„Legal Watch“ Nr. 67 – 2024 m. sausio mėn.

Duomenų apsaugos pareigūnų vaidmuo ir ištekliai: metų auditų rezultatai

Sausio 17 d. CNIL ir jos Europos kolegos paskelbė savo atliktų duomenų apsaugos pareigūnų (DAP) vaidmens ir išteklių, susijusių su BDAR taikymu, tyrimų rezultatus.

Ši tema buvo Europos duomenų apsaugos valdybos (EDAV) koordinuotų Europos veiksmų objektas 2023 m.

Pagrindinės duomenų apsaugos pareigūno funkcijos, numatytos BDAR 37–39 straipsniuose, apima duomenų valdytojo informavimą ir konsultavimą duomenų apsaugos klausimais (įskaitant poveikio vertinimų atlikimą), darbuotojų informuotumo didinimą ir mokymą bei duomenų saugumo pažeidimų stebėseną.

Duomenų apsaugos pareigūnas bendradarbiauja su priežiūros institucija ir yra kontaktinis asmuo asmenims, kurių duomenys tvarkomi.

Duomenų apsaugos institucijų tyrimai buvo pagrįsti visų jas sudarančių institucijų bendrai parengtu klausimynu.

Prancūzijoje CNIL atliko 14 duomenų valdytojų auditą ir papildė klausimyno siuntimą keliais patikrinimais vietoje.

Patikrinimai apėmė viešojo sektoriaus subjektus, tokius kaip ligoninės, universitetai, savivaldybės, valdymo centrai, ir privačius subjektus prabangos prekių ir transporto sektoriuose.

Pažymėtina, kad audituotų pareigūnų skaičius yra ypač mažas.

Kaip ir kelios Europos institucijos, CNIL pasirinko atlikti ribotą skaičių išsamių tyrimų, o kitos institucijos susisiekė su dešimtimis tūkstančių vadovų, neatlikdamos tokių išsamių patikrinimų.

EDAV ataskaitoje, atliekant analizę, atsižvelgiama į šiuos požiūrio skirtumus.

CNIL apskritai teigiamai įvertina duomenų apsaugos pareigūno vaidmenį ir jam skirtus išteklius.

Ji pažymi, kad jie paprastai turi pakankamai išteklių.

Tačiau ji atkreipia dėmesį į didelius skirtumus tarp išteklių, skiriamų valstybinių struktūrų duomenų apsaugos pareigūnams, kurie dažnai dirba vieni, ypač mažose bendruomenėse, o privačiojo sektoriaus duomenų apsaugos pareigūnai paprastai turi komandą.

Šis pastebėjimas patvirtintas Europos lygmeniu.

Tarp nurodytų trūkumų yra interesų konfliktų tarp duomenų apsaugos pareigūno pareigų ir kitų jam pavestų užduočių rizika, taip pat duomenų apsaugos pareigūno nedalyvavimas priimant sprendimus dėl duomenų apsaugos.

Šiuo atžvilgiu CNIL nurodo, kad (ne šio tyrimo metu) socialinio sektoriaus organizacijai skyrė 10 000 eurų baudą, nes deleguotas asmuo negalėjo tinkamai atlikti savo pareigų: jis nebuvo pakankamai įsitraukęs į su asmens duomenų apsauga susijusius klausimus, o jo funkcijos nebuvo matomos organizacijos darbuotojams.

Europos ataskaitoje ši analizė užbaigiama pažymint, kad duomenų apsaugos pareigūnai, be savo vaidmens, susijusio su BDAR, vis dažniau prisiima pagrindinius vaidmenis naujų Europos reglamentų, pavyzdžiui, susijusių su dirbtiniu intelektu, skaitmeninėmis paslaugomis, skaitmenine rinka ar duomenimis, kontekste. 

Jiems taip pat suteikiami nauji vaidmenys, susiję su etika, duomenų valdymu ir duomenų erdvėmis.

Atsižvelgdamas į šią tendenciją, Komitetas įspėja apie padidėjusią interesų konfliktų riziką arba duomenų apsaugos pareigūnams skirtų išteklių trūkumą.

