Tumšie raksti: ko vienmēr gribēji zināt, bet baidījies jautāt...

Juridiskā uzraudzība Nr. 45 — 2022. gada marts.

Šis grūti tulkojamais angļu valodas termins ir atrodams daudzās publikācijās par informācijas tehnoloģijām. 

Saistībā ar "nudging", kura mērķis ir smalki mudināt interneta lietotājus pieņemt vēlamo uzvedību, "tumšie modeļi" tiecas uz to pašu mērķi, izmantojot tīmekļa saskarņu dizainu.

14. martā Eiropas Datu aizsardzības padome pieņēma vadlīnijas par "tumšajiem rakstiem" sociālo mediju platformu saskarnēs. 

Dokuments, kas ir pakļauts publiskai apspriešanai, ir paredzēts lietotājiem, lai palīdzētu viņiem identificēt šīs metodes, un dizaineriem, kuriem tas piedāvā labāko praksi, lai veicinātu atbilstību GDPR. 

Dokumentā, kas līdzinās Prēvera stila inventarizācijai, ir uzskaitītas dažādas prakses: 

• Informācijas pārslodze lietotājam piedāvā datu vai iespēju lavīnu (piemēram, bezgalīgu sīkfailu saņēmēju sarakstu), liekot viņam kopīgot vairāk informācijas, nekā viņš vēlas. 

• Izlaižot liek lietotājam aizmirst pārbaudīt noteiktus savu datu izmantošanas nosacījumus, piemēram, pievēršot viņa uzmanību citām vietām.

• Maisīšana ietekmē lietotāju izvēles, spēlējoties ar viņu emocijām (piemēram, lai mudinātu viņus neatrakstīties no sociālā tīkla abonēšanas)

• Šķēršļi (kavēšana) neļauj interneta lietotājiem izdarīt izvēli, izmantojot nefunkcionālas saites, informāciju, kas ir garāka nekā nepieciešams vai maldinoša.

• Dizaina nekonsekvence (nepastāvība) apgrūtinās informācijas dekontekstualizētu vai nehierarhisku izklāstu, izmantojot kontroles rīkus.

• Visbeidzot, dizains var atstāt interneta lietotāju neziņā, izmantojot pretrunīgu, neskaidru informāciju (pēc noklusējuma iespējotas vai atspējotas dažādu krāsu pogas) vai pārtrauktību izmantotajās valodās (pāreja no franču uz angļu valodu).

Šādas metodes un iztēle radītu gandrīz vai bijību, ja vien šī prakse nebūtu nelikumīga, jo tā ir pretrunā ar VDAR 5. panta 1. punkta a) apakšpunktā noteikto lojalitātes principu, kā arī ar pārredzamības, datu minimizēšanas, pārskatatbildības, mērķa un piekrišanas derīguma principiem.

EDAK vadlīnijās ir sniegti piemēri katram metodes veidam un padomi, kā vienkāršot lietotāju izvēli. 

Labā prakse ietver: 

• Īsceļu izmantošana, lai iespējotu ātrās darbības (atteikties no konta abonementa).

• Reklāmkarogu vai uznirstošo logu izmantošana izmaiņu vai īpaša riska gadījumā (piemēram, drošības pārkāpuma gadījumā).

• Vienkāršas un konsekventas valodas lietošana.

• Definīciju saraksts.

• Piemēru izmantošana.

• Dažādo ierosināto iespēju seku skaidrojums.

• Vietnes kartes sistemātiska attēlošana un poga “atpakaļ”, kas ļauj lietotājam atsākt navigāciju.

Jāatzīmē, ka CNIL pagājušā gada janvāra lēmumi pret Google un Facebook, ar kuriem šiem uzņēmumiem tika piespriests attiecīgi 150 un 60 miljonu eiro sods, paredz sodīt par slēptu modeļu izmantošanu sīkfailu izmantošanā: saskarnes piedāvāja vienkāršu sīkfailu aktivizēšanas iespēju ar vienu klikšķi, savukārt, lai atteiktos no visiem sīkfailiem, bija jāveic vairākas darbības. 

