Teisinis stebėjimas Nr. 65 – 2023 m. lapkričio mėn.

Skundai ir sankcijos: kokia yra 2024 m. duomenų apsaugos institucijų darbotvarkė?

Įsigaliojus BDAR, padidėjo tiek duomenų valdytojų, tiek asmenų informuotumas apie duomenų apsaugą.

Dėl to padaugėjo skundų oficialioms vystymosi agentūroms (OPA), kurios kartais kaltinamos tuo, kad dėl išteklių trūkumo nenagrinėja šių skundų.

Nors Jungtinėje Karalystėje „Informacijos komisaras“ nusprendė nebenagrinėti tam tikrų tipų skundų, kurie laikomi neprioritetiniais, Europos Sąjungoje valdžios institucijos iš principo privalo nagrinėti bet kokį skundą, žinoma, jei jis yra priimtinas.

Taigi, Norvegijos privatumo apeliacijų komisija panaikino DPA sprendimą užbaigti skundo bylą paprastu informaciniu laišku duomenų valdytojui, įpareigodama duomenų valdytoją įvertinti tvarkymo teisėtumą ir pabrėždama, kad duomenų apsaugos institucija negali laisvai pasirinkti, kurias bylas tirti, o kurias ne.

Prancūzijoje CNIL 2022 m. įdiegė supaprastintą sankcijų skyrimo procedūrą, leidžiančią jai greičiau išnagrinėti tam tikros rūšies skundus.

Tai bylos, kurioms yra nusistovėjusi teismų praktika, anksčiau ribotos sudėties teisėjų kolegijos priimti sprendimai arba faktų ar teisės klausimai, kuriuos išspręsti yra lengva.

Procedūra yra rašytinė, tačiau ji suteikia atitinkamai organizacijai galimybę būti išklausytai ir pateikti žodinius komentarus.

Šiuo atveju sankcijos yra labiau ribotos ir gali būti įspėjimas, nurodymas suderinti tvarkymą su reikalavimais, įskaitant baudą iki 100 EUR už kiekvieną vėlavimo dieną, arba administracinę baudą iki 20 000 EUR.

CNIL ką tik skyrė dešimčiai privačių ir viešųjų subjektų baudas už pažeidimus, kurių bendra suma siekia 97 000 eurų:

• Įpareigojimui atsakyti į CNIL prašymus;
• Duomenų kiekio mažinimas;
• Informacija apie vykdomą tvarkymą ir jo tikslus;
• Pareiga gerbti asmenų teises ir ypač atsakyti į prašymą pateikti prieštaravimą.

CNIL pabrėžia, kad iš skundų, su kuriais jai teko susidurti, ypač išsiskiria du klausimai: geolokacija ir nuolatinis darbuotojų vaizdo stebėjimas.

Duomenų tvarkymas dažnai atliekamas pažeidžiant BDAR numatytą duomenų kiekio mažinimo principą.

Komisija visų pirma atkreipia dėmesį į tai, kad „nuolatinis geolokacijos duomenų įrašymas be galimybės darbuotojams sustabdyti ar laikinai sustabdyti įrenginio veikimą pertraukų metu yra, nebent būtų konkrečiai pagrįsta, pernelyg didelis darbuotojų judėjimo laisvės ir teisės į privatumą pažeidimas“.

Tas pats pasakytina ir apie vaizdo stebėjimo sistemas, kurios nuolat filmuoja darbuotojus jų darbo vietose.

„Nelaimingų atsitikimų darbe prevencija ir įrodymų surinkimas nepateisina nuolatinio darbo vietų vaizdo stebėjimo įgyvendinimo“, o surinkti asmens duomenys neatrodo tinkami ar aktualūs.

Nuolatinė darbuotojų stebėsena, išskyrus kelias išimtis, yra neproporcinga siekiamiems tikslams.

CNIL paskelbė apie ketinimą 2024 m. sustiprinti represinę politiką ir priimti sprendimus per trumpesnį laiką.

