati i dodatne preduvjete kao i sami pružatelji usluge.

Ključne riječi: duboka sinteza podataka, AI generacija podataka, kinesko mrežno pravo, kontrola sadržaja na internetu, deepfake sadržaji

izv. prof. dr. sc. Mišo Mudrić, Pravni fakultet Sveučilišta u Zagrebu