Lai gan līdz šim uzraudzības iestāžu uzmanība ir bijusi vērsta uz sīkdatnēm, tagad apdraudēta ir plašāka prakse. Saskarņu dizaineru loma kļūst arvien svarīgāka.

Un arī

Francija:

Parīzes prokuratūras kibernoziegumu nodaļa ir sākusi tiesas izmeklēšanu par plaša mēroga medicīnisko datu noplūdi. 

Tiek uzskatīts, ka datu noplūde ir skārusi aptuveni 500 000 cilvēku un tās cēlonis ir aptuveni trīsdesmit medicīniskās bioloģijas laboratorijas. Izmeklēšanu veic arī ANSSI un CNIL sadarbībā ar laboratoriju izmantotās pārvaldības programmatūras izdevēju.

Vēl viena plaša datu noplūde pamudināja Nacionālo veselības apdrošināšanas fondu 17. martā publicēt paziņojumu, kurā norādīts, ka hakeri ir apdraudējuši vismaz 19 veselības aprūpes speciālistu kontus Amelipro portālā.  

Šis kiberuzbrukums skar aptuveni 500 000 apdrošinājuma ņēmēju identifikācijas datus un sociālās apdrošināšanas numurus.

Joprojām veselības aprūpes nozarē koplietotā medicīniskā karte (DMP) tika integrēta digitālajā veselības telpā (ENS jeb “Mana veselības telpa”) 2022. gada janvārī.  

CNIL savā tīmekļa vietnē atgādina par to, kā darbojas šīs divas sistēmas un kādas ir attiecīgo personu tiesības.

2022. gada 28. jūnijā CNIL Parīzē organizēs pirmo Privātuma pētniecības dienu., starptautiska konference, kas veltīta pētījumiem privātuma un personas datu aizsardzības jomā.

Eiropa: 

Starp Eiropu un Amerikas Savienotajām Valstīm ir redzama vienošanās par personas datu nosūtīšanu. 

Urzula fon der Leiena un Džo Baidens 25. martā paziņoja par politisku vienošanos šajā jautājumā, paziņojumu precizēja Eiropas Tieslietu komisārs Didjē Reinderss, kurš norādīja, ka tā ir vienošanās par nākotnes transatlantiskā nolīguma "principiem". 

Jaunais tiesiskais regulējums aizstātu "Drošās zonas principus" un "Privātuma vairogu", kurus Eiropas Savienības Tiesa atzina par novecojušiem, jo tie neatbilst Eiropas datu aizsardzības principiem. 

Eiropas Komisijas ierosinātais Covid sertifikātu noteikumu (EUDCC) pagarinājums ir datu aizsardzības iestāžu uzmanības centrā. 

EDAU un EDAK pauda bažas par ietekmes novērtējuma trūkumu pirms Komisijas priekšlikumiem atjaunot šos sertifikātus uz vienu gadu.  

Tomēr komiteja un Eiropas Datu aizsardzības uzraudzītājs atzina, ka pieņemto testu veidu paplašināšana un ievadīto devu skaita iekļaušana sertifikātā būtiski nemaina pašreizējos noteikumus.

Marta vidū Amazon darbinieki iesniedza masveida pieprasījumu par piekļuvi datiem, kas uzņēmumam ir par viņiem, lai pārbaudītu novērošanas apstākļus viņu darba vietās.  

Pieteikuma iesniedzēji no Vācijas, Apvienotās Karalistes, Itālijas, Polijas un Slovākijas iesniedza savu pieprasījumu saskaņā ar GDPR 15. pantu sadarbībā ar Globālo darbinieku arodbiedrību (UNI) un NVO NOYB.  

Papildus vadlīnijām par “tumšajiem modeļiem” sociālajos medijos, Eiropas Datu aizsardzības kolēģija 14. marta plenārsēdē pieņēma vadlīnijas par GDPR 60. panta piemērošanu attiecībā uz sadarbību starp datu aizsardzības iestādēm. 

