Automatizované rozhodnutia: ako sa implementuje GDPR?

Právne správy č. 47 – Máj 2022

Automatizované rozhodnutia: ako sa implementuje GDPR? Fórum pre budúcnosť súkromia (Fourthe of Privacy Forum) publikovalo 17. mája rozsiahlu správu o problematike automatizovaných rozhodnutí.

Táto správa analyzuje viac ako 70 dokumentov, ktoré objasňujú, ako článok 22 GDPR implementujú súdy a tribunály, európske a britské orgány na ochranu údajov, ako aj niekoľko usmernení a odporúčaní vydaných regulačnými orgánmi na túto tému.

Zatiaľ čo automatizované rozhodnutia boli už upravené v európskej smernici 95/46/ES, táto zásada nadobudla nový rozmer od nadobudnutia účinnosti GDPR.

Je preto uplatniteľný v rozmanitejších a častejších kontextoch, ako sú napríklad kontexty umelej inteligencie, a úrady pre rozpoznávanie umelcov (APD) teraz majú prostriedky na presadzovanie práva.

Tento typ rozhodnutia sa vyskytuje najmä v nasledujúcich oblastiach:

• Kontrola prístupu a dochádzky v školách pomocou technológií rozpoznávania tváre

• Online monitorovanie na univerzitách a automatizované známkovanie študentov

• Automatické filtrovanie žiadostí o zamestnanie

• Algoritmické riadenie pracovníkov platformy

• Rozdeľovanie sociálnych dávok a odhaľovanie daňových podvodov

• Automatizované hodnotenie úverovej bonity

• Rozhodnutia o moderovaní obsahu na sociálnych sieťach

Stručne si pripomeňme princíp: Článok 22 GDPR dáva jednotlivcom právo nebyť predmetom rozhodnutia založeného výlučne na automatizovanom spracovaní, vrátane profilovania, ktoré má právne účinky týkajúce sa jej alebo ju podobným spôsobom významne ovplyvňuje.

V tejto súvislosti treba poznamenať, že Európsky výbor pre ochranu údajov objasnil, že prevádzkovatelia údajov sa nemôžu vyhnúť uplatňovaniu článku 22 tým, že by človek jednoducho opečiatkoval rozhodnutia prijaté strojom bez toho, aby mal skutočnú právomoc alebo kompetenciu na zmenu výsledku.

Na druhej strane, ak daný automatizovaný proces poskytuje iba údaje pre rozhodnutie, ktoré nakoniec prijme človek, spracovanie, ktoré je jeho základom, nespadá do rozsahu pôsobnosti článku 22.

Podľa článku 22 ods. 2 sú automatizované rozhodnutia naďalej možné, ak sú nevyhnutné na plnenie zmluvy, ak je to stanovené zákonom alebo ak sú založené na výslovnom súhlase jednotlivca.

V takýchto prípadoch prevádzkovateľ napriek tomu zabezpečí vhodné opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby a jej práva na dosiahnutie aspoň ľudského zásahu zo strany prevádzkovateľa, na vyjadrenie svojho názoru a na napadnutie rozhodnutia.

Toto prísne obmedzenie automatizovaných rozhodnutí treba interpretovať v širšom kontexte GDPR, a najmä v jeho požiadavkách týkajúcich sa legitímnosti akéhokoľvek spracovania, existencie právneho základu a pravidiel týkajúcich sa tzv. citlivých údajov – vrátane biometrických údajov.

Analyzované dokumenty ukazujú, že dozorné orgány a súdy tieto zásady prísne uplatňujú.

Trvajú najmä na nasledujúcich prvkoch:

• Povinnosť transparentnosti, pokiaľ ide o parametre vedúce k automatizovanému rozhodnutiu;

• Uplatňovanie zásady lojality s cieľom zabrániť diskriminácii;

• Prísne podmienky na získanie súhlasu dotknutej osoby.

Okrem toho sa pri rozhodovaní o tom, či je rozhodnutie výlučne automatizované, zohľadní celý kontext rozhodovacieho procesu: organizačná štruktúra manažéra, hierarchické línie, informovanosť zamestnancov.

Na posúdenie vplyvu rozhodnutia na jednotlivca orgány skúmajú najmä to, či vstupné údaje automatizovaného rozhodnutia obsahujú závery o správaní jednotlivcov a či rozhodnutie ovplyvňuje správanie a voľby dotknutých jednotlivcov.

