XXI a. kasdienybės dienoraštis

Tag: Google Maps Street View

Pranešimas dėl galimai neteisėtos veiklos, galimai pažeidžiančios didelės dalies piliečių teisėtus lūkesčius, ir prašymas ginti viešąjį interesą

Šiandien Lietuvos generalinei, Vilniaus apygardos ir Vilniaus miesto apylinkės prokuratūroms išsiunčiau tokį raštą:

raštas

Informacijos amžiaus dilema – riba tarp viešo ir asmeninio

Komentaras paskelbtas 15min.lt

„Google Maps Steet View“ automobilių pasirodymas Lietuvoje – naujiena, tačiau ir ne amžiaus įvykis. Tai tiesiog dar vienas mūšis, kuriame stumdoma fronto linija, žyminti viešo ir asmeninio gyvenimo erdvių ribą. Dažnas gyvenantis elektroninėje erdvėje norėtų, kad ta riba sustotų tik prie miegamojo ar vaikų kambario durų (o gal net ir dar toliau). Tuo metu internetą tik nebūtinu gyvenimo atributu laikantys stebisi, kodėl turėtų aukoti savo asmeninį gyvenimą dalies „Google“ bendrovės akcininkų labui.

Slovėnijos Informacijos komisarė (lietuviškosios Valstybinės asmens duomenų inspekcijos) Nataša Pirc Musar savo viešame atsakyme dėl „Google Maps Street View“ veiklos dar 2010 metais išskyrė tris pagrindines grėsmių rūšys, fiksuojant vaizdus viešose erdvėse. Pirmiausia, tai delikačios asmeninės situacijos (neblaivūs ar kitaip netinkamai atrodantys asmenys, vaikų asmeninis gyvenimas). Antroji grupė – tai subtilios viešosios erdvės (religiniai susibūrimai, sveikatos apsaugos įstaigos). Trečioji grupė susijusi su namų erdvės zona, kuri dažniausiai suprantama kaip tiesiogiai nematoma namų aplinka, vidaus interjeras ir kiti susiję objektai.

Visose paminėtose srityse ekshibicionistinių polinkių neturintys asmenys gali teisėtai piktintis, jeigu be jų sutikimo viena ar kita informacija taptų vieša. Net ir daugelyje šalių naudojamos nuasmeninimo technologijos, „Google“ pripažįsta, visiškai neapsaugo nuo galimų klaidų. Neatsitiktinai savo gyvenimo stilių drąsiai ginanti Šveicarija pareikalavo, kad visus užfiksuotus vaizdus dėl galimų privatumo pažeidimų peržiūrėtų „Google“ darbuotojai. Deja, bendrovė tai daryti atsisakė.

Reikia pripažinti ir pagrįstą naudą visuomenei. Pavyzdžiui, viešosios miestų erdvės, turistų traukos objektai, komercinės erdvės – visa tai gali ir turi būti skaitmeninama, padedant piliečiams lengviau orientuotis, taupyti laiką, naujų technologijų pagalba kurti naujas paslaugas. Tačiau kokią naudą visuomenei, viešajam interesui teikia mažas aklagatvis kokiame nors Vilniaus miesto Bajorų kaime? Taip, kai kurie gyventojai tame nematys jokios problemos ir net džiaugsis, rodydami savo namus draugo kompiuterio ekrane. Tačiau kodėl ten pat turi automatiškai, be atskiro įspėjimo ir leidimo, atsidurti ir jo kaimyno, nedraugaujančio su internetu, privataus gyvenimo vaizdai?

Tad neatsitiktinai Vokietijos visuomenė griežtai atskyrė viešą ir asmeninę erdvę – „Google Maps Street View“ šioje šalyje iš esmės dengia tik didžiuosius miestus ir juose egzistuojančias neabejotinai viešas erdves.

