Sat. Aug 13th, 2022
    en flag
    nl flag
    et flag
    fi flag
    fr flag
    de flag
    he flag
    ja flag
    lv flag
    pl flag
    pt flag
    es flag
    uk flag

    Uwaga redaktora: Od czasu do czasu, ComplexDiscovery podkreśla publicznie dostępne lub prywatne ogłoszenia, aktualizacje treści, i badania z cyberprzestrzeni, dane, i legalne odkrycia dostawców, organizacje badawcze, i członków społeczności ComplexDiscovery. Podczas gdy ComplexDiscovery regularnie podkreśla te informacje, nie ponosi żadnej odpowiedzialności za twierdzenia treści.

    Aby przesłać zalecenia dotyczące rozważenia i włączenia do cyberprzestrzeni ComplexDiscovery, dane, oraz usługi zorientowane na odkrycie prawne, produkt, lub ogłoszenia badawcze, skontaktuj się z nami już dziś.

    Uwaga: 17 maja 2022 r. Forum Przyszłości Prywatności uruchomiło kompleksowy raport analizujący orzecznictwo zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) stosowane w rzeczywistych sprawach dotyczących zautomatyzowanego podejmowania decyzji (ADM). Raport jest oparty na szeroko zakrojonych badaniach obejmujących ponad 70 wyroków sądowych, decyzji organów ochrony danych, szczegółowych wytycznych i innych dokumentów politycznych wydanych przez organy regulacyjne. Zgodnie z zapowiedzią niniejszego nowego raportu, RODO ma szczególne zastosowanie do decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu, które wywołuje skutki prawne wobec osoby fizycznej lub podobnie wpływa na tę osobę: art. 22. Przepis ten przewiduje jedno z „praw osoby, której dane dotyczą”, w szczególności prawo do niepodlegania takim decyzjom (tj. „kwalifikującym się ADM”), które zostało zinterpretowane przez OOD jako zakaz, a nie prerogatywę, z której mogą korzystać jednostki. Raport stwierdza jednak, że ochrona RODO dla osób fizycznych przed formami zautomatyzowanego podejmowania decyzji (ADM) i profilowania znacznie wykracza poza art. 22. Biorąc pod uwagę potencjalne wyzwania związane z prywatnością ADM, ten raport może być korzystny dla cyberbezpieczeństwa, zarządzanie informacjami, oraz prawników, którzy chcą lepiej zrozumieć potencjalne wyzwania związane z prywatnością i aktualne orzecznictwo związane z ADM.

    Raport z badań forum o przyszłości prywatności*

    Zautomatyzowane podejmowanie decyzji w ramach RODO: praktyczne sprawy sądów i organów ochrony danych

    Autor: Sebastião Barros Vale i Gabriela Zanfir-Fortuna

    Wyciąg z raportu - tło i przegląd

    Ogólne rozporządzenie o ochronie danych Unii Europejskiej (UE) (RODO) ustanawia jedno z jego podstawowych przesłan w motywie 4, stwierdzając, że „przetwarzanie danych osobowych powinno być zaprojektowane tak, aby służyć ludzkości”. Odnosi się to do każdego przetwarzania danych osobowych, od ich gromadzenia po różne zastosowania, tak proste, jak prowadzenie ewidencji zakupów w ulubionym sklepie spożywczym i tak skomplikowane, jak wykorzystywanie danych osobowych do zautomatyzowanego podejmowania decyzji, takich jak wstępne sprawdzanie kandydatów do pracy za pomocą algorytmów lub posiadanie danych osobowych wynikają ze złożonego przetwarzania, takiego jak utworzenie profilu klienta sklepu spożywczego na podstawie jego historii zakupowej. To samo uzasadnienie RODO ma zastosowanie, jeśli dane osobowe są w jakikolwiek sposób przetwarzane w ramach aplikacji Sztucznej Inteligencji (AI) lub Machine Learning (ML) - jako dane wejściowe lub wyjściowe takiego przetwarzania.

    Podczas gdy wszystkie przepisy RODO mają zastosowanie do tak złożonego przetwarzania danych osobowych — od obowiązku administratora posiadania zgodnej z prawem podstawy przetwarzania, przez obowiązek zapewnienia rzetelnego i przejrzystego przetwarzania, po bardziej techniczne zobowiązania, takie jak zapewnienie odpowiedniego poziom bezpieczeństwa danych oraz zapewnienie, że ochrona danych osobowych jest włączona do projektu operacji przetwarzania, jeden szczególny przepis RODO ma szczególne zastosowanie do decyzji „opartych wyłącznie na zautomatyzowanym przetwarzaniu [danych osobowych — n.], w tym profilowania, które wywołuje skutki prawne „dotyczące osoby” lub w podobny sposób wpływa na tę osobę: art. 22.