Vo Francúzsku je jedným z referenčných rozhodnutí rozhodnutie CNIL v Súbor Clearview, pokiaľ ide o rozpoznávanie tvárí: Komisia nariadila spoločnosti Clearview AI, aby do dvoch mesiacov prestala zhromažďovať snímky tvárí ľudí vo Francúzsku z internetu na účely dopĺňania databázy, ktorá trénuje jej softvér na rozpoznávanie tvárí, a aby predtým zhromaždené snímky vymazala.

Taliansko a Spojené kráľovstvo prijali podobné rozhodnutia týkajúce sa tej istej spoločnosti.

Rozsudok vynesený správnym súdom v Marseille vo februári 2020 zrušil rozhodnutie regiónu Provence-Alpes-Côte d'Azur o vykonaní dvoch pilotné projekty rozpoznávania tvárí pri vchodoch do škôl z Nice a Marseille.

Kým prípad prebiehal, CNIL vyjadrila obavy týkajúce sa zavedenia takéhoto systému vzhľadom na cieľovú skupinu (deti) a citlivosť príslušných biometrických údajov.

Rozhodnutie súdu o zrušení pilotných projektov bolo prijaté z dôvodu, že súhlas získaný od stredoškolákov nebol udelený slobodne, konkrétne, informovane a jednoznačne a že školy mali k dispozícii menej rušivé prostriedky na kontrolu prístupu svojich študentov do svojich priestorov (napríklad kontroly preukazov/identifikačných kariet v kombinácii s video dohľadom).

Dodajme, že vo väčšine prípadov sa prevádzkovateľ údajov nebude môcť vyhnúť analýza vplyvu, ako je stanovené v článku 35 GDPR, keď sa rozhodnutie týka profilovania s významnými vplyvmi na jednotlivca: napríklad v Taliansku nedávne rozhodnutie DPA týkajúce sa spoločnosti Deliveroo: spoločnosť mala vykonať analýzu vplyvu svojho algoritmu, spracovania s využitím inovatívnych technológií, ktoré prebieha vo veľkom rozsahu (z hľadiska počtu cyklistov – 8 000 – aj typov použitých údajov), týka sa zraniteľných jednotlivcov (pracovníkov v „gigovej ekonomike“ platených za danú úlohu) a zahŕňa hodnotenie alebo ohodnotenie týchto údajov.

A tiež

Francúzsko:

CNIL zverejňuje svoju správu o činnosti za rok 2021: Medzi jeho významné aktivity patrí obnovenie politiky podpory, zvýšená mobilizácia v oblasti kybernetickej bezpečnosti a posilnenie represívnych opatrení.

Zverejňuje tiež sériu kritérií na posudzovanie zákonnosti súborov cookie na stene.s (sledovacie steny).

Poskytuje informácie umožňujúce overenie zákonnosti „platené brány“, ktoré vyžadujú, aby používateľ internetu, ktorý odmieta súbory cookie, zaplatil určitú sumu peňazí za prístup na stránku.

Vydavateľ, ktorý chce zaviesť platený prístup, musí byť schopný odôvodniť primeranosť ponúkanej peňažnej kompenzácie a preukázať, že jeho platený prístup je obmedzený na účely, ktoré umožňujú spravodlivú odmenu za ponúkanú službu.

Francúzska vláda zavedie systém, ktorý umožní občanom overiť si totožnosť online skenovaním občianskeho preukazu smartfónom.

Úradný vestník v skutočnosti zverejnil dekrét č. 2022-676 z 26. apríla 2022, ktorý povoľuje vytvorenie aplikácie elektronickej identifikácie s názvom „Služba záruky digitálnej identity“.

Táto aplikácia bude prepojená s novým občianskym preukazom vybaveným čipom a umožní ukladanie jeho údajov do mobilného telefónu.

Európa:

12. mája Európsky výbor pre ochranu údajov prijala dve usmernenia, jedno o metódach výpočtu pokút v súlade s GDPR a druhé o rozpoznávaní tváre.

Výbor sa zasadzuje za to, aby sa nástroje na rozpoznávanie tváre používali len v prísnom súlade s európskou smernicou o polícii a justícii.

Tam Európska komisia zverejnila 11. mája svoj návrh nariadenia zameraného na prevenciu a boj proti materiálu zobrazujúcemu sexuálne zneužívanie detí (CSAM).

Dôsledky pre spoločnosti ako WhatsApp a Instagram, ktoré sú povinné monitorovať a mazať súkromnú komunikáciu alebo ju prenášať orgánom činným v trestnom konaní, znepokojujú občiansku spoločnosť.

