Décisions automatisées : comment le RGPD est-il mis en œuvre ?

Automatisoidut päätökset: miten GDPR pannaan täytäntöön?

Oikeudellinen valvonta nro 47 – Toukokuu 2022

Automatisoidut päätökset: miten GDPR pannaan täytäntöön? Future of Privacy Forum julkaisi 17. toukokuuta laajan raportin automatisoitujen päätösten kysymyksestä.

Tässä raportissa analysoidaan yli 70 asiakirjaa, jotka valottavat, miten tuomioistuimet, Euroopan ja Yhdistyneen kuningaskunnan tietosuojaviranomaiset sekä useat sääntelyviranomaisten tästä aiheesta antamat ohjeet ja suositukset panevat täytäntöön GDPR:n 22 artiklaa.

Vaikka automatisoituja päätöksiä säänneltiin jo EU-direktiivissä 95/46/EY, periaate on saanut uuden ulottuvuuden GDPR:n voimaantulon jälkeen.

Siksi sitä voidaan soveltaa monipuolisemmissa ja useammin esiintyvissä yhteyksissä, kuten tekoälyn yhteydessä, ja APD:illä on nyt keinot lain täytäntöönpanoon.

Tämän tyyppisiä päätöksiä esiintyy pääasiassa seuraavilla aloilla:

  • Koulujen kulun- ja läsnäolonvalvonta kasvojentunnistustekniikoiden avulla
  • Yliopistojen verkkoseuranta ja opiskelijoiden automaattinen arviointi
  • Työhakemusten automaattinen suodatus
  • Alustatyöntekijöiden algoritminen hallinta
  • Sosiaalietuuksien jakaminen ja veropetosten havaitseminen
  • Automatisoitu luottoluokitus
  • Sisällön moderointipäätökset sosiaalisissa verkostoissa

Palataanpa lyhyesti periaatteeseen: GDPR:n 22 artikla antaa yksilöille oikeuden olla joutumatta yksinomaan automaattiseen käsittelyyn perustuvan päätöksen kohteeksi., mukaan lukien profilointi, aiheuttaa siihen liittyviä oikeusvaikutuksia tai vaikuttaa siihen merkittävästi vastaavalla tavalla.

Tässä yhteydessä on huomattava, että Euroopan tietosuojaneuvosto on selventänyt, etteivät rekisterinpitäjät voi välttää 22 artiklan soveltamista siten, että ihminen yksinkertaisesti leimaa koneen tekemät päätökset ilman todellista valtaa tai pätevyyttä muuttaa tulosta.

Toisaalta, jos kyseinen automatisoitu prosessi tuottaa tietoja vain päätöstä varten, jonka lopulta tekee ihminen, sen taustalla oleva käsittely ei kuulu 22 artiklan soveltamisalaan.

Artiklan 22(2) mukaan automatisoidut päätökset ovat edelleen mahdollisia, kun ne ovat tarpeen sopimuksen täytäntöön panemiseksi, niistä on säädetty laissa tai ne perustuvat yksilön nimenomaiseen suostumukseen.

Tällaisissa tapauksissa rekisterinpitäjän on kuitenkin toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi sekä heidän oikeutensa vaatia rekisterinpitäjältä ainakin ihmisen suorittamaa käsittelyä, ilmaista näkökulmansa ja riitauttaa päätös.

Tätä automatisoitujen päätösten tiukkaa rajoitusta on luettava laajemmassa GDPR:n yhteydessä ja erityisesti sen vaatimusten osalta, jotka koskevat minkä tahansa käsittelyn laillisuutta, oikeusperustan olemassaoloa ja niin sanottuja arkaluonteisia tietoja – mukaan lukien biometrisiä tietoja – koskevia sääntöjä.

Analysoidut asiakirjat osoittavat, että valvontaviranomaiset ja tuomioistuimet soveltavat näitä periaatteita tiukasti.

Ne vaativat erityisesti seuraavia seikkoja:

  • Läpinäkyvyysvelvollisuus automatisoituun päätöksentekoon johtavien parametrien osalta;
  • Lojaalisuusperiaatteen soveltaminen syrjinnän välttämiseksi;
  • Asianomaisen henkilön suostumuksen saamisen tiukat ehdot.

Lisäksi sen päättämiseksi, onko päätös yksinomaan automatisoitu, otetaan huomioon koko päätöksentekoprosessin konteksti: esimiehen organisaatiorakenne, hierarkkiset linjat ja työntekijöiden tietoisuus.

Päätöksen vaikutusten arvioimiseksi yksilöön viranomaiset tutkivat erityisesti, sisältävätkö automatisoidun päätöksen syöttötiedot päätelmiä yksilöiden käyttäytymisestä ja vaikuttaako päätös kyseisten yksilöiden käyttäytymiseen ja valintoihin.

