„Legal Watch“ Nr. 83 – 2025 m. gegužės mėn. 

Europos duomenų suverenitetas: svajonės?

„Microsoft“ užblokuotas Tarptautinio baudžiamojo teismo (TBT) generalinio prokuroro Karimo Khano el. pašto adresas kelia esminį klausimą dėl Prancūzijos ir apskritai Europos skaitmeninio suvereniteto, susidūrus su didžiaisiais technologijų žaidėjais.

Pasak AP, pono Khano el. pašto paskyra buvo užblokuota be įspėjimo, todėl jis buvo priverstas naudotis Šveicarijos interneto tiekėjo „Proton“ paslaugomis.

Kadangi teismas labai priklauso nuo tokių paslaugų teikėjų kaip „Microsoft“, jo darbas gerokai sulėtėjo.

Šis „Microsoft“ sprendimas yra tiesioginė JAV prezidento Donaldo Trumpo vasario mėnesį prieš Hagos teismą priimtų priemonių pasekmė, kai TBT teisėjų kolegija išdavė arešto orderius Izraelio ministrui pirmininkui Benjaminui Netanyahu ir jo buvusiam gynybos ministrui Yoavui Gallantui dėl karo nusikaltimų Gazos Ruože.

Prezidento dekretas konkrečiai draudžia teikti lėšas, prekes ar paslaugas TBT prokurorui ir bet kokius sandorius, kurie apeitų šiuos draudimus, remiantis tuo, kad TBT veiksmai kelia neįprastą ir nepaprastą grėsmę Jungtinių Valstijų nacionaliniam saugumui ir užsienio politikai.

Gegužės 31 d. Olandijos leidinyje šiame kontekste pažymima, kad, atsižvelgiant į viešojo sektoriaus naudojamų Amerikos serverių skaičių, „JAV vyriausybė vienu mygtuko paspaudimu galėtų užblokuoti arba manipuliuoti daugiau nei 650 Nyderlandų vyriausybės ir svarbių verslo svetainių, įskaitant „De Nederlandsche Bank“ ir policijos svetaines, taip pat Užsienio reikalų ministerijos svetainę (...). Kaip ir svetainėje „Crisis.nl“ – olandų informacijos svetainėje nelaimės atveju“.

Kitas galimų mūsų technologinės priklausomybės pasekmių pavyzdys yra neseniai nagrinėta byla tarp „OpenAI“ ir JAV teisingumo sistemos: bendrovė šiuo metu kovoja su sprendimu, įpareigojančiu ją saugoti visus „ChatGPT“ naudotojų žurnalus, įskaitant ištrintus ir jautrius pokalbių įrašus, įrašytus per jos komercinę API sąsają.

Sprendimą priėmė spaudos organizacijos, siekiančios pažeisti autorių teises ir apkaltinusios „OpenAI“ įrodymų naikinimu.

Savo atsakyme bendrovė teigia, kad teismas remiasi vien „The New York Times“ ir kitų žiniasklaidos ieškovų teiginiais ir kad „be jokios pagrįstos priežasties neleidžia „OpenAI“ gerbti savo naudotojų privatumo sprendimų“.

Neužimant pozicijos teisėtu autorių teisių laikymosi klausimu, byla verčia mus abejoti užsienio valstybių, šiuo atveju Jungtinių Valstijų, kontrole mūsų kasdieniams darbo įrankiams nuo to momento, kai jos vienos nusprendžia dėl nacionalinių interesų motyvų, pateisinančių tokią kontrolę.

Tai atrodo ypač nerimą keliančiame pasaulyje, kuriame teisinė valstybė vis labiau puolama ir kuriame politiniai aljansai kasdien svyruoja.

Šiame niūriame kontekste, kai Europa dažnai kaltinama atsilikimu, yra ir padrąsinančių naujienų: Saugios duomenų prieigos centras (CASD) gegužės viduryje tapo pirmąja duomenų talpinimo paslauga Europoje, gavusia oficialų BDAR sertifikatą, išduotą pagal BDAR 42 straipsnį ir „Europrivacy“ standartą.

Šį sertifikatą oficialiai pripažįsta 30 šalių – visų ES ir EEE valstybių narių – duomenų apsaugos institucijos.

CASD jau turi daug sertifikatų (ISO 27001, ISO 2770) ir, be kita ko, yra sveikatos duomenų priegloba (HDS).

