Sat. Aug 13th, 2022
    en flag
    nl flag
    et flag
    fi flag
    fr flag
    de flag
    he flag
    ja flag
    lv flag
    pl flag
    pt flag
    es flag
    uk flag

    Redaktora piezīme. Laiku pa laikam ComplexDiscovery izceļ publiski pieejamus vai privāti iegādājamus paziņojumus, satura atjauninājumus un pētījumus no kibernoziegumu, datu un juridisko atklājumu nodrošinātājiem, pētniecības organizācijām un ComplexDiscovery kopienas dalībniekiem. Lai gan ComplexDiscovery regulāri izceļ šo informāciju, tā neuzņemas nekādu atbildību par satura apgalvojumiem.

    Lai iesniegtu ieteikumus izskatīšanai un iekļaušanai ComplexDiscovery kibernoziegumu, datu un juridisko atklājumu orientētos pakalpojumos, produktos vai izpētes paziņojumos, sazinieties ar mums jau šodien.

    Informatīva piezīme: 2022. gada 17. maijā Privātuma forums “Future of Privacy Forum” uzsāka visaptverošu ziņojumu, kurā analizēta judikatūra saskaņā ar Vispārīgo datu aizsardzības regulu (VDAR), kas piemērojama reālās dzīves lietās saistībā ar automatizētu lēmumu pieņemšanu (ADM). Ziņojums ir sniegts plašā pētījumā, kas aptver vairāk nekā 70 Tiesas spriedumus, datu aizsardzības iestāžu (DAI) lēmumus, īpašus norādījumus un citus regulatoru izdotus politikas dokumentus. Saskaņā ar šī jaunā ziņojuma paziņojumu VDAR ir īpašs noteikums, kas piemērojams lēmumiem, kuru pamatā ir tikai automatizēta personas datu apstrāde, tostarp profilēšana, kas rada juridiskas sekas attiecībā uz indivīdu vai līdzīgi ietekmē šo personu: 22. pants. Šis noteikums paredz vienu no “datu subjekta tiesībām”, jo īpaši tiesības nepieņemt šāda veida lēmumus (t. i., “kvalificētu ADM”), ko datu aizsardzības iestādes ir interpretējušas kā aizliegumu, nevis prerogatīvu, ko indivīdi var izmantot. Tomēr ziņojumā teikts, ka VDAR privātpersonu aizsardzība pret automatizētu lēmumu pieņemšanu (ADM) un profilēšanu ievērojami pārsniedz 22. pantu. Ņemot vērā ADM iespējamās privātās dzīves problēmas, šis ziņojums var noderēt kiberdrošības, informācijas pārvaldības un juridisko atklājumu profesionāļiem, kuri vēlas labāk izprast iespējamās privātuma problēmas un pašreizējos judikatūras apsvērumus saistībā ar ADM.

    Konfidencialitātes foruma izpētes ziņojums*

    Automatizēta lēmumu pieņemšana saskaņā ar VDAR: tiesu un datu aizsardzības iestāžu praktiskās lietas

    Sebastião Barros Vale un Gabriela Zanfir-Fortuna

    Atskaites ekstrakts - fons un pārskats

    Eiropas Savienības (ES) Vispārīgā datu aizsardzības regula (VDAR) nosaka vienu no tās pamatprincipa 4. apsvērumā, nosakot, ka “personas datu apstrāde būtu jāveido tā, lai kalpotu cilvēcei”. Tas attiecas uz jebkādu personas datu apstrādi, sākot no tās vākšanas līdz dažādiem lietojumiem, tikpat vienkārši kā uzskaiti par saviem pirkumiem viņu iecienītākajā pārtikas preču veikalā un tikpat sarežģīti kā personas datu izmantošana automatizētai lēmumu pieņemšanai, piemēram, darba kandidātu iepriekšēja pārbaude, izmantojot algoritmus , vai arī personas dati rodas sarežģītas apstrādes rezultātā, piemēram, pārtikas preču veikala klienta profila izveide, pamatojoties uz viņu pirkumu vēsturi. Tas pats VDAR pamatojums ir piemērojams, ja personas dati jebkādā veidā tiek apstrādāti kā daļa no mākslīgā intelekta (AI) vai mašīnmācīšanās (ML) lietojumprogrammas — vai nu kā šādas apstrādes ievadi vai izvadi.

