Právny prehľad č. 57 – marec 2023.

Inteligentné kamery a biometria – aký bude vplyv zákona týkajúceho sa olympijských hier?

Národné zhromaždenie 23. marca prijalo článok 7 zákona o olympijských hrách.

Návrh zákona, ktorý bol schválený na zasadnutí s malou účasťou (prítomných bolo 73 z 577 členov), už vyvolal množstvo diskusií a v nasledujúcich mesiacoch určite vyvolá mnoho ďalších reakcií.

V podstate legalizuje používanie algoritmického sledovania do decembra 2024 v kontexte, ktorý je označený za výnimočný, s výnimkou udalostí, ktoré presahujú prísny rámec olympijských hier.

Dohľad sa môže týkať „športových, rekreačných alebo kultúrnych podujatí“ vo všeobecnosti, „ktoré sú vystavené riziku teroristických činov alebo vážnym hrozbám pre bezpečnosť osôb“.

Môže sa preto testovať na športových podujatiach, ako sú napríklad jesenné Majstrovstvá sveta v ragby.

 

Čo je algoritmický dohľad? Je to forma biometrického dohľadu, na ktorú sa vzťahujú prísne povinnosti GDPR a budúce európske nariadenie o umelej inteligencii?

Projekt plánuje použiť „rozšírené kamery“ s pomocou umelej inteligencie ovládané dronmi, ktoré budú automaticky analyzovať obrazy v reálnom čase pomocou algoritmov na detekciu vopred určených udalostí, ako sú pohyby davu, batožina, gestá alebo podozrivé správanie.

Hoci CNIL zdôraznila hlavné problémy rozšírených kamier z hľadiska súkromia a ochrany osobných údajov, vo svojich pripomienkach z 8. decembra sa nezdá, že by zohľadnila biometrické spracovanie.

Poznamenala, že niekoľko opatrení bolo v súlade s jej odporúčaniami:

• Experimentálne nasadenie, obmedzené časovo a priestorovo, na určité špecifické účely a zodpovedajúce vážnym rizikám pre ľudí,
• Nedostatočné spracovanie biometrických údajov a ich krížové odkazovanie na iné súbory a
• Rozhodnutia podliehajúce predchádzajúcemu ľudskému zásahu.

Pre občiansku spoločnosť však používaná technológia jednoznačne spadá do kategórie biometrie.

V skutočnosti „neustále identifikuje, analyzuje a klasifikuje telá, fyzické atribúty, gestá, siluety a chôdzu, ktoré sú nepopierateľne biometrickými údajmi“.

La Quadrature du Net a približne štyridsať medzinárodných organizácií rozvinuli túto perspektívu v otvorenom liste Národnému zhromaždeniu, ktorý koordinovalo a publikovalo ECNL (Európske centrum pre neziskové právo).

GDPR definuje biometrické údaje ako „osobné údaje vyplývajúce zo špecifického technického spracovania týkajúceho sa fyzických, fyziologických alebo behaviorálnych charakteristík fyzickej osoby, ktoré umožňujú alebo potvrdzujú jej jedinečnú identifikáciu“ (článok 4.14).

V otvorenom liste sa uvádza, že kamery budú nevyhnutne zaznamenávať a analyzovať fyziologické vlastnosti a správanie ľudí prítomných v monitorovaných verejných priestoroch a že izolácia týchto ľudí od ich prostredia, ktorá sa ukazuje ako nevyhnutná pre splnenie cieľa systému, predstavuje „jedinečnú identifikáciu“.

Podľa GDPR a výkladu Európskeho výboru pre ochranu údajov v tejto veci predstavuje schopnosť izolovať osobu od davu alebo od jej prostredia, či už je jej meno alebo identita známa alebo nie, „jedinečný identifikátor“.

