„Legal Watch“ Nr. 78 – 2024 m. gruodžio mėn. 

Kokios duomenų apsaugos perspektyvos 2025 m.?

Naujieji metai tęsiasi palaipsniui įgyvendinant Europos Sąjungos „skaitmeninį paketą“.bet ir naujus teisės aktus, kuriais siekiama sustiprinti asmens duomenų apsaugą susidūrus su kibernetinių grėsmių keliamais iššūkiais.

Kadangi dirbtinis intelektas vis labiau paplitęs versle, galime tikėtis sprendimų priėmimo poslinkio link autonominių sistemų, kurios palieka mažiau vietos žmogaus sprendimui, o toks naudojimas kelia riziką duomenų kokybei ir apsaugai.

Šią naują praktiką reglamentuoja Dirbtinio intelekto reglamentas, nors visos jo nuostatos bus taikomos tik 2026 m. rugpjūčio mėn..

Kaip matysime toliau pateiktose naujienose, jo įgyvendinimas jau yra gairių objektas, ką rodo neseniai Europos duomenų apsaugos valdybos (EDAV) pateikta nuomonė.

Duomenų valdytojai taip pat turės atsižvelgti į Skaitmeninių paslaugų reglamentą (DSR), kuris taikomas nuo vasario 17 d.kuri nustato naujus įpareigojimus, ypač susijusius su skaidrumu, turinio moderavimu ir naudotojų apsauga.

Pasak Prancūzijos duomenų apsaugos pareigūnų asociacijos (AFCPD), šie reglamentai sukuria dubliavimąsi ir reikalauja, kad duomenų apsaugos pareigūnai, nors ir gana sunkiai, palaikytų bendrą vaizdą, kad užtikrintų nuoseklų laikymąsi. Asociacija pateikia žmogiškųjų išteklių duomenų tvarkymo pavyzdį, kuris, priklausomai nuo naudojamų technologijų, tokių kaip dirbtinis intelektas, gali pasikeisti iš nejautrios į jautrią kategoriją.

"Ši sąveika kelia esminių klausimų apie darnų teisinių įsipareigojimų valdymą."

Kalbant apie saugumą, 2024 m. gruodžio 10 d. įsigaliojo Europos reglamentas dėl kibernetinio atsparumo (Kibernetinio atsparumo įstatymas, CRA), o dauguma jo nuostatų bus taikomos 2027 m.

CRA tikslas – sustiprinti vartotojų ir verslo duomenų apsaugą nuo kibernetinių grėsmių. Šis teisės aktas nustato prievoles prijungtų produktų gamintojams, kūrėjams ir mažmenininkams dėl kibernetinio saugumo vertinimų ir informacijos.

Tame pačiame kontekste nuo sausio 17 d. bus taikomas Europos reglamentas dėl skaitmeninio operacinio atsparumo (Skaitmeninio operacinio atsparumo įstatymas, DORA)..

Juo nustatomi griežti reikalavimai, siekiant užtikrinti finansų įstaigų skaitmeninį atsparumą ir valdyti su informacinėmis technologijomis susijusią operacinę riziką, ypač riziką, susijusią su išorės tiekėjais.

Europos direktyva dėl tinklų ir informacinių sistemų saugumo (NIS2) iš principo taikoma nuo spalio 17 d., kai ji turėjo būti perkelta į Prancūzijos teisę.

Teksto taikymo sritis išplėsta, palyginti su NIS1 direktyva, ir jis konkrečiai skirtas infrastruktūrai ir subjektams, kurie yra būtini tinkamam ekonominės ir visuomeninės veiklos veikimui vidaus rinkoje.

Visiškam atitikimui numatyti numatyti trejų metų laikotarpis, tačiau reikėtų greitai įdiegti bent vieną būtiniausią reikalavimą, būtent reguliuojamo subjekto registraciją ANSSI, pranešimą apie incidentus ir investicijų į saugumo sprendimus įrodymą.

Kadangi perkėlimo įstatymas dar nepriimtas, šiandien lieka neaiškumų dėl reguliuojamų subjektų nustatymo ir konkrečių veiksmų, kurių reikia imtis.

Taip pat yra tam tikro netikrumo dėl kelių Europos projektų terminų: kaip dėl ilgai vykdomo ePrivatumo projekto?

Nors Komisija savo pirmąjį reglamento projektą paskelbė 2017 m. sausio mėn., šiuo metu laukiama Europos Parlamento pozicijos per pirmąjį svarstymą.

Šis tekstas sukelia gyvas diskusijas dėl sutikimo su slapukais principo taikymo ir komunikacijos konfidencialumo.