Taip pat žinome, kad Europa šiuo metu investuoja į dirbtinį intelektą tiek finansiškai, tiek siekdama supaprastinti reglamentus (žr. naujienas toliau). IMA (Inovacijų kūrėjų aljanso) manifestas, kurį remia tokie žaidėjai kaip OVHcloud, Hexatrust ir Mistral AI, kovo mėnesį taip pat pateikė 33 pasiūlymus, skirtus dirbtiniam intelektui, debesų kompiuterijai, kibernetiniam saugumui ir viešiesiems pirkimams, siekiant skubiai atkurti pusiausvyrą... Tuo pačiu metu „Microsoft“ pasiūlė Europos vyriausybėms nemokamą kibernetinio saugumo programą.

Europos iniciatyvos pasieks visą savo potencialą tik tuo atveju, jei vystysis mūsų refleksai – tiek strateginiai pasirinkimai dėl dirbtinio intelekto įrankių, prieglobos paslaugų, tiek skaitmeninės higienos: prieš perduodant ar saugant duomenis, iš pradžių būtina apdoroti tik griežtai būtinus duomenis ir įgyvendinti, tiek viešajame, tiek privačiame sektoriuje, praktikas ir chartijas, kurios sumažintų šių duomenų kontrolės praradimo riziką.

 

2025 m. gegužės 15 d. CNIL skyrė bendrovei „Solocal Marketing services“ 900 000 eurų baudą už potencialių klientų paiešką be jų sutikimo ir jų duomenų perdavimą partneriams be galiojančio teisinio pagrindo.

Tą pačią dieną ji skyrė 80 000 eurų baudą bendrovei „Caloga“ už potencialių klientų paiešką be jų sutikimo ir jų duomenų perdavimą partneriams be galiojančio teisinio pagrindo.

Gegužės pabaigoje parlamento narys ir CNIL narys Philippe Latombe parlamentiniu klausimu apklausė ekonomikos, finansų ir pramonės bei skaitmeninio suvereniteto ministrą apie daugelio viešųjų įstaigų pasirinkimą teikti papildomą sveikatos draudimą savo darbuotojams savitarpio draudimo bendrovėje ALAN.

Jis atkreipia dėmesį, kad „šis prancūzų vienaragis (...) savo duomenis talpina „Amazon Web Services“ (AWS) platformoje ir todėl jam taikoma Amerikos teisės ekstrateritorinė galia“.

Parlamentaras klausia vyriausybės, ar ji svarsto galimybę, „siekdama apsaugoti savo agentų jautrius duomenis ir laikytis savo išleistų direktyvų, prašyti ALAN pereiti prie suverenaus debesies“.

Gegužės 5 d. sprendime Valstybės taryba perdavė Europos Sąjungos Teisingumo Teismui (ESTT) prejudicinį klausimą dėl sutikimo apimties: byla susijusi su bendrove „Canal+“, kuriai 2023 m. spalio mėn. CNIL skyrė sankcijas už tai, kad ji naudojo savo interneto paslaugų teikėjų partnerių surinktus duomenis elektroninės rinkodaros tikslais, nors duodant sutikimą partneriai nebuvo aiškiai įvardyti.

Valstybės Taryba iš esmės klausia ESTT, ar sutikimas, duotas pagrindiniam duomenų valdytojui (pvz., interneto paslaugų teikėjui), kad „jo partneriai“ tvarkytų duomenis, gali būti laikomas pakankamu, kad kiekvienas iš šių partnerių būtų įgaliotas vykdyti rinkodaros kampanijas, net jei jie nėra identifikuoti duomenų rinkimo metu.

Balandžio 25 d. Valstybės Taryba (ET) atsisakė sustabdyti CNIL sprendimą, kuriuo Europos vaistų agentūrai (EMA) buvo leista tvarkyti duomenis ligų paplitimo ir sergamumo tyrimui pagal projektą „DARWIN EU“.

Pareiškėjas teigė, kad priemonė buvo skubi, nes siūlomas tvarkymas buvo susijęs su 10 milijonų Prancūzijos piliečių sveikatos duomenimis, kuriuos saugotų „Microsoft“, todėl juos reikėtų perduoti Jungtinėms Valstijoms, kur apsaugos priemonės būtų nepakankamos.

CE mano, kad „nors negalima visiškai atmesti galimybės, kad Jungtinių Valstijų valdžios institucijos per prieglobos teikėjo patronuojančiąją bendrovę gali prašyti susipažinti su apdorotais duomenimis (...) ir kad pastaroji gali neturėti galimybės tam prieštarauti, dabartiniame tyrimo etape ši rizika išlieka hipotetinė“.

