Týždeň módy Metaverse v Decentralande, jednom z najpopulárnejších virtuálnych svetov.

Právne správy č. 48 – Jún 2022

Odvážny nový svetV marci 2022 sa v Decentralande, jednom z najpopulárnejších virtuálnych svetov, konal podujatie Metaverse Fashion Week.

Online koncert vysielaný na hernej platforme Fortnite nedávno prilákal 12 miliónov divákov.

Virtuálny svet sa dnes vyvíja bez toho, aby boli jeho ľudské, ekonomické a sociálne dôsledky ešte úplne pochopené.

Nedávno zverejnená správa Európskeho parlamentu na túto tému uvádza, že do roku 2026 bude 25 % ľudí tráviť v metaverze aspoň jednu hodinu denne prácou, nakupovaním, vzdelávaním, spoločenskými aktivitami a/alebo zábavou.

Mnohé komerčné spoločnosti tam začali vyvíjať vlastné platformy, a to aj v prípade, že ich aktivity majú len veľmi vzdialené prepojenie s digitálnymi technológiami.

Metaverzum možno opísať ako pohlcujúci, neustály 3D virtuálny svet, v ktorom ľudia interagujú prostredníctvom avatara, aby si užili zábavu, nakupovali a vykonávali transakcie alebo pracovali bez toho, aby opustili svoje domovy.

Ekosystém ekonomického metaverza využíva technológie blockchainu a kryptomien, ako sú napríklad nezameniteľné tokeny (NFT), na monetizáciu transakcií v digitálnom prostredí.

Tento vývoj webu vyvoláva mnoho otázok, najmä pokiaľ ide o uplatňovanie práva.

Ako môžeme prakticky regulovať online fúzie a akvizície, obťažovanie, viac či menej legálne transakcie vykonávané v kryptomenách, masívny zber údajov o správaní jednotlivcov prostredníctvom ich avatarov alebo dokonca sledovanie jednotlivcov online zo strany orgánov činných v trestnom konaní?

V súvislosti s GDPR je v stávke veľa, ako zdôraznil nedávny článok publikovaný 20. mája v novinách Le Monde a ako poukazuje Európsky parlament, vzhľadom na bezprecedentnú kvalitu a množstvo zhromaždených údajov.

Môže ísť o výrazy tváre, gestá alebo iné typy fyzických či emocionálnych reakcií, ktoré môže avatar vyvolať počas interakcií, v reálnom čase a bez toho, aby si to uvedomoval.

Takto je možné zhromažďovať citlivé údaje, ako sú biometrické údaje.

Tieto informácie napríklad umožnia spoločnostiam lepšie pochopiť správanie používateľov a prispôsobiť reklamné kampane cieleným spôsobom.

Sú existujúce pravidlá prispôsobené tomuto novému vesmíru?

Ako môžeme získať súhlas jednotlivcov s takýmto zhromažďovaním údajov a kto je za zhromažďovanie zodpovedný v prostredí, kde je viacero rolí a kde je o to ťažšie identifikovať prevádzkovateľa údajov?

Ako riadiť interakcie s umelou inteligenciou, ktorá je neoddeliteľnou súčasťou fungovania Metaverse, a automatizované rozhodnutia, ktoré z nej vyplývajú?

Skúma sa niekoľko možností, ktoré vychádzajú nielen z GDPR, ale aj z navrhovaných európskych nariadení týkajúcich sa umelej inteligencie a správy údajov.

Spomeňme úlohu sprostredkovateľov údajov, ktorí by mohli centralizovať oprávnenia používateľov týkajúce sa používania ich údajov.

Navrhované nariadenie o riadení údajov zabezpečuje ochranu priestorov osobných údajov alebo portfólií údajov reguláciou zdieľania údajov a kontrolou súhlasu jednotlivcov.

Avšak v rozsahu, v akom sprostredkovatelia používajú umelú inteligenciu pri správe údajov, sú potrebné záruky, aby sa zabránilo zneužitiu a sprenevere.

Treba pripomenúť, že tieto dva navrhované nariadenia boli predmetom pripomienok Európskeho dozorného orgánu a Európskeho výboru pre ochranu údajov, ktorí trvajú na dodržiavaní zásady účelu pri používaní údajov a požadujú opatrenia, ktoré poskytujú viac kontrol a záruk pre dotknutú osobu, napríklad kódexy správania alebo certifikačné mechanizmy.

Úrady majú tiež výhrady k sociálnemu bodovaniu v kontexte sociálnych sietí vo všeobecnosti a ešte viac v Metaverse.

Osobitná pozornosť by sa mala venovať aj ochrane zraniteľných skupín, najmä detí, s cieľom overiť ich vek a odradiť ich od poskytovania osobných údajov.

Niektorí ďalej obhajujú otvorený a decentralizovaný Metaverse, ovládaný samotnými používateľmi vo forme decentralizovaných autonómnych organizácií (DAO).