Jis pabrėžia, kad duomenų apsaugos institucijos ir duomenų valdytojai atlieka esminį vaidmenį, kad duomenų apsaugos pareigūnas galėtų visapusiškai atlikti savo pareigas.

 

     

• CNIL pastarosiomis savaitėmis skyrė keletą reikšmingų sankcijų.
• 2023 m. gruodžio 29 d. ji skyrė „Yahoo“ 10 mln. eurų baudą už tai, kad negerbė interneto vartotojų, kurie atsisakė slapukų jos svetainėje, pasirinkimo ir neleido jos pranešimų paslaugos vartotojams laisvai atšaukti savo sutikimo dėl slapukų.
• Prancūzijos duomenų apsaugos institucija (CNIL), atlikusi patikrinimus „Amazon France Logistique“ sandėliuose, gruodžio 27 d. taip pat nustatė keletą BDAR pažeidimų, susijusių su plačiu darbo vietų stebėjimu, ir skyrė tarptautinei bendrovei 32 mln. eurų baudą. Pasak CNIL, „Amazon“ įdiegė „pernelyg įkyrią“ stebėjimo sistemą, kuri veikia neteikdama informacijos ir yra nepakankamai saugi.
• Gruodžio 29 d. CNIL taip pat skyrė 105 000 eurų baudą elektroninių pinigų platintojui „NS Cards France“ už pernelyg didelį asmens duomenų saugojimą, nepilnas privatumo politikas, nepakankamas saugumo priemones ir naudotojų sutikimo dėl nebūtinų slapukų nebuvimą.
• Galiausiai, ji pradeda viešas konsultacijas dėl duomenų perdavimo už Europos ekonominės erdvės ribų poveikio vertinimo vadovo projekto: prieš perduodant duomenis į šalį, kuri neturi sprendimo dėl tinkamumo, turi būti atliktas duomenų apsaugos lygio gavėjoje šalyje vertinimas, taip pat įvertintos apsaugos priemonės, kurios turi būti taikomos šiam perdavimui. Įžvalgas galima teikti iki 2024 m. vasario 12 d.
• Prancūzijos nacionalinė kibernetinio saugumo agentūra (ANSSI) paskelbė apie „Hackropole“ – naujos platformos, skirtos supažindinti žmones su karjera kibernetinio saugumo srityje, paleidimą. Platformoje siūloma daugiau nei 300 iššūkių, atvirų visiems, apimančių visas kibernetinio saugumo sritis – nuo kriptografijos iki įsilaužimo.

 

Europos institucijos ir įstaigos 

• Belgija sausio pradžioje šešiems mėnesiams perėmė pirmininkavimą Europos Sąjungos Tarybai su šūkiu „Apsaugoti, stiprinti ir ruoštis“.

2024 m. bus sprendžiamos šios temos: prijungtų produktų kibernetinis atsparumas, skaitmeninė tapatybė, duomenų erdvės, tarpvalstybinis BDAR taikymas ir dirbtinis intelektas.

 2024-ieji taip pat bus daugelio praėjusiais metais užbaigtų įstatymų įgyvendinimo metai, įskaitant skaitmeninių paslaugų įstatymas, ten skaitmeninių rinkų įstatymas ir duomenų valdymo įstatymas.

• Vasario 2 d. 27 Europos Sąjungos šalių ambasadoriai vienbalsiai, bet ne be vargo, pritarė dirbtinio intelekto reglamentai, taip vyriausybiniu lygmeniu patvirtindama gruodžio mėnesį pasiektą politinį susitarimą.

Po vasario viduryje įvykusio Europos Parlamento komitetų balsavimo, priėmimas plenarinėje sesijoje preliminariai numatytas balandžio 10 ir 11 dienomis.

Reglamentas įsigalios praėjus 20 dienų nuo jo paskelbimo oficialiajame leidinyje.

Draudžiamos praktikos draudimai pradės galioti po šešių mėnesių, o su dirbtinio intelekto modeliais susiję įpareigojimai – per metus.

• Tuo pačiu metu Europos Komisija sausio 24 d. paskelbė apie Europos dirbtinio intelekto biuro, kuris prisidės prie būsimo reglamento įgyvendinimo ir taikymo, įsteigimą.