    Lai gan visi VDAR noteikumi attiecas uz šādu sarežģītu personas datu apstrādi — sākot no pārziņa pienākuma nodrošināt likumīgu pamatu apstrādei, līdz pienākumam nodrošināt, ka apstrāde tiek veikta godīgi un pārredzami, līdz tehniskām saistībām, piemēram, atbilstošas datu drošības līmeni un nodrošinot, ka personas datu aizsardzība tiek iestrādāta apstrādes darbības izstrādē, viens konkrēts VDAR noteikums ir īpaši piemērojams lēmumiem, kas “balstās tikai uz automatizētu [personas datu — n.] apstrādi, tostarp profilēšanu, kas rada juridiskas sekas “attiecībā uz indivīdu “vai līdzīgi ietekmē” šo personu: 22. pants.

    Šis noteikums paredz vienu no “datu subjekta tiesībām”, jo īpaši “tiesības nebūt pakļautam lēmumam, kas balstīts tikai uz automatizētu apstrādi”, kam ir juridiska vai līdzīga būtiska ietekme uz indivīdu. Visu automatizētu lēmumu pieņemšanu (ADM), kas atbilst VDAR 22. pantā noteiktajiem kritērijiem, šajā ziņojumā dēvē par “kvalificētu ADM”.

    Pat ja acīmredzot VDAR ir ieviests, lai reaģētu uz pašreizējo algoritmu, AI un ML sistēmu vecumu, šis noteikums faktiski pastāvēja saskaņā ar bijušo ES datu aizsardzības direktīvu, kas pieņemta 1995. gadā, un tā pamatā ir līdzīga pirmā Francijas datu aizsardzības likuma norma, kas pieņemta 1970. gadu beigās. Tomēr tas ir tikko izpildīts saskaņā ar iepriekšējiem tiesību aktiem. Lietas, kas sāktas izskatīt pēc VDAR piemērošanas 2018. gadā, ņemot vērā arī to, ka automatizēta lēmumu pieņemšana ikdienā kļūst visuresoša, un tagad šķiet, ka indivīdi arvien vairāk interesējas par to, ka tiek piemērotas savas tiesības saskaņā ar 22. pantu.

    Šajā ziņojumā ir izklāstīts, kā valstu tiesas un datu aizsardzības iestādes (DAI) ES/Eiropas Ekonomikas zonā (EEZ) un Apvienotajā Karalistē ir interpretējušas un piemērojušas attiecīgos VDAR noteikumus par ADM, kā arī ievērojamas tendences un netipiskas šajā ziņā. Lai apkopotu ziņojumu, esam izpētījuši publiski pieejamos tiesu un administratīvos lēmumus un reglamentējošās vadlīnijas visās ES/EEZ jurisdikcijās un Apvienotajā Karalistē, kas bija ES dalībvalsts līdz 2020. gada decembrim un kuru noteikumi par ADM joprojām ir VDAR īstenošana šā ziņojuma sagatavošanas laikā. Lai papildinātu apspriesto lietu faktus, esam izpētījuši arī paziņojumus presei, gada ziņojumus un plašsaziņas līdzekļu stāstus. Šis pētījums attiecas tikai uz dokumentiem, kas publicēti līdz 2022. gada aprīlim, un tajā izmantoti vairāk nekā 70 lietas — 19 tiesas nolēmumi un vairāk nekā 50 izpildes lēmumi, individuāli atzinumi vai vispārīgi norādījumi, ko izdevušas datu aizsardzības iestādes, — no 18 EEZ dalībvalstīm, Apvienotās Karalistes un Eiropas Datu aizsardzības uzraudzītāja (EDAU). Galvenās lietas un atsauces dokumenti ir uzskaitīti I pielikumā. Ziņojumā galvenokārt ir apkopoti lietu kopsavilkumi, kā arī attiecīgās vadlīnijas, detalizēti izpētītās lietas ir numurētas konsekventi, lai visas piezīmes par konkrēto gadījumu būtu viegli identificējamas visā dokumentā (piemēram, lieta 3 tiks nodots vairākas reizes, dažādās sadaļās).

