Pravna ura št. 57 – marec 2023.

Pametne kamere in biometrija – kakšen bo vpliv zakona, povezanega z olimpijskimi igrami?

Državni zbor je 23. marca sprejel 7. člen zakona o olimpijskih igrah.

Predlog zakona, ki je bil sprejet na redko obiskani skupščini (prisotnih je bilo 73 od 577 članov), je že sprožil veliko razprav in bo v prihodnjih mesecih zagotovo izzval še veliko več odzivov.

Dejansko legalizira uporabo algoritmičnega nadzora do decembra 2024, v kontekstu, ki je opisan kot izjemen, vendar za dogodke, ki presegajo strog okvir olimpijskih iger.

Nadzor se lahko nanaša na „športne, rekreativne ali kulturne dogodke“ na splošno, „ki so izpostavljeni tveganju terorističnih dejanj ali resnim grožnjam za varnost oseb“.

Zato ga je mogoče preizkusiti na športnih dogodkih, kot je letošnje jesensko svetovno prvenstvo v ragbiju.

 

Kaj je algoritemski nadzor? Ali gre za obliko biometričnega nadzora, za katero veljajo stroge obveznosti GDPR in prihodnje evropske uredbe o umetni inteligenci?

Projekt načrtuje uporabo "razširjenih kamer" s pomočjo umetne inteligence, ki jih bodo upravljali droni in bodo samodejno analizirali slike v realnem času z algoritmi za zaznavanje vnaprej določenih dogodkov, kot so gibanje množice, prtljaga, kretnje ali sumljivo vedenje.

Čeprav je CNIL v svojih ugotovitvah z dne 8. decembra izpostavil glavne težave obogatenih kamer v smislu zasebnosti in varstva osebnih podatkov, se zdi, da ni upošteval biometrične obdelave.

Opozorila je, da je več ukrepov v skladu z njenimi priporočili:

• Eksperimentalna uporaba, omejena glede časa in prostora, za določene specifične namene in ki ustreza resnim tveganjem za ljudi,
• Pomanjkanje obdelave biometričnih podatkov in navzkrižnega sklicevanja na druge datoteke ter
• Odločitve, ki so predmet predhodnega človeškega posredovanja.

Za civilno družbo pa uporabljena tehnologija očitno spada v kategorijo biometričnih podatkov.

Dejansko "nenehno identificira, analizira in klasificira telesa, fizične lastnosti, kretnje, silhuete in hoje, ki so nedvomno biometrični podatki."

La Quadrature du Net in približno štirideset mednarodnih organizacij so to perspektivo razvili v odprtem pismu državnemu zboru, ki ga je koordiniral in objavil ECNL (Evropski center za neprofitno pravo).

GDPR opredeljuje biometrične podatke kot »osebne podatke, ki izhajajo iz posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo njegovo enolično identifikacijo« (člen 4.14).

V odprtem pismu je zapisano, da bodo kamere neizogibno zajemale in analizirale fiziološke lastnosti in vedenje ljudi, prisotnih v nadzorovanih javnih prostorih, in da izolacija teh ljudi od njihovega okolja, ki se izkaže za bistveno za dosego cilja sistema, predstavlja "edinstveno identifikacijo".

V skladu z GDPR in razlago Evropskega odbora za varstvo podatkov na to temo predstavlja možnost izolacije osebe iz množice ali iz njenega okolja, ne glede na to, ali je njeno ime ali identiteta znana ali ne, „edinstveni identifikator“.

Uvrstitev ljudi v kategorijo, ki združuje "tvegana" vedenja na podlagi teh podatkov, bi tako predstavljala biometrično kategorizacijo, ki bi bila verjetno v nasprotju z določbami prihodnje evropske uredbe o umetni inteligenci.

V zvezi s tem je treba opozoriti na mnenje evropskih regulatorjev za varstvo podatkov z dne 18. junija 2021, ki poziva k splošni prepovedi kakršne koli uporabe umetne inteligence za samodejno prepoznavanje človeških značilnosti v javno dostopnih prostorih.

Te argumente navaja tudi pismo, ki ga je državnemu zboru poslalo 41 poslancev Evropskega parlamenta, ki poudarjajo, da bi Francija s tem zakonom postala prva država v Evropi, ki bi legalizirala množični nadzor nad svojim javnim prostorom.

Zato bo morda treba preveriti skladnost zakonodaje z evropskim pravom.

V zvezi s tem je treba opozoriti, da je osnutek uredbe o umetni inteligenci na dnevnem redu plenarnega zasedanja Evropskega parlamenta konec maja.

