Décisions automatisées : comment le RGPD est-il mis en œuvre ?

Automatizirane odluke: kako se provodi GDPR?

Pravni nadzor br. 47 – Svibanj 2022.

Automatizirane odluke: kako se provodi GDPR? Dana 17. svibnja, Forum za budućnost privatnosti objavio je opsežno izvješće o pitanju automatiziranih odluka.

Ovo izvješće analizira više od 70 dokumenata koji osvjetljavaju kako članak 22. GDPR-a provode sudovi i tribunali, europska i britanska tijela za zaštitu podataka, kao i u nekoliko smjernica i preporuka koje su o toj temi izdali regulatori.

Iako su automatizirane odluke već bile regulirane Europskom direktivom 95/46/EZ, to je načelo dobilo novu dimenziju od stupanja na snagu GDPR-a.

Stoga je primjenjiv u raznolikijim i češćim kontekstima poput onih umjetne inteligencije, a APD-ovi sada imaju sredstva za provođenje zakona.

Ova vrsta odluke se uglavnom nalazi u sljedećim područjima:

  • Kontrola pristupa i prisutnosti u školama korištenjem tehnologija prepoznavanja lica
  • Online praćenje na sveučilištima i automatizirano ocjenjivanje studenata
  • Automatsko filtriranje prijava za posao
  • Algoritamsko upravljanje radnicima na platformi
  • Raspodjela socijalnih naknada i otkrivanje poreznih prijevara
  • Automatizirana procjena kreditne sposobnosti
  • Odluke o moderiranju sadržaja na društvenim mrežama

Podsjetimo se ukratko na princip: Članak 22. GDPR-a daje pojedincima pravo da ne budu predmet odluke koja se temelji isključivo na automatiziranoj obradi, uključujući profiliranje, koje proizvodi pravne učinke koji se na nju odnose ili na nju značajno utječu na sličan način.

U tom smislu treba napomenuti da je Europski odbor za zaštitu podataka pojasnio da kontrolori podataka ne mogu izbjeći primjenu članka 22. tako da čovjek jednostavno ovjeri odluke koje donosi stroj, a da pritom nema stvarnu ovlast ili nadležnost za izmjenu rezultata.

S druge strane, ako dotični automatizirani proces pruža samo podatke za odluku koju će u konačnici donijeti čovjek, obrada na kojoj se temelji ne spada u područje primjene članka 22.

Prema članku 22(2), automatizirane odluke ostaju moguće kada su potrebne za izvršenje ugovora, predviđene zakonom ili se temelje na izričitom pristanku pojedinca.

U takvim slučajevima, voditelj obrade ipak mora osigurati odgovarajuće mjere za zaštitu prava i sloboda te legitimnih interesa ispitanika, te njegovog prava na barem ljudsku intervenciju od strane voditelja obrade, na izražavanje svog stajališta i osporavanje odluke.

Ovo strogo ograničenje automatiziranih odluka mora se čitati u širem kontekstu GDPR-a, a posebno njegovih zahtjeva koji se odnose na legitimnost bilo kakve obrade, postojanje pravne osnove i pravila koja se odnose na takozvane osjetljive podatke - uključujući biometrijske podatke.

Analizirani dokumenti pokazuju da nadzorna tijela i sudovi strogo primjenjuju ta načela.

Posebno inzistiraju na sljedećim elementima:

  • Obveza transparentnosti u vezi s parametrima koji dovode do automatizirane odluke;
  • Primjena načela lojalnosti, kako bi se izbjegla diskriminacija;
  • Strogi uvjeti za dobivanje privole dotične osobe.

Nadalje, kako bi se odlučilo je li neka odluka isključivo automatizirana, uzet će se u obzir cijeli kontekst procesa donošenja odluka: organizacijska struktura menadžera, hijerarhijske linije, svijest zaposlenika.

Kako bi procijenili utjecaj odluke na pojedinca, tijela posebno ispituju uključuju li ulazni podaci automatizirane odluke zaključke o ponašanju pojedinaca i utječe li odluka na ponašanje i izbore dotičnih pojedinaca.