Zaradenie ľudí do kategórie zoskupujúcej „rizikové“ správanie na základe týchto údajov by teda predstavovalo biometrickú kategorizáciu, ktorá by pravdepodobne bola v rozpore s ustanoveniami budúceho európskeho nariadenia o umelej inteligencii.

V tejto súvislosti by sme mali poznamenať stanovisko európskych regulačných orgánov pre ochranu údajov z 18. júna 2021, ktoré požaduje všeobecný zákaz akéhokoľvek používania umelej inteligencie na automatické rozpoznávanie ľudských charakteristík vo verejne prístupných priestoroch.

Tieto argumenty sú uvedené aj v liste, ktorý Národnému zhromaždeniu zaslalo 41 poslancov Európskeho parlamentu a ktorí zdôrazňujú, že Francúzsko by sa týmto zákonom stalo prvou krajinou v Európe, ktorá by legalizovala hromadné sledovanie svojho verejného priestoru.

Právne predpisy preto možno budú musieť prejsť testom zlučiteľnosti s európskym právom.

V tejto súvislosti treba poznamenať, že návrh nariadenia o umelej inteligencii je na programe plenárneho zasadnutia Európskeho parlamentu koncom mája.

 

A tiež

CNIL    

 CNIL zverejnila svoj zoznam témy kontroly priorít V roku 2023 sa zameria na:

• Používanie „rozšírených“ kamier verejnými činiteľmi,
• Používanie súboru incidentov spotrebiteľských úverov,
• Správa zdravotných záznamov pacientov a
• Mobilné aplikácie.

Koncom marca tiež zverejnila svoj prvý tematický spis týkajúci sa digitálna identita, v ktorej predstavuje kľúčové zásady a svoje postoje k tejto téme.

Dokumentácia je určená pre širokú verejnosť, ako aj pre verejné alebo súkromné organizácie a výskumníkov.

V tejto súvislosti je potrebné pripomenúť, že CNIL v publikácii z 22. februára preskúmala experiment, ktorý sa od roku 2019 uskutočňuje s elektronickou kartou zdravotného poistenia („e-carte Vitale“) a ktorá bude do konca roka 2025 ponúkaná na dobrovoľnej báze všetkým poberateľom sociálneho zabezpečenia.

Okrem každodenného používania bude „e-Carte Vitale“ alternatívou k FranceConnect pre sektor digitálneho zdravotníctva.

Dňa 16. marca 2023 CNIL uložila spoločnosti pokutu vo výške 125 000 eur. CITYSCOOT.

CNIL zistila, že spoločnosť pri prenájme skútra takmer neustále geolokovala svojich zákazníkov a tieto údaje si uchovávala.

Komisia tiež poznamenala, že subdodávateľské zmluvy neobsahovali určité základné ustanovenia vrátane povahy zhromažďovaných údajov, bezpečnostných opatrení, ktoré sa majú zaviesť, a osudu údajov v prípade ukončenia zmlúv.

Spoločnosť tiež použila mechanizmus reCAPTCHA, ktorý preniesol zhromaždené údaje do spoločnosti GOOGLE na analýzu bez toho, aby používateľovi poskytla akékoľvek informácie a bez získania jeho predchádzajúceho súhlasu.

 

Európske inštitúcie a orgány

EDPB

Európsky výbor pre ochranu údajov (EDPB) spustil svoju koordinovanú každoročnú inšpekčnú akciu.

V priebehu nasledujúcich mesiacov sa na tejto akcii týkajúcej sa vymenovania a postavenia zodpovedných osôb zúčastní 26 vnútroštátnych orgánov na ochranu údajov z EHP.

Cieľom vyšetrovaní bude zistiť, či majú delegáti pozíciu, ktorá je v súlade s požiadavkami článkov 37 až 39 GDPR, a či majú zdroje potrebné na vykonávanie svojich úloh.