Antra, be to, kad „Microsoft Ireland“ turi „Sveikatos duomenų talpinimo“ (HDS) sertifikatą (...), projekto įgyvendinimas yra užtikrinamas garantijomis ir saugumo priemonėmis, visų pirma tuo, kad duomenys bus kelis kartus pseudonimizuoti ir nebus tiesiogiai identifikuojami, todėl CNIL manė, kad ši rizika buvo sumažinta iki tokio lygio, kad nebūtų pagrindo atsisakyti prašomo leidimo, kurio galiojimo laiką ji taip pat apribojo iki trejų metų.

Gegužės 13 d. Bordo apeliacinis teismas anuliavo sutartį dėl interneto svetainės kūrimo dėl asmens duomenų apsaugos taisyklių pažeidimų, ypač dėl įsipareigojimų dėl informacijos ir sutikimo, susijusio su slapukais.

Kriptovaliutų sektorius išgyvena suirutę po kelių bandymų pagrobti žmones.

„Paymium“ platformos, į kurią neseniai buvo pasikėsinta, direktorius atkreipia dėmesį į reguliavimo pokyčius, kuriais ketinama kriptovaliutų sektoriui taikyti keletą taisyklių, skirtų anonimiškumui panaikinti, kurios jau taikomos bankų sektoriui pinigų plovimo ar kovos su prekyba narkotikais klausimais.

Jie ypač taikosi į nacionalinius ir Europos mechanizmus, skirtus tam, kad lėšos nebūtų atsekamos.

Šiuos nuogąstavimus atkartoja kai kurie kibernetinio saugumo ekspertai, teigiantys, kad anonimiškumas gali būti naudojamas teisėtuose kontekstuose, tačiau juos taip pat vertina kiti, atkreipdami dėmesį į visas finansų sektoriuje jau taikomas duomenų apsaugos garantijas.

 

Europos institucijos ir įstaigos

Gegužės 21 d. Europos Komisija paskelbė pasiūlymą iš dalies pakeisti BDAR, kuriuo siekiama palengvinti MVĮ įsipareigojimus ir išplėsti juos, kad jie apimtų vidutinio dydžio įmones, kuriose dirba mažiau nei 750 darbuotojų.

Svarbiausi pakeitimai susiję su reikalavimais, susijusiais su tvarkymo veiklos registru (RPA).

Dabartinė 30(5) skirsnio išimtis būtų taikoma visoms tokioms įmonėms.

Ši nauja išimtis būtų taikoma, nebent tvarkymas gali kelti „didelę riziką“ atitinkamų asmenų teisėms ir laisvėms (priešingai nei dabartinė „rizika“).

Tekste taip pat būtų įtraukta konstatuojamoji dalis, kurioje būtų nurodyta, kad tam tikrų kategorijų duomenų tvarkymas, būtinas darbo ir socialinės apsaugos teisei taikyti pagal 9 straipsnio 2 dalies b punktą, savaime nesukelia pareigos tvarkyti RAT.

Pasiūlymais taip pat būtų iš dalies pakeistos nuostatos, susijusios su elgesio kodeksais (40 straipsnis) ir sertifikavimo schemomis (42 straipsnis), siekiant išplėsti jų taikymą įmonėms, kuriose dirba mažiau nei 750 darbuotojų.

Šiuo metu pagal šiuos straipsnius valstybės narės, duomenų apsaugos institucijos (DAI), Komisija ir Europos duomenų apsaugos valdyba privalo „skatinti“ kurti kodeksus ir sertifikatus, kuriuose būtų atsižvelgta į MVĮ „specifinius poreikius“.

Siekdama informuoti apie būsimą ES duomenų strategiją, Europos Komisija pradeda konsultacijas dėl duomenų naudojimo dirbtiniame intelekte, duomenų taisyklių supaprastinimo ir tarptautinių duomenų srautų.

Tikslas – sudaryti sąlygas kurti aukštos kokybės, sąveikias ir įvairias dirbtiniam intelektui reikalingas duomenų rinkinius, kartu užtikrinant su duomenimis susijusios politikos, infrastruktūros ir teisinių priemonių nuoseklumą.

Konsultacijos vyksta iki liepos 18 d.

Komisija taip pat skelbia konsultacijas dėl Skaitmeninių paslaugų akto (DSA) gairių projekto, kurios vyks iki birželio 10 d.

Tekste pateikiamos gairės dėl nepilnamečių apsaugos internete. Komisija planuoja paskelbti galutines gaires šią vasarą. Ji taip pat kuria amžiaus patvirtinimo programėlę.

Gegužės 27 d. Europos Komisija paskelbė pradėjusi tyrimus, siekdama apsaugoti nepilnamečius nuo pornografinio turinio pagal Skaitmeninių paslaugų įstatymą (DSA).