Šī dokumenta mērķis ir uzlabot vienotā kontaktpunkta noteikumu piemērošanu. 

Sistēma paredz kontaktiestādi Eiropas Savienībā dibinātiem uzņēmumiem, pamatojoties uz to galveno reģistrācijas vietu, un procedūru sadarbībai ar visām pārējām iesaistītajām iestādēm sūdzību vai pievienoto uzņēmējdarbības vietu gadījumā to valstī. 

Itālijas Datu aizsardzības iestāde 10. februārī piesprieda Clearview IA 20 000 000 eiro sodu. par biometriskās atpazīšanas sistēmu izmantošanu publiskos interneta avotos, pārkāpjot GDPR. Tā lika dzēst datus. Apvienotās Karalistes Datu aizsardzības iestāde 28. februārī piesprieda juridiskajam birojam 117 000 eiro sodu. par VDAR 5. panta 1. punkta f) apakšpunkta un 32. panta pārkāpumu un jo īpaši par atbilstošu drošības pasākumu neieviešanu. 

Spānija 17. februārī apstiprināja rīcības kodeksu par datu aizsardzību klīnisko pētījumu un farmakovigilances kontekstā.

Īrijas Datu aizsardzības iestāde 15. martā piesprieda uzņēmumam Meta (agrāk Facebook) 17 miljonu eiro sodu pēc vairākiem drošības pārkāpumiem. Uzraudzības iestāde uzskatīja, ka uzņēmums nav veicis tehniskos un organizatoriskos pasākumus, kas nepieciešami datu drošības nodrošināšanai. 

Lēmums, kas pieņemts pēc sadarbības procedūras ar citām Eiropas uzraudzības iestādēm, uz kurām attiecas lieta (VDAR 60. pants).

Vācijā Brēmenes Datu aizsardzības iestāde 3. martā piesprieda īpašumu pārvaldības uzņēmumam (Brebau GmbH) 1 900 000 eiro sodu par sensitīvu datu nelikumīgu apstrādi. attiecībā uz vairāk nekā 9500 kandidātiem-īrniekiem. 

Apstrādāto datu vidū bija ādas krāsa, reliģija, seksuālā orientācija, veselības stāvoklis, frizūra un ķermeņa smarža.

Starptautiskās: 

Ar 4. marta norēķinu rīkojumu Amerikas Savienoto Valstu Federālā tirdzniecības komisija pieprasa, lai WW International (Weight Watchers) iznīcinātu algoritmus vai mākslīgā intelekta modeļus, kas izstrādāti, izmantojot nepilngadīgo personas datus. bez iepriekšējas vecāku piekrišanas. 

Uzņēmumam tika piemērots arī 1,5 miljonu dolāru naudas sods un uzdots iznīcināt nelikumīgi savāktos datus. 

Šī ir trešā reize, kad FTC izlīguma rīkojumā ir pieprasījusi mākslīgā intelekta algoritma iznīcināšanu.  

THE Šrilanka 2022. gada 19. martā pieņēma likumu par personas datu aizsardzību.

Nokia, kas paziņoja par darbības pārtraukšanu Krievijā Ukrainas kara dēļ, tiek apsūdzēta telekomunikāciju sistēmas atstāšanā, kas ļāva novērot Krievijas iedzīvotājus. 

Saskaņā ar laikraksta “New York Times” atklātajiem iekšējiem dokumentiem, “Nokia” jau vairāk nekā piecus gadus piegādā Krievijai iekārtas un pakalpojumus, lai savienotu Krievijas novērošanas sistēmu SORM (Operatīvās izmeklēšanas darbību sistēma) ar Krievijas lielāko telekomunikāciju pakalpojumu MTS.

Anna Kristīna Lakoste  Olivier Weber Avocat partnere Anna Kristīne Lakosta ir juriste, kas specializējas datu tiesībās; viņa bija Eiropas Datu aizsardzības uzraudzītāja starptautisko attiecību vadītāja un strādāja pie GDPR ieviešanas Eiropas Savienībā.