Išmaniosios kameros ir privatumas: tinkama pusiausvyra?

Teisinis stebėjimas Nr. 33 – 2021 m. kovas

Išmaniosios kameros ir privatumas: tinkama pusiausvyra?Nuo kovo mėn. viešajame transporte įrengtos kameros skirtos patikrinti, ar naudotojai laikosi kaukių dėvėjimo reikalavimų. Šios priemonės yra dalis priemonių, skirtų sustabdyti COVID-19 epidemijos plitimą.

Pastaraisiais mėnesiais priimtos daugybės stebėjimo priemonių (kovos su COVID-19 programos, darbuotojų testavimas, dronai, vakcinų pasai ir kt.) sukėlė diskusijas ir reakcijas tiek CNIL, tiek parlamentinėse institucijose ar teismuose.

Kita vertus, čia paminėta kontrolės sistema be kliūčių praėjo po Duomenų apsaugos komisijos jungu, ir priežastys paprastos: Kitaip nei 2020 m. sukurtos vaizdo stebėjimo sistemos, kurios rinko daug asmens duomenų ir kurių veikimą nutraukė, šios sistemos apdoroja tik būtiniausius duomenis, reikalingus patikrinti, ar kaukės dėvimos.

Tiksliau sakant, sistema neapdoroja biometrinių duomenų ir neįdiegia veido atpažinimo, o duomenys nenaudojami nusikaltimams patraukti baudžiamojon atsakomybėn.

Pagrindinis tikslas – rengti statistinę informaciją ir didinti visuomenės informuotumą.

Šios garantijos yra dar svarbesnės, nes bet koks vaizdo stebėjimo įrenginys pažeidžia pagrindines teises, o atitinkami asmenys retai gali prieštarauti duomenų tvarkymui.

Šiuo atžvilgiu CNIL anksčiau yra laikęsi nuomonės, kad galvos purtymas „ne“ prieš kamerą negali būti laikomas realia ir pakankama opozicijos priemone.

Dėl šių pažeidimų išmaniųjų kamerų sistemos turi būti reglamentuotos įstatymu, kaip buvo kovo 10 d. paskelbto dekreto dėl kaukių dėvėjimo viešajame transporte atveju.

CNIL nuomone, dekrete numatytos garantijos, taip pat visuomenės sveikatos ir asmenų apsaugos tikslai yra pakankami, kad būtų pateisintas teisės į privatumą apribojimas ir ypač panaikinta teisė nesutikti.

Tačiau Komisija pabrėžia, kad priklausomybės pavojus asmenų, atsižvelgiant į dabartinių stebėjimo priemonių sustiprinimą.

Todėl ji primygtinai reikalauja, kadišsami informacija žmonių ir per ribotą laiką, tiesiogiai susijusį su epidemijos kontekstu, prietaiso naudojimo laikotarpį.

Ir taip pat

Prancūzija:

• Asmens duomenų sunaikinimas Kovo 10 d. kilusio gaisro, sunaikinusio OVH duomenų centrą, proga CNIL primena, kokių veiksmų duomenų valdytojas turi imtis su atitinkamais asmenimis.

Jame nurodoma, kad duomenų neprieinamumas ir sunaikinimas yra duomenų saugumo pažeidimai, kaip apibrėžta BDAR, apie kuriuos tam tikromis sąlygomis turi būti pranešta.

CNIL taip pat remiasi svetaine cybermalveillance.gouv.fr, kurioje pateikiami patarimai, kaip valdyti tokius incidentus.

• CNIL taip pat paskelbė savo 2021 m. kontrolės prioritetaiTai apima svetainių kibernetinio saugumo, sveikatos duomenų saugumo ir slapukų naudojimo klausimus – visas šias temas labai aktualias.

Prisiminkime, kad CNIL atnaujino savo slapukų gaires ir balandžio mėnesį pradės išsamų jų rinkimo sąlygų auditą.

• Duomenų perdavimas už Europos Sąjungos ribų: Kovo 12 d. Valstybės taryba nusprendė nesustabdyti Sveikatos apsaugos ministerijos partnerystės ir Doktolibas dabartinės vakcinacijos kampanijos metu, nepaisant Amerikos valdžios institucijų nurodytos prieigos prie duomenų rizikos, „Doctolib“ iš dalies naudojasi Amerikos „Amazon“ dukterinės įmonės duomenų talpinimo paslaugomis.

Valstybės Taryba yra įsitikinusi, kad, visų pirma, Amerikos valdžios institucijos prašymų dėl prieigos atveju yra nustatyta speciali procedūra, pagal kurią galima užginčyti bet kokį bendro pobūdžio prašymą arba prašymą, kuris neatitinka Europos reglamentų.

Talpinami duomenys yra papildomai apsaugoti naudojant šifravimo procedūrą, pagrįstą patikimos trečiosios šalies, esančios Prancūzijoje, paslaugomis, siekiant užkirsti kelią trečiųjų šalių skaitymui.

• Profesionalūs duomenys Kovo 9 d. Paryžiaus teismas atsisakė patenkinti odontologo prašymą pašalinti jo profilį ir atsiliepimus iš „Google My Business“.

Teismas patvirtina šių duomenų asmeninį pobūdį, tačiau mano, kad teisių pusiausvyra teikiant informaciją, susijusią su odontologo profesijos praktika ir atitinkamų pacientų patirtimi, gina „Google“ ir interneto vartotojų saviraiškos ir informacijos laisvę.