 

In tudi

CNIL    

 CNIL je objavil svoj seznam teme za nadzor prioritet Za leto 2023: letos se bo osredotočila na:

• Uporaba "izboljšanih" kamer s strani javnih akterjev,
• Uporaba datoteke incidentov potrošniških kreditov,
• Upravljanje zdravstvenih kartotek pacientov in
• Mobilne aplikacije.

Konec marca je objavila tudi svoj prvi tematski dosje o digitalna identiteta, v kateri je predstavil ključna načela in svoja stališča o tej temi.

Dokumentacija je namenjena širši javnosti ter javnim ali zasebnim organizacijam in raziskovalcem.

V zvezi s tem je treba opozoriti, da je CNIL v publikaciji z dne 22. februarja pregledal poskus, ki se izvaja od leta 2019 z elektronsko kartico zdravstvenega zavarovanja („e-carte Vitale“), ki bo pred koncem leta 2025 neobvezno ponujena vsem upravičencem do socialne varnosti.

Poleg vsakodnevne uporabe bo »e-Carte Vitale« alternativa storitvi FranceConnect za digitalni zdravstveni sektor.

CNIL je 16. marca 2023 podjetju naložil globo v višini 125.000 evrov. CITYSCOOT.

CNIL je ugotovil, da je podjetje skoraj nenehno geolociralo svoje stranke pri najemu skuterja in te podatke hranilo.

Komisija je tudi ugotovila, da podizvajalske pogodbe niso vsebovale nekaterih bistvenih klavzul, vključno z naravo zbranih podatkov, varnostnimi ukrepi, ki jih je treba uvesti, in usodo podatkov v primeru prenehanja pogodb.

Podjetje je uporabilo tudi mehanizem reCAPTCHA, ki je zbrane podatke posredoval podjetju GOOGLE v analizo, ne da bi uporabniku posredovalo kakršne koli informacije in brez pridobitve njegovega predhodnega soglasja.

 

Evropske institucije in organi

Evropski odbor za varstvo podatkov

Evropski odbor za varstvo podatkov (EDPB) je začel izvajati usklajene letne inšpekcijske preglede.

V naslednjih nekaj mesecih bo v tem ukrepu glede imenovanja in položaja pooblaščencev za varstvo podatkov sodelovalo 26 nacionalnih organov za varstvo podatkov iz EGP.

Namen preiskav bo ugotoviti, ali imajo delegati položaj, ki je skladen z zahtevami iz členov 37 do 39 GDPR, in ali imajo na voljo vire, potrebne za opravljanje svojih nalog.

Poslani jim bodo vprašalniki, da se oceni njihov položaj in ugotovi, ali je formalna preiskava upravičena.

Dinamični iskalni oglasi

V skladu z uredbo o digitalnih storitvah (DSA) je Evropska unija določila nova pravila, ki od zelo velikih spletnih platform (Zelo velike spletne platforme in Zelo veliki iskalniki) z več kot 45 milijoni uporabnikov zahtevajo, da se pri Evropski komisiji registrirajo pred 17. februarjem.

Glede na analizo profesorja na Londonski šoli za ekonomijo in politične vede bi bilo vključenih 18 akterjev: AliExpress, Amazon Marketplace, Apple App Store, Booking.com, Facebook, Google Maps, Google Play, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, YouTube, Wikipedia, iskanje Bing in iskanje Google.

TikTok

Družbeno omrežje TikTok je sredi februarja napovedalo svojo namero, da bo delovalo v skladu z zakonom DSA, ki bo začel veljati sredi leta 2023.

TikTok je napovedal tudi postavitev podatkovnih centrov v Evropi, da bi omejil čezmejne pretoke podatkov.

Ta objava prihaja v času, ko so institucije EU ter vlade Nizozemske, Kanade in Bele hiše v Združenih državah Amerike nedavno od svojih zaposlenih zahtevale, naj aplikacijo odstranijo s svoje poslovne in osebne opreme, pri čemer so se sklicevale na pomisleke glede varstva osebnih podatkov.

DMA

Konec marca je Evropska komisija ustanovila skupino na visoki ravni, ki bo zagotovila dosledno uporabo uredbe o digitalnih trgih (DMA) z drugimi evropskimi predpisi.

Med imenovanimi sta Evropski nadzornik za varstvo podatkov (EDPS) in Evropski odbor za varstvo podatkov (EDPB).

Zakon o digitalnih trgih se uporablja posebej za velike spletne platforme, označene kot "varuhi vrat".

ENISA 

Evropska agencija ENISA bo 29. marca objavila študijo o kibernetskih grožnjah do leta 2030.

