Juridiskā uzraudzība Nr. 57 — 2023. gada marts.

Viedās kameras un biometrija — kāda būs likuma ietekme uz Olimpiskajām spēlēm?

23. martā Nacionālā asambleja pieņēma Olimpisko spēļu likuma 7. pantu.

Likumprojekts, kas tika pieņemts reti apmeklētā sapulcē (piedalījās 73 no 577 deputātiem), jau ir izraisījis plašas diskusijas un noteikti izraisīs vēl daudz reakciju turpmākajos mēnešos.

Tas faktiski legalizē algoritmiskās uzraudzības izmantošanu līdz 2024. gada decembrim, kontekstā, kas tiek raksturots kā izņēmuma gadījums, bet attiecas uz pasākumiem, kas pārsniedz stingro Olimpisko spēļu ietvaru.

Novērošana var attiekties uz “sporta, atpūtas vai kultūras pasākumiem” kopumā, “kas ir pakļauti terora aktu riskiem vai nopietniem draudiem personu drošībai”.

Tāpēc to var pārbaudīt sporta pasākumos, piemēram, šī rudens Pasaules kausa izcīņā regbijā.

 

Kas ir algoritmiskā uzraudzība? Vai tā ir biometriskās uzraudzības forma, uz kuru attiecas stingrās GDPR un gaidāmās Eiropas mākslīgā intelekta regulas prasības?

Projektā plānots izmantot ar mākslīgo intelektu atbalstītas "paplašinātās kameras", ko vada droni, un tās tiks izmantotas, lai automātiski analizētu attēlus reāllaikā, izmantojot algoritmus, lai atklātu iepriekš noteiktus notikumus, piemēram, pūļa kustības, bagāžu, žestus vai aizdomīgu uzvedību.

Lai gan CNIL savos 8. decembra novērojumos uzsvēra paplašināto kameru galvenās problēmas attiecībā uz privātumu un personas datu aizsardzību, šķiet, ka tajās netika ņemta vērā biometriskās apstrādes iespēja.

Viņa norādīja, ka vairāki pasākumi atbilst viņas ieteikumiem:

• Eksperimentāla izvietošana, ierobežota laikā un telpā, noteiktiem konkrētiem mērķiem un atbilst nopietniem riskiem cilvēkiem,
• Biometrisko datu apstrādes un savstarpējo atsauču trūkums ar citiem failiem, un
• Lēmumi, kas pakļauti iepriekšējai cilvēka iejaukšanās.

Tomēr pilsoniskajai sabiedrībai izmantotā tehnoloģija nepārprotami ietilpst biometrijas kategorijā.

Patiešām, tā "pastāvīgi identificē, analizē un klasificē ķermeņus, fiziskās īpašības, žestus, siluetus un gaitas, kas neapšaubāmi ir biometriskie dati".

La Quadrature du Net un aptuveni četrdesmit starptautiskas organizācijas ir izstrādājušas šo perspektīvu atklātā vēstulē Nacionālajai Asamblejai, ko koordinēja un publicēja ECNL (Eiropas Bezpeļņas tiesību centrs).

GDPR definē biometriskos datus kā "personas datus, kas iegūti specifiskas tehniskas apstrādes rezultātā un attiecas uz fiziskas personas fiziskajām, fizioloģiskajām vai uzvedības īpašībām, kas ļauj veikt vai apstiprina personas unikālu identifikāciju" (4.14. pants).

Atklātajā vēstulē norādīts, ka kameras neizbēgami fiksēs un analizēs uzraudzītajās publiskās telpās esošo cilvēku fizioloģiskās īpašības un uzvedību, un ka šo cilvēku izolēšana no vides, kas izrādās būtiska sistēmas mērķa sasniegšanai, veido "unikālu identifikāciju".

Saskaņā ar GDPR un Eiropas Datu aizsardzības kolēģijas interpretāciju šajā jautājumā spēja izolēt personu no pūļa vai no tās vides neatkarīgi no tā, vai personas vārds vai identitāte ir zināma vai nē, ir uzskatāma par "unikālu identifikatoru".

