„Legal Watch“ Nr. 81 – 2025 m. kovas. 

Duomenų pažeidimai: kokios teisėsaugos institucijos ir kokios sankcijos?

Kas neseniai negavo el. laiško iš savo telekomunikacijų paslaugų teikėjo arba iš NVO, kuriai kas mėnesį aukoja, informuojančio, kad jų kontaktiniai duomenys, identifikatoriai ir kartais banko duomenys buvo nutekinti?

Duomenų saugumo pažeidimų daugėjimo laikotarpiu IT sistemų apsauga tampa svarbia problema įmonėms.

Nuo BDAR ir NIS2 direktyvos įsigaliojimo duomenų tvarkymo saugumas yra griežtai reglamentuojamas, o už pažeidimus duomenų valdytojams taikomos didelės baudos.

Tarp įsipareigojimų reikėtų paminėti pareigą tam tikromis sąlygomis pranešti CNIL ir atitinkamiems asmenims apie pažeidimą, jį ištaisyti ir imtis visų naudingų priemonių jo pasekmėms sušvelninti.

CNIL turi plačius tyrimo įgaliojimus, o jos misija – ne tik remti duomenų valdytojus, bet ir juos bausti, kai duomenų saugumo pažeidimas yra duomenų saugumo pažeidimo priežastis.

Pastaraisiais metais Komisija skyrė keletą sankcijų:

• 2017 m. bendrovei „Bouygues Telecom“ buvo skirta 250 000 eurų bauda už nepakankamą „B&You“ klientų svetainės saugumą, nes ji leido pasiekti 2 milijonų klientų sutartis pakeitus URL adresą.
• 2016 m. „Uber“ buvo skirta 400 000 eurų bauda už saugumo pažeidimą, kuris pakenkė 57 mln. paskyrų, ir už tai, kad per teisės aktų nustatytus terminus nepranešė CNIL.
• Visai neseniai „Dedalus Biologie“ dėl subrangovo netinkamos serverio konfigūracijos paviešino 500 000 pacientų sveikatos duomenis ir CNIL skyrė jai 1,5 mln. eurų baudą.
• Galiausiai praėjusių metų spalį kriptovaliutų saugumo bendrovei „Ledger“ buvo skirta 750 000 eurų bauda už tai, kad ji tinkamai neapsaugojo savo klientų duomenų. Bendrovė 2020 m. patyrė keletą asmens duomenų saugumo pažeidimų, apie kuriuos tylėjo, ir kurie paveikė daugybę klientų ir potencialių klientų.

Tačiau šiuo metu Komisija, regis, pirmenybę teikia paramai, o ne sankcijoms.ir savo interneto svetainėje skelbia daugybę rekomendacijų duomenų valdytojams.

Metų pradžioje ji reagavo į didelio masto duomenų nutekėjimus, kurie 2024 m. paveikė milijonus žmonių, ir pasiūlė saugumo stiprinimo priemones, skirtas atakų rizikai mažinti.

CNIL reikalauja vidinių įmonės procedūrų, taip pat atsargumo priemonių, kurių reikia imtis subrangos atveju.

Kitur Europoje, Daugeliui įmonių skiriamos baudos nuo kelių tūkstančių iki kelių šimtų tūkstančių eurų, pavyzdžiui, už tai, kad „pamiršta“ atimti buvusių darbuotojų prieigos prie kompiuterinės sistemos teises, netinkamai suprojektuoja bankininkystės programėlę ar sukonfigūruoja svetainę, per klaidą išsiunčia SIM kortelę ne tam klientui, atsisiunčia kliento failą per „WhatsApp“ arba nepakankamai kontroliuoja subrangovo veiklą.

Viršvalstybiniu lygmeniuEuropos Sąjungos Teisingumo Teismas taip pat pateikia paaiškinimų, ypač dėl kompensacijų nukentėjusiesiems.

Jei asmuo privalo įrodyti dėl duomenų saugumo pažeidimo padarytą žalą, ta žala neturi pasiekti tam tikro sunkumo laipsnio (byla C-300/21, byla C-590/22).

