Toimittajan huomautus: Ajoittain, ComplexDiscovery korostaa julkisesti saatavilla olevia tai yksityisesti ostettavia ilmoituksia, sisältöpäivitykset, ja kybertutkimus, tiedot, ja laillisten löytöjen tarjoajat, tutkimusorganisaatiot, ja CompleDiscovery-yhteisön jäsenet. Vaikka CompleDiscovery korostaa näitä tietoja säännöllisesti, se ei ota vastuuta sisältöväitteistä.
Lähettää suosituksia harkittavaksi ja sisällyttämiseksi CompleDiscoveryn tietoverkkoon, tiedot, ja oikeudellinen löytökeskeinen palvelu, tuote, tai tutkimusilmoituksia, ota meihin yhteyttä jo tänään.
Taustaa koskeva huomautus: Tulevaisuuden tietosuojafoorumi käynnisti 17. toukokuuta 2022 kattavan raportin, jossa analysoitiin yleisen tietosuoja-asetuksen (GDPR) mukaista oikeuskäytäntöä, jota sovelletaan todellisiin tapauksiin, joihin liittyy automaattista päätöksentekoa (ADM). Raporttiin tiedotetaan laajasta tutkimuksesta, joka kattaa yli 70 Tuomioistuimen päätökset, tietosuojaviranomaisten päätökset, erityiset ohjeet, ja muut sääntelyviranomaisten antamat poliittiset asiakirjat. Tämän uuden raportin ilmoituksen mukaan GDPR: ssä on erityinen säännös, jota sovelletaan päätöksiin, jotka perustuvat yksinomaan henkilötietojen automatisoituun käsittelyyn, mukaan lukien profilointi, jolla on oikeusvaikutuksia yksilöön tai joka vaikuttaa vastaavasti kyseiseen henkilöön: 22 artikla. Tähän säännökseen sisältyy yksi ”rekisteröidyn oikeuksista”, erityisesti oikeus olla tekemättä tällaisia päätöksiä (eli ”ehdot täyttävä ADM”), jonka tietosuojasopimukset ovat tulkinneet pikemminkin kielloksi kuin etuoikeudeksi, jota yksityishenkilöt voivat käyttää. Raportissa kuitenkin väitetään, että GDPR: n yksilöiden suojaaminen automaattisen päätöksenteon (ADM) ja profiloinnin muotoja vastaan ylittää huomattavasti 22 artiklan. Ottaen huomioon ADM: n mahdolliset yksityisyyden haasteet, tämä raportti voi olla hyödyllinen kyberturvallisuudelle, tiedonhallinta, ja oikeudellisten löytöjen ammattilaiset, jotka pyrkivät ymmärtämään paremmin ADM: ään liittyviä mahdollisia yksityisyyden haasteita ja nykyisiä oikeuskäytäntönäkökohtia.
Tietosuojan tulevaisuus Foorumin tutkimusraportti*
Automaattinen päätöksenteko GDPR: n mukaisesti: Käytännön tapaukset tuomioistuimilta ja tietosuojaviranomaisilta
Tekijä Sebastião Barros Vale ja Gabriela Zanfir-Fortuna
Raportin ote - Tausta ja yleiskatsaus
Euroopan unionin (EU) yleisessä tietosuoja-asetuksessa (GDPR) vahvistetaan yksi sen perustavanlaatuisista perusteista johdanto-osan 4 kappaleessa ja todetaan, että ”henkilötietojen käsittely olisi suunniteltava palvelemaan ihmiskuntaa”. Tämä tarkoittaa mitä tahansa henkilötietojen käsittelyä, sen keräämisestä eri käyttötarkoituksiin, yhtä yksinkertaista kuin pitää kirjaa ostoksistaan suosikki ruokakaupassa ja yhtä monimutkainen kuin henkilötietojen käyttö automaattiseen päätöksentekoon, kuten työnhakijoiden esiseulonta algoritmien avulla , tai henkilötietojen saaminen johtuu monimutkaisesta käsittelystä, kuten päivittäistavarakaupan asiakkaan profiilin luominen heidän ostohistoriansa perusteella. Sama GDPR: n taustalla oleva peruste pätee, jos henkilötietoja käsitellään jollakin tavalla tekoälyn (AI) tai koneoppimisen (ML) sovelluksen osana — joko tällaisen käsittelyn syötteenä tai tuotoksena.
