RODO aktualności – 14.06.2023 r.

• Microsoft nielegalnie gromadził dane osobowe dzieci bez zgody i wiedzy ich rodziców – stwierdziła Federalna Komisja Handlu (FTC). Tym samym firma naruszyła przepisy obowiązującego w USA na poziomie federalnym Children’s Online Privacy Protection Act (COPPA), czyli przepisów regulujących kwestie ochrony prywatności i danych osób małoletnich.
• Dane dzieci były gromadzone niezgodnie z prawem przez system rozgrywki konsolowej Xbox, a ponadto były też współdzielone z partnerami Microsoftu, tj. zewnętrznymi firmami publikującymi swoje gry w katalogu Xboxa.
• Firma w latach 2015-2020 zbierała dane osobowe także, gdy proces rejestracji konta na platformie Xbox nie kończył się pomyślnie (a zatem nie było żadnej podstawy, aby uznać daną osobę za użytkownika usługi).
• Wcześniej podobną karę zapłacił Amazon – w przypadku tej firmy, próbki głosu nieletnich były rejestrowane i przechowywane przez system inteligentnych asystentów Alexa, a głos mógł być wykorzystywany do ulepszania algorytmów Amazona.

Żródło: Naruszanie prywatności dzieci. Microsoft zapłaci 20 mln dolarów | CyberDefence24

• Berliński Komisarz ds. Ochrony Danych i Wolności Informacji (BlnBDI) nałożył grzywnę w wysokości 300 000 euro na bank za brak przejrzystości w zakresie zautomatyzowanej decyzji indywidualnej.
• Bank odmówił przekazania klientowi zrozumiałej informacji o przyczynach automatycznego odrzucenia wniosku o kartę kredytową. Korzystając z formularza online, bank zażądał różnych danych dotyczących dochodów, zawodu i danych osobowych wnioskodawcy. Na podstawie tych informacji oraz dodatkowych danych ze źródeł zewnętrznych algorytm banku odrzucił wniosek klienta bez specjalnego uzasadnienia. Sam algorytm opierał się natomiast się na kryteriach i zasadach zdefiniowanych wcześniej przez bank.
• Skarżący spełniał wszystkie kryteria, by otrzymać kartę kredytową, lecz dostał decyzję odmowną bez żadnego uzasadnienia.
• Jak zaznaczyła Meike Kamp, berlińska komisarz ds. ochrony danych i wolności informacji: „Kiedy przedsiębiorstwa podejmują zautomatyzowane decyzje, są zobowiązane do uzasadniania ich w sposób rzetelny i zrozumiały. Osoby, których dane dotyczą, muszą być w stanie zrozumieć zautomatyzowaną decyzję. Fakt, że bank nie dostarczył przejrzystej i zrozumiałej informacji o automatycznym odrzuceniu w tym przypadku, nawet na żądanie, skutkuje grzywną (…)”.

Żródła: Komunikat prasowy – Berliński Komisarz ds. Ochrony Danych i Wolności Informacji (datenschutz-berlin.de); https://edpb.europa.eu/news/national-  news/2023/berlin-sa-imposes-300-000-euro-fine-against-bank-after-lack-transparency_en

• Platforma streamingowa Spotify została ukarana grzywną w wysokości 5 mln euro za naruszenia przepisów RODO. Firma nie spełniała wymogu, jakim jest udzielanie dostępu do danych użytkowników na ich prośbę oraz nie dostarczała ona pełnych informacji na temat tego, skąd pochodzą dane gromadzone na temat użytkowników usług tej firmy, kto jest ich odbiorcami i jak wygląda sprawa transferów międzynarodowych w przypadku informacji o użytkownikach.
• Kara nałożona na Spotify to rezultat pozwu, jaki przeciwko Spotify złożyła organizacja NOYB (None Of Your Business) zajmująca się ochroną prywatności w świecie cyfrowym. Jej liderem jest Max Schrems, który zasłynął pozwami przeciwko Facebookowi (dziś Mecie). Pozew przeciwko Spotify złożony został 18 stycznia 2019 r. i dotyczył naruszeń Art. 15 RODO.
• Platforma streamingowa Spotify zdaniem NOYB naruszyła przepisy RODO, nie informując użytkowników w należyty sposób o tym, jak ich dane są wykorzystywane, a także nie umożliwiając im pełnego dostępu do ich danych.
• Dodatkowo, Spotify umożliwiało użytkownikom dostęp jedynie do niektórych danych zgromadzonych na ich temat, nie podając przy tym do wiadomości, w jaki sposób można w pełni skorzystać ze swoich praw wynikających z RODO i uzyskać dostęp do wszystkich danych, jakie na nasz temat ma platforma.
• Szwedzki organ ochrony danych osobowych IMY nakazał Spotify, aby zaczęło udostępniać użytkownikom na żądanie dostępu do ich danych pełen zestaw informacji zgromadzonych na ich temat.

