Teden mode Metaverse v Decentralandu, enem najbolj priljubljenih virtualnih svetov.

Pravna ura št. 48 – Junij 2022

Pogumni novi svetMarca 2022 je v Decentralandu, enem najbolj priljubljenih virtualnih svetov, potekal dogodek Metaverse Fashion Week.

Spletni koncert, ki je bil predvajan na igralni platformi Fortnite, si je pred kratkim ogledalo 12 milijonov gledalcev.

Virtualni svet se danes razvija, ne da bi njegove človeške, ekonomske in družbene posledice še bile v celoti razumljene.

Nedavno objavljeno poročilo Evropskega parlamenta na to temo navaja, da bo do leta 2026 25 % ljudi vsaj eno uro na dan preživelo v metaverzumu za delo, nakupovanje, izobraževanje, družabne dejavnosti in/ali zabavo.

Številna komercialna podjetja so tam začela razvijati lastne platforme, tudi če imajo njihove dejavnosti le zelo oddaljeno povezavo z digitalno tehnologijo.

Metaverzum lahko opišemo kot poglobljen, stalen 3D virtualni svet, v katerem ljudje komunicirajo prek avatarja, da uživajo v zabavi, opravljajo nakupe in transakcije ali delajo, ne da bi zapustili svoje domove.

Ekosistem ekonomskega metaverzuma izkorišča tehnologije veriženja blokov in kriptovalut, kot so nezamenljivi žetoni (NFT), za monetizacijo transakcij v digitalnem okolju.

Ta razvoj spleta sproža številna vprašanja, zlasti glede uporabe prava.

Kako lahko praktično reguliramo spletne združitve in prevzeme, nadlegovanje, bolj ali manj legalne transakcije, ki se izvajajo s kriptovalutami, množično zbiranje podatkov o vedenju posameznikov prek njihovih avatarjev ali celo nadzor posameznikov na spletu s strani organov pregona?

V zvezi z GDPR so vložki visoki, kot je bilo poudarjeno v nedavnem članku, objavljenem 20. maja v časopisu Le Monde, in kot poudarja Evropski parlament, glede na izjemno kakovost in količino zbranih podatkov.

To lahko vključuje izraze obraza, kretnje ali druge vrste fizičnih ali čustvenih reakcij, ki jih avatar lahko povzroči med interakcijami, v realnem času in ne da bi se tega zavedal.

Tako se lahko zbirajo občutljivi podatki, kot so biometrični podatki.

Te informacije bodo na primer podjetjem omogočile boljše razumevanje vedenja uporabnikov in prilagajanje oglaševalskih akcij na zelo ciljno usmerjen način.

Ali so obstoječa pravila prilagojena temu novemu vesolju?

Kako lahko pridobimo soglasje posameznikov za takšno zbiranje podatkov in kdo je odgovoren za zbiranje v okolju, kjer je vlog več in kjer je še toliko težje prepoznati upravljavca podatkov?

Kako upravljati interakcije z umetno inteligenco, ki je neločljivo povezana z delovanjem Metaverzuma, in avtomatiziranimi odločitvami, ki iz nje izhajajo?

Preučuje se več možnosti, ki ne temeljijo le na GDPR, temveč tudi na predlaganih evropskih predpisih o umetni inteligenci in upravljanju podatkov.

Omenimo vlogo posrednikov podatkov, ki bi lahko centralizirali pooblastila uporabnikov glede uporabe njihovih podatkov.

Predlagana uredba o upravljanju podatkov zagotavlja zaščito prostorov osebnih podatkov oziroma portfeljev podatkov z urejanjem deljenja podatkov in nadzorom privolitve posameznikov.

Vendar pa so v obsegu, v katerem posredniki pri upravljanju podatkov uporabljajo umetno inteligenco, potrebni zaščitni ukrepi za preprečevanje nezakonite prisvojitve in zlorabe.

Treba je opozoriti, da sta bila ti dve predlagani uredbi predmet pripomb Evropskega nadzornika in Evropskega odbora za varstvo podatkov, ki vztrajata pri spoštovanju načela namena pri uporabi podatkov in pozivata k ukrepom, ki zagotavljajo večji nadzor in jamstva za posameznika, na katerega se nanašajo osebni podatki, na primer kodekse ravnanja ali mehanizme certificiranja.

Oblasti imajo tudi zadržke glede socialnega točkovanja v kontekstu družbenih omrežij na splošno, še bolj pa v Metaverseu.

Posebno pozornost bi bilo treba nameniti tudi zaščiti ranljivih skupin, zlasti otrok, da bi preverili njihovo starost in jih odvrnili od posredovanja osebnih podatkov.

Nekateri se nadalje zavzemajo za odprt in decentraliziran Metaverzum, ki ga nadzorujejo sami uporabniki v obliki decentraliziranih avtonomnih organizacij (DAO).

