Sat. Aug 13th, 2022
    en flag
    nl flag
    et flag
    fi flag
    fr flag
    de flag
    he flag
    ja flag
    lv flag
    pl flag
    pt flag
    es flag
    uk flag

    Toimittajan huomautus: Ajoittain, ComplexDiscovery korostaa julkisesti saatavilla olevia tai yksityisesti ostettavia ilmoituksia, sisältöpäivitykset, ja kybertutkimus, tiedot, ja laillisten löytöjen tarjoajat, tutkimusorganisaatiot, ja CompleDiscovery-yhteisön jäsenet. Vaikka CompleDiscovery korostaa näitä tietoja säännöllisesti, se ei ota vastuuta sisältöväitteistä.

    Lähettää suosituksia harkittavaksi ja sisällyttämiseksi CompleDiscoveryn tietoverkkoon, tiedot, ja oikeudellinen löytökeskeinen palvelu, tuote, tai tutkimusilmoituksia, ota meihin yhteyttä jo tänään.

    Taustaa koskeva huomautus: Tulevaisuuden tietosuojafoorumi käynnisti 17. toukokuuta 2022 kattavan raportin, jossa analysoitiin yleisen tietosuoja-asetuksen (GDPR) mukaista oikeuskäytäntöä, jota sovelletaan todellisiin tapauksiin, joihin liittyy automaattista päätöksentekoa (ADM). Raporttiin tiedotetaan laajasta tutkimuksesta, joka kattaa yli 70 Tuomioistuimen päätökset, tietosuojaviranomaisten päätökset, erityiset ohjeet, ja muut sääntelyviranomaisten antamat poliittiset asiakirjat. Tämän uuden raportin ilmoituksen mukaan GDPR: ssä on erityinen säännös, jota sovelletaan päätöksiin, jotka perustuvat yksinomaan henkilötietojen automatisoituun käsittelyyn, mukaan lukien profilointi, jolla on oikeusvaikutuksia yksilöön tai joka vaikuttaa vastaavasti kyseiseen henkilöön: 22 artikla. Tähän säännökseen sisältyy yksi ”rekisteröidyn oikeuksista”, erityisesti oikeus olla tekemättä tällaisia päätöksiä (eli ”ehdot täyttävä ADM”), jonka tietosuojasopimukset ovat tulkinneet pikemminkin kielloksi kuin etuoikeudeksi, jota yksityishenkilöt voivat käyttää. Raportissa kuitenkin väitetään, että GDPR: n yksilöiden suojaaminen automaattisen päätöksenteon (ADM) ja profiloinnin muotoja vastaan ylittää huomattavasti 22 artiklan. Ottaen huomioon ADM: n mahdolliset yksityisyyden haasteet, tämä raportti voi olla hyödyllinen kyberturvallisuudelle, tiedonhallinta, ja oikeudellisten löytöjen ammattilaiset, jotka pyrkivät ymmärtämään paremmin ADM: ään liittyviä mahdollisia yksityisyyden haasteita ja nykyisiä oikeuskäytäntönäkökohtia.

    Tietosuojan tulevaisuus Foorumin tutkimusraportti*

    Automaattinen päätöksenteko GDPR: n mukaisesti: Käytännön tapaukset tuomioistuimilta ja tietosuojaviranomaisilta

    Tekijä Sebastião Barros Vale ja Gabriela Zanfir-Fortuna

    Raportin ote - Tausta ja yleiskatsaus

    Euroopan unionin (EU) yleisessä tietosuoja-asetuksessa (GDPR) vahvistetaan yksi sen perustavanlaatuisista perusteista johdanto-osan 4 kappaleessa ja todetaan, että ”henkilötietojen käsittely olisi suunniteltava palvelemaan ihmiskuntaa”. Tämä tarkoittaa mitä tahansa henkilötietojen käsittelyä, sen keräämisestä eri käyttötarkoituksiin, yhtä yksinkertaista kuin pitää kirjaa ostoksistaan suosikki ruokakaupassa ja yhtä monimutkainen kuin henkilötietojen käyttö automaattiseen päätöksentekoon, kuten työnhakijoiden esiseulonta algoritmien avulla , tai henkilötietojen saaminen johtuu monimutkaisesta käsittelystä, kuten päivittäistavarakaupan asiakkaan profiilin luominen heidän ostohistoriansa perusteella. Sama GDPR: n taustalla oleva peruste pätee, jos henkilötietoja käsitellään jollakin tavalla tekoälyn (AI) tai koneoppimisen (ML) sovelluksen osana — joko tällaisen käsittelyn syötteenä tai tuotoksena.

