Décisions automatisées : comment le RGPD est-il mis en œuvre ?

Automatizēti lēmumi: kā tiek ieviesta GDPR?

Juridiskā uzraudzība Nr. 47 — 2022. gada maijs

Automatizēti lēmumi: kā tiek ieviesta GDPR? 17. maijā Privātuma nākotnes forums publicēja plašu ziņojumu par automatizētas lēmumu pieņemšanas jautājumu.

Šajā ziņojumā analizēti vairāk nekā 70 dokumenti, kas sniedz ieskatu par to, kā tiesas un tribunāli, Eiropas un Apvienotās Karalistes datu aizsardzības iestādes, kā arī vairākas regulatoru izdotas vadlīnijas un ieteikumi par šo tēmu īsteno VDAR 22. pantu.

Lai gan automatizēti lēmumi jau bija regulēti Eiropas Direktīvā 95/46/EK, kopš GDPR stāšanās spēkā šis princips ir ieguvis jaunu dimensiju.

Tāpēc tas ir piemērojams daudzveidīgākos un biežākos kontekstos, piemēram, mākslīgā intelekta kontekstā, un APD tagad ir līdzekļi likuma izpildei.

Šāda veida lēmumi galvenokārt tiek pieņemti šādās jomās:

  • Piekļuves un apmeklējuma kontrole skolās, izmantojot sejas atpazīšanas tehnoloģijas
  • Tiešsaistes uzraudzība universitātēs un automatizēta studentu vērtēšana
  • Automatizēta darba pieteikumu filtrēšana
  • Platformu darbinieku algoritmiskā pārvaldība
  • Sociālo pabalstu sadale un nodokļu krāpšanas atklāšana
  • Automatizēta kredīta novērtēšana
  • Satura moderācijas lēmumi sociālajos tīklos

Īsumā atcerēsimies principu: GDPR 22. pants piešķir personām tiesības netikt pakļautām lēmumam, kas balstīts tikai uz automatizētu apstrādi., tostarp profilēšanu, radot tai juridiskas sekas vai būtiski ietekmējot to līdzīgā veidā.

Šajā sakarā jāatzīmē, ka Eiropas Datu aizsardzības kolēģija ir precizējusi, ka datu pārziņi nevar izvairīties no 22. panta piemērošanas, liekot cilvēkam vienkārši apzīmogot mašīnas pieņemtos lēmumus, bez reālām pilnvarām vai kompetences mainīt rezultātu.

No otras puses, ja attiecīgais automatizētais process sniedz datus tikai lēmumam, ko galu galā pieņems cilvēks, tā pamatā esošā apstrāde neietilpst 22. panta darbības jomā.

Saskaņā ar 22. panta 2. punktu automatizēti lēmumi joprojām ir iespējami, ja tie ir nepieciešami līguma izpildei, paredzēti likumā vai balstīti uz personas nepārprotamu piekrišanu.

Šādos gadījumos pārzinis tomēr nodrošina atbilstošus pasākumus, lai aizsargātu datu subjekta tiesības un brīvības un leģitīmās intereses, kā arī viņu tiesības panākt vismaz cilvēka iejaukšanos no pārziņa puses, paust savu viedokli un apstrīdēt lēmumu.

Šis stingrais automatizētu lēmumu ierobežojums ir jālasa plašākā GDPR kontekstā un jo īpaši tās prasībās attiecībā uz jebkādas apstrādes likumību, juridiskā pamata esamību un noteikumiem par tā sauktajiem sensitīvajiem datiem, tostarp biometriskajiem datiem.

Analizētie dokumenti liecina, ka uzraudzības iestādes un tiesas stingri piemēro šos principus.

Viņi jo īpaši uzstāj uz šādiem elementiem:

  • Pienākums nodrošināt pārredzamību attiecībā uz parametriem, kas noved pie automatizētas lēmumu pieņemšanas;
  • Lojalitātes principa piemērošana, lai izvairītos no diskriminācijas;
  • Stingri nosacījumi attiecīgās personas piekrišanas saņemšanai.

Turklāt, lai izlemtu, vai lēmums ir pilnībā automatizēts, tiks ņemts vērā viss lēmumu pieņemšanas procesa konteksts: vadītāja organizatoriskā struktūra, hierarhiskās līnijas, darbinieku informētība.

Lai novērtētu lēmuma ietekmi uz indivīdu, iestādes jo īpaši pārbauda, vai automatizēta lēmuma ievades dati ietver secinājumus par indivīdu uzvedību un vai lēmums ietekmē attiecīgo indivīdu uzvedību un izvēles.

Francijā viens no atsauces lēmumiem ir CNIL lēmums lietā Clearview failsattiecībā uz sejas atpazīšanu: Komisija lika Clearview AI divu mēnešu laikā pārtraukt vākt Francijas iedzīvotāju sejas attēlus no interneta, lai tos ievadītu datubāzē, kas apmāca tās sejas atpazīšanas programmatūru, un dzēst iepriekš savāktos attēlus.