Tādējādi cilvēku ievietošana kategorijā, kas grupē "riska" uzvedību, pamatojoties uz šiem datiem, nozīmētu biometrisku kategorizāciju, kas, visticamāk, būtu pretrunā ar gaidāmās Eiropas mākslīgā intelekta regulas noteikumiem.

Šajā sakarā jāņem vērā Eiropas datu aizsardzības regulatoru 2021. gada 18. jūnija atzinums, kurā aicināts vispārēji aizliegt jebkādu mākslīgā intelekta izmantošanu cilvēka īpašību automātiskai atpazīšanai publiski pieejamās telpās.

Šie argumenti ir iekļauti arī vēstulē, ko Nacionālajai asamblejai nosūtījuši 41 Eiropas Parlamenta deputāti, uzsverot, ka ar šo likumu Francija kļūtu par pirmo valsti Eiropā, kas legalizētu masveida publiskās telpas novērošanu.

Tāpēc tiesību aktiem, iespējams, būs jāiziet atbilstības pārbaude Eiropas tiesību aktiem.

Šajā sakarā jāatzīmē, ka mākslīgā intelekta regulas projekts ir iekļauts Eiropas Parlamenta plenārsēdes darba kārtībā maija beigās.

 

Un arī

CNIL    

 CNIL ir publicējusi savu sarakstu prioritāšu kontroles tēmas 2023. gadā: šogad viņa pievērsīsies šādiem jautājumiem:

• "Papildinātu" kameru izmantošana no sabiedrisko personu puses,
• Patērētāja kredīta incidentu datnes izmantošana,
• Pacientu veselības ierakstu pārvaldība un
• Mobilās lietotnes.

Marta beigās viņa publicēja arī savu pirmo tematisko dosjē par digitālā identitāte, iepazīstinot ar galvenajiem principiem un savu nostāju šajā jautājumā.

Dokumentācija ir paredzēta gan plašai sabiedrībai, gan valsts vai privātām organizācijām un pētniekiem.

Šajā sakarā ir vērts atgādināt, ka CNIL 22. februāra publikācijā pārskatīja kopš 2019. gada veikto eksperimentu ar elektronisko veselības apdrošināšanas karti (“e-carte Vitale”), kas līdz 2025. gada beigām tiks piedāvāta pēc izvēles visiem sociālā nodrošinājuma saņēmējiem.

Papildus ikdienas lietošanai "e-Carte Vitale" būs alternatīva FranceConnect digitālās veselības nozarē.

2023. gada 16. martā CNIL uzņēmumam uzlika 125 000 eiro sodu. CITYSCOOT.

CNIL konstatēja, ka uzņēmums gandrīz pastāvīgi noteica klientu ģeolokāciju, kad tie īrēja motorollerus, un saglabāja šos datus.

Komisija arī norādīja, ka apakšuzņēmuma līgumos nebija iekļautas dažas būtiskas klauzulas, tostarp par apkopoto datu raksturu, ieviešamajiem drošības pasākumiem un datu likteni līgumu izbeigšanas gadījumā.

Uzņēmums izmantoja arī reCAPTCHA mehānismu, kas nosūtīja apkopotos datus GOOGLE analīzei, nesniedzot lietotājam nekādu informāciju un nesaņemot viņa iepriekšēju piekrišanu.

 

Eiropas iestādes un struktūras

EDAK

Eiropas Datu aizsardzības kolēģija (EDAK) ir uzsākusi savu koordinēto ikgadējo pārbaudes darbību.

Nākamo mēnešu laikā 26 EEZ valstu datu aizsardzības iestādes piedalīsies šajā darbībā, kas attiecas uz datu aizsardzības speciālistu iecelšanu un amatu.

Izmeklēšanas mērķis būs noskaidrot, vai deleģētajām personām ir amats, kas atbilst VDAR 37.–39. panta prasībām, un vai viņiem ir nepieciešamie resursi savu uzdevumu veikšanai.

Viņiem tiks nosūtītas anketas, lai apzinātu viņu situāciju un noteiktu, vai ir pamatota oficiāla izmeklēšana.

