Automatiseeritud otsused: kuidas GDPR-i rakendatakse?

Õiguslik valve nr 47 – Mai 2022

Automatiseeritud otsused: kuidas GDPR-i rakendatakse? 17. mail avaldas Privaatsuse Tuleviku Foorum ulatusliku aruande automatiseeritud otsuste teemal.

Käesolevas aruandes analüüsitakse enam kui 70 dokumenti, mis heidavad valgust sellele, kuidas kohtud ja tribunalid, Euroopa ja Ühendkuningriigi andmekaitseasutused ning mitmed reguleerivate asutuste antud suunised ja soovitused rakendavad isikuandmete kaitse üldmääruse artiklit 22.

Kuigi automatiseeritud otsuseid reguleeriti juba Euroopa direktiiviga 95/46/EÜ, on see põhimõte pärast isikuandmete kaitse üldmääruse jõustumist omandanud uue mõõtme.

Seega on see kohaldatav mitmekesisemates ja sagedasemates kontekstides, näiteks tehisintellekti kontekstis, ning APD-del on nüüd vahendid seaduse jõustamiseks.

Seda tüüpi otsuseid leidub peamiselt järgmistes valdkondades:

• Ligipääsu ja kohaloleku kontroll koolides näotuvastustehnoloogiate abil

• Ülikoolides veebipõhine jälgimine ja üliõpilaste automatiseeritud hindamine

• Tööavalduste automatiseeritud filtreerimine

• Platvormitöötajate algoritmiline haldamine

• Sotsiaaltoetuste jaotamine ja maksupettuste avastamine

• Automatiseeritud krediidihindamine

• Sisu modereerimise otsused sotsiaalvõrgustikes

Tuletame lühidalt meelde põhimõtet: Isikuandmete kaitse üldmääruse artikkel 22 annab üksikisikutele õiguse mitte alluda üksnes automatiseeritud töötlemisel põhinevale otsusele., sealhulgas profiilianalüüs, mis tekitab tema suhtes õiguslikke tagajärgi või mõjutab teda sarnasel viisil oluliselt.

Sellega seoses tuleb märkida, et Euroopa Andmekaitsenõukogu on selgitanud, et andmetöötlejad ei saa artikli 22 kohaldamist vältida sellega, et inimene lihtsalt tembeldab masina tehtud otsused ilma tegeliku volituse või pädevuseta tulemust muuta.

Teisest küljest, kui kõnealune automatiseeritud protsess annab andmeid ainult otsuse jaoks, mille lõpuks teeb inimene, siis selle aluseks olev töötlemine ei kuulu artikli 22 kohaldamisalasse.

Artikli 22 lõike 2 kohaselt on automatiseeritud otsused endiselt võimalikud, kui need on vajalikud lepingu täitmiseks, on sätestatud seaduses või põhinevad isiku selgesõnalisel nõusolekul.

Sellistel juhtudel näeb vastutav töötleja siiski ette asjakohased meetmed andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks ning tema õiguse saamiseks vastutava töötleja poolt vähemalt isikliku sekkumise, oma seisukoha väljendamiseks ja otsuse vaidlustamiseks.

Seda automatiseeritud otsuste ranget piirangut tuleb lugeda isikuandmete kaitse üldmääruse laiemas kontekstis, eelkõige selle nõuete osas, mis puudutavad mis tahes töötlemise seaduslikkust, õigusliku aluse olemasolu ja nn tundlikke andmeid, sealhulgas biomeetrilisi andmeid, käsitlevaid eeskirju.

Analüüsitud dokumendid näitavad, et järelevalveasutused ja kohtud kohaldavad neid põhimõtteid rangelt.

Nad rõhutavad eelkõige järgmisi elemente:

• Läbipaistvuskohustus automatiseeritud otsuste langetamisele viivate parameetrite osas;

• Lojaalsuspõhimõtte rakendamine diskrimineerimise vältimiseks;

• Asjaomase isiku nõusoleku saamise ranged tingimused.

Lisaks võetakse otsuse langetamisel, kas tegemist on täielikult automatiseeritud otsusega, arvesse kogu otsustusprotsessi konteksti: juhi organisatsioonilist struktuuri, hierarhilisi jooni, töötajate teadlikkust.

Otsuse mõju hindamiseks üksikisikule uurivad ametiasutused eelkõige seda, kas automatiseeritud otsuse sisendandmed sisaldavad järeldusi üksikisikute käitumise kohta ning kas otsus mõjutab asjaomaste üksikisikute käitumist ja valikuid.