Reikėtų pažymėti, kad, bendradarbiaudamos Europos lygmeniu, Europos duomenų apsaugos valdybos narės duomenų apsaugos institucijos kitais metais nusprendė teikti pirmenybę asmenų teisėms. Jų koordinuoti veiksmai bus sutelkti į tai, kaip duomenų valdytojai reaguoja į asmenų prašymus susipažinti su jų duomenimis – ši tema turėtų būti įtraukta į būsimas CNIL supaprastintas sankcijų procedūras.

 

  

• CNIL lapkričio 15 d. paskelbė... Informacinis vadovas dėl dažniausiai pasitaikančių gydymo būdų socialinio ir medicininio-socialinio sektorių duomenų saugojimo laikotarpių ir praktinis vadovas, kuriame siūloma metodika atitinkamiems specialistams.
• Bendradarbiaudama su Prancūzijos konkurencijos tarnyba (AdlC) ir Tulūzos ekonomikos mokykla, CNIL gruodžio 12 d. organizuoja renginį pavadinimu „Duomenų apsauga ir konkurencija: bendras siekis“. Šio pusės dienos renginio, skirto reguliavimo institucijoms, tyrėjams ir specialistams, metu AdlC ir CNIL priims ir pristatys bendrą deklaraciją.
• 2023 m. lapkričio 9 d. CNIL (Prancūzijos duomenų apsaugos tarnyba) įspėjo Transformacijos ir viešosios tarnybos ministeriją bei Ekonomikos, finansų ir pramonės bei skaitmeninio suvereniteto ministeriją dėl naudojimosi daugiau nei dviejų milijonų valstybės pareigūnų kontaktiniai duomenys siekiant informuoti apie tuo metu priimamą pensijų reformos projektą ir jį pagrįsti.

Ministras naudojosi ENSAP – skaitmenine platforma, kurioje galima rasti konfidencialius valstybės pareigūnų dokumentus, tokius kaip jų mėnesinis atlyginimo lapelis. 

Ribotos prieigos CNIL komisija priminė, kad ENSAP platforma negali būti naudojama politinio pobūdžio komunikacijai.

• Lapkričio 16 d. sprendime Konstitucinė Taryba pasmerkė nuotolinis mobiliųjų telefonų aktyvavimas garso ir vaizdų fiksavimui numatyta teisingumo krypties ir programavimo įstatyme, susijusiame su teisminės institucijos atvėrimu, modernizavimu ir atsakomybe.

Taryba mano, kad šis nuotolinis aktyvavimas, kai tyrėjams nereikia fiziškai patekti į privačias patalpas, kad būtų galima įrengti stebėjimo įrenginius, gali sukelti ypač didelį ir neproporcingą teisės į privatų gyvenimą pažeidimą.

Jis taip pat pabrėžia, kad ši priemonė leidžia stebėti tiek asmenis, į kuriuos nukreipti tyrimai, tiek trečiąsias šalis. 

Tačiau Konstitucinė Taryba nepritaria nuotoliniam elektroninių prietaisų aktyvavimui geolokacijos tikslais.

• 2023 m. lapkričio 22 d. laikinuoju nutarimu Kano administracinis teismas nusprendė, kad „Briefcam“ algoritminė vaizdo stebėjimo sistema „Cœur Côte Fleurie“ tarpkomuninės valdžios (įskaitant Deauville-Trouville) naudojama programinė įranga yra rimtas ir akivaizdžiai neteisėtas teisės į privatumą pažeidimas ir įpareigojo atsakingus asmenis ištrinti asmens duomenis, gautus naudojantis šia programine įranga.

Teisėjas pažymėjo, kad naudojimas neatitiko jokios teisinės ar reguliavimo sistemos reikalavimų, ir nusprendė, kad „nebuvo nustatyta ir net teigiama, jog nebūtų buvę galima įgyvendinti kitų, mažiau privatumą pažeidžiančių priemonių viešajai tvarkai išsaugoti“.

• 2023 m. lapkričio 8 d. šešių organizacijų koalicija, įskaitant „La Quadrature du Net“ ir EDRi, pateikė apeliaciją Valstybės tarybai dėl Prancūzijos dekreto, įgyvendinančio reglamentą, susijusį su kova su teroristinio turinio platinimu internete.

