Metaverse modes nedēļa Decentralandā, vienā no populārākajām virtuālajām pasaulēm.

Juridiskā uzraudzība Nr. 48 — 2022. gada jūnijs

Drosmīgā jaunā pasaule2022. gada martā Decentralandā, vienā no populārākajām virtuālajām pasaulēm, notika Metaverse modes nedēļas pasākums.

Tiešsaistes koncerts, kas tika straumēts spēļu platformā Fortnite, nesen piesaistīja 12 miljonus skatītāju.

Mūsdienās attīstās virtuālā pasaule, kuras cilvēciskās, ekonomiskās un sociālās sekas vēl nav pilnībā izprastas.

Eiropas Parlamenta nesen publicētajā ziņojumā par šo tēmu teikts, ka līdz 2026. gadam 25% cilvēku vismaz vienu stundu dienā pavadīs metavisumā darbam, iepirkšanās nolūkos, izglītībai, sabiedriskām aktivitātēm un/vai izklaidei.

Daudzi komercuzņēmumi ir sākuši tur attīstīt savas platformas, pat ja to darbībai ir tikai ļoti attāla saikne ar digitālajām tehnoloģijām.

Metaversu var raksturot kā ieskaujošu, nemainīgu 3D virtuālo pasauli, kurā cilvēki mijiedarbojas, izmantojot avatāru, lai izbaudītu izklaidi, veiktu pirkumus un darījumus vai strādātu, neizejot no mājām.

Ekonomiskā metavisa ekosistēma izmanto blokķēdes un kriptovalūtu tehnoloģijas, piemēram, neaizstājamus žetonus (NFT), lai monetizētu darījumus digitālajā vidē.

Šī tīmekļa evolūcija rada daudz jautājumu, jo īpaši attiecībā uz tiesību aktu piemērošanu.

Kā mēs praktiski varam regulēt tiešsaistes apvienošanās un pārņemšanas, aizskaršanu, vairāk vai mazāk likumīgus darījumus, kas veikti ar kriptovalūtām, masveida datu vākšanu par indivīdu uzvedību, izmantojot viņu avatarus, vai pat indivīdu uzraudzību tiešsaistē, ko veic tiesībaizsardzības iestādes?

Kā uzsvērts nesenā, 20. maijā laikrakstā Le Monde publicētā rakstā un kā norāda Eiropas Parlaments, GDPR ietvaros likmes ir augstas, ņemot vērā vēl nepieredzētu savākto datu kvalitāti un daudzumu.

Tie var ietvert sejas izteiksmes, žestus vai cita veida fiziskas vai emocionālas reakcijas, ko avatārs var radīt mijiedarbības laikā reāllaikā un neapzinoties to.

Tādējādi var apkopot sensitīvus datus, piemēram, biometriskos datus.

Šī informācija, piemēram, ļaus uzņēmumiem labāk izprast lietotāju uzvedību un pielāgot reklāmas kampaņas ļoti mērķtiecīgā veidā.

Vai esošie noteikumi ir pielāgoti šai jaunajai Visumam?

Kā mēs varam iegūt indivīdu piekrišanu šādai datu vākšanai un kas ir atbildīgs par vākšanu vidē, kurā ir vairākas lomas un kur ir vēl jo grūtāk identificēt datu pārzini?

Kā pārvaldīt mijiedarbību ar mākslīgo intelektu, kas ir raksturīga Metavisa darbībai, un no tā izrietošajiem automatizētajiem lēmumiem?

Tiek pētītas vairākas iespējas, pamatojoties ne tikai uz GDPR, bet arī uz ierosinātajiem Eiropas noteikumiem par mākslīgo intelektu un datu pārvaldību.

Pieminēsim datu starpnieku lomu, kas varētu centralizēt lietotāju autorizācijas attiecībā uz viņu datu izmantošanu.

Ierosinātā datu pārvaldības regula paredz personas datu telpu jeb datu portfeļu aizsardzību, regulējot datu koplietošanu un kontrolējot personu piekrišanu.

Tomēr, ciktāl starpnieki datu pārvaldībā izmanto mākslīgo intelektu, ir nepieciešami drošības pasākumi, lai novērstu piesavināšanos un ļaunprātīgu izmantošanu.

Jāatgādina, ka par šīm divām ierosinātajām regulām komentārus ir sniegusi Eiropas Uzraudzītājs un Eiropas Datu aizsardzības kolēģija, kas uzstāj uz mērķa principa ievērošanu datu izmantošanā un aicina veikt pasākumus, kas paredz lielāku kontroli un garantijas datu subjektam, piemēram, rīcības kodeksus vai sertifikācijas mehānismus.

Varas iestādēm ir arī šaubas par sociālo vērtēšanu sociālo tīklu kontekstā kopumā un vēl jo vairāk Metaversā.

Īpaša uzmanība jāpievērš arī neaizsargātu grupu, jo īpaši bērnu, aizsardzībai, lai pārbaudītu viņu vecumu un atturētu viņus no savu personas datu sniegšanas.

Daži arī atbalsta atvērtu un decentralizētu metaversu, ko kontrolē paši lietotāji decentralizētu autonomu organizāciju (DAO) veidā.