Lietuvos atveju daugiausia klausimų kelia šie klausimai, į kuriuos „Google“ atstovai kol kas atsakymų nėra pateikę:

  1. Asmens duomenų subjektų sutikimo nebuvimas – Europos Sąjungos direktyva nustato, jog renkant ir tvarkant asmens duomenis būtina nedviprasmiškas asmens sutikimas (prisiminkite, jog reklamines SMS žinutes ar el.pašto laiškus galite gauti tik tada, kai tai pažymite varnele kokioje nors anketoje);
  2. Galimybės pareikšti išankstinį draudimą fiksuoti privačius duomenis konkrečioje vietovėje nebuvimas – kai kuriose ES valstybėse buvo pareikalauta, kad „Google“ sudarytų sąlygas pareikšti išankstinius draudimus fiksuoti tam tikruose adresuose esančius privačius duomenis;
  3. Išankstinio fiksuojamo regiono gyventojų neinformavimas apie vykdomą veiklą – kai kuriose ES valstybėse „Google“ buvo įpareigota iš anksto skelbti apie vaizdo fiksavo maršrutus, konkrečius laikus ir pan., kad gyventojai galėtų atitinkamai pasiruošti ir neutralizuoti galimas neigiamas pasekmes;
  4. Pradinių neapdorotų vaizdų saugojimas – JAV reguliavimo institucijų tyrimų metu „Google“ neįrodė, jog iš karto apdoroja ir sunaikina pradinius duomenis, o tai reiškia, kad iš esmės bendrovė kaupia originalius duomenis ir tik viešai pateikia modifikuotą jų versiją;
  5. Fizinė duomenų saugojimo vieta – pristatymo Vilniuje metu „Google“ nepaneigė, jog duomenys bus saugomi ne Europos Sąjungoje, o vienos iš bylų Prancūzijoje metu gynybinė pozicija buvo paremta argumentu, kad visų vaizdų savininkė yra „Google Inc.“, registruota JAV, o ne Prancūzijoje registruotas bendrovės padalinys. Beje, šiuo pagrindu kyla abejonių, ar teisėtai asmens duomenų tvarkytoju Lietuvoje buvo pripažinta Airijoje registruotas „Google Inc.“ padalinys;
  6. Galimybė trečiosioms šalims (įskaitant kitų šalių valstybines institucijas) pasiekti pradinius neapdorotus duomenis – duomenis saugant ne Lietuvos teritorijoje kyla pagrįstos abejonės, jog trečiosios šalys finansinių ar kitų priemonių pagalba gaus naudojimui pradinius duomenis;
  7. Neaiškus situacijų ir sąlygų sąrašas, kada pradiniai vaizdai technologiškai apdorojami – „Google“ viešai neatskleidžia, kokie kriterijai ir sąlygos naudojamos pradinių duomenų apdirbimui, todėl neįmanoma įvertinti, ar taip užtikrinama pakankamas privatumo apsaugos lygis;
  8. Netinkamai apdorotų vaizdų eksponavimas tais atvejais, kai asmuo nesinaudoja internetu – Lietuvoje nuolatos internetu naudojasi apie pusę gyventojų, todėl nėra aišku, kokiu būdu savo teisėtus interesus galėtų ginti tik realiame pasaulyje gyvenantys asmenys, šiuo pažeidžiamas technologinio neutralumo principas;
  9. Viešai nepaskelbta informacija kaip ir kur kreiptis (internete) dėl privačios informacijos panaikinimo – iki šiol nėra aiškiai ir viešai paskelbta žiniasklaidoje apie procedūras, kur ir kaip kreiptis dėl privačios informacijos panaikinimo (jau egzistuoja atvejų, kai lietuviai buvo užfiksuoti kitose ES valstybėse, o po dviejų mėnesių žadamas ir vietos duomenų viešas paskelbimas);
  10. Ribotos galimybės Lietuvoje ginti pažeistus interesus – dėl tarptautinės teisės subtilybių savo interesus Lietuvos piliečiai tikriausiai turėtų ginti ne Lietuvos teismuose, o JAV, kur registruota „Google Inc.“, dažnai vienpusiškai sprendžia teismų jurisdikcijos ir taikytinos teisės klausimus;
  11. Žalos, padarytos pažeidus privatumą, atlyginimo klausimas – „Google“ nedetalizuoja, ar numato finansinį žalos atlyginimą tais atvejais, kai dėl technologinių ar kitų trūkumų asmenų privatumas bus pažeistas;
  12. Viešos informacijos sukomercinimas – nėra aišku, kodėl „Google Maps Street View“ pateikiamą turinį jau nurodo kaip savo intelektinę nuosavybę – susidaro paradoksali situacija, kai konkretaus asmens X privati informacija, kurią „Google“ paskelbia viešai, tampa negalima naudoti net jam pačiam. Manytina, jog šiuo atveju mažiausiai turi būti pritaikytos „Creative Commons“ licencijos (CC-BY ar bent CC-BY-NC, o gal net ir CC0).

