„Legal Watch“ Nr. 57 – 2023 m. kovas.

Išmaniosios kameros ir biometrija – koks bus su olimpinėmis žaidynėmis susijusio įstatymo poveikis?

Kovo 23 d. Nacionalinė Asamblėja priėmė Olimpinių žaidynių įstatymo 7 straipsnį.

Įstatymo projektas, priimtas retai susirinkusioje asamblėjoje (dalyvavo 73 iš 577 narių), jau sukėlė daug diskusijų ir neabejotinai sukels dar daugiau reakcijų ateinančiais mėnesiais.

Tai faktiškai įteisina algoritminės stebėsenos naudojimą iki 2024 m. gruodžio mėn., kontekste, kuris apibūdinamas kaip išimtinis, tačiau skirtas renginiams, kurie peržengia griežtą olimpinių žaidynių sistemą.

Stebėjimas gali būti susijęs su „sporto, pramogų ar kultūros renginiais“ apskritai, „kuriems gresia teroristinių išpuolių pavojus arba rimta grėsmė asmenų saugumui“.

Todėl jį galima išbandyti sporto renginiuose, tokiuose kaip šio rudens regbio pasaulio čempionatas.

 

Kas yra algoritminė stebėsena? Ar tai biometrinės stebėsenos forma, kuriai taikomi griežti BDAR ir būsimo Europos dirbtinio intelekto reglamento įpareigojimai?

Projekte planuojama naudoti dirbtinio intelekto padedamas „papildytas kameras“, kurias pilotuos dronai, kurios bus naudojamos automatiškai analizuoti vaizdus realiuoju laiku, naudojant algoritmus, siekiant aptikti iš anksto nustatytus įvykius, tokius kaip minios judėjimas, bagažas, gestai ar įtartinas elgesys.

Nors CNIL savo gruodžio 8 d. pastabose pabrėžė pagrindinius papildinių kamerų keliamus klausimus, jie, regis, neatsižvelgė į tai, kad bus naudojamas biometrinis apdorojimas.

Ji pažymėjo, kad kelios priemonės atitiko jos rekomendacijas:

• Eksperimentinis diegimas, ribotas laiko ir erdvės atžvilgiu, skirtas tam tikriems konkretiems tikslams ir keliantis rimtą pavojų žmonėms,
• Biometrinių duomenų apdorojimo ir kryžminių nuorodų su kitais failais trūkumas ir
• Sprendimai, kuriems reikalingas išankstinis žmogaus įsikišimas.

Tačiau pilietinės visuomenės atveju naudojama technologija akivaizdžiai patenka į biometrinių duomenų kategoriją.

Iš tiesų, jis „nuolat identifikuoja, analizuoja ir klasifikuoja kūnus, fizinius požymius, gestus, siluetus ir eiseną, kurie neabejotinai yra biometriniai duomenys“.

„La Quadrature du Net“ ir apie keturiasdešimt tarptautinių organizacijų išplėtojo šią perspektyvą atvirame laiške Nacionalinei Asamblėjai, kurį koordinavo ir paskelbė ECNL (Europos ne pelno siekiančių organizacijų teisės centras).

BDAR biometriniai duomenys apibrėžiami kaip „asmens duomenys, gauti specialaus techninio apdorojimo būdu, susiję su fizinio asmens fizinėmis, fiziologinėmis ar elgesio savybėmis, kurios leidžia nustatyti arba patvirtinti jo unikalią tapatybę“ (4.14 straipsnis).

Atvirame laiške pažymima, kad kameros neišvengiamai fiksuos ir analizuos stebimose viešose erdvėse esančių žmonių fiziologinius bruožus ir elgesį, o šių žmonių izoliavimas nuo aplinkos, kuris yra būtinas sistemos tikslui pasiekti, yra „unikalus identifikavimas“.

Pagal BDAR ir Europos duomenų apsaugos valdybos aiškinimą šiuo klausimu, galimybė izoliuoti asmenį nuo minios ar jo aplinkos, nepriklausomai nuo to, ar jo vardas, pavardė ar tapatybė yra žinomi, ar ne, yra laikomas „unikaliu identifikatoriumi“.

