Sat. Aug 13th, 2022
    en flag
    nl flag
    et flag
    fi flag
    fr flag
    de flag
    he flag
    ja flag
    lv flag
    pl flag
    pt flag
    es flag
    uk flag

    הערת העורך: מעת לעת, ComplexDiscovery מדגיש הודעות, עדכוני תוכן ומחקר הזמינים לציבור או באופן פרטי, מספקים של ספקי סייבר, נתונים וגילוי משפטי, ארגוני מחקר וחברי קהילת ComplexDiscovery. בעוד ComplexDiscovery מדגיש באופן קבוע מידע זה, הוא אינו נוטל על עצמו כל אחריות לטענות תוכן.

    כדי להגיש המלצות לתמורה ולהכללה בהודעות הסייבר, הנתונים והמידע המתמקדים בגילוי משפטי של ComplexDiscovery, צרו איתנו קשר עוד היום.

    הערת רקע: ב- 17 במאי 2022, פורום העתיד של הפרטיות השיק חוק מקיף לניתוח דוחות על פי התקנה הכללית להגנה על נתונים (GDPR) שהוחלה על מקרים בחיים האמיתיים הכרוכים בקבלת החלטות אוטומטית (ADM). הדו"ח הוא הודיע על ידי מחקר מקיף המכסה יותר מ 70 פסקי דין בבית המשפט, החלטות של רשויות הגנת נתונים (DPAs), הנחיות ספציפיות, ומסמכי מדיניות אחרים שהונפקו על ידי הרגולטורים. על פי ההודעה על דוח חדש זה, ל- GDPR יש הוראה מסוימת החלה על החלטות המבוססות אך ורק על עיבוד אוטומטי של נתונים אישיים, כולל פרופיל, המייצר השפעות משפטיות הנוגעות לאדם או משפיע באופן דומה על אותו אדם: סעיף 22. הוראה זו מעגנת את אחת מ"זכויותיו של נושא הנתונים ", ובמיוחד את הזכות שלא להיות כפופה להחלטות מסוג זה (דהיינו, 'ADM' מוקדמות"), אשר פורשה על ידי DPAs כאיסור ולא זכות שאנשים יכולים לממש. עם זאת, הדו"ח קובע כי ההגנות של GDPR ליחידים מפני צורות של קבלת החלטות אוטומטיות (ADM) ופרופיל עוברות משמעותית מעבר לסעיף 22. בהתחשב באתגרי הפרטיות הפוטנציאליים של ADM, דוח זה עשוי להועיל לאנשי מקצוע בתחום אבטחת סייבר, ממשל מידע וגילוי משפטי המבקשים להבין טוב יותר את אתגרי הפרטיות הפוטנציאליים ואת שיקולי הפסיקה הנוכחיים הקשורים ל- ADM.

    דוח המחקר של פורום הפרטיות*

    קבלת החלטות אוטומטיות במסגרת ה- GDPR: מקרים מעשיים מבתי משפט ורשויות להגנת המידע

    על ידי סבסטיאו בארוס וייל וגבריאלה Zanfir-פורטונה

    תמצית דוח - רקע וסקירה כללית

    התקנה הכללית של האיחוד האירופי (האיחוד האירופי) להגנה על נתונים (GDPR) קובעת את אחד הרציונליות היסודיים שלה ברסיטל 4, וקבעה כי "עיבוד הנתונים האישיים צריך להיות מתוכנן לשרת את האנושות". הכוונה היא לכל עיבוד של נתונים אישיים, החל מהאוסף שלו ועד לשימושים השונים בו, פשוט כמו רישום על רכישות במכולת המועדפת עליהם ומורכב כמו שימוש בנתונים אישיים לקבלת החלטות אוטומטיות, כגון סינון מקדים של מועמדים לעבודה באמצעות אלגוריתמים , או שיש נתונים אישיים נובעים עיבוד מורכב, כמו יצירת פרופיל של הלקוח של חנות מכולת על בסיס היסטוריית הרכישה שלהם. אותו הרציונל הבסיסי של ה- GDPR חל אם נתונים אישיים מעובדים בדרך כלשהי כחלק מיישום בינה מלאכותית (AI) או למידת מכונה (ML) - כקלט או פלט של עיבוד כזה.