V tomto type modelu, odlišnom od centralizovaného obchodného modelu, by používatelia mali väčšiu kontrolu nad svojimi údajmi a ich zdieľaním.

Aj tu by okrem regulačných usmernení k väčšej právnej istote prispeli aj kódexy správania a certifikačné mechanizmy.

Zopár odpovedí na množstvo otázok...

V každom prípade sa uplatňovanie práva nedosiahne bez väčšej zodpovednosti zo strany dotknutých aktérov.

A tiež

Francúzsko:

CNIL 7. júna zverejnila otázky a odpovede týkajúce sa používania služby Google Analytics.

Komisia nariadila viacerým organizáciám, aby dodržiavali GDPR, pretože žiadne z dodatočných záruk, ktoré jej boli predložené, neboli dostatočné na to, aby zabránili americkým spravodajským službám v prístupe k osobným údajom európskych používateľov.

Riešenie umožňujúce použitie proxy servera na zabránenie akémukoľvek priamemu kontaktu medzi terminálom používateľa internetu a servermi meracieho nástroja by podľa nej mohlo byť možné, ak by tento server spĺňal súbor kritérií rešpektujúcich odporúčania Európskeho výboru pre ochranu údajov (EDPB) zverejnené 18. júna 2021.

Štátna rada potvrdila, že CNIL je oprávnená ukladať sankcie mimo európskeho mechanizmu jednotného kontaktného miesta.

V danom prípade ide o spoločnosť Amazon online France, ktorá má prevádzku na francúzskom území a spracováva údaje osôb s bydliskom vo Francúzsku.

Potvrdila sa tak pokuta vo výške 35 miliónov eur uložená v roku 2020, ktorá penalizovala používanie súborov cookie bez súhlasu používateľa.

CNIL 30. júna uložila pokutu 1 milión eur spoločnosti Total Energies Electricité et Gaz de France. najmä za nedodržanie povinností týkajúcich sa komerčného prieskumu a práv jednotlivcov.

CNIL spustila 13. júna štúdiu o geolokačných údajoch zhromažďovaných mobilnými aplikáciami.

Ako bolo oznámené vo svojom strategickom pláne na roky 2022 – 2024, CNIL chce zvýšiť povedomie verejnosti a odborníkov o problémoch spojených so zhromažďovaním geolokačných údajov mobilnými aplikáciami.

Ide aj o overenie súladu s GDPR u profesionálov v sektore komerčného prieskumu.

Európa:

Európsky dozorný úradník pre ochranu údajov (EDPS) vyjadruje obavy v súvislosti so zmenami nariadenia o Europole, ktoré nadobudli účinnosť 28. júna 2022.

EDPS zdôrazňuje, že oslabujú základné právo na ochranu údajov, nezabezpečujú primeraný dohľad nad agentúrou a výrazne rozširujú mandát Europolu, pokiaľ ide o výmenu osobných údajov so súkromnými stranami, používanie umelej inteligencie a spracovanie rozsiahlych súborov údajov.

Dňa 14. júna Európsky výbor pre ochranu údajov (EDPB) zverejnil svoju odpoveď na Konzultácia Európskej komisie o vytvorení digitálneho eura.

16. júnaEDPB prijali usmernenia týkajúce sa certifikácia ako nástroj na prenos osobných údajov do tretích krajín, ktoré neposkytujú primeranú úroveň ochrany.

Konferencia, ktorú v júni zorganizovalaEDPS, ktorú sledovalo online a osobne viac ako 2 000 ľudí, sa uzatvárala kritickými postrehmi týkajúcimi sa Európska spolupráca pri vyšetrovaniach.

Podľa EDPS by mal každý dobrý model zahŕňať silné mechanizmy kolegiality a strategické vyšetrovania by sa mohli vykonávať na centrálnej úrovni, čo by prekonalo „problémy vyplývajúce z nekompatibilných vnútroštátnych právnych predpisov alebo rozdielnych pokusov o harmonizáciu“.

THE Rada Európy publikuje štúdiu o Špionážny softvér Pegasus a jeho vplyv na základné práva. Treba pripomenúť, že tento špionážny softvér je tiež predmetom vyšetrovania Európskeho parlamentu.

THE Sieť pre spoluprácu v oblasti ochrany spotrebiteľa (CPC) v spolupráci s orgánmi na ochranu údajov schválila 5 kľúčových zásad pre spravodlivá reklama pre detis.

THE Švajčiarsky federálny komisár pre ochranu údajov a informácií (FDPIC) poradila spoločnosti Suva (Švajčiarsky národný fond úrazového poistenia, ktorý poskytuje zdravotné poistenie svojim zamestnancom), aby prehodnotiť svoje rozhodnutie outsourcovať spracovanie svojich osobných údajov Spojeným štátoms – presnejšie v cloudovej službe od spoločnosti Microsoft, aj keď sú dáta hostované na serveri spoločnosti Microsoft vo Švajčiarsku.

