Teisinis stebėjimas Nr. 59 – 2023 m. gegužės mėn.

Meta sankcija: 1,2 milijardo eurų... o kas toliau?

Airijos valdžios institucijos gegužės 12 d. „Facebook“ patronuojančiai bendrovei „Meta“ skirta bauda yra didžiausia duomenų apsaugos institucijos skirta bauda nuo BDAR įsigaliojimo, tuo metu, kai reglamentas švenčia penktuosius taikymo metus.

Šio sprendimo esmė slypi tame, „Facebook“ perduoda savo Europos vartotojų duomenis į Jungtines Valstijas – šalį, kuri nebelaikoma užtikrinančia tinkamą apsaugos lygį. nuo 2020 m. liepos 16 d. Europos Sąjungos Teisingumo Teismo sprendimo (sprendimas byloje Schrems II).

Ši nauja sankcija taip pat yra duomenų apsaugos institucijų bendradarbiavimo simbolis, nes Airijos institucijos sprendimas yra ilgos ir sunkios procedūros rezultatas, jau nekalbant apie ginčus su Europos kolegomis.

Todėl APD buvo priversta išplėsti savo sprendimo taikymo sritį ir skirti didelę baudą.

Pasak skundą inicijavusio nevyriausybinės organizacijos NOYB ir jos prezidento Maxo Schremso, nebūtinai yra kuo džiaugtis.

Procedūra truko trejus metus, jos metu nacionalinė institucija sistemingai blokavo procesą įvairiuose etapuose, ir dėl to teko patirti daugiau nei dešimties milijonų eurų teisinių išlaidų... dėl baudos, kuri atiteks Airijos valstybei.

 

Kokios konkrečios pasekmės Metai?

Sprendime numatytas įgyvendinimo laikotarpis: bendrovė turi laiko iki spalio vidurio nutraukti savo vartotojų duomenų perdavimą į Jungtines Valstijas.

Ji taip pat privalo iki lapkričio vidurio ištrinti visus duomenis, jau perkeltus iš savo JAV duomenų centrų.

Nors bendrovė grasino nutraukti paslaugų teikimą Europoje, šio pranešimo tikimybė abejotina, nes Europa yra didžiausias jos pajamų šaltinis po Jungtinių Valstijų, o keli duomenų centrai yra įsikūrę Europos teritorijoje.

Bendrovė paskelbė, kad pateiks nacionalinį apeliacinį skundą prieš Airijos valdžios instituciją ir sieks sustabdyti nutarties galiojimą, kol bus baigtos teisminės procedūros.

„Meta“ tikriausiai tikisi laimėti laiko, tikėdamasi, kad iki rudens bus sudarytas naujas transatlantinis susitarimas, kuriuo bus įteisintas duomenų perdavimas į Jungtines Valstijas.

Tačiau reikėtų nepamiršti, viena vertus, kad naujas susitarimas neįteisins ankstesnių perdavimų ir jau įrodytų įstatymų pažeidimų, kita vertus, kad kartelė, susijusi su būsimu transatlantiniu susitarimu, yra aukšta.

Dabartinis projektas jau sulaukė griežtos Europos Parlamento kritikos ir neaišku, ar jis atlaikys Europos Sąjungos Teisingumo Teismo (ESTT) patikrinimą.

 

Poveikis GAFAM ir duomenų valdytojams apskritai

JAV stebėjimo įstatymai, kuriais grindžiami Airijos valdžios institucijos, Europos duomenų apsaugos valdyba ir Europos Sąjungos Teisingumo Teismas, kelia problemų visiems pagrindiniams JAV debesijos paslaugų teikėjams, tokiems kaip „Microsoft“, „Google“ ar „Amazon“.

Reikėtų pažymėti, kad atitinkamas JAV stebėjimo įstatymas (FISA 702) turi būti iš naujo patvirtintas iki 2023 m. gruodžio mėn.

Nors kelios Europos priežiūros institucijos jau yra nusprendusios, kad Amerikos paslaugų, susijusių su duomenų perdavimu, naudojimas yra neteisėtas, jų sprendimai nebuvo lydimi tokios didelės baudos, kokia buvo skirta „Meta“.