Itālija un Apvienotā Karaliste ir pieņēmušas līdzīgus lēmumus attiecībā uz to pašu uzņēmumu.

Marseļas administratīvās tiesas 2020. gada februārī pasludinātais spriedums atcēla Provansas-Alpu-Azūra krasta reģiona lēmumu veikt divus sejas atpazīšanas pilotprojekti pie skolu ieejām no Nicas un Marseļas.

Kamēr lieta vēl tika izskatīta, CNIL pauda bažas par šādas sistēmas ieviešanu, ņemot vērā mērķauditoriju (bērnus) un iesaistīto biometrisko datu sensitīvo raksturu.

Tiesas lēmums anulēt pilotprojektus tika pieņemts, pamatojoties uz to, ka no vidusskolēniem iegūtā piekrišana nebija sniegta brīvprātīgi, konkrēti, informēti un nepārprotami, un ka skolām bija pieejami mazāk uzbāzīgi līdzekļi, lai kontrolētu savu skolēnu piekļuvi savām telpām (piemēram, žetonu/ID karšu kontrole apvienojumā ar videonovērošanu).

Piebildīsim, ka vairumā gadījumu datu pārzinis nevarēs izvairīties no ietekmes analīze, kā paredzēts VDAR 35. pantā, ja lēmums attiecas uz profilēšanu ar būtisku ietekmi uz indivīdu: piemēram, Itālijā nesen pieņemtais Datu aizsardzības iestādes lēmums par uzņēmumu Deliveroo: uzņēmumam bija jāveic ietekmes analīze par savu algoritmu, apstrādei, izmantojot inovatīvas tehnoloģijas, esot plaša mēroga (gan attiecībā uz velosipēdistu skaitu – 8000 –, gan izmantoto datu veidiem), attiecībā uz neaizsargātām personām (darbiniekiem “gig ekonomikā”, kurus apmaksā uzdevuma izpilde) un ietverot pēdējo novērtējumu vai reitingu.

Un arī

Francija:

CNIL publicē savu darbības pārskatu par 2021. gadu: Starp ievērojamākajām aktivitātēm mēs atzīmējam atbalsta politikas atjaunošanu, pastiprinātu mobilizāciju kiberdrošības jomā un represīvo darbību pastiprināšanu.

Tajā ir publicēta arī virkne kritēriju sienas sīkfailu likumības novērtēšanai.s (marķiersienas).

Tas sniedz informāciju, kas ļauj pārbaudīt darbības likumību. "maksas sienas", kas pieprasa interneta lietotājam, kurš atsakās no sīkdatnēm, samaksāt naudas summu, lai piekļūtu vietnei.

Izdevējam, kurš vēlas ieviest maksas sienu, ir jāspēj pamatot piedāvātās naudas kompensācijas pamatotību un jāpierāda, ka tā sīkfailu siena ir paredzēta tikai tiem mērķiem, kas ļauj saņemt taisnīgu atlīdzību par piedāvāto pakalpojumu.

Francijas valdība ieviesīs sistēmu, kas ļaus pilsoņiem autentificēties tiešsaistē, skenējot savu personas apliecību ar viedtālruni.

Oficiālajā Vēstnesī faktiski ir publicēts 2022. gada 26. aprīļa dekrēts Nr. 2022-676, kas atļauj izveidot elektroniskās identifikācijas lietojumprogrammu ar nosaukumu “Digitālās identitātes garantijas pakalpojums”.

Šī lietotne tiks piesaistīta jaunajai personas apliecībai, kas aprīkota ar mikroshēmu, un ļaus tās datus saglabāt mobilajā tālrunī.

Eiropa:

12. maijā Eiropas Datu aizsardzības kolēģija pieņēma divas vadlīnijas: vienu par sodu aprēķināšanas metodēm saskaņā ar GDPR un otru par sejas atpazīšanu.

Komiteja iestājas par to, lai sejas atpazīšanas rīki tiktu izmantoti, tikai stingri ievērojot Eiropas Policijas un tieslietu direktīvu.

Tur Eiropas Komisija 11. maijā publicēja savu priekšlikumu regulai, kuras mērķis ir novērst un apkarot bērnu seksuālas izmantošanas materiālus (CSAM).

Ietekme uz tādiem uzņēmumiem kā WhatsApp un Instagram, kuriem ir jāuzrauga un jādzēš privātā saziņa vai jānodod tā tiesībaizsardzības iestādēm, rada bažas pilsoniskajai sabiedrībai.

