Sat. Aug 13th, 2022
    en flag
    nl flag
    et flag
    fi flag
    fr flag
    de flag
    he flag
    ja flag
    lv flag
    pl flag
    pt flag
    es flag
    uk flag

    Примітка редактора: Час від часу ComplexDiscovery висвітлює публічно доступні або приватні оголошення, оновлення вмісту та дослідження від постачальників кібер-, даних та юридичних відкриттів, дослідницьких організацій та членів спільноти ComplexDiscovery. Хоча ComplexDiscovery регулярно висвітлює цю інформацію, вона не несе ніякої відповідальності за твердження вмісту.

    Щоб подати рекомендації для розгляду та включення в оголошення про кібер-, дані та юридичні послуги, орієнтовані на виявлення даних ComplexDiscovery, зв'яжіться з нами сьогодні.

    Довідкова примітка: 17 травня 2022 року Форум «Майбутнє конфіденційності» розпочав комплексний звіт, який аналізує судову практику відповідно до Загального регламенту захисту даних (GDPR), що застосовується до реальних справ, пов'язаних із автоматизованим прийняттям рішень (ADM). Звіт поінформований широкими дослідженнями, що охоплюють понад 70 судових рішень, рішення органів захисту даних (DPA), конкретні вказівки та інші політичні документи, видані регуляторами. Згідно з оголошенням цього нового звіту, GDPR має певне положення, що застосовується до рішень, заснованих виключно на автоматизованій обробці персональних даних, включаючи профілювання, яке спричиняє юридичні наслідки щодо фізичної особи або аналогічним чином впливає на цю особу: Стаття 22. Це положення закріплює одне з «прав суб'єкта даних», зокрема право не піддаватися рішенням такого характеру (тобто «кваліфікуючий ADM»), що було інтерпретовано DPA як заборона, а не прерогатива, яку можуть здійснювати фізичні особи. Однак у Звіті стверджується, що захист GDPR для фізичних осіб від форм автоматизованого прийняття рішень (ADM) та профілювання значно перевищує статтю 22. З огляду на потенційні проблеми конфіденційності ADM, цей звіт може бути корисним для фахівців з кібербезпеки, управління інформацією та юридичних відкриттів, які прагнуть краще зрозуміти потенційні проблеми конфіденційності та поточні міркування судової практики, пов'язані з ADM.

    Звіт про дослідження форуму про майбутнє конфіденційності*

    Автоматизоване прийняття рішень в рамках GDPR: практичні кейси судів та органів захисту даних

    Себастьян Баррос Вейл та Габріела Занфір-Фортуна

    Витяг звіту - фон і огляд

    Загальний регламент захисту даних Європейського Союзу (ЄС) (GDPR) встановлює одне зі своїх основоположних обґрунтування в Сольний концерт 4, заявивши, що «обробка персональних даних повинна бути розроблена для обслуговування людства». Це стосується будь-якої обробки персональних даних, від її збору до різних видів використання, настільки ж просто, як ведення обліку про свої покупки в улюбленому продуктовому магазині і настільки ж складної, як використання персональних даних для автоматизованого прийняття рішень, наприклад, попередній відбір кандидатів на роботу за допомогою використання алгоритмів або наявність персональних даних в результаті комплексної обробки, наприклад, створення профілю клієнта продуктового магазину на основі історії покупок. Те саме обґрунтування GDPR застосовується, якщо персональні дані будь-яким способом обробляються як частина програми штучного інтелекту (AI) або Machine Learning (ML) - як вхід або вихід такої обробки.

    Хоча всі положення GDPR застосовуються до такої складної обробки персональних даних - від зобов'язання контролера мати законну підставу для обробки на місці, до зобов'язання забезпечити, щоб обробка була здійснена справедливо і прозоро, до більш технічних зобов'язань, таких як забезпечення адекватної рівень безпеки даних та забезпечення того, щоб захист персональних даних був закладено в розробці операції обробки, одне конкретне положення GDPR конкретно застосовується до рішень «на основі виключно автоматизованої обробки [персональних даних - п.], включаючи профілювання, що створює юридичні наслідки » щодо фізичної особи «або аналогічним чином впливає» ця особа: Стаття 22.

