„Legal Watch“ Nr. 79 – 2025 m. sausio mėn. 

Profesionalių duomenų talpinimas: saugokitės vartotojų platformų.

Duomenų prieglobos paslaugų teikėjų įsipareigojimai kovoje su vaikų pornografija daro labai didelę įtaką jiems patikėtų dokumentų konfidencialumui.

Tai neseniai savo sąskaita atrado Paryžiaus advokatas, kai „Google“ diske saugojo itin neskelbtiną konfidencialią informaciją, susijusią su baudžiamąja byla.

Paryžiaus apeliacinio teismo sausio 24 d. sprendimas primena teisininkams, taip pat visiems specialistams, dirbantiems su jautriais duomenimis, kad duomenų konfidencialumas nėra garantuojamas tokiose prieglobos paslaugose kaip „Google Drive“.

Iš tiesų, „Google“, kaip ir bet kuri kita bendrovė, kuriai taikomi JAV įstatymai, kovos su seksualine prievarta prieš vaikus kontekste gali ištrinti prieglobos paskyrą arba el. pašto paskyrą, jei įtariama, kad duomenys neteisėti.

Šiuo konkrečiu atveju advokato, kuris „Google“ diske buvo išsaugojęs kelias dešimtis vaikų pornografijos vaizdų, apdorotų teisėtame baudžiamosios bylos kontekste, paskyra „Drive“ ir „Gmail“ buvo ištrintos.

Jis taip pat buvo praneštas NCMEC (Nacionaliniam dingusių ir išnaudojamų vaikų centrui).

Susidūręs su advokatu, kuris iš „Google“ reikalavo grąžinti jo duomenis ir atlyginti žalą, Teismas patvirtino, kad failų turėjimas, net ir profesiniu kontekstu, nepateisino jų saugojimo ir kad paskyros sustabdymas bei ataskaitos pateikimas buvo teisėti pagal teisines prievoles, kurios yra privalomos prieglobos paslaugų teikėjui.

Verta prisiminti, kad aptikimo algoritmai, kurie nuolat nuskaito saugomus failus ir el. laiškus, neatskiria teisėtai saugomų jautrių failų nuo neteisėto turinio, taip pat asmeninės ar profesinės veiklos.

Paskyra gali būti sustabdyta be įspėjimo ir be jokių teisių gynimo priemonių, o tai reiškia, kad advokatas gali prarasti tiesioginę prieigą prie savo bylų ir komunikacijos, net ir vykdydamas teisėtą verslą.

Be to, kalbant apie vaikų pornografiją, Amerikos prieglobos paslaugų teikėjai, kurie jau nuskaito savo serveriuose saugomą turinį, privalo pranešti apie vartotoją kompetentingai Prancūzijos policijos tarnybai, būtent OFMIN.

Saugių paslaugų naudojimas yra dar svarbesnis užsiimant reglamentuojama profesija.

Šiuo atžvilgiu prisiminkime ANSSI 2023 m. paskelbtą ataskaitą apie kibernetinių grėsmių advokatų kontoroms būklę.

Nors teisininkai, kaip ir gydytojai, paprastai turi specialią ir saugią sistemą („e-Drive“) bei adresą (avocat.fr), tai nebūtinai taikoma visoms profesijoms, ypač toms, kurios nėra reglamentuojamos.

Šiandien Europos taisyklės, ypač Prancūzijos LCEN (2004 m. birželio 21 d. įstatymas dėl pasitikėjimo skaitmenine ekonomika), nenumato prievolės, kad prieglobos paslaugų teikėjai sistemingai nuskaitytų saugomus duomenis, tačiau numato prievolę atlikti patikrinimą gavus pranešimą apie pažeidimą ir kilus įtarimui dėl jo.

Vis dėlto teisinė sistema galėtų keistis Europos lygmeniu, priėmus būsimą CSAR reglamentą, kuriuo siekiama užkirsti kelią seksualinei prievartai prieš vaikus ir su ja kovoti.

Nors niekas neginčija tikslų pagrįstumo, planas leisti sistemingai nuskaityti privačius pranešimus sukelia aršias diskusijas.

