Wprowadzenie
Europejska Rada Ochrony Danych przedstawiła w dniu 9 marca 2021 r. do konsultacji społecznych wytyczne w sprawie wirtualnych asystentów głosowych (VVA). Z uwagi, że rozwój technologii coraz częściej wkracza w sferę życia prywatnego, w tym odnosi się do przetwarzania naszych danych osobowych, poniżej postanowiliśmy przybliżyć ich treść.
Czym jest VVA?
Wirtualny asystent głosowy (VVA) to usługa, która rozumie polecenia głosowe i je wykonuje lub w razie potrzeby pośredniczy z innymi systemami informatycznymi w ich obsłudze. VVA są obecnie dostępne na większości smartfonów i tablety, tradycyjne komputery, a w ostatnich latach nawet samodzielne urządzenia, takie jak inteligentne głośniki. Ze względu na swoją rolę VVA mają dostęp do ogromnej ilości danych osobowych, w tym danych sensytywnych. Aby działać prawidłowo, VVA potrzebuje urządzenia końcowego wyposażonego w mikrofony i głośniki. Urządzenie przechowuje dane głosowe i inne dane, które są przesyłane do zdalnych serwerów VVA.
Przykłady zastosowań VVA
– obsługa inteligentnego domu za pomocą komunikatów głosowych (włączanie światła, regulacja ogrzewania, opuszczanie rolet itp.)
– komunikowanie się z wyszukiwarką internetową
– wyznaczanie trasy w nawigacji, wyszukiwanie lokalizacji
– pomoc osobom chorym np. niewidomym
Wymogi i wyzwania dla producentów i dostawców usług VVA
Administratorzy danych świadczący usługi VVA i ich podmioty przetwarzające muszą zatem wziąć pod uwagę zarówno wymogi RODO oraz dyrektywy o prywatności i łączności elektronicznej. EROD opracowała wytyczne określające najważniejsze wyzwania związane z zapewnianiem zgodności VVA z przepisami, o których mowa w ww. aktach prawnych.
W pierwszej kolejności EROD w swoich wytycznych podkreśla, że administratorzy danych osobowych obowiązani są zrealizować wobec użytkowników aplikacji VVA obowiązek informacyjny zgodnie z RODO, poprzez odpowiednie dostosowanie interfejsu aplikacji, która będzie umożliwiała spełnienie tego obowiązku. W przypadku urządzeń bezekranowych, obowiązek informacyjny powinien być realizowany w postaci nagrania głosowego.
EROD podkreśla, że konto użytkownika używane przez wielu projektantów VVA łączy usługę VVA z innymi usługami, takimi jak domena e-mail lub strumieniowe przesyłanie wideo. EROD uważa, że administratorzy danych powinni się od tego powstrzymać, ponieważ wiąże się to ze stosowaniem długotrwałych i złożonych polityk prywatności, które nie byłyby zgodne z zasadą przejrzystości opisaną w art. 5 RODO.
O ile dane osobowe są przetwarzane w celu realizacji żądań użytkownika i jest to absolutnie konieczne dla wykonania usługi zleconej przez użytkownika, administratorzy danych są zwolnieni z wymogu pozyskania jego uprzedniej zgody, zgodnie z art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej. Taka zgoda wymagana jest jednak przez art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej do przechowywania lub uzyskiwania dostępu do informacji dla każdego innego celu niż realizacja żądania użytkownika.
EROD podkreśla, że niektóre usługi VVA przechowują dane osobowe, dopóki użytkownicy nie zażądają ich usunięcia. Nie jest to zgodne z zasadą ograniczenia (zasada czasowości) przechowywania. VVA powinny przechowywać dane nie dłużej, niż jest to konieczne do realizacji celów dla których przetwarzane są dane osobowe.
VVA mogą przetwarzać dane wielu osób, których dane dotyczą, dlatego dostawcy i projektanci VVA powinni wdrożyć mechanizmy kontroli dostępu w celu zapewnienia poufności, integralności i dostępności danych osobowych. Dostawcy VVA powinni wziąć pod uwagę, że podczas zbierania głosu użytkownika, nagranie może zawierać głos lub dane innych osób, takie jak hałas w tle, które nie są konieczne dla usługi. Projektanci VVA powinni zatem rozważyć technologie filtrujące niepotrzebne dane i zapewniające, że nagrywany jest tylko głos użytkownika. EROD uważa ponadto, że usługi VVA należą do kategorii usług wymagających dokonania oceny skutków dla ochrony danych (DPIA).