Ranskassa yksi viitepäätöksistä on CNIL:n päätös asiassa Clearview-tiedostokasvojentunnistuksen osalta: komissio määräsi Clearview AI:n lopettamaan ranskalaisten kasvokuvien keräämisen internetistä kasvojentunnistusohjelmistoaan kouluttavan tietokannan syöttämiseksi ja poistamaan aiemmin kerätyt kuvat kahden kuukauden kuluessa.

Italia ja Yhdistynyt kuningaskunta ovat tehneet samanlaisia päätöksiä samasta yrityksestä.

Marseillen hallinto-oikeuden helmikuussa 2020 antama tuomio kumosi Provence-Alpes-Côte d'Azurin alueen päätöksen suorittaa kaksi kasvojentunnistuskokeiluja koulujen sisäänkäynneillä Nizzasta ja Marseillesta.

Asian käsittelyn aikana CNIL ilmaisi huolensa tällaisen järjestelmän toteuttamisesta kohdeyleisön (lapset) ja kyseessä olevien biometristen tietojen arkaluonteisuuden vuoksi.

Oikeuden päätös pilottihankkeiden mitätöimisestä tehtiin sillä perusteella, että lukiolaisilta saatua suostumusta ei ollut annettu vapaasti, täsmällisesti, tietoisesti ja yksiselitteisesti, ja että kouluilla oli käytettävissään vähemmän tunkeilevia keinoja valvoa oppilaiden pääsyä tiloihinsa (esimerkiksi nimikorttien/henkilökorttien valvonta yhdistettynä videovalvontaan).

Lisättäköön, että useimmissa tapauksissa rekisterinpitäjä ei pysty välttämään vaikutusanalyysi, kuten yleisen tietosuoja-asetuksen 35 artiklassa säädetään, kun päätös liittyy profilointiin, jolla on merkittäviä vaikutuksia yksilöön: esimerkiksi Italiassa tietosuojaviranomaisen äskettäinen päätös Deliveroo-yritystä koskien: yrityksen olisi pitänyt tehdä vaikutustenanalyysi algoritmistaan, koska innovatiivisilla teknologioilla tapahtuva käsittely on laajamittaista (sekä pyöräilijöiden lukumäärän – 8 000 – että käytettyjen tietotyyppien osalta), koskee haavoittuvia henkilöitä (työntekijät "keikkataloudessa", joille maksetaan tehtävästä) ja sisältää jälkimmäisten arvioinnin tai luokittelun.

Ja myös

Ranska:

CNIL julkaisee toimintakertomuksensa vuodelta 2021: Merkittäviä toimia ovat muun muassa tukipolitiikan uudistaminen, lisääntynyt kyberturvallisuusaktivismi ja sortotoimien vahvistaminen.

Se julkaisee myös sarjan kriteerejä seinäevästeiden laillisuuden arvioimiseksi.s (merkkiaineseinät).

Se tarjoaa tietoa, joka mahdollistaa laillisuuden "maksumuurit", jotka edellyttävät evästeiden hylkäävältä internetin käyttäjältä tietyn rahasumman maksamista sivustolle pääsyä varten.

Maksumuurin käyttöönottavan julkaisijan on kyettävä perustelemaan tarjotun rahallisen korvauksen kohtuullisuus ja osoittamaan, että sen evästemuuri rajoittuu tarkoituksiin, jotka mahdollistavat kohtuullisen korvauksen tarjotusta palvelusta.

Ranskan hallitus ottaa käyttöön järjestelmän, jonka avulla kansalaiset voivat tunnistautua verkossa skannaamalla henkilöllisyystodistuksensa älypuhelimellaan.

Virallisessa lehdessä on itse asiassa julkaistu 26. huhtikuuta 2022 annettu asetus nro 2022-676, joka valtuuttaa sähköisen tunnistussovelluksen luomisen nimeltä "Digitaalisen identiteetin takuupalvelu".

Tämä sovellus linkitetään uuteen sirulla varustettuun henkilökorttiin ja mahdollistaa sen tietojen tallentamisen matkapuhelimeen.

Eurooppa:

Toukokuun 12. päivänä Euroopan tietosuojaneuvosto hyväksyi kaksi ohjetta, toisen GDPR:n mukaisista sakkojen laskentamenetelmistä ja toisen kasvojentunnistuksesta.

Komitea kannattaa sitä, että kasvojentunnistustyökaluja tulisi käyttää ainoastaan noudattaen tiukasti Euroopan poliisi- ja oikeusdirektiiviä.

Siellä Euroopan komissio julkaisi 11. toukokuuta ehdotuksensa asetukseksi, jonka tarkoituksena on ehkäistä ja torjua lasten seksuaaliseen hyväksikäyttöön liittyvää materiaalia.

WhatsAppin ja Instagramin kaltaisille yrityksille, joiden on valvottava ja poistettava yksityisiä viestejä tai siirrettävä ne lainvalvontaviranomaisille, koituvat seuraukset huolestuttavat kansalaisyhteiskuntaa.

