Pravni nadzor br. 57 – ožujak 2023.

Pametne kamere i biometrija – kakav će biti utjecaj zakona koji se odnosi na Olimpijske igre?

Dana 23. ožujka, Nacionalna skupština usvojila je članak 7. zakona o olimpijskim igrama.

Prijedlog zakona, usvojen na slabo posjećenoj skupštini (prisutno je bilo 73 od 577 članova), već je izazvao mnogo rasprava i zasigurno će izazvati još mnogo reakcija u nadolazećim mjesecima.

Njime se zapravo legalizira korištenje algoritamskog nadzora do prosinca 2024., u kontekstu opisanom kao iznimnom, ali za događaje koji nadilaze strogi okvir Olimpijskih igara.

Nadzor se može općenito odnositi na „sportske, rekreacijske ili kulturne događaje“ „izložene rizicima od terorističkih djela ili ozbiljnih prijetnji sigurnosti osoba“.

Stoga se može testirati na sportskim događajima poput ovogodišnjeg Svjetskog prvenstva u ragbiju.

 

Što je algoritamski nadzor? Je li to oblik biometrijskog nadzora koji podliježe strogim obvezama GDPR-a i buduće europske uredbe o umjetnoj inteligenciji?

Projekt planira koristiti "proširene kamere" potpomognute umjetnom inteligencijom, kojima će upravljati dronovi, a koje će se koristiti za automatsku analizu slika u stvarnom vremenu pomoću algoritama za otkrivanje unaprijed određenih događaja, poput kretanja gužve, prtljage, gesti ili sumnjivog ponašanja.

Iako je istaknuo glavne probleme proširenih kamera u smislu privatnosti i zaštite osobnih podataka, CNIL u svojim zapažanjima od 8. prosinca nije uzeo u obzir da će biti korištena biometrijska obrada.

Napomenula je da je nekoliko mjera u skladu s njezinim preporukama:

• Eksperimentalno raspoređivanje, ograničeno vremenski i prostorno, za određene specifične svrhe i koje odgovara ozbiljnim rizicima za ljude,
• Nedostatak obrade biometrijskih podataka i unakrsnog povezivanja s drugim datotekama, i
• Odluke podložne prethodnoj ljudskoj intervenciji.

Međutim, za civilno društvo korištena tehnologija jasno spada u kategoriju biometrije.

Doista, „stalno identificira, analizira i klasificira tijela, fizičke atribute, geste, siluete i hodove, koji su nesumnjivo biometrijski podaci.“

La Quadrature du Net i četrdesetak međunarodnih organizacija razvili su ovu perspektivu u otvorenom pismu Nacionalnoj skupštini koje je koordinirao i objavio ECNL (Europski centar za neprofitno pravo).

GDPR definira biometrijske podatke kao „osobne podatke koji proizlaze iz specifične tehničke obrade koja se odnosi na fizičke, fiziološke ili bihevioralne karakteristike fizičke osobe, a koji omogućuju ili potvrđuju njezinu jedinstvenu identifikaciju“ (članak 4.14.).

U otvorenom pismu se navodi da će kamere neizbježno snimati i analizirati fiziološke osobine i ponašanja ljudi prisutnih u nadziranim javnim prostorima te da izolacija tih ljudi iz njihove okoline, što se pokazalo bitnim za ispunjenje cilja sustava, predstavlja "jedinstvenu identifikaciju".

Prema GDPR-u i tumačenju Europskog odbora za zaštitu podataka o ovoj temi, mogućnost izolacije osobe iz mase ili iz njezine okoline, bez obzira je li njezino ime ili identitet poznat ili ne, predstavlja „jedinstveni identifikator“.

Svrstavanje ljudi u kategoriju koja grupira „rizična“ ponašanja na temelju tih podataka predstavljalo bi biometrijsku kategorizaciju koja bi vjerojatno bila u suprotnosti s odredbama buduće europske uredbe o umjetnoj inteligenciji.

U tom smislu, treba spomenuti mišljenje europskih regulatora za zaštitu podataka od 18. lipnja 2021., koje poziva na opću zabranu bilo kakve upotrebe umjetne inteligencije za automatsko prepoznavanje ljudskih karakteristika u javno dostupnim prostorima.

Ti su argumenti također uključeni u pismo koje je 41 zastupnik Europskog parlamenta poslao Nacionalnoj skupštini, a koji naglašavaju da bi Francuska ovim zakonom postala prva zemlja u Europi koja je legalizirala masovni nadzor svog javnog prostora.

Zakonodavstvo će stoga možda morati proći test kompatibilnosti s europskim pravom.

