Temné vzory: Čo ste vždy chceli vedieť, ale báli ste sa opýtať...

Právny prehľad č. 45 – marec 2022.

Tento ťažko preložiteľný anglický výraz sa nachádza v mnohých publikáciách týkajúcich sa informačných technológií. 

V súvislosti s „postrčovaním“, ktorého cieľom je nenápadne povzbudzovať používateľov internetu k prijatiu požadovaného správania, sa „temné vzory“ zameriavajú na rovnaký cieľ prostredníctvom návrhu webových rozhraní.

Európsky výbor pre ochranu údajov prijal 14. marca usmernenia týkajúce sa „temných vzorov“ v rozhraniach platforiem sociálnych médií. 

Dokument, ktorý je predmetom verejnej konzultácie, je určený pre používateľov, aby im pomohol identifikovať tieto techniky, a pre dizajnérov, ktorým ponúka osvedčené postupy na uľahčenie dodržiavania GDPR. 

Dokument uvádza v zozname, ktorý pripomína Prévertov štýl, rôzne postupy: 

• Preťaženie informáciami konfrontuje používateľa s lavínou údajov alebo možností (napríklad nekonečný zoznam príjemcov súborov cookie), čo ho vedie k zdieľaniu väčšieho množstva informácií, než by si želal. 

• Preskakovanie vedie používateľa k tomu, že zabudne skontrolovať určité podmienky používania svojich údajov, napríklad tým, že jeho pozornosť upriami na niečo iné.

• Miešanie ovplyvňuje rozhodnutia používateľov tým, že hrá na ich emócie (napríklad ich povzbudzuje, aby sa neodhlásili zo sociálnej siete)

• Prekážka (bránenie) bráni používateľom internetu v tom, aby si prostredníctvom nefunkčných odkazov vybrali informácie, ktoré sú dlhšie, ako je potrebné, alebo sú zavádzajúce.

• Nekonzistentnosť dizajnu (nestálosť) sťaží navigáciu v kontrolných nástrojoch prostredníctvom dekontextualizovanej alebo nehierarchickej prezentácie informácií.

• Nakoniec, dizajn môže nechať používateľa internetu v nevedomosti, používanie protichodných, nejednoznačných informácií (v predvolenom nastavení povolené alebo zakázané rôzne sfarbené tlačidlá) alebo diskontinuita v používaných jazykoch (prepínanie z francúzštiny do angličtiny).

Človek by takmer žasol nad takýmito technikami a predstavivosťou, keby tieto praktiky neboli nezákonné, pretože sú v rozpore so zásadou lojality stanovenou v článku 5(1)(a) GDPR, ako aj so zásadami transparentnosti, minimalizácie údajov, zodpovednosti, účelu a platnosti súhlasu.

Usmernenia EDPB poskytujú príklady pre každý typ techniky a rady na zjednodušenie výberu pre používateľov. 

Medzi osvedčené postupy patrí: 

• Používanie skratiek na povolenie rýchlych akcií (odhlásenie z účtu).

• Používanie bannerov alebo vyskakovacích okien v prípade zmeny alebo konkrétneho rizika (napríklad narušenie bezpečnosti).

• Používanie jednoduchého a konzistentného jazyka.

• Zoznam definícií.

• Použitie príkladov.

• Vysvetlenie dôsledkov rôznych navrhovaných možností.

• Systematické zobrazenie mapy stránky a tlačidlo „späť“, ktoré umožňuje používateľovi obnoviť navigáciu.

Treba poznamenať, že rozhodnutia CNIL z januára minulého roka proti spoločnostiam Google a Facebook, ktoré týmto spoločnostiam udelili pokuty vo výške 150 a 60 miliónov eur, trestajú používanie tmavých vzorov pri používaní súborov cookie: rozhrania ponúkali jednoduchú možnosť aktivácie súborov cookie jedným kliknutím, zatiaľ čo na odmietnutie všetkých súborov cookie bolo potrebných niekoľko krokov. 

Zatiaľ čo pozornosť dozorných orgánov sa doteraz sústredila na súbory cookie, teraz je v stávke širší súbor postupov. Úloha dizajnérov rozhraní sa stáva o to dôležitejšou.

A tiež

Francúzsko:

Oddelenie pre kybernetickú kriminalitu parížskej prokuratúry začalo súdne vyšetrovanie v súvislosti s rozsiahlym únikom lekárskych údajov. 

Únik údajov sa pravdepodobne dotkol približne 500 000 jednotlivcov a pochádzal z približne tridsiatich laboratórií lekárskej biológie. Vyšetrovanie vykonávajú aj ANSSI a CNIL v spolupráci s vydavateľom softvéru na správu, ktorý laboratóriá používajú.

Ďalší rozsiahly únik údajov prinútil Národnú zdravotnú poisťovňu 17. marca vydala vyhlásenie, v ktorom uviedla, že hackeri napadli účty najmenej 19 zdravotníckych pracovníkov na portáli Amelipro.  

Tento kybernetický útok ovplyvnil identifikačné údaje a čísla sociálneho zabezpečenia približne 500 000 poistencov.

V sektore zdravotníctva bol v januári 2022 zdieľaný zdravotný záznam (DMP) integrovaný do digitálneho zdravotníckeho priestoru (ENS alebo „Môj zdravotný priestor“).  

CNIL na svojej webovej stránke pripomína, ako tieto dva systémy fungujú a aké sú práva dotknutých osôb.

28. júna 2022 zorganizuje CNIL prvý ročník Dňa výskumu súkromia v Paríži., medzinárodná konferencia venovaná výskumu v oblasti ochrany súkromia a osobných údajov.