    Przepis ten stanowi jedno z „praw osoby, której dane dotyczą,” W szczególności „prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu”, która ma prawny lub podobnie znaczący wpływ na osobę fizyczną. Wszystkie zautomatyzowane podejmowanie decyzji (ADM), które spełniają te kryteria określone w art. 22 RODO, są określane w niniejszym Raporcie jako „kwalifikujący się ADM”.

    Nawet jeśli najwyraźniej wprowadzono do RODO w odpowiedzi na obecną epokę algorytmów, systemów AI i ML, przepis ten faktycznie istniał zgodnie z poprzednią dyrektywą UE o ochronie danych przyjętą w 1995 roku i ma swoje korzenie w podobnym przepisie pierwszej francuskiej ustawy o ochronie danych przyjętej pod koniec lat 70. XX wieku. jednak, to tylko ledwo było egzekwowane na mocy poprzedniego prawa. Sprawy zaczęły się rozwijać po tym, jak RODO zaczęło obowiązywać w 2018 r., Biorąc również pod uwagę, że zautomatyzowane podejmowanie decyzji staje się wszechobecne w życiu codziennym, a teraz wygląda na to, że osoby są coraz bardziej zainteresowane zastosowaniem ich prawa zgodnie z art. 22.

    W niniejszym sprawozdaniu przedstawiono, w jaki sposób sądy krajowe i organy ochrony danych (DPA) w UE/Europejskim Obszarze Gospodarczym (EOG) i Zjednoczonym Królestwie interpretowały i stosowały dotychczas odpowiednie przepisy RODO dotyczące ADM, a także znaczące trendy i wartości odstające w tym zakresie. Aby sporządzić raport, przyjrzeliśmy się publicznie dostępnym decyzjom sądowym i administracyjnym oraz wytycznym regulacyjnym w jurysdykcjach UE/EOG oraz Wielkiej Brytanii, która była członkiem UE do grudnia 2020 roku i której przepisy dotyczące ADM nadal wdrażają RODO w momencie pisania niniejszego raportu. Aby uzupełnić fakty omawianych przypadków, przyjrzeliśmy się również komunikatom prasowym, raportom rocznym i artykułom medialnym. Badanie to ogranicza się do dokumentów wydanych do kwietnia 2022 r., i pochodzą z ponad 70 spraw - 19 orzeczeń sądowych i ponad 50 orzeczeń egzekucyjnych, indywidualnych opinii lub ogólnych wytycznych wydanych przez OOD, - z 18 państw członkowskich EOG, Wielkiej Brytanii i Europejskiego Inspektora Ochrony Danych (EIOD). Główne przypadki i dokumenty użyte w celach informacyjnych są wymienione w załączniku I. Sprawozdanie zawiera przede wszystkim streszczenia przypadków, a także odpowiednie wytyczne, przy czym szczegółowo omówione przypadki są ponumerowane spójnie, tak aby wszystkie uwagi dotyczące konkretnego przypadku mogły być łatwo zidentyfikowane w całym dokumencie (np. sprawa 3 będą określane kilka razy, w różnych sekcjach).

    Zidentyfikowane przez nas przypadki często wynikają z sytuacji codziennego życia, w których ADM odgrywa coraz większą rolę. Na przykład jedna grupa przypadków przewiduje studentów i instytucje edukacyjne. Przypadki te różnią się od wykorzystania technologii rozpoznawania twarzy na żywo do zarządzania dostępem w terenie szkoły i rejestrowania obecności, do proctoring online, a następnie do w pełni zautomatyzowanego oceniania na podstawie indywidualnego profilu ucznia, ale także na profilu ich okręgu szkolnego, jako substytut wysokiej egzaminy ukończenia szkoły w czasie pandemii COVID-19.

    Inna znacząca grupa spraw ma u podstaw sytuację pracowników koncertowych i sposób ich dystrybucji, koncerty, dochody i kary za pośrednictwem odpowiednich platform. Znaczna liczba przypadków kwestionuje automatyczną ocenę kredytową. Sposób, w jaki rządy rozdzielają świadczenia socjalne, takie jak bezrobocie, oraz zarządzanie unikaniem opodatkowania i potencjalnymi oszustwami, jest coraz częściej przedmiotem większej liczby przypadków - indywidualnych wyzwań lub dochodzeń z urzędu. Napotkaliśmy również przypadki, w których podstawowy ADM był kwestionowany w sytuacjach takich jak wydawanie licencji na broń, skrobanie publicznie dostępnych źródeł w celu zbudowania produktu FR, lub profilowanie potencjalnych klientów przez bank.