    בעוד שכל הוראות ה- GDPR חלות על עיבוד מורכב כזה של נתונים אישיים - החל מחובתו של הבקר להחזיק קרקע חוקית לעיבוד, וכלה בחובה להבטיח שהעיבוד נעשה בצורה הוגנת ושקופה, וכלה בהתחייבויות טכניות נוספות כמו הבטחת נאותה רמת אבטחת מידע ולהבטיח כי ההגנה על נתונים אישיים אפויה לתוך העיצוב של פעולת עיבוד, הוראה מסוימת אחת של ה- GDPR חלה במיוחד על החלטות "המבוססות אך ורק על עיבוד אוטומטי [של נתונים אישיים - n.], כולל פרופיל, המייצר השפעות משפטיות "לגבי אדם "או משפיע באופן דומה" על אותו אדם: סעיף 22.

    הוראה זו מעגנת את אחת מ"זכויותיו של הנבדק", ובמיוחד "הזכות שלא להיות כפופה להחלטה המבוססת אך ורק על עיבוד אוטומטי" שיש לה השפעה משפטית או משמעותית באופן דומה על הפרט. כל קבלת ההחלטות האוטומטית (ADM) העומדת בקריטריונים אלה כהגדרתם בסעיף 22 GDPR מכונה "ADM מזכה" בדוח זה.

    גם אם הוצג ככל הנראה ב- GDPR כדי להגיב לעידן הנוכחי של אלגוריתמים, מערכות AI ו- ML, הוראה זו קיימת למעשה תחת הנחיית הגנת הנתונים של האיחוד האירופי לשעבר שאומצה בשנת 1995, ושורשיה בהוראה דומה לחוק הגנת המידע הצרפתי הראשון שאומץ בסוף שנות השבעים. עם זאת, זה רק בקושי נאכף על פי החוק הקודם. מקרים החלו להרים לאחר GDPR הפך ישים בשנת 2018, גם בהתחשב בכך קבלת החלטות אוטומטיות הופך להיות בכל מקום בחיי היומיום, וזה נראה עכשיו כמו אנשים מעוניינים יותר ויותר שיש זכותם תחת סעיף 22 מיושם.

    דוח זה מתאר כיצד בתי המשפט הלאומיים והרשויות להגנת נתונים (DPAs) באזור הכלכלי של האיחוד האירופי/אירופי (EEA) ובריטניה פירשו ויישמו את הוראות ה- GDPR הרלוונטיות על ADM עד כה, כמו גם את המגמות והחריגים הבולטים בהקשר זה. כדי להרכיב את הדוח, בדקנו החלטות שיפוטיות ומנהליות זמינות לציבור והנחיות רגולטוריות ברחבי תחומי השיפוט של האיחוד האירופי/EEA ובריטניה, שהייתה חברה באיחוד האירופי עד דצמבר 2020 וכלליה בנושא ADM הם עדיין יישום של ה- GDPR בעת כתיבת דוח זה. כדי להשלים את עובדות המקרים שנדונו, בדקנו גם הודעות לעיתונות, דוחות שנתיים וסיפורי מדיה. מחקר זה מוגבל למסמכים שפורסמו עד אפריל 2022, והוא שואב מיותר מ- 70 מקרים - 19 פסקי דין ויותר מ- 50 החלטות אכיפה, חוות דעת אישיות או הנחיות כלליות שהונפקו על ידי DPAs, - מתוך טווח של 18 מדינות חבר ב- EEA, בריטניה והממונה האירופי להגנת נתונים (EDPS). המקרים והמסמכים העיקריים המשמשים לעיון מפורטים בנספח א 'הדוח מכיל בעיקר סיכומי מקרה, כמו גם הנחיות רלוונטיות, כאשר המקרים שנחקרו בפירוט ממוספרים באופן עקבי, כך שניתן יהיה לזהות בקלות את כל ההערות על מקרה מסוים לאורך המסמך (למשל מקרה 3 יופנו מספר פעמים, תחת סעיפים שונים).