Privacy online: basics & Lithuanian lesson for Google

I will start with a background statement. Privacy still remains one of the core democratic values. And invasion into someone’s private life is a threat to the way we like to live. European point of view is well laid in these two Conventions:

Full stop. Anybody wishing to discuss, should start with these widely accepted and trusted documents (I deliberately do not discuss less important legal acts).

General European requirements for GMSV service

CPHRFF Article 8 sets the basic principe: “Everyone has the right to respect for his private and family life, his home and his correspondence”. In case for Google Maps Street View service, we see clear interference into family life and private home area.

Therefore all “data subjects” will have rights defined in CPIAPP Article 8, i.e. they shall be enabled:

  1. to establish the existence of an automated personal data file, its main purposes, as well as the identity and habitual residence or principal place of business of the controller of the file;
  2. to obtain at reasonable intervals and without excessive delay or expense confirmation of whether personal data relating to him are stored in the automated data file as well as communication to him of such data in an intelligible form;
  3. to obtain, as the case may be, rectification or erasure of such data if these have been processed contrary to the provisions of domestic law giving effect to the basic principles set out in Articles 5 and 6 of this convention;
  4. to have a remedy if a request for confirmation or, as the case may be, communication, rectification or erasure as referred to in paragraphs b and c of this article is not complied with.

Moreover, Google will have to provide information, that it will take measures to assure quality of data (CPIAPP Article 5) by assuring, that automatic processing will be:

  1. obtained and processed fairly and lawfully;
  2. stored for specified and legitimate purposes and not used in a way incompatible with those purposes;
  3. adequate, relevant and not excessive in relation to the purposes for which they are stored;
  4. accurate and, where necessary, kept up to date;
  5. preserved in a form which permits identification of the data subjects for no longer than is required for the purpose for which those data are stored.

 Opt-in rule in the European Union

The most difficult legal principle to tackle for Google is set in the Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (LT translation).

Article 7, which defines criteria for making automated data processing legitimate, allows it only if:

  1. the data subject has unambiguously given his consent; or
  2. processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract; or
  3. processing is necessary for compliance with a legal obligation to which the controller is subject; or
  4. processing is necessary in order to protect the vital interests of the data subject; or
  5. processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller or in a third party to whom the data are disclosed; or
  6. processing is necessary for the purposes of the legitimate interests pursued by the controller or by the third party or parties to whom the data are disclosed, except where such interests are overridden by the interests for fundamental rights and freedoms of the data subject which require protection under Article 1 (1).

That means, that GMSV should receive a permission from ALL (!) involved data subjects or prove, that GMSV is, in essence, a public interest.

Such a rule is a completely different situation, than Google is used to in US, where opt-out rule (i.e. everybody might be involved, but has a right to withdraw from the system) is used.

Lithuanian authorities deny request made by GMSV

On May 18th, 2012 the State Data Inspectorate of the Republic of Lithuania made a public statement (LT version), where publicly declared (unofficial translation made by me):

[..] The Inspectorate holds, that such processing of images threatens a human right to private life, because during collection process personal data would have been processed at the same time (e.g. persons in streets, cars, etc.)

The Inspectorate refused to issue a permission for “Google” to carry on Google Maps Street View project and process personal data, therefore processing of personal data for that project in Lithuania would be qualified as illegal processing of personal data.

At the same time the Inspectorate will contact Google directly and encourage to respect a human right to private life and obey requirements set out in the laws of the Republic of Lithuania. [..]

Although final conclusions may be made only after carefull investigation on the Google request, but decision made by the local authority seems valid according to local regulation, which is harmonised to the European principles.

Related issues: human rights and social networking services, search engines

The dispute is not so distant from two Recommendations, which were developed in the Council of Europe Committee of experts on new media (where I was honoured to represent Lithuania).

On April 4th, 2012, the Committee of Ministers adopted slightly changed versions we finalised in September 2011:

Both these document provide insights for further discussion, where should the limits on the invasion to the privacy should be set in online environment.