„Metaverse“ mados savaitė Decentralande, viename populiariausių virtualių pasaulių.

Teisinis stebėjimas Nr. 48 – 2022 m. birželis

Puikus naujas pasaulis2022 m. kovo mėn. Decentralande, viename populiariausių virtualių pasaulių, vyko „Metaverse“ mados savaitės renginys.

Neseniai „Fortnite“ žaidimų platformoje transliuotas internetinis koncertas pritraukė 12 milijonų žiūrovų.

Šiandien vystosi virtualus pasaulis, kurio žmogiškieji, ekonominiai ir socialiniai padariniai dar nėra iki galo suprasti.

Neseniai paskelbtoje Europos Parlamento ataskaitoje šia tema teigiama, kad iki 2026 m. 25 % žmonių metavisatoje praleis bent valandą per dieną darbui, apsipirkimui, mokymuisi, socialinei veiklai ir (arba) pramogoms.

Daugelis komercinių įmonių pradėjo kurti savo platformas ten, net kai jų veikla tik labai nutolusi nuo skaitmeninių technologijų.

Metavisatą galima apibūdinti kaip įtraukiantį, nuolatinį 3D virtualų pasaulį, kuriame žmonės bendrauja per avatarą, norėdami mėgautis pramogomis, pirkti ir atlikti operacijas arba dirbti neišeidami iš namų.

Ekonominė metavisatos ekosistema naudoja blokų grandinės ir kriptovaliutų technologijas, tokias kaip nepakeičiami žetonai (NFT), kad monetizuotų sandorius skaitmeninėje aplinkoje.

Ši interneto evoliucija kelia daug klausimų, ypač dėl teisės taikymo.

Kaip praktiškai galime reguliuoti internetinius susijungimus ir įsigijimus, priekabiavimą, daugiau ar mažiau teisėtus kriptovaliutomis vykdomus sandorius, masinį duomenų apie asmenų elgesį rinkimą per jų avatarus ar net teisėsaugos vykdomą asmenų stebėjimą internete?

Kaip pabrėžta neseniai, gegužės 20 d., laikraštyje „Le Monde“ paskelbtame straipsnyje ir kaip atkreipia dėmesį Europos Parlamentas, BDAR kelia didelį pavojų, atsižvelgiant į precedento neturinčią surinktų duomenų kokybę ir kiekį.

Tai gali būti veido išraiškos, gestai ar kitokios fizinės ar emocinės reakcijos, kurias avataras gali sukelti sąveikos metu realiuoju laiku ir to nesuvokdamas.

Taigi gali būti renkami jautrūs duomenys, pavyzdžiui, biometriniai duomenys.

Ši informacija, pavyzdžiui, leis įmonėms geriau suprasti vartotojų elgseną ir pritaikyti reklamos kampanijas itin tikslingai.

Ar esamos taisyklės pritaikytos šiai naujai visatai?

Kaip gauti asmenų sutikimą dėl tokio duomenų rinkimo ir kas yra atsakingas už rinkimą aplinkoje, kurioje vaidmenys yra keli ir kur dar sunkiau nustatyti duomenų valdytoją?

Kaip valdyti sąveiką su dirbtiniu intelektu, būdingu Metavisatos veikimui, ir iš to kylančius automatizuotus sprendimus?

Remiantis ne tik BDAR, bet ir siūlomais Europos reglamentais dėl dirbtinio intelekto ir duomenų valdymo, nagrinėjamos kelios galimybės.

Paminėkime duomenų tarpininkų vaidmenį, kurie galėtų centralizuoti vartotojų įgaliojimus naudoti jų duomenis.

Siūlomu duomenų valdymo reglamentu numatyta asmens duomenų erdvių, arba duomenų portfelių, apsauga, reglamentuojant duomenų dalijimąsi ir kontroliuojant asmenų sutikimą.