Taigi, asmens patiriama baimė, kad jo asmens duomenys buvo atskleisti trečiosioms šalims, gali suteikti teisę į kompensaciją, jei asmuo pateikia savo baimės įrodymus su neigiamomis pasekmėmis (byla C 340/21, byla C 687/21, byla C-590/22).

ESTT taip pat nusprendė, kad kompensacija už moralinę žalą, padarytą dėl asmens duomenų vagystės, neapsiriboja tais atvejais, kai įrodoma, kad dėl to iš tikrųjų buvo vagystė.

Taigi, atlygintina žala gali egzistuoti ir nenustačius tapatybės vagystės (bylos C 182/22 ir C 189/22).

Plečiantis kolektyviniams ieškiniams, įmonės, kurios rimtai neprisiima duomenų saugumo pažeidimų rizikos, rizikuoja ne tik CNIL sankcijomis, bet ir individualiais asmenimis imtis teisinių veiksmų.

 

 

Nacionalinė Asamblėja ketvirtadienio, kovo 20 d., vakare balsavo už tai, kad būtų išsaugotas užšifruotų pranešimų siuntimo paslaugų konfidencialumas..

Ši priemonė numatė galimybę reikalauti, kad šios pranešimų platformos („Signal“, „WhatsApp“ ir kt.) perduotų prekiautojų žmonėmis pranešimus žvalgybos tarnyboms.

„Parlamento nariai praėjusią savaitę Teisės komitete panaikino šią priemonę, kuri suvienijo daugelį kibernetinio saugumo veikėjų ir ekspertų prieš ją. Jų nuomone, yra per didelė rizika sukurti pažeidžiamumą, kuris keltų pavojų visų šių platformų naudotojų pokalbiams.“

Kad suinteresuoti specialistai „galėtų pasiruošti artėjančioms konsultacijoms ar diskusijoms“, CNIL kovo 27 d. pristatė darbo programą ir gaires, kurias nori priimti 2025 m.

Tarp aptartų temų yra praktiniai vadovai apie dirbtinį intelektą, informacinių dokumentų projektai dėl subrangovų, sveikatos, bankininkystės sektoriaus, duomenų saugojimo laikotarpių rinkodaros ir žmogiškųjų išteklių srityse, trys rekomendacijų projektai dėl sutikimo naudojant „daugiafunkcinį“ įrenginį, pikselių el. laiškuose ir vyresnio amžiaus žmonių ekonomikos; galiausiai CNIL tęs darbą vaizdo registratorių ir politinės agitacijos srityse.

CNIL sprendimas, kuriuo Europos vaistų agentūrai (EVA) suteikiami tam tikros sąlygos susipažinti su SNDS duomenų išrašais pagal DARWIN projektą (Duomenų analizės ir realaus pasaulio apklausų tinklas) ES, buvo paskelbta „Légifrance“ svetainėje.

Komisija kritikuoja ekstrateritorinės teisės pavaldus prieglobos paslaugų teikėją, kuris kelia pavojų, kad bus perduoti neskelbtini duomenys užsienio valstybėms, tačiau vis dėlto leidžia tvarkyti duomenis trejus metus duomenų imčiai ir vienerius metus po tyrimo paskelbimo.

Kovo 28 d. priimtu sprendimu Prancūzijos konkurencijos tarnyba skyrė „Apple“ 150 mln. eurų baudą. „dėl piktnaudžiavimo dominuojančia padėtimi mobiliųjų programėlių platinimo sektoriuje „iOS“ ir „iPadOS“ įrenginiuose.“

Ši priemonė konkrečiai skirta „Apple“ programų stebėjimo skaidrumo (ATT) funkcijai, kuri leidžia vartotojams lengvai pasirinkti, ar jie nori įjungti trečiųjų šalių stebėjimą.

Institucija mano, kad pati sistema „iš esmės nėra problemiška“, tačiau atkreipia dėmesį, kad ATT pernelyg apsunkina trečiųjų šalių programų naudojimą iOS aplinkoje, reikalaudama kelių sutikimo iššokančiųjų langų.

