Décisions automatisées : comment le RGPD est-il mis en œuvre ?

Automatizuoti sprendimai: kaip įgyvendinamas BDAR?

Teisinis stebėjimas Nr. 47 – 2022 m. gegužės mėn.

Automatizuoti sprendimai: kaip įgyvendinamas BDAR? Gegužės 17 d. „Ateities privatumo forumas“ paskelbė išsamią ataskaitą apie automatizuotų sprendimų problemą.

Šioje ataskaitoje analizuojama daugiau nei 70 dokumentų, kuriuose paaiškinama, kaip teismai ir tribunolai, Europos ir JK duomenų apsaugos institucijos įgyvendina BDAR 22 straipsnį, taip pat kaip tai aprašyta keliose reguliavimo institucijų parengtose gairėse ir rekomendacijose šia tema.

Nors automatizuoti sprendimai jau buvo reglamentuoti Europos direktyvoje 95/46/EB, įsigaliojus BDAR, šis principas įgavo naują aspektą.

Todėl jis taikomas įvairesniuose ir dažnesniuose kontekstuose, pavyzdžiui, dirbtinio intelekto kontekste, o APD dabar turi priemonių įstatymui vykdyti.

Šio tipo sprendimai daugiausia priimami šiose srityse:

  • Prieigos ir lankomumo kontrolė mokyklose naudojant veido atpažinimo technologijas
  • Stebėjimas internetu universitetuose ir automatinis studentų vertinimas
  • Automatinis darbo paraiškų filtravimas
  • Platformų darbuotojų algoritminis valdymas
  • Socialinių išmokų paskirstymas ir mokesčių sukčiavimo nustatymas
  • Automatinis kredito vertinimas
  • Turinio moderavimo sprendimai socialiniuose tinkluose

Trumpai prisiminkime principą: BDAR 22 straipsnis suteikia asmenims teisę, kad jiems nebūtų taikomas sprendimas, pagrįstas vien automatizuotu tvarkymu., įskaitant profiliavimą, sukeliantį jai teisinį poveikį arba panašiai jai reikšmingą poveikį.

Šiuo atžvilgiu reikėtų pažymėti, kad Europos duomenų apsaugos valdyba išaiškino, jog duomenų valdytojai negali išvengti 22 straipsnio taikymo leisdami žmogui tiesiog antspauduoti mašinos priimtus sprendimus, neturėdamas realių įgaliojimų ar kompetencijos keisti rezultato.

Kita vertus, jei atitinkamas automatizuotas procesas pateikia duomenis tik sprendimui, kurį galiausiai priims žmogus, jį pagrindžiantis tvarkymas nepatenka į 22 straipsnio taikymo sritį.

Pagal 22(2) straipsnį automatizuoti sprendimai ir toliau galimi, kai jie yra būtini sutarčiai vykdyti, numatyti įstatymuose arba pagrįsti aiškiu asmens sutikimu.

Tokiais atvejais duomenų valdytojas vis dėlto turi numatyti tinkamas priemones duomenų subjekto teisėms ir laisvėms bei teisėtiems interesams apsaugoti, taip pat jo teisei reikalauti bent žmogiškojo duomenų valdytojo įsikišimo, pareikšti savo nuomonę ir ginčyti sprendimą.

Šis griežtas automatizuotų sprendimų apribojimas turi būti aiškinamas atsižvelgiant į platesnį BDAR kontekstą, ypač į jo reikalavimus dėl bet kokio tvarkymo teisėtumo, teisinio pagrindo egzistavimo ir taisyklių, susijusių su vadinamaisiais jautriais duomenimis, įskaitant biometrinius duomenis.

Išanalizuoti dokumentai rodo, kad priežiūros institucijos ir teismai griežtai taiko šiuos principus.

Jie ypač pabrėžia šiuos elementus:

  • Skaidrumo pareiga, susijusi su parametrais, lemiančiais automatizuotą sprendimą;
  • Lojalumo principo taikymas siekiant išvengti diskriminacijos;
  • Griežtos sąlygos gauti atitinkamo asmens sutikimą.

Be to, norint nuspręsti, ar sprendimas yra visiškai automatizuotas, bus atsižvelgta į visą sprendimų priėmimo proceso kontekstą: vadovo organizacinę struktūrą, hierarchines linijas, darbuotojų informuotumą.

Siekdamos įvertinti sprendimo poveikį asmeniui, valdžios institucijos visų pirma nagrinėja, ar automatizuoto sprendimo įvesties duomenys apima išvadas apie asmenų elgesį ir ar sprendimas daro įtaką atitinkamų asmenų elgesiui ir pasirinkimams.

Prancūzijoje vienas iš prejudicinių sprendimų yra CNIL sprendimas byloje „Clearview“ failas, dėl veido atpažinimo: Komisija įpareigojo „Clearview AI“ nutraukti Prancūzijos gyventojų veido atvaizdų rinkimą iš interneto, kad būtų papildyta duomenų baze, kuri apmoko jos veido atpažinimo programinę įrangą, ir per du mėnesius ištrinti anksčiau surinktus vaizdus.