Šāda veida modelī, kas atšķiras no centralizēta biznesa modeļa, lietotājiem būtu lielāka kontrole pār saviem datiem un to koplietošanu.

Arī šeit papildus regulējošajām vadlīnijām lielāku juridisko noteiktību veicinātu rīcības kodeksi un sertifikācijas mehānismi.

Dažas atbildes uz daudziem jautājumiem...

Jebkurā gadījumā tiesību aktu piemērošana netiks panākta bez lielākas attiecīgo dalībnieku pārskatatbildības.

Un arī

Francija:

7. jūnijā CNIL publicēja jautājumus un atbildes par Google Analytics lietošanu.

Komisija ir likusi vairākām organizācijām ievērot GDPR, jo neviens no tai iesniegtajiem papildu drošības pasākumiem nav bijis pietiekams, lai liegtu ASV izlūkdienestiem piekļūt Eiropas lietotāju personas datiem.

Viņasprāt, risinājums, kas ļautu izmantot starpniekserveri, lai izvairītos no tieša kontakta starp interneta lietotāja termināli un mērīšanas rīka serveriem, varētu būt iespējams, ja šis serveris atbilstu kritēriju kopumam, ievērojot Eiropas Datu aizsardzības kolēģijas (EDPB) ieteikumus, kas publicēti 2021. gada 18. jūnijā.

Valsts padome apstiprināja, ka CNIL ir kompetence piemērot sankcijas ārpus Eiropas vienotā kontaktpunkta mehānisma.

Šī lieta attiecas uz uzņēmumu Amazon online France, kuram ir uzņēmums Francijas teritorijā un kas apstrādā Francijā dzīvojošu personu datus.

Tādējādi ir apstiprināts 2020. gadā noteiktais 35 miljonu eiro sods par sīkfailu izmantošanu bez lietotāja piekrišanas.

CNIL 30. jūnijā piemēroja 1 miljona eiro sodu uzņēmumam Total Energies Electricité et Gaz de France. jo īpaši par to, ka nav ievērojusi pienākumus attiecībā uz komerciālo izpēti un personu tiesībām..

13. jūnijā CNIL uzsāka pētījumu par mobilo lietotņu apkopotajiem ģeolokācijas datiem.

Kā paziņots CNIL 2022.–2024. gada stratēģiskajā plānā, tā vēlas vairot sabiedrības un profesionāļu informētību par problēmām, kas saistītas ar ģeolokācijas datu vākšanu, izmantojot mobilās lietotnes.

Tas ir arī jautājums par komerciālās izpētes nozares profesionāļu atbilstības GDPR pārbaudi.

Eiropa:

Eiropas Datu aizsardzības uzraudzītājs (EDAU) pauž bažas par grozījumiem Eiropola regulā, kas stājās spēkā 2022. gada 28. jūnijā.

EDAU uzsver, ka tie vājina pamattiesības uz datu aizsardzību, nenodrošina pienācīgu aģentūras uzraudzību un ievērojami paplašina Eiropola pilnvaras attiecībā uz personas datu apmaiņu ar privātpersonām, mākslīgā intelekta izmantošanu un lielu datu kopu apstrādi.

14. jūnijā Eiropas Datu aizsardzības kolēģija (EDAK) publicēja savu atbildi uz Eiropas Komisijas apspriešana par digitālā eiro izveidi.

16. jūnijāEDAK pieņēma vadlīnijas par sertifikācija kā instruments personas datu pārsūtīšanai uz trešajām valstīm, kuras nenodrošina pietiekamu aizsardzības līmeni.

Jūnijā notikušajā konferencēEDAU, ko tiešsaistē un klātienē sekoja vairāk nekā 2000 cilvēku, noslēdzās ar kritiskiem novērojumiem par Eiropas sadarbība izmeklēšanā.

EDAU uzskata, ka jebkurā labā modelī jāiekļauj spēcīgi koleģialitātes mehānismi, un stratēģiskas izmeklēšanas varētu veikt centrālā līmenī, kas pārvarētu "problēmas, kas rodas nesaderīgu valsts tiesību aktu vai atšķirīgu saskaņošanas mēģinājumu dēļ".

THE Eiropas Padome publicē pētījumu par Pegasus spiegprogrammatūra un tās ietekmi uz pamattiesībām. Jāatceras, ka šo spiegprogrammatūru izmeklē arī Eiropas Parlaments.

THE Patērētāju tiesību aizsardzības sadarbības tīkls (CPC) sadarbībā ar datu aizsardzības iestādēm ir apstiprinājusi 5 galvenos principus godīga reklāma bērniems.

THE Šveices Federālais datu aizsardzības un informācijas komisārs (FDPIC) ieteica Suva (Šveices Nacionālajam nelaimes gadījumu apdrošināšanas fondam, kas nodrošina veselības aprūpes apdrošināšanu saviem darbiniekiem) pārskatīt savu lēmumu nodot savu personas datu apstrādi ārpakalpojumā Amerikas Savienotajām Valstīms – precīzāk, Microsoft mākoņpakalpojumā, lai gan dati tiek mitināti MS serverī Šveicē.