Ši paraiška ypač nubaustų mažesnius leidėjus, „kurie savo verslui finansuoti labai priklauso nuo trečiųjų šalių renkamų duomenų“.

Balandžio 1 d. priimtame sprendime Valstybės Taryba priėmė sprendimą dėl „TikTok“ blokavimo Naujojoje Kaledonijoje per praėjusį pavasarį vykusias riaušes.

Nors teismas mano, kad šiuo konkrečiu atveju galiojimo sąlygos nebuvo įvykdytos, jis vis dėlto nustato sąlygas, kuriomis toks socialinio tinklo blokavimas galėtų būti teisėtas, nuspręsdamas, kad administracinė institucija „išimtinėmis aplinkybėmis gali (...) imtis tokios [blokavimo] priemonės, jei tai būtina norint patenkinti esamus poreikius“.

Priemonė turėtų būti tokia:

• Būtinas sprendžiant ypač rimtų įvykių problemas;
• Neturint jokių techninių priemonių, leidžiančių nedelsiant įgyvendinti alternatyvias priemones;
• Ir priimta „ribotam laikotarpiui, būtinam šių alternatyvių priemonių tyrimams ir įgyvendinimui“.

 

Kovo 26 d. nutartimi Kasacinio teismo socialinių reikalų rūmai patvirtino darbuotojos teisę gauti dalinę kai kurių savo kolegų atlyginimų lapelių kopiją, siekiant įrodyti nesąžiningą elgesį. jo karjeros kelyje.

Teismas pakartoja duomenų kiekio mažinimo principą ir nurodo, kad bylą nagrinėjančio teisėjo pareiga yra „užtikrinti, kad informacija, kurią jis nurodys kaip turinčią likti matoma, būtų tinkama, aktuali ir griežtai apsiribotų tuo, kas būtina darbuotojų palyginimui, atsižvelgiant į tariamą (-us) diskriminacijos pagrindą (-us).“

 

Europos institucijos ir įstaigos

„Politico“ balandžio 3 d. straipsnyje paskelbė, kad... Europos Komisija planuoja artimiausiomis savaitėmis pateikti pasiūlymą, kaip supaprastinti BDAR..

Leidinyje teigiama, kad tai yra „vienas iš ES vykdomosios valdžios prezidentės Ursulos von der Leyen prioritetų, kuri stengiasi, kad Senojo žemyno įmonės būtų konkurencingesnės, palyginti su jų konkurentais Jungtinėse Valstijose, Kinijoje ir kitur“.

Balandžio 1 d. Komisija pristatė savo „naujos Europos vidaus saugumo strategijos“, vadinamos „ProtectEU“, veiksmų planą, kuriuo visų pirma siekiama išplėsti Europolo ir „Frontex“ įgaliojimus.

Komisija atliks duomenų saugojimo taisyklių poveikio ES lygmeniu vertinimą ir parengs technologijų veiksmų planą dėl šifravimo, „kad nustatytų ir įvertintų technologinius sprendimus, kurie leistų teisėsaugos institucijoms teisėtai pasiekti užšifruotus duomenis, kartu apsaugant kibernetinį saugumą ir pagrindines teises“.

Europos Sąjungos Teisingumo Teismo (ESTT) generalinis advokatas savo kovo 27 d. išvadose teigia, kad „WhatsApp“, būdama tiesiogiai susijusi, gali apskųsti privalomą EDPB sprendimą Europos Teisingumo Teisme pagal SESV 263 straipsnį.

Primename, kad po šio Europos duomenų apsaugos valdybos (EDAV) sprendimo 2021 m. liepos 28 d., pagal BDAR nuoseklumo mechanizmą, Airijos duomenų apsaugos komisija priėmė sprendimą, kuriuo nustatė pažeidimus, skyrė taisomąsias priemones ir administracines baudas, kurių bendra suma siekia 225 mln. eurų.

