UI vo všetkých jej formách

Právne upozornenie č. 52 – Október 2022

17. októbra 2022 CNIL potvrdila svoju kompetenciu ako regulačného orgánu v oblasti umelej inteligencie udelením sankcií spoločnosti Clearview AI vo výške 20 miliónov eur.

Táto sankcia nasleduje po formálnom oznámení, ktoré zostalo nezodpovedané, a po nedostatočnej spolupráci spoločnosti počas inšpekčného konania.

Prijaté po konzultačnom postupe na európskej úrovni sa pripája k sankciám, ktoré voči tej istej spoločnosti uvalili viacerí jej partneri.

• CNIL poznamenáva, že neexistuje právny základ pre systematické a rozsiahle zhromažďovanie dvadsiatich miliárd obrázkov tvárí verejne dostupných na miliónoch webových stránok, pričom tieto obrázky spoločnosť predáva najmä orgánom činným v trestnom konaní.
• CNIL sa domnieva, že vzhľadom na mimoriadne rušivú povahu a biometrickú povahu údajov mal byť zber podmienený predchádzajúcim súhlasom dotknutých osôb.
• Taktiež poznamenáva, že spoločnosť nerešpektuje práva dotknutých osôb na prístup a vymazanie údajov.

Toto rozhodnutie prichádza v kontexte čoraz presnejšieho dohľadu nad umelou inteligenciou na národnej a medzinárodnej úrovni.

Štátna rada preto koncom leta prijala dva dokumenty, v ktorých sa vyjadruje k riadeniu budúceho európskeho nariadenia o umelej inteligencii:

Štátna rada sa vo svojom dokumente z 30. augusta 2022 zaoberá otázkou kvality verejných služieb a kladie základy francúzskej stratégie pre umelú inteligenciu.

Okrem iného nabáda k posilneniu právomocí CNIL a k jej formálnemu prevzatiu zodpovednosti za reguláciu systémov umelej inteligencie.

Preto odporúča transformáciu CNIL, ktorá by sa stala „národným dozorným orgánom zodpovedným za reguláciu systémov umelej inteligencie, najmä verejných, aby stelesňovala a internalizovala dvojitú výzvu ochrany základných práv a slobôd na jednej strane a inovácií a verejného výkonu na strane druhej.“

Štátna rada 27. septembra tiež publikovala štúdiu týkajúcu sa dohľadu nad sociálnymi sieťami v kontexte rozvoja umelej inteligencie, v ktorej uvádza 17 odporúčaní na vyváženie síl v prospech používateľov, vybavenie verejných orgánov v ich úlohe regulátora a zamyslenie sa nad sociálnymi sieťami zajtrajška.

Z jeho strany, Parlament sa zaoberá otázkou video dohľadu a rozpoznávania tváre: Právna komisia Národného zhromaždenia spustila 13. septembra vyšetrovaciu misiu, ktorú poverila poslanca a člena kolégia CNIL Philippa Latombeho.

Poslanci budú musieť pochopiť „výzvy spojené s používaním bezpečnostných snímok vo verejnej doméne na boj proti neistote“ a budú sa zaoberať najmä rozpoznávaním tvárí.

To bude zahŕňať zhodnotenie nedávno schválených zariadení, ako sú telové kamery a drony, a zváženie možného vývoja, ako sú napríklad rozšírené kamery, s cieľom vypracovať legislatívny návrh.

Spomeňme aj začatie rokovaní o dohovore Rada Európy o umelej inteligencii, ľudských právach, demokracii a právnom štáte.

Bol by to prvý právne záväzný medzinárodný nástroj o umelej inteligencii.

Tento dohovor by doplnil nariadenie o umelej inteligencii, ktoré navrhla Európska komisia, a to posilnením ochrany základných práv jednotlivcov.

THE Európsky dozorný úradník pre ochranu údajov túto iniciatívu privítal a zároveň pripomenul systémy umelej inteligencie, ktoré podľa neho predstavujú neprijateľné riziká a mali by byť zakázané, a to:

• Sociálne bodovanie,
• Biometrická identifikácia vo verejných priestoroch,
• Kategorizácia jednotlivcov na základe biometrických údajov
• Kategorizácia jednotlivcov na základe ich vnímaných emócií.

Treba pripomenúť, že nariadenie o umelej inteligencii, ktoré navrhla Európska komisia, podporuje tento prístup tým, že zakazuje najrušivejšie techniky umelej inteligencie, ako sú tie, ktoré manipulujú s jednotlivcami alebo umožňujú sociálne bodovanie.

Stále nedostatočné pre obhajcov slobôd a nadmerné pre ich kritikov.