    Mūsu identificētie gadījumi bieži izriet no ikdienas dzīves situācijām, kurās ADM arvien vairāk spēlē nozīmīgu lomu. Piemēram, viena lietu kopa paredz studentus un izglītības iestādes. Šie gadījumi atšķiras no dzīvās sejas atpazīšanas tehnoloģiju izmantošanas, lai pārvaldītu piekļuvi skolas telpās un apmeklējuma reģistrēšanu, tiešsaistes proctoring un tālāk pilnībā automatizētu vērtēšanu, pamatojoties uz studenta individuālo profilu, bet arī uz viņu skolas rajona profilu, kas aizstāj augstu skolas beigšanas eksāmeni COVID-19 pandēmijas laikā.

    Vēl viena nozīmīga lietu kopa pamatā ir koncertu darbinieku situācija un veids, kā viņi tiek sadalīti maiņās, koncertos, ienākumos un sodos, izmantojot attiecīgās platformas. Ievērojams skaits gadījumu apstrīd automatizētu kredītreitingu noteikšanu. Veids, kādā valdības izplata sociālos pabalstus, piemēram, bezdarbu, un pārvalda izvairīšanos no nodokļu maksāšanas un iespējamu krāpšanu, arvien vairāk tiek pakļauts atsevišķiem izaicinājumiem vai ex officio izmeklēšanām. Mēs arī saskārāmies ar gadījumiem, kad pamatā esošais ADM tika apstrīdēts tādās situācijās kā ieroču licenču izsniegšana, publiski pieejamu avotu skrāpēšana FR produkta izveidei vai potenciālo klientu profilēšana, ko veic banka.

    Mūsu analīze parādīs, ka VDAR kopumā ir būtisks ADM lietās un ir efektīvi piemērots, lai aizsargātu indivīdu tiesības šādos gadījumos pat situācijās, kad attiecīgais ADM neatbilst VDAR 22. pantā noteiktajam augstajam slieksnim, un tiesības netikt pakļautam vienīgi automatizēta lēmumu pieņemšana nav piemērojama. Piemēram, pat neanalizējot, vai minētajās lietās ir piemērojams 22. pants — tiesas un datu aizsardzības iestādes ir konstatējušas, ka tiešraides FR lietojumprogrammu izvietošana, lai pārvaldītu piekļuvi skolas telpām un uzraudzītu apmeklējumu, ir nelikumīga saskaņā ar citiem VDAR noteikumiem, jo tai nebija likumīga pamata apstrādei un tajā netika ievērotas nepieciešamības un proporcionalitātes prasības, tādējādi aizsargājot studentu tiesības Francijā un Zviedrijā (skat. 30. un 31. lietu).

    Attiecīgo lietu salīdzinošā lasījumā tiks parādīts arī tas, cik sarežģītas pārredzamības prasības tiek ņemtas vērā praksē, tās efektīvi pārvērš indivīdu tiesībās saņemt augsta līmeņa paskaidrojumu par parametriem, kas noveda pie individuāla automatizēta lēmuma par šīm prasībām vai par to, kā profilēšanas piemēro tiem.

    Likumības un taisnīguma principus piemēro atsevišķi lietās, kas saistītas ar ADM, un taisnīguma princips dod impulsu izpildei. Piemēram, vienā no jaunākajiem gadījumiem, kas ietverti ziņojumā, Nīderlandes DPA konstatēja, ka algoritmiskā sistēma, ko valdība izmanto, lai automātiski atklātu krāpšanu sociālo pabalstu pieprasījumos, ir pretrunā taisnīguma principam, jo apstrāde tika uzskatīta par “diskriminējošu”, jo tā ir ņemta vērā ņem vērā to personu dubultpilsonību, kuras pieprasa bērna kopšanas pabalstu.