„WhatsApp“ apskundė Europos duomenų apsaugos valdybos sprendimą Europos Teisingumo Teisme, o tuo pačiu metu – galutinį Airijos APD sprendimą dėl vykdymo užtikrinimo Airijos teisme.

Tą pačią dieną Generalinė Asamblėja taip pat nusprendė, kad kasdienio naujienlaiškio siuntimas yra „tiesioginė rinkodara“, skirta „panašiems produktams ar paslaugoms“, kaip apibrėžta E. privatumo direktyvoje, ir nusprendė, kad tais atvejais, kai asmens duomenų tvarkymas yra teisėtas remiantis šia nuostata, BDAR 6 straipsnis netaikomas: tais atvejais, kai E. privatumo direktyvoje yra konkreti nuostata, numatanti įpareigojimus, kurių tikslas toks pat kaip ir atitinkamų BDAR nuostatų, turi būti taikoma „e. privatumo“ nuostata.

Kovo 20 d. Teismas galutinai nusprendė, kad BDAR suteikia duomenų subjektams teisę reikalauti teismo įsakymo neteisėto tvarkymo atvejais. Ši prevencinė galimybė siekti teismo įsakymo nesumažina kompensacinės neturtinės žalos, atsiradusios dėl tokio neteisėto tvarkymo.

Kovo 13 d. ESTT nusprendė, kad BDAR 16 straipsnis reikalauja ištaisyti viešajame registre netiksliai įrašytą translyčio asmens lytį.

Nors kompetentinga institucija gali pareikalauti netikslumų įrodymų, reikalavimas, kad atitinkamas asmuo įrodytų, jog jam buvo atlikta lyties keitimo operacija, yra jo žmogaus teisių pažeidimas.

 

Naujienos iš Europos Sąjungos šalių narių.

Vokietijoje Federalinis Teisingumo Teismas patvirtino 500 eurų neturtinės žalos atlyginimo ieškovui priteisimą už jo reputacijos pakenkimą. pagal BDAR 82 straipsnį.

Be to, jis nusprendė, kad teismas, nustatydamas žalos dydį, negali atsižvelgti nei į BDAR pažeidimo sunkumą, nei į kaltės klausimą.

Austrijos duomenų apsaugos tarnyba (APD) nurodė sunaikinti fotografo padarytas nuotraukas dėl BDAR nesilaikymo..

Fotografas viešoje svetainėje paskelbė gatvėje darytas atpažįstamų žmonių, ypač vaikų ir moterų, nuotraukas jautriame kontekste neturėdamas galiojančio teisinio pagrindo ar pakankamų garantijų (informacijos, teisės nesutikti).

„Noyb“ asociacija ką tik patyrė nesėkmę Briuselio apeliaciniame teisme..

Kovo 19 d. priimtoje nutartyje teismas konstatavo, kad...Asociacijos perduodamuose skunduose turi būti įrodytas atitinkamo asmens asmeninis suinteresuotumas..

Šiuo konkrečiu atveju Rinkos teismas nurodo, kad nerado jokio pagrindo tokiam ieškovų susidomėjimui dėl slapukų taisyklių pažeidimų.

Ji, be kitų požymių, mini, kad Noyb jokiame proceso etape neteigia, jog ieškovai buvo reguliarūs ar net retkarčiais atitinkamų interneto svetainių / laikraščių lankytojai.

Belgijoje erotinė pirtis taip pat gavo APD bylinėjimosi rūmų įspėjimą, ypač dėl to, kad tvarkė internetinę svečių knygą, kurioje buvo galima viešai skleisti neskelbtinus duomenis apie klientus.

APD atkreipė dėmesį į privatumo politikos skaidrumo stoką, teisinio duomenų tvarkymo pagrindo nebuvimą ir su duomenų tvarkymo veiklos registru susijusių įsipareigojimų nesilaikymą.

Ispanijoje APD skyrė 3 500 000 eurų baudą bankui už rimtą banko programos projektavimo klaidą, kuri leido klientams pasiekti sąskaitas, kurioms jie neturėjo leidimo.