    המקרים שזיהינו נובעים לעתים קרובות ממצבים של חיי היומיום שבהם ADM ממלאת יותר ויותר תפקיד משמעותי. לדוגמה, מקבץ מקרים אחד חוזה סטודנטים ומוסדות חינוך. מקרים אלה משתנים משימוש בטכנולוגיות זיהוי פנים בשידור חי לניהול גישה בחצרים בבית הספר והקלטת נוכחות, וכלה בפרוקטורציה מקוונת ובהמשך לדירוג אוטומטי לחלוטין המבוסס על הפרופיל האישי של תלמיד, אך גם בפרופיל מחוז בית הספר שלהם, כתחליף לדירוג גבוה בחינות סיום בית הספר במהלך מגיפת COVID-19.

    אשכול משמעותי נוסף של מקרים יש בבסיסו את מצבם של עובדי ההופעות ואת האופן שבו הם מופצים משמרות, הופעות, הכנסות ועונשים באמצעות הפלטפורמות שלהם בהתאמה. מספר לא מבוטל של מקרים מאתגר ניקוד אשראי אוטומטי. האופן שבו ממשלות מפיצות הטבות סוציאליות, כמו אבטלה, ומנהלות הימנעות ממס והונאה פוטנציאלית כפופה יותר ויותר למקרים נוספים - אתגרים אישיים או חקירות משרד לשעבר. נתקלנו גם במקרים בהם אתגר ה- ADM העומד בבסיס במצבים כמו הנפקת רישיונות נשק, גרידת מקורות זמינים לציבור לבניית מוצר FR, או פרופיל לקוחות פוטנציאליים על ידי בנק.

    הניתוח שלנו יראה כי ה- GDPR בכללותו רלוונטי למקרי ADM והוחל ביעילות על מנת להגן על זכויותיהם של אנשים במקרים כאלה, גם במצבים בהם ה- ADM המדובר אינו עומד בסף הגבוה שנקבע על ידי סעיף 22 GDPR, והזכות שלא להיות כפופה אך ורק קבלת החלטות אוטומטית אינה ישימה. לדוגמה, אפילו בלי לנתח אם סעיף 22 חל במקרים אלה - בתי המשפט ו DPAs מצאו כי הפריסה של יישומים FR לחיות לנהל גישה לבית הספר ואת הנוכחות לפקח היה בלתי חוקי על פי הוראות אחרות של GDPR כי זה לא היה בסיס חוקי לעיבוד במקום והיא לא כיבדה את דרישות הצורך והמידתיות, ובכך הגנה על זכויותיהם של סטודנטים בצרפת ובשבדיה (ראה מקרים 30 ו -31).

    קריאה השוואתית של מקרים רלוונטיים תציג גם כיצד דרישות שקיפות מורכבות נחשבות בפועל, ותורגם ביעילות לזכותם של אנשים לקבל הסבר ברמה גבוהה על הפרמטרים שהובילו להחלטה אוטומטית אינדיבידואלית הנוגעת להם או כיצד פרופיל להחיל אותם.

    עקרונות החוקיות וההגינות מיושמים בנפרד במקרים הקשורים ל- ADM, כאשר עקרון ההוגנות צובר תאוצה באכיפה. לדוגמה, באחד המקרים האחרונים המעוגנים בדו"ח, ה- DPA ההולנדי מצא כי המערכת האלגוריתמית המשמשת את הממשלה לאיתור הונאה אוטומטית בבקשות להטבות סוציאליות הפרה את עקרון ההגינות, שכן העיבוד נחשב "מפלה" על כך שנלקח בחשבון את הלאום הכפול של האנשים המבקשים הטבות לטיפול בילדים.

    נקודה חשובה נוספת שעלה מהמחקר שלנו היא שכאשר אוכפי בוחנים את סף תחולת סעיף 22 ("אך ורק" אוטומטי, ו"השפעה משפטית או משמעותית דומה "של ADM על יחידים), הקריטריונים המשמשים מתוחכמים יותר ויותר ככל שגופו של חוק המקרה גדל. לדוגמה, בתי המשפט ו- DPAs בוחנים את כל הסביבה הארגונית בה מתקיימת ADM, ממבנה הארגון, לקווי דיווח והכשרה יעילה של הצוות, על מנת להחליט אם החלטה הייתה אוטומטית "בלבד" או שהייתה לה מעורבות אנושית משמעותית. באופן דומה, בעת הערכת הקריטריון השני לתחיולת סעיף 22, אוכפי בודקים האם נתוני הקלט להחלטה אוטומטית כוללים מסקנות לגבי התנהגותם של יחידים, והאם ההחלטה משפיעה על התנהגותם ובחירותיהם של האנשים הממוקדים, בין היתר רב- קריטריונים שכבתיים.

