Décisions automatisées : comment le RGPD est-il mis en œuvre ?

Αυτοματοποιημένες αποφάσεις: πώς εφαρμόζεται ο ΓΚΠΔ;

Νομική Παρακολούθηση Αρ. 47 – Μάιος 2022

Αυτοματοποιημένες αποφάσεις: πώς εφαρμόζεται ο ΓΚΠΔ; Στις 17 Μαΐου, το Φόρουμ για το Μέλλον της Ιδιωτικότητας δημοσίευσε μια εκτενή έκθεση σχετικά με το ζήτημα των αυτοματοποιημένων αποφάσεων.

Η παρούσα έκθεση αναλύει περισσότερα από 70 έγγραφα που ρίχνουν φως στον τρόπο με τον οποίο εφαρμόζεται το Άρθρο 22 του ΓΚΠΔ από τα δικαστήρια, τις ευρωπαϊκές και βρετανικές αρχές προστασίας δεδομένων, καθώς και σε διάφορες κατευθυντήριες γραμμές και συστάσεις που εκδίδονται από ρυθμιστικές αρχές σχετικά με το θέμα αυτό.

Ενώ οι αυτοματοποιημένες αποφάσεις ρυθμίζονταν ήδη από την Ευρωπαϊκή Οδηγία 95/46/ΕΚ, η αρχή αυτή έχει λάβει νέα διάσταση από την έναρξη ισχύος του ΓΚΠΔ.

Επομένως, εφαρμόζεται σε πιο ποικίλα και συχνότερα πλαίσια, όπως αυτά της τεχνητής νοημοσύνης, και οι Αρχές Παροχής Υπηρεσιών (APD) διαθέτουν πλέον τα μέσα για την επιβολή του νόμου.

Αυτού του είδους οι αποφάσεις εντοπίζονται κυρίως στους ακόλουθους τομείς:

  • Έλεγχος πρόσβασης και παρουσίας σε σχολεία με χρήση τεχνολογιών αναγνώρισης προσώπου
  • Ηλεκτρονική παρακολούθηση στα πανεπιστήμια και αυτοματοποιημένη βαθμολόγηση φοιτητών
  • Αυτοματοποιημένο φιλτράρισμα αιτήσεων εργασίας
  • Αλγοριθμική διαχείριση εργαζομένων πλατφόρμας
  • Κατανομή κοινωνικών παροχών και εντοπισμός φορολογικής απάτης
  • Αυτοματοποιημένη αξιολόγηση πιστοληπτικής ικανότητας
  • Αποφάσεις εποπτείας περιεχομένου στα κοινωνικά δίκτυα

Ας θυμηθούμε σύντομα την αρχή: Το άρθρο 22 του ΓΚΠΔ παρέχει στα άτομα το δικαίωμα να μην υπόκεινται σε απόφαση που βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία., συμπεριλαμβανομένης της κατάρτισης προφίλ, της παραγωγής έννομων αποτελεσμάτων που το αφορούν ή της σημαντικής επίδρασής του με παρόμοιο τρόπο.

Στο πλαίσιο αυτό, θα πρέπει να σημειωθεί ότι το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων έχει διευκρινίσει ότι οι υπεύθυνοι επεξεργασίας δεδομένων δεν μπορούν να αποφύγουν την εφαρμογή του άρθρου 22 ζητώντας από έναν άνθρωπο να σφραγίζει απλώς τις αποφάσεις που λαμβάνονται από το μηχάνημα, χωρίς να έχει την πραγματική εξουσία ή αρμοδιότητα να τροποποιήσει το αποτέλεσμα.

Από την άλλη πλευρά, εάν η εν λόγω αυτοματοποιημένη διαδικασία παρέχει δεδομένα μόνο για μια απόφαση που τελικά θα ληφθεί από έναν άνθρωπο, η επεξεργασία στην οποία βασίζεται δεν εμπίπτει στο πεδίο εφαρμογής του άρθρου 22.

Σύμφωνα με το άρθρο 22(2), οι αυτοματοποιημένες αποφάσεις παραμένουν δυνατές όταν είναι απαραίτητες για την εκτέλεση μιας σύμβασης, όπως προβλέπεται από το νόμο ή βασίζονται στη ρητή συγκατάθεση του ατόμου.