Európa: 

Dohoda medzi Európou a Spojenými štátmi týkajúca sa prenosu osobných údajov je na dohľad. 

Ursula Von der Leyenová a Joe Biden oznámili 25. marca politickú dohodu v tejto veci, pričom toto oznámenie objasnil európsky komisár pre spravodlivosť Didier Reynders, ktorý naznačil, že ide o dohodu o „zásadách“ budúcej transatlantickej dohody. 

Nový právny rámec by nahradil „zásady bezpečného prístavu“ a „štít na ochranu osobných údajov“, ktoré Európsky súdny dvor vyhlásil za zastarané z dôvodu nedodržiavania európskych zásad ochrany údajov. 

Navrhované rozšírenie nariadení o certifikátoch Covid (EUDCC) zo strany Európskej komisie je v hľadáčiku orgánov na ochranu údajov. 

EDPS a EDPB vyjadrili výhrady k absencii posúdenia vplyvu pred návrhmi Komisie na obnovenie týchto certifikátov o jeden rok.  

Výbor a európsky dozorný úradník pre ochranu údajov však uznali, že rozšírenie akceptovaných typov testov a zahrnutie počtu podaných dávok do osvedčenia podstatne nemení súčasné ustanovenia.

V polovici marca zamestnanci spoločnosti Amazon podali hromadnú žiadosť o prístup k údajom, ktoré o nich spoločnosť uchováva, s cieľom overiť podmienky sledovania na ich pracoviskách.  

Žiadatelia z Nemecka, Spojeného kráľovstva, Talianska, Poľska a Slovenska podali svoju žiadosť podľa článku 15 GDPR v spolupráci s Globálnym odborovým zväzom pracovníkov (UNI) a mimovládnou organizáciou NOYB.  

Okrem svojich usmernení týkajúcich sa „temných vzorcov“ na sociálnych sieťach, Európsky výbor pre ochranu údajov prijal na svojom plenárnom zasadnutí 14. marca usmernenia k uplatňovaniu článku 60 GDPR týkajúce sa spolupráce medzi orgánmi pre ochranu údajov. 

Cieľom tohto dokumentu je zlepšiť uplatňovanie ustanovení o jednotnom kontaktnom mieste. 

Systém zabezpečuje kontaktný orgán pre spoločnosti so sídlom v Európskej únii na základe ich hlavného miesta sídla a postup spolupráce so všetkými ostatnými orgánmi zapojenými do konania v prípade sťažností alebo pripojených prevádzok v ich krajine. 

Taliansky úrad na ochranu údajov udelil 10. februára spoločnosti Clearview IA pokutu vo výške 20 000 000 eur. za používanie biometrických rozpoznávacích systémov na verejných internetových zdrojoch v rozpore s GDPR. Nariadil vymazanie údajov. Britský úrad na ochranu údajov udelil 28. februára právnickej firme pokutu 117 000 eur. za porušenie článku 5(1)(f) a článku 32 GDPR, a najmä za neimplementáciu vhodných bezpečnostných opatrení. 

Španielsko schválilo kódex správania 17. februára týkajúce sa ochrany údajov v kontexte klinických skúšok a farmakovigilancie.

Írsky úrad na ochranu údajov udelil 15. marca spoločnosti Meta (predtým Facebook) pokutu 17 miliónov eur po niekoľkých bezpečnostných porušeniach. : dozorný orgán usúdil, že spoločnosť neprijala technické a organizačné opatrenia potrebné na zabezpečenie bezpečnosti údajov. 

Rozhodnutie prijaté po postupe spolupráce s ostatnými európskymi dozornými orgánmi, ktorých sa prípad týka (článok 60 GDPR).

V Nemecku udelil Úrad na ochranu údajov v Brémach 3. marca pokutu spoločnosti spravujúcej nehnuteľnosti (Brebau GmbH) vo výške 1 900 000 eur za nezákonné spracovanie citlivých údajov. týkajúcich sa viac ako 9 500 kandidátov na nájomníkov. 

Medzi spracovanými údajmi bola farba pleti, náboženstvo, sexuálna orientácia, zdravotný stav, účes a telesný pach.

Medzinárodné: 

V rozhodnutí o urovnaní zo 4. marca Federálna obchodná komisia Spojených štátov amerických požaduje, aby spoločnosť WW International (Weight Watchers) zničila algoritmy alebo modely umelej inteligencie navrhnuté s použitím osobných údajov maloletých. bez predchádzajúceho súhlasu rodičov. 

Spoločnosť dostala tiež pokutu 1,5 milióna dolárov a príkaz zničiť nelegálne zhromaždené údaje. 

Toto je už tretíkrát, čo FTC požaduje zničenie algoritmu umelej inteligencie v rámci príkazu na urovnanie.  

THE Srí Lanka prijala 19. marca 2022 zákon o ochrane osobných údajov.

Spoločnosť Nokia, ktorá oznámila, že kvôli vojne na Ukrajine zastavuje svoju činnosť v Rusku, je obvinená z toho, že po sebe zanechala telekomunikačný systém, ktorý umožňoval sledovanie ruského obyvateľstva. 

Podľa interných dokumentov, ktoré odhalil denník New York Times, spoločnosť Nokia dodáva Rusku už viac ako päť rokov zariadenia a služby na prepojenie ruského sledovacieho systému SORM (Systém pre operatívnu vyšetrovaciu činnosť) s najväčšou ruskou telekomunikačnou službou MTS.

Anne Christine Lacoste  Anne Christine Lacoste, partnerka v spoločnosti Olivier Weber Avocat, je právnička špecializujúca sa na právo týkajúce sa údajov; bola vedúcou oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.