V tej vrsti modela, ki se razlikuje od centraliziranega poslovnega modela, bi imeli uporabniki večji nadzor nad svojimi podatki in njihovo skupno rabo.

Tudi tukaj bi poleg regulativnih smernic k večji pravni varnosti prispevali tudi kodeksi ravnanja in mehanizmi certificiranja.

Nekaj odgovorov na mnoga vprašanja ...

V vsakem primeru uporaba zakona ne bo dosežena brez večje odgovornosti zadevnih akterjev.

In tudi

Francija:

CNIL je 7. junija objavil vprašanja in odgovore v zvezi z uporabo storitve Google Analytics.

Komisija je več organizacijam naročila, naj upoštevajo GDPR, saj noben od dodatnih zaščitnih ukrepov, ki so ji bili predstavljeni, ni bil zadosten, da bi ameriškim obveščevalnim službam preprečila dostop do osebnih podatkov evropskih uporabnikov.

Rešitev, ki bi omogočala uporabo posredniškega strežnika za preprečevanje neposrednega stika med terminalom internetnega uporabnika in strežniki merilnega orodja, bi bila po njenih besedah mogoča, če bi ta strežnik izpolnjeval niz meril, ki spoštujejo priporočila Evropskega odbora za varstvo podatkov (EDPB), objavljena 18. junija 2021.

Državni svet je potrdil, da je CNIL pristojen za nalaganje sankcij zunaj evropskega mehanizma enotnega okenca.

V obravnavani zadevi gre za podjetje Amazon online France, ki ima poslovalnico na francoskem ozemlju in obdeluje podatke oseb s prebivališčem v Franciji.

Globa v višini 35 milijonov evrov, naložena leta 2020, ki je kaznovala uporabo piškotkov brez soglasja uporabnika, je bila tako potrjena.

30. junija je CNIL družbi Total Energies Electricité et Gaz de France naložil kazen v višini 1 milijona evrov. zlasti zaradi nespoštovanja obveznosti glede komercialnega iskanja in pravic posameznikov.

CNIL je 13. junija začel študijo o geolokacijskih podatkih, ki jih zbirajo mobilne aplikacije.

Kot je bilo napovedano v strateškem načrtu za obdobje 2022–2024, želi CNIL ozaveščati javnost in strokovnjake o vprašanjih, povezanih z zbiranjem geolokacijskih podatkov s strani mobilnih aplikacij.

Gre tudi za vprašanje preverjanja skladnosti strokovnjakov v sektorju komercialnega iskanja nepremičnin z GDPR.

Evropa:

Evropski nadzornik za varstvo podatkov (EDPS) izraža zaskrbljenost glede sprememb uredbe o Europolu, ki je začela veljati 28. junija 2022.

ENVP poudarja, da slabijo temeljno pravico do varstva podatkov, ne zagotavljajo ustreznega nadzora nad agencijo in znatno širijo Europolov mandat glede izmenjave osebnih podatkov z zasebnimi strankami, uporabe umetne inteligence in obdelave velikih naborov podatkov.

14. junija je Evropski odbor za varstvo podatkov (Evropski odbor za varstvo podatkov) je objavil svoj odgovor na Posvetovanje Evropske komisije o uvedbi digitalnega evra.

16. junija jeEvropski odbor za varstvo podatkov sprejel smernice o certificiranje kot orodje za prenos osebnih podatkov tretjim državam, ki ne zagotavljajo ustrezne ravni zaščite.

Konferenco, ki jo je junija organiziralENVP, ki mu je na spletu in v živo sledilo več kot 2000 ljudi, se je zaključil s kritičnimi opažanji glede Evropsko sodelovanje pri preiskavah.

Po mnenju ENVP bi moral vsak dober model vključevati močne mehanizme kolegialnosti, strateške preiskave pa bi se lahko izvajale na centralni ravni, kar bi premagalo „težave, ki izhajajo iz nezdružljive nacionalne zakonodaje ali različnih poskusov uskladitve“.

TA Svet Evrope objavlja študijo o Vohunska programska oprema Pegasus in njegov vpliv na temeljne pravice. Ne smemo pozabiti, da je ta vohunska programska oprema tudi predmet preiskave Evropskega parlamenta.

TA Mreža za sodelovanje pri varstvu potrošnikov (CPC) je v sodelovanju z organi za varstvo podatkov odobril 5 ključnih načel za pošteno oglaševanje za otrokes.

TA Švicarski zvezni pooblaščenec za varstvo podatkov in informacije (FDPIC) svetoval Suvi (švicarskemu nacionalnemu skladu za nezgodno zavarovanje, ki svojim zaposlenim zagotavlja zdravstveno zavarovanje), naj ponovno premisli o svoji odločitvi, da obdelavo svojih osebnih podatkov prenese v zunanje izvajanje v Združene države Amerikes – natančneje v Microsoftovi storitvi v oblaku, čeprav so podatki shranjeni na strežniku Microsoft v Švici.

