Tamsūs raštai: ką visada norėjote žinoti, bet bijote paklausti...

„Legal Watch“ Nr. 45 – 2022 m. kovas.

Šis sunkiai išverčiamas angliškas terminas aptinkamas daugelyje informacinių technologijų leidinių. 

Panašiai kaip ir „stumtelėjimas“, kuriuo siekiama subtiliai paskatinti interneto vartotojus priimti norimą elgesį, „tamsūs modeliai“ siekia to paties tikslo kurdami žiniatinklio sąsajas.

Kovo 14 d. Europos duomenų apsaugos valdyba priėmė gaires dėl „tamsių šablonų“ socialinės žiniasklaidos platformų sąsajose. 

Dokumentas, dėl kurio rengiamos viešos konsultacijos, skirtas vartotojams, siekiant padėti jiems atpažinti šiuos metodus, ir dizaineriams, kuriems jame pateikiama geriausia praktika, kaip lengviau laikytis BDAR. 

Dokumente, panašiai kaip Prévert'o stiliaus inventorizacijoje, išvardytos įvairios praktikos: 

• Informacijos perkrova pateikia vartotojui duomenų ar parinkčių laviną (pavyzdžiui, begalinį slapukų gavėjų sąrašą), todėl jis gali pasidalinti daugiau informacijos nei norėtų. 

• Praleidimas verčia vartotoją pamiršti patikrinti tam tikras savo duomenų naudojimo sąlygas, pavyzdžiui, atkreipiant jo dėmesį į kitas vietas.

• Maišymas daro įtaką vartotojų pasirinkimams, žaisdamas jų emocijomis (pavyzdžiui, skatindamas juos neatsisakyti socialinio tinklo prenumeratos)

• Obstrukcija (trukdymas) neleidžia interneto vartotojams rinktis naudojant neveikiančias nuorodas, ilgesnę nei būtina arba klaidinančią informaciją.

• Dizaino nenuoseklumas (nepastovus) Dėl dekontekstualizuoto arba nehierarchinio informacijos pateikimo bus sunku orientuotis kontrolės priemonėse.

• Galiausiai, dizainas gali palikti interneto vartotoją nežinioje, naudojant prieštaringą, dviprasmišką informaciją (pagal numatytuosius nustatymus įjungti arba išjungti skirtingų spalvų mygtukai) arba vartojamų kalbų netolygumą (perėjimas iš prancūzų į anglų kalbą).

Tokie metodai ir vaizduotė keltų kone nuostabą, jei ši praktika nebūtų neteisėta, nes prieštarauja BDAR 5(1)(a) straipsnyje nustatytam lojalumo principui, taip pat skaidrumo, duomenų kiekio mažinimo, atskaitomybės, tikslo ir sutikimo galiojimo principams.

EDAV gairėse pateikiami kiekvieno tipo technikos pavyzdžiai ir patarimai, kaip supaprastinti naudotojų pasirinkimą. 

Gera praktika apima: 

• Sparčiųjų klavišų naudojimas greitiems veiksmams įjungti (atsisakyti prenumeratos iš paskyros).

• Reklaminių skydelių arba iššokančiųjų langų naudojimas pasikeitus situacijai arba iškilus konkrečiai rizikai (pavyzdžiui, saugumo pažeidimui).

• Paprastos ir nuoseklios kalbos vartojimas.

• Apibrėžimų sąrašas.

• Pavyzdžių naudojimas.

• Siūlomų skirtingų variantų pasekmių paaiškinimas.

• Sistemingas svetainės žemėlapio rodymas ir mygtukas „atgal“, leidžiantis vartotojui tęsti naršymą.

Reikėtų pažymėti, kad CNIL praėjusių metų sausį priimtuose sprendimuose prieš „Google“ ir „Facebook“, kuriais šioms įmonėms buvo skirtos atitinkamai 150 ir 60 mln. eurų baudos, baudžiama už tamsių šablonų naudojimą naudojant slapukus: sąsajose buvo siūloma paprasta slapukų aktyvavimo parinktis vienu spustelėjimu, o norint atsisakyti visų slapukų, reikėjo atlikti kelis veiksmus. 

