„Legal Watch“ Nr. 93 – 2026 m. kovas. 

 

Prieiga prie asmens duomenų: ar pripažintas piktnaudžiavimas teisėmis?

Neseniai priimtame Europos Sąjungos Teisingumo Teismo (ESTT) sprendime paaiškinamos asmenų teisės susipažinti su savo asmens duomenimis sąlygos, ypač aplinkybės, kuriomis duomenų valdytojas gali laikyti prašymą susipažinti su duomenimis piktnaudžiavimu.

Nors BDAR 12 straipsnis piktnaudžiaujamą prašymų pobūdį sieja su jų pasikartojančiu aspektu, ESTT kovo 19 d. byloje C-526/24 – Brillen Rottler išaiškino, kad šis pasikartojimo kriterijus yra iliustracinis: prašymų skaičius nėra lemiamas, o pirminis prašymas susipažinti su duomenimis gali būti laikomas piktnaudžiavimu, jei duomenų subjektas pasinaudoja šia teise, kad įgytų pranašumo, pavyzdžiui, jei jis siekia dirbtinai sukurti teisę į kompensaciją iš duomenų valdytojo. Tokiu atveju tai yra piktnaudžiavimas teisėmis.

Tačiau atsisakymas atsakyti į prašymą suteikti prieigą prie duomenų pagal BDAR turi likti išimtiniu atveju, o duomenų valdytojas turi galėti įrodyti prašytojo piktnaudžiavimo ketinimus.

Šiuo konkrečiu atveju atsakingas asmuo, remdamasis konkrečiais įrodymais, turėjo įrodyti, kad prašymas nebuvo skirtas duomenų tvarkymui patikrinti, o dirbtinai sudaryti sąlygas žalos atlyginimo reikalavimui.

Iš tiesų buvo žinoma, kad pareiškėjas, pateikęs jiems savo duomenis, pateikė daug prašymų daugeliui duomenų valdytojų, siekdamas gauti teisių gynimo priemones.

Teismas pakartoja, kad norint gauti kompensaciją, turi būti įvykdytos trys sąlygos:

• BDAR pažeidimas,
• Žala
• Ir priežastinis ryšys tarp šių dviejų.

Nemateriali žala gali atsirasti dėl kontrolės praradimo arba netikrumo dėl duomenų tvarkymo, tačiau žalą turi įrodyti ieškovas ir ji negali būti padaryta dėl ieškovo elgesio.

Šiuo konkrečiu atveju priežastinis ryšys nutrūko dėl suinteresuoto asmens elgesio, kuriuo buvo siekiama dirbtinai sudaryti sąlygas žalai atsirasti.

Kai įvykdomos trys pirmiau nurodytos sąlygos, teisės susipažinti su duomenimis pažeidimas gali suteikti teisę į teisių gynimą, net jei šis pažeidimas nėra tiesiogiai susijęs su duomenų tvarkymu griežtąja prasme.

Atsisakymas atsakyti į prašymą suteikti prieigą prie duomenų gali sukelti atsakingos šalies pretenziją į sąžiningą prašytoją.

Todėl duomenų valdytojas, įtariantis piktnaudžiavimo prašymu, prieš atsisakydamas suteikti prieigą, turi būti ypač atsargus ir išsaugoti šio piktnaudžiavimo pobūdžio įrodymus. 

ESTT pateikti paaiškinimai atitinka Europos duomenų apsaugos valdybos (EDAV) 2022 m. paskelbtas gaires šiuo klausimu, kuriose pateikiamos papildomos gairės.

Taigi, pernelyg didelis prašymų pobūdis gali priklausyti nuo konkrečių sektoriaus, kuriame veikia duomenų valdytojas, ypatybių.

„Kuo dažniau atliekami duomenų valdytojo duomenų bazės pakeitimai, tuo didesnė tikimybė, kad duomenų subjektui bus leista prašyti prieigos prie savo duomenų, nelaikant to pernelyg dideliu reikalavimu.“

Pakartotinių prašymų atveju duomenų valdytojas, užuot atsisakęs suteikti prieigą, gali nuspręsti imti iš atitinkamo asmens mokestį, atitinkantį su prašymais susijusių administracinių procedūrų išlaidas.

Galiausiai reikėtų pažymėti, kad Europos Komisija savo pasiūlyme dėl skaitmeninio Omnibuso taip pat ketina suteikti duomenų valdytojams daugiau teisinio tikrumo, kai jie susiduria su duomenų subjektų teisių piktnaudžiavimo atvejais.

