Viedās kameras un privātums: pareizais līdzsvars?

Juridiskā uzraudzība Nr. 33 — 2021. gada marts

Viedās kameras un privātums: pareizais līdzsvars?Kopš marta sabiedriskajā transportā uzstādītas kameras ir paredzēti, lai pārbaudītu, vai lietotāji ievēro masku valkāšanas noteikumus. Šie pasākumi ir daļa no līdzekļiem, kas tiek izmantoti, lai apturētu Covid-19 epidēmijas izplatību.

Daudzi pēdējos mēnešos pieņemtie uzraudzības pasākumi (pret Covid-19 pieteikumi, darbinieku testēšana, droni, vakcīnu pases utt.) ir izraisījuši debates un reakciju gan no CNIL, gan parlamentārajās struktūrās vai tiesās.

Turpretī šeit minētā kontroles sistēma Datu aizsardzības komisijas jūgā tika pieņemta bez aizķeršanās, un iemesli tam ir vienkārši: Atšķirībā no 2020. gadā izstrādātajām videonovērošanas sistēmām, kas apkopoja daudz personas datu un kuru darbību pārtrauca, šīs apstrādā tikai stingru datu minimumu, kas nepieciešams, lai pārbaudītu masku valkāšanu.

Precīzāk, sistēma neapstrādā biometriskos datus un neīsteno sejas atpazīšanu, un dati netiek izmantoti pārkāpumu saukšanai pie atbildības.

Galvenais mērķis ir apkopot statistisko informāciju un pielāgot sabiedrības informētību.

Šīs garantijas ir vēl jo svarīgākas tāpēc, ka jebkura videonovērošanas ierīce ir pamattiesību pārkāpums, un attiecīgās personas reti var iebilst pret apstrādi.

Šajā sakarā CNIL jau iepriekš ir uzskatījusi, ka galvas kratīšana ar "nē" kameras priekšā nevar tikt uzskatīta par reālistisku un pietiekamu iebildumu paušanas veidu.

Šo pārkāpumu dēļ viedkameru sistēmas ir jāregulē ar likumu, kā tas bija ar 10. martā publicēto dekrētu par masku valkāšanu sabiedriskajā transportā.

Dekrētā paredzētās garantijas, kā arī sabiedrības veselības un indivīdu aizsardzības mērķi CNIL šķiet pietiekami, lai pamatotu tiesību uz privātumu ierobežojumu un jo īpaši atceltu tiesības iebilst.

Tomēr Komisija uzsver, ka atkarības briesmas indivīdiem, ņemot vērā pašreizējo uzraudzības pasākumu pastiprināšanu.

Tāpēc viņa uzstāj uzdetalizēta informācija cilvēkiem un ierīces lietošanas periodā, kas ir ierobežots laikā un tieši saistīts ar epidēmijas kontekstu.

Un arī

Francija:

• Personas datu iznīcināšana CNIL atgādina, saistībā ar ugunsgrēku, kas 10. martā iznīcināja OVH datu centru, par darbībām, kas datu pārzinim jāveic attiecībā uz attiecīgajām personām.

Tajā ir precizēts, ka datu nepieejamība un iznīcināšana ir datu pārkāpums GDPR izpratnē, par ko tai jāpaziņo noteiktos apstākļos.

CNIL atsaucas arī uz vietni cybermalveillance.gouv.fr, kas sniedz padomus par to, kā pārvaldīt šādus incidentus.

• CNIL ir arī publicējusi savu kontroles prioritātes 2021. gadamTie ietver tīmekļa vietņu kiberdrošības, veselības datu drošības un sīkfailu izmantošanas jautājumus, kas visas ir ļoti aktuālas tēmas.

Atgādināsim, ka CNIL ir atjauninājusi savas sīkdatņu vadlīnijas un aprīlī sāks plašu to vākšanas nosacījumu auditu.

• Datu pārsūtīšana ārpus Eiropas Savienības: Valsts padome 12. martā nolēma neapturēt Veselības ministrijas un Doktolibs Pašreizējās vakcinācijas kampaņas kontekstā, neraugoties uz Amerikas iestāžu minētajiem datu piekļuves riskiem, Doctolib daļēji izmanto Amazon amerikāņu meitasuzņēmuma pakalpojumus datu mitināšanai.

Valsts padome ir pārliecināta, jo īpaši attiecībā uz Amerikas iestāžu piekļuves pieprasījumiem, ka pastāv īpaša procedūra, kas paredz jebkura vispārīga pieprasījuma vai tāda pieprasījuma, kas neatbilst Eiropas noteikumiem, apstrīdēšanu.

Uzglabātie dati tiek papildus aizsargāti, izmantojot šifrēšanas procedūru, kuras pamatā ir uzticama trešā puse, kas atrodas Francijā, lai novērstu datu nolasīšanu trešajām personām.

• Profesionālie dati 9. martā Parīzes tiesa atteicās apmierināt zobārsta lūgumu noņemt viņa profilu un atsauksmes no pakalpojuma “Google My Business”.

Tiesa apstiprina šo datu personisko raksturu, taču uzskata, ka tiesību līdzsvars atbalsta vārda un informācijas brīvību Google un interneta lietotājiem, sniedzot informāciju par zobārsta profesijas praksi un attiecīgo pacientu pieredzi.

