Tjedan mode Metaverse u Decentralandu, jednom od najpopularnijih virtualnih svjetova.

Pravni nadzor br. 48 – Lipanj 2022.

Vrli novi svijetU ožujku 2022. godine, događaj Metaverse Fashion Week održao se u Decentralandu, jednom od najpopularnijih virtualnih svjetova.

Online koncert emitiran na platformi za igre Fortnite nedavno je privukao 12 milijuna gledatelja.

Virtualni svijet se danas razvija, a njegove ljudske, ekonomske i društvene implikacije još nisu u potpunosti shvaćene.

Nedavno objavljeno izvješće Europskog parlamenta o ovoj temi navodi da će do 2026. 25% ljudi provoditi barem jedan sat dnevno u metasvemiru na poslu, u kupovini, obrazovanju, društvenim aktivnostima i/ili zabavi.

Mnoge komercijalne tvrtke počele su razvijati vlastite platforme tamo, čak i kada njihove aktivnosti imaju samo vrlo udaljenu vezu s digitalnom tehnologijom.

Metaverzum se može opisati kao impresivan, konstantan 3D virtualni svijet u kojem ljudi komuniciraju putem avatara kako bi uživali u zabavi, obavljali kupnje i transakcije ili radili bez napuštanja svojih domova.

Ekosustav ekonomskog metaverzuma koristi blockchain i kriptovalute, poput nezamjenjivih tokena (NFT), za monetizaciju transakcija u digitalnom okruženju.

Ova evolucija weba postavlja mnoga pitanja, posebno u vezi s primjenom zakona.

Kako praktično možemo regulirati online spajanja i akvizicije, uznemiravanje, manje-više legalne transakcije provedene u kriptovalutama, masovno prikupljanje podataka o ponašanju pojedinaca putem njihovih avatara ili čak nadzor pojedinaca na internetu od strane policije?

Ulog je visok u pogledu GDPR-a, kako je istaknuto u nedavnom članku objavljenom 20. svibnja u novinama Le Monde, a i kako ističe Europski parlament, s obzirom na neviđenu kvalitetu i količinu prikupljenih podataka.

To može uključivati izraze lica, geste ili druge vrste fizičkih ili emocionalnih reakcija koje avatar može proizvesti tijekom interakcija, u stvarnom vremenu i bez da je toga svjestan.

Na taj način se mogu prikupljati osjetljivi podaci poput biometrijskih podataka.

Ove će informacije, na primjer, omogućiti tvrtkama da bolje razumiju ponašanje korisnika i prilagode reklamne kampanje na vrlo ciljani način.

Jesu li postojeća pravila prilagođena ovom novom svemiru?

Kako možemo dobiti privolu pojedinaca za takvo prikupljanje podataka i tko je odgovoran za prikupljanje u okruženju u kojem postoje višestruke uloge i gdje je još teže identificirati voditelja obrade podataka?

Kako upravljati interakcijama s umjetnom inteligencijom, inherentnom funkcioniranju Metaverzuma, i automatiziranim odlukama koje iz nje proizlaze?

Istražuje se nekoliko mogućnosti, ne samo na temelju GDPR-a, već i na temelju predloženih europskih propisa o umjetnoj inteligenciji i upravljanju podacima.

Spomenimo ulogu posrednika podataka, koji bi mogli centralizirati korisnička ovlaštenja u vezi s korištenjem njihovih podataka.

Predložena uredba o upravljanju podacima predviđa zaštitu prostora osobnih podataka ili portfelja podataka reguliranjem dijeljenja podataka i kontrolom privole pojedinaca.

Međutim, u mjeri u kojoj posrednici koriste umjetnu inteligenciju u upravljanju podacima, zaštitne mjere su potrebne kako bi se spriječila pronevjera i zlouporaba.

Treba podsjetiti da su ova dva predložena propisa bila predmet komentara Europskog nadzornika i Europskog odbora za zaštitu podataka, koji inzistiraju na poštivanju načela svrhe pri korištenju podataka i pozivaju na mjere koje predviđaju više kontrola i jamstava za ispitanika, na primjer kodekse ponašanja ili mehanizme certificiranja.

Vlasti također imaju rezerve prema društvenom bodovanju u kontekstu društvenih mreža općenito, a još više u Metaverseu.

Posebnu pozornost treba posvetiti i zaštiti ranjivih skupina, posebno djece, kako bi se provjerila njihova dob i obeshrabrilo ih da daju svoje osobne podatke.

Neki se nadalje zalažu za otvoreni i decentralizirani Metaverzum, kojim upravljaju sami korisnici u obliku decentraliziranih autonomnih organizacija (DAO).