Eiropas Komisija publicē jautājumus un atbildes par jaunām standarta līguma klauzulām starptautiskai datu pārsūtīšanai

Eiropas Komisijas "Datu likums" ir izraisījis arī Eiropas Datu aizsardzības kolēģijas un Eiropas Datu aizsardzības uzraudzītāja (EDAU) reakciju. kopīgā atzinumā viņi pauž bažas par regulas darbības jomu.

Lai gan tas galvenokārt attiecas uz datiem, ko pārraida savienoti objekti, tas skar arī sensitīvus personas datus.

Varas iestādes aicina noteikt skaidrus ierobežojumus datu izmantošanai tiešajam mārketingam vai reklāmai, darbinieku uzraudzībai, apdrošināšanas prēmijām un kredītvēstures ziņošanai.

Spānijas datu aizsardzības iestāde ir piespriedusi Google LLC 10 miljonu eiro sodu. par personas datu nelikumīgu nosūtīšanu trešajai personai un par tiesību uz datu dzēšanu īstenošanas kavēšanu.

Arī Google tiek iesūdzēts tiesā Apvienotajā Karalistē par medicīnisko datu nelikumīgu izmantošanu. 1,6 miljoni cilvēku: uzņēmuma mākslīgā intelekta sistēma DeepMind, kā ziņots, 2015. gadā saņēma šos datus no Royal Free NHS Trust Londonā, lai testētu mobilo lietotni.

Google – tomēr pēc CNIL un tās Eiropas partneru nosodījuma beidzot ir nolēmusi atvieglot visu sīkfailu atteikšanu savā meklētājprogrammā un vietnē YouTube. Opcija “Pielāgot” tādējādi tiks aizstāta ar divām vienas formas pogām “Pieņemt visu” un “Noraidīt visu”, kam sekos trešā poga “Vairāk opciju”.

Saskaņā ar Beļģijas Datu aizsardzības iestādes sniegto informāciju, E-pasta nosūtīšana ar adresātu sarakstu sadaļā Kopija, nevis Diskrētā kopija, netiek uzskatīta par drošības pārkāpumu, ja vien tiek ietekmēta tikai neliela cilvēku grupa (16 cilvēki).

Dānijas iestāde apsver iespēju piemērot Tieslietu ministrijas aģentūrai 100 000 DKK naudas sodu par nešifrēta USB diska nozaudēšanu un neziņošanu datu aizsardzības iestādei par drošības pārkāpumu.

Īrijas Apelācijas tiesa uzskata, ka videonovērošanas sistēmas savāktie dati pārkāpumu novēršanas nolūkā nevar tikt izmantoti darbinieku uzraudzībai un disciplinārlietu ierosināšanai pret viņiem, jo šis mērķis nav savienojams ar pirmo.

Norvēģijas Datu aizsardzības iestāde plāno darba pārvaldei piemērot 486 700 eiro sodu par 1 800 000 cilvēku CV izplatīšanu tiešsaistē bez likumīga pamata.

Starptautiskās:

Eiropas Datu aizsardzības uzraudzītājs 18. maija atzinumā pauda bažas par Eiropas Savienības dalību Apvienoto Nāciju Organizācijas Konvencijā par kibernoziegumiem.

Viņš uzsver pamattiesību vājināšanas risku, ņemot vērā lielo iesaistīto valstu skaitu ar atšķirīgām tiesību sistēmām.

Honkongas Datu aizsardzības iestāde 12. maijā publicēja vadlīnijas par līguma klauzulu izmantošanu starptautiskai datu pārsūtīšanai.

Singapūras Datu aizsardzības iestāde publicē datu anonimizācijas rokasgrāmatu

Twitter panāk vienošanos ar ASV Tieslietu ministriju un Federālo tirdzniecības komisiju par 150 miljoniem ASV dolāru un apņemas ieviest atbilstības programmu attiecībā uz abonentu nepublisko datu konfidencialitātes pārkāpumiem.

Īrijas Pilsoņu brīvību padomes ziņojumā teikts, ka Solīšana reāllaikā, kas ļauj rādīt mērķtiecīgu reklāmu, ir atbildīgs par pasaulē lielāko datu noplūdi.

Saskaņā ar datiem, nozare, kuras vērtība pārsniedz 110 miljardus eiro, izseko un kopīgo personu tiešsaistes aktivitātes un reālās atrašanās vietas 178 miljardus reižu gadā Amerikas Savienotajās Valstīs un Eiropā.

Eiropā RTB atklāj cilvēku datus 376 reizes dienā. un Google katru minūti, kad vācu interneta lietotāji atrodas tiešsaistē, nosūta 19,6 miljonus raidījumu par viņu tiešsaistes uzvedību.

Anna Kristīna Lakoste

Olivier Weber Avocat partnere Anna Kristīne Lakosta ir juriste, kas specializējas datu tiesībās; viņa bija Eiropas Datu aizsardzības uzraudzītāja starptautisko attiecību vadītāja un strādāja pie GDPR ieviešanas Eiropas Savienībā.

lvLV