Teisinis stebėjimas Nr. 62 – 2023 m. rugpjūčio mėn.

DMA, DSA: nauji technologijų gigantų įsipareigojimai.

Rugsėjo pradžioje plečiama internetinių vartotojų teisių apsauga – pagrindinėms platformoms pradėtas taikyti Skaitmeninių paslaugų įstatymas ir paskelbtas įmonių, kurioms taikomas Skaitmeninių rinkų įstatymas, sąrašas.

• Nuo rugpjūčio 25 d. Europos skaitmeninių paslaugų reglamentas (DSA) taikomas labai didelėms internetinėms platformoms (VLOP) ir labai didelėms internetinėms paieškos sistemoms (VLOSE).

Reglamentas taip pat bus taikomas nuo 2024 m. vasario 17 d. visiems tarpininkams, siūlantiems savo paslaugas ES įsikūrusiems vartotojams, įskaitant internetines platformas, tokias kaip programėlių parduotuvės, bendradarbiaujančios ekonomikos platformos ir socialinės žiniasklaidos platformos, o jų įpareigojimai bus riboti.

MVĮ ir labai mažoms įmonėms numatytos papildomos išimtys.

Remiantis balandžio 25 d. Europos Komisijos sprendimu, VLOP ir VLOSE kategorijoms priskiriamos devyniolika bendrovių, įskaitant „TikTok“, „Facebook“, „X“, „Snapchat“, „YouTube“ ir „Google Search“, įtakingas internetines mažmenininkes, tokias kaip „Amazon“ ir „Zalando“, bei dvi pagrindines internetines paieškos sistemas – „Bing“ ir „Google Search“.

Šios įmonės turės laikytis tam tikrų įsipareigojimų, susijusių su skaidrumu, nepilnamečių apsauga, turinio moderavimu ir pagarba privatumui.

Visų pirma, jiems reikės nustatyti ir įvertinti sisteminę riziką, kylančią dėl jų paslaugų, įskaitant algoritmines sistemas, tokias kaip:

• Neteisėto turinio platinimas
• Neigiamas poveikis pagrindinių teisių įgyvendinimui
• Neigiamas poveikis pilietiniam diskursui ir rinkimų procesams;
• Neigiamas poveikis smurtui dėl lyties, visuomenės sveikatos apsaugai ir nepilnamečiams;
• Rimtos neigiamos pasekmės žmogaus fizinei ir psichinei gerovei.

Keletas DSA įsipareigojimų sutampa su BDAR įsipareigojimais. Jie išvardyti neseniai paskelbtame „Future of Privacy Forum“ straipsnyje.

Pavyzdžiui, yra panašių arba papildomų įpareigojimų dėl „tamsių šablonų“, tikslinės reklamos, pagrįstos jautriais duomenimis arba susijusios su nepilnamečiais, skaidrumo, profiliavimo, rizikos analizės ir neteisėto turinio pašalinimo.

Kontrolės procedūros yra sudėtingos ir gali prieštarauti BDAR procedūroms: kitaip nei pastaroji, kuri užtikrina reguliavimą daugiausia nacionaliniu lygmeniu, o tarpvalstybiniais atvejais koordinuoja Europos duomenų apsaugos valdyba, DSA centralizuoja VLOP ir VLOSE kontrolę ES lygmeniu, o valstybėms narėms suteikia atsakomybę už kitus tarpinius paslaugų teikėjus.

Tikėkimės, kad bus užtikrintas šių skirtingų įstaigų koordinavimas, siekiant padėti tiek susijusioms įmonėms, tiek asmenims, norintiems imtis teisinių veiksmų.

• Nors Skaitmeninių rinkų įstatymas galioja nuo gegužės mėnesio, rugsėjo 6 d. Komisija paskelbė šešių technologijų gigantų, „vartininkų“, kurie turės laikytis šio įstatymo principų, sąrašą. Tai „Alphabet“, „Amazon“, „Apple“, „ByteDance“, „Meta“ ir „Microsoft“.