Tai galėtų paskatinti didžiąsias Amerikos technologijų bendroves ir visus tuos, kurie naudojasi amerikietiškos kilmės „debesų kompiuterijos“ paslaugomis, peržiūrėti savo praktiką ir atlikti bent jau duomenų perdavimų poveikio analizę.

 

Vis dėlto duomenų apsaugos institucijos, taikydamos BDAR, vis tiek turėtų būti pakankamai atgrasančios.

Dabar jie kritikuojami dėl neefektyvumo, kaip matyti iš neseniai paskelbtos Airijos pilietinių laisvių tarybos (ICCL) ataskaitos.

Jo analizė rodo, kad BDAR retai taikomas prieš didžiąsias technologijų bendroves.

Nedaug svarbių Europos bylų būtų lėmusios rimtas vykdymo užtikrinimo priemones: „EDAV galutinių sprendimų registras rodo, kad dauguma (64 %) iš 159 vykdymo užtikrinimo priemonių, imtųsi 2022 m. pabaigoje, buvo tik papeikimai.“

Tyrime nieko keisto, kad kaltinama Airijos duomenų apsaugos komisija, nes 75 šios institucijos sprendimai dėl ES bylų buvo panaikinti Europos duomenų apsaugos valdybos balsų dauguma.

Teisinių gynimo priemonių kontekstas keičiasi siekiant geresnės asmenų apsaugos: šią vasarą turėtų įsigalioti Europos direktyva dėl kolektyvinių teisių gynimo priemonių, kuri suteiks Europos vartotojams papildomą teisių gynimo būdą, leisdama jiems pareikšti kolektyvinius ieškinius BDAR pažeidimo atveju visoje Europos Sąjungoje.

Nyderlanduose, kur jau leidžiama taikyti tokio tipo teisių gynimo priemones, daugėja teisinių bylų.

Nyderlandų vartotojų teisių organizacija „Consumentenbond“ šiuo metu suburia olandų „Facebook“ vartotojus, kad šie pateiktų skundą dėl duomenų perdavimo tarp Europos Sąjungos ir Jungtinių Valstijų.

Galiausiai, neseniai ESTT (Österreichische Post AG) priimtas sprendimas atvėrė kelią „nedideles pretenzijas“ dėl privatumo pažeidimų, patvirtindamas, kad moralinės žalos sunkumo riba nėra būtina, o tai leistų vartotojams reikalauti žalos atlyginimo už pažeidimus, susijusius, pavyzdžiui, su masiniu Jungtinių Valstijų stebėjimu.

Dėl to būtų pareikalauta kompensacijų, kurios gerokai viršytų dabartines baudas.

 

Ir taip pat

     

• Gegužės 16 d. CNIL paskelbė veiksmų planą, skirtą dirbtinio intelekto sistemų, kurios gerbia asmenų privatumą, diegimui.

Ji ketina išplėsti savo darbą su papildytomis kameromis ir išplės savo darbą, įtraukdama generatyvinį dirbtinį intelektą ir didelius kalbos modelius (LLM), taip pat išvestines programas (įskaitant pokalbių robotus).

Šis darbas taip pat padės pasirengti Europos dirbtinio intelekto reglamento projekto įsigaliojimui.

• CNIL skyrė bendrovei „DOCTISSIMO“ 380 000 eurų baudą.

Komisija atkreipė dėmesį į keletą BDAR trūkumų, ypač susijusių su duomenų saugojimo laikotarpiais, sveikatos duomenų rinkimu atliekant internetinius testus, duomenų saugumu ir slapukų diegimo naudotojų įrenginiuose metodais.

• CNIL savo 2022 m. veiklos ataskaitą paskelbė gegužės 23 d.

Jame išvardijami svarbiausi praėjusių metų įvykiai, įskaitant paramos įmonėms ir administracijoms stiprinimą, visuomenės informavimo kampanijas ir skaitmeninį jaunimo švietimą, skundų nagrinėjimą ir represinius veiksmus.

