Õiguslik jälgimine nr 77 – november 2024. 

Tehisintellekt kui töövahend: millist raamistikku on vaja?

Tehisintellekti kasutamine töökohal on tänapäeval plahvatuslikult kasvamas, sageli ilma eelneva mõtlemiseta ja ilma et tööandja teaks täpselt, kuidas tema töötajad uusi nende käsutuses olevaid tööriistu kasutavad.

Olgu selleks nüüdseks klassikalised keelemudelid nagu ChatGPT või tööriistad, mis võimaldavad teil luua graafilist disaini (Canva), veebist andmeid hankida (Browse AI) või koosoleku ajal automaatselt märkmeid teha (Fireflies), võimalusi on leegion.

IFOP-i 2023. aasta detsembris Learnthingi jaoks läbi viidud uuringu kohaselt on peaaegu iga neljas töötaja juba tööalaselt tehisintellekti tööriista kasutanud ning neist enam kui pool (55 %) tegi seda oma juhti teavitamata.

Siiski on oluline mõista, kuidas neid tööriistu sisemiselt kasutatakse, et tagada vastavus kohaldatavale õigusraamistikule, eelkõige Euroopa tehisintellekti käsitlevale määrusele ja isikuandmete kaitse üldmäärusele.

Mitmed ametiasutused, sealhulgas ANSSI ja CNIL, on avaldanud soovitusi, mille eesmärk on tõsta professionaalsete kasutajate teadlikkust. Siin on peamised punktid:

Tehisintellekti harta rakendamine ettevõtte sees selleks, et

• Loetlege lubatud tööriistad;
• Kaardistage need tööriistad vastavalt riskidele, kooskõlas tehisintellekti regulatsiooniga;
• Kõrge riskiga süsteemide reguleerimine (nt kutseõpe ja personalitöö värbamine, kus tehisintellekti kasutamine võib tekitada „diskrimineerimise automatiseerimise“).

Korraldage sotsiaalne dialoog, konsulteerima CSE-ga ja muutma sise-eeskirju, et muuta need eeskirjad sisemiselt jõustatavaks.

Andmete turvalisuse tagamine Isikuandmete (nt kliendi- või töötajaandmete) või tundliku või strateegilise dokumentatsiooni edastamine tehisintellekti süsteemile võib kaasa tuua olulisi tagajärgi konfidentsiaalsuse seisukohast.

Lisaks võib sellise süsteemi kasutamine mõjutada selle infosüsteemi terviklikkust, millega see on ühendatud.

CNIL soovitab eelistada kohapealsete lahenduste juurutamist, mis piiravad andmete kolmandatelt osapooltelt hankimise riske.

Kuigi pilvepõhise süsteemi kasutamine võib olla säästlikum, on vaja alltöövõtulepingut, milles on täpsustatud erinevad kohustused ja volitatud juurdepääs töödeldud andmetele. 

Sellisel juhul on soovitatav piirata isikuandmete edastamist tehisintellekti süsteemile.

Koolitada ja teadlikkust tõsta lõppkasutajad peaksid järgima neid parimaid tavasid:

• Esitage ainult andmeid, mille jagamiseks teil on õigus, välistades põhimõtteliselt konfidentsiaalsed andmed;
• Kontrollige süsteemi genereeritud andmete täpsust ja kvaliteeti, plagiaadi puudumist ja diskrimineerimise ohtu;
• Kriitilise perspektiivi säilitamiseks ärge taasesitage süsteemide väljundeid täpselt sellistena, nagu need on.

Läbipaistvuse tagamine töötlemisel, eelkõige need, mis genereerivad automatiseeritud otsuseid töötajate ja ettevõtteväliste kolmandate isikute kohta.

Juhtimise loomine määrake andmekaitseametnik, komitee või referent (kaasates ka teabeturbejuhi), et pakkuda lõppkasutajatele kontaktpunkti eetiliste küsimuste või raskuste tõstatamiseks ja eeskirjade järgimise kontrollimiseks.