Prantsusmaal on üks võrdlusotsusest CNILi otsus kohtuasjas Clearview'i failnäotuvastuse osas: komisjon käskis Clearview AI-l lõpetada kahe kuu jooksul Prantsusmaal asuvate inimeste näokujutiste kogumise internetist, et toita oma näotuvastustarkvara treenivat andmebaasi, ning kustutada varem kogutud pildid.

Itaalia ja Ühendkuningriik on sama ettevõtte kohta teinud sarnaseid otsuseid.

Marseille'i halduskohtu 2020. aasta veebruaris langetatud otsusega tühistati Provence-Alpes-Côte d'Azuri piirkonna otsus viia läbi kaks Näotuvastusprojektid koolide sissepääsude juures Nice'ist ja Marseille'st.

Juhtumi menetlemise ajal väljendas CNIL muret sellise süsteemi rakendamise pärast, arvestades sihtrühma (lapsed) ja asjaomaste biomeetriliste andmete tundlikkust.

Kohtu otsus pilootprojektid tühistada tehti põhjusel, et keskkooliõpilastelt saadud nõusolek ei olnud antud vabatahtlikult, konkreetselt, teadlikult ja ühemõtteliselt ning et koolidel oli õpilaste juurdepääsu oma ruumidele kontrollimiseks olemas vähem pealetükkivaid vahendeid (näiteks märgi/ID-kaardi kontroll koos videovalvega).

Lisaksime, et enamikul juhtudel ei ole andmetöötlejal võimalik vältida mõjuanalüüsnagu on sätestatud isikuandmete kaitse üldmääruse artiklis 35, kui otsus on seotud profiilianalüüsiga, millel on isikule oluline mõju: näiteks Itaalias on andmekaitseasutuse hiljutine otsus ettevõtte Deliveroo kohta: ettevõte oleks pidanud läbi viima mõjuanalüüsi oma algoritmi kohta, kuna uuenduslike tehnoloogiate abil toimuv töötlemine on ulatuslik (nii jalgratturite arvu – 8000 – kui ka kasutatud andmeliikide osas), puudutab haavatavaid isikuid (töötajad „gig-majanduses“, keda tasustatakse ülesande alusel) ning hõlmab viimaste hindamist või reitingut.

Ja ka

Prantsusmaa:

CNIL avaldab oma 2021. aasta tegevusaruande: Märkimisväärsete tegevuste hulgas märgime toetuspoliitika uuendamist, suurenenud mobiliseerimist küberturvalisuse valdkonnas ja repressiivsete meetmete tugevdamist.

Samuti avaldab see rea kriteeriume seinaküpsiste seaduslikkuse hindamiseks.s (jälgimisseinad).

See annab teavet, mis võimaldab seaduslikkust "tasulised müürid", mis nõuavad küpsistest keelduvalt internetikasutajalt saidile juurdepääsuks teatud rahasumma tasumist.

Tasulise müüri rakendamiseks sooviv kirjastaja peab suutma põhjendada pakutava rahalise hüvitise mõistlikkust ja näitama, et tema küpsisemüür piirdub eesmärkidega, mis võimaldavad pakutava teenuse eest õiglast tasu maksta.

Prantsuse valitsus võtab kasutusele süsteemi, mis võimaldab kodanikel end veebis autentida, skannides oma isikutunnistust nutitelefoniga.

Ametlik Teataja avaldas 26. aprilli 2022. aasta määruse nr 2022-676, mis annab loa luua elektroonilise identifitseerimise rakenduse nimega „Digitaalse identiteedi garantiiteenus”.

See rakendus seotakse uue kiibiga varustatud ID-kaardiga ja võimaldab selle andmeid mobiiltelefoni salvestada.

Euroopa:

12. mail Euroopa Andmekaitsenõukogu võttis vastu kaks suunist, ühe GDPR-i kohaste trahvide arvutamise meetodite ja teise näotuvastuse kohta.

Komitee pooldab näotuvastusvahendite kasutamist ainult ranges kooskõlas Euroopa politsei- ja õiguskomisjoni direktiiviga.

Seal Euroopa Komisjon avaldas 11. mail oma ettepaneku määruse kohta, mille eesmärk on ennetada ja võidelda laste seksuaalset väärkohtlemist kujutava materjali vastu.

Mõjud sellistele ettevõtetele nagu WhatsApp ja Instagram, kes on kohustatud jälgima ja kustutama privaatset suhtlust või edastama selle õiguskaitseorganitele, teevad kodanikuühiskonnale muret.