Komisija nurodo, kad paveiktos iš viso 22 pagrindinės platformos paslaugos, kurias teikia šie šeši globėjai.

Pagrindinis tikslas – užkirsti kelią šioms įmonėms pasinaudoti savo dominuojančia padėtimi.

Taigi, tekstas draudžia savireferencijas arba įpareigoja profesionalius vartotojus naudoti tik atitinkamos įmonės paslaugas ar produktus.

Vartininkai taip pat negali uždrausti verslo vartotojams siūlyti ir reklamuoti konkuruojančių paslaugų ir privalo su jais dalytis informacija, gauta naudojantis jų platforma.

Taip pat planuojami konkretūs sąveikumo reikalavimai internetinių pranešimų paslaugoms ir operacinių sistemų, naršyklių, paieškos sistemų bei virtualių asistentų parinktims.

Be to, „vartininkams“ draudžiama sekti ir profiliuoti naudotojus reklamos tikslais, nebent jie gauna jų sutikimą, ir neleisti jiems pašalinti iš anksto įdiegtų programų.

Todėl kai kurie iš šių įpareigojimų sustiprina DSA numatytus įpareigojimus vartotojų apsaugos srityje, ypač profiliavimo srityje.

Kelios įmonės, tokios kaip „TikTok“, „Meta“ ir „Google“, jau pakeitė savo paslaugų teikimo sąlygas.

DSA ir DMA numatytos baudos gali siekti atitinkamai 6% ir 10% atitinkamų bendrovių apyvartos.

Pakartotinių DMA pažeidimų atveju bauda gali siekti 20% apyvartos...

Sumos, viršijančios BDAR numatytą 4%, kurias teisės aktų leidėjas jau reglamento priėmimo metu pateikė kaip atgrasomąsias.

 

Ir taip pat

• CNIL rengia rekomendacijos dėl sistemų, kurioms kyla didelis pavojus saugumo pažeidimo atveju, projektą ir pradeda viešas konsultacijas.

Jo tikslas – sujungti visas pažangias saugumo praktikas į vieną dokumentą, kuris būtų konkrečiai skirtas vadinamajam „kritiniam“ apdorojimui, apibrėžtam pagal šiuos du kaupiamuosius kriterijus:

• Tvarkymas yra didelio masto, kaip apibrėžta BDAR;
• Asmens duomenų saugumo pažeidimas gali turėti labai reikšmingų pasekmių atitinkamiems asmenims, nacionaliniam saugumui ar visai visuomenei.

Konsultacijoje galima dalyvauti iki 2023 m. spalio 8 d.

• Rugpjūčio 8 d. CNIL paskelbė informacinį pranešimą apie prijungtus švyturėlius, kad padėtų visiems, kurie tapo netinkamo naudojimo ar neteisėto naudojimo aukomis, apsisaugoti.

Šios žymos, leidžiančios surasti objektus (pavyzdžiui, raktus ar piniginę), kartais naudojamos žmonėms surasti be jų žinios.

• Rugpjūčio 23 d. „Pôle emploi“ paskelbė, kad po „kibernetinės kenkėjiškos akto“ buvo pavogti maždaug dešimties milijonų jos bylose užregistruotų žmonių asmens duomenys.

Šie duomenys buvo perduoti bendrovei „Majorel“, atsakingai už darbo ieškančiųjų siunčiamų dokumentų skaitmeninimą.

Gali būti paveiktas vardas ir pavardė, dabartinis arba buvęs darbo ieškančiojo statusas ir socialinio draudimo numeris.

Tačiau „el. pašto adresai, telefono numeriai, slaptažodžiai ir banko duomenys“ nebuvo nutekėti.

 

Europos institucijos ir įstaigos

• Spalio 11 d. Europos Sąjungos kibernetinio saugumo agentūra (ENISA), bendradarbiaudama su Europos Komisija, organizuoja Patikimumo paslaugų ir elektroninės tapatybės forumą, siekdama stebėti teisinės aplinkos, Europos skaitmeninės piniginės ir piliečių veiklos internete apsaugos pokyčius visoje ES.