Šiuo metu bet kokiu atveju primygtinai rekomenduojama:

• Naudoti specialistams skirtus debesijos sprendimus, kurie, jei reikia, yra sukurti reglamentuojamoms profesijoms ir užtikrina profesinės paslapties laikymąsi;
• Griežtai atskirti asmeninį ir profesionalų naudojimą;
• Šifruoti duomenis nuo pradžios iki galo;
• Pasirinkti suverenią prieglobos paslaugų teikėją, įsikūrusį Prancūzijoje arba bent jau Europoje.

 

Vasario 10 ir 11 dienomis Prancūzija priims... Dirbtinio intelekto (DI) veiksmų aukščiausiojo lygio susitikimas, kuris Didžiuosiuose rūmuose suburs valstybių ir vyriausybių vadovus, tarptautinių organizacijų lyderius, mažų ir didelių įmonių generalinius direktorius, akademinės bendruomenės, nevyriausybinių organizacijų atstovus, menininkus ir pilietinės visuomenės narius.

CNIL paskelbė savo 2025–2028 m. strateginį planąPastarąją sudaro keturios pagrindinės ašys:

• Dirbtinis intelektas,
• Nepilnamečių teisės,
• Kibernetinis saugumas
• Kasdienis skaitmeninių įrenginių naudojimas.

Jame bus daugiausia dėmesio skiriama dviem iš šių panaudojimo būdų: mobiliosioms programėlėms ir skaitmeninei tapatybei.

Šių metų pradžioje CNIL taip pat skelbia keletą duomenų valdytojams skirtų gairių.

Galutinę savo versiją ji paskelbė sausio 31 d. Duomenų perdavimo už Europos Sąjungos ribų poveikio vertinimo vadovas.

Sausio 23 d. paskelbtame įraše ji primena mums apie patikrinimai, atliekami naudojantis internete laisvai prieinamomis duomenų bazėmis arba pateikė trečioji šalis.

Taip pat reaguojama į didelio masto duomenų nutekėjimus, kurie 2024 m. paveikė milijonus žmonių, ir siūlomos saugumo stiprinimo priemonės, siekiant pašalinti išpuolių riziką.

Tai susiję su vidinėmis įmonės procedūromis, taip pat su atsargumo priemonėmis, kurių reikia imtis subrangos atveju.

Ji vis dar prisimena ją rekomendacijos, kaip integruoti SDK (programinės įrangos kūrimo rinkinius) į mobiliąsias programasir nurodo, kad atliks patikrinimus, siekdama užtikrinti jų atitiktį BDAR.

Galiausiai ji jį paskelbė sausio 20 d. savo kontrolės priemonių peržiūra pagal koordinuotus Europos veiksmus, susijusius su teisės susipažinti su duomenimis laikymosi užtikrinimu, ir pažymi, kad duomenų valdytojų įgyvendinamos priemonės kartais yra nepakankamos: pavyzdžiui, kai asmenys pasinaudoja savo teise susipažinti su visais savo duomenimis, kai kurios organizacijos pateikia tik dalinį arba neišsamų atsakymą.

Vartotojų asociacija UFC-Que Choisir pralaimėjo bylą prieš „Google“.

2019 m. birželį ji pateikė kolektyvinį ieškinį prieš bendrovę, pasmerkdama BDAR prieštaraujančią praktiką: įkyrią geolokaciją, judesių sekimą be sutikimo, nepageidaujamą tikslinę reklamą.

Kolektyvinis ieškinys buvo pagrįstas CNIL sprendimu, kuriuo „Google“ buvo skirta rekordinė 50 mln. eurų bauda.

Asociacija reikalavo po 1000 eurų už kiekvieną nukentėjusį vartotoją, iš viso 27 milijardus eurų.

Paryžiaus teismas atmetė prašymą, nurodydamas, kad nepakanka įrodymų, ir įpareigojo asociaciją sumokėti „Google“ 10 000 eurų bylinėjimosi išlaidų.

 

Europos institucijos ir įstaigos

Sausio 16 d. Europos duomenų apsaugos valdyba priėmė pseudonimų suteikimo gaires.

Juose nurodomas pseudonimų apibrėžimas ir taikymo sąlygos, taip pat jų privalumai.

Jie taip pat pateikia nemažai pavyzdžių.

Nors pseudoniminimas neatleidžia duomenų nuo BDAR taikymo, jis vis dėlto sumažina su tvarkymu susijusią riziką (pavyzdžiui, išpirkos reikalaujančios programinės įrangos atveju).

Gairės laukia komentarų iki vasario 28 d.