U ovoj vrsti modela, različitom od centraliziranog poslovnog modela, korisnici bi imali veću kontrolu nad svojim podacima i njihovim dijeljenjem.

I ovdje bi, uz regulatorne smjernice, većoj pravnoj sigurnosti doprinijeli kodeksi ponašanja i mehanizmi certificiranja.

Nekoliko odgovora na mnoga pitanja...

U svakom slučaju, primjena zakona neće se postići bez veće odgovornosti uključenih aktera.

I također

Francuska:

CNIL je 7. lipnja objavio pitanja i odgovore u vezi s korištenjem Google Analyticsa.

Komisija je naložila nekoliko organizacija da se pridržavaju GDPR-a, budući da nijedna od dodatnih zaštitnih mjera koje su joj predstavljene nije bila dovoljna da spriječi američke obavještajne službe da pristupe osobnim podacima europskih korisnika.

Rješenje koje omogućuje korištenje proxyja kako bi se izbjegao bilo kakav izravan kontakt između terminala internetskog korisnika i poslužitelja alata za mjerenje moglo bi, prema njezinim riječima, biti moguće ako taj poslužitelj ispunjava skup kriterija koji poštuju preporuke Europskog odbora za zaštitu podataka (EDPB), objavljene 18. lipnja 2021.

Državno vijeće potvrdilo je da je CNIL nadležan za izricanje sankcija izvan europskog mehanizma jedinstvenog kontaktnog mjesta.

U ovom slučaju riječ je o tvrtki Amazon online France, koja ima poslovnicu na francuskom teritoriju i obrađuje podatke osoba s prebivalištem u Francuskoj.

Time je potvrđena kazna od 35 milijuna eura izrečena 2020. godine, kojom se kažnjava korištenje kolačića bez pristanka korisnika.

Dana 30. lipnja CNIL je izrekao kaznu od milijun eura protiv tvrtke Total Energies Electricité et Gaz de France. posebno zbog nepoštivanja obveza u vezi s komercijalnim istraživanjem i pravima pojedinaca.

CNIL je 13. lipnja pokrenuo studiju o podacima o geolokaciji prikupljenim mobilnim aplikacijama.

Kao što je najavljeno u svom strateškom planu za razdoblje 2022.-2024., CNIL želi podići svijest javnosti i stručnjaka o problemima povezanim s prikupljanjem podataka o geolokaciji putem mobilnih aplikacija.

Također je pitanje provjere usklađenosti s GDPR-om stručnjaka u sektoru komercijalnog istraživanja nekretnina.

Europa:

Europski nadzornik za zaštitu podataka (EDPS) izražava zabrinutost zbog izmjena Uredbe o Europolu, koja je stupila na snagu 28. lipnja 2022.

EDPS naglašava da oni slabe temeljno pravo na zaštitu podataka, ne osiguravaju odgovarajući nadzor nad agencijom i značajno proširuju mandat Europola u pogledu razmjene osobnih podataka s privatnim stranama, korištenja umjetne inteligencije i obrade velikih skupova podataka.

Dana 14. lipnja, Europski odbor za zaštitu podataka (EDPB) objavio je svoj odgovor na Konzultacije Europske komisije o stvaranju digitalnog eura.

Dana 16. lipnja,EDPB usvojene smjernice o certifikacija kao alat za prijenos osobnih podataka trećim zemljama koje ne pružaju odgovarajuću razinu zaštite.

Konferenciju koju je u lipnju organiziraoNadzornik za zaštitu podataka, koju je online i osobno pratilo više od 2000 ljudi, završila je kritičkim zapažanjima u vezi s Europska suradnja u istragama.

Za EDPS-a, svaki dobar model trebao bi uključivati snažne mehanizme kolegijalnosti, a strateške istrage mogle bi se provoditi na središnjoj razini, što bi prevladalo „probleme koji proizlaze iz nekompatibilnog nacionalnog zakonodavstva ili različitih pokušaja usklađivanja“.

THE Vijeće Europe objavljuje studiju o Pegasus špijunski softver i njegov utjecaj na temeljna prava. Treba imati na umu da je ovaj špijunski softver također predmet istrage Europskog parlamenta.

THE Mreža za suradnju u zaštiti potrošača (CPC), u suradnji s tijelima za zaštitu podataka, odobrio je 5 ključnih načela za pošteno oglašavanje za djecus.

THE Švicarski savezni povjerenik za zaštitu podataka i informiranje (FDPIC) savjetovao je Suvi (Švicarski nacionalni fond za osiguranje od nezgode, koji osigurava zdravstveno osiguranje za svoje zaposlenike) da preispita svoju odluku o prepuštanju obrade svojih osobnih podataka Sjedinjenim Američkim Državamas – točnije u Microsoftovoj usluzi u oblaku, iako se podaci nalaze na MS poslužitelju u Švicarskoj.