ENISA taip pat skelbia išmaniųjų telefonų gaires: „SMASHING – Smartphone Secure development Guidelines“.

Įrankis pateikia priemonių žemėlapį išmaniųjų telefonų programėlių kūrėjams, skirtą užtikrinti saugių mobiliųjų programėlių kūrimą.

• Europos telekomunikacijų standartų institutas (ETSI) paskelbė ataskaitą „Dirbtinio intelekto (DAI) apsauga; Automatinis multimedijos tapatybės reprezentacijų manipuliavimas“.

Dokumente aptariami dirbtiniu intelektu pagrįsti metodai, skirti automatiškai manipuliuoti esamais tapatybės duomenimis arba kurti netikrus tapatybės duomenis, pateikiamus įvairiais medijos formatais, pvz., garso, vaizdo ir teksto (angl. deepfake).

Jame aprašomi skirtingi techniniai metodai ir analizuojamos giliųjų klastočių keliamos grėsmės skirtinguose atakų scenarijuose.

Tada jis siūlo technines ir organizacines priemones šioms grėsmėms sušvelninti ir nagrinėja jų veiksmingumą bei apribojimus.

• Įgyvendindama savo 2023 m. audito programą, EDAV daugiausia dėmesio skiria duomenų apsaugos pareigūnų vaidmeniui.

Liepos 31 d. IAPP paskelbtame straipsnyje išvardyti Europos duomenų apsaugos institucijų sprendimai dėl duomenų apsaugos pareigūnų paskyrimo ir įgūdžių.

• „Google“ priklausanti „Fitbit“ susiduria su skundais dėl privatumo Europos Sąjungoje, teigdama, kad bendrovė neteisėtai eksportuoja vartotojų duomenis, pažeisdama ES duomenų apsaugos taisykles.

Skundai nukreipti prieš „Fitbit“ teiginį, kad vartotojai sutiko su tarptautiniu jų informacijos perdavimu – į Jungtines Valstijas ir kitur, – o nevyriausybinė organizacija NOYB teigia, kad bendrovė verčia vartotojus duoti savo sutikimą.

 

Naujienos iš Europos šalių narių.

• Nyderlanduose Duomenų apsaugos tarnybos (DPA) rugsėjo 1 d. pateiktoje pradinėje ataskaitoje raginama imtis papildomų priemonių su algoritmais ir dirbtiniu intelektu susijusiai rizikai kontroliuoti, numatant būsimus Europos teisės aktus.

Siekdamos geriau juos kontroliuoti, valdžios institucijos ir įmonės turi susidurti su dviem iššūkiais.

Pirma, rizika, susijusi su sparčia dirbtinio intelekto inovacijų, tokių kaip išmanieji pokalbių robotai, integracija į visuomenę.

Antra, ataskaitoje pabrėžiama, kad visos pagrindinės Nyderlandų viešosios ir privačios institucijos turi suprasti, kaip jos naudoja didelės rizikos algoritmus, kurie daro didelę įtaką asmenų gyvenimui. Ataskaitoje išvardijami įgyvendintini veiksmai.

• Ispanijos duomenų apsaugos tarnyba (APD) skyrė 20 000 eurų baudą žiniasklaidos bendrovei už tai, kad ši paskelbė nuotrauką, darytą iš asmens privataus „Instagram“ profilio, ir paskelbė ją tinklaraštyje su asmens vardu ir amžiumi, pažeisdama BDAR 6(1) straipsnį.

Taip pat bendrovei „Fourth Party Logistics SL“ buvo skirta 120 000 eurų bauda (sumažinta iki 72 000 eurų) už neteisėtą subrangos sutarčių sudarymą dėl sutarčių neįforminimo ir išankstinių leidimų įforminimui nebuvimo.