Administratorzy danych świadczący usługi VVA powinni zapewnić użytkownikom możliwość korzystania z praw przysługujących osobom, których dane dotyczą poprzez łatwe do wykonania polecenia głosowe.
Dostawcy i projektanci VVA, a także programiści aplikacji powinni na końcu procesu informować użytkowników, że ich prawa zostały należycie uwzględnione, głosowo lub pisemnie poprzez powiadomienie na telefon komórkowy użytkownika, konto lub w inny sposób wybrany przez użytkownika.
Ochrona danych osobowych
Odpowiednie ramy prawne UE dla VVA w pierwszej kolejności zakreśla RODO oraz Dyrektywa o prywatności i łączności elektronicznej, która ustanawia określone standardy dla wszystkich podmiotów, którzy będą przetwarzać dane lub uzyskiwać do nich dostęp w urządzeniu końcowym abonenta lub użytkownika w EOG.
Administrator zdaniem EROD w pierwszej kolejności ma obowiązek poinformować użytkownika o celu przetwarzania jego danych osobowych oraz podstawie prawnej. VVA wymagają dostępu do danych głosowych przechowywanych przez urządzenie VVA. W związku z tym zastosowanie ma art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej. Oznacza to, że dostęp do informacji przechowywanych w VVA wymaga z reguły wcześniejszego uprzedniego uzyskania od użytkownika końcowego zgody na takie przetwarzanie, chyba że dane są przetwarzane w celu realizacji żądania użytkownika w ramach zawartej umowy, o czym szerzej w dalszej części niniejszego artykułu.
Urządzenia VVA mogą przypadkowo przechwycić głos osób, które nie zamierzały korzystać z usługi VVA. Jeśli administratorzy danych dowiedzą się (np. poprzez zautomatyzowaną lub ludzką kontrolę), że VVA przypadkowo przetworzył dane osobowe, powinni zweryfikować, czy posiadają ważną podstawę prawną dla każdego celu przetwarzania tych danych.
W przeciwnym razie przypadkowo zebrane dane należy usunąć.
Ponadto EROD zauważa, że dane osobowe przetwarzane przez VVA mogą posiadać status danych wrażliwych. Głos jest bowiem daną biometryczną, ponadto na podstawie głosu można ustalić wiek lub płeć osoby mówiącej. Jeśli te dane prowadzą do jednoznacznej identyfikacji osoby fizycznej, przetwarzanie musi być oparte o wyraźną podstawę prawną określoną w RODO.
Przetwarzanie danych osobowych
VVA używają mowy do pośredniczenia między użytkownikami oraz obsługi usług
(np. wyszukiwarka, sklep internetowy lub strumieniowe przesyłanie muzyki), ale w przeciwieństwie do innych urządzeń, VVA mogą mieć pełny dostęp do żądań użytkowników, co za tym idzie posiadać dostęp do szerokiej gamy danych osobowych w zależności od celów przetwarzania.
EROD przypomina, że gdy przetwarzane są szczególne kategorie danych osobowych, administrator obowiązany jest wskazać na wyłączenie z art. 9 ust. 1 RODO jako podstawę takiego przetwarzania.
Wyraźna zgoda użytkownika może być jednym z odpowiednich odstępstw, jeżeli taka zgoda jest podstawą prawną powołaną na mocy art. 9 ust. 2 RODO. Artykuł 9 RODO przewiduje również, że kraje członkowskie mogą wprowadzić własne zasady przetwarzania danych biometrycznych lub innych danych specjalnej kategorii.
