Õiguslik jälgimine nr 57 – märts 2023.

Nutikaamerad ja biomeetria – milline on olümpiamängudega seotud seaduse mõju?

23. märtsil võttis Rahvusassamblee vastu olümpiamängude seaduse artikli 7.

Hõredalt osavõetud assamblees (kohal oli 73 liiget 577-st) vastu võetud seaduseelnõu on juba palju arutelusid tekitanud ja kutsub lähikuudel kindlasti esile veel palju reaktsioone.

See legaliseerib algoritmilise jälgimise kasutamise kuni 2024. aasta detsembrini, kontekstis, mida kirjeldatakse erandlikuna, kuid mis hõlmab sündmusi, mis väljuvad olümpiamängude rangest raamistikust.

Jälgimine võib puudutada üldiselt „spordi-, vaba aja veetmise või kultuuriüritusi“, „mis on ohustatud terroriaktide või isikute turvalisust ohustavate tõsiste ohtudega“.

Seega saab seda testida spordiüritustel, näiteks sel sügisel toimuval ragbi maailmameistrivõistlustel.

 

Mis on algoritmiline jälgimine? Kas see on biomeetrilise jälgimise vorm, mille suhtes kehtivad isikuandmete kaitse üldmääruse ja tulevase Euroopa tehisintellekti määruse ranged kohustused?

Projekt plaanib kasutada tehisintellektiga toetatud "täiustatud kaameraid", mida juhivad droonid ja mida kasutatakse piltide automaatseks reaalajas analüüsimiseks algoritmide abil, et tuvastada ettemääratud sündmusi, nagu rahvahulga liikumine, pagas, žestid või kahtlane käitumine.

Kuigi CNIL tõi esile täiustatud kaamerate peamisi probleeme privaatsuse ja isikuandmete kaitse osas, ei paistnud ta oma 8. detsembri märkustes arvestavat biomeetrilise töötlemise võimalusega.

Ta märkis, et mitmed meetmed olid tema soovitustega kooskõlas:

• Eksperimentaalne kasutuselevõtt, ajaliselt ja ruumiliselt piiratud, teatud konkreetsetel eesmärkidel ja inimestele tõsiste ohtudega seotud,
• Biomeetriliste andmete töötlemise ja teiste failidega ristviitamise puudumine ning
• Otsused, mis vajavad eelnevat inimese sekkumist.

Kodanikuühiskonna jaoks kuulub kasutatav tehnoloogia aga selgelt biomeetria kategooriasse.

Tõepoolest, see "tuvastab, analüüsib ja liigitab pidevalt kehasid, füüsilisi omadusi, žeste, siluette ja kõnnakuid, mis on vaieldamatult biomeetrilised andmed".

La Quadrature du Net ja umbes nelikümmend rahvusvahelist organisatsiooni on seda perspektiivi arendanud avalikus kirjas Rahvusassambleele, mille koordineeris ja avaldas ECNL (Euroopa Mittetulundusühingute Õiguse Keskus).

Isikuandmete kaitse üldmäärus määratleb biomeetrilised andmed kui „füüsilise isiku füüsiliste, füsioloogiliste või käitumuslike omadustega seotud isikuandmed, mis võimaldavad või kinnitavad tema unikaalset tuvastamist“ (artikkel 4.14).

Avatud kirjas märgitakse, et kaamerad jäädvustavad ja analüüsivad paratamatult jälgitavates avalikes kohtades viibivate inimeste füsioloogilisi tunnuseid ja käitumist ning et nende inimeste eraldamine keskkonnast, mis osutub süsteemi eesmärgi saavutamiseks hädavajalikuks, kujutab endast "ainulaadset identifitseerimist".

Isikuandmete kaitse üldmääruse ja Euroopa Andmekaitsenõukogu sellekohase tõlgenduse kohaselt kujutab inimene rahvahulgast või keskkonnast isoleerimise võimet, olenemata sellest, kas tema nimi või identiteet on teada või mitte, endast „unikaalset identifikaatorit“.

Inimeste paigutamine nende andmete põhjal kategooriasse, mis rühmitab „riskirühma kuuluvaid” käitumisviise, kujutaks endast seega biomeetrilist kategoriseerimist, mis tõenäoliselt läheb vastuollu tulevase Euroopa tehisintellekti määruse sätetega.

Sellega seoses tuleks märkida Euroopa andmekaitse regulaatorite 18. juuni 2021. aasta arvamust, milles nõutakse tehisintellekti kasutamise üldist keelustamist inimtunnuste automaatseks tuvastamiseks avalikult ligipääsetavates kohtades.

Need argumendid on lisatud ka 41 Euroopa Parlamendi liikme poolt Rahvusassambleele saadetud kirjas, milles rõhutatakse, et selle seadusega saaks Prantsusmaast esimene riik Euroopas, mis legaliseerib oma avaliku ruumi massilise jälgimise.