Pārskaitījumi ārpus Eiropas ir arī nesen pieņemtā lēmuma centrā. Beļģijas Valsts padome, kas apturēja lēmumu par amerikāņu darbuzņēmēja izvēli publiskā iepirkuma procedūras ietvaros, pamatojoties uz to, ka šī iestāde nav pietiekami pārbaudījusi, vai līgumslēdzējs ir ievērojis GDPR prasības, jo īpaši noteikumus par datu pārsūtīšanu.

Lēmums arī apšauba tālāku apstrādi, ko veic cits Krievijā bāzēts uzņēmums Smart Analytics (izmantojot GDPRhub).

Desmit patērētāju asociācijas, kuras koordinē Eiropas Patērētāju organizācija (BEUC), 30. jūnijā paziņoja, ka veic pasākumus, lai nodrošinātu, ka Google ievēro likumu: tehnoloģiju gigants novirzīs patērētājus uz savu izsekošanas sistēmu, kad viņi reģistrējas Google kontā, nevis nodrošinās viņu datu aizsardzību pēc noklusējuma un pēc noklusējuma, kā to pieprasa GDPR.

Apvienotās Karalistes datu aizsardzības tiesību aktu reforma pēc Brexit 17. jūnijā sasniedza jaunu pagrieziena punktu, valdībai sniedzot galīgo atbildi uz sabiedrisko apspriešanu.

Dokumentā iekļautas vairākas reformas, piemēram, prasības par datu aizsardzības speciālista iecelšanu atcelšana, piekrišanas prasības aizstāšana ar tiesībām iebilst pret interneta lietotāju izsekošanu un izmaiņas Informācijas komisāra biroja darbībā.

Somijas oficiālā attīstības palīdzība (OAP) lika slimnīcai dzēst darbinieku vēstures, atrašanās vietas žurnālus un citus personas datus, ko ģenerējusi noklusējuma atrašanās vietas ierakstīšanas funkcija operētājsistēmā Windows 10.

Šis iestatījums pārkāpa VDAR 25. panta 2. punktā noteikto principu “datu aizsardzība pēc noklusējuma” (izmantojot GDPRhub). 

Itālijas datu aizsardzības iestāde ir piespriedusi slimnīcai 70 000 eiro sodu par divu medicīnisko informatīvo biļetenu saņēmēju kopiju ievietošanu. CCI vietā atklājot savus personas datus (tostarp veselības datus) visiem saņēmējiem bez juridiska pamata (izmantojot GDPRhub).

Par to pašu tēmu Rumānijas oficiālā attīstības palīdzība (OAP) arī piesprieda 1000 eiro sodu apakšuzņēmējam, kas bija atbildīgs par mārketinga kampaņas īstenošanu, par mārketinga e-pasta nosūtīšanu 27 cilvēkiem, neslēpjot viņu e-pasta adreses.

Atcerēsimies, ka Beļģija 29. aprīlī līdzīgā lietā lēma, ka šāda e-pasta nosūtīšana nav drošības pārkāpums, ja tajā iesaistīti mazāk nekā 16 cilvēki.

Starptautiskās:

Krievija: Maskavas tiesa piesprieda Google 15 miljonu rubļu sodu par atkārtotu datu lokalizācijas noteikuma neievērošanu.

Google jau 2021. gadā bija ticis piemērots administratīvs sods par šī paša Krievijas personas datu likuma principa pārkāpumu, kas uzņēmumiem uzliek par pienākumu glabāt Krievijas pilsoņu personas datus Krievijas Federācijas teritorijā..

ASV: Augstākās tiesas lēmuma Roe pret Wade lietā sekas attiecas arī uz datu privātuma jautājumiem. 

Jautājums attiecas uz tehnoloģiju gigantu attieksmi pret iestāžu piekļuvi auglības datiem.

Šos datus var atklāt, izmantojot tādus avotus kā pārlūkošanas vēsture, meklēšanas, e-pasta un īsziņu žurnāli, auglības lietotņu izmantošana un citi komerciāli produkti, ar kuriem daudzi lietotāji mijiedarbojas katru dienu.

Kā ziņo The Register, šāda veida informāciju tiesībaizsardzības iestādes jau ir izmantojušas kā pierādījumu ar abortu saistītās lietās.

Ķīna: Laikraksts "The New York Times" publicē izmeklēšanu, atsaucoties uz simtiem dokumentu, kuros sīki aprakstīta programmatūra, ko Ķīna iegādājusies, lai pārskatītu savas plašās novērošanas datubāzes un prognozētu, kas kļūs par aizdomās turamo vai potenciālu nepatikšanu cēlāju.

Kanādā Kopš 16. jūnija Digitālo tiesību harta aizsargā patērētāju tiesības un personas datus, kā arī regulē mākslīgo intelektu..

Anna Kristīna Lakoste

Olivier Weber Avocat partnere Anna Kristīne Lakosta ir juriste, kas specializējas datu tiesībās; viņa bija Eiropas Datu aizsardzības uzraudzītāja starptautisko attiecību vadītāja un strādāja pie GDPR ieviešanas Eiropas Savienībā.