Temni vzorci: Kar ste vedno želeli vedeti, a ste se bali vprašati ...

Pravna ura št. 45 – marec 2022.

Ta težko prevedljiv angleški izraz najdemo v številnih publikacijah o informacijski tehnologiji. 

V povezavi s "nudgingom", ki si prizadeva subtilno spodbuditi uporabnike interneta k sprejetju želenega vedenja, si "temni vzorci" prizadevajo za isti cilj z oblikovanjem spletnih vmesnikov.

Evropski odbor za varstvo podatkov je 14. marca sprejel smernice glede "temnih vzorcev" v vmesnikih platform družbenih medijev. 

Dokument, ki je predmet javne razprave, je namenjen uporabnikom, da bi jim pomagal prepoznati te tehnike, in oblikovalcem, ki jim ponuja najboljše prakse za lažjo skladnost z GDPR. 

Dokument navaja različne prakse v nečem, kar spominja na popis v Prévertovem slogu: 

• Preobremenjenost z informacijami uporabnika sooči s plazom podatkov ali možnosti (na primer neskončen seznam prejemnikov piškotkov), zaradi česar deli več informacij, kot si želi. 

• Preskakovanje povzroči, da uporabnik pozabi preveriti določene pogoje uporabe svojih podatkov, na primer tako, da njegovo pozornost usmeri drugam.

• Mešanje vpliva na uporabnikove odločitve z igranjem na njihova čustva (na primer, da jih spodbudi, da se ne odjavijo z družbenega omrežja)

• Oviranje (oviranje) preprečuje uporabnikom interneta, da bi prek nedelujočih povezav izbirali informacije, ki so daljše od potrebnega ali zavajajoče.

• Nedoslednost v oblikovanju (nestalna) bo otežilo navigacijo po orodjih za nadzor zaradi dekontekstualizirane ali nehierarhične predstavitve informacij.

• Končno lahko zasnova pusti uporabnika interneta v temi, uporaba nasprotujočih si, dvoumnih informacij (različno obarvani gumbi so privzeto omogočeni ali onemogočeni) ali prekinitev uporabljenih jezikov (preklapljanje iz francoščine v angleščino).

Človek bi bil skoraj občudovan takšnih tehnik in domišljije, če te prakse ne bi bile nezakonite, ker so v nasprotju z načelom lojalnosti iz člena 5(1)(a) GDPR, pa tudi z načeli preglednosti, minimizacije podatkov, odgovornosti, namena in veljavnosti privolitve.

Smernice EOVP vsebujejo primere za vsako vrsto tehnike in nasvete za poenostavitev izbire uporabnikov. 

Dobre prakse vključujejo: 

• Uporaba bližnjic za omogočanje hitrih dejanj (odjava iz računa).

• Uporaba pasic ali pojavnih oken v primeru spremembe ali posebnega tveganja (na primer kršitve varnosti).

• Uporaba preprostega in doslednega jezika.

• Seznam definicij.

• Uporaba primerov.

• Pojasnilo posledic različnih predlaganih možnosti.

• Sistematičen prikaz zemljevida spletnega mesta in gumb »nazaj«, ki uporabniku omogoča nadaljevanje navigacije.

Treba je opozoriti, da odločitvi CNIL iz januarja lani proti Googlu in Facebooku, s katerima sta bili ti dve podjetji kaznovani s 150 oziroma 60 milijoni evrov, kaznujeta uporabo temnih vzorcev pri uporabi piškotkov: vmesniki so ponujali preprosto možnost za aktiviranje piškotkov z enim klikom, medtem ko je bilo za zavrnitev vseh piškotkov potrebnih več dejanj. 

Medtem ko je bila pozornost nadzornih organov doslej osredotočena na piškotke, je zdaj na kocki širši nabor praks. Vloga oblikovalcev vmesnikov postaja še toliko bolj ključna.

In tudi

Francija:

Oddelek za kibernetsko kriminaliteto pariškega tožilstva je začel sodno preiskavo zaradi obsežnega uhajanja zdravstvenih podatkov. 

Domneva se, da je uhajanje podatkov prizadelo približno 500.000 posameznikov in izvira iz približno tridesetih laboratorijev za medicinsko biologijo. Preiskave izvajata tudi ANSSI in CNIL v sodelovanju z založnikom programske opreme za upravljanje, ki jo uporabljajo laboratoriji.

Zaradi še enega obsežnega uhajanja podatkov je Nacionalni sklad za zdravstveno zavarovanje 17. marca izdal izjavo, v kateri je navedel, da so hekerji ogrozili račune najmanj 19 zdravstvenih delavcev na portalu Amelipro.  

Ta kibernetski napad je prizadel identifikacijske podatke in številke socialnega zavarovanja približno 500.000 zavarovancev.

V zdravstvenem sektorju je bil skupni zdravstveni zapis (DMP) januarja 2022 integriran v digitalni zdravstveni prostor (ENS ali »Moj zdravstveni prostor«).  

CNIL na svoji spletni strani objavlja opomnik o delovanju teh dveh sistemov in pravicah zadevnih oseb.

CNIL bo 28. junija 2022 v Parizu organiziral prvi dan raziskav zasebnosti., mednarodna konferenca, posvečena raziskavam na področju zasebnosti in varstva osebnih podatkov.