    Vaikka kaikkia GDPR: n määräyksiä sovelletaan tällaiseen monimutkaiseen henkilötietojen käsittelyyn - rekisterinpitäjän velvollisuudesta olla laillinen käsittelyperuste käytössä, velvollisuuteen varmistaa, että käsittely tapahtuu oikeudenmukaisesti ja avoimesti, teknisempiin velvoitteisiin, kuten riittävän varmistamiseen tietoturvan taso ja sen varmistaminen, että henkilötietojen suoja leivotaan käsittelytoimen suunnittelussa, yhtä GDPR:n määräystä sovelletaan erityisesti päätöksiin, jotka ”perustuvat yksinomaan henkilötietojen automatisoituun käsittelyyn — n.], mukaan lukien profilointi, jolla on oikeusvaikutuksia ”, joka koskee henkilöä ”tai vaikuttaa vastaavalla tavalla” kyseiseen henkilöön: 22 artikla.

    Tämä säännös sisältää yhden ”rekisteröidyn oikeuksista,” Erityisesti ”oikeus olla tekemättä yksinomaan automaattiseen käsittelyyn perustuvaa päätöstä”, jolla on oikeudellinen tai vastaavasti merkittävä vaikutus yksilöön. Kaikkea automaattista päätöksentekoa (ADM), joka täyttää nämä kriteerit GDPR artiklan 22 mukaisesti, kutsutaan tässä raportissa ”ehdot täyttäväksi ADM”.

    Vaikka se olisi ilmeisesti otettu käyttöön GDPR: ssä vastaamaan algoritmien, tekoälyn ja ML-järjestelmien nykyiseen ikään, tämä säännös on itse asiassa ollut voimassa vuonna 1995 annetun EU:n entisen tietosuojadirektiivin nojalla, ja sen juuret ovat samanlaisessa säännöksessä kuin ensimmäinen ranskalainen tietosuojalaki, joka hyväksyttiin 1970-luvun lopulla. Sitä on kuitenkin aiemman lain nojalla vain niukasti valvottu. Tapaukset alkoivat piristyä sen jälkeen, kun GDPR tuli sovellettavaksi vuonna 2018, kun otetaan huomioon myös, että automatisoitu päätöksenteko on yleistymässä jokapäiväisessä elämässä, ja näyttää siltä, että ihmiset ovat yhä kiinnostuneempia 22 artiklan mukaisen oikeutensa soveltamisesta.

    Tässä raportissa hahmotellaan, miten kansalliset tuomioistuimet ja tietosuojaviranomaiset EU/Euroopan talousalueella (ETA) ja Yhdistyneessä kuningaskunnassa ovat tulkinneet ja soveltaneet tähän mennessä asiaankuuluvia ADM:ää koskevia GDPR-säännöksiä, samoin kuin merkittäviä suuntauksia ja poikkeamia tässä suhteessa. Raportin laatimiseksi olemme tutkineet julkisesti saatavilla olevia oikeudellisia ja hallinnollisia päätöksiä ja sääntelyohjeita EU/ETA:n lainkäyttöalueilla ja Yhdistyneessä kuningaskunnassa, joka oli EU: n jäsen joulukuuhun 2020 asti ja jonka ADM-säännöt ovat edelleen GDPR: n täytäntöönpano tämän raportin kirjoittamisen ajankohtana. Käsiteltyjen tapausten tosiseikkojen täydentämiseksi olemme tutkineet myös lehdistötiedotteita, vuosikertomuksia ja tiedotusvälineitä. Tämä tutkimus rajoittuu huhtikuuhun 2022 saakka julkaistuihin asiakirjoihin, ja se on peräisin yli 70 tapauksesta — 19 tuomioistuimen päätöksestä ja yli 50 täytäntöönpanopäätöksestä, yksittäisistä lausunnoista tai yleisohjeista, joita tietosuojavaltuutetut ovat antaneet — 18 ETA:n jäsenvaltiosta, Yhdistyneestä kuningaskunnasta ja Euroopan tietosuojavaltuutetusta. Tärkeimmät viitteenä käytettävät tapaukset ja asiakirjat on lueteltu liitteessä I. Raportti sisältää ensisijaisesti tapauksista yhteenvedot sekä asiaankuuluvat ohjeet, ja yksityiskohtaisesti tutkitut tapaukset on numeroitu johdonmukaisesti siten, että kaikki yksittäistä tapausta koskevat huomautukset voidaan helposti tunnistaa koko asiakirjassa (esim. Tapaus 3 viitataan useita kertoja, eri osissa).