Taigi, remiantis šiais duomenimis, žmonių priskyrimas kategorijai, pagal kurią būtų grupuojamas „rizikos grupės“ elgesys, reikštų biometrinį suskirstymą į kategorijas, kuris greičiausiai prieštarautų būsimo Europos dirbtinio intelekto reglamento nuostatoms.

Šiuo atžvilgiu reikėtų atkreipti dėmesį į 2021 m. birželio 18 d. Europos duomenų apsaugos reguliuotojų nuomonę, kurioje raginama apskritai uždrausti bet kokį dirbtinio intelekto naudojimą automatiniam žmogaus charakteristikų atpažinimui viešai prieinamose erdvėse.

Šie argumentai taip pat įtraukti į 41 Europos Parlamento nario Nacionalinei Asamblėjai atsiųstą laiške, kuriame pabrėžiama, kad priėmus šį įstatymą Prancūzija taptų pirmąja Europos šalimi, įteisinusia masinį viešosios erdvės stebėjimą.

Todėl teisės aktams gali tekti atitikti Europos teisės aktus.

Šiuo atžvilgiu reikėtų pažymėti, kad Dirbtinio intelekto reglamento projektas yra įtrauktas į Europos Parlamento plenarinės sesijos, vyksiančios gegužės pabaigoje, darbotvarkę.

 

Ir taip pat

CNIL    

 CNIL paskelbė savo sąrašą prioritetinės valdymo temos 2023 m.: šiais metais ji daugiausia dėmesio skirs:

• Viešųjų asmenų naudojamas „papildytas“ kameras,
• Vartojimo kredito incidentų bylos naudojimas,
• Pacientų sveikatos įrašų valdymas ir
• Mobiliosios programėlės.

Kovo pabaigoje ji taip pat paskelbė savo pirmąjį teminį dokumentų rinkinį, susijusį su skaitmeninė tapatybė, pristatydama pagrindinius principus ir savo poziciją šiuo klausimu.

Dokumentacija skirta plačiajai visuomenei, taip pat valstybinėms ar privačioms organizacijoms ir tyrėjams.

Šiuo atžvilgiu verta priminti, kad vasario 22 d. publikacijoje CNIL apžvelgė nuo 2019 m. vykdomą eksperimentą su elektronine sveikatos draudimo kortele („e-carte Vitale“), kuri iki 2025 m. pabaigos bus pasiūlyta neprivaloma visiems socialinio draudimo gavėjams.

Be kasdienio naudojimo, „e-Carte Vitale“ bus alternatyva „FranceConnect“ skaitmeninės sveikatos sektoriuje.

2023 m. kovo 16 d. CNIL skyrė bendrovei 125 000 eurų baudą. CITYSCOOT.

CNIL nustatė, kad bendrovė beveik nuolat geolokavo savo klientus, kai šie nuomojosi motorolerį, ir saugojo šiuos duomenis.

Komisija taip pat atkreipė dėmesį, kad subrangos sutartyse nebuvo tam tikrų esminių sąlygų, įskaitant renkamų duomenų pobūdį, taikytinas saugumo priemones ir duomenų likimą nutraukus sutartis.

Bendrovė taip pat naudojo „reCAPTCHA“ mechanizmą, kuris perdavė surinktus duomenis „GOOGLE“ analizei, nesuteikdama jokios informacijos vartotojui ir negavusi išankstinio jo sutikimo.

 

Europos institucijos ir įstaigos

EDAV

Europos duomenų apsaugos valdyba (EDAV) pradėjo koordinuotą kasmetinį patikrinimą.

Per ateinančius kelis mėnesius 26 EEE nacionalinės duomenų apsaugos institucijos dalyvaus šioje veikloje, susijusioje su duomenų apsaugos pareigūnų skyrimu ir pareigomis.

Tyrimų tikslas bus nustatyti, ar deleguoti asmenys eina pareigas, kurios atitinka BDAR 37–39 straipsnių reikalavimus, ir ar turi išteklių, reikalingų jų užduotims atlikti.

Jiems bus išsiųsti klausimynai, siekiant įvertinti jų situaciją ir nustatyti, ar pagrįstai reikia pradėti oficialų tyrimą.