Nors iki šiol priežiūros institucijų dėmesys buvo sutelktas į slapukus, dabar kyla pavojus platesniam praktikų spektrui. Sąsajos dizainerių vaidmuo tampa vis svarbesnis.

Ir taip pat

Prancūzija:

Paryžiaus prokuratūros kibernetinių nusikaltimų skyrius pradėjo teisminį tyrimą dėl didelio masto medicininių duomenų nutekėjimo. 

Manoma, kad duomenų nutekėjimas paveikė maždaug 500 000 asmenų ir įvyko maždaug trisdešimtyje medicininės biologijos laboratorijų. Tyrimus taip pat atlieka ANSSI ir CNIL kartu su laboratorijų naudojamos valdymo programinės įrangos leidėju.

Dar vienas didžiulis duomenų nutekėjimas paskatino Nacionalinį sveikatos draudimo fondą kovo 17 d. paskelbti pareiškimą, kuriame teigiama, kad įsilaužėliai pažeidė mažiausiai 19 sveikatos priežiūros specialistų paskyras „Amelipro“ portale.  

Ši kibernetinė ataka paveikė maždaug 500 000 draudėjų tapatybės duomenis ir socialinio draudimo numerius.

Vis dar sveikatos sektoriuje, 2022 m. sausio mėn. į skaitmeninę sveikatos erdvę (ENS arba „Mano sveikatos erdvė“) buvo integruota bendra medicininė įrašų sistema (DMP).  

CNIL savo interneto svetainėje pateikia priminimą apie tai, kaip veikia šios dvi sistemos ir kokios yra atitinkamų asmenų teisės.

2022 m. birželio 28 d. CNIL Paryžiuje organizuos pirmąją Privatumo tyrimų dieną., tarptautinė konferencija, skirta privatumo ir asmens duomenų apsaugos srities tyrimams.

Europa: 

Artėja susitarimas tarp Europos ir Jungtinių Valstijų dėl asmens duomenų perdavimo. 

Ursula von der Leyen ir Joe Bidenas kovo 25 d. paskelbė apie politinį susitarimą šiuo klausimu. Šį pranešimą patikslino Europos teisingumo komisaras Didier Reyndersas, nurodydamas, kad tai susitarimas dėl būsimo transatlantinio susitarimo „principų“. 

Naujoji teisinė sistema pakeistų „Saugaus uosto principus“ ir „Privatumo skydą“, kuriuos Europos Teisingumo Teismas paskelbė pasenusiais dėl neatitikimo Europos duomenų apsaugos principams. 

Europos Komisijos siūlomas COVID-19 sertifikatų reglamento (EUDCC) išplėtimas yra duomenų apsaugos institucijų taikiklyje. 

EDAPP ir EDAV išreiškė abejones dėl to, kad prieš Komisijos pasiūlymus atnaujinti šiuos sertifikatus vieneriems metams nebuvo atliktas poveikio vertinimas.  

Tačiau Komitetas ir Europos duomenų apsaugos priežiūros pareigūnas pripažino, kad priimtinų tyrimų rūšių išplėtimas ir į sertifikatą įtrauktas nurodymas dėl atliktų dozių skaičiaus iš esmės nepakeitė dabartinių nuostatų.

Kovo viduryje „Amazon“ darbuotojai pateikė masinį prašymą susipažinti su bendrovės turimais duomenimis apie juos, kad patikrintų stebėjimo sąlygas jų darbo vietose.  

Pareiškėjai iš Vokietijos, JK, Italijos, Lenkijos ir Slovakijos pateikė prašymą pagal BDAR 15 straipsnį bendradarbiaudami su Pasauline darbuotojų sąjunga (UNI) ir NVO NOYB.  

Be savo gairių dėl „tamsių šablonų“ socialinėje žiniasklaidoje, Europos duomenų apsaugos valdyba kovo 14 d. vykusiame plenariniame posėdyje priėmė BDAR 60 straipsnio taikymo gaires dėl duomenų apsaugos institucijų bendradarbiavimo. 