Italija ir Jungtinė Karalystė priėmė panašius sprendimus dėl tos pačios bendrovės.

2020 m. vasario mėn. Marselio administracinio teismo priimtas sprendimas panaikino Provanso-Alpių-Žydrojo Kranto regiono sprendimą atlikti du Veidų atpažinimo pilotiniai projektai prie mokyklų įėjimų iš Nicos ir Marselio.

Kol byla buvo nagrinėjama, CNIL išreiškė susirūpinimą dėl tokios sistemos įdiegimo, atsižvelgdama į tikslinę auditoriją (vaikus) ir susijusių biometrinių duomenų jautrumą.

Teismo sprendimas panaikinti bandomuosius projektus buvo priimtas remiantis tuo, kad iš vidurinės mokyklos mokinių gautas sutikimas nebuvo duotas laisva valia, konkrečiai, informuotai ir nedviprasmiškai, ir kad mokyklos turėjo mažiau įkyrių priemonių kontroliuoti mokinių patekimą į savo patalpas (pavyzdžiui, ženklelių / asmens tapatybės kortelių kontrolė kartu su vaizdo stebėjimu).

Pridurkime, kad daugeliu atvejų duomenų valdytojas negalės išvengti poveikio analizė, kaip numatyta BDAR 35 straipsnyje, kai sprendimas susijęs su profiliavimu, turinčiu didelį poveikį asmeniui: pavyzdžiui, Italijoje neseniai priimtas Duomenų apsaugos institucijos sprendimas dėl bendrovės „Deliveroo“: bendrovė turėjo atlikti savo algoritmo poveikio analizę, nes tvarkymas naudojant novatoriškas technologijas yra didelio masto (tiek dviratininkų skaičiaus – 8 000 –, tiek naudojamų duomenų tipų atžvilgiu), susijęs su pažeidžiamais asmenimis („gig ekonomikos“ darbuotojais, kuriems mokama už užduotį) ir apima pastarųjų vertinimą ar reitingą.

Ir taip pat

Prancūzija:

CNIL skelbia savo 2021 m. veiklos ataskaitą: Tarp pastebimų veiklų pažymime paramos politikos atnaujinimą, didesnę mobilizaciją kibernetinio saugumo srityje ir represinių veiksmų sustiprinimą.

Taip pat skelbiama keletas kriterijų, skirtų sieninių slapukų teisėtumui įvertinti.s (atsekamieji sieneliai).

Jame pateikiama informacija, leidžianti užtikrinti teisėtumą „mokamos sienos“, kurie reikalauja, kad interneto vartotojas, atsisakantis slapukų, sumokėtų tam tikrą pinigų sumą, kad galėtų prisijungti prie svetainės.

Leidėjas, norintis įdiegti mokamą prieigą prie svetainių, turi sugebėti pagrįsti siūlomo piniginio atlygio pagrįstumą ir įrodyti, kad jo slapukų siena skirta tik tiems tikslams, kurie leidžia sąžiningai atlyginti už siūlomą paslaugą.

Prancūzijos vyriausybė įdiegs sistemą, leidžiančią piliečiams patvirtinti savo tapatybę internete, nuskaitant asmens tapatybės kortelę išmaniuoju telefonu.

Oficialiajame leidinyje iš tikrųjų buvo paskelbtas 2022 m. balandžio 26 d. dekretas Nr. 2022-676, kuriuo leidžiama sukurti elektroninės identifikacijos programėlę, vadinamą „Skaitmeninės tapatybės garantijos paslauga“.

Ši programėlė bus susieta su nauja lustu aprūpinta asmens tapatybės kortele ir leis jos duomenis saugoti mobiliajame telefone.

Europa:

Gegužės 12 d. Europos duomenų apsaugos valdyba priėmė dvi gaires: vieną dėl baudų apskaičiavimo metodų pagal BDAR, o kitą – dėl veido atpažinimo.

Komitetas pasisako už tai, kad veido atpažinimo priemonės būtų naudojamos tik griežtai laikantis Europos policijos ir teisingumo direktyvos.

Ten Europos Komisija Gegužės 11 d. paskelbė savo pasiūlymą dėl reglamento, kuriuo siekiama užkirsti kelią vaikų seksualinės prievartos medžiagai (CSAM) ir kovoti su ja.

Pasekmės tokioms įmonėms kaip „WhatsApp“ ir „Instagram“, kurios privalo stebėti ir trinti privačius pranešimus arba perduoti juos teisėsaugos institucijoms, kelia nerimą pilietinei visuomenei.

Europos Komisija skelbia klausimus ir atsakymus apie naujas standartines sutarčių sąlygas, taikomas tarptautiniam duomenų perdavimui

Europos Komisijos „Duomenų įstatymas“ taip pat paskatino Europos duomenų apsaugos valdybos ir Europos duomenų apsaugos priežiūros pareigūno (EDAPP) reakciją. bendroje nuomonėje jie yra susirūpinę dėl reglamento taikymo srities.

