Mračni obrasci: Ono što ste oduvijek željeli znati, ali ste se bojali pitati...

Pravni nadzor br. 45 – ožujak 2022.

Ovaj teško prevedivi engleski izraz nalazi se u mnogim publikacijama koje se odnose na informacijsku tehnologiju. 

Vezano uz "nudging" koji ima za cilj suptilno potaknuti korisnike interneta da usvoje željeno ponašanje, "tamni obrasci" teže istom cilju kroz dizajn web sučelja.

Europski odbor za zaštitu podataka usvojio je 14. ožujka smjernice u vezi s "tamnim uzorcima" u sučeljima platformi društvenih medija. 

Dokument, koji je predmet javne rasprave, namijenjen je korisnicima kako bi im pomogao u prepoznavanju tih tehnika, te dizajnerima, kojima nudi najbolje prakse za olakšavanje usklađenosti s GDPR-om. 

Dokument navodi različite prakse, u onome što podsjeća na Prévertov popis: 

• Preopterećenost informacijama suočava korisnika s lavinom podataka ili opcija (na primjer, beskrajnim popisom primatelja kolačića), što ga navodi da podijeli više informacija nego što želi. 

• Preskakanje navodi korisnika da zaboravi provjeriti određene uvjete korištenja svojih podataka, na primjer skretanjem njegove pozornosti na nešto drugo.

• Miješanje utječe na izbore korisnika igrajući na njihove emocije (na primjer, kako bi ih potaknuo da se ne odjavljuju s društvene mreže)

• Ometanje (prepreka) sprječava korisnike interneta da putem nefunkcionalnih poveznica donose odluke o informacijama koje su dulje nego što je potrebno ili su obmanjujuće.

• Nedosljednost u dizajnu (nestalnost) otežat će navigaciju kroz alate za kontrolu putem dekontekstualiziranog ili nehijerarhijskog prikaza informacija.

• Konačno, dizajn može ostaviti korisnika interneta u mraku, korištenje konfliktnih, dvosmislenih informacija (različite boje gumba omogućene ili onemogućene prema zadanim postavkama) ili diskontinuitet u korištenim jezicima (prelazak s francuskog na engleski).

Čovjek bi se gotovo divio takvim tehnikama i mašti da te prakse nisu nezakonite jer su u suprotnosti s načelom lojalnosti utvrđenim u članku 5(1)(a) GDPR-a, kao i s načelima transparentnosti, minimizacije podataka, odgovornosti, svrhe i valjanosti privole.

Smjernice EDPB-a pružaju primjere za svaku vrstu tehnike i savjete za pojednostavljenje izbora korisnika. 

Dobre prakse uključuju: 

• Korištenje prečaca za omogućavanje brzih radnji (odjava s računa).

• Korištenje bannera ili skočnih prozora u slučaju promjene ili određenog rizika (npr. sigurnosni propust).

• Korištenje jednostavnog i dosljednog jezika.

• Popis definicija.

• Korištenje primjera.

• Objašnjenje posljedica različitih predloženih opcija.

• Sustavni prikaz karte stranice i gumb "natrag" koji korisniku omogućuje nastavak navigacije.

Treba napomenuti da odluke CNIL-a iz prošlog siječnja protiv Googlea i Facebooka, kojima su te tvrtke kažnjene sa 150 odnosno 60 milijuna eura, kažnjavaju korištenje tamnih obrazaca u korištenju kolačića: sučelja su nudila jednostavnu opciju za aktiviranje kolačića, jednim klikom, dok je za odbijanje svih kolačića bilo potrebno nekoliko radnji. 

Iako je pozornost nadzornih tijela do sada bila usmjerena na kolačiće, sada je u pitanju širi skup praksi. Uloga dizajnera sučelja postaje sve važnija.

I također

Francuska:

Odjel za kibernetički kriminal pariškog tužiteljstva pokrenuo je sudsku istragu u vezi s masovnim curenjem medicinskih podataka. 

Vjeruje se da je curenje podataka utjecalo na otprilike 500.000 pojedinaca, a potječe iz tridesetak medicinsko-bioloških laboratorija. Istrage također provode ANSSI i CNIL, u suradnji s izdavačem softvera za upravljanje koji koriste laboratoriji.

Još jedno veliko curenje podataka potaknulo je Nacionalni fond zdravstvenog osiguranja da 17. ožujka objavi izjavu u kojoj se navodi da su hakeri kompromitirali račune najmanje 19 zdravstvenih djelatnika na portalu Amelipro.  

Ovim kibernetičkim napadom pogođeni su identifikacijski podaci i brojevi socijalnog osiguranja otprilike 500.000 osiguranika.

Još uvijek u zdravstvenom sektoru, zajednički medicinski karton (DMP) integriran je u digitalni zdravstveni prostor (ENS ili „Moj zdravstveni prostor“) u siječnju 2022.  

CNIL na svojoj web stranici podsjetnik navodi kako ova dva sustava funkcioniraju i koja su prava dotičnih osoba.

28. lipnja 2022. CNIL će organizirati prvo izdanje Dana istraživanja privatnosti u Parizu., međunarodna konferencija posvećena istraživanjima u području privatnosti i zaštite osobnih podataka.

Europa: 

Na vidiku je sporazum između Europe i Sjedinjenih Država o prijenosu osobnih podataka. 