Namen te študije je opredeliti in zbrati informacije o prihodnjih grožnjah, ki bi lahko vplivale na infrastrukturo in storitve Unije, pa tudi na njeno sposobnost zagotavljanja digitalne varnosti evropske družbe in državljanov.

ENISA objavlja tudi poročilo o kibernetski varnosti in standardizaciji umetne inteligence.

Cilj dokumenta je zagotoviti pregled obstoječih in prihodnjih standardov, oceniti njihov obseg in ugotoviti vrzeli v standardizaciji.

Upošteva posebnosti umetne inteligence, zlasti strojnega učenja, in sprejema široko vizijo kibernetske varnosti, ki zajema zahteve glede zaupnosti, integritete in razpoložljivosti ter širši koncept zanesljivosti umetne inteligence.

Nazadnje poročilo preučuje, kako lahko standardizacija podpre izvajanje vidikov kibernetske varnosti, vključenih v predlagano uredbo EU o umetni inteligenci.

EVROPSKA KOMISIJA

Evropska komisija je 6. marca sporočila, da se je WhatsApp po dialogu, v katerem so sodelovali organi EU za varstvo potrošnikov, zavezal k večji preglednosti glede sprememb svojih pogojev storitve.

Podjetje bo uporabnikom olajšalo tudi zavrnitev posodobitev, če se z njimi ne strinjajo, in pojasnilo, kdaj takšna zavrnitev povzroči, da uporabnik ne more več uporabljati njegovih storitev.

WhatsApp je tudi potrdil, da osebnih podatkov uporabnikov ne deli s tretjimi osebami ali drugimi podjetji Meta za namene oglaševanja.

IAP

Spletna stran IAPP vsebuje tabelo (»Pobude EU o varstvu podatkov v kontekstu«), v kateri so navedeni evropski predpisi o varstvu podatkov in tekoče pobude, od GDPR in DSA do evropske strategije za kibernetsko varnost. Ta seznam je bil posodobljen marca 2023.

 

Nacionalne novice

• ZDRUŽENO KRALJESTVO: Britanska vlada je v četrtek, 9. marca, parlamentu predstavila "omilitev" osnutka zakona o varstvu podatkov in digitalnih informacij. Predlagana reforma bi podjetjem omogočila predvsem lažje zbiranje podatkov brez soglasja uporabnikov, na primer kot del njihovih politik raziskav in razvoja.

Obveznosti glede soglasja za namestitev piškotkov bodo prav tako olajšane, zaposlitev notranjega pooblaščenca za varstvo podatkov pa ne bo več obvezna.

Še vedno v Združenem kraljestvu:

• Nacionalni center za kibernetsko varnost je objavil članek, v katerem ocenjuje tveganja in podaja priporočila za uporabo LLM-ov (velikih jezikovnih modelov), kot je ChatGPT.

Če se podatki poizvedbe danes ne uporabijo za napajanje modela, se lahko uporabijo v prihodnjih različicah.

Članek opozarja na povečana tveganja v smislu kibernetske kriminalitete, kot sta ustvarjanje prepričljivejših lažnih e-poštnih sporočil ali učenje novih tehnik napadov.

Priporoča, da se v zahteve, naslovljene na javne programe LLM, ne vključujejo občutljivi podatki.

• Britanski organ za varstvo podatkov je na zahtevo industrije posodobil svoje smernice o umetni inteligenci in varstvu podatkov.

Smernice pojasnjujejo zahteve glede pravičnosti pri umetni inteligenci.

• ITALIJA: Študije LLM so v začetku pomladi v središču pozornosti. Italijanski organ za varstvo podatkov je 31. marca izdal odredbo proti OpenAI, s katero je blokiral ChatGPT v Italiji zaradi pomanjkanja preglednosti, odsotnosti legitimnega razloga za obdelavo, nezagotavljanja točnosti obdelanih podatkov, pomanjkanja preverjanja starosti in splošne kršitve načela "zasebnosti že po zasnovi".
• ČEŠKA REPUBLIKA: Češki organ za varstvo podatkov je podjetju Avast, ki se ukvarja s kibernetsko varnostjo in protivirusnimi programi, naložil 13,7 milijona evrov globe zaradi kršitve GDPR.

Uporabniški podatki, zbrani prek Google Zemljevidov, YouTuba, LinkedIna in širše spletnih iskanj v Googlu, so bili prodani prek hčerinske družbe Jumpshot.

Preiskava češkega organa za varstvo podatkov se nanaša na preteklo obdelavo osebnih podatkov pred januarjem 2020, ko je Avast zaprl Jumpshot.