Tyrimai, susiję su „Pornhub“, „Stripchat“, „XNXX“ ir „XVideos“, daugiausia dėmesio skiria rizikai, susijusiai su veiksmingų amžiaus patvirtinimo priemonių trūkumu.

Tuo pačiu metu valstybės narės, susitikusios Europos skaitmeninių paslaugų taryboje, imasi koordinuotų veiksmų prieš mažas pornografines platformas.

Europos duomenų apsaugos priežiūros pareigūnas gegužės 28 d. paskelbė nuomonę dėl pasiūlymo dėl reglamento, kuriuo nustatoma bendra trečiųjų šalių piliečių, neteisėtai gyvenančių ES, grąžinimo sistema.

Pripažindamas, kad reikia veiksmingiau vykdyti galiojančius migracijos ir prieglobsčio teisės aktus, jis pabrėžia, kad „duomenų apsauga – kaip pagrindinė teisė, įtvirtinta Chartijoje, – yra viena iš paskutinių gynybos linijų pažeidžiamiems asmenims, pavyzdžiui, migrantams ir prieglobsčio prašytojams, artėjantiems prie ES išorės sienų“.

Gegužės 14 d. NVO „noyb“, kaip kvalifikuotas subjektas pagal naująją Europos kolektyvinio ieškinio direktyvą, išsiuntė „Meta“ pranešimą apie veiksmų nutraukimą dėl „Meta“ dirbtinio intelekto mokymo be vartotojo sutikimo.

Vokietijoje „Verbraucherzentrale NRW“ taip pat pateikė preliminarų teismo draudimą, kurį teismas gegužės pabaigoje atmetė (žr. toliau).

 

Naujienos iš Europos Sąjungos šalių narių.

Vokietijos federalinė duomenų apsaugos tarnyba (BfDI) paskelbė dirbtinio intelekto atitikties klausimyną, skirtą padėti organizacijoms patvirtinti savo dirbtinio intelekto iniciatyvas ir užtikrinti, kad jos atitiktų BDAR.

Gegužės 23 d. Kelno regioninis aukštasis teismas nusprendė, kad „Meta“, naudodama naudotojų profilių duomenis savo dirbtinio intelekto sistemai tobulinti, nepažeidė BDAR ar Europos skaitmeninių rinkų reglamento, ir pažymėjo, kad šis vertinimas atitinka Airijos duomenų apsaugos komisijos (DPC), kuri yra kompetentinga Europoje „Meta“ atžvilgiu, vertinimą.

„TikTok“ Vokietijoje susiduria su kolektyviniu ieškiniu. Nyderlandų nevyriausybinė organizacija „Stichting Onderzoek Marktinformatie“ (Somi), pateikusi ieškinį dėl žalos atlyginimo Berlyno teisme, teigia, kad „TikTok“ renka ir analizuoja labai asmeninius ir intymius savo vartotojų duomenis tokiu mastu, kuris gerokai viršija tai, kas būtina“.

Organizacija teigia, kad platformos algoritmas sukuria „manipuliavimo ir priklausomybės sistemą“, ypač vaikams. NVO reikalauja žalos atlyginimo iki 2000 eurų vienam asmeniui.

Belgijos duomenų apsaugos tarnyba (APD) atliko Belgijos valstybės ir Jungtinių Amerikos Valstijų sudaryto FATCA susitarimo vertinimą ir nustatė, kad jis nesuderinamas su BDAR.

Skundai buvo susiję su skundų pateikėjų, įskaitant Belgijos „atsitiktinius amerikiečius“, asmens duomenų perdavimu Amerikos mokesčių administratoriams.

APD papeikė Federalinę viešąją finansų tarnybą už BDAR pažeidimus ir nustatė tikslo apribojimo, duomenų kiekio mažinimo ir duomenų perdavimo taisyklių principų pažeidimą. 

Šis sprendimas turi pasekmių ne tik Belgijai, nes panašius susitarimus Jungtinės Valstijos yra sudariusios su kitomis Europos Sąjungos šalimis.

Ispanijos duomenų apsaugos agentūra (APD) skyrė 1200 eurų baudą Andalūzijos bendrovei, kuri paprašė savo nuotoliniu būdu dirbančių darbuotojų pateikti asmeninį telefono numerį, kad galėtų juos įtraukti į bendrovės „WhatsApp“ grupę.

Teoriškai darbuotojai galėjo sutikti arba pasirinkti el. pašto alternatyvą, tačiau bendrovė skatino juos naudoti „WhatsApp“, kad bendravimas vyktų sklandžiai.