Taip pat turėtume paminėti galimą Trumpo prezidentavimo poveikį „Duomenų privatumo sistemai“ ir, plačiau, duomenų mainams tarp Europos Sąjungos ir Jungtinių Valstijų.

Galiausiai, BDAR galėtų būti atnaujintas, ypač susijęs su duomenų perdavimu, duomenų apsaugos institucijų (DAI) koordinuotais tyrimais ir jo suderinimu su (būsiu) E. privatumo reglamentu.

Galiausiai, matome kolektyvinių veiksmų raidą ES: Kaip pranešėme praėjusį mėnesį, NVO noyb dabar gali pareikšti kolektyvinius ieškinius bet kurioje valstybėje narėje.

Šiuo metu ES yra 43 kiti kvalifikuoti subjektai, įskaitant Airijos pilietinių laisvių tarybą ir Suomijos duomenų apsaugos ombudsmeną, kuris šiuo metu pirmininkauja Europos duomenų apsaugos valdybai.

„Noyb“ nurodė, kad planuoja pirmuosius teisinius ieškinius pateikti 2025 m.

Teisminių ginčų rizika, į kurią įmonės turėtų žiūrėti rimtai.

 

      

Oficialiajame leidinyje sausio 1 d. paskelbtame sprendime CNIL yra susirūpinusi dėl planuojamų „France Travail“ informacinių sistemų atnaujinimų.

2023 m. gruodžio mėn. priimtas visiško užimtumo įstatymas numato atnaujintą paramos kelią darbo ieškantiems asmenims, kuris visų pirma grindžiamas duomenų analize ir jų dalijimusi su daugeliu regioninių ir vietos organizacijų.

CNIL rekomenduoja saugumo priemones, pritaikytas prie rizikos.

CNIL rengia BDAR sertifikavimą subrangovams Siekdama sukurti tinkamą sistemą, ji pradeda viešas konsultacijas iki vasario 28 d.

Sertifikavimas turėtų padėti duomenų valdytojams pasirinkti subrangovus, „užtikrindamas, kad subrangovo atliekamas tvarkymas būtų įvertintas kaip atitinkantis CNIL pripažinto standarto kriterijus“.

Pranešime spaudai, paskelbtame 2024 m. gruodžio 12 d. CNIL paskelbė, kad oficialiai įspės interneto svetainių leidėjus, prašydamas pakeisti klaidinančiomis laikomus slapukų reklaminius skydelius.

Institucija primena vartotojams, kad slapukus galima patalpinti tik gavus jų sutikimą.

Be to, atsisakyti slapukų turėtų būti taip pat paprasta, kaip juos priimti.

Verta priminti, kad kelios duomenų apsaugos institucijos, įskaitant Belgijos instituciją, jau užėmė griežtą poziciją reikalaudamos, kad abu priėmimo ir atmetimo pasiūlymai būtų vienodo lygio ir vienodai matomi.

2024 m. gruodžio 5 d. CNIL (Prancūzijos duomenų apsaugos tarnyba) skyrė 240 000 eurų baudą bendrovei „Kaspr“. visų pirma už tai, kad „LinkedIn“ tinkle surinko naudotojų, kurie vis dėlto pasirinko apriboti savo matomumą, kontaktinius duomenis.

Komisija įpareigoja bendrovę ištrinti šiuos duomenis arba, jei to padaryti neįmanoma, jei šių duomenų, kurių matomumas buvo apribotas, neįmanoma atskirti nuo kitų duomenų, informuoti vartotojus „per 3 mėnesius apie jų duomenų tvarkymą ir galimybę tam nesutikti“.

Be neteisėto kontaktinių duomenų rinkimo ir skaidrumo stokos tvarkymo metu, CNIL taip pat kritikuoja „Kaspr“ už duomenų saugojimą penkerius metus – laikotarpį, kuris laikomas per ilgu specialistams, kurie dažnai keičia darbą.

Lapkričio 14 d. CNIL skyrė telekomunikacijų bendrovei „Orange“ 50 000 000 eurų baudą už reklamos įkėlimą į el. pašto dėžutes. ir įdiegė slapukus vartotojų įrenginiuose be jų sutikimo.

Bendrovei buvo nurodyta atnaujinti savo praktiką arba gresia papildomos baudos.

Vasario 10 ir 11 dienomis Prancūzijoje vyks Dirbtinio intelekto (DI) veiksmų aukščiausiojo lygio susitikimas.