Šis biuras sieks paskelbti gaires, skirtas suderintoms taisyklėms visoje ES nustatyti, ir skatinti bei sudaryti palankesnes sąlygas praktikos bei elgesio kodeksų rengimui Sąjungos lygmeniu.

• Su teisėkūra susijęs procesas CSAR reglamentai Kadangi („pokalbių kontrolė“) dar toli gražu nebaigta, Europos Sąjunga pasiūlė pratęsti laikiną sprendimą, leidžiantį technologijų milžinams savanoriškai nuskaityti savo klientų įrenginius dėl vaikų pornografijos.

Ši priemonė sulaukė kritikos, ypač iš Europos duomenų apsaugos priežiūros pareigūno (EDAPP). Sausio 29 d. paskelbtoje nuomonėje EDAPP išreiškė susirūpinimą dėl šio reglamento tikslų, kurie apribotų asmenų teisę į savo komunikacijos konfidencialumą.

• Sausio 31 d. Europos Komisija paskelbė Skaitmeninių paslaugų akto (DSA) skaidrumo rezultatų suvestinę. Joje pateikiama didžiausių internetinių platformų priimamų turinio moderavimo sprendimų apžvalga.
• Europos duomenų reglamentas įsigaliojo 2024 m. sausio mėn.

Jos tikslai apima sąžiningo dalijimosi duomenimis skatinimą, viešojo sektoriaus įstaigų galimybę naudoti privačiojo sektoriaus turimus duomenis konkretiems viešojo intereso tikslams ir galimybę klientams lengvai pakeisti duomenų tvarkymo paslaugų teikėjus, siekiant skatinti Europos debesijos rinką.

• Europos Komisija atliks tyrimą „Microsoft“ ir „OpenAI“ partnerystė, pagal kurią MS planuoja integruoti dirbtinio intelekto įrankių rinkinį į savo produktus.

Sausio 9 d. pranešime spaudai Komisija kviečia visas suinteresuotas šalis pasidalyti savo patirtimi ir komentarais apie konkurencijos lygį virtualių pasaulių ir generatyvinio dirbtinio intelekto kontekste, taip pat savo idėjomis, kaip konkurencijos teisė gali padėti užtikrinti, kad šios naujos rinkos išliktų konkurencingos.

• Europos Komisija savo ataskaitą paskelbė sausio 15 d. 11 tinkamumo sprendimų vertinimas priimta pagal 1995 m. Duomenų apsaugos direktyvą.

Jame pažymima, kad asmens duomenims, perduodamiems iš Europos Sąjungos į Andorą, Argentiną, Kanadą, Farerų salas, Gernsį, Meno salą, Izraelį, Džersį, Naująją Zelandiją, Šveicariją ir Urugvajų, ir toliau taikomas BDAR numatytas tinkamumo sprendimas.

• Europos duomenų apsaugos valdyba (EDAV) paskelbė svetainės audito įrankis siekiant laikytis ES Bendrojo duomenų apsaugos reglamento.

Šią priemonę sukūrė EDAV ekspertų grupė, ją gali naudoti duomenų apsaugos institucijos, taip pat duomenų valdytojai ir tvarkytojai, siekdami supaprastinti auditų rengimą, vykdymą ir vertinimą. Tai nemokama ir atvirojo kodo programinė įranga, licencijuota pagal EUPL 1.2 licenciją, kurią galima atsisiųsti iš code.europa.eu.

• EDAV taip pat sausio 18 d. paskelbė duomenų tvarkymo saugumo ir duomenų saugumo pažeidimo pranešimo byla.

Dokumente analizuojami priežiūros institucijų sprendimai, priimti pagal BDAR 60 straipsnį taikant vieno langelio principą duomenų tvarkymo saugumo ir asmens duomenų saugumo pažeidimų srityje.

• ES Teisingumo Teismas sausio 30 d. sprendime nusprendė, kad bendras ir nediferencijuotas už nusikalstamas veikas nuteistų asmenų biometrinių ir genetinių duomenų saugojimas iki jų mirties prieštarauja ES teisei ir ypač teisei būti pamirštam.
• ESTT taip pat sausio 16 d. nusprendė, kad BDAR taikomas nacionaliniams parlamentiniams komitetams.