APD pakartojo, kad sutikimas nėra galiojantis teisinis pagrindas darbuotojo ir darbdavio santykiuose.

Taip pat Ispanijoje APD skyrė 3,2 mln. eurų baudą bendrovei „Carrefour“ už tai, kad ji neapsaugojo prieigos prie savo klientų sąskaitų.

Bendrovė buvo nuteista, nors įsilaužimo metu naudoti prisijungimo duomenys nebuvo pavogti tiesiogiai iš jos, o todėl, kad ji neįvykdė savo rūpestingumo pareigos, o jos saugumo sistemos neleido aptikti masinių atakų iš labai didelio skaičiaus IP adresų.

Italijos duomenų apsaugos tarnyba (APD) skyrė 5 milijonų eurų baudą Amerikos bendrovei „Luka Inc.“, „virtualaus palydovo“ „Replika AI“ tiekėjai, už neteisėtą asmens duomenų tvarkymą, skaidrumo taisyklių pažeidimą ir veiksmingų vartotojų amžiaus tikrinimo mechanizmų neįgyvendinimą.

Lenkijos duomenų apsaugos tarnyba (APD) skyrė 100 000 PLN (23 448,50 EUR) baudą Lenkijos skaitmeninimo ministrui ir 27 124 816 PLN (6 444 174 EUR) baudą Lenkijos pašto tarnybai už neteisėtą maždaug 30 milijonų piliečių asmens duomenų tvarkymą siekiant palengvinti balsavimą paštu visuotiniuose rinkimuose.

 

Australijos vyriausybė paskelbė standartines su dirbtiniu intelektu susijusias nuostatas.

Šios sąlygos taikomos dirbtinio intelekto sistemų pirkimo sąlygoms, užtikrinant, kad jos būtų perkamos ir diegiamos atsakingai, etiškai ir saugiai. Jomis siekiama sumažinti riziką ir skatinti skaidrumą bei atskaitomybę diegiant dirbtinį intelektą.

Birželio 5 d. „Privacy Laws and Business“ paskelbtoje ataskaitoje nurodoma, kad daugelis Afrikos šalių priima asmens duomenų apsaugos įstatymus socialinėje ir ekonominėje aplinkoje, kuri visiškai skiriasi nuo Europos ar Šiaurės Amerikos.

„Afrika yra pirmaujantis žemynas pagal mobiliųjų pinigų naudojimą – joje yra daugiau nei 1,1 milijardo registruotų sąskaitų, kurios sudaro daugiau nei pusę visų pasaulinių sąskaitų. Todėl privatumo politikos prioritetai Afrikos šalyse neišvengiamai skiriasi nuo Europos šalių.“

Autoriui šis skirtingas socialinis ir ekonominis kontekstas reiškia, kad ES vertinant Kenijos ir kitų Afrikos, Azijos bei Lotynų Amerikos šalių „tinkamumą“ turėtų tam tikru mastu atsižvelgti į nacionalines aplinkybes.

Gegužės 19 d. Jungtinių Valstijų prezidentas pasirašė „Take It Down Act“ – įstatymo projektą, kuriuo siekiama blokuoti intymius vaizdus, kurie transliuojami be sutikimo, ir kuris taip pat apima dirbtinio intelekto „deepfake“.

„Take It Down“ yra akronimas, reiškiantis „Įrankiai, skirti spręsti žinomą išnaudojimą imobilizuojant technologinius giluminius klastojimus svetainėse ir tinkluose“.

„Google“ sutiko sumokėti Teksaso valstijai 1,375 mlrd. dolerių, kad išspręstų dvi bylas, kuriose bendrovė kaltinama vartotojų buvimo vietos stebėjimu, „inkognito“ paieškomis ir balso bei veido duomenų teikimu be jų leidimo.

Pranešama, kad bendrovė taikosi teisiniu procesu nepripažindama kaltės ar atsakomybės ir nekeisdama savo gaminių, o jos praktika nuo įvykių pasikeitė.

Tuo tarpu birželio 3 d. paskelbti tyrimo rezultatai rodo, kad „Meta“ ir Rusijos bendrovė „Yandex“ seka „Android“ naudotojų naršymą internete, net ir inkognito režimu arba naudojant VPN, išnaudodamos vietinį prievadą, kad susietų naršymo veiklą su prijungta tapatybe.

„Google“ teigia tirianti šį piktnaudžiavimą, kuris leidžia „Meta“ ir „Yandex“ konvertuoti trumpalaikius žiniatinklio identifikatorius į nuolatines mobiliųjų programėlių naudotojų tapatybes.