Lisaks isikuandmete kaitse üldmääruse ja tehisintellekti määrusega ette nähtud sanktsioonidele kujutab selge raamistiku vastuvõtmine endast ka sotsiaalset ja eetilist küsimust, mis on nii ettevõtteväliste kui ka ettevõttesiseste inimeste huvides.

 

        

CNIL avaldab tegevuskava hõbemajanduse osaliste toetamiseks; see sektor on pühendatud eakatele suunatud tegevustele.

Ta juhib tähelepanu sellele, et 2060. aastaks moodustavad eakad inimesed Prantsusmaal ligikaudu 24 miljonit inimest ning et "töödeldavate andmete iseloom ja vanusepõhine sihtimine tekitavad olulisi andmekaitsega seotud küsimusi".

See kavatseb ajakohastada oma vastavuspaketti (teabelehed, soovitused jne) ja teeb ettepaneku luua uus katsekeskkond kolme uuendusliku projekti toetamiseks selles sektoris.

18. novembril teatasid CNIL ja DGCCRF uue koostööprotokolli allkirjastamisest, millega ajakohastatakse 2011. aasta lepingut.

Need kaks ametiasutust tugevdavad oma koostööd ja arendavad uusi teabe jagamise viise, et kohaneda õigusaktide muudatuste ja digitaalajastu majanduslike väljakutsetega.

19. novembri väljaandes kordab CNIL ka kaubaveokite reisijatesalongis täiustatud kaamerate kasutamisele kohaldatavaid andmekaitse põhimõtteid ning nõuab, et tööandja võtaks enne selliste kaamerate paigaldamist kõik vajalikud meetmed nende vastavuse tagamiseks.

25. novembril avaldas CNIL rea näpunäiteid oma andmete kaitsmiseks häälassistendiga suhtlemisel.

Töötaja, kes täidab GDPR-i rikkuvaid korraldusi, võtab endale kriminaalvastutuse, isegi kui ta tegutseb tööandja juhiste kohaselt.

Nantes'i kriminaalkohtus nõudis prokurör äsja IT-allhankeettevõtte töötajale 6000 euro suurust trahvi, millest 3000 eurot on tingimisi tasumisele kuuluv, kuna ta paigaldas oma ülemuse käsul oma klientide ruumidesse spiooniseadme.

Prokurör nõuab ülemusele üheksakuulist tingimisi vanglakaristust ja 30 000 euro suurust trahvi.

Pariisi apellatsioonikohus kinnitas 21. novembril 2024 tehtud otsusega Meaux' töövaidluskomisjoni 23. juulil 2021 tehtud otsuse: Messengeri vahendusel peetud privaatset vestlust, mida algselt ei kavatsetud avalikustada, ei saa pidada töötaja lepinguliste kohustuste rikkumiseks ning distsiplinaarkorras vallandamine sellistel alustel ei ole õigustatud.

Kohus tugineb kassatsioonikohtu 22. detsembri 2023. aasta otsusele samal teemal.

See arutluskäik kehtib isegi siis, kui tööandja, nagu käesoleval juhul, ei olnud püüdnud sellele teabele juurde pääseda: töötaja äraoleku ajal palus ta tal edastada oma identifikaatorid, et kolleegid saaksid juurde pääseda tema tööalastele dokumentidele, ja sõnumid ilmusid ekraanile, kui vestlus automaatselt avanes.

 

Euroopa institutsioonid ja organid

Euroopa Andmekaitsenõukogu (EDPB) kuulutab välja kommentaaride esitamise oma suuniste kohta, mis on seotud isikuandmete kaitse üldmääruse artikliga 48.

Suunised käsitlevad kolmanda riigi avaliku sektori asutuse (näiteks pangandusregulaatorid, maksuhaldurid, õiguskaitseasutused või riigi julgeolekuasutused) ja Euroopa Liidu (EL) eraõigusliku üksuse vahelisi otsese koostöö taotlusi.

Kommentaare saab esitada kuni 27. jaanuarini 2025.