Transferi izvan Europe također su u središtu nedavne odluke Državno vijeće Belgije, koje je suspendiralo odluku o odabiru američkog izvođača radova u kontekstu postupka javne nabave s obrazloženjem da to tijelo nije dovoljno ispitalo je li izvođač radova ispunio zahtjeve GDPR-a, posebno odredbe koje se odnose na prijenose.

Odluka također dovodi u pitanje daljnju obradu od strane druge tvrtke, Smart Analytics, sa sjedištem u Rusiji (putem GDPRhuba).

Deset udruga potrošača, pod koordinacijom Europska organizacija potrošača (BEUC), objavili su 30. lipnja da poduzimaju korake kako bi osigurali da se Google pridržava zakona: tehnološki div bi usmjeravao potrošače na svoj sustav praćenja kada se prijave za Google račun, umjesto da im pruža zaštitu podataka prema zadanim postavkama i dizajnu, kako to zahtijeva GDPR.

Reforma britanskog zakonodavstva o zaštiti podataka nakon Brexita dosegla je novu prekretnicu 17. lipnja konačnim odgovorom vlade na javno savjetovanje.

Dokument uključuje nekoliko reformi, poput uklanjanja zahtjeva za imenovanjem službenika za zaštitu podataka, zamjene zahtjeva za pristanak pravom na prigovor na praćenje korisnika interneta i promjena u radu Ureda povjerenika za informiranje.

Finska službena razvojna pomoć (ODA) naredio je bolnici da izbriše povijest zaposlenika, zapise o lokaciji i druge osobne podatke generirane zadanom značajkom snimanja lokacije u sustavu Windows 10.

Ova postavka prekršila je načelo "zaštite podataka po zadanim postavkama" iz članka 25(2) GDPR-a (putem GDPRhuba). 

Talijansko tijelo za zaštitu podataka kaznilo je bolnicu s 70.000 eura zbog slanja kopija primateljima dvaju medicinskih biltena. umjesto CCI-a, otkrivanje njihovih osobnih podataka (uključujući zdravstvene podatke) svim primateljima bez pravne osnove (putem GDPRhuba).

O istoj temi, rumunjska službena razvojna pomoć također je kaznio podizvođača odgovornog za provedbu marketinške kampanje s 1000 eura zbog slanja marketinške e-pošte 27 osobama bez skrivanja njihovih adresa e-pošte.

Sjetimo se toga Belgija je 29. travnja u sličnom slučaju presudila da slanje takve e-pošte ne predstavlja kršenje sigurnosti kada je u nju uključeno manje od 16 osoba.

Međunarodno:

Rusija: Moskovski sud kaznio je Google s 15 milijuna rubalja zbog ponovljenog nepoštivanja pravila o lokalizaciji podataka.

Google je već bio podvrgnut administrativnoj sankciji 2021. godine zbog kršenja istog načela ruskog zakona o osobnim podacima, koji obvezuje tvrtke da pohranjuju osobne podatke ruskih građana na teritoriju Ruske Federacije..

SJEDINJENE AMERIČKE DRŽAVE: Posljedice odluke Vrhovnog suda u slučaju Roe protiv Wadea protežu se na pitanja privatnosti podataka. 

Pitanje se odnosi na stav tehnoloških divova prema pristupu vlasti podacima o plodnosti.

Ti se podaci mogu otkriti putem izvora kao što su povijest preglednika, pretraživanja, zapisi e-pošte i tekstualnih poruka, korištenje aplikacija za plodnost i drugih komercijalnih proizvoda s kojima mnogi korisnici svakodnevno komuniciraju.

Kako izvještava The Register, ovu vrstu informacija već su koristile agencije za provođenje zakona kao dokaz u slučajevima povezanim s pobačajem.

Kina: New York Times objavljuje istragu u kojoj se poziva na stotine dokumenata koji detaljno opisuju softver koji je Kina kupila za pretraživanje svojih golemih baza podataka o nadzoru kako bi predvidjela tko će postati osumnjičenik ili potencijalni uzročnik problema.

U Kanadi, Od 16. lipnja Povelja o digitalnim pravima štiti prava potrošača i osobne podatke te regulira umjetnu inteligenciju..

Anne Christine Lacoste

Partnerica u tvrtki Olivier Weber Avocat, Anne Christine Lacoste, odvjetnica je specijalizirana za pravo podataka; bila je voditeljica međunarodnih odnosa u Europskom nadzorniku za zaštitu podataka i radila je na provedbi GDPR-a u Europskoj uniji.