Avtomatizirane odločitve: kako se izvaja GDPR?

Pravna ura št. 47 – Maj 2022

Avtomatizirane odločitve: kako se izvaja GDPR? Forum za prihodnost zasebnosti (Future of Privacy Forum) je 17. maja objavil obsežno poročilo o vprašanju avtomatiziranih odločitev.

To poročilo analizira več kot 70 dokumentov, ki pojasnjujejo, kako sodišča in tribunali, evropski in britanski organi za varstvo podatkov, pa tudi več smernic in priporočil, ki so jih na to temo izdali regulatorji, izvajajo 22. člen GDPR.

Čeprav so bile avtomatizirane odločitve že urejene v evropski direktivi 95/46/ES, je to načelo od začetka veljavnosti GDPR dobilo novo razsežnost.

Zato se uporablja v bolj raznolikih in pogostejših kontekstih, kot so na primer umetna inteligenca, organi za uveljavljanje zakonodaje pa imajo zdaj sredstva za izvrševanje zakona.

Tovrstne odločitve najdemo predvsem na naslednjih področjih:

• Nadzor dostopa in prisotnosti v šolah z uporabo tehnologij za prepoznavanje obrazov

• Spletno spremljanje na univerzah in avtomatizirano ocenjevanje študentov

• Samodejno filtriranje prijav za zaposlitev

• Algoritmično upravljanje delavcev na platformah

• Izplačilo socialnih prejemkov in odkrivanje davčnih goljufij

• Avtomatizirana ocena kreditne sposobnosti

• Odločitve o moderiranju vsebin na družbenih omrežjih

Na kratko si oglejmo načelo: Člen 22 GDPR daje posameznikom pravico, da niso predmet odločitve, ki temelji izključno na avtomatizirani obdelavi, vključno s profiliranjem, ki imajo pravne učinke v zvezi z njo ali nanjo na podoben način pomembno vplivajo.

V zvezi s tem je treba opozoriti, da je Evropski odbor za varstvo podatkov pojasnil, da se upravljavci podatkov ne morejo izogniti uporabi člena 22 tako, da bi človek preprosto žigosal odločitve, ki jih sprejme stroj, ne da bi imel dejansko pooblastilo ali pristojnost za spreminjanje rezultata.

Po drugi strani pa, če zadevni avtomatizirani postopek zagotavlja le podatke za odločitev, ki jo bo na koncu sprejel človek, obdelava, na kateri temelji, ne spada na področje uporabe člena 22.

V skladu s členom 22(2) so avtomatizirane odločitve še vedno mogoče, kadar so potrebne za izpolnjevanje pogodbe, če to določa zakon ali če temeljijo na izrecni privolitvi posameznika.

V takih primerih upravljavec kljub temu zagotovi ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ter njegove pravice do vsaj človeškega posredovanja upravljavca, do izražanja svojega stališča in do izpodbijanja odločitve.

To strogo omejitev avtomatiziranih odločitev je treba brati v širšem kontekstu GDPR, zlasti njenih zahtev glede legitimnosti kakršne koli obdelave, obstoja pravne podlage in pravil glede tako imenovanih občutljivih podatkov – vključno z biometričnimi podatki.

Analizirani dokumenti kažejo, da nadzorni organi in sodišča ta načela dosledno uporabljajo.

Še posebej vztrajajo pri naslednjih elementih:

• Obveznost preglednosti glede parametrov, ki vodijo do avtomatizirane odločitve;

• Uporaba načela lojalnosti, da se prepreči diskriminacija;

• Strogi pogoji za pridobitev soglasja zadevne osebe.

Poleg tega se bo pri odločitvi, ali je odločitev izključno avtomatizirana, upošteval celoten kontekst procesa odločanja: organizacijska struktura vodje, hierarhične linije, ozaveščenost zaposlenih.

Za oceno vpliva odločitve na posameznika organi zlasti preučijo, ali vhodni podatki avtomatizirane odločitve vključujejo sklepe o vedenju posameznikov in ali odločitev vpliva na vedenje in izbire zadevnih posameznikov.