Tačiau tais atvejais, kai tarpininkai naudoja dirbtinį intelektą duomenų valdyme, būtinos apsaugos priemonės, siekiant užkirsti kelią neteisėtam pasisavinimui ir piktnaudžiavimui.

Reikėtų priminti, kad dėl šių dviejų siūlomų reglamentų pastabas pateikė Europos priežiūros pareigūnas ir Europos duomenų apsaugos valdyba, kurios primygtinai reikalauja laikytis tikslo principo naudojant duomenis ir ragina imtis priemonių, kurios numatytų daugiau kontrolės ir garantijų duomenų subjektui, pavyzdžiui, elgesio kodeksus ar sertifikavimo mechanizmus.

Valdžios institucijos taip pat turi abejonių dėl socialinio vertinimo socialinių tinklų kontekste apskritai ir dar labiau Metavisatoje.

Ypatingas dėmesys taip pat turėtų būti skiriamas pažeidžiamų grupių, ypač vaikų, apsaugai, siekiant patikrinti jų amžių ir atgrasyti juos nuo savo asmens duomenų pateikimo.

Kai kurie taip pat pasisako už atvirą ir decentralizuotą metavisatą, kurią valdytų patys vartotojai decentralizuotų autonominių organizacijų (DAO) pavidalu.

Šio tipo modelyje, kuris skiriasi nuo centralizuoto verslo modelio, vartotojai turėtų daugiau kontrolės savo duomenų ir jų bendrinimo atžvilgiu.

Ir vėlgi, be reguliavimo gairių, didesnio teisinio tikrumo prisidėtų elgesio kodeksai ir sertifikavimo mechanizmai.

Keletas atsakymų į daugybę klausimų...

Bet kuriuo atveju, teisės taikymas nebus pasiektas be didesnės atitinkamų subjektų atskaitomybės.

Ir taip pat

Prancūzija:

Birželio 7 d. CNIL paskelbė klausimus ir atsakymus apie „Google Analytics“ naudojimą.

Komisija nurodė kelioms organizacijoms laikytis BDAR, nes nė viena iš jai pateiktų papildomų apsaugos priemonių nebuvo pakankama, kad JAV žvalgybos tarnybos negalėtų pasiekti Europos vartotojų asmens duomenų.

Pasak jos, sprendimas, leidžiantis naudoti tarpinį serverį, siekiant išvengti bet kokio tiesioginio kontakto tarp interneto vartotojo terminalo ir matavimo įrankio serverių, galėtų būti įmanomas, jei šis serveris atitiktų kriterijus, atsižvelgiant į Europos duomenų apsaugos valdybos (EDAV) rekomendacijas, paskelbtas 2021 m. birželio 18 d.

Valstybės Taryba patvirtino, kad CNIL yra kompetentinga taikyti sankcijas ne pagal Europos vieno langelio mechanizmą.

Nagrinėjama byla susijusi su bendrove „Amazon online France“, kuri turi padalinį Prancūzijos teritorijoje ir tvarko Prancūzijoje gyvenančių asmenų duomenis.

Taigi, 2020 m. skirta 35 mln. eurų bauda už slapukų naudojimą be vartotojo sutikimo buvo patvirtinta.

Birželio 30 dieną CNIL bendrovei „Total Energies Electricité et Gaz de France“ skyrė 1 milijono eurų baudą. ypač dėl to, kad nesilaikė įsipareigojimų, susijusių su komercine žvalgyba ir asmenų teisėmis.

Birželio 13 d. CNIL pradėjo mobiliųjų programėlių surinktų geolokacijos duomenų tyrimą.

Kaip paskelbta 2022–2024 m. strateginiame plane, CNIL nori didinti visuomenės ir specialistų informuotumą apie problemas, susijusias su geolokacijos duomenų rinkimu mobiliųjų programėlių pagalba.

Taip pat kyla klausimas, kaip patikrinti, ar komercinės paieškos sektoriaus specialistai laikosi BDAR reikalavimų.