W przypadku korzystania z VVA dane osobowe są przetwarzane od pierwszej interakcji z VVA. W przypadku niektórych osób, których dane dotyczą, oznacza to zakup VVA i / lub konfigurację konta użytkownika (tj. zarejestrowani użytkownicy). W przypadku innych osób, których dane dotyczą, oznacza to ich pierwsze świadome wejście w interakcje z VVA innej osoby, której dane dotyczą, która dokonała zakupu i / lub skonfigurowała VVA (tj. niezarejestrowani użytkownicy). Oprócz tych dwóch kategorii osób, których dane dotyczą, istnieje trzecia tj.: przypadkowi użytkownicy (zarejestrowani lub nie), którzy nieświadomie wysyłają żądania do domeny VVA (np. wypowiedzenie prawidłowego wyrażenia aktywacji bez wiedzy, że VVA jest aktywne lub wypowiadanie innych słów, które są błędnie identyfikowane przez VVA jako wyrażenie przebudzenia VVA – głos w tle).
Przetwarzanie przez administratorów i podmioty przetwarzające
Osoby, których dane dotyczą, powinny być w stanie zrozumieć i zidentyfikować, kto jest administratorem ich danych osobowych, a kto podmiotem przetwarzającym. W tym zakresie EROD odsyła do swoich wytycznych nr 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego. Podkreśla przy tym, że użytkownik jasno i precyzyjnie powinien być informowany o tym, jaką rolę pełnią poszczególne podmioty uczestniczące w szeroko pojętej obsłudze VVA. Z uwagi na wielość podmiotów, użytkownik może podlegać bowiem wielu administratorom, którzy będę jednocześnie współadministratorami danych użytkownika.
Administratorzy powinni zachować czujność w zakresie przekazywania danych osobowych
i zagwarantować wymagany poziom ochrony w całym łańcuchu przetwarzania,
w szczególności, gdy dane są przetwarzane poza EOG.
EROD podkreśla, że VVA może mieć jednego użytkownika, np. właściciela smartfona a także wielu, np. mieszkańców inteligentnego domu. Jest to istotne z punktu widzenia tego, że użytkownikami mogą być dzieci a także osoby starsze. Tu należy rozważyć kwestię, jak skutecznie informować użytkowników o przetwarzaniu ich danych osobowych.
EROD podkreśla, że użytkownicy powinni być informowani o kwestiach związanych z przetwarzaniem danych osobowych w polityce prywatności podczas konfigurowania VVA – zgodnie z treścią wytycznych Grupy Roboczej art. 29 w sprawie przejrzystości.
Komunikaty, powinny być przekazywane prostym językiem i przejrzyste
Polityka powinna zawierać informacje na temat przetwarzania danych osobowych przez wszystkie usługi, które mogą być powiązane z kontem. Informacje przekazane przez administratora VVA powinny być zwięzłe a ich obszerność osłabia wymaganą przejrzystość. Należy jednak wypełnić wymogi z art. 12 i 13 RODO.
Chociaż najczęstszym sposobem przekazywania niezbędnych informacji jest forma pisemna, RODO dopuszcza również „inne środki”. Motyw 58 wyraźnie stwierdza, że informacje mogą zostać podane w formie elektronicznej, np. za pośrednictwem witryny internetowej. Dodatkowo przy wyborze odpowiedniego sposobu informowania osób, których dane dotyczą, należy wziąć pod uwagę szczególne okoliczności funkcjonowania VVA.
Alternatywą dla urządzeń bez ekranu mogłoby być prezentowanie komunikatu głosowego
i odsyłanie do polityki prywatności zamieszczonej na stronie internetowej administratora. Brak ekranu w przypadku VVA nie zwalnia jednak administratora danych z dostarczania niezbędnych informacji zgodnie z RODO podczas konfigurowania VVA lub instalacji VVA. Dostawcy i programiści VVA powinni zatem opracować odpowiednie interfejsy głosowe, aby ułatwić przekazywanie obowiązków informacyjnych zgodnie z RODO.
Zgodnie z art. 12 ust. 1 RODO udzielenie niezbędnych informacji ustnie jest możliwe wyłącznie na żądanie osoby, której dane dotyczą, co za tym idzie nie jest to metoda domyślna. Ograniczenia VVA bez ekranu wymagałyby automatycznej informacji ustnej, którą można rozszerzyć za pomocą środków pisemnych. Podczas korzystania z dźwięku do informowania podmiotów danych, administratorzy danych powinni przekazywać niezbędne informacje w zwięzły i jasny sposób. Ponadto osoby, których dane dotyczą, powinny mieć możliwość ponownego odsłuchania informacji o przetwarzaniu ich danych osobowych.