Presuny mimo Európy sú tiež jadrom nedávneho rozhodnutia Štátna rada Belgicka, ktorá pozastavila rozhodnutie o výbere amerického dodávateľa v rámci postupu verejného obstarávania z dôvodu, že tento orgán dostatočne nepreskúmal, či dodávateľ splnil požiadavky GDPR, najmä ustanovenia týkajúce sa prevodov.

Rozhodnutie tiež spochybňuje ďalšie spracovanie údajov inou spoločnosťou Smart Analytics so sídlom v Rusku (prostredníctvom GDPRhub).

Desať spotrebiteľských združení, pod koordináciou Európska spotrebiteľská organizácia (BEUC)Spoločnosť , 30. júna oznámila, že podniká kroky na zabezpečenie súladu spoločnosti Google so zákonom: technologický gigant by spotrebiteľov pri registrácii účtu Google presmeroval na svoj sledovací systém namiesto toho, aby poskytoval ochranu ich údajov štandardne a zámerne, ako to vyžaduje GDPR.

Reforma britskej legislatívy v oblasti ochrany údajov po brexite dosiahla 17. júna nový míľnik, keď vláda zverejnila konečnú odpoveď na verejnú konzultáciu.

Dokument obsahuje niekoľko reforiem, ako napríklad zrušenie požiadavky na vymenovanie zodpovednej osoby, nahradenie požiadavky na súhlas právom namietať proti sledovaniu používateľov internetu a zmeny vo fungovaní Úradu komisára pre informácie.

Fínska oficiálna rozvojová pomoc (ODA) nariadil nemocnici vymazať históriu zamestnancov, záznamy o polohe a ďalšie osobné údaje vygenerované predvolenou funkciou zaznamenávania polohy v systéme Windows 10.

Toto nastavenie porušilo zásadu „ochrany údajov ako štandardného nastavenia“ podľa článku 25(2) GDPR (prostredníctvom GDPRhub). 

Taliansky úrad na ochranu údajov udelil nemocnici pokutu 70 000 eur za to, že odoslala kópiu príjemcom dvoch lekárskych newsletterov. namiesto CCI, zverejňovanie ich osobných údajov (vrátane údajov o zdravotnom stave) všetkým príjemcom bez právneho základu (prostredníctvom GDPRhub).

V rovnakej súvislosti, oficiálna rozvojová pomoc Rumunska tiež uložil subdodávateľovi zodpovednému za realizáciu marketingovej kampane pokutu 1 000 eur za odoslanie marketingového e-mailu 27 ľuďom bez toho, aby skryli ich e-mailové adresy.

Pamätajme si, že Belgicko 29. apríla v podobnom prípade rozhodlo, že odoslanie takéhoto e-mailu nepredstavuje narušenie bezpečnosti, ak sa ho zúčastnilo menej ako 16 osôb.

Medzinárodné:

Rusko: Moskovský súd udelil spoločnosti Google pokutu 15 miliónov rubľov za opakované nedodržanie pravidla lokalizácie údajov.

Spoločnosť Google už v roku 2021 podliehala administratívnej sankcii za porušenie tej istej zásady ruského zákona o osobných údajoch, ktorý zaväzuje spoločnosti uchovávať osobné údaje ruských občanov na území Ruskej federácie..

SPOJENÉ ŠTÁTY AMERICKÉ: Dôsledky rozhodnutia Najvyššieho súdu vo veci Roe vs. Wade sa rozširujú aj na otázky ochrany osobných údajov. 

Otázka sa týka postoja technologických gigantov k prístupu úradov k údajom o plodnosti.

Tieto údaje je možné odhaliť prostredníctvom zdrojov, ako je história prehliadača, vyhľadávania, e-mailové a textové záznamy, používanie aplikácií na správu plodnosti a iných komerčných produktov, s ktorými mnohí používatelia denne interagujú.

Ako uvádza The Register, tento typ informácií už orgány činné v trestnom konaní použili ako dôkaz v prípadoch súvisiacich s potratmi.

Čína: Denník New York Times zverejnil vyšetrovanie, v ktorom cituje stovky dokumentov s podrobnosťami o softvéri, ktorý Čína zakúpila na prehľadávanie svojich rozsiahlych databáz sledovania s cieľom predpovedať, kto sa stane podozrivým alebo potenciálnym problémovým subjektom.

V Kanade, Od 16. júna Charta digitálnych práv chráni práva spotrebiteľov a osobné údaje a reguluje umelú inteligenciu..

Anne Christine Lacoste

Anne Christine Lacoste, partnerka v spoločnosti Olivier Weber Avocat, je právnička špecializujúca sa na právo týkajúce sa údajov; bola vedúcou oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.