Sat. Aug 13th, 2022
    en flag
    nl flag
    et flag
    fi flag
    fr flag
    de flag
    he flag
    ja flag
    lv flag
    pl flag
    pt flag
    es flag
    uk flag

    Toimetaja märkus: Aeg-ajalt tõstab ComplexDiscovery esile avalikult kättesaadavad või eraviisiliselt ostetavad teadaanded, sisuvärskendused ja uuringud küber-, andmete- ja juriidiliste tuvastusteenuste pakkujatelt, uurimisorganisatsioonidelt ja ComplexDiscovery kogukonna liikmetelt. Kuigi ComplexDiscovery tõstab selle teabe regulaarselt esile, ei võta see sisu väidete eest mingit vastutust.

    ComplexDiscovery küber-, andmete- ja juriidiliste avastuskesksete teenuste, toodete või teadusuuringute teadaannetes soovituste esitamiseks võtke meiega ühendust juba täna.

    Taustmärkus: 17. mail 2022 käivitas privaatsuse tuleviku foorum tervikliku aruande, milles analüüsitakse kohtupraktikat vastavalt isikuandmete kaitse üldmäärusele (GDPR), mida kohaldatakse reaalse elu juhtudel, mis hõlmavad automatiseeritud otsuste tegemist (ADM). Aruannet teavitatakse ulatuslike uuringutega, mis hõlmavad rohkem kui 70 kohtuotsust, andmekaitseasutuste otsuseid, konkreetseid juhiseid ja muid reguleerivate asutuste väljastatud poliitilisi dokumente. Uue aruande kohaselt on GDPR-is konkreetne säte, mida kohaldatakse üksnes isikuandmete automatiseeritud töötlemisel põhinevate otsuste suhtes, sealhulgas profiilide loomisel, millel on üksikisiku suhtes õiguslikud tagajärjed või mis mõjutavad seda isikut sarnaselt: artikkel 22. See säte sätestab ühe „andmesubjekti õigused”, eelkõige õiguse mitte allutada seda laadi otsuseid (st „kvalifitseeruv ADM”), mida kaitseasutused on tõlgendanud pigem keeluna kui eesõigusega, mida üksikisikud saavad kasutada. Aruandes kinnitatakse siiski, et isikuandmete kaitse isikutele automatiseeritud otsuste tegemise (ADM) ja profiilide vormide vastu lähevad oluliselt kaugemale artiklist 22. Arvestades ADM-i võimalikke privaatsusprobleeme, võib see aruanne olla kasulik küberturvalisuse, teabe juhtimise ja õigusliku avastamise spetsialistide jaoks, kes soovivad paremini mõista ADM-iga seotud võimalikke privaatsusprobleeme ja praeguseid kohtupraktika kaalutlusi.

    Privaatsuse foorumi uurimisaruande tuleviku*

    Automaatne otsuste tegemine GDPR-i alusel: kohtute ja andmekaitseasutuste praktilised juhtumid

    Autor Sebastião Barros Vale et Gabriela Zanfir-Fortuna

    Aruande väljavõte - taust ja ülevaade

    Euroopa Liidu (EL) isikuandmete kaitse üldmäärusega (GDPR) kehtestatakse põhjenduses 4 üks selle põhjendusi, milles sätestatakse, et „isikuandmete töötlemine peaks olema kavandatud inimkonna teenindamiseks”. See viitab isikuandmete töötlemisele alates kogumisest kuni selle erinevate kasutusviisideni, nii lihtne kui pidada arvestust oma ostude kohta oma lemmikpoes ja sama keerukas kui isikuandmete kasutamine automatiseeritud otsuste tegemisel, näiteks töökoha eelsõelumine algoritmide abil. , või kellel on isikuandmed tulenevad keerulisest töötlemisest, näiteks toidupoe kliendi profiili loomine nende ostuajaloo alusel. Sama GDPR aluseks olev põhjendus kehtib juhul, kui isikuandmeid töödeldakse mingil viisil tehisintellekti (AI) või masinõppe (ML) rakenduse osana — kas sellise töötlemise sisendina või väljundina.

    Kuigi isikuandmete sellise keeruka töötlemise suhtes kohaldatakse kõiki isikuandmete üldmääruse sätteid — alates vastutava töötleja kohustusest, et on olemas seaduslik alus töötlemiseks, kohustusega tagada, et töötlemine toimub õiglaselt ja läbipaistvalt, kuni tehnilisemate kohustustega, näiteks piisava andmete turvalisuse tase ja tagada, et isikuandmete kaitse on koostatud töötlemistoimingu kavandamisel, on üks GDPR-i konkreetne säte konkreetselt kohaldatav otsustele, mis põhinevad üksnes automatiseeritud töötlemisel [isikuandmete — n.], sealhulgas profiilide tegemisel, millel on õiguslikud tagajärjed ” üksikisiku kohta „või sarnaselt mõjutab” seda isikut: artikkel 22.