Seega võib seadusandlus pidada vajalikuks läbida vastavustesti Euroopa õigusega.

Sellega seoses tuleb märkida, et tehisintellekti määruse eelnõu on Euroopa Parlamendi mai lõpu täiskogu istungjärgu päevakorras.

 

Ja ka

CNIL    

 CNIL avaldas oma nimekirja prioriteetsete juhtimisteemade 2023. aastal keskendub ta sel aastal järgmisele:

• "Lisakaamerate" kasutamine avaliku elu tegelaste poolt,
• Tarbijakrediidi juhtumite toimiku kasutamine,
• Patsientide terviseandmete haldamine ja
• Mobiilirakendused.

Samuti avaldas ta märtsi lõpus oma esimese temaatilise toimiku, mis käsitles digitaalne identiteet, esitades peamised põhimõtted ja oma seisukohad sellel teemal.

Toimik on mõeldud nii laiemale avalikkusele kui ka avalik-õiguslikele või eraõiguslikele organisatsioonidele ja teadlastele.

Sellega seoses tasub meenutada, et CNIL vaatas 22. veebruari väljaandes läbi alates 2019. aastast läbi viidud elektroonilise tervisekindlustuskaardi („e-carte Vitale“) katse, mida pakutakse enne 2025. aasta lõppu valikuliselt kõigile sotsiaalkindlustuse saajatele.

Lisaks igapäevasele kasutamisele on "e-Carte Vitale" digitaalse tervishoiu sektori alternatiiv FranceConnectile.

16. märtsil 2023 määras CNIL ettevõttele 125 000 euro suuruse trahvi. CITYSCOOT.

CNIL leidis, et ettevõte määras oma klientide asukoha peaaegu pidevalt tõukeratta rentimisel ja säilitas neid andmeid.

Komisjon märkis ka, et alltöövõtulepingud ei sisaldanud teatud olulisi klausleid, sealhulgas kogutavate andmete laadi, rakendatavaid turvameetmeid ja andmete saatust lepingute lõpetamise korral.

Ettevõte kasutas ka reCAPTCHA mehhanismi, mis edastas kogutud andmed analüüsimiseks GOOGLE'ile, andmata kasutajale mingit teavet ja saamata tema eelnevat nõusolekut.

 

Euroopa institutsioonid ja organid

Euroopa Andmekaitsenõukogu

Euroopa Andmekaitsenõukogu (EDPB) on käivitanud oma iga-aastase koordineeritud kontrollitegevuse.

Järgmise paari kuu jooksul osaleb 26 EMP riiklikku andmekaitseasutust selles andmekaitseametnike määramise ja ametikoha määramise meetmes.

Uurimiste eesmärk on teha kindlaks, kas delegaatidel on ametikoht, mis vastab isikuandmete kaitse üldmääruse artiklite 37–39 nõuetele, ja kas neil on oma ülesannete täitmiseks vajalikud ressursid.

Neile saadetakse küsimustikud, et kaardistada nende olukorda ja teha kindlaks, kas ametlik uurimine on õigustatud.

DSA

Digiteenuste määruse (DSA) alusel on Euroopa Liit kehtestanud uued reeglid, mis nõuavad, et väga suured veebiplatvormid (väga suured veebiplatvormid ja väga suured otsingumootorid), millel on üle 45 miljoni kasutaja, registreeruksid Euroopa Komisjonis enne 17. veebruari.

Londoni Majandus- ja Poliitikateaduste Kooli professori analüüsi kohaselt oleks kaasatud 18 osalist: AliExpress, Amazoni turg, Apple'i App Store, Booking.com, Facebook, Google Maps, Google Play, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, YouTube, Wikipedia, Bingi otsing ja Google'i otsing.

TikTok

Sotsiaalvõrgustik TikTok teatas veebruari keskel oma kavatsusest järgida DSA-d, mis jõustub 2023. aasta keskel.

TikTok teatas ka andmekeskuste rajamisest Euroopasse, et piirata piiriülest andmevoogu.

See teadaanne tuleb ajal, mil ELi institutsioonid ning Hollandi, Kanada ja Ameerika Ühendriikide Valge Maja valitsused on hiljuti palunud oma töötajatel rakendus oma töö- ja isiklikest seadmetest desinstallida, viidates isikuandmete kaitse probleemidele.

DMA

Märtsi lõpus moodustas Euroopa Komisjon kõrgetasemelise töörühma, et tagada digitaalsete turgude määruse (DMA) järjepidev kohaldamine teiste Euroopa määrustega.

Ametisse nimetatud isikute hulgas on Euroopa Andmekaitseinspektor (EDPS) ja Euroopa Andmekaitsenõukogu (EDPB).