    Nasza analiza pokaże, że RODO jako całość ma znaczenie dla spraw ADM i zostało skutecznie stosowane w celu ochrony praw osób fizycznych w takich przypadkach, nawet w sytuacjach, gdy sporny ADM nie spełnia wysokiego progu ustanowionego w art. 22 RODO, oraz prawo do niepodlegania wyłącznie zautomatyzowane podejmowanie decyzji nie ma zastosowania. Na przykład, nawet nie analizując, czy art. 22 ma zastosowanie w tych sprawach — sądy i organy ochrony danych stwierdziły, że wdrażanie wniosków FR na żywo w celu zarządzania dostępem do pomieszczeń szkolnych i monitorowania frekwencji było niezgodne z prawem na mocy innych przepisów RODO, ponieważ nie ma podstawy prawnej do przetwarzania w miejscu i nie przestrzegał wymogów konieczności i proporcjonalności, chroniąc w ten sposób prawa studentów we Francji i Szwecji (zob. sprawy 30 i 31).

    Porównawcza lektura odpowiednich przypadków pokaże również, jak złożone wymogi przejrzystości są rozpatrywane w praktyce, co skutecznie przekłada się na prawo jednostek do otrzymania wysokiego szczebla wyjaśnień dotyczących parametrów, które doprowadziły do indywidualnej zautomatyzowanej decyzji dotyczącej ich lub o tym, jak profilowanie stosowane do nich.

    Zasady zgodności z prawem i uczciwości są stosowane oddzielnie w sprawach związanych z ADM, a zasada sprawiedliwości nabiera tempa w egzekwowaniu prawa. Na przykład, w jednym z ostatnich przypadków zapisanych w raporcie, holenderski DPA stwierdził, że system algorytmiczny stosowany przez rząd do automatycznego wykrywania oszustw we wnioskach o świadczenia społeczne naruszył zasadę uczciwości, ponieważ przetwarzanie zostało uznane za „dyskryminujące” z powodu uwzględnienia uwzględniają podwójne obywatelstwo osób ubiegających się o świadczenia z tytułu opieki nad dziećmi.

    Inną ważną kwestią, która wyłoniła się z naszych badań, jest to, że kiedy egzekutorzy oceniają próg zastosowania art. 22 („wyłącznie” zautomatyzowany i „prawny lub podobnie znaczący wpływ” ADM na jednostki), stosowane kryteria są coraz bardziej wyrafinowane wraz z rozwojem orzecznictwa. Na przykład sądy i organy ochrony danych przyglądają się całemu środowisku organizacyjnemu, w którym odbywa się ADM, od struktury organizacyjnej, po linie sprawozdawcze i skuteczne szkolenie personelu, aby zdecydować, czy decyzja była „wyłącznie” zautomatyzowana, czy też miała znaczące zaangażowanie człowieka. Podobnie, oceniając drugie kryterium stosowania art. 22, wykonawcy sprawdzają, czy dane wejściowe do zautomatyzowanej decyzji zawierają wnioski dotyczące zachowania osób fizycznych oraz czy decyzja wpływa na zachowanie i wybory osób, których dotyczy, między innymi kryteria warstwowe.

    Wreszcie, powinniśmy podkreślić, że praktycznie we wszystkich przypadkach, w których proces ADM został uznany za niezgodny z prawem, OOD wykraczały poza nakładanie kar administracyjnych, nakazując również szczególne środki o różnym zakresie: nakazy wstrzymania praktyk, nakazy usunięcia nielegalnie zgromadzonych danych osobowych, nakazy zakazu dalsze gromadzenie danych osobowych.

    Wszystkim sekcjom sprawozdania towarzyszą streszczenia przypadków oraz krótka analiza wskazująca na podobieństwa i wartości odstające. Raport początkowo bada kontekst i kluczowe elementy art. 22 oraz inne odpowiednie przepisy RODO, które zostały zastosowane w sprawach ADM, a wszystkie odzwierciedlone są w konkretnych przykładach (sekcja 1). Następnie zagłębia się w sposób interpretacji i stosowania dwutorowego progu wymaganego na mocy art. 22 RODO (sekcja 2). Wreszcie w sekcji 3 przedstawiono, w jaki sposób sądy i organy ochrony danych stosowały art. 22 w obszarach sektorowych, a mianowicie w kwestiach dotyczących zatrudnienia, rozpoznawania twarzy na żywo i oceny zdolności kredytowej. W konkluzji przedstawiono niektóre zidentyfikowane tendencje w zakresie interpretacji prawnej i stosowania, które wyłaczają się z naszych badań, i podkreśli pozostałe obszary niepewności prawa, które mogą zostać wyjaśnione w przyszłości przez organy regulacyjne lub TSUE (sekcja 4).

    Przeczytaj oryginalne ogłoszenie.