Europa:

Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) reiškia susirūpinimą dėl Europolo reglamento pakeitimų, kurie įsigaliojo 2022 m. birželio 28 d.

EDAPP pabrėžia, kad jie silpnina pagrindinę teisę į duomenų apsaugą, neužtikrina tinkamos agentūros priežiūros ir gerokai išplečia Europolo įgaliojimus, susijusius su keitimusi asmens duomenimis su privačiais subjektais, dirbtinio intelekto naudojimu ir didelių duomenų rinkinių tvarkymu.

Birželio 14 d. Europos duomenų apsaugos valdyba (EDAV) paskelbė savo atsakymą į Europos Komisijos konsultacijos dėl skaitmeninio euro sukūrimo.

Birželio 16 d.EDAV priėmė gaires dėl sertifikavimas kaip asmens duomenų perdavimo priemonė į trečiąsias šalis, kurios neužtikrina tinkamo apsaugos lygio.

Konferenciją, kurią birželio mėnesį organizavoEDAPP, kurį internetu ir asmeniškai stebėjo daugiau nei 2000 žmonių, užbaigė kritinėmis pastabomis dėl Europos bendradarbiavimas atliekant tyrimus.

EDAPP nuomone, bet kuriame gerame modelyje turėtų būti numatyti stiprūs kolegialumo mechanizmai, o strateginiai tyrimai galėtų būti atliekami centriniu lygmeniu, taip būtų išspręstos „problemos, kylančios dėl nesuderinamų nacionalinės teisės aktų ar skirtingų bandymų suderinti“.

THE Europos Taryba skelbia tyrimą apie „Pegasus“ šnipinėjimo programa ir jos poveikį pagrindinėms teisėms. Reikėtų nepamiršti, kad šią šnipinėjimo programą taip pat tiria Europos Parlamentas.

THE Vartotojų apsaugos bendradarbiavimo tinklas (CPC), bendradarbiaudama su duomenų apsaugos institucijomis, patvirtino 5 pagrindinius principus, skirtus sąžininga reklama vaikamss.

THE Šveicarijos federalinis duomenų apsaugos ir informacijos komisaras (FDPIC) patarė „Suva“ (Šveicarijos nacionaliniam nelaimingų atsitikimų draudimo fondui, kuris teikia sveikatos draudimą savo darbuotojams) persvarstyti savo sprendimą perduoti savo asmens duomenų tvarkymą Jungtinėms Amerikos Valstijomss – tiksliau „Microsoft“ debesijos paslaugoje, nors duomenys talpinami MS serveryje Šveicarijoje.

Pervedimai už Europos ribų taip pat yra vienas iš neseniai priimto sprendimo Belgijos Valstybės Taryba, kuri sustabdė sprendimą pasirinkti amerikiečių rangovą viešojo pirkimo procedūros kontekste, motyvuojant tuo, kad ši institucija nepakankamai išnagrinėjo, ar rangovas atitiko BDAR reikalavimus, ypač nuostatas, susijusias su duomenų perdavimu.

Sprendimas taip pat kelia abejonių dėl tolesnio duomenų tvarkymo, kurį atlieka kita Rusijoje įsikūrusi bendrovė „Smart Analytics“ (per „GDPRhub“).

Dešimt vartotojų asociacijų, koordinuojamos Europos vartotojų organizacija (BEUC)Birželio 30 d. „Google“ paskelbė, kad imasi veiksmų siekdama užtikrinti, jog „Google“ laikytųsi įstatymų: technologijų milžinė nukreips vartotojus į savo sekimo sistemą, kai jie registruos „Google“ paskyrą, užuot teikusi jų duomenų apsaugą pagal numatytuosius nustatymus ir pagal dizainą, kaip reikalaujama pagal BDAR.