Trečiadienį, sausio 29 d., Europos Sąjungos Bendrasis Teismas (GC) priėmė sprendimą Europos duomenų apsaugos valdybos (EDPB) naudai ginče su Airijos duomenų apsaugos institucija (DPA).

Komiteto sprendime, kurį apskundė Airija, prašoma Duomenų apsaugos institucijos išplėsti tyrimą dėl „Meta“ BDAR pažeidimų.

Teismas pažymi, kad „tyrimo išplėtimas, kurio būtinai prašo bent pusė priežiūros institucijų (...), priešingai nei teigia pareiškėjas, nėra skirtas apsunkinti skundą pateikusio asmens ar jo taikymo srities duomenų valdytojo užduotį, o yra priemonė jų atitinkamoms teisėms ginti“ (§56).

Savo sprendime byloje T-354/22 Europos Sąjungos Bendrasis Teismas pasmerkė Europos Komisiją už BDAR pažeidimą, susijusį su internetine registracija į jos pačios organizuotą renginį.

Naudodama pagrindiniame puslapyje pateiktą nuorodą „susisiekite su „Facebook“, Komisija „sudarė sąlygas, leidžiančias perduoti pareiškėjo IP adresą „Facebook““ ir atitinkamai Jungtinėms Amerikos Valstijoms.

Tuo metu „Privatumo skydas“ buvo panaikintas, todėl perdavimas buvo laikomas prieštaraujančiu Reglamento 2018/1725 46 straipsniui.

Teismas nusprendė, kad „pareiškėjo nurodyta moralinė žala turi būti laikoma realia ir neabejotina“, nes duomenų perdavimas „pareiškėjui sukėlė nesaugumo situaciją, susijusią su jo asmens duomenų, ypač IP adreso, tvarkymu“.

Šis sprendimas gali turėti pasekmių, jei „Duomenų privatumo sistema“ bus panaikinta, nes ji pripažįsta, kad vien interneto vartotojo prijungimas prie JAV paslaugos yra asmens duomenų perdavimas Jungtinėms Valstijoms.

2025 m. sausio 9 d. sprendime „Mousse“ byloje (C-394/23) Europos Sąjungos Teisingumo Teismas (ESTT) nusprendė, kad nebūtina klausti traukinio bilietų pirkėjų, ar juos reikėtų vadinti „pone“, ar „ponia“.

Teismas primena, kad „kad asmens duomenų tvarkymas būtų laikomas būtinu sutarčiai įvykdyti, kaip tai suprantama pagal šią nuostatą, jis turi būti objektyviai būtinas tikslui, kuris yra neatsiejama sutartyje numatytos paslaugos, skirtos atitinkamam asmeniui, dalis, pasiekti“.

Šiuo atveju Teismas nurodo, kad, regis, egzistuoja praktiškas ir mažiau įkyrus sprendimas: atitinkama įmonė galėtų pasirinkti bendravimą, pagrįstą bendromis, įtraukiomis mandagumo formulėmis, nesusijusiomis su numatoma lytine tapatybe.

Sausio 9 d. sprendime ESTT taip pat išaiškino kriterijus, pagal kuriuos apibrėžiami „pertekliniai“ prašymai pagal BDAR 57(4) straipsnį, pabrėždamas, kad svarbus ne tik duomenų subjekto pateiktų prašymų skaičius, bet ir piktnaudžiavimo ketinimai, slypintys už šių prašymų.

Šis sprendimas susijęs su APD, tačiau duomenų valdytojams įdomus jo pagrindimas.

ESTT mano, kad priežiūros institucijos turi įrodinėjimo naštą ir privalo įrodyti prašymą pateikusio asmens piktnaudžiavimo ketinimus.

2024 m. gruodžio 19 d. ESTT sprendime (byla C-65/23) išaiškinta, kad nors įmonių susitarimai gali būti konkretus teisinis pagrindas, darbdaviai privalo užtikrinti, kad tokio tipo susitarimai atitiktų BDAR.

Šiuo konkrečiu atveju Vokietijos įmonė ir jos darbo taryba buvo sudariusios susitarimus dėl darbuotojų duomenų tvarkymo.

Ginčas buvo susijęs su naujos debesijos pagrindu sukurtos programinės įrangos, per kurią asmens duomenys buvo perduodami į serverius Jungtinėse Valstijose, naudojimu.

