КАК ДА ИЗБЕГНЕМ „ТЪМНИТЕ МОДЕЛИ“ ?

Това не е заглавието на нова книга на Джоан Роулинг за Хари Потър. Европейският комитет за защита на данните публикува за обществено обсъждане „Насоки 3/2022 относно тъмните модели в интерфейсите на платформите за социални медии: Как да ги разпознаем и избегнем?“

Краткото резюме на новия документ дава представа за какво иде реч.

Насоките предлагат практически препоръки на създателите и потребителите на платформи за социални медии как да оценяват и избягват така наречените „тъмни модели“ в интерфейсите на социалните медии, които нарушават изискванията на GDPR. Важно е да се отбележи, че списъкът с тъмни модели и най-добри практики, както и случаите на употреба, посочени в документа, не са изчерпателни. Доставчиците на социални медии остават отговорни и подотчетни за осигуряването на съответствие на техните платформи с GDPR.

„Тъмните модели“ в интерфейсите на платформите за социални медии

В контекста на тези насоки „тъмните модели“(Dark patterns) са интерфейси и потребителски практики и изживявания, внедрени в платформите на социалните медии, които карат потребителите да вземат непреднамерени, нежелани и потенциално вредни решения относно обработката на техните лични данни. Тъмните модели имат за цел да повлияят на поведението на потребителите и могат да попречат на способността им да защитават ефективно личните си данни и да правят съзнателен избор.

Надзорните органи носят отговорност за санкциониране на използването на тъмни модели, ако те нарушават изискванията на GDPR.

Тъмните модели, разглеждани в тези насоки, могат да бъдат разделени на следните категории:

  • Претоварване (Overloading) означава, че потребителите се сблъскват с лавина/голямо количество заявки, информация, опции или възможности, за да ги подтикнат да споделят повече данни или неволно да разрешат обработването на лични данни, надвишаващи очакванията на субекта на данните.

Следните три типа тъмни шаблони попадат в тази категория: Непрекъснато подканване (Continuous prompting), Лабиринт за поверителност (Privacy Maze) и Твърде много опции (Too Many Options).

  • Прескачането (Skipping) означава проектиране на интерфейса или потребителското изживяване по начин, който потребителите забравят или не мислят за всички или някои от аспектите на защитата на данните.

Следните два типа тъмни модели попадат в тази категория: Измамно прилепване (Deceptive Snugness) и Погледни там (Look over there).

  • Разбъркването (Stirring) влияе върху избора, който потребителите биха направили, като привличат емоциите си или използват визуални подтиквания.

Следните два типа тъмни модели попадат в тази категория: Емоционално управление (Emotional Steering) и Скрито в полезрението (Hidden in plain sight).

  • Възпрепятстване (Hindering) означава възпрепятстване или блокиране на потребителите в процеса на информиране или управление на техните данни, като прави действието трудно или невъзможно за постигане.

Следните три типа тъмни шаблони попадат в тази категория: Безизходица (Dead end), По-дълго от необходимото (Longer than necessary) и Подвеждаща информация (Misleading information).

  • Непостоянство (Fickle) означава, че оформлението на интерфейса го прави да е непоследователен и неясен, което затруднява потребителя да се ориентира в различните инструменти за контрол на защитата на данните и да разбере целта на обработката.

Следните два типа тъмни шаблони попадат в тази категория: Липса на йерархия и Деконтекстуализация

  • Оставен на тъмно (Left in the dark) означава, че интерфейсът е проектиран така, че да скрие информацията или инструментите за контрол на защитата на данните или да остави потребителите несигурни как се обработват техните данни и какъв вид контрол могат да имат върху тях по отношение на упражняването на правата си.

Следните три типа тъмни модели попадат в тази категория: Езикова накъсаност, Противоречива информация и Двусмислена формулировка или информация

Съответни разпоредби на Общия регламент за оценка на тъмните модели

По отношение на съответствието със защитата на данните на потребителските интерфейси на онлайн приложения в сектора на социалните медии, приложимите принципи за защита на данните са изложени в чл. 5 от Общия регламент относно защитата на данните (ОРЗД).

Принципът на добросъвестна обработка, заложен в член 5, параграф 1, буква „а“, на ОРЗД служи като отправна точка за оценка дали моделът на оформление всъщност представлява „тъмен модел“.