Teismas patikslino nacionalinio saugumo sąvoką ir nurodė, kad nesant nacionalinio saugumo tikslo įrodymų, nacionaliniai teismai turi nustatyti, ar taikomas 2 straipsnio 2 dalies a punktas dėl BDAR taikymo srities.

• Technologijų gigantai turi laiko iki kovo 6 d. laikytis Europos skaitmeninių rinkų reglamento nuostatų ir, visų pirma, leisti savo vartotojams registruotis vienai paslaugai, automatiškai jos nesiejant su kita.

Būtent šiame kontekste „Meta“ sausio 22 d. paskelbė, kad „Instagram“ ir „Facebook“ naudotojai galės valdyti savo paskyras atskirai, todėl jų informacija nebebus dalijamasi tarp šių dviejų paskyrų.

„Google“ savo pagalbos centro puslapyje taip pat paminėjo galimybę Europos vartotojams pasirinkti paslaugas, kurias jie nori susieti duomenų bendrinimo srityje.

 

Naujienos iš Europos valstybių narių

• 2023 m. gruodžio 11 d. Nyderlandų duomenų apsaugos tarnyba (APD), bendradarbiaudama su CNIL, priėmė sprendimą prieš bendroves. „Uber BV“ ir „Uber Technologies“

Inc. buvo skirta dešimties milijonų eurų bauda už kelis informacijos vairuotojams nesuteikimo atvejus. 

Šie trūkumai visų pirma susiję su teisės susipažinti su duomenimis, perdavimo už ES ribų, saugojimo laikotarpių ir teisės į duomenų perkeliamumą procedūromis.

• Nyderlandų duomenų apsaugos tarnyba taip pat skyrė 150 000 eurų baudą kredito kortelių bendrovei ICS už tai, kad ji neatliko poveikio vertinimo (DPAV).

Savo svarstymuose APD pabrėžė, kad DPAV neatlikimas pats savaime yra BDAR pažeidimas, tačiau tai taip pat padidina kitų reglamento pažeidimų tikimybę, nes prieš įgyvendinant tvarkymą neįvertinama rizika.

• Belgijos duomenų apsaugos tarnyba (APD) skyrė duomenų brokeriui 174 640 eurų baudą.

Be kitų pažeidimų, duomenų valdytojas negalėjo remtis teisėtu interesu rinkti duomenis iš trečiųjų šalių.

Jis taip pat neinformavo pareiškėjo apie duomenų šaltinius ir gavėjus, pateikdamas prašymą susipažinti su duomenimis. 

• Belgijos valdžios institucija taip pat ištyrė duomenų valdytojo praktiką po duomenų saugumo pažeidimo, kuris paveikė beveik 90 000 žmonių.

Ji netaikė jokių sankcijų, atsižvelgdama į tai, kad duomenų saugumo pažeidimas buvo pavienis incidentas ir kad duomenų valdytojas laikėsi BDAR 33 straipsnio.

• Austrijos duomenų apsaugos tarnyba (APD) skyrė 10 000 eurų baudą duomenų valdytojui už tai, kad šis nebendradarbiavo su ja skundo nagrinėjimo procedūroje ir taip pažeidė BDAR 31 straipsnį.
• Vokietijoje sausio 17 d. saugumo tyrėjui buvo skirta 3000 eurų bauda už tai, kad jis aptiko ir pranešė apie saugumo spragą elektroninės prekybos duomenų bazėje, dėl kurios buvo paviešinta beveik 700 000 klientų įrašų.

Slaptažodžio atradimas paprastame tekste ir jo panaudojimas be leidimo atliekant paiešką buvo laikomas nusikaltimu.

Šį sprendimą, kuris bus apskųstas, saugumo ekspertas kritikuoja dėl jo atgrasančio poveikio teisėtiems sistemos pažeidžiamumų tyrimams.