    Tunnistamamme tapaukset johtuvat usein jokapäiväisen elämän tilanteista, joissa ADM: llä on yhä merkittävämpi rooli. Esimerkiksi, yksi tapausryhmä kaavailee opiskelijoita ja oppilaitoksia. Nämä tapaukset vaihtelevat elävien kasvojentunnistustekniikoiden käytöstä koulun tiloihin pääsyn ja läsnäolon kirjaamisen hallintaan, online-proktorointiin ja edelleen täysin automatisoituun luokitteluun opiskelijan yksilöllisen profiilin perusteella, mutta myös heidän koulupiirinsä profiilissa, korkean korvikkeena koulun valmistumiskokeet COVID-19-pandemian aikana.

    Toisella merkittävällä tapausryhmällä on ytimessä keikkatyöntekijöiden tilanne ja tapa, jolla heitä jaetaan vuoroissa, keikat, tulot ja rangaistukset omien alustojensa kautta. Merkittävä osa tapauksista haastaa automaattisen luottopisteytyksen. Tapa, jolla hallitukset jakavat sosiaalietuuksia, kuten työttömyys, ja hallita veronkiertoa ja mahdollisia petoksia, kohdistuu yhä enemmän tapauksia - yksittäisiä haasteita tai viran puolesta tehtyjä tutkimuksia. Tapasimme myös tapauksia, joissa taustalla oleva ADM haastettiin tilanteissa, kuten aselupien myöntäminen, kaapimalla julkisesti saatavilla olevia lähteitä FR-tuotteen rakentamiseksi, tai mahdollisten asiakkaiden profilointi pankin toimesta.

    Analyysimme osoittaa, että GDPR kokonaisuudessaan on merkityksellinen ADM-tapauksissa ja että sitä on sovellettu tehokkaasti yksilöiden oikeuksien suojelemiseksi tällaisissa tapauksissa, myös tilanteissa, joissa riidanalainen ADM ei täytä yleisen tietosuoja-asetuksen 22 artiklassa vahvistettua korkeaa kynnysarvoa, ja oikeus olla joutumatta yksinomaan automaattista päätöksentekoa ei sovelleta. Esimerkiksi, edes analysoimatta, sovelletaanko 22 artiklaa näissä tapauksissa - Tuomioistuimet ja tietosuojaimet ovat todenneet, että suorien FR-sovellusten käyttöönotto koulun tiloihin pääsyn hallitsemiseksi ja läsnäolon seuraamiseksi oli laitonta muiden GDPR: n säännösten nojalla, koska sillä ei ollut laillista perustetta käsittelyyn se ei ole noudattanut tarpeellisuutta ja suhteellisuutta koskevia vaatimuksia ja suojellut siten opiskelijoiden oikeuksia Ranskassa ja Ruotsissa (ks. asiat 30 ja 31).

    Asiaankuuluvien tapausten vertaileva lukeminen osoittaa myös, kuinka monimutkaisia avoimuusvaatimuksia pidetään käytännössä, ja se muunnetaan tehokkaasti yksilöiden oikeudeksi saada korkean tason selitys parametreista, jotka johtivat heitä koskevaan yksittäiseen automaattiseen päätökseen tai siitä, miten profilointi sovelletaan niihin.

    Lainmukaisuuden ja oikeudenmukaisuuden periaatteita sovelletaan erikseen ADM-asioihin liittyvissä tapauksissa, ja oikeudenmukaisuuden periaate saa vauhtia täytäntöönpanossa. Esimerkiksi yhdessä viimeisimmistä raportissa vahvistetuista tapauksista Alankomaiden tietosuojaviranomaisen tietosuojaviranomaisen mukaan algoritminen järjestelmä, jota hallitus käytti petosten automaattiseen havaitsemiseen sosiaalietuuksia koskevissa pyynnöissä, rikkoi oikeudenmukaisuuden periaatetta, koska käsittelyä pidettiin ”syrjivänä” sen vuoksi, että se oli ottanut huomioon ottaa huomioon lastenhoitoetuuksia hakevien henkilöiden kaksoiskansalaisuus.