Birželio 17 d. po „Brexit“ vykdyta JK duomenų apsaugos teisės aktų reforma pasiekė naują etapą, vyriausybei paskelbus galutinį atsakymą į viešas konsultacijas.

Dokumente numatytos kelios reformos, pavyzdžiui, panaikinamas reikalavimas paskirti duomenų apsaugos pareigūną, sutikimo reikalavimas pakeičiamas teise nesutikti su interneto vartotojų stebėjimu ir keičiama Informacijos komisaro biuro veikla.

Suomijos oficiali vystymosi parama įsakė ligoninei ištrinti darbuotojų istorijas, buvimo vietos žurnalus ir kitus asmens duomenis, sugeneruotus numatytosios buvimo vietos įrašymo funkcijos sistemoje „Windows 10“.

Šis nustatymas pažeidė BDAR 25(2) straipsnio „numatytoji duomenų apsauga“ principą (per GDPRhub). 

Italijos duomenų apsaugos institucija skyrė 70 000 eurų baudą ligoninei už tai, kad ji įterpė dviejų medicininių naujienlaiškių gavėjų kopijas. vietoj CCI, atskleisdami savo asmens duomenis (įskaitant sveikatos duomenis) visiems gavėjams be teisinio pagrindo (per GDPRhub).

Tuo pačiu klausimu, Rumunijos oficiali parama vystymuisi (OPV) taip pat skyrė 1 000 eurų baudą subrangovui, atsakingam už rinkodaros kampanijos įgyvendinimą, už tai, kad šis išsiuntė rinkodaros el. laišką 27 žmonėms neslėpdamas jų el. pašto adresų.

Prisiminkime tai Belgija balandžio 29 d. panašioje byloje nusprendė, kad tokio el. laiško siuntimas nelaikomas saugumo pažeidimu, kai jame dalyvavo mažiau nei 16 žmonių.

Tarptautinis:

Rusija: Maskvos teismas skyrė „Google“ 15 milijonų rublių baudą už pakartotinį duomenų lokalizavimo taisyklės nesilaikymą.

„Google“ jau buvo skirta administracinė nuobauda 2021 m. už to paties Rusijos asmens duomenų įstatymo principo, įpareigojančio įmones saugoti Rusijos piliečių asmens duomenis Rusijos Federacijos teritorijoje, pažeidimą..

JUNGTINĖS AMERIKOS VALSTIJOS: Aukščiausiojo Teismo sprendimo Roe prieš Wade byloje pasekmės apima ir duomenų privatumo klausimus. 

Klausimas susijęs su technologijų gigantų požiūriu į valdžios institucijų prieigą prie vaisingumo duomenų.

Šie duomenys gali būti atskleisti iš tokių šaltinių kaip naršymo istorija, paieškos, el. pašto ir teksto žurnalai, vaisingumo programėlių naudojimas ir kiti komerciniai produktai, su kuriais daugelis vartotojų sąveikauja kasdien.

Kaip praneša „The Register“, tokio tipo informaciją teisėsauga jau panaudojo kaip įrodymus su abortais susijusiose bylose.

Kinija: „The New York Times“ paskelbė tyrimą, kuriame remiamasi šimtais dokumentų, kuriuose išsamiai aprašoma Kinijos įsigyta programinė įranga, skirta peržiūrėti didžiules jos stebėjimo duomenų bazes ir numatyti, kas taps įtariamuoju ar potencialiu problemų sukėlėju.

Kanadoje Nuo birželio 16 d. Skaitmeninių teisių chartija saugo vartotojų teises ir asmens duomenis bei reguliuoja dirbtinį intelektą..

Anne Christine Lacoste

„Olivier Weber Avocat“ partnerė Anne Christine Lacoste yra teisininkė, kurios specializacija – duomenų teisė; ji buvo Europos duomenų apsaugos priežiūros pareigūno tarptautinių santykių vadovė ir dirbo įgyvendinant BDAR Europos Sąjungoje.