• Sausio pabaigoje Danijos duomenų apsaugos tarnyba (APD) nustatė, kad savivaldybė pažeidė BDAR saugumo taisykles, neužšifruodama savo kompiuterių standžiųjų diskų.

Iš darbuotojo namų buvo pavogtas darbo kompiuteris, kuriame buvo neskelbtini asmens duomenys, socialinio draudimo duomenys ir duomenys apie nepilnamečius.

Kietasis diskas nebuvo užšifruotas.

Tyrimo metu paaiškėjo, kad beveik 1200 savivaldybės nešiojamųjų kompiuterių taip pat nebuvo užšifruoti.

• Sausio 24 d. Jungtinės Karalystės Nacionalinis kibernetinio saugumo centras paskelbė nerimą keliančią ataskaitą apie trumpalaikį dirbtinio intelekto poveikį kibernetinei grėsmei.

Ataskaitoje ypač pažymima, kad Dirbtinis intelektas neabejotinai padidins kibernetinių atakų apimtį ir poveikį per ateinančius dvejus metus, patobulindamas esamą taktiką, metodus ir procedūras.

Jis taip pat pažymi, kad dirbtinis intelektas sumažina sunkumus mėgėjams kibernetiniams nusikaltėliams, kurie netrukus galės vykdyti sudėtingas sukčiavimo atakas, kurias gavėjams bus sunku atpažinti.

 

• Sausio pabaigoje vidaus rinkos komisaras Thierry Bretonas ir JAV vidaus saugumo sekretorius Alejandro N. Mayorkas aptarė ES ir JAV bendras veiksmų planas dėl kibernetiniu požiūriu saugių produktų, po ES ir JAV aukščiausiojo lygio susitikimo 2023 m. spalio mėn.

Šio Komisijos ir atitinkamų JAV reguliavimo agentūrų bendradarbiavimo tikslas – ištirti galimą abipusį kibernetinio saugumo reikalavimų, taikomų vartotojų aparatinei ir programinei įrangai, susijusiai su daiktų internetu, pripažinimą.

Veiksmų planas grindžiamas ES kibernetinio atsparumo teisės aktų sistema ir Jungtinių Amerikos Valstijų siūloma kibernetinio saugumo ženklinimo programa („Cyber Trust Mark Act“).

• Bideno ir Harriso administracija paskelbė pagrindines dirbtinio intelekto priemones sausio 29 d., po prezidento Bideno vykdomojo įsakymo, priimto prieš tris mėnesius.

Dekrete visų pirma numatyta nustatyti esminius informacijos atskleidimo reikalavimus galingiausių sistemų kūrėjams, įvertinti dirbtinio intelekto keliamą riziką ypatingos svarbos infrastruktūrai ir „trukdyti užsienio subjektų pastangoms kurti dirbtinį intelektą žalingais tikslais“.

Atitinkamos federalinės agentūros ir departamentai nurodė, kad per 90 dienų atliko visus dekrete numatytus veiksmus, ir nurodė ilgalaikių priemonių įgyvendinimo eigą.

• Kanados vyriausybė sukūrė „asmeninės informacijos ir privatumo žodynėlį“, kuriame yra daugiau nei 300 sąvokų anglų ir prancūzų kalbomis.

Jame taip pat pateikiama kita terminologinė informacija (kuri gali skirtis priklausomai nuo įrašo), įskaitant kitus pavadinimus, apibrėžimus, pastabas ir naudojimo pavyzdžius.

• Du Carnegie tarptautinės taikos fondo tyrėjai paragino Pietų Afrikos vyriausybę teikti didžiausią prioritetą kibernetiniam saugumui ir imtis tvirtesnės lyderystės šioje srityje tarptautinėje arenoje.

Nepaisant skaitmeninės priklausomybės, tyrėjai nurodo, kad šalies kibernetinei strategijai labai trūksta finansavimo, o vyriausybė neturi aiškios pozicijos debatuose dėl kibernetinio valdymo.

Pietų Afrikos mokslo ir pramonės tyrimų tarybos duomenimis, Pietų Afrika yra Afrikos šalis, į kurią šios kibernetinės atakos nukreipiamos dažniausiai, ir užima aštuntą vietą pasaulyje.