Nors daugiausia dėmesio skiriama prijungtų objektų perduodamiems duomenims, taip pat taikomasi ir į jautrius asmens duomenis.

Valdžios institucijos ragina nustatyti aiškius duomenų naudojimo tiesioginei rinkodarai ar reklamai, darbuotojų stebėsenai, draudimo įmokoms ir kredito ataskaitoms apribojimus.

Ispanijos duomenų apsaugos institucija skyrė „Google LLC“ 10 mln. eurų baudą. už neteisėtą asmens duomenų perdavimą trečiajai šaliai ir už tai, kad nebuvo pasinaudota teise reikalauti ištrinti duomenis.

„Google“ taip pat paduota į teismą Jungtinėje Karalystėje dėl neteisėto medicininių duomenų naudojimo. 1,6 milijono žmonių: Pranešama, kad bendrovės dirbtinio intelekto sistema „DeepMind“ 2015 m. gavo šiuos duomenis iš Londono „Royal Free NHS Trust“, kad išbandytų mobiliąją programėlę.

„Google“ – vis dėlto, po CNIL ir jos Europos kolegų pasmerkimo, pagaliau nusprendė supaprastinti visų slapukų atsisakymą savo paieškos sistemoje ir „YouTube“. Todėl parinktį „Tinkinti“ pakeis du tos pačios formos mygtukai „Priimti viską“ ir „Atmesti viską“, prie kurių bus pridėtas trečiasis mygtukas „Daugiau parinkčių“.

Belgijos duomenų apsaugos tarnybos teigimu, El. laiško siuntimas su gavėjų sąrašu CC, o ne BCC, nelaikomas saugumo pažeidimu, jei paveikiama tik nedidelė žmonių grupė (16 žmonių).

Danijos valdžios institucija svarsto skirti 100 000 Danijos kronų baudą Teisingumo ministerijos agentūrai už nešifruoto USB disko praradimą ir nepranešimą apie saugumo pažeidimą duomenų apsaugos institucijai.

Airijos apeliacinis teismas mano, kad vaizdo stebėjimo sistemos surinkti duomenys nusikaltimų prevencijos tikslais negali būti naudojami darbuotojams stebėti ir jiems pradėti drausmines procedūras, nes šis tikslas nesuderinamas su pirmuoju.

Norvegijos duomenų apsaugos institucija ketina skirti 486 700 eurų baudą darbo administracijai už 1 800 000 žmonių gyvenimo aprašymų platinimą internete be teisinio pagrindo.

Tarptautinis:

Europos duomenų apsaugos priežiūros pareigūnas gegužės 18 d. nuomonėje išreiškė susirūpinimą dėl Europos Sąjungos dalyvavimo Jungtinių Tautų konvencijoje dėl elektroninių nusikaltimų.

Jis pabrėžia pagrindinių teisių susilpnėjimo riziką dėl didelio skaičiaus šalių, turinčių skirtingas teisines sistemas.

Honkongo duomenų apsaugos institucija gegužės 12 d. paskelbė savo gaires dėl sutartinių sąlygų naudojimo tarptautiniam duomenų perdavimui.

Singapūro duomenų apsaugos institucija skelbia duomenų anonimizavimo vadovą

„Twitter“ pasiekė susitarimą su JAV Teisingumo departamentu ir Federaline prekybos komisija už 150 mln. dolerių ir įsipareigoja įgyvendinti atitikties programą, susijusią su jos abonentų neviešinamų duomenų konfidencialumo pažeidimais.

Airijos pilietinių laisvių tarybos ataskaitoje teigiama, kad Kainų siūlymas realiuoju laiku, kuri leidžia rodyti tikslinę reklamą, yra didžiausio kada nors pasaulyje užfiksuoto duomenų nutekėjimo priežastis.

Remiantis skaičiavimais, ši pramonės šaka, kurios vertė viršija 110 milijardų eurų, Jungtinėse Valstijose ir Europoje kasmet 178 milijardus kartų seka ir dalijasi asmenų veikla internete ir realia buvimo vieta.

Europoje RTB žmonių duomenis atskleidžia 376 kartus per dieną. „Google“ kiekvieną minutę, kai Vokietijos interneto vartotojai praleidžia internete, siunčia 19,6 mln. transliacijų apie jų elgesį internete.

Anne Christine Lacoste

„Olivier Weber Avocat“ partnerė Anne Christine Lacoste yra teisininkė, kurios specializacija – duomenų teisė; ji buvo Europos duomenų apsaugos priežiūros pareigūno tarptautinių santykių vadovė ir dirbo įgyvendinant BDAR Europos Sąjungoje.

Atraskite Viqtor®
lt_LTLT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV sk_SKSK sl_SISL lt_LTLT