„Legal Watch“ Nr. 73 – 2024 m. liepa.  

Debesijos paslaugos: kokie kriterijai lemia kokį pasirinkimą?

Nuo Covid pandemijos pradžios debesijos paslaugomis vis dažniau naudojamasi tiek viešajame, tiek privačiame sektoriuose.

Nors Europos sistema šioje srityje tampa aiškesnė, šiandien vis dar lieka daug neaiškumų.

• Ar turėtume rinktis prancūzišką, europietišką debesį, kuris atitiktų suverenaus debesies reikalavimus?
• Kokia rizika kyla patikint savo duomenų valdymą GAFAM įmonėms?

Nors nėra teisinio suverenaus debesies apibrėžimo, paprastai manoma, kad jis turi užtikrinti suverenitetą trimis pagrindiniais lygmenimis:

• Duomenys,
• Operacijos,
• Infrastruktūra.

Todėl debesijai turi būti keliami aukšti skaitmeninio saugumo ir duomenų apsaugos reikalavimai techniniu, operaciniu ir teisiniu požiūriu, o tiksliau – išimtinė kompetencija nacionalinėje teritorijoje.

Todėl būkite atsargūs dėl ne Europos bendrovių teiginių apie „suverenią Europos debesiją“.

Prancūzija Europos Sąjungoje išsiskiria dėl itin griežtų reikalavimų. ypač po to, kai buvo įdiegta „SecNumCloud“ sistema ir gegužės 21 d. priimtas SREN įstatymas, kuriuo siekiama apsaugoti ir reguliuoti skaitmeninę erdvę.

Šis įstatymas įpareigoja valstybės administracijas ir jų operatorius, naudojančius privataus teikėjo teikiamą debesijos paslaugą, įdiegti konkrečius saugumo ir apsaugos kriterijus kompiuterinių sistemų, apdorojančių ypač jautrius duomenis, veikimui.

Tikslas – užkirsti kelią bet kokiai neteisėtai trečiųjų šalių valstybių valdžios institucijų prieigai prie duomenų.

Tai ypač aktualu atsižvelgiant į Debesijos įstatymą, kuris suteikia JAV saugumo tarnyboms teisę be išankstinio leidimo susipažinti su duomenimis, kuriuos saugo už jų teritorijos ribų esančios įmonės.

Šie įsipareigojimai atitinka Prancūzijos valstybės savo administracijoms sukurtos „debesų centre“ doktrinos dvasią.

Nors jie nėra privalomi privačiam sektoriui, jie išlieka naudingi kaip rekomendacijos, ypač kai tvarkomi neskelbtini duomenys, pavyzdžiui, sveikatos ar mokslinių tyrimų srityje.

O kaip dėl debesijos paslaugų plėtros kitur Europoje?

Yra daug kokybiškų paslaugų, pavyzdžiui, Vokietijoje ir Šveicarijoje.

Tačiau atrodo, kad suverenios debesijos sąvoka dažnai aiškinama plačiau nei Prancūzijos kontekste: Vokietijos modelis apibrėžia kaip suverenią bet kokią ES teritorijoje esančią debesiją, kurią parduoda Europos įmonė, turinti ES piliečių darbuotojų ir specialius saugumo reikalavimus, susijusius su prieiga prie duomenų, net jei debesijos paslaugą praktiškai siūlo, pavyzdžiui, Amerikos įmonės dukterinė įmonė.

Šia kryptimi šiuo metu juda Europos Sąjungos debesijos paslaugų sertifikavimo (EUCS) projektas.

Naujausioje kovo mėnesio versijoje šis projektas „nebeleidžia paslaugų teikėjams įrodyti, kad jie apsaugo saugomus duomenis nuo bet kokios užsienio valstybės prieigos, kitaip nei „SecNumCloud“ kvalifikacija Prancūzijoje“.

Šiais žodžiais CNIL įspėja naująją Europos Komisiją, vadovaujamą Ursulos von der Leyen, dalyvaujančią sprendimų priėmimo procese dėl EUCS.

Tarp priežasčių, pateiktų siekiant pateisinti suvereniteto reikalavimų pašalinimą iš projekto, yra galimi Jungtinių Valstijų ar Kinijos kaltinimai protekcionizmu.