Допълнителни принципи, които играят роля в тази оценка, са тези на прозрачността, минимизирането на данните и отчетността съгласно член 5, пар. 1, букви „а“, „в“ и пар. 2 от ОРЗД, както и, в някои случаи, ограничаване на целта съгласно член 5, пар. 1 б. „б“ от ОРЗД. В други случаи правната оценка също се основава на условия за съгласие съгласно членове 4 (11) и 7 от ОРЗД или други специфични задължения, като член 12. Очевидно в контекста на правата на субекта на данни трябва да се вземе предвид и третата глава от Общия регламент. И накрая, изискванията за защита на данните на етапа на проектирането и по подразбиране съгласно член 25 от ОРЗД играят жизненоважна роля, тъй като прилагането им преди стартиране на проектирането на интерфейса би помогнало на доставчиците на социални медии да избегнат тъмните модели на първо място.

ВАС отправя преюдициално запитване до Съда на ЕС във връзка с дело срещу НАП за теча на лични данни

Върховният административен съд съобщава чрез сайта си, че отправя преюдициално запитване до Съда на Европейския съюз по казус, свързан с теча на лични данни от НАП. Запитването е отправено във връзка с административно дело №1037 от 2021 г. на ВАС, но на практика с него се спират производствата по всички такива дела в страната до произнасянето на европейския съд.

Административното дело пред ВАС е образувано по жалба на физическо лице срещу решение № 6800 от 27.11.2020 г. по адм. дело № 11217 от 2019 г. на Административен съд София – град, с което е отхвърлен като неоснователен иска й за присъждане на обезщетение в размер на 1000 лв. за претърпени неимуществени вреди от незаконосъобразно бездействие на НАП като администратор на лични данни, изразяващо се в неизпълнение в достатъчна степен на задължения по чл. 59, ал.1 от Закона за защита на личните данни, чл. 24 и чл. 32 от Регламент (ЕС) 2016/679, с правно основание чл. 1, ал. 1 от Закона за отговорността на държавата и общините за вреди (ЗОДОВ).

Във ВАС като касационна инстанция има постъпили над 100 дела по ЗОДОВ във връзка с изтичането на личните данни от НАП. Съдебните производства срещу НАП са приключили на първа инстанция с противоречиви резултати. Исковете или са отхвърляни като неоснователни или са уважавани изцяло или частично. Нормативната уредба е тълкувана и прилагана противоречиво по всички елементи на отговорността на администратора на лични данни.

Повече подробности по темата четете тук.

Не течът на данни от НАП е навредил на хората, а медийната психоза и публикуването им

АССГ отхвърли иск на гражданка срещу приходната агенция и я осъди да плати 100 лева за разноски

От изтеклите от НАП лични данни на милиони българи не следва, че приходната агенция не е направила нужното да ги опази, а притесненията на хората, макар и нормални, са резултат по-скоро от медийната психоза и публикуването на данните в интернет.

Това са най-общо мотивите на състав на Административния съд София-град (АССГ) с председател Стефан Станчев, с които той отхвърля иск за 1000 лева срещу НАП от страна на Мила Стефанова, която е сред стотиците граждани, завели дела за обезщетение по Закона за отговорността на държавата и общините за вреди (ЗОДОВ). Стефанова е осъдена и да плати 100 лева за юрисконсултско възнаграждение на агенцията.

Общо 160 граждани заведоха искове срещу НАП, но голяма част от тях бяха прекратени преди февруари т.г., когато Върховният административен съд (ВАС) разпореди на първата инстанция да ги гледа. Гражданите поискаха обезщетения заради бездействия на НАП и ВАС реши, че Общият регламент за защита на данните се прилага директно, а той дава на всеки право на ефективна съдебна защита, когато са били нарушени правата, гарантирани от него. Така беше разчистен и пътят за успешното приключване на делата срещу приходната агенция.

Повече подробности по темата четете тук.

TikTok се сблъсква с разследване във Франция

TikTok се сблъсква с разследване във Франция

Местен регулатор разглежда практиките за опазване на личните данни от страна на китайското приложение

Френският регулатор за опазване на личните данни започна разследване срещу TikTok. Tова е поредният път, в който приложението на ByteDance е обект на преглед от страна на властите заради опасения във връзка с политиките му, пише Bloomberg.

Говорител на базирания в Париж регулатор CNIL коментира, че агенцията е започнала разследване, след като през май е получила жалба, но отказа да даде подробности за оплакването или за сроковете по него.