U Francuskoj je jedna od referentnih odluka ona CNIL-a u Clearview datoteka, u vezi s prepoznavanjem lica: Komisija je naložila tvrtki Clearview AI da prestane prikupljati slike lica ljudi u Francuskoj s interneta kako bi ih ugradila u bazu podataka koja obučava njezin softver za prepoznavanje lica te da u roku od dva mjeseca izbriše prethodno prikupljene slike.

Italija i Ujedinjeno Kraljevstvo donijele su slične odluke u vezi s istom tvrtkom.

Presudom koju je u veljači 2020. donio upravni sud u Marseilleu poništena je odluka regije Provansa-Alpe-Azurna obala o provođenju dvaju pilot projekti prepoznavanja lica na ulazima u škole iz Nice i Marseillea.

Dok je slučaj bio u tijeku, CNIL je izrazio zabrinutost zbog provedbe takvog sustava, s obzirom na ciljanu publiku (djecu) i osjetljivost biometrijskih podataka.

Odluka Suda o poništenju pilot-projekata donesena je na temelju toga što privola dobivena od srednjoškolaca nije dana slobodno, konkretno, informirano i nedvosmisleno te da su školama bila dostupna manje nametljiva sredstva za kontrolu pristupa učenika njihovim prostorijama (na primjer, kontrole znački/osobnih iskaznica, u kombinaciji s video nadzorom).

Dodajmo da u većini slučajeva voditelj obrade neće moći izbjeći analiza utjecaja, kako je predviđeno člankom 35. GDPR-a, kada se odluka odnosi na profiliranje sa značajnim učincima na pojedinca: na primjer u Italiji, nedavna odluka DPA-a u vezi s tvrtkom Deliveroo: tvrtka je trebala provesti analizu utjecaja svog algoritma, obrade korištenjem inovativnih tehnologija, koja je u velikim razmjerima (i u smislu broja biciklista – 8000 – i vrsta korištenih podataka), koja se odnosi na ranjive pojedince (radnike u „gig ekonomiji“ plaćene zadatkom) i uključuje evaluaciju ili ocjenu potonjih.

I također

Francuska:

CNIL objavljuje svoje izvješće o radu za 2021. godinu: Među značajnim aktivnostima ističemo obnovu politike potpore, povećanu mobilizaciju u području kibernetičke sigurnosti i jačanje represivnih mjera.

Također objavljuje niz kriterija za procjenu zakonitosti zidnih kolačića.s (zidovi s tragovima).

Pruža informacije koje omogućuju zakonitost "platni zidovi", koji zahtijevaju od korisnika interneta koji odbija kolačiće da plati određeni iznos novca za pristup stranici.

Izdavač koji želi implementirati paywall mora biti u mogućnosti opravdati razumnost ponuđene novčane naknade i dokazati da je njegov kolačićni zid ograničen na svrhe koje omogućuju pravednu naknadu za ponuđenu uslugu.

Francuska vlada će uvesti sustav koji će građanima omogućiti online autentifikaciju skeniranjem osobnih iskaznica pametnim telefonom.

Službeni list je zapravo objavio uredbu br. 2022-676 od 26. travnja 2022. kojom se odobrava stvaranje aplikacije za elektroničku identifikaciju pod nazivom „Usluga jamstva digitalnog identiteta“.

Ova će aplikacija biti povezana s novom osobnom iskaznicom opremljenom čipom i omogućit će pohranjivanje njezinih podataka na mobitel.

Europa:

12. svibnja, Europski odbor za zaštitu podataka usvojila je dvije smjernice, jednu o metodama izračuna kazni u skladu s GDPR-om i drugu o prepoznavanju lica.

Odbor se zalaže za to da se alati za prepoznavanje lica trebaju koristiti samo u strogom skladu s Europskom direktivom o policiji i pravosuđu.

Tamo Europska komisija objavila je 11. svibnja svoj prijedlog uredbe usmjerene na sprječavanje i borbu protiv materijala koji prikazuju seksualno zlostavljanje djece (CSAM).

Posljedice za tvrtke poput WhatsAppa i Instagrama, koje su dužne pratiti i brisati privatne komunikacije ili ih prenositi policiji, zabrinjavaju civilno društvo.

Europska komisija objavljuje pitanja i odgovore o novim standardnim ugovornim klauzulama za međunarodni prijenos podataka

"Zakon o podacima" Europske komisije također je izazvao reakciju Europskog odbora za zaštitu podataka i Europskog nadzornika za zaštitu podataka (EDPS). : u zajedničkom mišljenju izrazili su zabrinutost zbog područja primjene uredbe.