Projektanci VVA muszą rozważyć, jak prawidłowo informować niezarejestrowanych i przypadkowych użytkowników, gdy przetwarzane są ich dane osobowe. Ponadto, w sytuacji gdy zgoda jest podstawą prawną przetwarzania danych użytkowników, użytkownicy muszą być o tym odpowiednio poinformowani, aby zgoda była ważna i możliwa do cofnięcia.
EROD zaleca, w sytuacji gdy usługi świadczące przez administratora są szersze aniżeli VVA, aby w polityce prywatności wyodrębnić rozdział poświęcony przetwarzaniu danych osobowych wyłącznie przez VVA.
VVA musi informować użytkowników o tym że działa i nasłuchuje
Ponadto EROD podkreśla, że przez cały czas powinno być jasne, w jakim stanie znajduje się VVA. Użytkownicy powinni mieć informację na bieżąco czy VVA aktualnie „nasłuchuje” w swoim obwodzie (lokalnie) w zamkniętej pętli oraz czy przesyła informacje strumieniowo do zaplecza serwerowego i tam je odkłada. Ta informacja również powinna być dostępna dla osób niepełnosprawnych, dla których komunikat powinien być możliwy do odebrania.
Cele przetwarzania danych i podstawy prawne
Wśród najczęstszych celów przetwarzania danych osobowych przez VVA, EROD wskazuje:
- realizacja żądań użytkowników
- ulepszenie VVA poprzez szkolenie modelu uczenia maszynowego i przeglądu przez człowieka oraz oznaczanie transkrypcji głosu
- identyfikacja użytkownika (za pomocą danych biometrycznych)
- profilowanie użytkownika w celu personalizacji treści lub reklam
- Wykonywanie żądań użytkowników
Głównym zastosowaniem VVA jest wydawanie komend głosowych. Kiedy osoba fizyczna podejmuje decyzję o korzystaniu z VVA, musi najpierw zarejestrować konto, aby aktywować VVA. Innymi słowy, ta sytuacja dotyczy stosunku umownego między zarejestrowanym użytkownikiem a administratorem VVA. W związku z tym wszelkie przetwarzanie danych osobowych, które jest niezbędne do realizacji żądania użytkownika, może opierać się na podstawie prawnej wykonania umowy. W szczególności takie przetwarzanie obejmuje przechwytywanie żądania głosowego użytkownika, jego transkrypcję na tekst, jego interpretację, informacje wymieniane ze źródłami wiedzy w celu przygotowania odpowiedzi,
a następnie transkrypcję do głosowej końcowej odpowiedzi, która kończy żądanie użytkownika.
W sytuacji, gdy w przypadku korzystania z VVA nie trzeba wcześniej konfigurować konta użytkownika w VVA, zgoda może być możliwą podstawą prawną takiego przetwarzania.
2. Ulepszenie VVA
EROD podkreśla, że wykonanie umowy nie będzie jednak podstawą prawną przetwarzania danych osobowych użytkownika, w sytuacji gdy użytkownik wydaje komendę głosową w ramach testów zmierzających do udoskonalenia funkcjonowania VVA. EROD wskazuje na interpelację użytkownika z VVA w celu poprawy jej funkcjonalności w oparciu o udzieloną przez użytkownika zgodę.
3. Identyfikacja użytkownika (za pomocą danych głosowych)
Wykorzystanie danych głosowych do identyfikacji użytkownika implikuje przetwarzanie danych biometrycznych. W konsekwencji administrator danych będzie musiał zidentyfikować użytkownika wyłącznie na podstawie art. 9 RODO. Spośród wyłączeń wymienionych w art. 9 ust. 1 RODO, jedynie wyraźna zgoda osób, których dane dotyczą będzie mieć zastosowanie do tego konkretnego celu.
