Tumedad mustrid: mida sa alati tahtsid teada, aga kartsid küsida...

Õiguslik jälgimine nr 45 – märts 2022.

Seda raskesti tõlgitavat ingliskeelset terminit leidub paljudes infotehnoloogiat käsitlevates väljaannetes. 

Seoses "nügimisega", mille eesmärk on internetikasutajaid soovitud käitumist peenelt julgustada, püüavad "tumedad mustrid" sama eesmärki saavutada veebiliideste kujundamise kaudu.

14. märtsil võttis Euroopa Andmekaitsenõukogu vastu suunised sotsiaalmeedia platvormide liideste nn tumedate mustrite kohta. 

Avalikule konsultatsioonile kuuluv dokument on suunatud kasutajatele, et aidata neil neid tehnikaid tuvastada, ja disaineritele, kellele see pakub parimaid tavasid GDPR-i järgimise hõlbustamiseks. 

Dokumendis on loetletud Prévert'i stiilis inventuuri meenutavas vormingus erinevad tavad: 

• Info üleküllus esitab kasutajale hulgaliselt andmeid või valikuid (näiteks lõputu nimekiri küpsiste saajatest), mis paneb teda jagama rohkem teavet, kui ta sooviks. 

• Hüppamine paneb kasutaja unustama kontrollida oma andmete teatud kasutustingimusi, näiteks juhtides tema tähelepanu mujale.

• Segamine mõjutab kasutajate valikuid, mängides nende emotsioonidega (näiteks julgustades neid mitte sotsiaalvõrgustikust loobuma)

• Takistus (takistamine) takistab internetikasutajatel valikute tegemist mittefunktsionaalsete linkide, vajalikust pikema või eksitava teabe kaudu.

• Disaini ebajärjekindlus (pööramatu) raskendab kontekstist väljas oleva või mittehierarhilise teabe esitamise kaudu kontrollivahendite kasutamist.

• Lõpuks võib disain jätta internetikasutaja pimedusse, vastuolulise ja mitmetähendusliku teabe kasutamine (vaikimisi lubatud või keelatud erinevat värvi nupud) või keelte ebajärjekindlus (üleminek prantsuse keelest inglise keelde).

Sellised võtted ja kujutlusvõime tekitaksid peaaegu aukartust, kui need tavad poleks ebaseaduslikud, kuna need on vastuolus isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktis a sätestatud lojaalsuspõhimõttega ning läbipaistvuse, andmete minimeerimise, vastutuse, eesmärgipärasuse ja nõusoleku kehtivuse põhimõtetega.

Euroopa Andmekaitsenõukogu suunistes on iga tehnika tüübi kohta näiteid ja nõuandeid kasutajate valikute lihtsustamiseks. 

Heade tavade hulka kuuluvad: 

• Kiirtoimingute lubamiseks otseteede kasutamine (konto tellimuse tühistamine).

• Reklaambännerite või hüpikakende kasutamine muutuse või konkreetse riski (näiteks turvarikkumise) korral.

• Lihtsa ja järjepideva keele kasutamine.

• Definitsioonide loend.

• Näidete kasutamine.

• Pakutud erinevate valikute tagajärgede selgitus.

• Saidikaardi süstemaatiline kuvamine ja tagasi-nupp, mis võimaldab kasutajal navigeerimist jätkata.

Tuleb märkida, et CNIL-i eelmise aasta jaanuari otsused Google'i ja Facebooki vastu, millega neile ettevõtetele määrati vastavalt 150 ja 60 miljoni euro suurune trahv, karistavad küpsiste kasutamisel tumedate mustrite kasutamist: liidesed pakkusid küpsiste aktiveerimiseks lihtsat võimalust ühe klõpsuga, samas kui kõigi küpsiste keelamiseks oli vaja teha mitu toimingut. 

Kuigi seni on järelevalveasutuste tähelepanu keskendunud küpsistele, on nüüd kaalul laiem tavade kogum. Liidese disainerite roll muutub üha olulisemaks.

Ja ka

Prantsusmaa:

Pariisi prokuratuuri küberkuritegevuse osakond on algatanud kohtuliku uurimise seoses ulatusliku meditsiiniliste andmete lekkega. 

Arvatakse, et andmeleke mõjutas ligikaudu 500 000 inimest ja pärines umbes kolmekümnest meditsiinibioloogia laborist. Uurimist viivad läbi ka ANSSI ja CNIL koostöös laborite poolt kasutatava haldustarkvara väljaandjaga.

Järjekordne ulatuslik andmeleke ajendas riiklikku haigekassat 17. märtsil avaldama avalduse, milles öeldi, et häkkerid on Amelipro portaalis vähemalt 19 tervishoiutöötaja kontod ohtu seadnud.  

See küberrünnak mõjutab ligikaudu 500 000 kindlustusvõtja isikuandmeid ja sotsiaalkindlustusnumbreid.

Ikka veel tervishoiusektoris integreeriti jagatud haiguslugu (DMP) digitaalsesse terviseruumi (ENS ehk „Minu terviseruum“) 2022. aasta jaanuaris.  

CNIL tuletab oma veebisaidil meelde, kuidas need kaks süsteemi toimivad ja millised on asjaomaste isikute õigused.

28. juunil 2022 korraldab CNIL Pariisis esimese privaatsusuuringute päeva., rahvusvaheline konverents, mis on pühendatud privaatsuse ja isikuandmete kaitse valdkonna uuringutele.

Euroopa: 

Euroopa ja Ameerika Ühendriikide vahel on paistmas kokkulepe isikuandmete edastamise kohta. 