Digitaalturgude seadus kehtib konkreetselt suurtele veebiplatvormidele, mis on määratud nn väravavahtideks.

ENISA 

Euroopa agentuur ENISA avaldab 29. märtsil uuringu küberturvalisuse ohtude kohta aastani 2030.

Selle uuringu eesmärk on tuvastada ja koguda teavet tulevaste ohtude kohta, mis võivad mõjutada liidu taristut ja teenuseid, samuti selle võimet tagada Euroopa ühiskonna ja kodanike digitaalne turvalisus.

ENISA avaldab ka aruande tehisintellekti küberturvalisuse ja standardiseerimise kohta.

Dokumendi eesmärk on anda ülevaade olemasolevatest ja tulevastest standarditest, hinnata nende ulatust ja teha kindlaks standardimise lüngad.

See võtab arvesse tehisintellekti ja eriti masinõppe eripärasid ning omaks laia küberturvalisuse nägemuse, mis hõlmab konfidentsiaalsuse, terviklikkuse ja käideldavuse nõudeid ning tehisintellekti usaldusväärsuse laiemat kontseptsiooni.

Lõpuks uuritakse aruandes, kuidas standardiseerimine saab toetada kavandatud ELi tehisintellekti määrusesse integreeritud küberturvalisuse aspektide rakendamist.

EUROOPA KOMISJON

6. märtsil teatas Euroopa Komisjon, et pärast dialoogi ELi tarbijakaitseasutustega on WhatsApp võtnud endale kohustuse olla oma teenuse osutamise tingimuste muudatuste osas läbipaistvam.

Samuti lihtsustab ettevõte kasutajatel uuenduste tagasilükkamist, kui nad nendega ei nõustu, ning selgitab, millal selline tagasilükkamine viib selleni, et kasutaja ei saa enam ettevõtte teenuseid kasutada.

WhatsApp on samuti kinnitanud, et kasutajate isikuandmeid ei jagata reklaami eesmärgil kolmandate osapoolte ega teiste Meta ettevõtetega.

IAPP

IAPP-i veebisaidil on tabel („ELi andmealgatused kontekstis“), kus on loetletud Euroopa andmekaitse-eeskirjad ja käimasolevad algatused alates isikuandmete kaitse üldmäärusest ja digitaalteenuste seadusest kuni Euroopa küberturvalisuse strateegiani. Seda nimekirja ajakohastati 2023. aasta märtsis.

 

Riiklikud uudised

• ÜHENDKUNINGRIIK: Neljapäeval, 9. märtsil esitas Briti valitsus parlamendile andmekaitse ja digitaalse teabe "pehmendatud" seaduseelnõu. Kavandatud reform võimaldaks ettevõtetel eelkõige koguda andmeid lihtsamini ilma kasutajate nõusolekuta, näiteks osana oma teadus- ja arenduspoliitikast.

Samuti leevenduvad küpsiste paigutamisega seotud nõusoleku kohustused ning sisemise andmekaitseametniku palkamine ei ole enam kohustuslik.

Ikka veel Ühendkuningriigis:

• Riiklik Küberjulgeolekukeskus avaldas artikli, milles hinnatakse riske ja antakse soovitusi LLM-ide (suurkeelte mudelid), näiteks ChatGPT, kasutamiseks.

Kui päringuandmeid mudeli toitmiseks täna ei kasutata, võidakse neid kasutada tulevastes versioonides.

Artiklis viidatakse küberkuritegevuse suurenenud riskidele, näiteks veenvamate andmepüügikirjade koostamisele või uute rünnakutehnikate õppimisele.

Ta soovitab mitte lisada tundlikku teavet avalikele õigusteaduse magistrantidele adresseeritud taotlustesse.

• Ühendkuningriigi andmekaitseamet on omalt poolt tööstusharu palvel ajakohastanud oma tehisintellekti ja andmekaitse suuniseid.

Suunised selgitavad tehisintellekti õigluse nõudeid.

• ITAALIA: Kevade alguses on LLM-id tähelepanu keskpunktis. 31. märtsil andis Itaalia andmekaitseamet välja OpenAI vastu korralduse, blokeerides ChatGPT Itaalias läbipaistvuse puudumise, töötlemiseks õiguspärase põhjuse puudumise, töödeldavate andmete täpsuse tagamata jätmise, vanuse kontrollimise puudumise ja privaatsuse kavandatud kaitse põhimõtte üldise rikkumise tõttu.
• TŠEHHI VABARIIK: Tšehhi andmekaitseamet määras küberturvalisuse ja viirusetõrjeettevõttele Avast 13,7 miljoni euro suuruse trahvi GDPR-i rikkumise eest.

Google Mapsi, YouTube'i, LinkedIni ja laiemalt Google'i veebiotsingute kaudu kogutud kasutajaandmeid müüs oma tütarettevõte Jumpshot.