Šiuo dokumentu siekiama pagerinti vieno langelio principo nuostatų taikymą. 

Sistemoje numatyta Europos Sąjungoje įsteigtų įmonių kontaktinė institucija pagal jų pagrindinę buveinės vietą ir bendradarbiavimo su visomis kitomis susijusiomis institucijomis dėl skundų ar prijungtų įmonių jų šalyje procedūra. 

Italijos duomenų apsaugos tarnyba vasario 10 d. skyrė „Clearview IA“ 20 000 000 eurų baudą. už biometrinio atpažinimo sistemų naudojimą viešuosiuose interneto šaltiniuose, pažeidžiant BDAR. Jis nurodė ištrinti duomenis. JK duomenų apsaugos tarnyba vasario 28 d. skyrė advokatų kontorai 117 000 eurų baudą. už BDAR 5(1)(f) straipsnio ir 32 straipsnio pažeidimą ir ypač už tinkamų saugumo priemonių neįgyvendinimą. 

Ispanija vasario 17 d. patvirtino elgesio kodeksą dėl duomenų apsaugos klinikinių tyrimų ir farmakologinio budrumo kontekste.

Airijos duomenų apsaugos tarnyba kovo 15 d. skyrė 17 mln. eurų baudą bendrovei „Meta“ (anksčiau „Facebook“) dėl kelių saugumo pažeidimų. Priežiūros institucija manė, kad bendrovė nesiėmė techninių ir organizacinių priemonių, reikalingų duomenų saugumui užtikrinti. 

Sprendimas priimtas laikantis bendradarbiavimo procedūros su kitomis su byla susijusiomis Europos priežiūros institucijomis (BDAR 60 straipsnis).

Vokietijoje Bremeno duomenų apsaugos tarnyba kovo 3 d. skyrė 1 900 000 eurų baudą nekilnojamojo turto valdymo įmonei („Brebau GmbH“) už neteisėtą jautrių duomenų tvarkymą. dėl daugiau nei 9 500 kandidatų į nuomininkus. 

Tarp apdorotų duomenų buvo odos spalva, religija, seksualinė orientacija, sveikatos būklė, šukuosena ir kūno kvapas.

Tarptautinis: 

Kovo 4 d. susitarimo nutartyje Jungtinių Valstijų federalinė prekybos komisija reikalauja, kad „WW International“ („Weight Watchers“) sunaikintų algoritmus ar dirbtinio intelekto modelius, sukurtus naudojant nepilnamečių asmens duomenis. be išankstinio tėvų sutikimo. 

Bendrovei taip pat buvo skirta 1,5 mln. dolerių bauda ir nurodyta sunaikinti neteisėtai surinktus duomenis. 

Tai jau trečias kartas, kai FTC susitarimo nutartyje reikalauja sunaikinti dirbtinio intelekto algoritmą.  

THE Šri Lanka 2022 m. kovo 19 d. priėmė asmens duomenų apsaugos įstatymą.

„Nokia“, kuri paskelbė nutraukianti veiklą Rusijoje dėl karo Ukrainoje, kaltinama palikusi telekomunikacijų sistemą, kuri leido stebėti Rusijos gyventojus. 

„The New York Times“ atskleistuose vidiniuose dokumentuose teigiama, kad „Nokia“ daugiau nei penkerius metus tiekia Rusijai įrangą ir paslaugas, skirtas prijungti Rusijos stebėjimo sistemą SORM (Operatyvinės tyrimo veiklos sistema) prie didžiausios Rusijos telekomunikacijų paslaugos MTS.

Anne Christine Lacoste  „Olivier Weber Avocat“ partnerė Anne Christine Lacoste yra teisininkė, kurios specializacija – duomenų teisė; ji buvo Europos duomenų apsaugos priežiūros pareigūno tarptautinių santykių vadovė ir dirbo įgyvendinant BDAR Europos Sąjungoje.