Vaikka kaikkia GDPR: n määräyksiä sovelletaan tällaiseen monimutkaiseen henkilötietojen käsittelyyn - rekisterinpitäjän velvollisuudesta olla laillinen käsittelyperuste käytössä, velvollisuuteen varmistaa, että käsittely tapahtuu oikeudenmukaisesti ja avoimesti, teknisempiin velvoitteisiin, kuten riittävän varmistamiseen tietoturvan taso ja sen varmistaminen, että henkilötietojen suoja leivotaan käsittelytoimen suunnittelussa, yhtä GDPR:n määräystä sovelletaan erityisesti päätöksiin, jotka ”perustuvat yksinomaan henkilötietojen automatisoituun käsittelyyn — n.], mukaan lukien profilointi, jolla on oikeusvaikutuksia ”, joka koskee henkilöä ”tai vaikuttaa vastaavalla tavalla” kyseiseen henkilöön: 22 artikla.
Tämä säännös sisältää yhden ”rekisteröidyn oikeuksista,” Erityisesti ”oikeus olla tekemättä yksinomaan automaattiseen käsittelyyn perustuvaa päätöstä”, jolla on oikeudellinen tai vastaavasti merkittävä vaikutus yksilöön. Kaikkea automaattista päätöksentekoa (ADM), joka täyttää nämä kriteerit GDPR artiklan 22 mukaisesti, kutsutaan tässä raportissa ”ehdot täyttäväksi ADM”.
Vaikka se olisi ilmeisesti otettu käyttöön GDPR: ssä vastaamaan algoritmien, tekoälyn ja ML-järjestelmien nykyiseen ikään, tämä säännös on itse asiassa ollut voimassa vuonna 1995 annetun EU:n entisen tietosuojadirektiivin nojalla, ja sen juuret ovat samanlaisessa säännöksessä kuin ensimmäinen ranskalainen tietosuojalaki, joka hyväksyttiin 1970-luvun lopulla. Sitä on kuitenkin aiemman lain nojalla vain niukasti valvottu. Tapaukset alkoivat piristyä sen jälkeen, kun GDPR tuli sovellettavaksi vuonna 2018, kun otetaan huomioon myös, että automatisoitu päätöksenteko on yleistymässä jokapäiväisessä elämässä, ja näyttää siltä, että ihmiset ovat yhä kiinnostuneempia 22 artiklan mukaisen oikeutensa soveltamisesta.
Tässä raportissa hahmotellaan, miten kansalliset tuomioistuimet ja tietosuojaviranomaiset EU/Euroopan talousalueella (ETA) ja Yhdistyneessä kuningaskunnassa ovat tulkinneet ja soveltaneet tähän mennessä asiaankuuluvia ADM:ää koskevia GDPR-säännöksiä, samoin kuin merkittäviä suuntauksia ja poikkeamia tässä suhteessa. Raportin laatimiseksi olemme tutkineet julkisesti saatavilla olevia oikeudellisia ja hallinnollisia päätöksiä ja sääntelyohjeita EU/ETA:n lainkäyttöalueilla ja Yhdistyneessä kuningaskunnassa, joka oli EU: n jäsen joulukuuhun 2020 asti ja jonka ADM-säännöt ovat edelleen GDPR: n täytäntöönpano tämän raportin kirjoittamisen ajankohtana. Käsiteltyjen tapausten tosiseikkojen täydentämiseksi olemme tutkineet myös lehdistötiedotteita, vuosikertomuksia ja tiedotusvälineitä. Tämä tutkimus rajoittuu huhtikuuhun 2022 saakka julkaistuihin asiakirjoihin, ja se on peräisin yli 70 tapauksesta — 19 tuomioistuimen päätöksestä ja yli 50 täytäntöönpanopäätöksestä, yksittäisistä lausunnoista tai yleisohjeista, joita tietosuojavaltuutetut ovat antaneet — 18 ETA:n jäsenvaltiosta, Yhdistyneestä kuningaskunnasta ja Euroopan tietosuojavaltuutetusta. Tärkeimmät viitteenä käytettävät tapaukset ja asiakirjat on lueteltu liitteessä I. Raportti sisältää ensisijaisesti tapauksista yhteenvedot sekä asiaankuuluvat ohjeet, ja yksityiskohtaisesti tutkitut tapaukset on numeroitu johdonmukaisesti siten, että kaikki yksittäistä tapausta koskevat huomautukset voidaan helposti tunnistaa koko asiakirjassa (esim. Tapaus 3 viitataan useita kertoja, eri osissa).