• Kroatijoje viešojoje „Facebook“ grupėje po vaizdo įrašu, kuriuo buvo pasidalinta, buvo paskelbta nuotrauka, kurioje matyti policijos pareigūnas.

APD nustatė BDAR 5(1)(b) straipsnio ir 6(1) straipsnio pažeidimą ir nurodė pašalinti nuotrauką.

• Panašiu atveju Kipro duomenų apsaugos institucija skyrė 7000 eurų baudą vietos laikraščiui už BDAR 5(1)(c) straipsnio ir 6 straipsnio pažeidimą: laikraštis paskelbė budinčių policijos pareigūnų vardus ir nuotraukas.
• Vykdydamos bendrą tyrimą, Baltijos šalių duomenų apsaugos institucijos atliko automobilių nuomos bendrovės auditą ir skyrė sankcijas.

Apskaičiuodama baudą, Latvijos duomenų apsaugos tarnyba kaip sunkinančią aplinkybę atkreipė dėmesį į visišką duomenų valdytojo bendradarbiavimo stoką.

Iš pradžių ji manė, kad 15 000 eurų bauda yra tinkama. Tačiau, atsižvelgdama į duomenų valdytojo patiriamus finansinius sunkumus ir didelę nemokumo riziką, galiausiai ji sumažino baudą iki 1 000 eurų.

• Naujasis Šveicarijos federalinis duomenų apsaugos įstatymas įsigaliojo rugsėjo 1 d.

Tarp naujųjų nuostatų, įkvėptų BDAR, yra poveikio vertinimai, susiję su jautrių duomenų tvarkymu, tvarkymo veiklos įrašais, duomenų apsaugos pareigūno (DAP) skyrimu ir pranešimu apie duomenų saugumo pažeidimus. Dabar aiškiai paminėta „privatumo užtikrinimo projektuojant“ koncepcija.

 

• Rugpjūčio 24 d. dvylika tarptautinių duomenų apsaugos ir privatumo reguliavimo institucijų iš Amerikos, Europos, Afrikos ir Azijos bei Ramiojo vandenyno regiono paskelbė, kad tikisi, jog socialinės žiniasklaidos platformos ir kitos svetainės apsaugos save nuo neteisėto duomenų išgavimo („žiniatinklio duomenų išgavimo“).

Šis pranešimas pakartoja ankstesnius reguliavimo institucijų, tokių kaip Australijos informacijos komisija, CNIL ir JK informacijos komisaro biuras, patarimus, pateiktus po tyrimų dėl „Clearview AI, Inc.“ asmeninės informacijos tvarkymo praktikos ir duomenų saugumo pažeidimo pranešimo įsipareigojimų.

• Jungtinėse Valstijose Kibernetinio saugumo ir infrastruktūros saugumo agentūra („CISA“), Nacionalinė saugumo agentūra („NSA“) ir Nacionalinis standartų ir technologijų institutas („NIST“) rugpjūčio 21 d. paskelbė bendrą informacinį lapelį apie pasirengimą kvantiniams skaičiavimams, kad įspėtų organizacijas, ypač tas, kurios remia infrastruktūros sektorius.

kritiką – dėl kvantinių skaičiavimų keliamų grėsmių ir paskatinti šias organizacijas pradėti planuoti būsimą perėjimą prie postkvantinių kriptografinių standartų („PQC“).

• JAV vyriausybė pradeda „Cyber Trust Mark“ – savo programą, skirtą daiktų interneto saugumui ženklinti.
• Jungtinėse Valstijose duomenų nutekėjimas taip pat paveikė „Tesla“: paveikta 75 000 žmonių.

Du buvę „Tesla“ darbuotojai laikraščiui „Handelsblatt“ pateikė asmeninę informaciją ir kontaktinius duomenis, susijusius su kitais darbuotojais.

Bendrovė pranešė Meino generaliniam prokurorui apie saugumo pažeidimą ir pasiūlė nukentėjusiesiems tapatybės vagystės apsaugos paslaugas.