    See säte sätestab ühe „andmesubjekti õigused”, eelkõige „õigus mitte olla suhtes üksnes automatiseeritud töötlemisel põhinev otsus”, millel on õiguslik või sarnaselt oluline mõju üksikisikule. Kõiki isikuandmete kaitse üldmääruse artiklis 22 määratletud kriteeriumidele vastavat automaatset otsuste tegemist (ADM) nimetatakse käesolevas aruandes „kvalifitseeruvaks ADM-iks”.

    Isegi kui see on ilmselt kasutusele võetud GDPR-is, et vastata algoritmide, tehisintellekti ja ML-süsteemide praegusele vanusele, on see säte tegelikult eksisteerinud 1995. aastal vastu võetud endise ELi andmekaitsedirektiivi alusel ja selle juured on sarnased 1970. aastate lõpus vastu võetud Prantsuse esimese andmekaitseseaduse sätted. Siiski on seda varasema seaduse alusel jõustatud vaid vaevalt. Juhtumid hakkasid kiirenema pärast seda, kui GDPR hakkas kehtima 2018. aastal, arvestades ka seda, et automatiseeritud otsuste tegemine muutub igapäevaelus üldlevinud ja nüüd tundub, et üksikisikud on üha enam huvitatud nende õiguste kohaldamisest vastavalt artiklile 22.

    Käesolevas aruandes kirjeldatakse, kuidas ELi/Euroopa Majanduspiirkonna (EMP) ja Ühendkuningriigi kohtud ja andmekaitseasutused on seni tõlgendanud ja kohaldanud asjakohaseid isikuandmete kaitse üldmääruse sätteid, samuti olulisi suundumusi ja kõrvalmõjusid selles osas. Aruande koostamiseks oleme uurinud avalikult kättesaadavaid kohtu- ja haldusotsuseid ning regulatiivseid suuniseid kõikides ELi/EMP jurisdiktsioonides ning Ühendkuningriigis, mis oli ELi liige kuni detsembrini 2020 ja mille ADM-i käsitlevad eeskirjad on käesoleva aruande koostamise ajal endiselt GDPR-i rakendamine. Arutatud kohtuasjade faktide täiendamiseks oleme uurinud ka pressiteateid, aastaaruandeid ja meedialugusid. Käesolev uurimistöö piirdub kuni aprillini 2022 avaldatud dokumentidega ning see pärineb enam kui 70 juhtumist — 19 kohtuotsust ja enam kui 50 täitmisotsust, individuaalseid arvamusi või üldjuhiseid, mis on pärit 18 EMP liikmesriigist, Ühendkuningriigist ja Euroopa andmekaitseinspektorist. Peamised juhtumid ja dokumendid, mida kasutatakse viiteks, on loetletud I lisas. Aruanne sisaldab peamiselt juhtude kokkuvõtteid ja asjakohaseid suuniseid, kusjuures üksikasjalikult uuritavad juhtumid nummerdatakse järjepidevalt nii, et kõiki konkreetse juhtumi märkmeid oleks kogu dokumendis hõlpsasti tuvastatav (nt kohtuasjas 3 nimetatakse mitu korda, erinevates osades).

    Sageli tuvastatud juhtumid tulenevad igapäevaelu olukordadest, kus ADM mängib üha olulist rolli. Näiteks üks juhtumite klaster näeb ette üliõpilastele ja haridusasutustele. Need juhtumid varieeruvad kasutamise live näotuvastus tehnoloogiate hallata juurdepääsu kooli ruumides ja registreerimise kohalolekut online proctoring ja edasi täielikult automatiseeritud liigitamine põhineb individuaalse profiili õpilane, vaid ka profiili oma koolipiirkond, asendusena kõrge kooli lõpetamise eksamid COVID-19 pandeemia ajal.

    Veel üks oluline juhtumite klaster on keskmes kaarikatöötajate olukord ja viis, kuidas neid jagatakse nihkeid, kontserte, sissetulekuid ja karistusi oma vastavate platvormide kaudu. Märkimisväärne arv juhtumeid vaidlustada automatiseeritud krediidi punktisüsteem. Viis, kuidas valitsused jagavad sotsiaalhüvitisi, nagu töötus, ning haldavad maksustamise vältimist ja võimalikke pettusi, on üha rohkem juhtumeid — individuaalseid väljakutseid või ex officio uurimist. Samuti tekkisime juhtumeid, kus aluseks olevat ADM-i vaidlustati sellistes olukordades nagu relva litsentside väljaandmine, avalikult kättesaadavate allikate kraapimine FR-toote ehitamiseks või potentsiaalsete klientide profileerimine panga poolt.