    Vēl viens svarīgs aspekts, kas izriet no mūsu pētījumiem, ir tas, ka, novērtējot 22. panta piemērojamības slieksni (“tikai” automatizēta un ADM “juridiska vai līdzīgi nozīmīga ietekme” uz privātpersonām), izmantotie kritēriji kļūst arvien sarežģītākas, pieaugot tiesu prakses kopumam. Piemēram, tiesas un datu aizsardzības iestādes apskata visu organizatorisko vidi, kurā notiek ADM, sākot no organizācijas struktūras līdz ziņošanas līnijām un darbinieku efektīvai apmācībai, lai izlemtu, vai lēmums ir “vienīgi” automatizēts vai bijis nozīmīgs cilvēka iesaistīšanās. Tāpat, novērtējot otro kritēriju 22. panta piemērojamībai, izpildītāji meklē, vai automātiskā lēmuma ievades dati ietver secinājumus par indivīdu uzvedību un vai lēmums ietekmē mērķtiecīgo personu rīcību un izvēli, cita starpā, multi- slāņveida kritēriji.

    Visbeidzot, mums būtu jāuzsver, ka praktiski visos gadījumos, kad ADM process tika atzīts par nelikumīgu, datu aizsardzības iestādes pārsniedza administratīvo sodu uzlikšanu, arī pasūtot īpašus pasākumus, kas atšķiras pēc darbības jomas: rīkojumi apturēt praksi, rīkojumi dzēst nelikumīgi savāktos personas datus, rīkojumi aizliegt turpmāku personas datu vākšanu.

    Visām ziņojuma sadaļām ir pievienoti lietu kopsavilkumi un īsa analīze, kurā norādītas kopības un netipiskās atšķirības. Ziņojumā sākotnēji apskatīts 22. panta konteksts un galvenie elementi, kā arī citi attiecīgie VDAR noteikumi, kas ir piemēroti ADM lietās, un visi tie ir atspoguļoti konkrētos piemēros (1. iedaļa). Pēc tam tā iedziļinās, kā VDAR 22. pantā noteiktais divvirzienu slieksnis ir interpretēts un piemērots praksē (2. iedaļa). Visbeidzot, 3. iedaļā ir norādīts, kā tiesas un DAI ir piemērojušas 22. pantu nozaru jomās, proti, nodarbinātības, sejas atzīšanas un kredītpunktu vērtēšanas jautājumos. Secinājumā tiks izklāstītas dažas no identificētajām juridiskās interpretācijas un piemērošanas tendencēm, kas izriet no mūsu pētījumiem, un uzsvērs atlikušās juridiskās nenoteiktības jomas, kuras regulatori vai EST nākotnē varētu izskaidrot (4. iedaļa).

    Izlasiet sākotnējo paziņojumu.

    Pilnīgs ziņojums - Automatizēta lēmumu pieņemšana saskaņā ar VDAR: Tiesu un datu aizsardzības iestāžu praktiskās lietas (PDF) - Mouseover, lai ritinātu

    FPF-ADM ziņojums — 2022. gada maijs

    Izlasiet sākotnējo atskaiti.

    *Kopīgota ar atļauju saskaņā ar Creative Commons, Attiecinājums 4.0 Starptautiskā licence.

    Papildus lasīšana

    Aptverot atšķirības? Digitālās kriminālistikas mijiedarbība e-datu atklāšanā

    Definējot Cyber Discovery? Definīcija un ietvars

    Avots: ComplexDiscovery

    Aisberga gals? Jauns ENISA ziņojums par draudu ainavu izspiedējvīrusa uzbrukumiem

    According to ENISA, this threat landscape report analyzed a total of...