Savo ruožtu CNIL apgailestauja, be asmens duomenų pažeidimo rizikos, ir dėl šio Europos reikalavimų mažinimo poveikio Europos debesijos paslaugų teikimo skatinimui.

Atsižvelgiant į dabartinį netikrumą Europos fronte, „SecNumCloud“ sistema yra naudinga nuoroda, ypač tvarkant jautrius ar strateginius duomenis. 

ANSSI svetainėje skelbiamas debesijos paslaugų, kvalifikuotų kaip „SecNumCloud“, sąrašas: jame pateikiamas liepos 17 d. atnaujintas 14 debesijos paslaugų, atitinkančių kvalifikacijos reikalavimus, sąrašas ir dar aštuonios, kurios šiuo metu yra kvalifikacijos procese.

Nepaisant „SecNumCloud“ platformos, atsižvelgiant į dabartinį teisinį kontekstą, kitos Europos debesijos paslaugos išlieka patrauklios, palyginti su jų tarptautiniais konkurentais.

Nors duomenų apsaugos lygis Jungtinėse Valstijose šiuo metu laikomas tinkamu, verta prisiminti, kad pirmuosius du ES susitarimus panaikino Europos Teisingumo Teismas ir kad Maxas Schremsas, inicijavęs pirmuosius du veiksmus, ketina tokį patį likimą patirti ir „duomenų privatumo sistemoje“.

 

         

Liepos 11 d. išvadose Europos Sąjungos Teisingumo Teismo (ESTT) generalinis advokatas nusprendė dėl poreikio tvarkyti su lytimi („ponas arba ponia“) susijusius duomenis siekiant teikti SNCF traukinių paslaugas.

Kadangi šių duomenų rinkimas SNCF formose yra privalomas, Valstybės Taryba, į kurią kreipėsi asociacija „Mousse“, kreipėsi į ESTT, paklausdama, ar šis duomenų rinkimas galėtų būti grindžiamas BDAR 6.1.a straipsniu (sutikimas) arba 6.1.b straipsniu (būtinas sutarčiai vykdyti).

Generalinės Asamblėjos teigimu, toks tvarkymas nėra būtinas paslaugai teikti, nes šiuo atveju nėra klausimo apie atskirus vagonus vyrams ar moterims, o SNCF pripažino, kad bendraudama su klientais sistemingai nenaudoja šios informacijos.

Generalinis prokuroras visų pirma primena duomenų mažinimo principo taikymą ir mini „Bundeskartellamt“ sprendimą, kuriame Teismas pareiškė, kad „kad asmens duomenų tvarkymas būtų laikomas būtinu sutarčiai vykdyti (...), jis turi būti objektyviai būtinas tikslui, kuris yra neatsiejama duomenų subjekto sutartinės prievolės dalis“.

Todėl duomenų valdytojas turi galėti įrodyti, kaip pagrindinio sutarties tikslo negalima pasiekti, jei atitinkamas tvarkymas neatliekamas.

Generalinė Asamblėja daro išvadą, kad šiuo konkrečiu atveju vartotojo lytis nėra būtina.

Patikimų trečiųjų šalių skaitmeniniame sektoriuje federacija paskelbė „Skaitmeninių kelionių ir sutikimo gerosios praktikos vadovą“.

Skaitmeninių parašų reguliavimo kontekste tikslas yra „užtikrinti, kad visų komponentų sujungimas išplėstinėje pasitikėjimo grandinėje visame procese pateiktų reikiamus įrodymus, įrodančius proceso nuoseklumą ir patikimumą a posteriori“.

Birželio 21 d. Valstybės Taryba iš dalies panaikino 2021 m. dekretą, susijusį su teisėsaugos institucijų naudojimu dronais..

Valstybės Taryba nusprendė, kad kai kurios šio dekreto nuostatos neproporcingai pažeidžia teisę į privatų gyvenimą ir susirinkimų laisvę.

Dronų naudojimas demonstracijoms filmuoti gali būti leidžiamas tik tuo atveju, jei tikėtina, kad bus sutrikdyta viešoji tvarka ir jei įrašyti vaizdai yra būtini siekiant užkirsti kelią tokiems sutrikdymams arba patraukti kaltus asmenis baudžiamojon atsakomybėn.

Be to, filmuojami asmenys turi būti tinkamai informuoti apie dronų naudojimą ir savo duomenų apsaugos teises (per AFCDP).