Tunnistamamme tapaukset johtuvat usein jokapäiväisen elämän tilanteista, joissa ADM: llä on yhä merkittävämpi rooli. Esimerkiksi, yksi tapausryhmä kaavailee opiskelijoita ja oppilaitoksia. Nämä tapaukset vaihtelevat elävien kasvojentunnistustekniikoiden käytöstä koulun tiloihin pääsyn ja läsnäolon kirjaamisen hallintaan, online-proktorointiin ja edelleen täysin automatisoituun luokitteluun opiskelijan yksilöllisen profiilin perusteella, mutta myös heidän koulupiirinsä profiilissa, korkean korvikkeena koulun valmistumiskokeet COVID-19-pandemian aikana.
Toisella merkittävällä tapausryhmällä on ytimessä keikkatyöntekijöiden tilanne ja tapa, jolla heitä jaetaan vuoroissa, keikat, tulot ja rangaistukset omien alustojensa kautta. Merkittävä osa tapauksista haastaa automaattisen luottopisteytyksen. Tapa, jolla hallitukset jakavat sosiaalietuuksia, kuten työttömyys, ja hallita veronkiertoa ja mahdollisia petoksia, kohdistuu yhä enemmän tapauksia - yksittäisiä haasteita tai viran puolesta tehtyjä tutkimuksia. Tapasimme myös tapauksia, joissa taustalla oleva ADM haastettiin tilanteissa, kuten aselupien myöntäminen, kaapimalla julkisesti saatavilla olevia lähteitä FR-tuotteen rakentamiseksi, tai mahdollisten asiakkaiden profilointi pankin toimesta.
Analyysimme osoittaa, että GDPR kokonaisuudessaan on merkityksellinen ADM-tapauksissa ja että sitä on sovellettu tehokkaasti yksilöiden oikeuksien suojelemiseksi tällaisissa tapauksissa, myös tilanteissa, joissa riidanalainen ADM ei täytä yleisen tietosuoja-asetuksen 22 artiklassa vahvistettua korkeaa kynnysarvoa, ja oikeus olla joutumatta yksinomaan automaattista päätöksentekoa ei sovelleta. Esimerkiksi, edes analysoimatta, sovelletaanko 22 artiklaa näissä tapauksissa - Tuomioistuimet ja tietosuojaimet ovat todenneet, että suorien FR-sovellusten käyttöönotto koulun tiloihin pääsyn hallitsemiseksi ja läsnäolon seuraamiseksi oli laitonta muiden GDPR: n säännösten nojalla, koska sillä ei ollut laillista perustetta käsittelyyn se ei ole noudattanut tarpeellisuutta ja suhteellisuutta koskevia vaatimuksia ja suojellut siten opiskelijoiden oikeuksia Ranskassa ja Ruotsissa (ks. asiat 30 ja 31).
Asiaankuuluvien tapausten vertaileva lukeminen osoittaa myös, kuinka monimutkaisia avoimuusvaatimuksia pidetään käytännössä, ja se muunnetaan tehokkaasti yksilöiden oikeudeksi saada korkean tason selitys parametreista, jotka johtivat heitä koskevaan yksittäiseen automaattiseen päätökseen tai siitä, miten profilointi sovelletaan niihin.
Lainmukaisuuden ja oikeudenmukaisuuden periaatteita sovelletaan erikseen ADM-asioihin liittyvissä tapauksissa, ja oikeudenmukaisuuden periaate saa vauhtia täytäntöönpanossa. Esimerkiksi yhdessä viimeisimmistä raportissa vahvistetuista tapauksista Alankomaiden tietosuojaviranomaisen tietosuojaviranomaisen mukaan algoritminen järjestelmä, jota hallitus käytti petosten automaattiseen havaitsemiseen sosiaalietuuksia koskevissa pyynnöissä, rikkoi oikeudenmukaisuuden periaatetta, koska käsittelyä pidettiin ”syrjivänä” sen vuoksi, että se oli ottanut huomioon ottaa huomioon lastenhoitoetuuksia hakevien henkilöiden kaksoiskansalaisuus.