CNIL „е особено бдителен по отношение на тази компания, особено като се има предвид това оплакване, въпросите и другите жалби, които комисията вероятно ще получи“, обяви говорителят.

TikTok не е отговорила веднага на запитването за коментар.

През юни ръководителите на звеното за защита на данните в Европейския съюз обещаха да координират потенциални разследвания срещу китайската компания, след като нидерландският регулатор обяви през май, че разглежда политиките на TikTok за опазване на личната информация на децата. Подобно разследване се води от британски регулатор.

TikTok е под все по-голям натиск и в Съединените щати. Президентът Доналд Тръмп заяви, че ще забрани приложението заради опасения за националната сигурност. Microsoft води преговори за придобиване на операциите на TikTok в САЩ, Канада, Австралия и Нова Зеландия. Компанията отрече твърденията, че е контролирана от китайското правителство или че използва потребителските данни и ги излага на риск.

Повече подробности по темата четете тук.

Съдът в Люксембург спря специалния достъп на САЩ до данните на европейците

Съдът в Люксембург спря специалния достъп на САЩ до данните на европейците

Споразумението за пренос на лични данни на европейци в САЩ е незаконно, постанови Европейският съд в решение, което не подлежи на обжалване. На практика то прекратява специалния достъп, който американските компании имат до данните на европейските граждани.

Съдът в Люксембург обезсилва споразумението „Щит за личните данни“ (Privacy Shield). То бе сключено между Брюксел и Вашингтон през 2016 г., след като съдът прекрати действието на предшественика му – Safe Harbour. Новите мерки се ползват от над 5 хил. компании.

И двете споразумения паднаха под натиска на австрийския активист Макс Шремс, който води дела по подобни казуси от години. Основният му аргумент е следният: според европейското право данни на гражданите могат да се изнасят, съхраняват и обработват в трети държави само ако те могат да осигурят същото ниво на защита, каквото и европейските закони.

Позовавайки се на разкритията на Едуард Сноудън за масовото следене, провеждано от американското правителство, Шремс настоява, че САЩ не могат да гарантират защитата на данните на европейците.

Съдът се съгласи с него. Някои американски програми за наблюдение изобщо нямат ограничения, нито има гаранции за защитата на лица, които не са американски граждани, сочи решението. Те нямат и права, на които да се позоват в американски съд. Има омбудсман, но той по същество също не предоставя възможност за защита, каквато европейците имат в ЕС.

Повече подробности по темата четете тук.

Решението на съда можете да видите тук.

Полезно в ДВ (бр. 93 от 26.11.2019 г.)

В днешния брой е обнародвано Решение № 8 от 15.11.2019 г., с което Конституционният съд обяви за противоконституционни въведените с чл. 25з, ал. 2 от Закона за защита на личните данни десет критерия, с които журналистите трябва да се съобразяват в своите публикации, за да не нарушат правото на защита на личните данни.

„От неяснотата на отделни критерии възниква проблем за цялостното прилагане на т.нар. журналистическо изключение. Освен това трудно можем да говорим за „обработването на лични данни за журналистически цели“ и преценка на естеството на информацията или преценка на последици и съответствие с правата на други граждани при т.нар. преки, в реално време предавания.

Неясните критерии означават също така, че КЗЛД разполага с непредвидима (дискреционна) власт да ги тълкува не непременно в полза на обществения интерес от плуралистична информация за политиките и дейността на управлението. Освен че е публичноправна структура, която се формира с участието на изпълнителната власт – правителството, КЗЛД разполага с административни принудителни мерки, което наред с неясните критерии води до засилване на властовата асиметрия спрямо средствата за масова информация и журналистиката в крайна сметка“, се казва в решението на КС.

Като се позовава на решението на СЕС по дело  Schrems (Schrems v. Data Protection Commissioner, CLI:EU:C:2015:650), Конституционният съд припомня, че когато „мярката, налагаща ограничение върху упражняването на едно основно право поставя под въпрос това право като такова, тази мярка е несъвместима с Хартата, тъй като лишава даденото право от неговата същност. Цензурата е такава ограничителна мярка, която засяга същностното съдържание на правото на свобода на изразяване и поради това тя е забранена на конституционно ниво (чл. 40, ал. 1 от Конституцията)“.

Обнародвани са промени в Правилника за прилагане на Закона за чужденците в Република България, които произтичат от промените в Закона за чужденците в Република България /ЗЧРБ/ и в Закона за закрила на детето /ЗЗД/, както и от установената необходимост за облекчаване на процедурите при кандидатстване за получаване на право на пребиваване спрямо чужденци от български произход – граждани на трети страни.