Tšehhi andmekaitseameti uurimine puudutab isikuandmete ajaloolist töötlemist enne 2020. aasta jaanuari, mil Avast sulges Jumpshoti.

• NORRA: Norra andmekaitseamet (APD) määras Argon Medical Devicesile 220 000 euro suuruse trahvi andmetega seotud rikkumisest teatamise edasilükkamise eest, mille põhjuseks oli süstemaatiline ja ulatuslik väliste konsultantide kasutamine.

Sellist kolmandate isikute poole pöördumist peeti turvarikkumisest teatamise protsessi põhjendamatult aeglustavaks.

Jälle Norra:

• Pärast seda, kui vabaühendus NOYB esitas ühe 101 kaebusest seoses andmeedastusega Ameerika Ühendriikidesse, teatas Norra andmekaitseamet vastutavale töötlejale oma kavatsusest teda noomida Google Analyticsi kasutamise ja sellele järgnenud isikuandmete edastamise eest Ameerika Ühendriikidesse, rikkudes isikuandmete kaitse üldmääruse artiklit 44.
• Samuti Norras kinnitas privaatsusapellatsioonikomisjon andmekaitseameti otsuse trahvida omavalitsust 352 555 euroga isikuandmete kaitse üldmääruse artikli 5(1)(f) ning artiklite 24 ja 32 rikkumise eest pärast lunavararünnakut, mille tagajärjel kadusid pöördumatult väga tundlikud isikuandmed ja müüdi neid pimeveebis.
• AUSTRIA: Austria andmekaitseamet (APD) otsustas, et Facebooki jälgimispiksli kasutamine rikub isikuandmete kaitse üldmäärust ja Euroopa Kohtu otsust Schrems II kohtuasjas Atlandi-üleste andmevoogude kohta.
• BELGIA: Belgias lubati avaliku sektori asutusel tugineda GDPR-i artikli 6 lõike 1 punktile e oma töötajate ametiautode asukoha määramiseks, kuna puudusid muud vähem sekkuvad lahendused ja jälgimine oli vajalik piiratud ressursside tõhusaks kasutamiseks.

Antud juhul aga noomiti andmetöötlejat mitme muu määruse rikkumise eest.

• IIRIMAA: Iirimaa Pangale määrati 750 000 euro suurune trahv. Andmekaitseamet (DPA) leidis, et andmetöötleja ei olnud piisavalt hinnanud töötlemisega seotud riske ega rakendanud asjakohaseid turvameetmeid.
• HISPAANIA: Hispaania andmekaitseamet (APD) määras Orange Spainile 100 000 euro suuruse trahvi andmete minimeerimise põhimõtte rikkumise eest, nõudes veebist ostetud telefoni kohaletoimetamiseks kliendi isikut tõendava dokumendi esi- ja tagakülje fotot.
• Hispaanias vastutab andmetöötleja, kes töötaja vea tõttu juurdepääsutaotlusele ei vasta, siiski GDPR-i artikli 15 rikkumise eest.

 

• USA: 25. märtsil avaldas föderaalne kaubanduskomisjon oma blogis artikli pealkirjaga "Vestlusrobotid, süvavõltsingud ja häälkloonid" ehk pettus tehisintellekti abil.

FTC osutab murettekitavale tekkivale ohule, millega digitaalse ökosüsteemi ettevõtted peavad tegelema.

FTC tehnoloogiabüroo avaldas ka analüüsi ja juhised kolmandate osapoolte jälgimispikslite kohta, mis põhinevad tema hiljutistel otsustel digitaalsete tervishoiuteenuste pakkujate kohta.

• NIST (Riiklik Standardite ja Tehnoloogia Instituut) käivitab usaldusväärse ja vastutustundliku tehisintellekti ressursikeskuse.

Eesmärk on toetada tehisintellekti sidusrühmi nende tehnoloogiate arendamisel.

Sellega kaasnevad riskijuhtimise raamistik ja käsiraamat ning selle eesmärk on pakkuda juurdepääsu laiale valikule asjakohastele ressurssidele sellel teemal.

• LÕUNA-KOREA: Lõuna-Korea isikuandmete kaitse komisjon trahvis McDonald'si, British American Tobaccot ja Samsungi privaatsusrikkumiste eest.

McDonald'sile määrati 484 000 euro suurune trahv McDelivery teenuse kasutajatega seotud varukoopiate salvestamise eest serverisse, kus jagamine oli lubatud, mis võimaldas häkkeritel pääseda ligi 4 876 106 kliendi andmetele.

Teises juhtumis varastati 766 846 hamburgeriostja andmed, mille tulemusel sai ettevõte esialgse trahvi 7000 eurot.

• ALŽEERIA: Seadus nr 18-07, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel, jõustub 2023. aasta augustis.