Toinen tärkeä seikka, joka tuli esiin tutkimuksessamme, on se, että kun täytäntöönpanoviranomaiset arvioivat 22 artiklan sovellettavuuden kynnysarvoa (”yksinomaan” automatisoitu ja ADM: n ”oikeudellinen tai vastaavasti merkittävä vaikutus” yksilöihin), käytetyt kriteerit ovat yhä kehittyneempiä oikeuskäytännön kasvaessa. Esimerkiksi, Tuomioistuimet ja tietosuojavastaimet tarkastelevat koko organisaatioympäristöä, jossa ADM tapahtuu, organisaatiorakenteesta, raportointilinjoihin ja henkilöstön tehokkaaseen koulutukseen, päättääkseen, onko päätös ”yksinomaan” automatisoitu vai oliko sillä mielekästä ihmisen osallistumista. Samoin arvioidessaan 22 artiklan soveltamista koskevaa toista kriteeriä täytäntöönpanoviranomaiset tutkivat, sisältävätkö automaattisen päätöksen syöttötiedot päätelmiä yksilöiden käyttäytymisestä, ja vaikuttaako päätös kohteena olevien henkilöiden käyttäytymiseen ja valintoihin muun muassa usean kerrostettu kriteerit.
Lopuksi on korostettava, että käytännöllisesti katsoen kaikissa tapauksissa, joissa ADM-prosessi todettiin laittomaksi, DPA: t ylittivät hallinnollisten sakkojen antamisen määräämällä myös erityistoimenpiteitä, jotka vaihtelivat laajuudeltaan: määräykset käytäntöjen lopettamisesta, laittomasti kerättyjen henkilötietojen poistamismääräykset, määräykset kieltää kieltäminen henkilötietojen kerääminen edelleen.
Raportin kaikkiin osiin liitetään yhteenvedot tapauksista ja lyhyt analyysi, jossa esitetään yhteisiä piirteitä ja poikkeavuuksia. Raportissa tarkastellaan aluksi 22 artiklan asiayhteyttä ja keskeisiä osia sekä muita asiaankuuluvia GDPR-säännöksiä, joita on sovellettu ADM-tapauksissa, ja ne kaikki näkyvät konkreettisissa esimerkeissä (osa 1). Sitten se pureutuu siihen, miten yleisen tietosuoja-asetuksen 22 artiklan edellyttämää kaksitahoista kynnysarvoa on tulkittu ja sovellettu käytännössä (osa 2). Lopuksi 3 jaksossa esitetään, miten tuomioistuimet ja tietoverolaitokset ovat soveltaneet 22 artiklaa alakohtaisilla aloilla eli työllisyyteen, eläviin kasvojentunnistuksiin ja luottopisteisiin liittyvissä asioissa. Päätelmässä esitellään joitain tunnistettuja oikeudellisen tulkinnan ja soveltamisen suuntauksia, jotka tulevat esiin tutkimuksessamme, ja tuodaan esiin jäljellä olevia oikeudellisen epävarmuuden alueita, joita sääntelyviranomaiset tai tuomioistuin voivat tulevaisuudessa selventää (4 jakso).
Lue alkuperäinen ilmoitus.
Täydellinen raportti - Automaattinen päätöksenteko GDPR: n mukaisesti: tuomioistuinten ja tietosuojaviranomaisten käytännön tapaukset (PDF) - Hiiren siirtäminen vierittämiseen
FPF-ADM-raportti - toukokuu 2022
Lue alkuperäinen raportti.
*Jaettu luvalla Creative Commons, Nimeä 4.0 Kansainvälinen lisenssi.
Lisä lukeminen
Erojen omaksuminen? Digitaalisen rikosteknisen tutkimuksen vuorovaikutus eDiscoveryssä
Cyber Discoveryn määritteleminen? Määritelmä ja kehys
Lähde: CompleDiscovery