Valstybės Taryba patvirtino lytinių ląstelių donorų teisę pagal BDAR 21 straipsnį nesutikti su jų asmens duomenų perdavimu iš organizacijos, kurioje jie paaukojo organizmą, į centrinį donorų registrą.

 

Europos institucijos ir įstaigos

Šiuo metu vyksta ginčas tarp Europos Komisijos ir Europos duomenų apsaugos priežiūros pareigūno (EDAPP) dėl „Microsoft Office 365“ naudojimo.

Komisija iš tiesų gegužės viduryje pradėjo teisinius veiksmus, siekdama užginčyti EDAPP tyrimo dėl šių paslaugų naudojimo išvadas.

EDAPP ypač kritikuoja Komisiją už tai, kad ji nesuteikė garantijų dėl duomenų perdavimo Jungtinėms Amerikos Valstijoms. 

Teigiama, kad Komisija savo sutartyje su „Microsoft“ taip pat nepakankamai nurodė renkamų asmens duomenų rūšis ir tvarkymo tikslus, taip pažeisdama ES BDAR.

EDAPP paragino Komisiją sustabdyti atitinkamus perdavimus ir iki gruodžio 9 d. pradėti laikytis įstatymo. Komisijos išvados liepos viduryje buvo paskelbtos ES oficialiajame leidinyje.

Liepos 12 d. Europos Komisija išsiuntė X (anksčiau „Twitter“) savo preliminarias išvadas dėl atitikties Europos skaitmeninių paslaugų reglamentui (DSA).

2023 m. gruodžio mėn. pradėtos procedūros konkrečiai nukreiptos į „tamsius modelius“, reklamos skaidrumą ir tyrėjų prieigą prie duomenų.

Elonas Muskas jau paskelbė, kad teisme apskųs Komisijos išvadas.

Liepos vidurio plenarinėje sesijoje Europos duomenų apsaugos valdyba (EDAV) priėmė deklaraciją dėl duomenų apsaugos institucijų (DAI) vaidmens Dirbtinio intelekto reglamento kontekste.

Reglamente nustatyta, kad valstybės narės iki 2025 m. rugpjūčio 2 d. paskiria nacionalines „rinkos priežiūros institucijas“, kurios prižiūrės jo taikymą ir įgyvendinimą.

Pasak EDAV, duomenų apsaugos institucijos (DAI) jau turi patirties, susijusios su dirbtinio intelekto poveikiu pagrindinėms teisėms, todėl jos turėtų būti paskirtos rinkos priežiūros institucijomis, taip užtikrinant geresnį skirtingų reguliavimo institucijų koordinavimą ir didesnį teisinį tikrumą visoms suinteresuotosioms šalims.

Pažymėtina, kad dirbtinio intelekto reglamentas, kuris buvo paskelbtas liepos 12 d. ES oficialiajame leidinyje, įsigaliojo rugpjūčio 1 d.

EDAV taip pat priėmė du dokumentus (DUK) dėl Europos Sąjungos ir Jungtinių Amerikos Valstijų susitarimo dėl asmens duomenų apsaugos, siekdama pateikti daugiau informacijos apie tai, kaip jis veikia.

Šie dokumentai skirti, viena vertus, privatiems asmenims, ir, kita vertus, įmonėms.

Liepos 11 d. ESTT užėmė poziciją byloje, kurioje bendrovė „Meta“ buvo paprieštarauta Vokietijos vartotojų organizacijų federacijai.

Teismas priminė, kad duomenų valdytojo pareiga teikti informaciją duomenų subjektams yra šių asmenų teisės į informaciją pagal BDAR 12 ir 13 straipsnius išdava ir todėl yra viena iš teisių, kurias galima ginti pareiškiant atstovaujamąjį ieškinį pagal BDAR 80 straipsnio 2 dalį.

Teismas taip pat pažymėjo, kad informavimo įsipareigojimų pažeidimas gali sutrukdyti duomenų subjektui duoti „informuotą“ sutikimą ir dėl to duomenų tvarkymas gali būti neteisėtas pagal Reglamento 5(1)(a) straipsnį (per GDPRhub).

„Microsoft“ liepos 19 d. pateko į antraštes kitame kontekste, kai vienas iš jos subrangovų „Crowdstrike“ išplatino klaidingą „Falcon Sensor“ saugos programinės įrangos atnaujinimą.