U tom smislu treba napomenuti da je nacrt Uredbe o umjetnoj inteligenciji na dnevnom redu plenarne sjednice Europskog parlamenta krajem svibnja.

 

I također

CNIL    

 CNIL je objavio svoj popis teme kontrole prioriteta Za 2023. godinu: ove će se godine usredotočiti na:

• Korištenje "proširenih" kamera od strane javnih aktera,
• Korištenje datoteke incidenta potrošačkog kredita,
• Upravljanje zdravstvenim kartonima pacijenata i
• Mobilne aplikacije.

Također je krajem ožujka objavila svoj prvi tematski dosje koji se odnosi na digitalni identitet, predstavljajući ključna načela i svoje stavove o toj temi.

Dosje je namijenjen široj javnosti, kao i javnim ili privatnim organizacijama i istraživačima.

U tom smislu, vrijedi podsjetiti da je CNIL u publikaciji od 22. veljače pregledao eksperiment koji se provodi od 2019. godine s elektroničkom karticom zdravstvenog osiguranja („e-carte Vitale“) koja će se ponuditi na opcionalnoj osnovi svim korisnicima socijalnog osiguranja prije kraja 2025. godine.

Osim svakodnevne upotrebe, "e-Carte Vitale" bit će alternativa FranceConnectu za sektor digitalnog zdravstva.

Dana 16. ožujka 2023. CNIL je tvrtki izrekao kaznu od 125.000 eura. CITYSCOOT.

CNIL je otkrio da je tvrtka gotovo stalno geolocirala svoje kupce prilikom najma skutera i zadržavala te podatke.

Komisija je također primijetila da ugovori o podugovaranju nisu uključivali određene bitne klauzule, uključujući prirodu prikupljenih podataka, sigurnosne mjere koje treba poduzeti i sudbinu podataka u slučaju raskida ugovora.

Tvrtka je također koristila reCAPTCHA mehanizam koji je prikupljene podatke prenosio GOOGLE-u na analizu, bez pružanja ikakvih informacija korisniku i bez dobivanja njegovog prethodnog pristanka.

 

Europske institucije i tijela

EDPB

Europski odbor za zaštitu podataka (EDPB) pokrenuo je svoju koordiniranu godišnju inspekcijsku akciju.

Tijekom sljedećih nekoliko mjeseci, 26 nacionalnih tijela za zaštitu podataka iz EGP-a sudjelovat će u ovoj akciji koja se odnosi na imenovanje i položaj službenika za zaštitu podataka.

Istrage će imati za cilj utvrditi imaju li delegati stav koji je u skladu sa zahtjevima članaka 37. do 39. GDPR-a i resurse potrebne za obavljanje njihovih zadataka.

Bit će im poslani upitnici kako bi se mapirala njihova situacija i utvrdilo je li opravdana formalna istraga.

Dinamični pretraživački oglas

Prema Uredbi o digitalnim uslugama (DSA), Europska unija postavila je nova pravila koja zahtijevaju od vrlo velikih online platformi (Very Large Online Platforms i Very Large Search Engines) s više od 45 milijuna korisnika da se registriraju kod Europske komisije prije 17. veljače.

Prema analizi profesora na Londonskoj školi ekonomije i političkih znanosti, bilo bi uključeno 18 aktera: AliExpress, Amazon marketplace, Apple App store, Booking.com, Facebook, Google Maps, Google Play, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, YouTube, Wikipedia, Bing search i Google search.

TikTok

Društvena mreža TikTok sredinom veljače objavila je svoju namjeru da se uskladi s DSA-om, koji će stupiti na snagu sredinom 2023. godine.

TikTok je također najavio postavljanje podatkovnih centara u Europi kako bi ograničio prekogranični protok podataka.

Ova objava dolazi u trenutku kada su institucije EU-a, kao i vlade Nizozemske, Kanade i Bijele kuće u Sjedinjenim Državama, nedavno zatražile od svojih zaposlenika da deinstaliraju aplikaciju sa svoje profesionalne i osobne opreme, navodeći zabrinutost za zaštitu osobnih podataka.

DMA

Krajem ožujka Europska komisija osnovala je skupinu na visokoj razini kako bi osigurala dosljednu primjenu Uredbe o digitalnim tržištima (DMA) s drugim europskim propisima.

Među imenovanima su Europski nadzornik za zaštitu podataka (EDPS) i Europski odbor za zaštitu podataka (EDPB).

Zakon o digitalnim tržištima primjenjuje se posebno na velike online platforme označene kao "čuvari vrata".

ENISA 

Europska agencija ENISA objavljuje 29. ožujka studiju o prijetnjama kibernetičkoj sigurnosti do 2030. godine.