DSA

Pagal Skaitmeninių paslaugų reglamentą (DSA) Europos Sąjunga nustatė naujas taisykles, reikalaujančias, kad labai didelės internetinės platformos (labai didelės internetinės platformos ir labai didelės paieškos sistemos), turinčios daugiau nei 45 mln. vartotojų, iki vasario 17 d. užsiregistruotų Europos Komisijoje.

Remiantis Londono ekonomikos ir politikos mokslų mokyklos profesoriaus analize, dalyvautų 18 veikėjų: „AliExpress“, „Amazon“ prekyvietė, „Apple App Store“, „Booking.com“, „Facebook“, „Google Maps“, „Google Play“, „Google Shopping“, „Instagram“, „LinkedIn“, „Pinterest“, „Snapchat“, „TikTok“, „Twitter“, „YouTube“, „Wikipedia“, „Bing“ paieška ir „Google“ paieška.

TikTok

Socialinis tinklas „TikTok“ vasario viduryje paskelbė apie savo ketinimą laikytis DSA, kuris įsigalios 2023 m. viduryje.

„TikTok“ taip pat paskelbė apie duomenų centrų diegimą Europoje, siekiant apriboti tarpvalstybinius duomenų srautus.

Šis pranešimas pasirodė tuo metu, kai ES institucijos, taip pat Nyderlandų, Kanados ir Baltųjų rūmų vyriausybės Jungtinėse Valstijose neseniai paprašė savo darbuotojų pašalinti programėlę iš savo profesinės ir asmeninės įrangos, nurodydamos susirūpinimą dėl asmens duomenų apsaugos.

DMA

Kovo pabaigoje Europos Komisija įsteigė aukšto lygio grupę, kurios tikslas – užtikrinti nuoseklų Skaitmeninių rinkų reglamento (DSR) taikymą su kitais Europos reglamentais.

Tarp paskirtųjų yra Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) ir Europos duomenų apsaugos valdyba (EDAV).

Skaitmeninių rinkų įstatymas taikomas konkrečiai didelėms internetinėms platformoms, kurios vadinamos „vartininkais“.

ENISA 

Europos agentūra ENISA kovo 29 d. skelbia tyrimą apie kibernetinio saugumo grėsmes iki 2030 m.

Šio tyrimo tikslas – nustatyti ir surinkti informaciją apie būsimas grėsmes, kurios galėtų paveikti Sąjungos infrastruktūrą ir paslaugas, taip pat jos gebėjimą užtikrinti Europos visuomenės ir piliečių skaitmeninį saugumą.

ENISA taip pat skelbia ataskaitą apie dirbtinio intelekto kibernetinį saugumą ir standartizaciją.

Dokumento tikslas – pateikti esamų ir būsimų standartų apžvalgą, įvertinti jų taikymo sritį ir nustatyti standartizacijos spragas.

Jame atsižvelgiama į dirbtinio intelekto, ypač mašininio mokymosi, ypatumus ir taikoma plati kibernetinio saugumo vizija, apimanti konfidencialumo, vientisumo ir prieinamumo reikalavimus, taip pat platesnė dirbtinio intelekto patikimumo samprata.

Galiausiai ataskaitoje nagrinėjama, kaip standartizacija gali padėti įgyvendinti kibernetinio saugumo aspektus, integruotus į siūlomą ES dirbtinio intelekto reglamentą.

EUROPOS KOMISIJA

Kovo 6 d. Europos Komisija paskelbė, kad po dialogo su ES vartotojų teisių apsaugos institucijomis „WhatsApp“ įsipareigojo skaidriau teikti informaciją apie savo paslaugų teikimo sąlygų pakeitimus.

Bendrovė taip pat sudarys sąlygas vartotojams lengviau atmesti atnaujinimus, kai jie su jais nesutinka, ir paaiškins, kada dėl tokio atmetimo vartotojas nebegalės naudotis jos paslaugomis.

„WhatsApp“ taip pat patvirtino, kad naudotojų asmeniniai duomenys nėra bendrinami su trečiosiomis šalimis ar kitomis „Meta“ įmonėmis reklamos tikslais.