Šiame kontekste CNIL, Paryžiaus-Saclay universitetas ir Kano-Normandijos universitetas sausio 23 d. suburs ekspertus ir tyrėjus, kad aptartų būdus, kaip užkirsti kelią dezinformacijai, sukčiavimui ir privatumo pažeidimams, pasinaudojant dirbtiniu intelektu.

Gruodžio 11 d. Prancūzijos dirbtinio intelekto observatorija, ruošdamasi dirbtinio intelekto aukščiausiojo lygio susitikimui, taip pat surengė seminarą apie dirbtinio intelekto plėtros poveikį darbui ir užimtumui.

Diskusijose daugiausia dėmesio skirta iššūkiams, susijusiems su dirbtinio intelekto priimamų sprendimų paaiškinamumu.

Sausio 3 d. Audito rūmai paskelbė ataskaitą apie sveikatos priežiūros įstaigų IT saugumą.

Ji pažymi, kad „2023 m. 10 proc. kibernetinių atakų aukų Prancūzijoje buvo sveikatos priežiūros įstaigos. Jų pažeidžiamumas visų pirma susijęs su padidėjusiu jų informacinių sistemų sujungimu su išoriniu pasauliu ir lėtiniu investicijų į skaitmenines technologijas trūkumu.“

Šie išpuoliai gali turėti rimtų pasekmių įstaigų veikimui ir pacientų priežiūrai.

Valdžios institucijos sureagavo pavėluotai, finansuodamos penkerių metų prevencijos ir apsaugos programą. Šį pagreitį reikia išlaikyti.

Sveikatos apsaugos ministerija išreiškė susirūpinimą dėl „Sveikata“ paslaugos, naujos „Doctolib“ programėlės funkcijos, kūrimo. kuriuo siūloma centralizuoti apdraustųjų asmenų medicininę informaciją.

Atrodo, kad ši funkcija kopijuoja „Mano sveikatos erdvė“ – skaitmeninį sveikatos įrašą, kurį valstybė sukūrė 2019 m. liepos 24 d. įstatymu dėl sveikatos sistemos organizavimo ir pertvarkymo.

Gruodžio 12 d. nevyriausybinė organizacija „noyb“ pateikė skundą prieš Prancūzijos socialinės žiniasklaidos platformą „BeReal“. dėl bendrovės naudojamų „tamsių šablonų“, siekiant gauti naudotojų sutikimą.

Kai vartotojai atidaro programėlę, jiems rodomas iššokantis langas, kuriame jų prašoma pasakyti „taip“ arba „ne“, kad jų asmens duomenys būtų naudojami reklamos tikslais: jei vartotojai spustelės „sutinku“, jie daugiau niekada nematys sutikimo juostos.

Tačiau jei jie atmes taikymą, reklamjuostė bus rodoma kiekvieną dieną, kol jie sutiks.

 

Europos institucijos ir įstaigos

Europos duomenų apsaugos valdyba (EDAV) gruodžio 18 d. priėmė nuomonę dėl dirbtinio intelekto modelių. Šioje nuomonėje analizuojama:

• Kaip įvertinti ir įrodyti, kad dirbtinio intelekto modelis yra anonimiškas;
• Ar teisėtas interesas gali būti teisinis pagrindas dirbtinio intelekto modelių mokymui ar naudojimui;
• Pasekmės, kai dirbtinio intelekto modelis apmokomas naudojant neteisėtai apdorotus asmens duomenis.

Komiteto nuomone, klausimas, ar dirbtinio intelekto modelis yra anonimiškas, turi būti vertinamas kiekvienu atveju atskirai: turi būti praktiškai neįmanoma („labai mažai tikėtina“) (1) tiesiogiai ar netiesiogiai identifikuoti asmenis, kurių duomenys buvo panaudoti modeliui sukurti, ir (2) išgauti šiuos asmens duomenis iš modelio naudojant užklausas.

Pranešime pateikiamas anonimiškumo įrodymo būdų sąrašas.

Kalbant apie teisėtą interesą, nuomonėje pateikiamos gairės duomenų apsaugos institucijoms (DAI), vertinančioms, ar šis teisinis pagrindas yra tinkamas.

Galiausiai, kai dirbtinio intelekto modelis buvo sukurtas iš neteisėtai apdorotų asmens duomenų, tai gali turėti įtakos jo diegimo teisėtumui, nebent modelis buvo tinkamai anonimizuotas.

Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) priėmė sprendimą, kuriuo nustatyta, kad Europos Komisija neteisėtai taikėsi į Europos piliečius rodydama jiems reklamas, pagrįstas „neskelbtinais“ asmens duomenimis, susijusiais su jų politinėmis pažiūromis.