• Valstybės Taryba internete paskelbė 2023 m. vasario 10 d. kartu su CNIL ir „Alliance IHU France“ organizuotų diskusijų, kurių tema „Dirbtinis intelektas ir didieji duomenys: kaip jie pakeis rytojaus medicinos tyrimus ir praktiką, įrašą.

Tai buvo priimta po 2022 m. rugpjūčio mėn. Valstybės tarybos tyrimo „Dirbtinis intelektas ir viešieji veiksmai“.

• 2023 m. balandžio 23 d. nutartyje Paryžiaus apeliacinis teismas nusprendė, kad „WhatsApp“ žinutės, siunčiamos tomis pačiomis sąlygomis, turėtų būti traktuojamos kaip SMS žinutės.

Ginčo tarp bendrovės ir buvusių darbuotojų kontekste teismas nusprendė, kad darbdavys gali pasiekti nenurodytas „asmenines“ žinutes iš „WhatsApp“ grupės buvusių darbuotojų darbo telefonuose.

 

Europos institucijos ir įstaigos

• BDAR švenčiant penktąsias metines, daugybė tyrimų pateikia prieštaringą jo įgyvendinimo vertinimą.

NVO „noyb“ šia tema skelbia 800 BDAR bylų, kurias ji per pastaruosius penkerius metus pateikė duomenų apsaugos institucijoms (DAI), apžvalgą, iš kurių 86 % vis dar laukia sprendimo.

NVO nustatė daugiau nei 60 procedūrinių problemų, kurios trukdo taikyti BDAR.

Nors „Meta“ skirta bauda patenka į antraštes, NVO mano, kad duomenų apsaugos institucijos paprastai laiku netaiko BDAR.

• „Future of Privacy Forum“ (FPF) atliktas vertinimas rodo, kad didžiausios baudos skirtos už BDAR 25 straipsnio, susijusio su „privatumo užtikrinimu per projektavimą“, pažeidimus.

Tyrimas pagrįstas daugiau nei 90 atvejų ir jame paaiškinama, kad „kai kurios duomenų apsaugos institucijos taiko 25 straipsnį prieš įvykstant kitiems BDAR pažeidimams arba net prieš atliekant numatytą duomenų tvarkymą“.

• Europos duomenų apsaugos valdyba (EDPB) ką tik savo pirmininke išrinko Suomijos duomenų apsaugos komisarę Anu Talus.

Naujasis prezidentas pakeis kadenciją baigiančią pirmininkę Andrea Jelinek ir penkerius metus prižiūrės komiteto darbą.

• Europos duomenų apsaugos valdyba (EDAV) skelbia bylų, susijusių su teise nesutikti ir teise ištrinti duomenis pagal BDAR 17 straipsnį, rinkinį. Joje nagrinėjami keli pavyzdiniai sprendimai iš jos viešojo registro.
• IAB Europe „Skaidrumo ir sutikimo sistemos“ valdymo grupė paskelbė savo referencinės sistemos 2.2 versiją.

Pagrindiniai pakeitimai apima teisėto intereso teisinio pagrindo, skirto suasmenintai reklamai ir turiniui, panaikinimą, galutiniams vartotojams teikiamos informacijos gerinimą ir reikalavimą paslaugų teikėjams pateikti papildomos informacijos apie savo duomenų tvarkymo veiklą.

• 30 Europoje įsikūrusių IT ir kibernetinio saugumo ekspertų grupė parašė atvirą laišką ES vadovams.

Jie reiškia susirūpinimą dėl rimtos rizikos, kurią Europos Komisijos siūlomas reglamentas dėl vaikų seksualinės prievartos kelia visų komunikacijų konfidencialumui ir saugumui, taip pat bendrai interneto ir informacijos ekosistemos būklei.

 

Naujienos iš Europos šalių narių.