• Līdzīgā kontekstā Kasācijas tiesa 17. februāra spriedumā uzstāja uz nepieciešamību pēc šādas attiecīgo tiesību un interešu līdzsvarošanas attiecībā uz kriminālsodāmības publicēšana internetā saistīts ar sūdzības iesniedzēja profesionālo darbību.

Tas, ka šī informācija ir publiska un profesionāla rakstura, nenozīmē, ka to var publicēt internetā, iepriekš nepārbaudot sūdzības iesniedzēja privātuma aizskārumu.

Apsverot attiecīgās tiesības un intereses, jāņem vērā iespējamais "inkriminētās publikācijas ieguldījums vispārējas intereses debatēs, attiecīgās personas pazīstamība, ziņojuma priekšmets, attiecīgās personas iepriekšējā rīcība, minētās publikācijas saturs, forma un sekas".

Šajā gadījumā Tiesa uzskata, ka šī līdzsvarošana netika veikta un nosūta puses uz Apelācijas tiesu.

Eiropa:

• GDPR divus gadus vēlāk: 

25. martā Eiropas Parlaments pieņēma rezolūciju par Eiropas Komisijas novērtējuma ziņojumu par GDPR īstenošanu.

Tā atbalsta nepieciešamību efektīvāk īstenot šo īstenošanu, jo īpaši Eiropas uzraudzības iestāžu koordinētu darbību kontekstā.

Šajā sakarā mēs atzīmējam nesenās nesaskaņas starp Vācijas iestādi un Īrijas datu aizsardzības iestādi, pēdējai tiekot apsūdzētai par nepietiekamu kontroli pār tās teritorijā izveidotajiem "lielajiem tehnoloģiju uzņēmumiem".

Eiropas Parlaments par prioritātēm nosaka jautājumus, kas saistīti ar datu apstrādi, ko veic galvenās platformas un digitālie pakalpojumi, jo īpaši tiešsaistes reklāmas, mikromērķauditorijas atlases, uz algoritmiem balstītas profilēšanas un ar informācijas izplatīšanu un pastiprināšanu tīklos saistīto risku jomā.

Šķiet, ka ir svarīgi arī izstrādāt rīkus plašākai auditorijai, jo īpaši ļoti maziem uzņēmumiem un MVU, kā to savā 2021.–2022. gada darba programmā uzsvērusi Eiropas Datu aizsardzības kolēģija (EDAK). Jāatzīmē, ka Beļģija šajā nolūkā tikko ir publicējusi virkni praktisku rīku maziem un vidējiem uzņēmumiem.

• Eiropa: EDAK pieņem divus dokumentus:

No vienas puses, attiecībā uz datu aizsardzības jautājumiem saistībā ar savienotas automašīnas, un, no otras puses, balss asistenti.

• Beļģija:  

Jaunas publikācijas ietvaros Briseles Brīvā universitāte 22. aprīlī organizē tiešsaistes pasākumu par tēmu " algoritmu sabiedrība : tehnoloģijas, vara un zināšanas”. Reģistrācija ir atvērta universitātes tīmekļa vietnē.

Starptautiskās:

• ASV:

Papildus likumprojektiem, kas pašlaik tiek pieņemti vairākās valstīs, Amerikas parlamentā federālā līmenī tikko ir iesniegts teksts ar nosaukumu "Informācijas pārredzamības un personas datu kontroles likums (ITPDCA)".

Šis likums jo īpaši paredz nosacījumus, saskaņā ar kuriem patērētājiem ir jāspēj piekrist vai iebilst pret savu datu apstrādi, datu nodošanas trešajām personām pārredzamību un pienākumu regulāri pārbaudīt to apstrādi.

Federālā tirdzniecības komisija būtu atbildīga par likuma ievērošanas uzraudzību.

• Koreja:

Tiek pabeigta datu aizsardzības atbilstības procedūra, kas atvieglos datu apmaiņu starp Koreju un Eiropas Savienību. Komisijas secinājumi drīzumā tiks iesniegti Eiropas Datu aizsardzības kolēģijai atzinuma sniegšanai.

• ANO:

ANO īpašais referents privātuma jautājumos Džozefs Kanatači, kura mandāts tuvojas beigām, tikko ir publicējis ziņojumu par mākslīgo intelektu un bērnu privātumu.

• GAFA:

Google paziņo, ka pārtrauc sīkfailu izmantošanu jaunam datu vākšanas modelim — Federated Learning of Cohorts (FLoC), kas, pamatojoties uz kopīgām interesēm, ir vērsts uz grupām, nevis indivīdiem.

Šis paziņojums ir izraisījis dažādas reakcijas, dažiem norādot, ka jaunā vākšanas sistēma, lai gan mainīs izmantotās metodes, neaizkavēs reklāmas izvietošanu interneta lietotājiem.

Dati par vairāk nekā 500 miljoniem kontu Facebook, tostarp daudzu lietotāju tālruņu numuri, Lieldienu nedēļas nogalē tika pārdoti tiešsaistē. Tiek uzskatīts, ka dati iegūti drošības kļūdas dēļ, kas tika atklāta un izlabota 2019. gadā. 

Anna Kristīna Lakoste

Olivier Weber Avocat partnere Anna Kristīne Lakosta ir juriste, kas specializējas datu tiesībās; viņa bija Eiropas Datu aizsardzības uzraudzītāja starptautisko attiecību vadītāja un strādāja pie GDPR ieviešanas Eiropas Savienībā.