    Meie analüüs näitab, et isikuandmete kaitse üldmäärus tervikuna on ADM juhtude puhul asjakohane ja seda on tõhusalt rakendatud üksikisikute õiguste kaitsmiseks sellistel juhtudel, isegi sellistes olukordades, kus vaidlusalune ADM ei vasta isikuandmete kaitse üldmääruse artiklis 22 kehtestatud kõrgele künnisele ja õigust mitte kohaldada üksnes automatiseeritud otsuste tegemine ei ole kohaldatav. Näiteks ilma et analüüsida, kas nendes kohtuasjades kohaldatakse artiklit 22 — Kohtud ja DPA-d on leidnud, et reaalajas FR rakenduste kasutuselevõtt kooliruumidele juurdepääsu haldamiseks ja osalemise jälgimiseks oli õigusvastane isikuandmete kaitse üldmääruse muude sätete alusel, kuna sellel ei olnud töötlemiseks seaduslikku alust ja ta ei järginud vajaduse ja proportsionaalsuse nõudeid, kaitstes seega Prantsusmaa ja Rootsi üliõpilaste õigusi (vt kohtuasjades 30 ja 31).

    Asjaomaste juhtumite võrdlev lugemine näitab ka seda, kui keerulisi läbipaistvusnõudeid praktikas käsitletakse, kuna neid tõlgitakse tõhusalt üksikisikute õiguseks saada kõrgetasemelist selgitust parameetrite kohta, mis viisid individuaalse automatiseeritud otsuse tegemiseni nende kohta või kuidas profiilide kohaldada neile.

    Seaduslikkuse ja õigluse põhimõtteid kohaldatakse ADM-iga seotud juhtudel eraldi, kusjuures õigluse põhimõte hoogustub täitmisel. Näiteks leidis Hollandi DPA ühel viimasel aruandes sätestatud juhul, et algoritmiline süsteem, mida valitsus kasutab pettuste automaatseks tuvastamiseks sotsiaalhüvitiste taotlustes, rikub õigluse põhimõtet, kuna töötlemist peeti „diskrimineerivaks”, sest arvesse lastehoiutoetusi taotlevate isikute kahekordset kodakondsust.

    Teine oluline punkt, mis meie uurimistöös esile tõi, on see, et kui täitjad hindavad artikli 22 kohaldamise künnist (ADM-i „üksnes” automatiseeritud ja „õiguslik või sarnane oluline mõju” üksikisikutele), on kasutatud kriteeriumid kohtupraktika kasvades järjest keerukamad. Näiteks kohtud ja kaitseasutused uurivad kogu organisatsioonilist keskkonda, kus ADM toimub, alates organisatsiooni struktuurist kuni aruandlusliinideni ja personali tõhusa väljaõppeni, et otsustada, kas otsus oli „ainuüksi” automatiseeritud või oli mõtestatud inimeste kaasamine. Samamoodi uurivad täitjad artikli 22 kohaldatavuse teist kriteeriumi hindamisel, kas automatiseeritud otsuse sisestusandmed sisaldavad järeldusi üksikisikute käitumise kohta ning kas otsus mõjutab sihitud isikute käitumist ja valikuid muu hulgas mitme- kihilised kriteeriumid.

    Lõpuks peaksime rõhutama, et peaaegu kõigil juhtudel, kui ADM-protsess leiti olevat ebaseaduslik, läksid DPA-d kaugemale haldustrahvide väljastamisest, tellides ka erimeetmeid, mille ulatus oli erinev: korraldused tavade peatamiseks, ebaseaduslikult kogutud isikuandmete kustutamise korraldused, korraldused keelata isikuandmete edasine kogumine.

    Kõikidele aruande osadele on lisatud juhtumite kokkuvõtted ja lühike analüüs, milles on välja toodud ühtsused ja võõrased näitajad. Esialgu uuritakse aruandes artikli 22 ning muude asjakohaste isikuandmete kaitse üldmääruse sätete konteksti ja põhielemente, mida on kohaldatud ADM-i juhtudel, kõik need kajastuvad konkreetsetes näidetes (1. jagu). Seejärel selgitatakse, kuidas GDPR-i artiklis 22 nõutavat kaheharulist künnist on tõlgendatud ja praktikas rakendatud (2. jagu). Lõpuks esitatakse 3. jaos, kuidas kohtud ja andmeparandusasutused on kohaldanud artiklit 22 valdkondades, nimelt tööhõive, elava näotuvastuse ja krediidi hindamise küsimustes. Järeldus toob välja mõned kindlaksmääratud õigusliku tõlgendamise ja rakendamise suundumused, mis tulenevad meie uurimistööst, ning rõhutatakse järelejäänud õiguskindluse valdkondi, mida reguleerivad asutused või Euroopa Kohus tulevikus võivad selgitada (4. jagu).