Skundą inicijavusi NVO „noyb“ nurodo, kad diskusijų dėl internetinių diskusijų kontrolės („Pokalbių kontrolės“) reglamento projekto kontekste Europos Komisija įvardijo Nyderlandus kaip valstybę narę, kuriai nori daryti politinę įtaką.

Šiuo tikslu ji „Twitter“/X tinkle paskelbė žinutes, kuriose netiesiogiai reklamavo šį reglamentą liberaliems arba kairiųjų pažiūrų vartotojams.

 

Naujienos iš Europos Sąjungos šalių narių.

Vokietijos automobilių gamintoja „Volkswagen“ Naujųjų metų išvakarėse atsidūrė tyrimo centre po to, kai žiniasklaidos leidinys „Spiegel“ atskleidė, kad bendrovė paviešino daugiau nei 800 000 Europos transporto priemonių geolokacijos duomenis.

Ši informacija leido sužinoti beveik 500 000 transporto priemonių padėtį 10 centimetrų tikslumu.

Pranešama, kad Prancūzijoje paveikta daugiau nei 50 000 „Volkswagen“, „Audi“, „Skoda“ ir „Seat“ markių transporto priemonių.

Vokietijoje Hamburge įsikūrusiam paslaugų teikėjui vietos duomenų apsaugos institucija skyrė 900 000 eurų baudą už asmens duomenų saugojimą iki penkerių metų po nustatyto termino.

APD teigimu, „nepriimtina, kad skaitmeninių sektorių veikėjai nesukūrė nuoseklios ištrynimo procedūros“ (per AFCDP).

Ispanijoje APD sankcionavo automobilių garažą, kuris įtraukė savo klientų bylą į „WhatsApp“ grupę, taip 150 klientų duomenis (telefonų numerius, vardus ir nuotraukas) matydama visiems grupės nariams.

APD nustatė BDAR 6(1) straipsnio, reikalaujančio galiojančio teisinio pagrindo bet kokiam asmens duomenų tvarkymui, pažeidimą ir skyrė bendrovei 3 000 eurų baudą.

Ispanija nusprendė uždrausti mokyklose naudoti „Google Workspace for Education“.

Šis sprendimas buvo priimtas remiantis Ispanijos duomenų apsaugos agentūros (APD) ataskaita, kurioje teigiama, kad vyksta „invazinis asmeninės informacijos rinkimas“.

Ši ataskaita buvo parengta Švietimo ministerijos užsakymu.

Airijos duomenų apsaugos komisija (DPC) gruodžio 17 d. paskelbė skyrusi „Meta“ 251 000 000 eurų baudą už tai, kad ji neužkirto kelio duomenų pažeidimui, kuris pakenkė milijonų „Facebook“ vartotojų duomenims, ir už tai, kad tinkamai nedokumentavo šio pažeidimo.

Praėjus dviem dienoms po to, kai Europos duomenų apsaugos valdyba paskelbė savo nuomonę dėl dirbtinio intelekto, Italijos duomenų apsaugos institucija gruodžio 20 d. skyrė „OpenAI“ 15 000 000 eurų baudą.

Ji mano, kad bendrovė naudojo interneto vartotojų asmens duomenis „ChatGPT“ apmokymui „neturėdama tinkamo teisinio pagrindo ir pažeidė skaidrumo principą bei susijusius informacijos teikimo vartotojams įsipareigojimus“.

2023 m. pabaigoje APD pradėtas tyrimas taip pat atskleidė, kad įmonė neįdiegė tinkamos amžiaus patvirtinimo sistemos, kad jaunesni nei 13 metų vartotojai nebūtų paveikti netinkamo dirbtinio intelekto sukurto turinio.

„Open AI“ taip pat turės pradėti komunikacijos kampaniją šalyje įvairiose žiniasklaidos priemonėse, kad visuomenė būtų informuota apie „ChatGPT“ veikimą ir primintų jai apie jos teises.

Ar vis dar galime naudoti „OpenAI“ modelį ir „ChatGPT“ API, kad teiktume savo generatyvines dirbtinio intelekto paslaugas?

Italijos sprendime klausimas paliekamas atviras, nurodant, kad jį turės spręsti Airijos valdžios institucija pagal BDAR 56 straipsnio mechanizmą.

Italijos duomenų apsaugos tarnyba (APD) lapkričio 13 d. taip pat užėmė poziciją dėl nepilnamečių nuotraukų publikavimo „Facebook“ tinkle, primindama, kad būtinas abiejų tėvų sutikimas.