Budú im zaslané dotazníky s cieľom zmapovať ich situáciu a určiť, či je opodstatnené formálne vyšetrovanie.

dynamické vyhľadávanie

V rámci nariadenia o digitálnych službách (DSA) Európska únia stanovila nové pravidlá, ktoré vyžadujú, aby sa veľmi veľké online platformy (Very Large Online Platforms a Very Large Search Engines) s viac ako 45 miliónmi používateľov zaregistrovali u Európskej komisie do 17. februára.

Podľa analýzy profesora na Londýnskej škole ekonómie a politológie by bolo zapojených 18 aktérov: AliExpress, Amazon Marketplace, Apple App Store, Booking.com, Facebook, Google Maps, Google Play, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, YouTube, Wikipedia, vyhľadávanie Bing a vyhľadávanie Google.

TikTok

Sociálna sieť TikTok v polovici februára oznámila svoj zámer dodržiavať zákon DSA, ktorý nadobudne účinnosť v polovici roka 2023.

TikTok tiež oznámil nasadenie dátových centier v Európe s cieľom obmedziť cezhraničné toky údajov.

Toto oznámenie prichádza po tom, čo inštitúcie EÚ, ako aj vlády Holandska, Kanady a Bieleho domu v Spojených štátoch nedávno požiadali svojich zamestnancov, aby odinštalovali aplikáciu zo svojich pracovných a osobných zariadení s odvolaním sa na obavy týkajúce sa ochrany osobných údajov.

DMA

Koncom marca Európska komisia zriadila skupinu na vysokej úrovni s cieľom zabezpečiť konzistentné uplatňovanie nariadenia o digitálnych trhoch (DMA) s ostatnými európskymi nariadeniami.

Medzi vymenovanými sú Európsky dozorný úradník pre ochranu údajov (EDPS) a Európsky výbor pre ochranu údajov (EDPB).

Zákon o digitálnych trhoch sa vzťahuje konkrétne na veľké online platformy označené ako „vrátnici“.

ENISA 

Európska agentúra ENISA zverejní 29. marca štúdiu o kybernetických hrozbách do roku 2030.

Cieľom tejto štúdie je identifikovať a zhromaždiť informácie o budúcich hrozbách, ktoré by mohli ovplyvniť infraštruktúru a služby Únie, ako aj jej schopnosť zabezpečiť digitálnu bezpečnosť európskej spoločnosti a občanov.

Agentúra ENISA tiež zverejňuje správu o kybernetickej bezpečnosti a štandardizácii umelej inteligencie.

Cieľom dokumentu je poskytnúť prehľad existujúcich a budúcich noriem, posúdiť ich rozsah pôsobnosti a identifikovať medzery v normalizácii.

Zohľadňuje špecifiká umelej inteligencie, a najmä strojového učenia, a prijíma širokú víziu kybernetickej bezpečnosti, ktorá zahŕňa požiadavky na dôvernosť, integritu a dostupnosť a širší koncept spoľahlivosti umelej inteligencie.

Správa nakoniec skúma, ako môže normalizácia podporiť implementáciu aspektov kybernetickej bezpečnosti integrovaných do navrhovaného nariadenia EÚ o umelej inteligencii.

EURÓPSKA KOMISIA

Európska komisia 6. marca oznámila, že po dialógu, do ktorého boli zapojené orgány EÚ na ochranu spotrebiteľa, sa spoločnosť WhatsApp zaviazala k väčšej transparentnosti, pokiaľ ide o zmeny svojich podmienok používania.

Spoločnosť tiež uľahčí používateľom odmietnutie aktualizácií, ak s nimi nesúhlasia, a vysvetlí, kedy takéto odmietnutie vedie k tomu, že používateľ už nebude môcť používať jej služby.

Spoločnosť WhatsApp tiež potvrdila, že osobné údaje používateľov nie sú zdieľané s tretími stranami ani inými spoločnosťami Meta na reklamné účely.