Żródło: https://cyberdefence24.pl/prywatnosc/spotify-ukarane-grzywna-za-naruszenia-rodo-zaplaci-5-mln-euro

• Prawo powoli zaczyna nadążać za rozwojem technologii, przynajmniej na poziomie europejskim. Komisja Europejska apeluje do największych firm technologicznych, by zaczęły oznaczać treści generowane przez AI. Parlament Europejski chce stosować podobne zasady, co w przypadku zmanipulowanych mediów znanych jako deep fake.
• Jak stwierdziła wiceprzewodnicząca Komisji Europejskiej, Vera Jourova: Firmy wdrażające generatywne narzędzia sztucznej inteligencji, takie jak ChatGPT i Bard, które mogą generować dezinformację, powinny oznaczać takie treści w ramach swoich wysiłków na rzecz zwalczania fałszywych wiadomości.
• Równocześnie Komisja Europejska oczekuje stworzenia rozwiązań zabezpieczających wykorzystanie modeli AI do nielegalnych celów przez różnego rodzaju przestępców. Ta część apelu dotyczy przede wszystkim firm przodujących we wspieraniu rozwoju sztucznej inteligencji, czyli Microsoftu i Google.
• Nad uregulowaniem kwestii treści generowanych przez sztuczną inteligencję pracuje także Parlament Europejski. Ten organ chciałby, aby od 2025 r. stosować w ich przypadku zasady zbliżone do tych obowiązujących zmanipulowane treści. Chodzi o przekształcone przy użyciu nowoczesnych technologii obrazy, audio i wideo, objęte przepisami unijnego pakietu prawnego o usługach cyfrowych. Dotyczy to także technologii tzw. deep fake. Platformy społecznościowe oraz wyszukiwarki internetowe muszą takie treści oznaczać, w przeciwnym wypadku narażają się na wielomilionowe kary.

Żródło: https://bezprawnik.pl/komisja-europejska-chce-oznaczac-tresci-generowane-przez-ai/

• Sytuacja wydarzyła się podczas procesu jednego z pasażerów z kolumbijskimi liniami lotniczymi Avianca. Pasażer uskarżał się na to, że ucierpiał, kiedy jedna ze stewardess uderzyła go wózkiem do serwowania potraw. Incydent wydawał się niegroźny, więc oczywiście linie lotnicze złożyły wniosek o odwołanie sprawy.
• Prawnik reprezentujący pasażera, Steven Schwartz zapytał ChatGPT o listę podobnych spraw. Ten podał mu dokładną listę z nazwiskami i datami. Lista ta została potem przedłożona w sądzie. Problemy zaczęły się w momencie, w którym ktoś z biura sądowego postanowił dokładniej sprawdzić wspomniane sprawy. Jak się okazało – żadna z przedstawionych spraw nigdy nie istniała, a wszystko było wynikiem „halucynacji” bota, który bazując na złych danych, bądź nie rozumiejąc zadanego pytania przedstawił listę kompletnie fikcyjnych spraw.
• Fikcyjne sprawy zostały wykorzystane do celów dowodowych i nie zostały zweryfikowane przez żadnego z prawników zajmujących się sprawą.
• Co ciekawe, nowojorski sędzia dał szansę prawnikom na dostarczenie zacytowanych fikcyjnych spraw, a oni, ponownie korzystając z pomocy ChatGPT, wygenerowali nieistniejące teksty dwóch ze spraw i dostarczyli sędziemu, tym samym jeszcze bardziej się pogrążając.
• Następnie prawnicy zostali wezwani na przesłuchanie, na którym przyznali sędziemu, że sprawy nie były przez nich weryfikowane osobiście. Pan Schwartz uważał, że ChatGPT ma większy zasięg niż standardowe bazy danych oraz, że nie może się mylić.
• Prawdopodobnie prawnicy zostaną ukarani przez sąd za swoje postępowanie, ale najbardziej ucierpią na tym ich kariery.

Żródło: https://www.nytimes.com/2023/06/08/nyregion/lawyer-chatgpt-sanctions.html; Prawnicy, którzy używali ChatGPT do fikcyjnych spraw, rzucają się na łaskę sądu – ponad prawem (abovethelaw.com)

• Monitoring podczas udzielania świadczeń zdrowotnych na salach operacyjnych, bez wyraźnej i świadomej zgody pacjenta, stanowi oczywiste naruszenie zbiorowych praw pacjentów do poszanowania intymności i godności – orzekł Naczelny Sąd Administracyjny. Podkreślił, że pacjent ma prawo nie wyrazić zgody, co powinno pozostawać bez wpływu na udzielone mu świadczenia zdrowotne.
• Rzecznik Praw Pacjenta wydał 13 sierpnia 2019 r. decyzję, że w Uniwersyteckim Szpitalu Klinicznym stosowane są  praktyki naruszające zbiorowe prawa pacjentów. Chodziło o udzielanie świadczeń zdrowotnych na salach operacyjnych, na których zainstalowane były urządzenia monitoringu wizyjnego (tj. kamery), bez pobierania od pacjentów zgody na monitorowanie. Kamery przekazywały na bieżąco obraz podczas udzielania pacjentom świadczeń zdrowotnych. Szpital odwołał się od decyzji.
• Sądy I i II instancji zgodziły się, że w dobie szeroko rozwiniętych właściwości urządzeń rejestrujących oraz przede internetu, istnieje wysokie niebezpieczeństwo, że dane wrażliwe pacjentów zostaną wykorzystane w sposób bezprawny. Monitoring to także bez wątpienia wkroczenie w prawo do ochrony wizerunku, a w przypadku procesów tak wrażliwych, jak poddawanie się badaniu czy wykonywanym zabiegom – naruszenie prawa do intymności.
• Dotychczasowe orzecznictwo sądów administracyjnych, stanowisko Ministra Zdrowia, wykładnia wskazanych w sprawie przepisów oraz doświadczenie życiowe, wskazują, że brak wyraźnej, świadomej zgody pacjenta na udzielanie świadczeń zdrowotnych na salach operacyjnych stanowi oczywiste naruszenie zbiorowych praw pacjentów do poszanowania intymności i godności (art. 20 ust. 1 u.p.p.). A także –  może być traktowane jako naruszenie art. 30 Konstytucji, która stanowi o przyrodzonej godności człowieka.

Żródło: Monitoring na sali operacyjnej bez zgody pacjenta narusza jego godność (prawo.pl)