С измененията се урежда редът за събиране на семейства и се въвеждат необходимите документи за категорията чужденци с предоставена международна закрила, убежище и временна закрила. Въвежда се и процедура по предоставяне на право на продължително пребиваване у нас на категорията чужденци, получили статут на лица без гражданство, които не отговарят на условията за предоставяне на постоянно или дългосрочно пребиваване.

Във връзка с измененията на ЗЗД и въведената нова мярка за предоставяне на социални и интегрирани здравно-социални услуги за резидентна грижа на непридружени деца чужденци, е предвидена възможност на такива деца да може да се предоставя статут на продължително пребиваване в България до навършването на 18-годишна възраст.

Държавен вестник, брой 93 от 26.11.2019 г.

Държавен вестник, брой 93 от 26.11.2019 г.

С курсив са обозначени актовете, които са изменени с акта, изписан с удебелен шрифт по-горе в списъка.

Връзките са към базата данни на Apis Web.

За временен достъп проверете тук.

 

Има още

Вътрешният министър е глобен с 10 000 лева – МВР пратило на Того личните данни на финландец

Министърът на вътрешните работи е глобен с 10 000 лева, защото като администратор на лични данни незаконно е предоставил документи за самоличност, снимки и отпечатъци на финландския гражданин Абдулай Коне на властите в Того.

Това е решила Комисията за защита на личните данни (КЗЛД) по жалба на котдивоареца с финландско гражданство. Той беше арестуван преди две години във Варна, след като беше дошъл на почивка със семейството си. Оказа се, че човек със същото име е издирван от Того чрез Интерпол за компютърни престъпления, но от африканската страна не изпратиха никаква друга сравнителна информация за него, включително и снимка, поради което Коне не беше екстрадиран и се върна във Финландия.

От решението на комисията става ясно още, че първоначално санкцията е била само 1000 лева и е била за МВР, но министерството е обжалвало решението пред Административен съд София-град като неоснователно, защото не то, а министърът е администратор на лични данни. Съдът е приел довода и преписката е върната на КЗЛД, която сега налага далеч по-високата санкция на министъра.

В крайна сметка, ако решението влезе в сила, глобата ще бъде платена пак от бюджета на МВР, а не лично от министъра, още повече че нарушението е извършено не от сегашния МВР-шеф Младен Маринов, а от предшественика му Валентин Радев.

КС обяви за противоконституционни 10-те критерия за баланс между свободата на словото и защитата на личните данни

Конституционният съд (КС) обяви за противоконституционна разпоредбата от Закона за защита на личните данни (ЗЗЛД), с която бяха въведени 10 критерии, по които ще се преценява дали журналистите са спазили баланса между правото на информация и това на защита на личните данни, когато са използвали такива в свои материали, съобщава „Лекс.бг“.

Решението е взето с 8 на 4 гласа. На особено мнение са Павлина Панова, Красимир Влахов, Гроздан Илиев и Анастас Анастасов.

Разпоредбата беше атакувана от депутати от БСП, а преди това вето ѝ наложи президентът Румен Радев. Според депутатите от левицата критериите, определени от законодателя са „абстрактни, неясни, обтекаеми и субективни“, а това създава сериозен риск за произволни тълкувания. Това, според тях, ще доведе до затрудняване на свободата на словото, а там където я няма нея, е „немислима и невъзможна правовата държава“.

Европейски регулатор е притеснен от договорите на Microsoft с институции от ЕС

Европейски регулатор е притеснен от договорите на Microsoft с институции от ЕС

Договорите на Microsoft с институциите в Европейския съюз (ЕС) не защитават напълно данните в съответствие със законите в блока, обяви Европейският надзорен орган за защита на данните (EDPS) в документи, публикувани днес, предава Ройтерс.

EDPS, регулаторът в ЕС, който следи за опазването на данните, е започнал разследване през април с цел да установи дали договорите между Microsoft и институциите в ЕС, като Европейската комисия например, напълно отговарят на правилата за опазване на данните в блока.

„Въпреки че разследването продължава, първоначалните резултати разкриват сериозни притеснения за изпълнението на всички договорни условия в съответствие с правилата за защита на данните и ролята на Microsoft като партньор на институциите в ЕС, които използват нейните продукти и услуги“, посочва EDPS в изявление.

Повече подробности по темата четете тук.