    Loe algset teadet.

    Täielik aruanne - Automaatne otsuste tegemine isikuandmete kaitse üldmääruse alusel: kohtute ja andmekaitseasutuste praktilised kohtuasjad (PDF) - Hiireülekande kerimine

    FPF-ADM-aruanne - mai 2022

    Loe algset aruannet.

    *Jagatud loaga Creative Commons, Attribution 4.0 Rahvusvaheline litsents.

    Täiendav lugemine

    Erinevuste omaks võtmine? Digitaalse kohtuekspertiisi koosmäng e-juurdluses

    Määratlemine Cyber Discovery? Määratlus ja raamistik

    Allikas: ComplexDiscovery

    Jäämäe tipp? Uus ENISA aruanne lunavara rünnakute ohtude maastiku kohta

    According to ENISA, this threat landscape report analyzed a total of...

    Tarbijad, kes maksavad hinda? Andmerikkumise maksumus on uue IBM-i aruande kohaselt rekord kõrge

    According to IBM Security, the annual Cost of a Data Breach Report...

    Kaitsmine EPHi? NIST uuenduste juhised tervishoiu küberturvalisuse kohta

    This new NIST Special Publication aims to help educate readers about...

    Ohu vastu võitlemiseks osalejad? Sotsiaalse võrgustiku analüüsi kasutamine Cyber Threat Intelligence (CCDCOE)

    According to the NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE)...

    Tulud Headwinds? KLDiscovery Inc. teatab 2022. aasta teise kvartali majandustulemustest

    According to Christopher Weiler, CEO of KLDiscovery Inc, “The second quarter...

    Beyond Tulud? DISCO teatab teises kvartalis 2022 majandustulemused

    According to Kiwi Camara, Co-Founder and CEO of DISCO, “We are...

    Elada koos Leedsiga? Exterro lõpetab rekapitaliseerimise üle $1 miljardi

    According to the press release, with the support of a group...

    TCDI lõpetab Aoni e-juurdluse praktika omandamise

    According to TCDI Founder and CEO Bill Johnson, “We chose Aon’s...

    Liikuda? 2022 e-Discovery Market Kineetika: viis huvipakkuvat valdkonda

    Recently ComplexDiscovery was provided an opportunity to share with the eDiscovery...

    Usaldades protsessi? 2021 e-juurdluse töötlemise ülesande, kulude ja kulude andmete töötlemine

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Ülevaatamise aasta? 2021 e-juurdluse läbivaatamise ülesande, kulutuste ja kulude andmepunktid

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    2021 pilk e-juurdluse kogumist: ülesannete, kulude ja kulude andmepunktid

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Viis suurt loeb küberi, andmete ja juriidilise avastamise kohta juuliks 2022

    From lurking business undercurrents to captivating deepfake developments, the July 2022...

    Viis suurt loeb küberi, andmete ja juriidilise avastamise kohta juunis 2022

    From eDiscovery ecosystem players and pricing to data breach investigations and...

    Viis suurt loeb küberi, andmete ja juriidilise avastamise kohta mai 2022

    From eDiscovery pricing and buyers to cyberattacks and incident response, the...

    Viis suurt loeb küberi, andmete ja õigusliku avastuse kohta aprilliks 2022

    From cyber attack statistics and frameworks to eDiscovery investments and providers,...

    Pöördumine või läbipaine? Koondülevaade kaheksast poolaastasest e-juurdluse hinnakujunduse uuringust

    Initiated in the winter of 2019 and conducted eight times with...

    Muutuvad hoovused? Kaheksateist tähelepanekut e-juurdluse ettevõtete usalduse kohta 2022. aasta suvel

    In the summer of 2022, 54.8% of survey respondents felt that...

    Väljakutseid variandid? E-juurdluse ettevõtte jõudlust mõjutavad probleemid: 2022. aasta suvi ülevaade

    In the summer of 2022, 28.8% of respondents viewed increasing types...

    Allavahetuse aeg? E-juurdluse tegevusmõõdikud 2022. aasta suvel

    In the summer of 2022, 65 eDiscovery Business Confidence Survey participants...

    Droning On? Ukraina Konflikti hindamine Maps (August 3 - 7, 2022)

    According to a recent update from the Institute for the Study...

    Eeldades stressi? Ukraina Konflikti hindamised Maps (29. juuli — 2. august 2022)

    According to a recent update from the Institute for the Study...

    Momentum väljakutsed? Ukraina Konflikti hindamised Maps (juuli 24 — 28, 2022)

    According to a recent update from the Institute for the Study...

    Sadama tugi? Ukraina Konflikti hindamine Maps (juuli 19 — 23, 2022)

    According to a recent update from the Institute for the Study...