Cilj ove studije je identificirati i prikupiti informacije o budućim prijetnjama koje bi mogle utjecati na infrastrukturu i usluge Unije, kao i na njezinu sposobnost osiguravanja digitalne sigurnosti europskog društva i građana.

ENISA također objavljuje izvješće o kibernetičkoj sigurnosti i standardizaciji umjetne inteligencije.

Cilj dokumenta je pružiti pregled postojećih i budućih standarda, procijeniti njihov opseg i utvrditi nedostatke u standardizaciji.

Uzima u obzir specifičnosti umjetne inteligencije, a posebno strojnog učenja, te usvaja široku viziju kibernetičke sigurnosti, koja obuhvaća zahtjeve povjerljivosti, integriteta i dostupnosti te širi koncept pouzdanosti umjetne inteligencije.

Konačno, izvješće ispituje kako standardizacija može podržati provedbu aspekata kibernetičke sigurnosti integriranih u predloženu uredbu EU o umjetnoj inteligenciji.

EUROPSKA KOMISIJA

Europska komisija je 6. ožujka objavila da se WhatsApp, nakon dijaloga u kojem su sudjelovala tijela EU za zaštitu potrošača, obvezao na veću transparentnost u pogledu promjena uvjeta pružanja usluge.

Tvrtka će također olakšati korisnicima odbijanje ažuriranja kada se s njima ne slažu te će objasniti kada takvo odbijanje dovodi do toga da korisnik više ne može koristiti njezine usluge.

WhatsApp je također potvrdio da se osobni podaci korisnika ne dijele s trećim stranama ili drugim Meta tvrtkama u reklamne svrhe.

IAP

Web-stranica IAPP-a sadrži tablicu („Inicijative EU-a o podacima u kontekstu“) u kojoj su navedeni europski propisi o zaštiti podataka i tekuće inicijative, od GDPR-a i DSA-a do europske strategije za kibernetičku sigurnost. Ovaj je popis ažuriran u ožujku 2023.

 

Nacionalne vijesti

• UJEDINJENO KRALJEVSTVO: U četvrtak, 9. ožujka, britanska vlada predstavila je Parlamentu "ublaženi" nacrt zakona o zaštiti podataka i digitalnim informacijama. Predložena reforma bi tvrtkama omogućila lakše prikupljanje podataka bez pristanka svojih korisnika, na primjer, kao dio svojih politika istraživanja i razvoja.

Obveze u vezi s privolom za postavljanje kolačića također će biti ublažene, a zapošljavanje internog službenika za zaštitu podataka više neće biti obavezno.

Još uvijek u Ujedinjenom Kraljevstvu:

• Nacionalni centar za kibernetičku sigurnost objavio je članak u kojem procjenjuje rizike i daje preporuke za korištenje LLM-ova (Large Language Models) poput ChatGPT-a.

Ako se podaci upita danas ne koriste za opskrbu modela, mogli bi se koristiti u budućim verzijama.

Članak ukazuje na povećane rizike u smislu kibernetičkog kriminala, poput izrade uvjerljivijih phishing e-poruka ili učenja novih tehnika napada.

Preporučuje da se osjetljive informacije ne uključuju u zahtjeve upućene javnim LLM-ovima.

• Britansko tijelo za zaštitu podataka ažuriralo je svoje smjernice o umjetnoj inteligenciji i zaštiti podataka na zahtjev industrije.

Smjernice pojašnjavaju zahtjeve pravednosti u umjetnoj inteligenciji.

• ITALIJA: LLM-ovi zauzimaju središnje mjesto početkom proljeća. Dana 31. ožujka, talijansko tijelo za zaštitu podataka izdalo je nalog protiv OpenAI-a, blokirajući ChatGPT u Italiji zbog nedostatka transparentnosti, nepostojanja legitimnog razloga za obradu, neuspjeha u osiguravanju točnosti obrađenih podataka, nedostatka provjere dobi i općeg kršenja načela "privatnosti po dizajnu".
• ČEŠKA: Tvrtka za kibernetičku sigurnost i antivirusni program Avast kažnjena je s 13,7 milijuna eura od strane češke Agencije za zaštitu podataka zbog kršenja GDPR-a.

Korisnički podaci prikupljeni putem Google Mapsa, YouTubea, LinkedIna i, šire gledano, web pretraživanja na Googleu, prodani su putem njegove podružnice Jumpshot.

Istraga češkog tijela za zaštitu podataka odnosi se na povijesnu obradu osobnih podataka prije siječnja 2020., kada je Avast zatvorio Jumpshot.