DSA (DSA)

Saskaņā ar Digitālo pakalpojumu regulu (DSA) Eiropas Savienība ir noteikusi jaunus noteikumus, kas pieprasa ļoti lielām tiešsaistes platformām (ļoti lielām tiešsaistes platformām un ļoti lielām meklētājprogrammām) ar vairāk nekā 45 miljoniem lietotāju reģistrēties Eiropas Komisijā līdz 17. februārim.

Saskaņā ar Londonas Ekonomikas un politikas zinātņu skolas profesora analīzi, būtu iesaistīti 18 dalībnieki: AliExpress, Amazon Marketplace, Apple App Store, Booking.com, Facebook, Google Maps, Google Play, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, YouTube, Wikipedia, Bing meklēšana un Google meklēšana.

TikTok

Sociālais tīkls TikTok februāra vidū paziņoja par savu nodomu ievērot DSA, kas stāsies spēkā 2023. gada vidū.

TikTok paziņoja arī par datu centru izvietošanu Eiropā, lai ierobežotu pārrobežu datu plūsmas.

Šis paziņojums tiek sniegts laikā, kad ES iestādes, kā arī Nīderlandes, Kanādas un Baltā nama valdības Amerikas Savienotajās Valstīs nesen ir lūgušas saviem darbiniekiem atinstalēt lietojumprogrammu no viņu profesionālajām un personīgajām iekārtām, atsaucoties uz bažām par personas datu aizsardzību.

DMA

Marta beigās Eiropas Komisija izveidoja augsta līmeņa grupu, lai nodrošinātu Digitālo tirgu regulas (DMA) konsekventu piemērošanu ar citiem Eiropas noteikumiem.

Starp ieceltajiem ir Eiropas Datu aizsardzības uzraudzītājs (EDAU) un Eiropas Datu aizsardzības kolēģija (EDAK).

Digitālā tirgus likums attiecas īpaši uz lielām tiešsaistes platformām, kas apzīmētas kā “vārtu sargiem”.

ENISA 

Eiropas aģentūra ENISA 29. martā publicē pētījumu par kiberdrošības apdraudējumiem līdz 2030. gadam.

Šī pētījuma mērķis ir identificēt un apkopot informāciju par nākotnes draudiem, kas varētu ietekmēt Savienības infrastruktūru un pakalpojumus, kā arī tās spēju nodrošināt Eiropas sabiedrības un iedzīvotāju digitālo drošību.

ENISA publicē arī ziņojumu par mākslīgā intelekta kiberdrošību un standartizāciju.

Dokumenta mērķis ir sniegt pārskatu par esošajiem un turpmākajiem standartiem, novērtēt to darbības jomu un identificēt standartizācijas nepilnības.

Tajā ņemta vērā mākslīgā intelekta (AI) un jo īpaši mašīnmācīšanās specifika, un pieņemts plašs kiberdrošības redzējums, kas ietver konfidencialitātes, integritātes un pieejamības prasības, kā arī plašāku mākslīgā intelekta uzticamības koncepciju.

Visbeidzot, ziņojumā ir aplūkots, kā standartizācija var atbalstīt kiberdrošības aspektu īstenošanu, kas integrēti ierosinātajā ES regulā par mākslīgo intelektu.

EIROPAS KOMISIJA

6. martā Eiropas Komisija paziņoja, ka pēc dialoga ar ES patērētāju tiesību aizsardzības iestādēm WhatsApp ir apņēmies būt pārredzamāks attiecībā uz izmaiņām pakalpojumu sniegšanas noteikumos.

Uzņēmums arī atvieglos lietotājiem atjauninājumu noraidīšanu, ja viņi ar tiem nepiekrīt, un paskaidros, kad šāda noraidījuma dēļ lietotājs vairs nevarēs izmantot tā pakalpojumus.

WhatsApp ir arī apstiprinājis, ka lietotāju personas dati netiek kopīgoti ar trešajām pusēm vai citiem Meta uzņēmumiem reklāmas nolūkos.