Euroopa Andmekaitsenõukogu võttis detsembri alguses vastu ka avalduse Euroopa Komisjoni teise GDPR-i kohaldamist käsitleva aruande kohta, milles rõhutatakse digitaalvaldkonna õigusaktide ja GDPR-i vahelise kooskõla olulisust.

Euroopa Andmekaitsenõukogu intensiivistab mitte-ekspertidele, sealhulgas väikestele ja keskmise suurusega ettevõtetele mõeldud sisu tootmist ning rõhutab vajadust täiendavate rahaliste ja inimressursside järele, et aidata andmekaitseasutustel toime tulla üha keerukamate väljakutsetega ja omandada lisaoskusi, sealhulgas tehisintellekti valdkonnas.

Euroopa Liidu vastase opositsioonikandidaadi võit Rumeenia presidendivalimiste esimeses voorus 24. novembril avaldab tagajärgi Euroopa tasandil.

Kuigi riigi konstitutsioonikohus tühistas just selle esimese vooru pärast seda, kui riikliku luure dokumendid avalikustati, paljastades TikTokis selle kandidaadi kasuks toimunud ulatusliku operatsiooni, esitas Euroopa Komisjon 29. novembril ettevõttele ametliku teabenõude digitaalteenuste seaduse (DSA) alusel.

28. novembril võttis Euroopa Nõukogu tehisintellekti komitee vastu metoodika (HUDERIA), mille abil hinnata tehisintellekti süsteemide riske ja mõjusid inimõiguste, demokraatia ja õigusriigi põhimõtete seisukohast.

Seda metoodikat saavad avaliku ja erasektori osalejad kasutada nende riskide ja mõjude tuvastamiseks ja käsitlemiseks kogu tehisintellekti süsteemide elutsükli jooksul.

Novembri keskel avaldas Digitaalse Vabaduse Fond osana digiRISE projektist tervikliku andmebaasi kollektiivse õiguskaitse kohta Euroopas, mille eesmärk on edendada kollektiivseid hagisid digitaalsete õiguste kaitsmiseks ELi põhiõiguste harta alusel.

Dokument sisaldab ressursse selle kohta, kuidas kümme ELi liikmesriiki on rakendanud kollektiivse õiguskaitse mehhanisme: saadaval on riiklikud aruanded, võrdlev aruanne ja võrdlev tööriist uuritud jurisdiktsioonide lähenduste ja erinevuste avastamiseks.

Ka kollektiivse õiguskaitse valdkonnas on vabaühendus NOyB teatanud, et on nüüd heaks kiidetud kui „kvalifitseeritud üksus“, mis võib esitada kollektiivse õiguskaitse hagisid ELi kohtutele.

Selline direktiivi (EL) 2020/1828 kohane hagi võib olla „ettekirjutus“ või „parandusmeede“.

Need seadused võimaldavad tuhandetel kasutajatel olla esindatud ja nõuda näiteks mittevaralise kahju hüvitamist, kui nende isikuandmeid on ebaseaduslikult töödeldud.

Erinevalt Ameerika kollektiivhagidest nõuavad Euroopa õigusaktid, et need hagid esitataks mittetulunduslikul eesmärgil.

Meta vaatab taas üle oma plaane isikupärastatud reklaamide levitamiseks Euroopa Liidus.

See muudatus tuleneb ELi regulaatorite seisukohast, kelle arvates rikkus Facebooki ja Instagrami Euroopa kasutajatele pakutav „nõusolek või maksmine” reklaamisüsteem isikuandmete kaitse üldmäärust ja digitaalsete turgude määrust (DMA).

Uus pakkumine sisaldab reklaamivaba tellimust soodushinnaga ja tutvustab ka tasuta mudelit, mida iseloomustab "vähem isikupärastatud reklaamide" edastamine nõusolekul.

Max Schrems, kes algatas Meta vastu mitu hagi, teatas, et "üldiselt näib see olevat järjekordne katse ignoreerida Euroopa õigusakte (...) kasutajatel peab olema reaalne valik reklaamide vahel, mis kasutavad nende isikuandmeid, ja nende vahel, mis seda ei tee".