2023 m. balandžio mėn. darbuotojai peržiūrėjo ir dalijosi privačiais vaizdo įrašais, kuriuos nufilmavo klientų „Tesla“ automobiliai, iš transporto priemonių „Sentry Mode“ apsaugos sistemų.

„Tesla“ nėra vienintelė bendrovė, reiškianti susirūpinimą dėl privatumo.

Rugsėjo 5 d. „Mozilla Foundation“ paskelbtame tyrime 25 automobilių gamintojų automobiliai apibūdinami kaip „košmarai ant ratų, kai kalbama apie duomenų privatumą“.

Fondas įvertino 25 automobilių gamintojų politiką ir praktiką ir perspėjo, kad jie gali rinkti ir komerciniais tikslais naudoti daug daugiau nei tik buvimo vietos istoriją, vairavimo įpročius, automobilio navigacijos istoriją ir naudotojų muzikos pasirinkimus.

Kai kurie gamintojai gali tvarkyti labai asmeninius duomenis, tokius kaip – priklausomai nuo privatumo politikos – seksualinė veikla, imigracijos statusas, rasė, veido išraiška, svoris, sveikata ir net genetinė informacija.

Be to, daugiau nei pusė gamintojų parduoda duomenis trečiosioms šalims.

• 2023 m. rugpjūčio 25 d. Kinijoje buvo paskelbtos naujos gairės dėl dirbtinio intelekto sukurto turinio ženklinimo: Kinijos nacionalinis informacijos saugumo standartizacijos techninis komitetas („TC260“) paskelbė galutinę „Praktinių kibernetinio saugumo standartų gairių – generatyvinio dirbtinio intelekto paslaugų turinio ženklinimo metodo“ versiją.
• Kanada taip pat skelbia generatyvinio dirbtinio intelekto praktikos kodeksą ir skatina prisidėti prie jo rengimo.
• Indijoje rugpjūčio 12 d. oficialiajame leidinyje buvo paskelbtas 2023 m. Skaitmeninių asmens duomenų apsaugos įstatymas.

Nors šis įstatymas yra sveikintinas, nes jis užtikrina 760 milijonų interneto vartotojų duomenų apsaugą, jis taip pat kelia kritiką dėl siūlomo apsaugos lygio, ypač atsižvelgiant į istorinį Puttawamy sprendimą, kuris prieš penkerius metus Indijoje įtvirtino teisę į privatumą.

• Rugpjūčio 31 d. „Apple“ paskelbė, kad nutraukia savo „iCloud“ nuskaitymo funkcijos, skirtos vaikų pornografijos turiniui (CSAM) identifikuoti, kūrimą.

Dabar bendrovė daugiausia dėmesio skiria įrankių ir išteklių rinkiniui, skirtam naudotojų įrenginiams, vadinamam „Ryšio saugos funkcijomis“.

Bendradarbiavusi su įvairiais saugumo ir privatumo tyrėjais, skaitmeninių teisių grupėmis ir vaikų saugumo gynėjais, bendrovė padarė išvadą, kad negali tęsti debesies nuskaitymo mechanizmo kūrimo, net jei jis būtų specialiai sukurtas privatumui išsaugoti. 

„Kiekvieno vartotojo privačių „iCloud“ duomenų analizė sukurtų naujus grėsmių vektorius, kuriuos duomenų vagys galėtų rasti ir išnaudoti. Tai taip pat sukeltų nenumatytų pasekmių riziką. Pavyzdžiui, vieno tipo turinio paieška atveria duris masiniam stebėjimui ir gali sukelti norą ieškoti visų tipų turinio kitose užšifruotose pranešimų sistemose.“

Ši vieša pozicija yra svarbi dabartinėmis aplinkybėmis, nes JK, ES ir JAV rengia teisės aktus, kuriais siekiama įvesti platų interneto subjektų tikrinimą kovojant su kibernetiniais nusikaltimais apskritai ir ypač siekiant apsaugoti vaikus internete.