V Franciji je ena od referenčnih odločb odločba CNIL v Datoteka Clearview, glede prepoznavanja obrazov: Komisija je podjetju Clearview AI naročila, naj preneha zbirati slike obrazov ljudi v Franciji z interneta za polnjenje baze podatkov, ki usposablja njeno programsko opremo za prepoznavanje obrazov, in naj v dveh mesecih izbriše predhodno zbrane slike.

Italija in Združeno kraljestvo sta sprejeli podobne odločitve glede istega podjetja.

Upravno sodišče v Marseillu je februarja 2020 s sodbo razveljavilo odločitev regije Provansa-Alpe-Azurna obala o izvedbi dveh Pilotni projekti prepoznavanja obrazov na vhodih v šole iz Nice in Marseilla.

Medtem ko je primer še trajal, je CNIL izrazil zaskrbljenost glede izvajanja takšnega sistema glede na ciljno publiko (otroke) in občutljivost biometričnih podatkov.

Sodišče se je odločilo za razveljavitev pilotnih projektov, ker soglasje dijakov ni bilo dano svobodno, konkretno, informirano in nedvoumno ter da so imele šole na voljo manj vsiljiva sredstva za nadzor dostopa dijakov do svojih prostorov (na primer nadzor značek/osebnih izkaznic v kombinaciji z video nadzorom).

Dodajmo še, da se upravljavec podatkov v večini primerov ne bo mogel izogniti analiza vpliva, kot je določeno v 35. členu GDPR, kadar se odločitev nanaša na profiliranje s pomembnimi učinki na posameznika: na primer v Italiji nedavna odločitev organa za varstvo podatkov v zvezi s podjetjem Deliveroo: podjetje bi moralo opraviti analizo učinka svojega algoritma, obdelave z uporabo inovativnih tehnologij, ki je v velikem obsegu (tako glede števila kolesarjev – 8000 – kot tudi glede vrst uporabljenih podatkov), ki zadeva ranljive posameznike (delavce v „gig ekonomiji“, plačane z nalogo) in vključuje oceno ali ocenjevanje slednjih.

In tudi

Francija:

CNIL objavlja poročilo o dejavnostih za leto 2021: Med njenimi opaznejšimi dejavnostmi so obnova podporne politike, večja mobilizacija na področju kibernetske varnosti in okrepitev represivnih ukrepov.

Objavlja tudi vrsto meril za oceno zakonitosti piškotkov na steni.s (sledilne stene).

Zagotavlja informacije, ki omogočajo zakonitost "plačljivi zidovi", ki od uporabnika interneta, ki zavrne piškotke, zahtevajo plačilo določenega zneska denarja za dostop do spletnega mesta.

Založnik, ki želi uvesti plačljivi zid, mora biti sposoben utemeljiti razumnost ponujenega denarnega nadomestila in dokazati, da je njegov piškotni zid omejen na namene, ki omogočajo pošteno plačilo za ponujeno storitev.

Francoska vlada bo uvedla sistem, ki bo državljanom omogočil spletno preverjanje pristnosti s skeniranjem osebne izkaznice s pametnim telefonom.

Uradni list je dejansko objavil odlok št. 2022-676 z dne 26. aprila 2022, ki dovoljuje vzpostavitev aplikacije za elektronsko identifikacijo, imenovane »Storitev zagotavljanja digitalne identitete«.

Ta aplikacija bo povezana z novo osebno izkaznico, opremljeno s čipom, in bo omogočala shranjevanje njenih podatkov na mobilnem telefonu.

Evropa:

12. maja je Evropski odbor za varstvo podatkov sprejela dve smernici, eno o metodah za izračun glob v skladu z GDPR in drugo o prepoznavanju obrazov.

Odbor se zavzema za to, da se orodja za prepoznavanje obrazov uporabljajo le v strogem skladu z evropsko direktivo o policijsko-pravosodnem sistemu.

Tam Evropska komisija je 11. maja objavila svoj predlog uredbe, katere cilj je preprečevanje in boj proti gradivu o spolni zlorabi otrok (CSAM).

Posledice za podjetja, kot sta WhatsApp in Instagram, ki morajo spremljati in brisati zasebna sporočila ali jih posredovati organom pregona, skrbijo civilno družbo.