Maždaug 8,5 milijono „Microsoft Windows“ kompiuterių, naudojančių šią programinę įrangą, sugedo ir negalėjo tinkamai paleisti iš naujo, o tai buvo apibūdinta kaip „didžiausias sutrikimas informacinių technologijų istorijoje“.

Teisiniu požiūriu, dėl tokio gedimo atsiradęs duomenų neprieinamumas yra saugumo pažeidimas, dėl kurio reikia imtis priemonių, visų pirma pagal Europos NIS2 direktyvą (kuri bus taikoma nuo kitų metų spalio mėn.).

Europos duomenų apsaugos valdyba (EDAV) mano, kad tai taip pat yra asmens duomenų saugumo pažeidimas, kaip apibrėžta BDAR 4(12) straipsnyje, įskaitant pažeidimus, dėl kurių netyčia ar neteisėtai prarandami duomenys.

Priklausomai nuo pasekmių, tai reiškia pranešimą duomenų apsaugos institucijoms ir susijusiems asmenims.

Ši pozicija šiuo metu diskutuojama, kai kurie specialistai mano, kad duomenų neprieinamumas nėra nuostolis pagal BDAR, o kiti nurodo kartais gyvybiškai svarbias pasekmes, kylančias dėl prieigos prie duomenų blokavimo atitinkamiems asmenims.

 

Naujienos iš Europos šalių narių.

Vokietijos teismas nusprendė, kad „Google Ireland Limited“, kaip „Google“ paieškos sistemos operatorė, yra atsakinga už paieškos rezultatų rodymą, nepaisant to, kad paieškos rezultatus teikia JAV įsikūrusi bendrovė „Google LLC“.

Danijoje duomenų apsaugos institucija papeikė Imigracijos ir integracijos ministeriją už saugojimo apribojimo principo pažeidimą, nes ši nesilaikė savo duomenų saugojimo politikos.

Birželio 27 d. Ispanijos administracinių ginčų rūmai „Audiencia Nacional“ nusprendė, kad Ispanijos duomenų apsaugos tarnyba (APD) yra kompetentinga nagrinėti skundą, pateiktą prieš JAV įsikūrusią bendrovę „Clearview AI“.

Teismas rėmėsi ankstesniais kelių duomenų apsaugos institucijų sprendimais, įskaitant Italijos institucijos sprendimus ir 2021 m. lapkričio 26 d. CNIL sprendimą, kuriame jis nustatė, kad „Clearview“ patenka į BDAR 3 straipsnio 2 dalies b punkto taikymo sritį.

CNIL atsižvelgė į bendrovės „Clearview“ atliktą nuotraukų paiešką internete, šių nuotraukų URL adresus ir jų metaduomenis, o tai leido jai identifikuoti ir sukurti išsamų atitinkamų asmenų profilį ir tokiu būdu sekti šių asmenų elgesį.

Italijoje APD skyrė 30 000 eurų baudą duomenų valdytojui po duomenų pažeidimo, įvykusio dėl pasenusios TVS priemonės, kuri yra labai pažeidžiama kibernetinių atakų, naudojimo.

Lietuvos duomenų apsaugos tarnyba (APT) skyrė 2 385 276 eurų baudą bendrovei „Vinted“, nes jos „paslėptų išskyrimų“ praktika (kai vartotojas pašalinamas iš platformos jo neinformuojant) ir neatsakymas į prašymus ištrinti duomenis prieštarauja sąžiningumo ir skaidrumo principams.

Šiuo konkrečiu atveju ieškovai, kilę iš Prancūzijos ir Lenkijos, susisiekė su atitinkamomis savo valdžios institucijomis.

Skundai buvo perduoti Lietuvos institucijai, kuri yra pagrindinė institucija šiame kontekste, atsižvelgiant į tai, kad pagrindinė „Vinted“ buveinė yra Lietuvoje.

Liuksemburge teismas patvirtino APD skirtą 18 000 eurų baudą duomenų valdytojui už tai, kad šis tiesiogiai neįtraukė grupės duomenų apsaugos pareigūno į duomenų apsaugos klausimus ir nesuteikė jam pakankamai išteklių.

Nyderlandų duomenų apsaugos tarnyba (APD) skyrė 600 000 eurų baudą svetainei „Kruidvat.nl“ už sekimo slapukų įdiegimą negavus vartotojų sutikimo.