IAPP

IAPP svetainėje yra lentelė („ES duomenų iniciatyvos kontekste“), kurioje išvardyti Europos duomenų apsaugos reglamentai ir vykdomos iniciatyvos – nuo BDAR ir Skaitmeninių paslaugų akto iki Europos kibernetinio saugumo strategijos. Šis sąrašas buvo atnaujintas 2023 m. kovo mėn.

 

Nacionalinės naujienos

• JUNGTINĖ KARALYSTĖ: Ketvirtadienį, kovo 9 d., Jungtinės Karalystės vyriausybė pateikė Parlamentui „sušvelnintą“ duomenų apsaugos ir skaitmeninės informacijos įstatymo projektą. Siūloma reforma visų pirma leistų įmonėms lengviau rinkti duomenis be savo vartotojų sutikimo, pavyzdžiui, įgyvendinant savo mokslinių tyrimų ir plėtros politiką.

Taip pat bus sušvelninti įsipareigojimai dėl sutikimo dėl slapukų talpinimo, o vidinio duomenų apsaugos pareigūno samdymas nebebus privalomas.

Vis dar Jungtinėje Karalystėje:

• Nacionalinis kibernetinio saugumo centras paskelbė straipsnį, kuriame įvertinta rizika ir pateiktos rekomendacijos dėl didelių kalbų modelių (LLM), tokių kaip „ChatGPT“, naudojimo.

Jei užklausos duomenys šiandien nenaudojami modeliui maitinti, jie gali būti naudojami būsimose versijose.

Straipsnyje atkreipiamas dėmesys į padidėjusią kibernetinių nusikaltimų riziką, pavyzdžiui, įtikinamesnių sukčiavimo el. laiškų kūrimas arba naujų atakų technikų mokymasis.

Jis rekomenduoja neįtraukti neskelbtinos informacijos į prašymus, adresuotus viešiesiems teisės magistrams.

• Savo ruožtu JK duomenų apsaugos institucija pramonės prašymu atnaujino savo gaires dėl dirbtinio intelekto ir duomenų apsaugos.

Gairėse paaiškinami dirbtinio intelekto sąžiningumo reikalavimai.

• ITALIJA: Pavasario pradžioje teisės magistro studijos užima centrinę vietą. Kovo 31 d. Italijos duomenų apsaugos institucija išleido įsakymą prieš „OpenAI“, blokuodama „ChatGPT“ Italijoje dėl skaidrumo stokos, teisėtos tvarkymo priežasties nebuvimo, tvarkomų duomenų tikslumo neužtikrinimo, amžiaus nepatikrinimo ir bendro „privatumo užtikrinimo pagal dizainą“ principo pažeidimo.
• ČEKIJOS RESPUBLIKA: Čekijos duomenų apsaugos tarnyba skyrė kibernetinio saugumo ir antivirusinės sistemos bendrovei „Avast“ 13,7 mln. eurų baudą už BDAR pažeidimą.

Vartotojų duomenys, surinkti per „Google Maps“, „YouTube“, „LinkedIn“ ir apskritai atliekant paieškas internete „Google“, buvo parduodami per savo dukterinę įmonę „Jumpshot“.

Čekijos duomenų apsaugos tarnybos tyrimas susijęs su asmens duomenų tvarkymu iki 2020 m. sausio mėn., kai „Avast“ uždarė „Jumpshot“.

• NORVEGIJA: Norvegijos duomenų apsaugos tarnyba (APD) skyrė „Argon Medical Devices“ 220 000 eurų baudą už tai, kad bendrovė delsė pranešti apie duomenų saugumo pažeidimą dėl sistemingo ir plataus išorės konsultantų naudojimo.

Toks kreipimasis į trečiąsias šalis buvo laikomas nepagrįstu saugumo pažeidimų pranešimo proceso sulėtinimu.