Evropa: 

Na vidiku je sporazum med Evropo in Združenimi državami glede prenosa osebnih podatkov. 

Ursula Von der Leyen in Joe Biden sta 25. marca napovedala politični dogovor o tej temi, kar je pojasnil evropski komisar za pravosodje Didier Reynders, ki je nakazal, da gre za dogovor o "načelih" prihodnjega transatlantskega sporazuma. 

Novi pravni okvir bi nasledil „načela varnega pristana“ in „ščit zasebnosti“, ki ju je Evropsko sodišče zaradi neskladnosti z evropskimi načeli varstva podatkov razglasilo za zastarela. 

Predlagana razširitev predpisov o potrdilih o covidu-19 (EUDCC), ki jo je pripravila Evropska komisija, je v središču pozornosti organov za varstvo podatkov. 

ENVP in EOVP sta izrazila zadržke glede pomanjkanja ocene učinka pred predlogi Komisije za podaljšanje teh potrdil za eno leto.  

Odbor in Evropski nadzornik za varstvo podatkov pa sta priznala, da razširitev dovoljenih vrst testov in vključitev števila danih odmerkov v potrdilo nista bistveno spremenili veljavnih določb.

Sredi marca so zaposleni v Amazonu vložili množično zahtevo za dostop do podatkov, ki jih podjetje hrani o njih, da bi preverili pogoje nadzora na njihovih delovnih mestih.  

Vlagatelji iz Nemčije, Združenega kraljestva, Italije, Poljske in Slovaške so svojo zahtevo vložili v skladu s 15. členom GDPR v sodelovanju z Globalnim sindikatom delavcev (UNI) in nevladno organizacijo NOYB.  

Poleg smernic o »temnih vzorcih« na družbenih omrežjih, Evropski odbor za varstvo podatkov je na plenarnem zasedanju 14. marca sprejel smernice o uporabi 60. člena GDPR glede sodelovanja med organi za varstvo podatkov. 

Namen tega dokumenta je izboljšati uporabo določb enotnega okenca. 

Sistem zagotavlja kontaktni organ za podjetja s sedežem v Evropski uniji na podlagi njihovega glavnega kraja poslovanja in postopek za sodelovanje z vsemi drugimi organi, ki sodelujejo zaradi pritožb ali pripojenih poslovnih enot v njihovi državi. 

Italijanski organ za varstvo podatkov je 10. februarja družbi Clearview IA naložil globo v višini 20.000.000 evrov. zaradi uporabe sistemov za biometrično prepoznavanje na javnih internetnih virih, kar je v nasprotju s Splošno uredbo o varstvu podatkov. Odredilo je izbris podatkov. Britanski organ za varstvo podatkov je 28. februarja odvetniško pisarno oglobil z 117.000 evri. zaradi kršitve členov 5(1)(f) in 32 GDPR ter zlasti zaradi neizvajanja ustreznih varnostnih ukrepov. 

Španija je 17. februarja odobrila kodeks ravnanja glede varstva podatkov v okviru kliničnih preskušanj in farmakovigilance.

Irski organ za varstvo podatkov je 15. marca družbi Meta (prej Facebook) naložil globo v višini 17 milijonov evrov zaradi več varnostnih kršitev. Nadzorni organ je menil, da podjetje ni sprejelo tehničnih in organizacijskih ukrepov, potrebnih za zagotovitev varnosti podatkov. 

Odločitev je bila sprejeta po postopku sodelovanja z drugimi evropskimi nadzornimi organi, ki jih zadeva zadeva (člen 60 GDPR).

V Nemčiji je organ za varstvo podatkov v Bremenu 3. marca družbi za upravljanje nepremičnin (Brebau GmbH) naložil globo v višini 1.900.000 evrov zaradi nezakonite obdelave občutljivih podatkov. kar zadeva več kot 9.500 kandidatov za najemnike. 

Med obdelanimi podatki so bili barva kože, vera, spolna usmerjenost, zdravstveno stanje, pričeska in telesni vonj.

Mednarodno: 

V sklepu o poravnavi z dne 4. marca Zvezna komisija za trgovino Združenih držav Amerike zahteva, da WW International (Weight Watchers) uniči algoritme ali modele umetne inteligence, zasnovane z uporabo osebnih podatkov mladoletnikov. brez predhodnega soglasja staršev. 

Podjetje je bilo kaznovano tudi z 1,5 milijona dolarjev in mu je bilo naloženo uničenje nezakonito zbranih podatkov. 

To je že tretjič, da je FTC v poravnalni odredbi zahtevala uničenje algoritma umetne inteligence.  

TA Šrilanka je 19. marca 2022 sprejel zakon o varstvu osebnih podatkov.

Nokia, ki je zaradi vojne v Ukrajini napovedala prenehanje poslovanja v Rusiji, je obtožena, da je za seboj pustila telekomunikacijski sistem, ki je omogočal nadzor nad ruskim prebivalstvom. 

Glede na interne dokumente, ki jih je razkril New York Times, Nokia že več kot pet let dobavlja Rusiji opremo in storitve za povezavo ruskega nadzornega sistema SORM (Sistem za operativno-preiskovalne dejavnosti) z največjim ruskim telekomunikacijskim podjetjem MTS.

Anne Christine Lacoste  Anne Christine Lacoste, partnerica pri Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in delala na izvajanju GDPR v Evropski uniji.