Treba poznamenať, že Spojené štáty koncom októbra zaslali viacerým hlavným mestám a Európskej komisii neoficiálny dokument s cieľom presvedčiť ich, aby obmedzili rozsah budúcich nariadení a rozšírili ich výnimky s cieľom zachovať väčšiu flexibilitu v možnom využití umelej inteligencie.

Spojené štáty tiež pripravujú samy regulácie týkajúce sa umelej inteligencie: 4. októbra prezident Joe Biden predstavil „Listinu práv umelej inteligencie“, ktorá opisuje päť záruk, z ktorých by mali Američania profitovať:

• Bezpečné a efektívne systémy,
• Ochrana pred algoritmickou diskrimináciou,
• Dôvernosť údajov,
• Oznámenia a vysvetlenia o tom, ako funguje umelá inteligencia,

• Ľudské alternatívy k automatizovaným rozhodnutiam.

Na záver treba poznamenať, že regulačné orgány pre ochranu údajov z viac ako 120 krajín sa dohodli na rámci pre používanie rozpoznávania tváre v 44. svetové zhromaždenie o ochrane súkromia ktorý sa konal koncom októbra v Istanbule.

Uznesenie vyžaduje, aby subjekt používajúci technológiu

• Stanoviť „jeho primeraný, nevyhnutný a proporcionálny charakter“,
• Posudzuje rešpektovanie práv jednotlivcov
• Zabezpečuje bezproblémové používanie technológie.

Musia sa zaviesť aj jasné a účinné mechanizmy zodpovednosti.

A tiež

Francúzsko:

Kybernetická kriminalita: Minister poverený digitálnymi záležitostami a minister zdravotníctva oznámili rozpočet vo výške 20 miliónov eur v prospech ANSSI na posilnenie podpory zdravotníckych zariadení, ktoré sa stali obeťami ransomvéru.

CNIL zverejňuje na svojej webovej stránke vzdelávacie zdroje s cieľom lepšie chrániť deti vo veku 8 až 10 rokov na internete.

Tieto zdroje sú určené pre rodičov, deti, učiteľov a pedagógov.

CNIL tiež 17. októbra aktualizovala svoje odporúčanie týkajúce sa overovania hesla.

V kontexte zvýšených hrozieb pre online bezpečnosť CNIL rozvíja najmä užitočnosť riešení silného alebo viacfaktorového overovania a elektronických certifikátov.

Európa:

Európsky výbor pre ochranu údajov (EDPB) prijal aktualizované usmernenia týkajúce sa oznamovania porušení ochrany údajov, otvorené na verejnú konzultáciu do 29. 11. 2022.

Aktualizovaná časť sa týka oznámenia narušenia bezpečnosti správcom so sídlom mimo Európskej únie.

Skutočnosť, že tento manažér vymenoval zástupcu v jednej z krajín EÚ, ho podľa EDPB nezbavuje rozsiahlych povinností: text teraz špecifikuje, že „samotná prítomnosť zástupcu v členskom štáte neaktivuje jednotné kontaktné miesto“.

Preto bude potrebné o porušení informovať každý orgán, pre ktorý majú dotknuté osoby bydlisko v ich členskom štáte.

Súdny dvor Európskej únie vo svojom rozsudku z 20. októbra rozhodol, že ďalšie spracovanie pozostávajúce z vytvorenia databázy z existujúcej databázy na vykonávanie testov a opravu chýb je povolené, ak

1. existuje „konkrétna, logická a dostatočne úzka súvislosť medzi účelmi pôvodného zhromažďovania a následného spracovania“; a
2. ďalšie spracovanie sa neodchyľuje od oprávnených očakávaní účastníkov.

V danom prípade Súdny dvor usúdil, že takáto úzka súvislosť existuje. Pripomína, že údaje musia byť vymazané po splnení (sekundárneho) účelu spracovania.

V rozsudku z 27. októbra týkajúcom sa belgickej spoločnosti Proximus, Súdny dvor rozhoduje o povinnostiach poskytovateľov telefónnych zoznamov, keď predplatiteľ odvolá svoj súhlas so spracovaním svojich údajov.

Súdny dvor sa domnieva, že orgán na ochranu údajov môže od poskytovateľa verejne dostupných telefónnych zoznamov ako prevádzkovateľa požadovať, aby prijal vhodné opatrenia na informovanie ostatných prevádzkovateľov údajov (vrátane poskytovateľa telekomunikačnej služby, od ktorého boli údaje poskytnuté) o odvolaní súhlasu účastníka.

Nariadenie o európskych digitálnych trhoch (DMA) bolo zverejnené 12. októbra 2022.

Tento text, ktorého cieľom je „ukončiť nekalé praktiky spoločností, ktoré pôsobia ako „strážcovia brány“ v ekonomike online platforiem“, sa bude uplatňovať od 2. mája 2023.

Definuje veľké online platformy ako „strážcov brány“ a stanovuje zoznam zákazov a povinností, ktorých cieľom je „zabezpečenie spravodlivých a otvorených digitálnych trhov“.