    Toinen tärkeä seikka, joka tuli esiin tutkimuksessamme, on se, että kun täytäntöönpanoviranomaiset arvioivat 22 artiklan sovellettavuuden kynnysarvoa (”yksinomaan” automatisoitu ja ADM: n ”oikeudellinen tai vastaavasti merkittävä vaikutus” yksilöihin), käytetyt kriteerit ovat yhä kehittyneempiä oikeuskäytännön kasvaessa. Esimerkiksi, Tuomioistuimet ja tietosuojavastaimet tarkastelevat koko organisaatioympäristöä, jossa ADM tapahtuu, organisaatiorakenteesta, raportointilinjoihin ja henkilöstön tehokkaaseen koulutukseen, päättääkseen, onko päätös ”yksinomaan” automatisoitu vai oliko sillä mielekästä ihmisen osallistumista. Samoin arvioidessaan 22 artiklan soveltamista koskevaa toista kriteeriä täytäntöönpanoviranomaiset tutkivat, sisältävätkö automaattisen päätöksen syöttötiedot päätelmiä yksilöiden käyttäytymisestä, ja vaikuttaako päätös kohteena olevien henkilöiden käyttäytymiseen ja valintoihin muun muassa usean kerrostettu kriteerit.

    Lopuksi on korostettava, että käytännöllisesti katsoen kaikissa tapauksissa, joissa ADM-prosessi todettiin laittomaksi, DPA: t ylittivät hallinnollisten sakkojen antamisen määräämällä myös erityistoimenpiteitä, jotka vaihtelivat laajuudeltaan: määräykset käytäntöjen lopettamisesta, laittomasti kerättyjen henkilötietojen poistamismääräykset, määräykset kieltää kieltäminen henkilötietojen kerääminen edelleen.

    Raportin kaikkiin osiin liitetään yhteenvedot tapauksista ja lyhyt analyysi, jossa esitetään yhteisiä piirteitä ja poikkeavuuksia. Raportissa tarkastellaan aluksi 22 artiklan asiayhteyttä ja keskeisiä osia sekä muita asiaankuuluvia GDPR-säännöksiä, joita on sovellettu ADM-tapauksissa, ja ne kaikki näkyvät konkreettisissa esimerkeissä (osa 1). Sitten se pureutuu siihen, miten yleisen tietosuoja-asetuksen 22 artiklan edellyttämää kaksitahoista kynnysarvoa on tulkittu ja sovellettu käytännössä (osa 2). Lopuksi 3 jaksossa esitetään, miten tuomioistuimet ja tietoverolaitokset ovat soveltaneet 22 artiklaa alakohtaisilla aloilla eli työllisyyteen, eläviin kasvojentunnistuksiin ja luottopisteisiin liittyvissä asioissa. Päätelmässä esitellään joitain tunnistettuja oikeudellisen tulkinnan ja soveltamisen suuntauksia, jotka tulevat esiin tutkimuksessamme, ja tuodaan esiin jäljellä olevia oikeudellisen epävarmuuden alueita, joita sääntelyviranomaiset tai tuomioistuin voivat tulevaisuudessa selventää (4 jakso).

    Lue alkuperäinen ilmoitus.

    Täydellinen raportti - Automaattinen päätöksenteko GDPR: n mukaisesti: tuomioistuinten ja tietosuojaviranomaisten käytännön tapaukset (PDF) - Hiiren siirtäminen vierittämiseen

    FPF-ADM-raportti - toukokuu 2022

    Lue alkuperäinen raportti.

    *Jaettu luvalla Creative Commons, Nimeä 4.0 Kansainvälinen lisenssi.

    Lisä lukeminen

    Erojen omaksuminen? Digitaalisen rikosteknisen tutkimuksen vuorovaikutus eDiscoveryssä

    Cyber Discoveryn määritteleminen? Määritelmä ja kehys

    Lähde: CompleDiscovery

    Jäävuoren huippu? Uusi ENISA-raportti ransomware-hyökkäysten uhkamaisemasta

    According to ENISA, this threat landscape report analyzed a total of...