Premestitve zunaj Evrope so prav tako v središču nedavne odločitve Državni svet Belgije, ki je začasno ustavil odločitev o izbiri ameriškega izvajalca v okviru postopka javnega naročanja z utemeljitvijo, da ta organ ni zadostno preučil, ali je izvajalec izpolnjeval zahteve GDPR, zlasti določbe v zvezi s prenosi.

Odločitev postavlja pod vprašaj tudi nadaljnjo obdelavo s strani drugega podjetja Smart Analytics s sedežem v Rusiji (prek GDPRhub).

Deset združenj potrošnikov, pod koordinacijo Evropska potrošniška organizacija (BEUC), je 30. junija objavil, da sprejema ukrepe za zagotovitev, da Google ravna v skladu z zakonom: tehnološki velikan bi potrošnike ob prijavi v Google Račun usmeril na svoj sistem za sledenje, namesto da bi privzeto in po zasnovi zagotavljal zaščito njihovih podatkov, kot to zahteva GDPR.

Reforma britanske zakonodaje o varstvu podatkov po brexitu je 17. junija dosegla nov mejnik z dokončnim odgovorom vlade na javno posvetovanje.

Dokument vključuje več reform, kot so odprava zahteve po imenovanju pooblaščene osebe za varstvo podatkov, zamenjava zahteve po soglasju s pravico do ugovora sledenju internetnih uporabnikov in spremembe delovanja Urada informacijskega pooblaščenca.

Finska uradna razvojna pomoč (ODA) je bolnišnici naročil, naj izbriše zgodovino zaposlenih, dnevnike lokacij in druge osebne podatke, ki jih je ustvarila privzeta funkcija beleženja lokacije v sistemu Windows 10.

Ta nastavitev je kršila načelo "privzetega varstva podatkov" iz člena 25(2) GDPR (prek GDPRhub). 

Italijanski organ za varstvo podatkov je bolnišnici naložil 70.000 evrov globe, ker je prejemnikom dveh medicinskih glasil poslala kopijo v polje za kopijo. namesto CCI, razkrivanje njihovih osebnih podatkov (vključno z zdravstvenimi podatki) vsem prejemnikom brez pravne podlage (prek GDPRhub).

Na isto temo, uradna razvojna pomoč Romunije prav tako je podizvajalcu, odgovornemu za izvedbo trženjske kampanje, naložil globo v višini 1000 evrov, ker je 27 osebam poslal trženjsko e-pošto, ne da bi pri tem skril njihove e-poštne naslove.

Spomnimo se tega Belgija je 29. aprila v podobnem primeru razsodila, da pošiljanje takšnega e-poštnega sporočila ne predstavlja kršitve varnosti, če je bilo vpletenih manj kot 16 oseb.

Mednarodno:

Rusija: Moskovsko sodišče je Googlu naložilo globo v višini 15 milijonov rubljev zaradi ponavljajočega se neupoštevanja pravila o lokalizaciji podatkov.

Google je bil leta 2021 že podvržen upravni sankciji zaradi kršitve istega načela ruskega zakona o osebnih podatkih, ki podjetja zavezuje k shranjevanju osebnih podatkov ruskih državljanov na ozemlju Ruske federacije..

ZDRUŽENE DRŽAVE AMERIKE: Posledice odločitve vrhovnega sodišča v zadevi Roe proti Wadeu segajo tudi na vprašanja varstva podatkov. 

Vprašanje se nanaša na odnos tehnoloških velikanov do dostopa oblasti do podatkov o rodnosti.

Te podatke je mogoče razkriti prek virov, kot so zgodovina brskalnika, iskanja, dnevniki e-pošte in besedilnih sporočil, uporaba aplikacij za plodnost in drugih komercialnih izdelkov, s katerimi številni uporabniki dnevno komunicirajo.

Tovrstne informacije so organi pregona že uporabili kot dokaz v primerih, povezanih s splavom, poroča The Register.

Kitajska: New York Times je objavil preiskavo, v kateri navaja na stotine dokumentov, ki podrobno opisujejo programsko opremo, ki jo je Kitajska kupila za pregledovanje svojih obsežnih nadzornih baz podatkov, da bi napovedala, kdo bo postal osumljenec ali potencialni povzročitelj težav.

V Kanadi, Listina o digitalnih pravicah od 16. junija varuje pravice potrošnikov in osebne podatke ter ureja umetno inteligenco..

Anne Christine Lacoste

Anne Christine Lacoste, partnerica pri Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in delala na izvajanju GDPR v Evropski uniji.