ESTT pabrėžia, kad nacionaliniai teismai privalo patikrinti, ar laikomasi visų BDAR principų, net jei duomenų tvarkymas grindžiamas kolektyvine sutartimi.

 

Naujienos iš Europos Sąjungos šalių narių.

Belgijoje Belgijos duomenų apsaugos tarnyba (APD) sausio 7 d. papeikė darbdavį už neteisėtą įtarimų dėl vieno iš jo darbuotojų įvykdyto nepilnamečio užpuolimo nagrinėjimą.

Darbdavio saugumo vadovas paprašė Prancūzijos nacionalinio saugumo tarnybos pratęsti vieno iš savo darbuotojų patikimumo pažymėjimo galiojimą, tačiau Tarnyba šį prašymą atmetė motyvuotu sprendimu, kuris buvo perduotas vadovybei ir darbuotojui.

Tačiau vadovybė šią informaciją perdavė asmens tiesioginiam vadovui, kuris jam pradėjo drausmines priemones.

APD nurodo daugybę pažeidimų, įskaitant teisinio pagrindo trūkumą, duomenų perdavimą be suderinamo tikslo, neteisėtą jautrių duomenų tvarkymą ir skaidrumo stoką atitinkamo asmens atžvilgiu.

Danijoje APD patenkino FC „Copenhagen“ prašymą naudoti veido atpažinimo technologiją futbolo rungtynių metu pagal nacionalinę teisę, motyvuodama tuo, kad numatomas nušalinimas yra svarbus viešasis interesas.

Leidimas renginiams, išskyrus futbolo rungtynes, nebuvo išduotas.

Danijos asociacija „Danes je nov dan“ pristatė įrankį, skirtą vartotojų gebėjimui atpažinti dirbtinio intelekto sukurtą turinį patikrinti ir kartu informuoti juos apie su netinkamu jo naudojimu susijusią riziką.

Pateikta interaktyvios viktorinos forma, priemonė apima įvairias sritis, tokias kaip sintetinių vaizdų, tekstų ir vaizdo įrašų atpažinimas.

Kitaip nei Danijos kolega, Ispanijos duomenų apsaugos agentūra (APD) nusprendė, kad pasirenkamos veido atpažinimo sistemos, naudojamos patekimui į futbolo stadioną valdyti, įdiegimas pažeidė duomenų kiekio mažinimo principą, nes egzistavo mažiau invazinės alternatyvos, ir remdamasi tuo skyrė 200 000 eurų baudą atsakingiems asmenims.

Ispanijos duomenų apsaugos tarnyba (APD) taip pat skyrė 200 000 eurų baudą operatoriui „CI Postal“ už tai, kad 2022 m. rugsėjo–spalio mėn. šis viešose erdvėse paliko apie 8000 laiškų, kuriuos jam patikėjo kelios įmonės.

APD atkreipia dėmesį į BDAR 5(1)(f) straipsnio ir 32 straipsnio, susijusių su konfidencialumu ir saugumu, pažeidimą ir atkreipia dėmesį į tai, kad nėra pašto atsekamumo sistemos ir nepakankamai apmokyti darbuotojai duomenų apsaugos taisyklių srityje.

Taip pat bendrovė „Generali España“ skyrė 4 000 000 eurų baudą, nes nustatė didelių trūkumų bendrovės duomenų saugumo požiūriuose., kuris leido neįgaliotai trečiajai šaliai pasiekti daugiau nei 25 000 buvusių klientų duomenis.

Estijos duomenų apsaugos tarnyba (APD) skyrė „Asper Biogene“ 85 000 eurų (10 proc. apyvartos) baudą už tai, kad ši tinkamai neapsaugojo jautrių duomenų išpirkos reikalaujančios programinės įrangos atakos metu..

Įmonė atlieka genetinius tyrimus, tokius kaip tėvystės nustatymas ir paveldimų ligų patikra.

Hakeriams pavyko atsisiųsti daugiau nei 33 GB PDF failų, nei anoniminių, nei pseudonimų, susijusių su maždaug 100 000 estų.

Graikijoje Duomenų apsaugos tarnyba (DPA) skyrė 50 000 eurų baudą Klimato krizės ir civilinės saugos ministerijai už tai, kad ji nepaskyrė duomenų apsaugos pareigūno (DAP)., taip pažeisdami, be kita ko, BDAR 37 straipsnį.