Ursula Von der Leyen i Joe Biden objavili su 25. ožujka politički dogovor o toj temi, a najavu je pojasnio europski povjerenik za pravosuđe Didier Reynders, koji je naznačio da se radi o dogovoru o "načelima" budućeg transatlantskog sporazuma. 

Novi pravni okvir naslijedio bi „Načela sigurne luke“ i „Štit privatnosti“, koje je Europski sud pravde proglasio zastarjelima zbog nepoštivanja europskih načela zaštite podataka. 

Predloženo proširenje propisa o Covid certifikatima (EUDCC) od strane Europske komisije nalazi se na meti tijela za zaštitu podataka. 

Europski nadzornik za zaštitu podataka i Europski odbor za zaštitu podataka izrazili su rezerve zbog nedostatka procjene učinka prije prijedloga Komisije za obnovu tih certifikata na godinu dana.  

Odbor i Europski nadzornik za zaštitu podataka, međutim, priznali su da proširenje prihvaćenih vrsta testova i uključivanje broja primijenjenih doza u potvrdu nisu bitno promijenili trenutne odredbe.

Sredinom ožujka, zaposlenici Amazona podnijeli su masovni zahtjev za pristup podacima koje tvrtka ima o njima, kako bi provjerili uvjete nadzora na njihovim radnim mjestima.  

Podnositelji zahtjeva iz Njemačke, Ujedinjenog Kraljevstva, Italije, Poljske i Slovačke podnijeli su svoj zahtjev prema članku 15. GDPR-a u suradnji s Globalnim sindikatom radnika (UNI) i nevladinom organizacijom NOYB.  

Uz svoje smjernice o „tamnim obrascima“ na društvenim mrežama, Europski odbor za zaštitu podataka donio je smjernice o primjeni članka 60. GDPR-a u vezi s suradnjom između tijela za zaštitu podataka na svojoj plenarnoj sjednici 14. ožujka. 

Ovaj dokument ima za cilj poboljšati primjenu odredbi jedinstvenog šaltera. 

Sustav predviđa kontaktno tijelo za tvrtke sa sjedištem u Europskoj uniji na temelju njihovog glavnog mjesta poslovnog nastana i postupak za suradnju sa svim ostalim tijelima uključenim zbog pritužbi ili pripojenih poslovnih jedinica u njihovoj zemlji. 

Talijanska agencija za zaštitu podataka kaznila je Clearview IA s 20.000.000 eura 10. veljače. zbog korištenja biometrijskih sustava za prepoznavanje na javnim internetskim izvorima kršeći GDPR. Naložio je brisanje podataka. Britansko tijelo za zaštitu podataka kaznilo je odvjetničku tvrtku s 117.000 eura 28. veljače. zbog kršenja članaka 5(1)(f) i 32. GDPR-a, a posebno zbog neprovođenja odgovarajućih sigurnosnih mjera. 

Španjolska je 17. veljače odobrila kodeks ponašanja o zaštiti podataka u kontekstu kliničkih ispitivanja i farmakovigilancije.

Irska Agencija za zaštitu podataka kaznila je Metu (bivši Facebook) sa 17 milijuna eura 15. ožujka nakon nekoliko sigurnosnih propusta. Nadzorno tijelo smatralo je da tvrtka nije poduzela tehničke i organizacijske mjere potrebne za osiguranje sigurnosti podataka. 

Odluka donesena nakon postupka suradnje s drugim europskim nadzornim tijelima na koje se slučaj odnosi (čl. 60. GDPR-a).

U Njemačkoj je Agencija za zaštitu podataka u Bremenu 3. ožujka kaznila tvrtku za upravljanje nekretninama (Brebau GmbH) s 1.900.000 eura zbog nezakonite obrade osjetljivih podataka. što se tiče više od 9500 kandidata za najmoprimce. 

Među obrađenim podacima bili su boja kože, religija, seksualna orijentacija, zdravstveno stanje, frizura i tjelesni miris.

Međunarodno: 

U nalogu o nagodbi od 4. ožujka, Američka Federalna trgovinska komisija zahtijeva da WW International (Weight Watchers) uništi algoritme ili modele umjetne inteligencije dizajnirane korištenjem osobnih podataka maloljetnika. bez prethodnog roditeljskog pristanka. 

Tvrtka je također kažnjena s 1,5 milijuna dolara i naloženo joj je uništavanje nezakonito prikupljenih podataka. 

Ovo je treći put da FTC zahtijeva uništenje algoritma umjetne inteligencije u nalogu o nagodbi.  

THE Šri Lanka usvojila je zakon o zaštiti osobnih podataka 19. ožujka 2022.

Nokia, koja je objavila da prekida poslovanje u Rusiji zbog rata u Ukrajini, optužena je da je za sobom ostavila telekomunikacijski sustav koji je omogućio nadzor ruskog stanovništva. 

Prema internim dokumentima koje je otkrio New York Times, Nokia već više od pet godina isporučuje Rusiji opremu i usluge za povezivanje ruskog nadzornog sustava SORM (Sustav za operativne istražne aktivnosti) s najvećom ruskom telekomunikacijskom uslugom, MTS-om.

Anne Christine Lacoste  Partnerica u tvrtki Olivier Weber Avocat, Anne Christine Lacoste, odvjetnica je specijalizirana za pravo podataka; bila je voditeljica međunarodnih odnosa u Europskom nadzorniku za zaštitu podataka i radila je na provedbi GDPR-a u Europskoj uniji.