Evropska komisija objavlja vprašanja in odgovore o novih standardnih pogodbenih klavzulah za mednarodni prenos podatkov

Zakon o podatkih Evropske komisije je sprožil tudi odziv Evropskega odbora za varstvo podatkov in Evropskega nadzornika za varstvo podatkov (EDPS). : v skupnem mnenju so zaskrbljeni glede področja uporabe uredbe.

Čeprav gre predvsem za podatke, ki jih prenašajo povezani objekti, gre tudi za občutljive osebne podatke.

Oblasti pozivajo k jasnim omejitvam uporabe podatkov za neposredno trženje ali oglaševanje, spremljanje zaposlenih, zavarovalne premije in poročanje o kreditni sposobnosti.

Španski organ za varstvo podatkov je družbi Google LLC naložil globo v višini 10 milijonov evrov. zaradi nezakonitega prenosa osebnih podatkov tretji osebi in preprečitve uveljavljanja pravice do izbrisa.

Google je v Združenem kraljestvu tožen tudi zaradi nezakonite uporabe zdravstvenih podatkov. 1,6 milijona ljudi: DeepMind, sistem umetne inteligence podjetja, naj bi te podatke prejel leta 2015 od Royal Free NHS Trust v Londonu za testiranje mobilne aplikacije.

Google – se je po obsodbi CNIL in njenih evropskih kolegov končno odločil, da bo poenostavil zavračanje vseh piškotkov v svojem iskalniku in na YouTubu. Možnost »Prilagodi« bo tako nadomestila dva gumba »Sprejmi vse« in »Zavrni vse« enake oblike, ki ju bo spremljal tretji gumb »Več možnosti«.

Po podatkih belgijskega organa za varstvo podatkov Pošiljanje e-pošte s seznamom prejemnikov v polju CC namesto v polju BCC se ne šteje za kršitev varnosti, če je prizadeta le majhna skupina ljudi (16 ljudi).

Danski organ razmišlja o naložitvi globe v višini 100.000 DKK agenciji ministrstva za pravosodje zaradi izgube nešifriranega USB-ključka in neprijave kršitve varnosti organu za varstvo podatkov.

Irsko pritožbeno sodišče meni, da podatkov, zbranih s sistemom video nadzora za namene preprečevanja kršitev, ni mogoče uporabiti za spremljanje zaposlenih in uvedbo disciplinskih postopkov zoper njih, saj je ta namen nezdružljiv s prvim.

Norveški organ za varstvo podatkov namerava upravi za delo naložiti globo v višini 486.700 evrov zaradi spletnega širjenja življenjepisov 1.800.000 ljudi brez pravne podlage.

Mednarodno:

Evropski nadzornik za varstvo podatkov je v mnenju z dne 18. maja izrazil zaskrbljenost glede sodelovanja Evropske unije v Konvenciji Združenih narodov o kibernetski kriminaliteti.

Poudarja tveganje oslabitve temeljnih pravic zaradi velikega števila vključenih držav z različnimi pravnimi sistemi.

Hongkonški organ za varstvo podatkov je 12. maja objavila smernice o uporabi pogodbenih klavzul za mednarodni prenos podatkov.

Singapurski organ za varstvo podatkov objavlja vodnik za anonimizacijo podatkov

Twitter je dosegel poravnavo z ameriškim ministrstvom za pravosodje in Zvezno trgovinsko komisijo za 150 milijonov dolarjev in se zavezuje k izvajanju programa skladnosti glede kršitev zaupnosti nejavnih podatkov svojih naročnikov.

Poročilo Irskega sveta za državljanske svoboščine navaja, da Licitiranje v realnem času, ki omogoča ciljno usmerjeno oglaševanje, stoji za največjo kršitvijo podatkov, kar jih je bilo kdaj zabeleženih na svetu.

Po podatkih ta panoga, ki je vredna več kot 110 milijard evrov, v Združenih državah Amerike in Evropi spremlja in deli spletne dejavnosti in lokacije posameznikov v resničnem svetu 178 milijardkrat na leto.

V Evropi RTB razkrije podatke ljudi 376-krat na dan. in Google vsako minuto, ko so nemški uporabniki interneta na spletu, pošlje 19,6 milijona sporočil o spletnem vedenju.

Anne Christine Lacoste

Anne Christine Lacoste, partnerica pri Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in delala na izvajanju GDPR v Evropski uniji.