• Vokietijos federalinė duomenų apsaugos tarnyba (BfDI) patvirtino, kad technologinių pokyčių, tokių kaip generatyvinis dirbtinis intelektas, peržiūra duomenų apsaugos požiūriu yra jos kompetencijos dalis.
• Danijos duomenų apsaugos institucija papeikė duomenų valdytoją už tai, kad šis dalijosi asmens duomenimis su „Meta Ireland“ prieš tai neįsitikinęs, kad pastaroji, perduodama duomenis į „Meta“ platformas Jungtinėse Valstijose, laikosi BDAR.
• Po didelio atgarsio sulaukusio duomenų saugumo pažeidimo skandalo ir gavusi NVO „noyb“ skundą, Maltos duomenų apsaugos tarnyba (DPA) įpareigojo „C-Planet“ patenkinti prašymą dėl prieigos prie duomenų ir atskleisti turimų asmens duomenų šaltinį. Šiuo atveju duomenys buvo paviešinti dėl pažeidimo, susijusio su 335 000 salos rinkėjų politinėmis pažiūromis.
• Nyderlandų vartotojų sąjunga pateikė kolektyvinį ieškinį prieš „Google“ dėl vartotojų buvimo vietos, naršymo internete ir programėlių naudojimo stebėjimo be galiojančio sutikimo. Tikimasi, kad „Google“ atlygins visiems vartotojams, kurie naudojosi jos paslaugomis nuo 2012 m. kovo 1 d.
• Belgijos duomenų apsaugos tarnyba (APD) uždraudė perduoti Belgijoje gyvenančių JAV piliečių mokesčių duomenis Jungtinėms Valstijoms. Pasak APD, FATCA susitarimas, leidžiantis tokius perdavimus, neatitinka BDAR, todėl Belgijos mokesčių administratorius turėjo atlikti poveikio vertinimą.
• Norvegijos privatumo apeliacijų taryba nustatė, kad automobilių nuomos platforma turi teisinį pagrindą pagal BDAR 6(1)(f) straipsnį įvertinti duomenų subjekto kreditingumą, siekiant sumažinti įmonės finansinę riziką.
• Gavusi anoniminį skundą prieš skolų išieškojimo agentūrą, Kroatijos duomenų apsaugos tarnyba (APD) skyrė 2 265 000 eurų baudą už saugumo priemonių trūkumą, sutikimo trūkumą ir duomenų valdytojo prievolės teikti informaciją pažeidimą.
• Gavusi skundą, Austrijos duomenų apsaugos tarnyba (APD) 2023 m. gegužės 10 d. priėmė sprendimą prieš veido atpažinimo bendrovę „Clearview AI“. Sprendime buvo nustatyti BDAR (5, 6 ir 9 straipsnių) pažeidimai, nurodyta duomenų valdytojui ištrinti skundo pateikėjo duomenis ir pagal reglamento 27 straipsnį paskirti atstovą Austrijoje.
• Gegužės 15 d. Informacijos komisaro biuras (ICO) skyrė „TikTok“ 12 700 000 svarų sterlingų baudą už daugybę duomenų apsaugos teisės aktų pažeidimų, įskaitant neteisėtą vaikų asmens duomenų naudojimą.

 

• Profesionaliame kontekste vis labiau linkstama naudoti dirbtinį intelektą. Pavyzdžiui, vienas amerikiečių teisininkas naudojo „ChatGPT“, kad surastų teisinius dokumentus teismo santraukai, ir mažiausiai šešios iš nurodytų bylų neegzistavo – tai tipiškas dirbtinio intelekto haliucinacijos atvejis, kai pokalbių robotas išgalvoja informaciją.

Bylai pirmininkavęs teisėjas rašė: „Teismas susidūrė su precedento neturinčia situacija. Ieškovo advokato pateiktame pareiškime, kuriuo prieštaraujama prašymui nutraukti bylą, gausu nuorodų į neegzistuojančias bylas.“ Advokatas atsiprašė ir dabar jam gresia drausminės nuobaudos skyrimo posėdis.

• Gegužės 16 d. „OpenAI“ generalinis direktorius Samas Altmanas liudijo JAV Kongrese.