Jie prašo Valstybės tarybos pateikti prejudicinį klausimą Europos Sąjungos Teisingumo Teismui (ESTT) dėl TERREG galiojimo, atsižvelgiant į pagrindines teises, saugomas Europos Sąjungos teisės, ir nurodo saviraiškos laisvės bei teisės į informaciją internete pažeidimus.

 

 

Europos institucijos ir įstaigos

• Europos Parlamento Aplinkos ir Piliečių laisvių komitetai savo poziciją priėmė lapkričio 28 d. Europos sveikatos duomenų erdvės sukūrimas siekiant skatinti asmens sveikatos duomenų perkeliamumą ir saugesnį dalijimąsi jais.

Parlamento nariai visų pirma nori, kad būtų privaloma gauti aiškų pacientų leidimą antriniam jų sveikatos duomenų naudojimui.

• Europos Sąjunga priėmė eIDAS reglamento pataisą, kuri atveria kelią skaitmeninės tapatybės įvedimas visoje ES.

Kai kurie aspektai vis dar ginčijami, ypač „kvalifikuoti žiniatinklio autentifikavimo sertifikatai“ (QWAC), kurie reikalaus, kad naršyklės priimtų vyriausybės išduotus šakninius sertifikatus, skirtus užkirsti kelią sukčiavimui ir tapatybės vagystei, o kai kurie kibernetinio saugumo ekspertai tai laiko įsilaužimo į žiniatinklio autentifikavimą rizika: naršyklių tiekėjai negalėtų atmesti QWAC, net jei tai keltų grėsmę saugumui.

• Nors Derybos dėl būsimo dirbtinio intelekto reglamento tęsiasi. Rašymo metu dar liko neatsakyta į daug klausimų, įskaitant pagrindinių modelių, tokių kaip „ChatGPT“, įtraukimą į reglamentus.

Lapkričio 16 d. Europos derybininkams perduotoje pilietinės visuomenės pozicijos pareiškime taip pat pabrėžiamas apsaugos nuo žalos, susijusios su dirbtinio intelekto naudojimu policijos, migracijos ir nacionalinio saugumo tikslais, masto klausimas.

• Europos duomenų apsaugos valdyba (EDAV) lapkričio 14 d. priėmė gaires dėl E. privatumo direktyvos 5(3) straipsnio techninės taikymo srities.

Komitetas aiškina, kad Naujų sekimo metodų, skirtų pakeisti esamas sekimo priemones, tokias kaip slapukai, ir kurti naujus verslo modelius, atsiradimas kelia didelį susirūpinimą. duomenų apsaugos požiūriu.

Gairėse konkrečiai aptariamas „įrenginių pirštų atspaudų ėmimas“ ir dažniausiai pasitaikantys metodai, tokie kaip URL ir pikselių sekimas, tik IP adresų sekimas, daiktų interneto (IoT) ataskaitų teikimas ir unikalūs identifikatoriai.

• Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) lapkričio viduryje paskelbė „TechDispatch“, skirtą paaiškinamas dirbtinis intelektas („paaiškinamas dirbtinis intelektas“), siekiant spręsti dirbtinio intelekto „juodosios dėžės“ efekto problemą.

Jame nagrinėjama neskaidrių dirbtinio intelekto sistemų keliama rizika ir aprašoma, kaip dirbtinis intelektas gali apimti skaidrumą, aiškinamumą ir paaiškinamumą.

EDAPP taip pat lapkričio 8 d. paskelbė tyrimą apie pagrindinių teisių į privatumą ir asmens duomenų apsaugą esmę.

Šiame dokumente nagrinėjamas reikalavimas gerbti šių teisių „esmę“, kai jos yra ribojamos pagal Europos Sąjungos (ES) teisę.

• Lapkričio 9 d. sprendime ESTT paaiškino savo asmens duomenų aiškinimą.

Ji jautė, kad Transporto priemonių identifikavimo numeriai patys savaime nėra asmens duomenys..

Tačiau jie tampa asmens duomenimis, kai asmuo (fizinis), turintis prieigą prie jų, turi priemonių nustatyti transporto priemonės savininko tapatybę.