Z technicznego punktu widzenia pojęcie identyfikacji należy odróżnić od weryfikacji (uwierzytelnienia). Identyfikacja jest wyszukiwaniem i porównaniem jeden do wielu (1: N) i zasadniczo wymaga bazy danych, w której poszukujemy użytkownika. Z drugiej strony przetwarzanie do celów weryfikacji to porównanie jeden do jednego (1: 1) i służy do weryfikacji i potwierdzenia przez porównanie, czy dana osoba jest tą samą osobą, od kogo pochodzą dane biometryczne.
4. Profilowanie użytkowników pod kątem spersonalizowanych treści lub reklam
Jeśli personalizacja ma miejsce w ramach stosunku umownego i jako część usługi wyraźnie żądanej przez użytkownika końcowego (a przetwarzanie jest ograniczone do tego, co jest bezwzględnie konieczne do świadczenia tej usługi), takie przetwarzanie może opierać się na art. 6 ust. 1 lit. b) RODO. Jeśli przetwarzanie nie jest ściśle „niezbędne do wykonania umowy” w rozumieniu art. 6 ust. 1 lit. b) RODO, dostawca VVA, co do zasady musi uzyskać zgodę osoby, której dane dotyczą na takie przetwarzanie.
Gdy przetwarzanie danych osobowych odbywa się na podstawie zgody, zgoda taka powinna być wyrażona w odniesieniu do jednego lub większej liczby określonych celów. Podmiot danych powinien mieć możliwość wyboru w zakresie udzielenia zgody na każdy odrębny cel przetwarzania.
Przetwarzanie danych dzieci
Dzieci mogą również wchodzić w interakcje z VVA lub tworzyć własne profile połączone z kontami dorosłych. Niektóre VVA są wbudowane w urządzenia, które są specjalnie przeznaczone dla dzieci. Gdy podstawą prawną przetwarzania jest wykonanie umowy, warunki przetwarzania danych dzieci będą zależeć od krajowych przepisów dotyczących umów. Gdy podstawą prawną przetwarzania jest zgoda, to zgodnie z art. 8 ust. 1 RODO, przetwarzanie danych dzieci jest zgodne z prawem tylko „w przypadku, gdy dziecko ma co najmniej 16 lat. Jeśli dziecko ma mniej niż 16 lat, takie przetwarzanie będzie zgodne z prawem tylko wtedy, gdy zgody udzielił rodzić lub opiekun prawny dziecka”.
Usuwanie danych z VVA:
Zgodnie z zasadą ograniczenia czasowego przechowywania danych RODO, VVA zdaniem EROD powinny przechowywać dane osobowe nie dłużej, niż jest to konieczne do celów, dla których dane osobowe zostały zebrane. Okresy przechowywania danych osobowych powinny być dopasowane do poszczególnych celów przetwarzania. Dostawcy usług lub strony trzecie świadczące usługi za pośrednictwem VVA powinni określić maksymalny okres przechowywania danych dla każdego zbioru danych i celu. Ustalając okres retencji danych osobowych, administratorzy danych powinni zadać sobie m.in. następujące pytania:
- Czy konieczne jest przechowywanie wszystkich nagrań głosowych lub wszystkich transkrypcji, aby osiągnąć cel X?
- Czy to jest konieczne do przechowywania danych głosowych po zapisaniu transkrypcji? W takim razie w jakim celu?
- Jak długo dane głosowe lub transkrypcje są potrzebne do realizacji poszczególnych celów?
Odpowiedzi na te i inne podobne pytania pozwolą określić okresy przechowywania danych osobowych, które powinny stanowić część informacji dostępnych dla osób, których dane dotyczą.
Bezpieczeństwo i uwierzytelnianie
Aby bezpiecznie przetwarzać dane osobowe, VVA powinny chronić ich poufność, integralność i dostępność. Bez kontroli dostępu każdy, kto może wydawać polecenia głosowe do VVA, może uzyskać dostęp, zmodyfikować lub usunąć dane osobowe dowolnego użytkownika.
Uwierzytelnianie użytkownika może opierać się na jednym lub kilku z następujących czynników: hasło, karta dostępu (token) lub odcisk palca lub głos. Uwierzytelnianie za pomocą hasła jest problematyczne, bowiem musi być ono wypowiadane na głos. Uwierzytelnianie przy użyciu czegoś, co posiada użytkownik, wymagałoby od dostawców usług VVA z kolei wyrobienia kart (tokenów). Uwierzytelnienie za to użytkownikiem, oznacza wykorzystanie danych biometrycznych dla celu jednoznacznej identyfikacji osoby fizycznej.