Pripažinęs, kad dirbtinis intelektas gali „suklysti“, ir pareiškęs norą bendradarbiauti su vyriausybe, kad to išvengtų, jis pakoregavo savo pastabas: „ChatGPT“ kūrėjas mano, kad svarbu leisti įmonėms ir atvirojo kodo projektams kurti tam tikrus modelius „žemiau reikšmingos pajėgumų ribos“, be griežto reguliavimo ar mechanizmų, tokių kaip licencijos ar auditai.

• Gegužės 23 d. JAV Kongresas paskelbė ataskaitą pavadinimu „Generacinis dirbtinis intelektas ir duomenų privatumas: įvadas“: ataskaitoje daugiausia dėmesio skiriama Kongresui aktualiems privatumo klausimams ir politikos aspektams.
• Taip pat dirbtinio intelekto srityje Elektroninio privatumo informacijos centras (EPIC) paskelbė ataskaitą pavadinimu „Žalos generavimas – generatyvinio dirbtinio intelekto poveikis ir tolesni keliai“. Dokumente panaikinamas atotrūkis tarp privatumo ir dirbtinio intelekto sričių galimos žalos požiūriu.
• Jungtinių Valstijų federalinė prekybos komisija paskelbė politikos pareiškimą dėl biometrinės informacijos rinkimo, kuris neliko nepastebėtas.

Agentūra teigia, kad panaudos savo patirtį nesąžiningos praktikos srityje, kad patrauktų baudžiamojon atsakomybėn už žalingą biometrinės informacijos tvarkymą, ir kuria plačią biometrinių duomenų interpretaciją, įskaitant tokius duomenis kaip veido nuotrauka, net jei ji nėra tvarkoma siekiant nustatyti atitinkamo asmens tapatybę.

• Gegužės 18 d. Vašingtono valstijos generalinis prokuroras paskelbė, kad „Google“ sumokės valstijai 39,9 mln. JAV dolerių už klaidinantį geolokacijos metodą.

„Google“ taip pat įgyvendins keletą reformų, siekdama padidinti savo geolokacijos nustatymų skaidrumą.

• Europos Komisija, bendradarbiaudama su ASEAN (Pietryčių Azijos valstybių asociacija), paskelbė asmens duomenų perdavimo vadovą, naudojant abiejų organizacijų priimtas standartines sutarčių sąlygas.

Vadovas bus išleistas dviem dalimis: „Nuoroda“, kurioje palyginami ASEAN CMC ir ES CSC, ir „Įgyvendinimo vadovas“, kuriame aprašoma geriausia įmonių, atitinkančių abiejų sutarčių sąlygų reikalavimus, praktika.

• Ibero-Amerikos duomenų apsaugos institucijų tinklas („RIPD“) gegužės 8 d. paskelbė, kad koordinuos tyrimą dėl „ChatGPT“.
• 2023 m. balandžio 11 d. Kinijos kibernetinės erdvės administracija (CAC) paskelbė generatyvinių dirbtinio intelekto paslaugų administracinių priemonių projektą („DI priemonių projektas“).

Šis projektas atitiktų bendrą Kinijos požiūrį į duomenų reguliavimą, kibernetinį saugumą ir internetinį turinį, kuriame didelis dėmesys skiriamas politinės ir socialinės tvarkos palaikymui.

CAC gegužės 30 d. taip pat paskelbė gaires dėl standartinių asmens duomenų eksporto sutarčių registracijos.

• Gegužės 23 d. Pakistano informacinių technologijų ir telekomunikacijų ministerija baigė rengti asmens duomenų apsaugos įstatymo projektą.

Jis įsigalios ne vėliau kaip po dvejų metų nuo jo paskelbimo datos, atsižvelgiant į tai, ką nustatys federalinė vyriausybė.

• Brazilijos valdžia nurodė blokuoti plačiai Brazilijoje naudojamą programėlę „Telegram“, teigdama, kad ji nepakankamai bendradarbiauja vykstančiame tyrime dėl neonacių grupuočių.

Teismas įpareigojo „Telegram“ mokėti maždaug 200 000 eurų baudą per dieną už šios informacijos nepateikimą. Paraiškoje buvo pateikta tik dalis reikiamos informacijos.