Kinijos startuolis „Deepseek“ sausio pabaigoje pristatė pokalbių robotą, panašų į „OpenAI“ „ChatGPT“ ir „Microsoft“ „Co-Pilot“.

Be Amerikos gigantų kaltinimų, kad „Deepseek“ naudojo jų pačių sistemų sugeneruotus duomenis, Kinijos pokalbių robotas jau patraukė Italijos duomenų apsaugos tarnybos (APD) dėmesį: sausio 30 d. APD užblokavo pokalbių robotą Italijoje ir pradėjo tyrimą gavusi iš „Deepseek“ atsakymus, kurie buvo pripažinti visiškai nepakankamais į jos klausimus.

Airijos, Belgijos ir Prancūzijos APD taip pat nurodė, kad ėmėsi nagrinėti šį klausimą.

Sprendimų dėl „tamsių raštų“ sausainiuose daugėja.ent: Švedijoje APD papeikė lošimų bendrovę dėl prasto jos slapukų reklamjuostės dizaino.

Sutikimo parinkties grafinis paryškinimas ir papildomi veiksmai, reikalingi norint atsisakyti slapukų, sutikimą lėmė negaliojantį pagal BDAR 6 straipsnį.

APD taip pat paskelbė tris papeikimus įmonėms, kurios nuo kelių mėnesių iki kelerių metų integravo „Meta“ auditorijos matavimo paslaugą („Meta Pixel“) į savo tinklalapius.

Ši integracija nukreipė srautą į „Meta“ nematomu būdu vartotojams.

 

JK duomenų apsaugos tarnyba (DPA) sausio 23 d. pranešime spaudai paskelbė, kad sprendžia 1000 didžiausių JK svetainių atitikties slapukų reikalavimams problemą.

ICO taip pat skelbia „strategiją“, kuria siekiama užtikrinti, kad internetinis stebėjimas suteiktų žmonėms „aiškius pasirinkimus ir pasitikėjimą, kaip naudojama jų informacija“, ir naujas gaires dėl „sutikimo arba mokėjimo“ modelių.

Jungtinėse Valstijose trys demokratai Privatumo ir pilietinių laisvių priežiūros tarybos (PCLOB), kuriai pavesta peržiūrėti nacionalinio saugumo stebėjimo programas privatumo požiūriu, nariai buvo atleisti sausio 27 d., kai atsisakė atsistatydinti, kaip prašė Baltieji rūmai.

PCLOB, atsižvelgiant į Europos ir Jungtinių Valstijų „Duomenų privatumo sistemą“, buvo laikoma esmine priemone gerbti asmenų teises masinio stebėjimo klausimais.

Šios priemonės poveikis transatlantinio susitarimo gyvybingumui iki šiol nežinomas.

Atšaukęs buvusio prezidento Joe Bideno vykdomąjį įsakymą dėl dirbtinio intelekto, Donaldas Trumpas pasirašė naują, kuris „panaikina tam tikras galiojančias dirbtinio intelekto politikos kryptis ir gaires, kurios trukdo Amerikos inovacijoms dirbtinio intelekto srityje, ir sudaro sąlygas Jungtinėms Valstijoms ryžtingai veikti siekiant išlaikyti savo, kaip pasaulinės dirbtinio intelekto lyderės, poziciją“.

Sausio 23 d. „OpenAI“ pristatė savo „Operatoriaus“ agentą, apibūdinamą kaip „agentą, kuris gali prisijungti prie interneto ir atlikti užduotis už jus“.

Nors generatyvinės dirbtinio intelekto programos gali, pavyzdžiui, atsakyti į klausimus, apibendrinti tekstus ir kurti sintetinius vaizdus bei vaizdo įrašus, agentinės dirbtinio intelekto programos gali atlikti sudėtingesnes užduotis – ne tik kurti, bet ir įgyvendinti turinį.

Taigi operatorius skirtas automatizuoti tokias užduotis kaip atostogų planavimas, formų pildymas ar maisto prekių užsakymas.

Jis apmokytas sąveikauti su įprastais žiniatinklio mygtukais, meniu ir teksto laukais, taip pat gali užduoti papildomų klausimų, kad dar labiau suasmenintų šias užduotis.

Atviroji dirbtinio intelekto technologija paaiškina, kad vartotojai gali bet kada valdyti ekraną.