IAPP

IAPP tīmekļa vietnē ir tabula ("ES datu iniciatīvas kontekstā"), kurā uzskaitīti Eiropas datu aizsardzības noteikumi un notiekošās iniciatīvas, sākot no GDPR un DSA līdz pat Eiropas kiberdrošības stratēģijai. Šis saraksts tika atjaunināts 2023. gada martā.

 

Nacionālās ziņas

• APVIENOTĀ KARALISTE: Ceturtdien, 9. martā, Lielbritānijas valdība iesniedza parlamentam "mīkstinātu" likumprojektu par datu aizsardzību un digitālo informāciju. Ierosinātā reforma ļautu uzņēmumiem vieglāk vākt datus bez lietotāju piekrišanas, piemēram, kā daļu no savas pētniecības un attīstības politikas.

Tiks atviegloti arī pienākumi attiecībā uz piekrišanu sīkfailu izvietošanai, un iekšējā datu aizsardzības speciālista pieņemšana darbā vairs nebūs obligāta.

Joprojām Apvienotajā Karalistē:

• Nacionālais kiberdrošības centrs ir publicējis rakstu, kurā novērtēti riski un sniegti ieteikumi LLM (lielo valodu modeļu), piemēram, ChatGPT, izmantošanai.

Ja vaicājuma dati šodien netiek izmantoti modeļa apgādei, tie varētu tikt izmantoti nākamajās versijās.

Rakstā norādīts uz paaugstinātiem riskiem kibernoziegumu ziņā, piemēram, pārliecinošāku pikšķerēšanas e-pastu ģenerēšanu vai jaunu uzbrukuma metožu apguvi.

Viņš iesaka neiekļaut sensitīvu informāciju pieprasījumos, kas adresēti valsts LLM.

• Savukārt Apvienotās Karalistes datu aizsardzības iestāde pēc nozares pieprasījuma ir atjauninājusi savas vadlīnijas par mākslīgo intelektu un datu aizsardzību.

Vadlīnijas precizē taisnīguma prasības mākslīgajā intelektā.

• ITĀLIJA: Pavasara sākumā uzmanības centrā ieņem LLM. 31. martā Itālijas datu aizsardzības iestāde izdeva rīkojumu pret OpenAI, bloķējot ChatGPT Itālijā pārredzamības trūkuma, likumīga apstrādes iemesla trūkuma, apstrādāto datu precizitātes nenodrošināšanas, vecuma pārbaudes trūkuma un vispārēja "integrētās privātuma" principa pārkāpuma dēļ.
• ČEHIJAS REPUBLIKA: Čehijas Datu aizsardzības iestāde kiberdrošības un antivīrusu uzņēmumam Avast ir piespriedusi 13,7 miljonu eiro sodu par GDPR pārkāpumu.

Lietotāju dati, kas tika apkopoti, izmantojot Google Maps, YouTube, LinkedIn un plašākā nozīmē tīmekļa meklēšanu pakalpojumā Google, tika pārdoti, izmantojot tā meitasuzņēmumu Jumpshot.

Čehijas Datu aizsardzības iestādes izmeklēšana attiecas uz personas datu vēsturisko apstrādi pirms 2020. gada janvāra, kad Avast slēdza Jumpshot.

• NORVĒĢIJA: Norvēģijas Datu aizsardzības iestāde (APD) ir piespriedusi uzņēmumam “Argon Medical Devices” 220 000 eiro sodu par datu pārkāpuma paziņošanas kavēšanos, jo tas sistemātiski un plaši izmantoja ārējos konsultantus.

Tika uzskatīts, ka šāda trešo personu piesaiste nepamatoti palēnina drošības pārkāpumu paziņošanas procesu.