Európska komisia zverejňuje otázky a odpovede o nových štandardných zmluvných doložkách pre medzinárodný prenos údajov

„Zákon o údajoch“ Európskej komisie vyvolal reakciu aj zo strany Európskeho výboru pre ochranu údajov a Európskeho dozorného úradníka pre ochranu údajov (EDPS). : v spoločnom stanovisku vyjadrili obavy z rozsahu pôsobnosti nariadenia.

Hoci sa zameriava najmä na údaje prenášané pripojenými objektmi, týka sa to aj citlivých osobných údajov.

Úrady požadujú jasné obmedzenia používania údajov na priamy marketing alebo reklamu, monitorovanie zamestnancov, poistné a úverové hlásenia.

Španielsky úrad na ochranu údajov udelil spoločnosti Google LLC pokutu vo výške 10 miliónov eur. za nezákonný prenos osobných údajov tretej strane a za znemožnenie uplatnenia práva na vymazanie.

Spoločnosť Google je v Spojenom kráľovstve žalovaná aj za nezákonné používanie lekárskych údajov. 1,6 milióna ľudí: DeepMind, systém umelej inteligencie tejto spoločnosti, údajne tieto údaje dostal v roku 2015 od Royal Free NHS Trust v Londýne na testovanie mobilnej aplikácie.

Google – napriek tomu sa konečne po odsúdení zo strany CNIL a jej európskych partnerov rozhodla zjednodušiť odmietnutie všetkých súborov cookie vo svojom vyhľadávači a na YouTube. Možnosť „Prispôsobiť“ bude tak nahradená dvoma tlačidlami „Prijať všetko“ a „Odmietnuť všetko“ rovnakého tvaru a tretím tlačidlom „Ďalšie možnosti“.

Podľa belgického úradu pre ochranu údajov Odoslanie e-mailu so zoznamom príjemcov v kópii namiesto skrytej kópie sa nepovažuje za narušenie bezpečnosti, pokiaľ je postihnutá iba malá skupina ľudí (16 ľudí).

Dánsky úrad zvažuje uloženie pokuty vo výške 100 000 DKK agentúre ministerstva spravodlivosti za stratu nešifrovaného USB kľúča a nenahlásenie porušenia bezpečnosti orgánu na ochranu údajov.

Írsky odvolací súd domnieva sa, že údaje zhromaždené systémom video monitorovania na účely predchádzania priestupkom nemožno použiť na monitorovanie zamestnancov a začatie disciplinárneho konania proti nim, keďže tento účel je nezlučiteľný s prvým.

Nórsky úrad na ochranu údajov má v úmysle uložiť úradu práce pokutu 486 700 eur za zverejnenie životopisov 1 800 000 ľudí online bez právneho základu.

Medzinárodné:

Európsky dozorný úradník pre ochranu údajov vyjadril vo svojom stanovisku z 18. mája obavy týkajúce sa účasti Európskej únie na Dohovore Organizácie Spojených národov o kybernetickej kriminalite.

Zdôrazňuje riziko oslabenia základných práv v dôsledku veľkého počtu zúčastnených krajín s rôznymi právnymi systémami.

Hongkonský úrad na ochranu údajov zverejnila 12. mája svoje usmernenia o používaní zmluvných doložiek pre medzinárodné prenosy údajov.

Singapurský úrad na ochranu údajov vydáva sprievodcu anonymizáciou údajov

Twitter dosiahol dohodu s americkým ministerstvom spravodlivosti a Federálnou obchodnou komisiou za 150 miliónov dolárov a zaväzuje sa zaviesť program dodržiavania predpisov týkajúci sa porušení dôvernosti neverejných údajov svojich predplatiteľov.

V správe Írskej rady pre občianske slobody sa uvádza, že Ponuky v reálnom čase, ktorý umožňuje zobrazovanie cielenej reklamy, stojí za najväčším únikom údajov, aký bol kedy na svete zaznamenaný.

Podľa údajov toto odvetvie, ktorého hodnota presahuje 110 miliárd eur, sleduje a zdieľa online aktivitu a reálnu polohu jednotlivcov 178 miliárd krát ročne v Spojených štátoch a Európe.

V Európe RTB zverejňuje údaje ľudí 376-krát denne. a Google odosiela 19,6 milióna vysielaní o online správaní nemeckých používateľov internetu každú minútu, keď sú online.

Anne Christine Lacoste

Anne Christine Lacoste, partnerka v spoločnosti Olivier Weber Avocat, je právnička špecializujúca sa na právo týkajúce sa údajov; bola vedúcou oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.