Návrh európskeho nariadenia o sexuálnom zneužívaní detí (CSAR) je predmetom veľkej kritiky zo strany občianskej spoločnosti a spustením kampane „prestaňte ma skenovať“.

Podľa dotknutých mimovládnych organizácií návrh napriek svojim chvályhodným cieľom hrozí „zásadným ohrozením bezpečnej online komunikácie a znížením bezpečnosti internetu pre všetkých“.

Orgány činné v trestnom konaní plánujú použiť automatizované online skenovanie súkromnej komunikácie na zacielenie obsahu súvisiaceho so sexuálnym zneužívaním detí.

Vyšetrovanie Írskej rady pre občianske slobody (ICCL) však odhalilo, že írska polícia uchováva osobné údaje – e-mail, prezývku, IP adresu – aj v prípade falošných poplachov.

Obrovský počet falošne pozitívnych výsledkov – predpokladá sa, že použiteľných je menej ako 10 hlásení % – by mohol tiež zabrániť polícii v riešení jadra problému.

Taliansky úrad na ochranu údajov začína vyšetrovanie aplikácie, ktorá generuje umelé hlasy („deep fake“).

Úrad začal vyšetrovanie aplikácie Fakeyou, ktorá údajne prevádza textové súbory na hlasy napodobňujúce hlasy slávnych ľudí, najmä talianskych.

Taliansky úrad na ochranu spotrebiteľa okrem toho rozhodol, že označenie zobrazujúce štylizovanú kameru neposkytuje dostatočné informácie o používaní kamier na video dohľad a uložil prevádzkovateľovi pokutu vo výške 2 000 eur.

Írsky úrad Úrad na ochranu údajov sprístupnil na svojej webovej stránke súhrn viac ako 30 konkrétnych prípadových štúdií, ktorými sa zaoberal a ktoré nie sú zahrnuté v jeho výročných správach. Publikácia poskytuje lepšie pochopenie prístupu úradu k témam, ako je monitorovanie zamestnancov, video dohľad, pojem oprávneného záujmu a zlučiteľnosť účelov spracovania.

Holandský odvolací súd v Arnhem-Leeuwardene potvrdil súdny príkaz, že regulačný orgán pre autorské práva nemôže prinútiť poskytovateľa internetových služieb zasielať varovné listy podozrivým z porušovania autorských práv: poskytovateľ internetových služieb nemá žiadny právny základ na spracovanie osobných údajov týkajúcich sa odsúdení za trestné činy a priestupkov.

Úrad na ochranu údajov Spojeného kráľovstva (ICO) komunikuje o biometrických technológiách, ako sú technológie analýzy emócií, ktoré sú podľa nej nezrelé a predstavujú riziko diskriminácie.

Medzi identifikované riziká patrí monitorovanie fyzického zdravia pracovníkov pomocou prenosných skríningových nástrojov a vizuálne a behaviorálne pozorovanie vrátane držania tela, reči, pohybov očí a pohybov hlavy s cieľom prihlásiť študentov na skúšky.

ICO tiež zverejňuje návrh usmernení o monitorovaní zamestnancov.

Komisia poukazuje najmä na rastúci trend „práce z domu“ a problém monitorovania produktivity, keďže očakávania pracovníkov týkajúce sa súkromia sú pravdepodobne vyššie doma ako v práci.

ICO tiež poznamenáva, že „monitorovanie stlačení klávesov sa klasifikuje ako behaviorálne biometrické údaje, keď je pracovník identifikovateľný na základe jeho jedinečného vzoru a rytmu písania.“ Návrh je otvorený na konzultácie do 11. januára 2023.

Medzinárodné:

Prenosy údajov do Spojených štátovDôležitý míľnik sa dosiahol 7. októbra, keď prezident Biden podpísal výkonný príkaz o posilnení záruk pre činnosti signálového spravodajstva Spojených štátov.

Cieľom tohto dekrétu je umožniť zavedenie nového rámca ochrany údajov medzi Európskou úniou a Spojenými štátmi v nadväznosti na rozhodnutie Súdneho dvora EÚ vo veci Schrems II, ktorým sa štít na ochranu osobných údajov stal zastaraným.

Dohoda by sa mohla finalizovať začiatkom roka 2023 po stanovisku Európskeho výboru pre ochranu údajov (EDPB) a prijatí rozhodnutia o primeranosti Európskou komisiou.

Neistota okolo dohody sa týka rozsahu právomocí amerických orgánov v oblasti dohľadu a možností, ktoré majú európski občania k dispozícii proti opatreniam USA prijatým proti nim.

Dodajme, že keďže tento dekrét nemá silu zákona, je možné ho zrušiť, čo zvyšuje právnu neistotu.