Draudimo bendrovei taip pat buvo skirta 1 000 000 eurų bauda už kodavimo klaidą, dėl kurios 3 395 žmonių asmens duomenys, įskaitant neskelbtinus duomenis, el. paštu buvo išsiųsti 354 gavėjoms.

Graikijoje APD skyrė 3000 eurų baudą bankui už tai, kad po vidinio duomenų saugumo pažeidimo šis neįgyvendino tinkamų saugumo priemonių.

Darbuotojas, išėjęs iš įmonės, neteisėtai išsaugojo administratoriaus teises ir be leidimo prisijungė prie daugiau nei 6000 kitų darbuotojų duomenų.

Panašų sprendimą yra priėmusi ir Italijos duomenų apsaugos tarnyba (APD).

Graikijos duomenų apsaugos tarnyba (APD) paprašė nacionalinės domenų vardų tarnybos sustabdyti atitinkamos įmonės domeno vardo galiojimą, nes šis domeno vardas buvo naudojamas nesąžiningai arba pažeidžiant viešąją tvarką.

Pastaba kad ICANN lygmeniu registratoriai „sustabdė 2 528 domenų vardus ir išjungė 328 svetaines, naudojamas sukčiavimo operacijoms“ kaip atitikties priemonių įgyvendinimo dalis.

Italijos duomenų apsaugos tarnyba (APD) skyrė 300 000 eurų baudą energetikos bendrovei už neteisėtą asmens duomenų tvarkymą tiesioginės rinkodaros tikslais, netinkamą duomenų apsaugos principų įgyvendinimą ir nepakankamą darbo ieškančiųjų informavimą apie jų duomenų tvarkymą.

Liuksemburgo administracinis teismas patvirtino 746 000 000 eurų baudą, kurią APD 2021 m. skyrė „Amazon“ dukterinei įmonei už neteisėtą svetainės lankytojų duomenų tvarkymą interesais pagrįstos reklamos tikslais, už skaidrios informacijos nepateikimą ir už kelių duomenų subjektų teisių pažeidimą.

Nors pranešama, kad „Amazon“ svarsto apeliaciją, APD pareiškė, kad apeliacijos laikotarpiu ar dėl galimų procesų neatskleis jokios informacijos apie savo sprendimą.

Lenkijos duomenų apsaugos tarnyba (APD) skyrė 6,3 mln. eurų baudą pašto tarnybai už tai, kad ši įvykdė vyriausybės pateiktą duomenų tvarkymo prašymą, susijusį su 30 mln. piliečių, susijusiu su rinkimais, vykusiais COVID-19 pandemijos metu, nepatikrinusi prašymo teisinio pagrindo. 

„La Poste“ turėjo palaukti, kol bus išnaudotos visos apeliacijos galimybės dėl šio sprendimo, kurį galiausiai panaikino teismai.

 

Kovo 17 d. įsigaliojo JK internetinio saugumo įstatymas, reikalaujantis, kad internetinės platformos įgyvendintų keletą priemonių, skirtų sumažinti vaikams kylančią riziką ir apskritai pašalinti žalingą turinį.

Britų paslaugų teikėjai turi laiko iki kovo 16 d. atlikti savo paslaugų rizikos vertinimus.

JK reguliavimo institucija („Ofcom“) parengė gerosios praktikos kodeksą ir įgyvendinimo programą.

Šio įstatymo kritikai ypač kritikuoja jo taikymą pilkosioms zonoms, tokioms kaip priekabiavimas ar elgesio kontrolė, ir dėl to kylančią cenzūros riziką.

Šis įstatymas papildo du kitus britų reglamentus, kurie gali pakenkti birželio mėnesį atnaujintam JK sprendimui dėl tinkamumo: Europos Parlamento tyrimų tarnybos paskelbtame pranešime minimas Duomenų įstatymo projektas ir Tyrimo įgaliojimų įstatymo pakeitimas, kuriais siekiama išplėsti vyriausybės ir teisėsaugos institucijų prieigą prie vartotojų duomenų.

Australijos informacijos komisaro biuras kovo 19 d. paskelbė tyrimą apie Australijos viešojo sektoriaus agentūrų politiką ir praktiką, susijusią su jų pranešimų siuntimo programų naudojimu.