IAP

Webová stránka IAPP obsahuje tabuľku („Iniciatívy EÚ v oblasti údajov v kontexte“) so zoznamom európskych nariadení o ochrane údajov a prebiehajúcich iniciatív, od GDPR a DSA až po európsku stratégiu kybernetickej bezpečnosti. Tento zoznam bol aktualizovaný v marci 2023.

 

Národné správy

• SPOJENÉ KRÁĽOVSTVO: Britská vláda vo štvrtok 9. marca predložila parlamentu „zmiernený“ návrh zákona o ochrane údajov a digitálnych informácií. Navrhovaná reforma by spoločnostiam umožnila jednoduchšie zhromažďovať údaje bez súhlasu ich používateľov, napríklad v rámci ich politík výskumu a vývoja.

Zmiernia sa aj povinnosti týkajúce sa súhlasu s umiestňovaním súborov cookie a prijatie interného úradníka pre ochranu údajov už nebude povinné.

Stále v Spojenom kráľovstve:

• Národné centrum kybernetickej bezpečnosti publikovalo článok, v ktorom hodnotí riziká a uvádza odporúčania pre používanie modelov veľkých jazykov (LLM), ako je ChatGPT.

Ak sa údaje z dotazu dnes nepoužijú na naplnenie modelu, môžu sa použiť v budúcich verziách.

Článok poukazuje na zvýšené riziká v oblasti kyberkriminality, ako je napríklad vytváranie presvedčivejších phishingových e-mailov alebo učenie sa nových útočných techník.

Odporúča nezahŕňať citlivé informácie do žiadostí adresovaných verejným LLM.

• Britský úrad pre ochranu údajov aktualizoval svoje usmernenia týkajúce sa umelej inteligencie a ochrany údajov na žiadosť odvetvia.

Tieto usmernenia objasňujú požiadavky na spravodlivosť v oblasti umelej inteligencie.

• TALIANSKO: LLM sa na začiatku jari dostáva do centra pozornosti. Taliansky úrad pre ochranu údajov vydal 31. marca príkaz proti OpenAI, ktorým zablokoval ChatGPT v Taliansku z dôvodu nedostatočnej transparentnosti, absencie legitímneho dôvodu na spracovanie, nezabezpečenia presnosti spracovaných údajov, nedostatočného overenia veku a všeobecného porušenia zásady „ochrany súkromia už v štádiu návrhu“.
• ČESKÁ REPUBLIKA: Spoločnosť Avast, ktorá sa zaoberá kybernetickou bezpečnosťou a antivírusmi, dostala od českého Úradu na ochranu osobných údajov pokutu 13,7 milióna eur za porušenie GDPR.

Údaje o používateľoch zhromaždené prostredníctvom služieb Google Maps, YouTube, LinkedIn a vo všeobecnosti prostredníctvom vyhľadávaní na webe Google boli predávané prostredníctvom jej dcérskej spoločnosti Jumpshot.

Vyšetrovanie českého Úradu na ochranu osobných údajov sa týka historického spracovania osobných údajov pred januárom 2020, keď spoločnosť Avast ukončila platformu Jumpshot.

• NÓRSKO: Nórsky úrad na ochranu údajov (APD) udelil spoločnosti Argon Medical Devices pokutu 220 000 eur za oneskorenie oznámenia o úniku údajov z dôvodu systematického a rozsiahleho využívania externých konzultantov.

Takéto odvolanie sa na tretie strany sa považovalo za neprimerané spomalenie procesu oznamovania narušenia bezpečnosti.