 

Uudised Euroopa Liidu liikmesriikidest.

Saksamaal tühistas Liidukohus (Bundesgerichtshof, BGH) osaliselt Kölni kõrgema ringkonnakohtu otsuse, milles leiti, et moraalse kahju nõue oli ebapiisavalt põhjendatud.

Juhtum hõlmas andmetega seotud rikkumist: 2021. aasta aprillis avalikustati internetis ligikaudu 533 miljoni Facebooki kasutaja andmed.

BGH rõhutas, et Euroopa Kohtu praktika kohaselt võib isegi ühekordne ja ajutine andmete üle kontrolli kaotus kujutada endast isikuandmete kaitse üldmääruse artikli 82 lõike 1 kohase mittevaralise kahju tekitamist.

Andmesubjekt ei pea tõendama oma isikuandmete konkreetset väärkasutamist.

Austria kohus otsustas, et lahutusadvokaat võib õigustada isiku abieluvälist suhet kajastava videomaterjali saatmist vastaspoole advokaadile e-posti teel õigustatud huvi alusel vastavalt GDPR-i artikli 6 lõike 1 punktile f ja artikli 9 lõike 2 punktile f.

Teine kohus leidis aga, et ühe abikaasa huvi, et tema vestlusi kodus abieluvaidluste ajal ei salvestataks, kaalus üles teise abikaasa huvi kasutada neid salvestisi lahutusmenetluses.

Belgias karistas APD 28. novembril isikutunnistuste kasutamist kliendikaartidena: see leidis, et ettevõte Freedelity, mis on spetsialiseerunud andmete kogumisele elektrooniliste isikutunnistuste (eID) kaudu, oli rikkunud mitmeid isikuandmete kaitse üldmääruse (GDPR) artikleid, mis käsitlevad nõusoleku kehtivust, kogumise minimeerimist ja andmete säilitamise kestust.

Freedelity kogub eID-andmeid, eelkõige partnerpoodides asuvate terminalide kaudu.

Seejärel jagatakse ja sünkroniseeritakse need andmed värskenduse korral selle teenuseid kasutavate kauplustega.

Hispaanias trahvis APD ettevõtet The Phone House SL 6 500 000 euroga ebapiisavate turvameetmete võtmise eest, mis võimaldasid lunavararünnakut.

Rünnak mõjutas ligikaudu 13 miljonit klienti, paljastades aadresse, telefoninumbreid, isikut tõendavaid dokumente ja pangaandmeid.

Soome postiteenus Posti sai 13. novembril 2 400 000 euro suuruse trahvi klientidele meilikontode eraldamise eest ilma nende selgesõnalise nõusolekuta.

Klientidele, kes soovisid selliseid teenuseid nagu meilide edastamine, määrati automaatselt meilikonto, millest loobumise võimalust polnud.

Itaalia andmekaitseamet (APD) võttis 27. novembril vastu otsuse OpenAI ja kirjastuse GEDI vahelise litsentsilepingu kohta.

APD on vastu õigustatud huvi kasutamisele isikuandmete töötlemise õigusliku alusena tehisintellekti koolitamise eesmärgil, olenemata sellest, kas töötlemine hõlmab tundlikke andmeid või mitte.

APD kohaselt peaksid tehisintellekti koolitamiseks kasutatava toimetuse sisu litsentsilepingud tagama nõusoleku puudumisel kõigi kasutatud isikuandmete kustutamise või anonüümseks muutmise.

See otsus tehakse paar nädalat enne Euroopa Andmekaitsenõukogu arvamust selles küsimuses, mis peaks ilmuma detsembri lõpus.

Itaalia andmekaitseamet (APD) trahvis ka Glovo kontserni tütarettevõtet toidukullerifirmat Foodinho 5 000 000 euroga arvukate ja jätkuvate isikuandmete kaitse üldmääruse (GDPR) rikkumiste eest, mis olid seotud ettevõtte töötajate andmete töötlemisega, sealhulgas nende geograafilise asukoha pideva jälgimise ja vahetuste automaatse määramisega.