Σε τέτοιες περιπτώσεις, ο υπεύθυνος επεξεργασίας οφείλει παρόλα αυτά να παρέχει κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, καθώς και του δικαιώματός του να εξασφαλίσει τουλάχιστον ανθρώπινη παρέμβαση από τον υπεύθυνο επεξεργασίας, να εκφράσει την άποψή του και να αμφισβητήσει την απόφαση.

Αυτός ο αυστηρός περιορισμός στις αυτοματοποιημένες αποφάσεις πρέπει να ερμηνεύεται στο ευρύτερο πλαίσιο του ΓΚΠΔ, και ιδίως στις απαιτήσεις του σχετικά με τη νομιμότητα οποιασδήποτε επεξεργασίας, την ύπαρξη νομικής βάσης και τους κανόνες που αφορούν τα λεγόμενα ευαίσθητα δεδομένα - συμπεριλαμβανομένων των βιομετρικών δεδομένων.

Τα έγγραφα που αναλύθηκαν δείχνουν ότι οι εποπτικές αρχές και τα δικαστήρια εφαρμόζουν αυστηρά αυτές τις αρχές.

Επιμένουν ιδιαίτερα στα ακόλουθα στοιχεία:

  • Η υποχρέωση διαφάνειας όσον αφορά τις παραμέτρους που οδηγούν σε αυτοματοποιημένη απόφαση·
  • Η εφαρμογή της αρχής της αφοσίωσης, για την αποφυγή διακρίσεων·
  • Οι αυστηρές προϋποθέσεις για την απόκτηση της συγκατάθεσης του ενδιαφερόμενου προσώπου.

Επιπλέον, για να αποφασιστεί εάν μια απόφαση είναι αποκλειστικά αυτοματοποιημένη, θα ληφθεί υπόψη ολόκληρο το πλαίσιο της διαδικασίας λήψης αποφάσεων: η οργανωτική δομή του διευθυντή, οι ιεραρχικές γραμμές, η ευαισθητοποίηση των εργαζομένων.

Για να αξιολογήσουν τον αντίκτυπο της απόφασης στο άτομο, οι αρχές εξετάζουν ειδικότερα εάν τα δεδομένα εισόδου μιας αυτοματοποιημένης απόφασης περιλαμβάνουν συμπεράσματα σχετικά με τη συμπεριφορά των ατόμων και εάν η απόφαση επηρεάζει τη συμπεριφορά και τις επιλογές των εν λόγω ατόμων.

Στη Γαλλία, μία από τις αποφάσεις αναφοράς είναι αυτή της CNIL στο Αρχείο Clearview, σχετικά με την αναγνώριση προσώπου: η Επιτροπή διέταξε την Clearview AI να σταματήσει να συλλέγει εικόνες προσώπου ανθρώπων στη Γαλλία από το διαδίκτυο για την τροφοδότηση της βάσης δεδομένων που εκπαιδεύει το λογισμικό αναγνώρισης προσώπου της, και να διαγράψει εικόνες που είχαν συλλεχθεί προηγουμένως, εντός δύο μηνών.

Η Ιταλία και το Ηνωμένο Βασίλειο έχουν λάβει παρόμοιες αποφάσεις σχετικά με την ίδια εταιρεία.

Μια απόφαση που εκδόθηκε τον Φεβρουάριο του 2020 από το διοικητικό δικαστήριο της Μασσαλίας ανέτρεψε την απόφαση της περιφέρειας Προβηγκίας-Άλπεων-Κυανής Ακτής να διεξαγάγει δύο πιλότοι αναγνώρισης προσώπου στις εισόδους σχολείων από τη Νίκαια και τη Μασσαλία.

Ενώ η υπόθεση εκκρεμούσε, η CNIL εξέφρασε ανησυχίες σχετικά με την εφαρμογή ενός τέτοιου συστήματος, δεδομένου του κοινού-στόχου (παιδιά) και της ευαισθησίας των εμπλεκόμενων βιομετρικών δεδομένων.