Duomenų apsaugos institucija taip pat nusprendė, kad iš anksto pažymėtas langelis, leidžiantis naudoti sekimo slapukus, nėra laikomas laisva valia duotu, konkrečiu, informuotu ir nedviprasmišku sutikimu.

 

Birželio 19 d. JK duomenų apsaugos tarnyba (ICO) paskelbė savo sprendimą dėl „Snap“ programėlės „My AI“ ir atitikties įsipareigojimui atlikti duomenų apsaugos poveikio vertinimą (DPAV).

Sprendime pateikiamos išsamios pastabos apie ICO lūkesčius dėl poveikio duomenų apsaugai vertinimų (DPAV) išsamumo lygio apskritai ir konkrečios pastabos dėl bendrosios paskirties dirbtinio intelekto ir su vaikais susijusio dirbtinio intelekto.

Kadangi Jungtinės Karalystės teisė, kuria grindžiamos šios nuostatos, vis dar beveik identiška ES teisei, šios pastabos gali būti naudingos ir už JK ribų.

Liepos 30 d. ICO taip pat paskelbė pranešimą spaudai, kuriame teigė, kad papeikė Rinkimų komisiją už tai, kad ši neapsaugojo savo serverių, o tai leido įsilaužėliams pasiekti maždaug 40 milijonų žmonių asmeninę informaciją.

Jungtinėse Amerikos Valstijose Senate buvo pateiktas dirbtinio intelekto įstatymo projektas („Turinio kilmės apsaugos ir vientisumo nuo redaguotos ir giliai suklastotos žiniasklaidos įstatymas (KOPIJUOTAS ĮSTATYMAS)“), kuriuo siekiama kovoti su giliosiomis klastotėmis, padidinti dirbtinio intelekto skaidrumą ir suteikti daugiau galių turinio kūrėjams.

JAV Senatas liepos pabaigoje priėmė Vaikų saugumo ir privatumo internete įstatymą.

Šis dviejų partijų įstatymo projektas apjungia kelis įstatymų projektus, susijusius su saugumu, vaikų ir paauglių privatumo apsauga internete ir filtravimo skaidrumu, susijusiu su dirbtinio intelekto naudojimu.

Dabar tekstą turi patvirtinti Atstovų Rūmai.

Liepos 23 d. pareiškime Federalinė prekybos komisija nurodė, kad įpareigojo aštuonias bendroves pateikti jai informaciją apie produktus ir paslaugas, kurie naudoja asmens duomenis, įskaitant finansus ir naršymo istoriją, kad suasmenintų kainodarą asmenims.

Šie įsakymai skirti padėti FTC geriau suprasti neskaidrią trečiųjų šalių tarpininkų siūlomų produktų rinką, kurie naudoja pažangius algoritmus, taip pat vartotojų duomenis (vietą, demografinius duomenis, kreditingumą ir naršymo ar pirkimo istoriją), kad suskirstytų asmenis į kategorijas ir nustatytų jiems tikslines kainas.

Nors „Google“ pradėjo palaipsniui šalinti trečiųjų šalių stebėjimo slapukus iš „Chrome“ per savo „privatumo smėlio dėžę“ (sekimo sistemą, kuri pristatoma kaip privatumą užtikrinanti, bet kitur ginčijama), liepos 22 d. bendrovė paskelbė, kad atsisako šio projekto.

Užuot pašalinusi trečiųjų šalių slapukus, „Google“ pristatytų „naują „Chrome“ naršyklės patirtį, kuri leistų vartotojams priimti informacija pagrįstą sprendimą, taikomą visam jų naršymui internete“, pasirinkimą, kurį būtų galima bet kada pakeisti.

Britų ODA pareiškė, kad apgailestauja dėl projekto atsisakymo.

Malavio duomenų apsaugos įstatymas įsigaliojo liepą.

Ji prisijungs prie dabar jau ilgo Afrikos šalių, turinčių įstatymą, apsaugantį asmens duomenis, sąrašo.

Be to, Afrikos atsakingo dirbtinio intelekto observatorija praėjusių metų kovą paskelbė dokumentą pavadinimu „Atsakingo dirbtinio intelekto valdymas Afrikoje: rezultatais pagrįsto reguliavimo perspektyvos“.