    Patērētāji maksā cenu? Saskaņā ar jauno IBM ziņojumu datu aizsardzības pārkāpuma izmaksas ir rekordliels

    According to IBM Security, the annual Cost of a Data Breach Report...

    EPHI aizsardzība? NIST atjauninājumi vadlīnijas veselības aprūpes kiberdrošības

    This new NIST Special Publication aims to help educate readers about...

    Cīņa pret draudu dalībniekiem? Sociālo tīklu analīzes izmantošana kiberdraudu izlūkošanai (CCDCOE)

    According to the NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE)...

    Ieņēmumi Headwinds? KLDiscovery Inc. paziņo par 2022. gada otrā ceturkšņa finanšu rezultātiem

    According to Christopher Weiler, CEO of KLDiscovery Inc, “The second quarter...

    Beyond ieņēmumi? DISCO paziņo par 2022 gada otro ceturksni

    According to Kiwi Camara, Co-Founder and CEO of DISCO, “We are...

    Dzīvo ar Līdsu? Exterro pabeidz rekapitalizāciju, kas pārsniedz $1 miljardu

    According to the press release, with the support of a group...

    TCDI pabeidz Aon e-datu atklāšanas prakses iegādi

    According to TCDI Founder and CEO Bill Johnson, “We chose Aon’s...

    Pārvietot? 2022 E-datu atklāšanas tirgus kinētika: piecas interesējošas jomas

    Recently ComplexDiscovery was provided an opportunity to share with the eDiscovery...

    Uzticēšanās procesam? 2021 e-datu atklāšanas apstrādes uzdevums, tērēšana un izmaksu dati

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Gads pārskatā? 2021 e-atklāšanas pārskatīšanas uzdevums, tērēšana un izmaksu datu punkti

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    2021 Apskatiet e-atklāšanas kolekciju: uzdevumu, tērēšanas un izmaksu datu punkti

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Pieci Great lasa par kibernoziegumu, datu un juridisko atklājumu jūlijā 2022

    From lurking business undercurrents to captivating deepfake developments, the July 2022...

    Pieci Great lasa par kibernoziegumu, datu un juridisko atklājumu par jūnijs 2022

    From eDiscovery ecosystem players and pricing to data breach investigations and...

    Pieci Great lasa par kibernoziegumu, datu un juridisko atklājumu par maiju 2022

    From eDiscovery pricing and buyers to cyberattacks and incident response, the...

    Pieci Great lasa par kibernoziegumu, datu un juridisko atklājumu 2022. gada aprīlī

    From cyber attack statistics and frameworks to eDiscovery investments and providers,...

    Liekums vai deformācija? Astoņu pusgada e-datu atklāšanas cenu apsekojumu apkopojums

    Initiated in the winter of 2019 and conducted eight times with...

    Mainot straumes? Astoņpadsmit novērojumi par e-datu atklāšanas uzņēmumu uzticību 2022. gada vasarā

    In the summer of 2022, 54.8% of survey respondents felt that...

    Izaicinājums Varianti? E-datu atklāšanas biznesa veiktspēju ietekmējošas problēmas: 2022. gada vasaras pārskats

    In the summer of 2022, 28.8% of respondents viewed increasing types...

    Lejupslīdes laiks? E-datu atklāšanas operatīvās metrikas 2022. gada vasarā

    In the summer of 2022, 65 eDiscovery Business Confidence Survey participants...

    Droning On? Ukrainas konfliktu novērtējumi kartēs (2022. gada 3. augusts — 7)

    According to a recent update from the Institute for the Study...

    Ciešanas ciešanas? Ukrainas konfliktu novērtējumi kartēs (29. jūlijs — 2022. gada 2. augusts)

    According to a recent update from the Institute for the Study...

    Momentum izaicinājumi? Ukrainas konfliktu novērtējumi Maps (24 jūlijs - 28, 2022)

    According to a recent update from the Institute for the Study...

    Portu atbalsts? Ukrainas konfliktu novērtējumi kartēs (2022. gada 19. jūlijs — 23)

    According to a recent update from the Institute for the Study...