    Kuluttajat maksavat hinnan? Tietorikkomuksen kustannukset ovat ennätyksellisen korkeat uuden IBM-raportin mukaan

    According to IBM Security, the annual Cost of a Data Breach Report...

    EPhI: n turvaaminen? NIST päivittää terveydenhuollon kyberturvallisuuden ohjeita

    This new NIST Special Publication aims to help educate readers about...

    Uhanäyttelijöiden torjunta? Sosiaalisen verkoston analyysin käyttäminen kyberuhkien älykkyyteen (CCDCOE)

    According to the NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE)...

    Tulojen tuulenvaihto? KLDiscovery Inc. julkistaa toisen neljänneksen 2022 taloudellisen tuloksen

    According to Christopher Weiler, CEO of KLDiscovery Inc, “The second quarter...

    Tulojen ulkopuolella? DISCO julkistaa toisen neljänneksen 2022 Taloudellisen tuloksen

    According to Kiwi Camara, Co-Founder and CEO of DISCO, “We are...

    Elää Leedsin kanssa? Exterro täydentää pääomapohjan vahvistamista yli $1 Miljardi

    According to the press release, with the support of a group...

    TCDI saattaa päätökseen Aonin eDiscovery-käytännön hankinnan

    According to TCDI Founder and CEO Bill Johnson, “We chose Aon’s...

    Liikkeellä? 2022 eDiscovery Market Kinetics: Viisi kiinnostavaa aluetta

    Recently ComplexDiscovery was provided an opportunity to share with the eDiscovery...

    Luottaen prosessiin? 2021 eDiscovery-käsittelytehtävä, kulutus- ja kustannustiedot

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Tarkastelun vuosi? 2021 eDiscovery Review -tehtävä, viettää ja kustannustietopisteet

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    A 2021 Katso eDiscovery-kokoelma: Tehtävä, viettää, ja kustannustietopisteet

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Viisi suurta lukua kyberistä, Tiedot, ja oikeudellinen löytö heinäkuussa 2022

    From lurking business undercurrents to captivating deepfake developments, the July 2022...

    Viisi suurta lukua kyberistä, Tiedot, ja oikeudellinen löytö kesäkuussa 2022

    From eDiscovery ecosystem players and pricing to data breach investigations and...

    Viisi suurta lukua kyberistä, Tiedot, ja oikeudellinen löytö toukokuussa 2022

    From eDiscovery pricing and buyers to cyberattacks and incident response, the...

    Viisi suurta lukua Cyber istä, Data, ja oikeudellinen löytö huhtikuussa 2022

    From cyber attack statistics and frameworks to eDiscovery investments and providers,...

    Kivutus tai taipuma? Kokonaiskatsaus kahdeksasta puolivuosittaisesta eDiscovery-hinnoittelukyselystä

    Initiated in the winter of 2019 and conducted eight times with...

    Muuttuvat virtaukset? 18 havaintoa eDiscovery-liiketoiminnan luottamuksesta kesällä 2022

    In the summer of 2022, 54.8% of survey respondents felt that...

    Haastavat vaihtoehdot? eDiscovery-liiketoiminnan suorituskykyyn vaikuttavat ongelmat: kesän 2022 yleiskatsaus

    In the summer of 2022, 28.8% of respondents viewed increasing types...

    Downshift-aika? eDiscovery-operatiiviset mittarit kesällä 2022

    In the summer of 2022, 65 eDiscovery Business Confidence Survey participants...

    Dronaus päällä? Ukrainan konfliktin arvioinnit Mapsissa (elokuu 3 - 7, 2022)

    According to a recent update from the Institute for the Study...

    Ahdistava hätä? Ukrainan konfliktin arvioinnit Mapsissa (heinäkuu 29 - elokuu 2, 2022)

    According to a recent update from the Institute for the Study...

    Momentum-haasteet? Ukrainan konfliktien arvioinnit Mapsissa (heinäkuu 24 - 28, 2022)

    According to a recent update from the Institute for the Study...

    Sataman tuki? Ukrainan konfliktin arvioinnit Mapsissa (heinäkuu 19 - 23, 2022)

    According to a recent update from the Institute for the Study...