• NORVEŠKA: Norveška agencija za zaštitu podataka (APD) kaznila je tvrtku Argon Medical Devices s 220.000 eura zbog odgađanja obavještavanja o povredi podataka zbog sustavnog i opsežnog korištenja vanjskih konzultanata.

Smatralo se da takvo obraćanje trećim stranama nepotrebno usporava proces obavještavanja o povredi sigurnosti.

Norveška opet:

• Nakon jedne od 101 pritužbe nevladine organizacije NOYB u vezi s prijenosom podataka u Sjedinjene Američke Države, Norveško tijelo za zaštitu podataka obavijestilo je kontrolora o svojoj namjeri da ga ukori zbog korištenja Google Analyticsa i naknadnog prijenosa osobnih podataka u Sjedinjene Američke Države, što je kršenje članka 44. GDPR-a.
• Također u Norveškoj, Odbor za žalbe na privatnost potvrdio je odluku Agencije za zaštitu podataka o izricanju novčane kazne općini s 352.555 eura zbog kršenja članka 5(1)(f) te članaka 24. i 32. GDPR-a nakon napada ransomwarea koji je rezultirao nepovratnim gubitkom vrlo osjetljivih osobnih podataka i njihovom prodajom na dark webu.
• AUSTRIJA: Austrijsko tijelo za zaštitu podataka (APD) odlučilo je da korištenje Facebookovog piksela za praćenje krši GDPR i presudu Suda EU-a u predmetu "Schrems II" o transatlantskom protoku podataka.
• BELGIJA: U Belgiji je javnom tijelu dopušteno pozvati se na članak 6(1)(e) GDPR-a kako bi geolocirali službene automobile svojih zaposlenika, jer nije bilo drugih manje invazivnih rješenja, a praćenje je bilo potrebno za učinkovito korištenje ograničenih resursa.

U ovom slučaju, međutim, kontrolor podataka je ukoren zbog nekoliko drugih kršenja uredbe.

• IRSKA: Banka Irske kažnjena je s 750.000 eura. Tijelo za zaštitu podataka (DPA) utvrdilo je da kontrolor podataka nije adekvatno procijenio rizike povezane s obradom, niti je proveo odgovarajuće sigurnosne mjere.
• ŠPANJOLSKA: Španjolska agencija za zaštitu podataka (APD) kaznila je Orange Spain sa 100.000 eura zbog kršenja načela minimizacije podataka zahtijevanjem fotografije prednje i stražnje strane identifikacijskog dokumenta kupca kako bi se isporučio telefon kupljen putem interneta.
• I u Španjolskoj je voditelj obrade podataka koji ne odgovori na zahtjev za pristup zbog pogreške zaposlenika ipak odgovoran za kršenje članka 15. GDPR-a.

 

• SJEDINJENE AMERIČKE DRŽAVE: Dana 25. ožujka, Federalna trgovinska komisija objavila je članak na svom blogu pod naslovom "Chatbotovi, deepfakeovi i glasovni klonovi" ili obmana putem umjetne inteligencije.

FTC ukazuje na zabrinjavajuću prijetnju u nastajanju s kojom se tvrtke u digitalnom ekosustavu moraju suočiti.

Tehnološki ured FTC-a također je objavio analizu i smjernice o pikselima za praćenje trećih strana, na temelju svojih nedavnih odluka u vezi s pružateljima digitalnih zdravstvenih usluga.

• NIST (Nacionalni institut za standarde i tehnologiju) pokreće Resursni centar za pouzdanu i odgovornu umjetnu inteligenciju.

Cilj je podržati dionike umjetne inteligencije u razvoju ovih tehnologija.

Popraćen je okvirom za upravljanje rizicima i priručnikom, a cilj mu je omogućiti pristup širokom rasponu relevantnih resursa o toj temi.

• JUŽNA KOREJA: Južnokorejska Komisija za zaštitu osobnih podataka kaznila je McDonald's, British American Tobacco i Samsung zbog kršenja privatnosti.

McDonald's je kažnjen s 484.000 eura zbog pohranjivanja sigurnosnih kopija datoteka koje se odnose na korisnike njegove McDelivery usluge na poslužitelju koji je ostavio omogućeno dijeljenje, što je hakerima omogućilo pristup podacima 4.876.106 kupaca.

U drugom incidentu, ukradeni su podaci 766.846 kupaca hamburgera, što je rezultiralo time da je tvrtka dobila početnu kaznu od 7.000 eura.

• ALŽIR: Zakon br. 18-07 o zaštiti fizičkih osoba u vezi s obradom osobnih podataka stupit će na snagu u kolovozu 2023.