11. novembril avaldas Hollandi andmekaitseamet (DPA) aruande, milles leiti, et Haridusameti poolt pettuste vastu võitlemiseks kasutatav algoritm oli diskrimineeriv ja ebaseaduslik.

Agentuur kasutas seda algoritmi, et kontrollida, kas tudengid kuritarvitavad mitteresidentidele mõeldud stipendiumi.

Õpilastele määrati "riskiskoor", võttes arvesse hariduse tüüpi, vanust ja kaugust õpilase aadressi ja tema vanemate aadressi vahel.

Neil kriteeriumidel puudus objektiivne põhjendus ning ameti eest vastutav haridus-, kultuuri- ja teadusminister möönis lõpuks, et algoritm oli kaudselt diskrimineeriv immigrantidest pärit õpilaste suhtes.

Poolas trahvis APD andmekontrolöri 353 589 zlotti (82 000 eurot) ebapiisavate turvameetmete eest, mis võimaldasid lunavararünnakut.

Häkkerid olid krüpteerinud ja muutnud ligipääsmatuks ligikaudu 200 kliendi ja töötaja andmed. Asjaomast alltöövõtjat trahviti 9822 zlotti (2200 eurot).

 

Novembri lõpus võttis Austraalia senat vastu privaatsusseaduste muutmise seaduseelnõu, mis sisaldab mitmeid olulisi muudatusi:

• Tsiviilkuriteo kehtestamine privaatsuse raskete rikkumiste eest.
• APD-le kättesaadavate jõustamis- ja uurimisvolituste laiendamine.
• Selle volitused on välja töötada lastele mõeldud veebipõhine privaatsuskoodeks.
• Kindralkuberneril on uus võimalus koostada "valge nimekiri" riikidest, mis pakuvad piisavat andmekaitset.
• Andmekaitsepoliitika kohustus kirjeldada üksikasjalikult automatiseeritud otsustussüsteeme, mis võivad mõjutada üksikisiku õigusi või huve.

Ka Austraalias võttis parlament 29. novembril vastu vastuolulise seaduse, mis keelab alla 16-aastaste laste ja teismeliste juurdepääsu sotsiaalmeediale.

Seadus ei täpsusta, kuidas platvormid peavad oma külastajate vanust kontrollima.

Brasiilia andmekaitseamet (APD) avaldab aruande tehisintellekti ja andmekaitse kohta.

Algselt APD meeskondade sisemiseks toetuseks välja töötatud dokument käsitleb tehisintellekti kontseptsioone, selle seost andmekaitsega, Brasiilia konteksti ja tehisintellekti väljavaateid.

3. detsembril teatas Ameerika Ühendriikide föderaalne kaubanduskomisjon (FTC) lepingute eelnõude sõlmimisest, mille eesmärk on keelata kahel suurel andmevahendajal, Mobilewallal ja Gravy Analyticsil, tundlike asukohaandmete müümine, sealhulgas näiteks kirikutes, sõjaväebaasides, meditsiiniasutustes või LGBTQ-baarides viibimise kohta.

See meede on jätk meetmetele, mis võeti selle aasta alguses andmemaaklerite vastu, kes tegelevad sarnase tegevusega.

Pärast Saadikutekoda kiitis Mehhiko senat novembri lõpus heaks põhiseaduse eelnõu, mis näeb ette seitsme kontrolliasutuse, sealhulgas andmekaitse ja haldusdokumentidele juurdepääsu ameti (INAI) kaotamise.

Nende asutuste volitused jagataks erinevate ministeeriumide poolt.

INAI töötajad võtaks üle korruptsioonivastase võitluse ja hea valitsemistava ministeerium.

Kommentaatorid usuvad, et seaduseelnõu ratifitseerimine Mehhiko osariikide seadusandlike kogude enamuse poolt peaks toimuma kiiresti, nagu on juhtunud teiste reformiettepanekutega viimastel kuudel.