    לבסוף, עלינו להדגיש כי כמעט בכל המקרים בהם נמצא תהליך ADM אינו חוקי, DPAs חרגו מהנפקת קנסות מנהליים על ידי הזמנת אמצעים ספציפיים שהשתנו בהיקפם: הזמנות לעצירת פרקטיקות, הזמנות למחיקת הנתונים האישיים שנאספו באופן בלתי חוקי, הזמנות לאסור איסוף נוסף של נתונים אישיים.

    כל סעיפי הדוח מלווים בסיכומים של מקרים וניתוח קצר המצביע על משותפים וחריגים. הדוח בוחן תחילה את ההקשר ואת מרכיבי המפתח של סעיף 22 והוראות GDPR רלוונטיות אחרות שהוחלו במקרים של ADM, כולן משתקפות בדוגמאות קונקרטיות (סעיף 1). לאחר מכן, הוא מתעמק באופן שבו הסף הדו-כיווני הנדרש על ידי סעיף 22 GDPR פורש ויושם בפועל (סעיף 2). לבסוף, סעיף 3 מעלה כיצד בתי המשפט ו- DPAs יישמו את סעיף 22 באזורים סקטוריאליים, כלומר בתעסוקה, זיהוי פנים חי וענייני ניקוד אשראי. המסקנה תפרוס כמה מהפרשנות המשפטית המזוהה ומגמות היישום העוולות מהמחקר שלנו ויבליטו אזורים שנותרו של אי וודאות משפטית שעשויים להבהיר בעתיד על ידי הרגולטורים או ה- CJEU (סעיף 4).

    קרא את ההודעה המקורית.

    דוח מלא - קבלת החלטות אוטומטית במסגרת ה- GDPR: תיקים מעשיים מבתי משפט ורשויות להגנת המידע (PDF) - מעבר עכבר לגלילה

    דוח FPF-ADM - מאי 2022

    קרא את הדוח המקורי.

    *משותף עם הרשאה תחת רישיון Creative Commons, ייחוס 4.0 בינלאומי.

    קריאה נוספת

    מחבק את ההבדלים? יחסי גומלין של זיהוי פלילי דיגיטלי בגילוי אלקטרוני

    הגדרת גילוי סייבר? הגדרה ומסגרת

    מקור: קומפלקס דיסקברי

    בתנועה? קינטיקה של שוק דיסקברי אלקטרוני 2022: חמישה תחומי עניין

    Recently ComplexDiscovery was provided an opportunity to share with the eDiscovery...

    לסמוך על התהליך? נתוני משימות, הוצאה ועלויות של עיבוד גילוי אלקטרוני 2021

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    השנה בסקירה? נקודות נתוני משימות, הוצאה ועלויות של סקירת גילוי אלקטרוני 2021

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    מבט של 2021 באוסף גילוי אלקטרוני: נקודות נתוני משימות, הוצאה ועלות

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    חמש קריאות נהדרות בנושא סייבר, נתונים וגילוי משפטי ליולי 2022

    From lurking business undercurrents to captivating deepfake developments, the July 2022...

    חמש קריאות נהדרות בנושא סייבר, נתונים וגילוי משפטי ליוני 2022

    From eDiscovery ecosystem players and pricing to data breach investigations and...

    חמש קריאות נהדרות בנושא סייבר, נתונים וגילוי משפטי לחודש מאי 2022

    From eDiscovery pricing and buyers to cyberattacks and incident response, the...

    חמש קריאות נהדרות על סייבר, נתונים וגילוי משפטי באפריל 2022

    From cyber attack statistics and frameworks to eDiscovery investments and providers,...