• Gruodžio 7 d. ESTT priėmė du svarbius sprendimus dėl dominuojančio kredito informacijos paslaugų teikėjo („Schufa“) Vokietijoje.

Teismas, be kita ko, nurodė, kad Automatizuotam kreditingumo vertinimui („balų skyrimui“) taikomas bendras draudimas pagal BDAR 22 straipsnį.

Ji priduria, kad įmonei, kuri nustato kredito balą automatizuotomis priemonėmis, ir toliau taikomas 22 straipsnis, net jei kita įmonė remiasi tuo balu priimdama sprendimus, kurie turi (neigiamą) poveikį atitinkamam asmeniui. – samprotavimai, kurie galėtų turėti įtakos dirbtinio intelekto palaikomoms sistemoms.

Teismas taip pat patvirtino, kad nacionaliniai teismai turi plačius įgaliojimus prižiūrėti duomenų apsaugos institucijas.

• Europos Žmogaus Teisių Teismas lapkritį paskelbė dokumentą, kuriame išvardyta jo praktika asmens duomenų apsaugos srityje.
• Europos Sąjungos kibernetinio saugumo agentūra ENISA paskelbė 2023 m. kibernetinių grėsmių apžvalga pagal veiklos sektorius.

Remiantis „Grėsmių kraštovaizdžio 2023“ ataskaita, pagrindiniai taikiniai išlieka viešojo administravimo institucijos ir vyriausybės, po jų seka sveikatos apsaugos, gamybos, transporto ir finansų sektoriai.

• Lapkričio 28 d. nevyriausybinė organizacija „noyb“ pateikė skundą dėl „Meta“ Austrijos duomenų apsaugos institucijai.

ILGAS ginčija Europos vartotojams suteiktą „pasirinkimą“ tarp sutikimo būti stebimiems suasmenintos reklamos tikslais ir mokėjimo iki 251,88 euro per metus „kad išsaugotų savo pagrindinę teisę į duomenų apsaugą „Instagram“ ir „Facebook“.“ 

Tame pačiame kontekste Europos vartotojų organizacija (BEUC) lapkričio 30 d. pateikė skundą Vartotojų apsaugos tinklui (CPC), teigdama, kad „Meta“ vykdo nesąžiningą komercinę praktiką.

Taip pat vertinama, ar „Meta“ pažeidžia BDAR.

• 110 pilietinės visuomenės organizacijų ragina ES politikos formuotojus atmesti vykdomą EURODAC reformą.

Duomenų bazė, skirta rinkti ir saugoti duomenis apie prieglobsčio prašytojus, „būtų transformuota į stebėjimo įrankį, kuriame prieglobsčio ieškantys asmenys, įskaitant vos 6 metų vaikus, kurių pirštų atspaudai ir veido atvaizdai būtų integruoti į duomenų bazę, būtų traktuojami kaip įtariamieji nusikaltimais“.

 

Naujienos iš Europos šalių narių.

• Belgijoje APD lapkričio 23 d., nagrinėdama darbo vietos stebėjimo bylą, nusprendė, kad nuolatinis darbo stebėjimas kameromis neatitinka minimalaus duomenų tvarkymo principo.

APD ginčų rūmai pareiškė, kad tai buvo rimtas pažeidimas, tačiau kadangi tai susiję su maža įmone, jai pranešė apie pažeidimą ir paprašė suderinti tvarkymą su reikalavimais neskiriant baudos.

• Danijos duomenų apsaugos institucija atmetė Kopenhagos miesto planą kurti dirbtinio intelekto įrankius, skirtus nustatyti piliečius, kuriems reikalinga reabilitacija, nes nacionalinės teisės aktai, kuriais buvo remiamasi taikant BDAR 6(1)(e) ir 6(3) straipsnius, nebuvo pakankamai konkretūs dėl dirbtinio intelekto naudojimo apimties.
• Vokietijos federalinis darbo teismas įgyvendino ESTT sprendimą C-453/21, atsižvelgdamas į tai, kad Dukterinės įmonės darbo tarybos pirmininkas buvo pagrįstai atleistas iš įmonių grupės duomenų apsaugos pareigūno pareigų dėl interesų konflikto tarp šių dviejų pareigų.
• Nyderlanduose oficiali vystymosi parama (OPV) lapkričio 24 d. įvedė taisomąsias priemones darbuotojų draudimo agentūrai (Uitvoeringsinstituut Werknemersverzekeringen – UWV) 703 išmokas gaunantiems asmenims.