Vėl Norvegija:

• Gavusi vieną iš 101 NVO NOYB skundų dėl duomenų perdavimo į Jungtines Valstijas, Norvegijos duomenų apsaugos institucija pranešė duomenų valdytojui apie savo ketinimą jį papeikti už „Google Analytics“ naudojimą ir vėlesnį asmens duomenų perdavimą į Jungtines Valstijas, pažeidžiant BDAR 44 straipsnį.
• Taip pat Norvegijoje Privatumo apeliacijų taryba patvirtino Duomenų apsaugos tarnybos sprendimą skirti savivaldybei 352 555 eurų baudą už BDAR 5(1)(f) straipsnio ir 24 bei 32 straipsnių pažeidimą po išpirkos reikalaujančios programinės įrangos atakos, dėl kurios buvo negrįžtamai prarasti itin jautrūs asmens duomenys ir jie buvo parduoti tamsiajame internete.
• AUSTRIJA: Austrijos duomenų apsaugos tarnyba (APD) nusprendė, kad „Facebook“ sekimo pikselio naudojimas pažeidžia BDAR ir Europos Sąjungos Teisingumo Teismo sprendimą „Schrems II“ byloje dėl transatlantinių duomenų srautų.
• BELGIJA: Belgijoje valdžios institucijai buvo leista pasinaudoti BDAR 6(1)(e) straipsniu, kad būtų galima nustatyti savo darbuotojų įmonės automobilių geografinę vietą, nes nebuvo kitų, mažiau invazinių sprendimų, o sekimas buvo būtinas siekiant efektyviai naudoti ribotus išteklius.

Tačiau šiuo atveju duomenų valdytojui buvo pareikštas papeikimas už kelis kitus reglamento pažeidimus.

• AIRIJA: Airijos bankui skirta 750 000 eurų bauda. Duomenų apsaugos institucija (DPA) nustatė, kad duomenų valdytojas tinkamai neįvertino su duomenų tvarkymu susijusios rizikos ir neįgyvendino tinkamų saugumo priemonių.
• ISPANIJA: Ispanijos duomenų apsaugos agentūra (APD) skyrė 100 000 eurų baudą bendrovei „Orange Spain“ už duomenų kiekio mažinimo principo pažeidimą, kai, norint pristatyti internetu įsigytą telefoną, pareikalavo kliento asmens tapatybės dokumento priekinės ir galinės pusių nuotraukos.
• Vis dėlto Ispanijoje duomenų valdytojas, kuris neatsako į prieigos prašymą dėl darbuotojo klaidos, vis tiek yra atsakingas už BDAR 15 straipsnio pažeidimą.

 

• JUNGTINĖS AMERIKOS VALSTIJOS: Kovo 25 d. Federalinė prekybos komisija savo tinklaraštyje paskelbė straipsnį pavadinimu „Pokalbių robotai, giliosios klastotės ir balso klonai“ arba apgaulė per dirbtinį intelektą.

FTC atkreipia dėmesį į nerimą keliančią kylančią grėsmę, su kuria turi susidoroti skaitmeninės ekosistemos įmonės.

FTC technologijų biuras taip pat paskelbė trečiųjų šalių sekimo pikselių analizę ir gaires, pagrįstas neseniai priimtais sprendimais dėl skaitmeninių sveikatos paslaugų teikėjų.

• NIST (Nacionalinis standartų ir technologijų institutas) steigia patikimo ir atsakingo dirbtinio intelekto išteklių centrą.

Tikslas – padėti dirbtinio intelekto suinteresuotosioms šalims kurti šias technologijas.

Prie jo pridedama rizikos valdymo sistema ir veiksmų planas, o juo siekiama suteikti prieigą prie įvairių atitinkamų išteklių šia tema.

• PIETŲ KORĖJA: Pietų Korėjos asmens duomenų apsaugos komisija skyrė baudas „McDonald's“, „British American Tobacco“ ir „Samsung“ už privatumo pažeidimus.

„McDonald's“ buvo skirta 484 000 eurų bauda už tai, kad serveryje saugojo atsargines failų, susijusių su jos „McDelivery“ paslaugos naudotojais, kopijas, kuriose nebuvo įjungtas bendrinimas, o tai leido įsilaužėliams pasiekti 4 876 106 klientų duomenis.

Kito incidento metu buvo pavogti 766 846 mėsainių pirkėjų duomenys, todėl bendrovei skirta pradinė 7 000 eurų bauda.

• ALŽYRAS: Įstatymas Nr. 18-07 dėl fizinių asmenų apsaugos tvarkant asmens duomenis įsigalios 2023 m. rugpjūčio mėn.