• Panašiu atveju Kasacinis teismas vasario 17 d. sprendime pabrėžė būtinybę suderinti atitinkamas teises ir interesus, susijusius su... baudžiamojo nuosprendžio paskelbimas internete susijęs su skundo pateikėjo profesine veikla.

Tai, kad ši informacija yra vieša ir profesinio pobūdžio, nereiškia, kad ją galima skelbti internete iš anksto nepatikrinus, ar nebuvo pažeistas skundo pateikėjo privatumas.

Vertinant atitinkamas teises ir interesus, reikia atsižvelgti į galimą „inkriminuojamo leidinio indėlį į bendro intereso diskusiją, atitinkamo asmens žinomumą, pranešimo objektą, ankstesnį atitinkamo asmens elgesį, minėto leidinio turinį, formą ir pasekmes“.

Šiuo atveju Teismas mano, kad šis balansavimas nebuvo atliktas ir perduoda šalis Apeliaciniam teismui.

Europa:

• BDAR po dvejų metų: 

Kovo 25 d. Europos Parlamentas priėmė rezoliuciją dėl Europos Komisijos BDAR įgyvendinimo vertinimo ataskaitos.

Ji pritaria poreikiui veiksmingiau siekti šio įgyvendinimo, ypač atsižvelgiant į Europos priežiūros institucijų koordinuotus veiksmus.

Šiuo atžvilgiu atkreipiame dėmesį į neseniai įvykusius ginčus tarp Vokietijos institucijos ir Airijos duomenų apsaugos institucijos, pastaroji kaltinama nepakankamai kontroliuojant jos teritorijoje įsisteigusias „didžiąsias technologijų bendroves“.

Europos Parlamentas prioritetais įvardija klausimus, susijusius su pagrindinių platformų ir skaitmeninių paslaugų atliekamu duomenų tvarkymu, ypač internetinės reklamos, mikrotargetavimo, algoritmais pagrįsto profiliavimo ir su informacijos skleidimu bei stiprinimu tinkluose susijusios rizikos srityse.

Taip pat atrodo labai svarbu parengti priemones platesnei auditorijai, ypač labai mažoms įmonėms ir MVĮ, kaip pabrėžė Europos duomenų apsaugos valdyba (EDAV) savo 2021–2022 m. darbo programoje. Reikėtų pažymėti, kad Belgija neseniai paskelbė praktinių priemonių rinkinį mažoms ir vidutinėms įmonėms šiuo tikslu.

• Europa: EDAV priėmė du dokumentus:

Kalbant, viena vertus, apie duomenų apsaugos klausimus, susijusius su prijungti automobiliai, ir, kita vertus, balso asistentai.

• Belgija:  

Briuselio laisvasis universitetas, kaip naujo leidinio dalį, balandžio 22 d. organizuoja internetinį renginį tema „ algoritmų visuomenė „Technologijos, galia ir žinios“. Registracija vyksta universiteto svetainėje.

Tarptautinis:

• JUNGTINĖS AMERIKOS VALSTIJOS:

Be įstatymų projektų, šiuo metu priimamų keliose valstijose, Amerikos parlamentui federaliniu lygmeniu ką tik buvo pateiktas tekstas, pavadintas „Informacijos skaidrumo ir asmens duomenų kontrolės įstatymas (ITPDCA)“.

Šiame įstatyme visų pirma numatytos sąlygos, kuriomis vartotojai turi turėti galimybę sutikti su jų duomenų tvarkymu arba nesutikti su juo, duomenų perdavimo trečiosioms šalims skaidrumas ir įpareigojimas reguliariai audituoti jų tvarkymą.

Už įstatymų laikymosi priežiūrą būtų atsakinga Federalinė prekybos komisija.

• Korėja:

Baigiama duomenų apsaugos tinkamumo procedūra, kuri palengvins duomenų mainus tarp Korėjos ir Europos Sąjungos. Komisijos išvados netrukus bus pateiktos Europos duomenų apsaugos valdybai, kad ši pateiktų nuomonę.

• JT:

JT specialusis pranešėjas privatumo klausimais Josephas Cannataci, kurio mandatas artėja prie pabaigos, ką tik paskelbė ataskaitą apie dirbtinį intelektą ir vaikų privatumą.

• GAFA:

„Google“ praneša, kad nebenaudoja slapukų naujam duomenų rinkimo modeliui – „Federated Learning of Cohorts“ (FLoC), kuris orientuotas į grupes, o ne į asmenis, remiantis bendrais interesais.

Šis pranešimas sukėlė įvairių reakcijų, kai kurie atkreipė dėmesį, kad naujoji rinkimo sistema, nors ir pakeis naudojamus metodus, neužkirs kelio interneto vartotojams skirtai reklamai.

Duomenys apie daugiau nei 500 milijonų paskyrų Facebook, įskaitant daugelio vartotojų telefono numerius, buvo parduodami internete Velykų savaitgalį. Manoma, kad duomenys gauti dėl saugumo spragos, aptiktos ir pataisytos 2019 m. 

Anne Christine Lacoste

„Olivier Weber Avocat“ partnerė Anne Christine Lacoste yra teisininkė, kurios specializacija – duomenų teisė; ji buvo Europos duomenų apsaugos priežiūros pareigūno tarptautinių santykių vadovė ir dirbo įgyvendinant BDAR Europos Sąjungoje.