Norvēģija atkal:

• Pēc vienas no 101 NVO NOYB sūdzībām par datu pārsūtīšanu uz Amerikas Savienotajām Valstīm Norvēģijas Datu aizsardzības iestāde paziņoja pārzinim par savu nodomu izteikt viņam rājienu par Google Analytics izmantošanu un sekojošo personas datu pārsūtīšanu uz Amerikas Savienotajām Valstīm, pārkāpjot GDPR 44. pantu.
• Arī Norvēģijā Privātuma apelācijas padome atstāja spēkā Datu aizsardzības iestādes lēmumu sodīt pašvaldību ar 352 555 eiro sodu par VDAR 5. panta (1) punkta (f) apakšpunkta un 24. un 32. panta pārkāpumu pēc izspiedējvīrusa uzbrukuma, kura rezultātā tika neatgriezeniski zaudēti ļoti sensitīvi personas dati un tie tika pārdoti tumšajā tīmeklī.
• AUSTRIJA: Austrijas Datu aizsardzības iestāde (APD) ir nolēmusi, ka Facebook izsekošanas pikseļa izmantošana pārkāpj GDPR un EST nolēmumu "Schrems II" lietā par transatlantiskajām datu plūsmām.
• BEĻĢIJA: Beļģijā publiskai iestādei tika atļauts izmantot VDAR 6. panta 1. punkta e) apakšpunktu, lai noteiktu savu darbinieku darba automašīnu atrašanās vietu, jo nebija citu, mazāk invazīvu risinājumu un izsekošana bija nepieciešama, lai efektīvi izmantotu ierobežotos resursus.

Tomēr šajā gadījumā datu pārzinim tika izteikts rājiens par vairākiem citiem regulas pārkāpumiem.

• ĪRIJA: Īrijas Bankai tika piemērots 750 000 eiro sods. Datu aizsardzības iestāde (DPA) konstatēja, ka datu pārzinis nebija pienācīgi novērtējis ar apstrādi saistītos riskus, kā arī nebija ieviesis atbilstošus drošības pasākumus.
• SPĀNIJA: Spānijas Datu aizsardzības aģentūra (APD) ir sodījusi uzņēmumu Orange Spain ar 100 000 eiro par datu minimizēšanas principa pārkāpumu, pieprasot klienta personu apliecinoša dokumenta priekšpuses un aizmugures fotoattēlu, lai piegādātu tiešsaistē iegādātu tālruni.
• Spānijā datu pārzinis, kurš neatbild uz piekļuves pieprasījumu darbinieka kļūdas dēļ, tomēr ir atbildīgs par GDPR 15. panta pārkāpumu.

 

• ASV: 25. martā Federālā tirdzniecības komisija savā emuārā publicēja rakstu ar nosaukumu "Tērzēšanas roboti, dziļviltojumi un balss kloni" jeb maldināšana, izmantojot mākslīgo intelektu.

FTC norāda uz satraucošu jaunu apdraudējumu, ar kuru digitālās ekosistēmas uzņēmumiem ir jātiek galā.

FTC tehnoloģiju birojs arī publicēja analīzi un norādījumus par trešo pušu izsekošanas pikseļiem, pamatojoties uz nesen pieņemtajiem lēmumiem attiecībā uz digitālās veselības aprūpes pakalpojumu sniedzējiem.

• NIST (Nacionālais standartu un tehnoloģiju institūts) atklāj uzticama un atbildīga mākslīgā intelekta resursu centru.

Mērķis ir atbalstīt mākslīgā intelekta ieinteresētās personas šo tehnoloģiju izstrādē.

To papildina riska pārvaldības sistēma un rokasgrāmata, un tā mērķis ir nodrošināt piekļuvi plašam atbilstošu resursu klāstam par šo tēmu.

• DIENVIDKOREJA: Dienvidkorejas Personas informācijas aizsardzības komisija ir sodījusi McDonald's, British American Tobacco un Samsung par privātuma pārkāpumiem.

McDonald's tika sodīts ar 484 000 eiro lielu naudas sodu par McDelivery pakalpojuma lietotāju dublējuma failu glabāšanu serverī, kurā bija atstāta iespējota koplietošana, kas ļāva hakeriem piekļūt 4 876 106 klientu datiem.

Citā incidentā tika nozagti 766 846 hamburgeru pircēju dati, kā rezultātā uzņēmumam sākotnēji tika piemērots sods 7000 eiro apmērā.

• ALŽĪRIJA: Likums Nr. 18-07 par fizisko personu aizsardzību attiecībā uz personas datu apstrādi stāsies spēkā 2023. gada augustā.