EROD zaleca udzielenie odpowiedzi na następujące pytania w ramach projektowania procesu uwierzytelniania użytkowników oraz stosowanie się do poniższych zaleceń:
- Czy aktywacja identyfikacji głosowej na jednym urządzeniu, automatycznie ją aktywuje na wszystkich innych urządzeniach z tym samym kontem?
- Czy aktywacja identyfikacji głosowej jest transferowana przez VVA do urządzeń należących do innych użytkowników?
- Gdzie są generowane, przechowywane i dopasowywane szablony biometryczne?
- Czy szablony biometryczne są dostępne dla dostawców VVA, programistów lub innych osób?
- Szablony biometryczne powinny być generowane i przechowywane wyłącznie na urządzeniu lokalnym, nie na zdalnych serwerach.
- Ze względu na wrażliwość znaków głosowych należy stosować takie normy jak ISO / IEC 24745 oraz odpowiednie techniki ochrony szablonów biometrycznych.
- Dostawcy VVA powinni zadbać, aby identyfikacja była wystarczająco dokładna, aby wiarygodnie powiązać dane osobowe z szablonu do konkretnego podmiotu danych.
Ograniczenie nagrywania osób postronnych
Aby uniknąć nagrywania głosów w tle i informacji sytuacyjnych, zdaniem EROD dostawcy VVA powinni stosować automatyczne filtrowanie szumów tła. Projektanci VVA powinni korzystać z technologii usuwania szumów tła i zapewniających nagrywanie tylko głosu użytkowników.
Mechanizmy wykonywania praw przewidzianych w RODO
EROD wskazuje , że zgodnie z RODO administratorzy danych świadczący usługi VVA muszą umożliwić wszystkim użytkownikom, zarejestrowanym i niezarejestrowanym skorzystanie z praw przewidzianych przez RODO.
Dostawcy i programiści VVA powinni ułatwiać osobom, których dane dotyczą, kontrolę nad swoimi danymi przez cały okres przetwarzania, w szczególności umożliwić im prawo dostępu, sprostowania, usunięcia, prawo do ograniczenia przetwarzania oraz, w zależności od podstawy prawnej przetwarzania, prawo do przenoszenia danych oraz prawo wniesienia sprzeciwu. Administrator danych powinien udzielić informacji o ww. prawach w momencie gdy podmiot danych włączy VVA, a najpóźniej w momencie, gdy użytkownik nawiąże kontakt głosowy z VVA.
Biorąc pod uwagę, że głównym środkiem interakcji w przypadku VVA jest głos, projektanci VVA powinni zapewnić aby użytkownicy (zarejestrowani oraz niezarejestrowani) mogli skorzystać z przysługujących im praw za pomocą poleceń głosowych.
Zgodnie z art. 12 ust. 1 RODO, komunikacja w zakresie art. 15 RODO powinna odbywać się na piśmie lub w inny sposób, w tym, w stosownych przypadkach drogą elektroniczną. Jeśli chodzi o dostęp do danych osobowych podlegających przetwarzaniu, art. 15 ust. 3 stanowi, że tam, gdzie podmiot zgłasza żądanie drogą elektroniczną, informacje należy przekazać w powszechnie używanej formie elektronicznej, chyba że wskaże na inny sposób.
Osoba, której dane dotyczą, nie powinna być zobowiązana do zakupu określonego oprogramowania lub sprzętu w celu uzyskania dostępu do informacji. Na żądanie podmiotu danych administratorzy danych powinni zatem przesłać kopię danych osobowych oraz dane dźwiękowe (w tym nagrania głosowe i transkrypcje) w formacie czytelnym dla osoby, której dane dotyczą.
Projektant VVA powinien je stworzyć w taki sposób, aby w łatwy sposób możliwe było skorzystanie również z pozostałych praw przewidzianych w RODO, o których mowa powyżej.
Oryginalną wersję wytycznych znajdziecie Państwo pod adresem:
Opracował: Piotr Stankiewicz