Euroopa Komisjon avaldab küsimused ja vastused rahvusvahelise andmeedastuse uute tüüptingimuste kohta

Euroopa Komisjoni „andmeseadus“ on kutsunud esile ka Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektori reaktsiooni. ühisarvamuses on nad mures määruse ulatuse pärast.

Kuigi see on peamiselt suunatud ühendatud objektide edastatavatele andmetele, hõlmab see ka tundlikke isikuandmeid.

Võimud nõuavad selgeid piiranguid andmete kasutamisele otseturunduse või reklaami, töötajate jälgimise, kindlustusmaksete ja krediidiaruandluse eesmärgil.

Hispaania andmekaitseamet määras Google LLC-le 10 miljoni euro suuruse trahvi. isikuandmete ebaseadusliku edastamise eest kolmandale isikule ja kustutamisõiguse teostamise takistamise eest.

Google'it kaevatakse Ühendkuningriigis kohtusse ka meditsiiniliste andmete ebaseadusliku kasutamise eest. 1,6 miljonist inimesest: ettevõtte tehisintellekti süsteem DeepMind sai need andmed väidetavalt 2015. aastal Londonis asuvalt Royal Free NHS Trustilt mobiilirakenduse testimiseks.

Google – on pärast CNIL-i ja selle Euroopa kolleegide hukkamõistu lõpuks otsustanud lihtsustada kõigi küpsiste keelamist oma otsingumootoris ja YouTube'is. Seega asendatakse valik „Kohanda“ kahe sama kujuga nupuga „Nõustu kõigega“ ja „Keeldu kõigega“, millele lisandub kolmas „Rohkem valikuid“.

Belgia andmekaitseameti andmetel Saajate nimekirja koopiana (mitte salakoopiana) saatmist meili teel ei loeta turvaintsidendiks, kui see mõjutab ainult väikest inimrühma (16 inimest).

Taani ametiasutus kaalub justiitsministeeriumi asutusele 100 000 Taani krooni suuruse trahvi määramist krüpteerimata USB-mälupulga kaotamise ja turvaintsidendist andmekaitseasutusele teatamata jätmise eest.

Iirimaa apellatsioonikohus on seisukohal, et videovalvesüsteemi abil süütegude ennetamise eesmärgil kogutud andmeid ei saa kasutada töötajate jälgimiseks ja nende vastu distsiplinaarmenetluse algatamiseks, kuna see eesmärk on esimesega vastuolus.

Norra andmekaitseamet kavatseb tööametile määrata 486 700 euro suuruse trahvi 1 800 000 inimese CV-de veebis seadusliku aluseta levitamise eest.

Rahvusvaheline:

Euroopa andmekaitseinspektor väljendas 18. mai arvamuses muret Euroopa Liidu osalemise pärast Ühinenud Rahvaste Organisatsiooni küberkuritegevuse konventsioonis.

Ta rõhutab põhiõiguste nõrgenemise ohtu, kuna kaasatud on palju riike, millel on erinevad õigussüsteemid.

Hongkongi andmekaitseamet avaldas oma suunised lepinguliste klauslite kasutamise kohta rahvusvahelisel andmeedastusel 12. mail.

Singapuri andmekaitseamet avaldab andmete anonüümimise juhendi

Twitter saavutas kokkuleppe USA justiitsministeeriumi ja föderaalse kaubanduskomisjoniga 150 miljoni dollari eest ja kohustub rakendama vastavusprogrammi seoses oma tellijate mitteavalike andmete konfidentsiaalsuse rikkumistega.

Iirimaa kodanikuvabaduste nõukogu aruandes on öeldud, et Reaalajas pakkumine, mis võimaldab suunatud reklaami edastamist, on maailma suurima andmelekke taga.

Statistika kohaselt jälgib ja jagab see enam kui 110 miljardi euro väärtuses tööstusharu Ameerika Ühendriikides ja Euroopas inimeste veebitegevust ja reaalset asukohta 178 miljardit korda aastas.

Euroopas avaldab RTB inimeste andmeid 376 korda päevas. ja Google saadab iga minut, mil Saksa internetikasutajad võrgus on, 19,6 miljonit saadet nende veebikäitumise kohta.

Anne Christine Lacoste

Olivier Weber Avocati partner Anne Christine Lacoste on andmeõigusele spetsialiseerunud jurist; ta oli Euroopa Andmekaitseinspektori rahvusvaheliste suhete juht ja tegeles GDPR-i rakendamisega Euroopa Liidus.