Euroopan komissio julkaisee kysymyksiä ja vastauksia uusista kansainvälisiä tiedonsiirtoja koskevista mallisopimuslausekkeista

Euroopan komission "tietolaki" on herättänyt reaktioita myös Euroopan tietosuojaneuvostossa ja Euroopan tietosuojavaltuutetussa (EDPS). yhteisessä lausunnossaan he ovat huolissaan asetuksen soveltamisalasta.

Vaikka se kohdistuu pääasiassa toisiinsa kytkettyjen objektien välittämään dataan, se koskee myös arkaluonteisia henkilötietoja.

Viranomaiset vaativat selkeitä rajoituksia datan käytölle suoramarkkinointiin tai mainontaan, työntekijöiden seurantaan, vakuutusmaksuihin ja luottotietoihin.

Espanjan tietosuojaviranomainen on määrännyt Google LLC:lle 10 miljoonan euron sakon. siitä, että hän on laittomasti siirtänyt henkilötietoja kolmannelle osapuolelle ja estänyt oikeuden tietojen poistamiseen.

Googlea vastaan on nostettu kanne myös Britanniassa lääketieteellisten tietojen laittomasta käytöstä. 1,6 miljoonasta ihmisestä: DeepMindin, yrityksen tekoälyjärjestelmän, kerrotaan saaneen nämä tiedot vuonna 2015 Lontoon Royal Free NHS Trustilta mobiilisovelluksen testaamiseksi.

Google – on kuitenkin vihdoin päättänyt CNIL:n ja sen eurooppalaisten vastineiden tuomitsemana helpottaa kaikkien evästeiden hylkäämistä hakukoneessaan ja YouTubessa. ”Mukauta”-vaihtoehto korvataan näin ollen kahdella samanmuotoisella painikkeella ”Hyväksy kaikki” ja ”Hylkää kaikki”, joiden lisäksi on kolmas ”Lisää vaihtoehtoja”.

Belgian tietosuojaviranomaisen mukaan, Sähköpostin lähettämistä, jossa vastaanottajat ovat kopio-kentässä piilokopio-kentän sijaan, ei pidetä tietoturvaloukkauksena, kunhan se koskee vain pientä ihmisryhmää (16 henkilöä).

Tanskan viranomainen harkitsee 100 000 Tanskan kruunun sakon määräämistä oikeusministeriön virastolle salaamattoman USB-muistitikun katoamisesta ja tietoturvaloukkauksen ilmoittamatta jättämisestä tietosuojaviranomaiselle.

Irlannin muutoksenhakutuomioistuin katsoo, että videovalvontajärjestelmän avulla rikosten ehkäisemiseksi kerättyjä tietoja ei voida käyttää työntekijöiden valvontaan ja kurinpitomenettelyjen aloittamiseen heitä vastaan, koska tämä tarkoitus on ristiriidassa ensimmäisen tarkoituksen kanssa.

Norjan tietosuojaviranomainen aikoo määrätä työhallinnolle 486 700 euron sakon 1 800 000 ihmisen ansioluetteloiden levittämisestä verkossa ilman laillista perustetta.

Kansainvälinen:

Euroopan tietosuojavaltuutettu ilmaisi 18. toukokuuta antamassaan lausunnossa huolensa Euroopan unionin osallistumisesta Yhdistyneiden Kansakuntien tietoverkkorikollisuutta koskevaan yleissopimukseen.

Hän korostaa perusoikeuksien heikentymisen riskiä, koska kyseessä on suuri määrä maita, joilla on erilaiset oikeusjärjestelmät.

Hongkongin tietosuojaviranomainen julkaisi 12. toukokuuta ohjeensa sopimuslausekkeiden käytöstä kansainvälisissä tiedonsiirroissa.

Singaporen tietosuojaviranomainen julkaisee oppaan datan anonymisoinnista

Twitter pääsi sopimukseen Yhdysvaltain oikeusministeriön ja liittovaltion kauppakomission kanssa 150 miljoonalla dollarilla ja sitoutuu toteuttamaan vaatimustenmukaisuusohjelman, joka koskee tilaajiensa ei-julkisten tietojen luottamuksellisuuden rikkomuksia.

Irlannin kansalaisvapausneuvoston raportissa todetaan, että Reaaliaikainen tarjouskilpailu, joka mahdollistaa kohdennetun mainonnan näyttämisen, on maailman suurimman koskaan kirjatun tietomurron takana.

Lukujen mukaan yli 110 miljardin euron arvoinen toimiala seuraa ja jakaa yksilöiden verkkotoimintaa ja todellisia sijainteja 178 miljardia kertaa vuodessa Yhdysvalloissa ja Euroopassa.

Euroopassa RTB paljastaa ihmisten tietoja 376 kertaa päivässä ja Google lähettää 19,6 miljoonaa lähetystä saksalaisten internetin käyttäjien verkkokäyttäytymisestä joka minuutti, kun he ovat verkossa.

Anne Christine Lacoste

Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.

Tutustu Viqtoriin®
fiFI
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET lvLV lt_LTLT sk_SKSK sl_SISL fiFI