Η απόφαση του Δικαστηρίου να ακυρώσει τα πιλοτικά προγράμματα ελήφθη με το σκεπτικό ότι η συγκατάθεση που ελήφθη από τους μαθητές λυκείου δεν δόθηκε ελεύθερα, συγκεκριμένα, ενημερωμένα και κατηγορηματικά, και ότι τα σχολεία διέθεταν λιγότερο παρεμβατικά μέσα για να ελέγχουν την πρόσβαση των μαθητών τους στις εγκαταστάσεις τους (για παράδειγμα, έλεγχοι καρτών/ταυτοτήτων, σε συνδυασμό με βιντεοεπιτήρηση).

Ας προσθέσουμε ότι στις περισσότερες περιπτώσεις, ο υπεύθυνος επεξεργασίας δεδομένων δεν θα είναι σε θέση να αποφύγει ένα ανάλυση επιπτώσεων, όπως προβλέπεται στο άρθρο 35 του ΓΚΠΔ, όταν η απόφαση αφορά τη δημιουργία προφίλ με σημαντικές επιπτώσεις στο άτομο: για παράδειγμα, στην Ιταλία, η πρόσφατη απόφαση της Αρχής Προστασίας Δεδομένων (DPA) σχετικά με την εταιρεία Deliveroo: η εταιρεία θα έπρεπε να είχε διενεργήσει ανάλυση επιπτώσεων στον αλγόριθμό της, η επεξεργασία με χρήση καινοτόμων τεχνολογιών, η οποία διενεργείται σε μεγάλη κλίμακα (τόσο ως προς τον αριθμό των ποδηλατών – 8.000 – όσο και ως προς τους τύπους δεδομένων που χρησιμοποιούνται), όσον αφορά ευάλωτα άτομα (εργαζόμενοι στην «οικονομία της περιστασιακής απασχόλησης» που αμείβονται από την εργασία) και περιλαμβάνει αξιολόγηση ή αξιολόγηση των τελευταίων.

Και επίσης

Γαλλία:

Η CNIL δημοσιεύει την έκθεση πεπραγμένων της για το έτος 2021: Μεταξύ των αξιοσημείωτων δραστηριοτήτων της, σημειώνουμε την ανανέωση της πολιτικής υποστήριξης, την αυξημένη κινητοποίηση για την κυβερνοασφάλεια και την ενίσχυση της κατασταλτικής δράσης.

Δημοσιεύει επίσης μια σειρά κριτηρίων για την αξιολόγηση της νομιμότητας των cookies τοίχου.s (τοιχώματα ιχνηθέτη).

Παρέχει πληροφορίες που επιτρέπουν τη νομιμότητα της "πληρωτέοι τοίχοι", οι οποίες απαιτούν από τον χρήστη του Διαδικτύου που αρνείται τα cookies να καταβάλει ένα χρηματικό ποσό για να έχει πρόσβαση στον ιστότοπο.

Ο εκδότης που επιθυμεί να εφαρμόσει ένα paywall πρέπει να είναι σε θέση να δικαιολογήσει την εύλογη χρηματική αποζημίωση που προσφέρεται και να αποδείξει ότι το cookie wall περιορίζεται στους σκοπούς που επιτρέπουν τη δίκαιη αμοιβή για την προσφερόμενη υπηρεσία.

Η γαλλική κυβέρνηση θα αναπτύξει ένα σύστημα που θα επιτρέπει στους πολίτες να επαληθεύουν την ταυτότητά τους στο διαδίκτυο σαρώνοντας την ταυτότητά τους με το smartphone τους.

Η Επίσημη Εφημερίδα δημοσίευσε πράγματι το διάταγμα αριθ. 2022-676 της 26ης Απριλίου 2022, το οποίο επιτρέπει τη δημιουργία μιας ηλεκτρονικής εφαρμογής ταυτοποίησης που ονομάζεται «Υπηρεσία Εγγύησης Ψηφιακής Ταυτότητας».

Αυτή η εφαρμογή θα συνδέεται με τη νέα ταυτότητα, εξοπλισμένη με τσιπ και θα επιτρέπει την αποθήκευση των δεδομένων της σε κινητό τηλέφωνο.