    Це положення закріплює одне з «прав суб'єкта даних», зокрема «право не бути предметом рішення, заснованого виключно на автоматизованій обробці», що має юридичний або аналогічно значний вплив на особу. Усе автоматичне прийняття рішень (ADM), яке відповідає цим критеріям, визначеним у статті 22 GDPR, у цьому Звіті називається «кваліфікаційним ADM».

    Навіть якщо, очевидно, введено в GDPR для реагування на поточний вік алгоритмів, систем штучного інтелекту та ML, це положення фактично існувало відповідно до колишньої директиви ЄС про захист даних, прийнятої в 1995 році, і має своє коріння в аналогічному положенні першого французького закону про захист даних, прийнятого в кінці 1970-х. Однак він лише навряд чи був застосований згідно з попереднім законом. Випадки почали набирати після того, як GDPR став застосовним у 2018 році, також враховуючи, що автоматизоване прийняття рішень стає всюдисущим у повсякденному житті, і тепер, схоже, люди все більше зацікавлені в тому, щоб їх право відповідно до статті 22 застосовувалося.

    У цьому звіті описується, як національні суди та органи захисту даних (DPA) в ЄС/Європейській економічній зоні (ЄЕЗ) та Великобританії інтерпретували та застосовували відповідні положення GDPR щодо ADM до цих пір, а також помітні тенденції та перспективи в цьому відношенні. Для складання Звіту ми розглянули загальнодоступні судові та адміністративні рішення та регуляторні настанови в юрисдикціях ЄС/ЄЕЗ та Великобританії, яка була членом ЄС до грудня 2020 року і правила якої щодо ADM все ще є імплементацією GDPR на момент написання цього Звіту. Щоб доповнити факти обговорюваних справ, ми також розглянули прес-релізи, щорічні звіти та медіа-історії. Це дослідження обмежується документами, оприлюдненими до квітня 2022 року, і воно складається з понад 70 справ - 19 судових рішень та понад 50 виконавчих рішень, індивідуальних висновків або загальних вказівок, виданих DPA, - з 18 країн-членів ЄЕЗ, Великобританії та Європейського наглядача із захисту даних (EDPS). Основні випадки та документи, що використовуються для довідки, перелічені в Додатку I. Звіт в основному містить резюме справ, а також відповідні вказівки, при цьому детально розглянуті випадки нумеруються послідовно, щоб усі примітки щодо конкретного випадку можна було легко ідентифікувати у всьому документі (наприклад, справа 3 будуть посилатися кілька разів, під різними розділами).

    Випадки, які ми виявили, часто випливають із ситуацій повсякденного життя, коли ADM все більше відіграє значну роль. Наприклад, один з кластерів справ передбачає студентів та навчальних закладів. Ці випадки варіюються від використання технологій розпізнавання обличчя в реальному часі для управління доступом до шкільних приміщень та обліку відвідуваності, до онлайн-прокторування та подальшого до повністю автоматизованого класифікації на основі індивідуального профілю учня, а також за профілем їх шкільного округу, як замінник високого шкільні випускні іспити під час пандемії COVID-19.

    Ще один значний кластер кейсів має в своїй основі ситуацію працівників концертів та спосіб їх розподілу зрушень, концертів, доходів та штрафних санкцій через відповідні платформи. Значна кількість випадків оскаржують автоматизований кредитний скоринг. Те, як уряди розподіляють соціальні виплати, такі як безробіття, та керують ухиленням від сплати податків та потенційним шахрайством, все більше підпадає під дію більшої кількості випадків - окремих викликів або розслідувань за посадою. Ми також стикалися з випадками, коли базовий ADM був оскаржений у таких ситуаціях, як видача ліцензій на зброю, скребки загальнодоступних джерел для створення продукту FR або профілювання потенційних клієнтів банком.

    Наш аналіз покаже, що GDPR в цілому є актуальним для справ ADM і ефективно застосовується для захисту прав фізичних осіб у таких випадках, навіть у тих ситуаціях, коли розглянута АДМ не відповідає високому порогу, встановленому статтею 22 GDPR, і право не підлягати виключно автоматизоване прийняття рішень не застосовується. Наприклад, навіть не аналізуючи, чи застосовується стаття 22 у цих випадках - Суди та DPA виявили, що розгортання живих заявок на FR для управління доступом до шкільних приміщень та моніторингу відвідуваності було незаконним відповідно до інших положень GDPR, оскільки воно не мало законної підстави для обробки на місці, і це не поважало вимог необхідності та пропорційності, тим самим захищаючи права студентів у Франції та Швеції (див. Випадки 30 та 31).