Nors EDAV ir EDAPP (Europos duomenų apsaugos priežiūros pareigūnas) savo vasario 10 d. nuomonėje pritaria šiam norui gauti paaiškinimą, jie mano, kad teisės susipažinti su duomenimis įgyvendinimas kitais nei asmens duomenų apsaugos tikslais neturėtų būti apibrėžiamasis piktnaudžiavimo elementas... tol, kol nekyla abejonių dėl pareiškėjo sąžiningumo.

 

Kovo 24 d. paskelbtame SREN įstatymo įgyvendinimo dekrete nustatyti papildomi reikalavimai. sveikatos duomenų (HDS) talpinimui išimtinai ES arba EEE teritorijoje, CNIL palankiai įvertino reikalavimus, nes jais siekiama padidinti skaidrumą atitinkamų asmenų atžvilgiu, taip pat sustiprinti prieglobos sutarties šalių sveikatos duomenų kontrolę, atsižvelgiant į rizikos, susijusios su prieiga iš už Europos ribų, svarbą.

Apskritai visa valstybės IT sistema ketina pereiti prie suverenių sprendimų.

Taigi, praėjus savaitei po to, kai buvo paskelbta apie „LaSuite“ bendradarbiavimo platformos diegimą 80 000 Sveikatos draudimo agentų, tarpžinybinė skaitmeninė direktoratas (DINUM) balandžio 9 d. oficialiai paskelbė apie savo ketinimą iki metų pabaigos atsisakyti „Windows“ ir pereiti prie „Linux“ ir pereiti prie suverenaus sprendimo.

Šie tikslai tapo konkretesni po balandžio 8 d. seminaro, kuriame pirmą kartą susirinko ministerijos, viešojo sektoriaus ir privataus sektoriaus subjektai, siekdami nustatyti, nuo kokios užsienio programinės įrangos ir paslaugų valstybė priklauso šiandien, kad galėtų jų atsisakyti rytoj.

„Nuo šio rudens kiekviena ministerija (ir nuo jos priklausomos viešosios įstaigos) turės pateikti savo veiksmų planą, kaip sumažinti savo skaitmeninę priklausomybę iš užsienio.“

Balandžio pradžioje buvo paskelbtas valstybės skaitmeninio saugumo veiksmų planas 2026–2027 metams.

Tai yra dalis pastangų, kuriomis siekiama, kad valstybių administracijos laikytųsi NIS2 direktyvos, ir įtraukia jas į perėjimą prie postkvantinės kriptografijos. 

„Didelės grėsmės ir blogėjančios geopolitinės situacijos kontekste nustatomos prioritetinės pastangos, kurias ministerijos turi dėti skaitmeninio saugumo srityje: konsoliduoti valdymą, stiprinti prieigos valdymą, kontroliuoti informacinių sistemų aplinką ir kt.“

CNIL paskelbė savo prioritetines 2026 m. kontrolės temas balandžio 3 d.  Ji sutelks dėmesį į

• Įdarbinimas,
• Vieningas rinkėjų registras
• Sporto federacijos.

Daugiau su kibernetiniu saugumu susijusių pranešimų bus paskelbta gegužės mėnesį, kai bus paskelbta metinė ataskaita.

Ji taip pat paskelbė savo darbo programą, skirtą remti specialistuskuris pabrėš

• Dirbtinio intelekto naudojimas,
• Sveikatos duomenys,
• Teisės susipažinti su duomenimis sąlygos
• Kibernetinis saugumas.

Jos svetainėje taip pat pateiktas naujas vadovas dėl žmogiškųjų išteklių duomenų saugojimo laikotarpių. Galiausiai, kovo 20 d. publikacijoje CNIL pakartoja labai griežtas garso įrašymo vaizdo stebėjimo kameromis sąlygas.

Nors Regioninių sveikatos agentūrų (ARS) įsilaužimas buvo oficialiai patvirtintas 2025 m. rugsėjį, šiandien situacija įgauna dar didesnį nerimą. o už išpuolį atsakomybę prisiima programišių grupuotė „DumpSec“ ir dabar parduoda didžiulę Prancūzijos sveikatos priežiūros sistemos duomenų bazę.

Tai paveiktų daugiau nei 35 milijonus pacientų, o duomenyse būtų įtraukta neskelbtina informacija, susijusi su priežiūros keliais.

Duomenų pažeidimas įvyko dėl praktikų prisijungimo duomenų vagystės GRADeS (regioninės e. sveikatos priežiūros paramos grupės) serveriuose.