Nórsko opäť:

• V nadväznosti na jednu zo 101 sťažností mimovládnej organizácie NOYB týkajúcich sa prenosov do Spojených štátov amerických oznámil nórsky úrad pre ochranu údajov prevádzkovateľovi svoj zámer pokarhať ho za používanie služby Google Analytics a následný prenos osobných údajov do Spojených štátov amerických, čo je v rozpore s článkom 44 GDPR.
• Aj v Nórsku Odvolacia rada pre ochranu súkromia potvrdila rozhodnutie Úradu pre ochranu údajov udeliť obci pokutu vo výške 352 555 eur za porušenie článku 5(1)(f) a článkov 24 a 32 GDPR po útoku ransomvéru, ktorý viedol k nenahraditeľnej strate vysoko citlivých osobných údajov a ich predaju na dark webe.
• RAKÚSKO: Rakúsky úrad na ochranu údajov (APD) rozhodol, že používanie sledovacieho pixelu spoločnosti Facebook porušuje GDPR a rozhodnutie Súdneho dvora EÚ vo veci „Schrems II“ o transatlantických tokoch údajov.
• BELGICKO: V Belgicku mohol verejný orgán uplatniť článok 6(1)(e) GDPR na geolokáciu služobných vozidiel svojich zamestnancov, pretože neexistovali žiadne iné, menej invazívne riešenia a sledovanie bolo nevyhnutné pre efektívne využívanie jeho obmedzených zdrojov.

V tomto prípade však bol prevádzkovateľ pokarhaný za niekoľko ďalších porušení nariadenia.

• ÍRSKO: Bank of Ireland dostala pokutu 750 000 eur. Úrad na ochranu údajov (DPA) zistil, že prevádzkovateľ údajov primerane neposúdil riziká spojené so spracovaním ani nezaviedol vhodné bezpečnostné opatrenia.
• ŠPANIELSKO: Španielsky úrad na ochranu údajov (APD) udelil spoločnosti Orange Spain pokutu 100 000 eur za porušenie zásady minimalizácie údajov tým, že na doručenie telefónu zakúpeného online požadoval fotografiu prednej a zadnej strany dokladu totožnosti zákazníka.
• Aj v Španielsku je prevádzkovateľ údajov, ktorý nereaguje na žiadosť o prístup z dôvodu chyby zamestnanca, zodpovedný za porušenie článku 15 GDPR.

 

• SPOJENÉ ŠTÁTY AMERICKÉ: Federálna obchodná komisia 25. marca zverejnila na svojom blogu článok s názvom „Chatboti, deepfakes a hlasové klony“ alebo klamstvo prostredníctvom umelej inteligencie.

Federálna obchodná komisia (FTC) poukazuje na znepokojujúcu vznikajúcu hrozbu, ktorou sa musia spoločnosti v digitálnom ekosystéme zaoberať.

Technologický úrad FTC tiež vydal analýzu a usmernenia týkajúce sa sledovacích pixelov tretích strán na základe svojich nedávnych rozhodnutí týkajúcich sa poskytovateľov digitálnych zdravotníckych služieb.

• NIST (Národný inštitút pre štandardy a technológie) spúšťa Centrum zdrojov pre dôveryhodnú a zodpovednú umelú inteligenciu.

Cieľom je podporiť zainteresované strany v oblasti umelej inteligencie pri vývoji týchto technológií.

Sprevádza ho rámec riadenia rizík a príručka s postupmi a jeho cieľom je poskytnúť prístup k širokej škále relevantných zdrojov k danej téme.

• JUŽNÁ KÓREA: Juhokórejská komisia pre ochranu osobných údajov udelila pokutu spoločnostiam McDonald's, British American Tobacco a Samsung za porušenie ochrany súkromia.

Spoločnosť McDonald's dostala pokutu 484 000 eur za ukladanie záložných súborov týkajúcich sa používateľov svojej služby McDelivery na serveri, ktorý ponechal povolené zdieľanie, čo umožnilo hackerom prístup k údajom 4 876 106 zákazníkov.

V inom incidente boli ukradnuté údaje 766 846 kupujúcich hamburgerov, čo malo za následok, že spoločnosť dostala počiatočnú pokutu vo výške 7 000 eur.

• ALŽÍRSKO: Zákon č. 18-07 týkajúci sa ochrany fyzických osôb pri spracovaní osobných údajov nadobudne účinnosť v auguste 2023.