Ευρώπη:

Στις 12 Μαΐου, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ενέκρινε δύο κατευθυντήριες γραμμές, μία σχετικά με τις μεθόδους υπολογισμού των προστίμων σύμφωνα με τον ΓΚΠΔ και η άλλη σχετικά με την αναγνώριση προσώπου.

Η ΕΟΚΕ υποστηρίζει ότι τα εργαλεία αναγνώρισης προσώπου θα πρέπει να χρησιμοποιούνται μόνο σε αυστηρή συμμόρφωση με την Ευρωπαϊκή Οδηγία για την Αστυνομία και τη Δικαιοσύνη.

Εκεί Ευρωπαϊκή Επιτροπή δημοσίευσε στις 11 Μαΐου την πρότασή της για κανονισμό που αποσκοπεί στην πρόληψη και την καταπολέμηση υλικού σεξουαλικής κακοποίησης παιδιών (CSAM).

Οι επιπτώσεις για εταιρείες όπως το WhatsApp και το Instagram, οι οποίες υποχρεούνται να παρακολουθούν και να διαγράφουν ιδιωτικές επικοινωνίες ή να τις διαβιβάζουν στις αρχές επιβολής του νόμου, ανησυχούν την κοινωνία των πολιτών.

Η Ευρωπαϊκή Επιτροπή δημοσιεύει ερωτήσεις και απαντήσεις σχετικά με τις νέες τυποποιημένες συμβατικές ρήτρες για τις διεθνείς μεταφορές δεδομένων

Ο «Νόμος περί Δεδομένων» της Ευρωπαϊκής Επιτροπής προκάλεσε επίσης την αντίδραση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων και του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (EDPS). σε κοινή γνώμη, εκφράζουν ανησυχία για το πεδίο εφαρμογής του κανονισμού.

Παρόλο που στοχεύει κυρίως σε δεδομένα που μεταδίδονται από συνδεδεμένα αντικείμενα, επηρεάζονται και ευαίσθητα προσωπικά δεδομένα.

Οι αρχές ζητούν σαφή όρια στη χρήση δεδομένων για άμεσο μάρκετινγκ ή διαφήμιση, παρακολούθηση εργαζομένων, ασφάλιστρα και αναφορά πιστοληπτικής ικανότητας.

Η ισπανική αρχή προστασίας δεδομένων επέβαλε πρόστιμο 10 εκατομμυρίων ευρώ στην Google LLC. για παράνομη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτο μέρος και για παρεμπόδιση της άσκησης του δικαιώματος διαγραφής.

Η Google μηνύεται επίσης στο Ηνωμένο Βασίλειο για παράνομη χρήση ιατρικών δεδομένων 1,6 εκατομμυρίων ανθρώπων: Το DeepMind, το σύστημα τεχνητής νοημοσύνης της εταιρείας, φέρεται να έλαβε αυτά τα δεδομένα το 2015 από το Royal Free NHS Trust στο Λονδίνο για να δοκιμάσει μια εφαρμογή για κινητά.

Google – παρόλα αυτά, αποφάσισε τελικά, αφού καταδικάστηκε από την CNIL και τους Ευρωπαίους ομολόγους της, να διευκολύνει την απόρριψη όλων των cookies στη μηχανή αναζήτησής της και στο YouTube. Η επιλογή «Προσαρμογή» θα αντικατασταθεί έτσι από δύο κουμπιά «Αποδοχή όλων» και «Απόρριψη όλων» του ίδιου σχήματος, συνοδευόμενα από ένα τρίτο «Περισσότερες επιλογές».

Σύμφωνα με την Βελγική Αρχή Προστασίας Δεδομένων, Η αποστολή ενός email με τη λίστα παραληπτών σε CC, αντί για BCC, δεν θεωρείται παραβίαση ασφαλείας, εφόσον επηρεάζεται μόνο μια μικρή ομάδα ατόμων (16 άτομα).

Η δανική αρχή εξετάζει το ενδεχόμενο επιβολής προστίμου 100.000 DKK σε υπηρεσία του Υπουργείου Δικαιοσύνης για την απώλεια μιας μη κρυπτογραφημένης μονάδας USB και τη μη αναφορά της παραβίασης ασφαλείας στην αρχή προστασίας δεδομένων.