Šiuo konkrečiu atveju jaunesnio nei 14 metų vaiko tėvas „Facebook“ tinkle pasidalijo savo nuotrauka, norėdamas parodyti savo panašumą į nuotraukoje taip pat esantį įbrolį.

Vaiko motina, išsiskyrusi su tėvu, nesėkmingai paprašė jo pašalinti nuotrauką iš „Facebook“ ir pateikė skundą APD.

Gruodžio 6 d. Nyderlandų valdžia taip pat perspėjo Nacionalinį archyvą neskelbti Nyderlandų karo archyvų internete.

Šiuose dokumentuose yra bylų apie asmenis, įtariamus bendradarbiavimu su okupantais Antrojo pasaulinio karo metu, įskaitant neskelbtinus duomenis, tokius kaip religija, politinės pažiūros, sveikata ar etninė kilmė, kartais dar gyvų žmonių.

Nors jie neabejotinai vertingi, Nacionalinio archyvo būdas, kuriuo jis nori šiuos duomenis paskelbti internete, pažeidžia Archyvų įstatymą ir BDAR, teigia APD.

Todėl ji ragina geriau kontroliuoti prieigos prie duomenų sąlygas.

Gruodžio 18 d. APD skyrė baudą „Netflix“ už tai, kad ši tinkamai neinformavo savo klientų apie jų duomenų tvarkymą nuo 2018 iki 2020 m.

Be to, „Netflix“ pateikta informacija kai kuriais klausimais buvo neaiški.

Dėl šios priežasties APD skyrė 4 750 000 eurų baudą transliacijų paslaugai.

Nuo to laiko „Netflix“ atnaujino savo privatumo pareiškimą ir patobulino informaciją.

Švedijoje APD skyrė 200 000 SEK (17 366 eurų) baudą nuomotojui už aštuoniolikos kamerų įrengimą gyvenamojo namo bendrose patalpose ir už tai, kad šis neatsakė į informacijos prašymą.

 

Lapkričio mėnesį paskelbtame tyrime „Vietos, judėjimo ir darbo vietos užimtumo stebėjimas darbo vietoje“ analizuojamos darbuotojų elgesio stebėjimo ir profiliavimo technologijos, naudojant judesio jutiklius ir WIFI infrastruktūrą įmonės patalpose.

Šiame tyrime daugiausia dėmesio skiriama galimoms pasekmėms darbuotojams Europoje ir nagrinėjami labiausiai paplitę „Cisco“, „Juniper“, „Spacewell“, „Locatee“ ir kitų panašių technologijų tiekėjų siūlomi sprendimai.

„Cisco“ teigia, kad iki šiol apdorojo 17 200 milijardų „vietos duomenų taškų“, surinktų per daugiau nei tris milijonus „Wi-Fi“ prieigos taškų, įrengtų 250 000 pastatų visame pasaulyje.

Tyrime trumpai aptariama, kaip darbuotojai priešinosi darbdavių siūlomam judesio jutiklių įrengimui (per AFCDP).

Po „WhatsApp“ 2019 m. inicijuoto teisinio proceso Kalifornijos teisėjas gruodžio pabaigoje pripažino Izraelio bendrovę „NSO Group“, šnipinėjimo programos „Pegasus“ kūrėją, kalta dėl įsilaužimo.

Šį nutarimą šios pramonės priešininkai laiko „istoriniu“.

Pasak „WhatsApp“ direktoriaus Willo Cathcarto, „NSO grupė teigia atsakingai tarnaujanti vyriausybėms, tačiau išsiaiškinome, kad praėjusių metų gegužę per išpuolį buvo taikinyje daugiau nei šimtas žmogaus teisių gynėjų ir žurnalistų; šie piktnaudžiavimai turi liautis“.

Gruodžio pradžioje JAV vyriausybė atskleidė, kad Kinija nulaužė 8 Amerikos operatorių (įskaitant AT&T, „Verizon“ ir „Lumen Technologies“) sistemas.

Šnipinėjimas susijęs su naujuoju RCS formatu, skirtu SMS žinutėms siųsti tarp „iPhone“ ir „Android“ išmaniųjų telefonų.

FTB ir Kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) pareiškė, kad įsilaužimo kampanija, kurią „Microsoft“ praminė „Salt Typhoon“, yra vienas didžiausių įsilaužimų istorijoje.

Hakeriai gavo prieigą prie skambučių įrašų, tiesioginių telefono skambučių iš konkrečių asmenų ir netgi įslaptintų teismo nutarčių.

Valdžios institucijos pataria naudoti saugias ir užšifruotas pranešimų siuntimo programas, kad būtų išvengta privačių pranešimų atskleidimo.