Iako se uglavnom odnosi na podatke koje prenose povezani objekti, u pitanju su i osjetljivi osobni podaci.

Vlasti pozivaju na jasna ograničenja korištenja podataka za izravni marketing ili oglašavanje, praćenje zaposlenika, premije osiguranja i kreditno izvještavanje.

Španjolsko tijelo za zaštitu podataka kaznilo je Google LLC s 10 milijuna eura. zbog nezakonitog prijenosa osobnih podataka trećoj strani i sprječavanja ostvarivanja prava na brisanje.

Google je tužen i u Velikoj Britaniji zbog nezakonite upotrebe medicinskih podataka od 1,6 milijuna ljudi: DeepMind, sustav umjetne inteligencije tvrtke, navodno je 2015. primio ove podatke od Royal Free NHS Trusta u Londonu kako bi testirao mobilnu aplikaciju.

Google – ipak, konačno je odlučila, nakon što su je osudili CNIL i njezini europski kolege, olakšati odbijanje svih kolačića na svojoj tražilici i na YouTubeu. Opcija „Prilagodi“ tako će biti zamijenjena s dva gumba „Prihvati sve“ i „Odbij sve“ istog oblika, uz treći „Više opcija“.

Prema belgijskom tijelu za zaštitu podataka, Slanje e-pošte s popisom primatelja u polju CC, umjesto u BCC, ne smatra se sigurnosnim propustom, sve dok je pogođena samo mala skupina ljudi (16 ljudi).

Danska vlast razmatra izricanje kazne od 100.000 DKK protiv agencije Ministarstva pravosuđa zbog gubitka nešifriranog USB pogona i neprijavljivanja sigurnosnog kršenja tijelu za zaštitu podataka.

Irski žalbeni sud smatra da se podaci prikupljeni sustavom video nadzora u svrhu sprječavanja prekršaja ne mogu koristiti za praćenje zaposlenika i pokretanje disciplinskih postupaka protiv njih, budući da je ta svrha nespojiva s prvom.

Norveško tijelo za zaštitu podataka namjerava izreći kaznu od 486.700 eura upravi za rad zbog širenja životopisa 1.800.000 ljudi na internetu bez zakonske osnove.

Međunarodno:

Europski nadzornik za zaštitu podataka izrazio je zabrinutost u mišljenju od 18. svibnja o sudjelovanju Europske unije u Konvenciji Ujedinjenih naroda o kibernetičkom kriminalu.

Ističe rizik slabljenja temeljnih prava zbog velikog broja uključenih zemalja s različitim pravnim sustavima.

Hongkonško tijelo za zaštitu podataka objavila je 12. svibnja svoje smjernice o korištenju ugovornih klauzula za međunarodni prijenos podataka.

Singapursko tijelo za zaštitu podataka objavljuje vodič za anonimizaciju podataka

Twitter postigao nagodbu s američkim Ministarstvom pravosuđa i Saveznom trgovinskom komisijom za 150 milijuna dolara i obvezuje se na provedbu programa usklađenosti u vezi s kršenjem povjerljivosti nejavnih podataka svojih pretplatnika.

Izvješće Irskog vijeća za građanske slobode navodi da je Licitiranje u stvarnom vremenu, koji omogućuje isporuku ciljanog oglašavanja, stoji iza najvećeg kršenja podataka ikad zabilježenog u svijetu.

Prema podacima, industrija, koja vrijedi više od 110 milijardi eura, prati i dijeli online aktivnosti i lokacije pojedinaca u stvarnom svijetu 178 milijardi puta godišnje u Sjedinjenim Državama i Europi.

U Europi, RTB izlaže podatke ljudi 376 puta dnevno a Google šalje 19,6 milijuna poruka o ponašanju njemačkih korisnika interneta svake minute dok su online.

Anne Christine Lacoste

Partnerica u tvrtki Olivier Weber Avocat, Anne Christine Lacoste, odvjetnica je specijalizirana za pravo podataka; bila je voditeljica međunarodnih odnosa u Europskom nadzorniku za zaštitu podataka i radila je na provedbi GDPR-a u Europskoj uniji.

Otkrijte Viqtor®
hrHR
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL hrHR