Iki šių metų pradžios, UWV neteisėtai stebėjo šių bedarbio pašalpas gaunančių žmonių elgesį internete, naudodama algoritmą.

• Vykdant BDAR 60 straipsnyje numatytą procedūrą, Airijos duomenų apsaugos agentūra (DPA) papeikė „Airbnb Ireland“ už duomenų kiekio mažinimo ir saugojimo apribojimo principų pažeidimą. ir už tai, kad neteisėtai rėmėsi BDAR 6 straipsnio 1 dalies f punktu kaip duomenų tvarkymo pagrindu saugodamas duomenų subjekto tapatybės dokumentus.
• Italijos APD lapkričio pabaigoje pradėjo tyrimą viešose ir privačiose interneto svetainėse, siekdama patikrinti, ar buvo priimtas Tinkamos saugumo priemonės, skirtos užkirsti kelią masiniam asmens duomenų rinkimui (iš interneto išgavimui)trečiųjų šalių dirbtinio intelekto algoritmų mokymo tikslais.
• Berlyno apygardos teismas apskaičiavo, kad LinkedIn vykdė nesąžiningą verslo praktiką ir pažeidė BDAR, neatsižvelgdamas į „Nesekti“ (DNT) parametrai kaip prieštaravimą tvarkymui ir iš anksto pažymėdami nustatymą „matomumas ne „LinkedIn“ tinkle“, kai vartotojai pirmą kartą kuria paskyrą.

Teismo teigimu, DNT, nepaisant standartizacijos stokos, yra veiksmingas prieštaravimas duomenų tvarkymui: kitaip tariant, BDAR numatyta teisė nesutikti gali būti įgyvendinama ir automatizuotomis priemonėmis, tokiomis kaip naršyklės nustatymai.

• G7 skaitmeninių technologijų ir EBPO ministrai susitiko virtualiai 2023 m. gruodžio 1 d., kad tęstų diskusijas, kuriomis siekiama įgyvendinti „Duomenų laisvo srauto su pasitikėjimu“ (DFFT) iniciatyvą, siekiant palengvinti tarpvalstybinius duomenų srautus.

Pažanga ir tolesni veiksmai išsamiai aprašyti pranešime spaudai, kurį galima rasti internete.

• Didžiausių socialinės žiniasklaidos platformų generaliniai direktoriai stoja prieš JAV Senato Teismų komitetą gruodžio 6 d. duoti parodymus apie seksualinį vaikų išnaudojimą ir tariamą įmonių nesugebėjimą apsaugoti vaikus savo platformose.
• Australijos vyriausybė viešai atsakė į 2023 m. rugsėjo 28 d. paskelbtą Privatumo įstatymo peržiūros ataskaitą ir patvirtina savo įsipareigojimą stiprinti Australijos privatumo standartus, kad jie labiau atitiktų pasaulinius standartus.

 

Pasiūlymų serija būtų skirta įvesti papildomas vaikų privatumo apsaugos priemones.

• Elonas Muskas paskelbė, kad jo dirbtinio intelekto pokalbių robotas „Grok“ pradės veikti gruodžio pradžioje.

Musko dirbtinio intelekto bendrovės „xAI“ sukurtas pokalbių robotas bus integruotas į programėlę „X Premium+“ prenumeratoriams.

• „YouTube“ paskelbė tinklaraščio įrašą, kuriame skelbia apie įvairias priemones, skirtas ženklinti dirbtinio intelekto sukurtą turinį ir kovoti su „deepfake“ klastotėmis.

Bendrovė ketina įdiegti atnaujinimus, kurie informuos vartotojus, kada jų matomas turinys yra sintetinis.

Todėl „YouTube“ prašys kūrėjų nurodyti, ar jie sukūrė tikrovišką modifikuotą ar sintetinį turinį, įskaitant ir dirbtinio intelekto įrankių naudojimą.