    Kompletny raport - Automatyczne podejmowanie decyzji w ramach RODO: praktyczne sprawy sądów i organów ochrony danych (PDF) - Przewiń

    Raport FPF-ADM - maj 2022

    Przeczytaj oryginalny raport.

    *Udostępnione za zgodą na licencji Creative Commons, Uznanie autorstwa 4.0 Międzynarodowa licencja.

    Dodatkowy odczyt

    Obejmując różnice? Interplay of Digital Forensics w eDScovery

    Definiowanie Cyber Discovery? Definicja i ramy

    Źródło: complexDiscovery

    Wierzchołek góry lodowej? Nowy raport ENISA na temat zagrożeń dla ataków ransomware

    According to ENISA, this threat landscape report analyzed a total of...

    Konsumenci płacący cenę? Koszt naruszenia danych osiąga rekordowo wysoki poziom według nowego raportu IBM

    According to IBM Security, the annual Cost of a Data Breach Report...

    Ochrona ePHI? NIST Aktualizacje Wskazówki dotyczące cyberbezpieczeństwa opieki zdrowotnej

    This new NIST Special Publication aims to help educate readers about...

    Przeciwdziałanie podmiotom zagrożeń? Korzystanie z analizy sieci społecznościowych do analizy zagrożeń cybernetycznych (CCDCOE)

    According to the NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE)...

    Oparte na przychodach? KLDiscovery Inc. ogłasza wyniki finansowe za drugi kwartał 2022 r.

    According to Christopher Weiler, CEO of KLDiscovery Inc, “The second quarter...

    Poza dochodami? DISCO ogłasza drugi kwartał 2022 Wyniki finansowe

    According to Kiwi Camara, Co-Founder and CEO of DISCO, “We are...

    Mieszkasz z Leeds? Exterro kończy dokapitalizowanie przekraczające 1 miliard dolarów

    According to the press release, with the support of a group...

    TCDI kończy przejęcie praktyki eDiSCOVERY firmy Aon

    According to TCDI Founder and CEO Bill Johnson, “We chose Aon’s...

    W ruchu? 2022 Kinetyka rynku ediscovery: pięć obszarów zainteresowań

    Recently ComplexDiscovery was provided an opportunity to share with the eDiscovery...

    Ufasz Procesowi? 2021 Zadanie przetwarzania eDiscovery, dane dotyczące wydatków i kosztów

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Rok w przeglądzie? 2021 Punkty danych zlecenia eDiscovery do przeglądu, wydatków i kosztów

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Zbiór eDiscovery Collection 2021: Punkty danych zadań, wydatków i kosztów

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Pięć świetnych lektur na temat cyberprzestrzeni, danych i odkryć prawnych na lipiec 2022

    From lurking business undercurrents to captivating deepfake developments, the July 2022...

    Pięć świetnych lektur na temat cyberprzestrzeni, danych i odkryć prawnych na czerwiec 2022

    From eDiscovery ecosystem players and pricing to data breach investigations and...

    Pięć świetnych lektur na temat cyberprzestrzeni, danych i odkryć prawnych na maj 2022

    From eDiscovery pricing and buyers to cyberattacks and incident response, the...

    Pięć wspaniałych odczytów na temat cybernetycznych, danych i legalnych odkryć w kwietniu 2022 r.

    From cyber attack statistics and frameworks to eDiscovery investments and providers,...

    Odgięcie czy ugięcie? Łączny przegląd ośmiu półrocznych ankiet cenowych ediscovery

    Initiated in the winter of 2019 and conducted eight times with...

    Zmiana prądów? Osiemnaście uwag na temat zaufania biznesowego do eDISCOVERY latem 2022 r.

    In the summer of 2022, 54.8% of survey respondents felt that...

    Trudne warianty? Problemy wpływające na wydajność biznesową eDISCOVERY: Lato 2022 Przegląd

    In the summer of 2022, 28.8% of respondents viewed increasing types...

    Czas na reduktę? Metryki operacyjne eDISCOVERY latem 2022

    In the summer of 2022, 65 eDiscovery Business Confidence Survey participants...

    Droning On? Oceny konfliktów na Ukrainie w mapach (sierpień 3 - 7, 2022)

    According to a recent update from the Institute for the Study...

    Assuaging Distress? Oceny konfliktów na Ukrainie w mapach (lipiec 29 - sierpień 2, 2022)

    According to a recent update from the Institute for the Study...

    Wyzwania pędu? Oceny konfliktów na Ukrainie w mapach (lipiec 24 - 28, 2022)

    According to a recent update from the Institute for the Study...

    Wsparcie portu? Oceny konfliktów na Ukrainie w mapach (lipiec 19 - 23, 2022)

    According to a recent update from the Institute for the Study...