    Порівняльне читання відповідних кейсів також покаже, наскільки складні вимоги до прозорості розглядаються на практиці, ефективно переводяться на право фізичних осіб отримувати роз'яснення високого рівня щодо параметрів, які призвели до індивідуального автоматизованого рішення щодо них або про те, як застосовується до них профілювання.

    Принципи законності та справедливості застосовуються окремо у справах, пов'язаних з ADM, при цьому принцип справедливості набирає обертів у примусовому виконанні. Наприклад, в одному з останніх випадків, закріплених у Звіті, голландська DPA виявила, що алгоритмічна система, яка використовується урядом для автоматичного виявлення шахрайства в запитах на соціальні виплати, порушила принцип справедливості, оскільки обробка вважалася «дискримінаційною» за те, що вона взяла на себе враховувати подвійне громадянство людей, які вимагають допомоги по догляду за дітьми.

    Ще один важливий момент, який з'явився в результаті нашого дослідження, полягає в тому, що коли правоохоронці оцінюють поріг застосовності до статті 22 («виключно» автоматизований та «юридичний або аналогічно значний ефект» ADM на фізичних осіб), критерії, що використовуються, стають дедалі складнішими, оскільки тіло судової практики зростає. Наприклад, суди та DPA розглядають все організаційне середовище, де відбувається ADM, від структури організації до ліній звітності та ефективного навчання персоналу, щоб вирішити, чи рішення було «виключно» автоматизованим чи мало значущу участь людини. Аналогічно, оцінюючи другий критерій застосовності статті 22, правоохоронці шукають, чи вхідні дані для автоматизованого рішення включають висновки про поведінку осіб, і чи впливає це рішення на поведінку та вибір цільових осіб, серед інших багатопрофільних шаруваті критерії.

    Нарешті, слід підкреслити, що практично у всіх випадках, коли процес ADM був визнаний незаконним, DPA виходили за рамки видачі адміністративних штрафів, також замовляючи конкретні заходи, які різнялися за обсягом: накази про припинення практики, накази про видалення незаконно зібраних персональних даних, накази про заборону подальший збір персональних даних.

    Усі розділи Звіту супроводжуються узагальненням справ та коротким аналізом, що вказує на спільність та викиди. Звіт спочатку досліджує контекст та ключові елементи статті 22 та інших відповідних положень GDPR, які були застосовані у справах ADM, усі вони відображені на конкретних прикладах (Розділ 1). Потім він заглиблюється в те, як двосторонній поріг, передбачений статтею 22 GDPR, був інтерпретований та застосований на практиці (Розділ 2). Нарешті, Розділ 3 висуває, як суди та DPA застосували статтю 22 у галузевих сферах, а саме у сфері зайнятості, розпізнавання обличчя в прямому ефірі та питань кредитного скорингу. У Висновку будуть викладені деякі визначені тенденції правового тлумачення та застосування, які виходять з нашого дослідження, та висвітлюють інші області правової невизначеності, які можуть бути з'ясовані в майбутньому регуляторами або CJEU (розділ 4).

    Прочитайте оригінал оголошення.

    Повний звіт - Автоматизоване прийняття рішень відповідно до GDPR: практичні справи судів та органів захисту даних (PDF) - Наведіть курсор миші для прокрутки

    Звіт ФПФ-АДМ - травень 2022

    Ознайомтеся з початковим звітом.

    *Поширення з дозволом на умовах ліцензії Creative Commons, Зазначення Авторства 4.0 Міжнародна.

    Додаткове читання

    Охоплюючи відмінності? Взаємодій цифрової криміналістики в електронному відкритті

    Визначення кібер-відкриття? Визначення та рамки

    Джерело: КомплексДіскавері

    На ходу? 2022 Кінетика ринку електронних відкриттів: п'ять сфер інтересу

    Recently ComplexDiscovery was provided an opportunity to share with the eDiscovery...

    Trusting the Process? 2021 eDiscovery Processing Task, Spend, and Cost Data Points

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    The Year in Review? 2021 eDiscovery Review Task, Spend, and Cost Data Points

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    A 2021 Look at eDiscovery Collection: Task, Spend, and Cost Data Points

    Based on the complexity of cybersecurity, information governance, and legal discovery,...