Ursula von der Leyen ja Joe Biden teatasid 25. märtsil poliitilisest kokkuleppest selles küsimuses, teadaannet täpsustas Euroopa Komisjoni justiitsvolinik Didier Reynders, kes andis mõista, et tegemist on kokkuleppega tulevase transatlantilise lepingu "põhimõtete" osas. 

Uus õigusraamistik asendaks nn turvasadama põhimõtteid ja privaatsuskilpi, mis mõlemad kuulutati Euroopa Kohtu poolt aegunuks Euroopa andmekaitsepõhimõtete mittejärgimise tõttu. 

Euroopa Komisjoni kavandatav Covid-sertifikaadi määruste (EUDCC) laiendamine on andmekaitseasutuste tähelepanu keskpunktis. 

Euroopa Andmekaitseinspektor ja Euroopa Andmekaitsenõukogu väljendasid kahtlusi seoses mõjuhinnangu puudumisega enne komisjoni ettepanekuid nende sertifikaatide üheks aastaks pikendamiseks.  

Komitee ja Euroopa Andmekaitseinspektor tunnistasid siiski, et aktsepteeritud testide tüüpide laiendamine ja manustatud dooside arvu lisamine sertifikaadile ei muutnud kehtivaid sätteid oluliselt.

Märtsi keskel esitasid Amazoni töötajad massilise juurdepääsutaotluse ettevõtte valduses olevatele andmetele, et kontrollida oma töökohtades toimuva jälgimise tingimusi.  

Saksamaalt, Ühendkuningriigist, Itaaliast, Poolast ja Slovakkiast pärit taotlejad esitasid oma taotluse isikuandmete kaitse üldmääruse artikli 15 alusel koostöös Ülemaailmse Töötajate Liiduga (UNI) ja vabaühendusega NOYB.  

Lisaks oma suunistele sotsiaalmeedia „tumedate mustrite” kohta Euroopa Andmekaitsenõukogu võttis 14. märtsi plenaaristungil vastu suunised isikuandmete kaitse üldmääruse artikli 60 kohaldamise kohta seoses andmekaitseasutuste vahelise koostööga. 

Selle dokumendi eesmärk on parandada ühtse liidese sätete kohaldamist. 

Süsteem näeb ette Euroopa Liidus asutatud ettevõtete kontaktasutuse nende peamise tegevuskoha alusel ning korra koostööks kõigi teiste asjaomaste asutustega kaebuste või nende riigis asuvate asutuste puhul. 

Itaalia andmekaitseamet määras Clearview IA-le 10. veebruaril 20 000 000 euro suuruse trahvi. biomeetriliste tuvastussüsteemide kasutamise eest avalikes internetiallikates, rikkudes isikuandmete kaitse üldmäärust. See käskis andmed kustutada. Ühendkuningriigi andmekaitseamet trahvis 28. veebruaril advokaadibürood 117 000 euroga. isikuandmete kaitse üldmääruse artikli 5 lõike 1 punkti f ja artikli 32 rikkumise eest ning eelkõige asjakohaste turvameetmete rakendamata jätmise eest. 

Hispaania kiitis käitumisjuhendi heaks 17. veebruaril andmekaitse kohta kliiniliste uuringute ja ravimiohutuse järelevalve kontekstis.

Iiri andmekaitseamet trahvis Metat (endine Facebook) 15. märtsil 17 miljoni euroga pärast mitmeid turvarikkumisi. Järelevalveasutus leidis, et ettevõte ei olnud võtnud andmete turvalisuse tagamiseks vajalikke tehnilisi ja korralduslikke meetmeid. 

Otsus, mis on tehtud pärast koostöömenetlust teiste juhtumiga seotud Euroopa järelevalveasutustega (GDPR artikkel 60).

Saksamaal trahvis Bremeni andmekaitseamet 3. märtsil kinnisvarahaldusettevõtet (Brebau GmbH) 1 900 000 euroga tundlike andmete ebaseadusliku töötlemise eest. enam kui 9500 üürnikukandidaadi kohta. 

Töödeldud andmete hulgas olid nahavärv, usk, seksuaalne sättumus, tervislik seisund, soeng ja kehalõhn.

Rahvusvaheline: 

4. märtsi kuupäevaga kokkuleppemääruses Ameerika Ühendriikide föderaalne kaubanduskomisjon nõuab, et WW International (Weight Watchers) hävitaks alaealiste isikuandmete abil loodud algoritmid või tehisintellekti mudelid. ilma vanemate eelneva nõusolekuta. 

Ettevõttele määrati ka 1,5 miljoni dollari suurune trahv ja kästi hävitada ebaseaduslikult kogutud andmed. 

See on kolmas kord, kui FTC on kokkuleppe korralduses nõudnud tehisintellekti algoritmi hävitamist.  

THE Sri Lanka võttis 19. märtsil 2022 vastu isikuandmete kaitse seaduse.

Nokiat, mis teatas Ukraina sõja tõttu tegevuse lõpetamisest Venemaal, süüdistatakse Venemaa elanikkonna jälgimist võimaldanud telekommunikatsioonisüsteemi maha jätmises. 

New York Timesi avaldatud sisedokumentide kohaselt on Nokia enam kui viis aastat varustanud Venemaad seadmete ja teenustega, et ühendada Venemaa jälgimissüsteem SORM (System for Operative Investigative Activities) Venemaa suurima telekommunikatsiooniteenusega MTS.

Anne Christine Lacoste  Olivier Weber Avocati partner Anne Christine Lacoste on andmeõigusele spetsialiseerunud jurist; ta oli Euroopa Andmekaitseinspektori rahvusvaheliste suhete juht ja tegeles GDPR-i rakendamisega Euroopa Liidus.