• NORVEŠKA: Norveški organ za varstvo podatkov (APD) je podjetju Argon Medical Devices naložil globo v višini 220.000 evrov zaradi zamude pri obveščanju o kršitvi varnosti podatkov zaradi sistematične in obsežne uporabe zunanjih svetovalcev.

Takšna uporaba tretjih oseb naj bi neupravičeno upočasnila postopek obveščanja o kršitvah varnosti.

Norveška spet:

• Norveški organ za varstvo podatkov je po eni od 101 pritožb nevladne organizacije NOYB glede prenosov podatkov v Združene države Amerike upravljavca obvestil o svoji nameri, da ga opomini zaradi uporabe storitve Google Analytics in poznejšega prenosa osebnih podatkov v Združene države Amerike, kar je v nasprotju s 44. členom GDPR.
• Tudi na Norveškem je Odbor za pritožbe glede zasebnosti potrdil odločitev organa za varstvo podatkov, da občini naloži globo v višini 352.555 evrov zaradi kršitve člena 5(1)(f) ter členov 24 in 32 GDPR po napadu z izsiljevalsko programsko opremo, ki je povzročil nepopravljivo izgubo zelo občutljivih osebnih podatkov in njihovo prodajo na temnem spletu.
• AVSTRIJA: Avstrijski organ za varstvo podatkov (APD) je odločil, da uporaba Facebookovega sledilnega slikovnega piksla krši GDPR in sodbo Sodišča EU v zadevi "Schrems II" o transatlantskem pretoku podatkov.
• BELGIJA: V Belgiji je javni organ lahko uporabil člen 6(1)(e) GDPR za geolokacijo službenih avtomobilov svojih zaposlenih, ker ni bilo drugih manj invazivnih rešitev in je bilo sledenje potrebno za učinkovito uporabo njegovih omejenih virov.

V tem primeru pa je bil upravljavec podatkov opominjen zaradi več drugih kršitev uredbe.

• IRSKA: Banka Irske je bila kaznovana s 750.000 evri. Organ za varstvo podatkov (DPA) je ugotovil, da upravljavec podatkov ni ustrezno ocenil tveganj, povezanih z obdelavo, niti ni izvedel ustreznih varnostnih ukrepov.
• ŠPANIJA: Španska agencija za varstvo podatkov (APD) je družbi Orange Spain naložila 100.000 evrov globe zaradi kršitve načela minimizacije podatkov, ker je za dostavo telefona, kupljenega na spletu, zahtevala fotografijo sprednje in zadnje strani osebnega dokumenta stranke.
• V Španiji je upravljavec podatkov, ki se ne odzove na zahtevo za dostop zaradi napake zaposlenega, kljub temu odgovoren za kršitev 15. člena GDPR.

 

• ZDRUŽENE DRŽAVE AMERIKE: Zvezna komisija za trgovino je 25. marca na svojem blogu objavila članek z naslovom »Klepetalni roboti, globoke ponaredke in glasovni kloni« oziroma prevara prek umetne inteligence.

Zvezna komisija za trgovino (FTC) opozarja na zaskrbljujočo nastajajočo grožnjo, s katero se morajo spopasti podjetja v digitalnem ekosistemu.

Tehnološki urad FTC je objavil tudi analizo in smernice o sledilnih slikovnih pikah tretjih oseb, ki temeljijo na nedavnih odločitvah glede ponudnikov digitalnih zdravstvenih storitev.

• Nacionalni inštitut za standarde in tehnologijo (NIST) ustanavlja center virov za zaupanja vredno in odgovorno umetno inteligenco.

Cilj je podpreti deležnike na področju umetne inteligence pri njihovem razvoju teh tehnologij.

Spremlja ga okvir za obvladovanje tveganj in priročnik, njegov cilj pa je zagotoviti dostop do širokega nabora ustreznih virov na to temo.

• JUŽNA KOREJA: Južnokorejska komisija za varstvo osebnih podatkov je zaradi kršitev zasebnosti oglobila podjetja McDonald's, British American Tobacco in Samsung.

McDonald's je bil kaznovan s 484.000 evri zaradi shranjevanja varnostnih kopij datotek uporabnikov storitve McDelivery na strežniku, ki je pustil omogočeno deljenje, kar je hekerjem omogočilo dostop do podatkov 4.876.106 strank.

V drugem incidentu so bili ukradeni podatki 766.846 kupcev hamburgerjev, zaradi česar je podjetje prejelo začetno kazen v višini 7.000 evrov.

• ALŽIRIJA: Zakon št. 18-07 o varstvu posameznikov pri obdelavi osebnih podatkov bo začel veljati avgusta 2023.