Ataskaitoje nustatyta, kad pranešimų siuntimo programėlės Australijos viešojoje tarnyboje dažnai naudojamos be tinkamos priežiūros ar procedūrų. Tyrime pateikiamas rekomendacijų, kaip tai spręsti, sąrašas.

Kanados privatumo komisaras ką tik išleido įrankį, skirtą įvertinti, ar asmens duomenų pažeidimas kelia realų didelės žalos pavojų asmenims.

Kinijoje „Nacionalinis interneto informacijos biuras“ kovo 13 d. paskelbė biometrinių technologijų taikymo saugumo valdymo priemones, pagal kurias veido atpažinimo veikla turi atitikti galiojančius įstatymus, reikia imtis saugumo priemonių ir kuo labiau sumažinti poveikį žmogaus teisėms.

Vokietijos laikraštis „Der Spiegel“ kovo 26 d. paskelbė, kad jam pavyko gauti prieigą prie kai kurių aukščiausių Amerikos saugumo pareigūnų, įskaitant gynybos sekretorių ir buvusį „Fox News“ laidų vedėją Pete'ą Hegsethą, asmeninių duomenų, internetinės kontaktinės informacijos ir net slaptažodžių.

Žurnalistai naudojosi viešomis paieškos sistemomis, taip pat „nulaužė klientų duomenis“, kurie buvo paskelbti internete.

Manoma, kad tarp tų, kurių informacija nutekėjo internete, taip pat yra nacionalinio saugumo patarėjas Mike'as Waltzas ir nacionalinės žvalgybos direktorė Tulsi Gabbard.

Jungtinėse Valstijose dirbtinio intelekto reguliavimas taip pat ženkliai griežtėja: 2024 m. buvo nustatyta daugiau nei 600 su dirbtiniu intelektu susijusių įstatymų projektų, iš kurių beveik 100 buvo priimti.

Tačiau apsaugos lygis kiekvienoje valstijoje labai skiriasi.

„Multistate“ svetainės siūlomas stebėjimo įrankis leidžia vizualizuoti reglamentų būklę 2025 m.

Tuo tarpu kovo 18 d. prezidentas Trumpas atleido du Federalinės prekybos komisijos (FTC) demokratus, padidindamas dabartinį netikrumą dėl vartotojų apsaugos ir kontrolės mechanizmų veiksmingumo Jungtinėse Valstijose ir dar labiau susilpnindamas transatlantinio duomenų apsaugos susitarimo stabilumą.

Vietname duomenų apsaugos įstatymas galėtų būti priimtas pavasarį.

Vyriausybė neseniai priėmė rezoliuciją, kuria siekiama paspartinti teisėkūros procesą, o Viešojo saugumo ministerijai buvo pavesta pateikti įstatymo projektą Nacionalinei Asamblėjai oficialiam priėmimui 2025 m. gegužės mėn.

Pažangūs dirbtinio intelekto vaizdų generatoriai turi didelę įtaką duomenų apsaugai, kaip rodo L. Jarosvky straipsnis.

• „Ghibli“ efektas, leidžiantis kurti vaizdus garsiųjų Myasaki animacinių filmukų stiliumi, pastarosiomis dienomis paskatino tūkstančius žmonių savanoriškai įkelti savo veidus ir asmenines nuotraukas į „ChatGPT“, taip suteikdamas „OpenAI“ tiesioginę ir nemokamą prieigą prie kelių tūkstančių naujų veidų, kad galėtų apmokyti savo dirbtinio intelekto modelius.
• Vaizdų generatoriai taip pat leidžia sukurti suklastotus įrodymus itin lengvai, pigiai ir prieinamai. Bet kas, turintis piktavališkų ketinimų, gali sukurti suklastotas sąskaitas faktūras, asmens tapatybės dokumentus, adreso įrodymus ar net banko dokumentus per kelias minutes ir praktiškai be jokių išlaidų, todėl kyla tapatybės vagystės rizika.