Το Ιρλανδικό Εφετείο θεωρεί ότι τα δεδομένα που συλλέγονται από σύστημα βιντεοεπιτήρησης με σκοπό την πρόληψη αδικημάτων δεν μπορούν να χρησιμοποιηθούν για την παρακολούθηση των εργαζομένων και την κίνηση πειθαρχικών διαδικασιών εναντίον τους, καθώς ο σκοπός αυτός είναι ασυμβίβαστος με τον πρώτο.

Η Νορβηγική Αρχή Προστασίας Δεδομένων σκοπεύει να επιβάλει πρόστιμο 486.700 ευρώ στην εργατική διοίκηση για τη διάδοση στο διαδίκτυο των βιογραφικών σημειωμάτων 1.800.000 ατόμων χωρίς νομική βάση.

Διεθνές:

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων εξέφρασε ανησυχία σε γνωμοδότηση της 18ης Μαΐου σχετικά με τη συμμετοχή της Ευρωπαϊκής Ένωσης στη Σύμβαση των Ηνωμένων Εθνών για το Κυβερνοέγκλημα.

Επισημαίνει τον κίνδυνο αποδυνάμωσης των θεμελιωδών δικαιωμάτων, λόγω του μεγάλου αριθμού χωρών με διαφορετικά νομικά συστήματα που εμπλέκονται.

Η Αρχή Προστασίας Δεδομένων του Χονγκ Κονγκ δημοσίευσε τις κατευθυντήριες γραμμές της σχετικά με τη χρήση συμβατικών ρητρών για διεθνείς μεταφορές δεδομένων στις 12 Μαΐου.

Αρχή Προστασίας Δεδομένων της Σιγκαπούρης δημοσιεύει έναν οδηγό για την ανωνυμοποίηση δεδομένων

Το Twitter κατέληξε σε συμβιβασμό με το Υπουργείο Δικαιοσύνης των ΗΠΑ και την Ομοσπονδιακή Επιτροπή Εμπορίου για 150 εκατομμύρια δολάρια και δεσμεύεται να εφαρμόσει ένα πρόγραμμα συμμόρφωσης σχετικά με τις παραβιάσεις του απορρήτου των μη δημόσιων δεδομένων των συνδρομητών της.

Μια έκθεση του Ιρλανδικού Συμβουλίου Πολιτικών Ελευθεριών αναφέρει ότι η Υποβολή προσφορών σε πραγματικό χρόνο, η οποία επιτρέπει την προβολή στοχευμένης διαφήμισης, βρίσκεται πίσω από τη μεγαλύτερη παραβίαση δεδομένων που έχει καταγραφεί ποτέ στον κόσμο.

Σύμφωνα με στοιχεία, ο κλάδος, ο οποίος αξίζει περισσότερα από 110 δισεκατομμύρια ευρώ, παρακολουθεί και κοινοποιεί την διαδικτυακή δραστηριότητα και τις πραγματικές τοποθεσίες των ατόμων 178 δισεκατομμύρια φορές ετησίως στις Ηνωμένες Πολιτείες και την Ευρώπη.

Στην Ευρώπη, το RTB εκθέτει δεδομένα ανθρώπων 376 φορές την ημέρα και η Google στέλνει 19,6 εκατομμύρια εκπομπές σχετικά με τη διαδικτυακή συμπεριφορά των Γερμανών χρηστών του Διαδικτύου κάθε λεπτό που βρίσκονται συνδεδεμένοι.

Άννα Κριστίν Λακόστ

Η Anne Christine Lacoste, συνεργάτιδα της Olivier Weber Avocat, είναι δικηγόρος με εξειδίκευση στο δίκαιο των δεδομένων. Διετέλεσε επικεφαλής διεθνών σχέσεων στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εργάστηκε για την εφαρμογή του GDPR στην Ευρωπαϊκή Ένωση.

Ανακαλύψτε το Viqtor®
elEL
fr_FRFR en_USEN de_DE_formalDE es_ESES it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL elEL