Kovo 19 d. ESTT paskelbė sprendimą, turintį įtakos Prancūzijos policijos biometrinių duomenų rinkimo sąlygoms.

Byloje C 371/24 – Comdribus teismas nusprendė, kad nacionalinės teisės aktai nesuderinami su Europos Sąjungos „Policijos teisingumo“ direktyva, kai jais teisėsaugos tarnybai leidžiama sistemingai tvarkyti įtariamųjų biometrinius duomenis nereikalaujant, kad kompetentinga institucija pagrįstų absoliutų šio tvarkymo būtinumą ir proporcingumą.

Asmuo, kuris atsisako rinkti savo biometrinius duomenis, gali būti nubaustas tik tuo atveju, jei planuojamas duomenų rinkimas atitinka šias sąlygas, įvertintas atsižvelgiant į aplinkybes tuo metu, kai kompetentingos institucijos priima sprendimą dėl šio duomenų rinkimo.

Duomenų rinkimo motyvas yra būtinas, kad atitinkamas asmuo galėtų pasinaudoti savo teise į veiksmingą teisinę gynybą.

Šiuo konkrečiu atveju, 2020 m. gegužės mėn. Paryžiuje klimato aktyvistų surengtos akcijos metu keli dalyviai, įskaitant skundą pateikusį asmenį, buvo teisėsaugos suimti už nedeklaruotos demonstracijos organizavimą.

Policijos areštinėje esantis pareiškėjas atsisakė leisti paimti pirštų atspaudus ir nufotografuoti.

Vidaus reikalų ministras balandžio 3 d. Senate, atsakydamas į klausimus vyriausybei, pareiškė, kad teisėsaugos institucijų veido atpažinimo programinės įrangos naudojimas jų „Neo“ tapatybės kontrolės įrenginiuose nebuvo teisėtas, išskyrus atvejus, kai tai daroma tyrimo, kuriam vadovauja teisėjas, metu.

Ministras nurodė, kad CNIL šiuo metu nagrinėja šį klausimą.

Prancūzijos „Tech 2030“ programą laimėjusios kibernetinio saugumo bendrovės vadovas buvo suimtas kovo pabaigoje, vykdant didelio masto Europos masto susidorojimą su vaikų pornografijos platforma.

Įtariama, kad inžinierius, vadovaujantis startuoliui, kuris specializuojasi kibernetinių grėsmių numatymo srityje (tarp kurio klientų yra FTB ir Europos Komisija), įsigijo vaikų pornografijos vaizdų ir vaizdo įrašų per „Darknet“ vaikų pornografijos platformą.

Teisėsaugos institucijos visoje Europoje koordinuotos operacijos metu suėmė daugiau nei 200 asmenų, tyrėjams atsekus ir nuasmeninus kriptovaliutų mokėjimus.

 

Europos institucijos ir įstaigos

Kovo 11 d. Europos Parlamentas sutiko pratęsti (išimtines) taisykles, leidžiančias kontroliuoti elektroninius ryšius („pokalbių kontrolė“). tuo pačiu apribojant jų taikymo sritį.

Užuot suteikęs visuotinį leidimą naudoti skenavimo technologijas, Parlamentas paprašė, kad šios priemonės būtų naudojamos tik prieš žinomus įtariamuosius ir tik žinomai vaikų pornografijai aptikti.

Tuo tarpu „Google“, „Meta“, „Microsoft“ ir „Snap“ (Chat) bendrame pranešime spaudai vis dėlto patvirtino, kad „jos ir toliau imsis savanoriškų veiksmų dėl savo paveiktų tarpasmeninio bendravimo paslaugų“.

Tarpinstitucinės derybos vis dar vyksta: Tarybai pirmininkaujantis Kipras siekia projektą užbaigti iki 2026 m. liepos mėn., o šiuo metu šis klausimas deramasi trišalio Parlamento, Tarybos ir Komisijos dialogo metu.

Kovo 26 d. plenarinėje sesijoje Europos Parlamento nariai išsakė poziciją dėl dirbtinio intelekto komponento, įtraukto į „Digital Omnibus“ paketą.

Jie balsavo už kelių Dirbtinio intelekto reglamento nuostatų įsigaliojimo atidėjimą.

Taigi dirbtinio intelekto sistemos, apimančios biometrinius duomenis ir naudojamos ypatingos svarbos infrastruktūros, švietimo, užimtumo, esminių paslaugų, teisėsaugos, teisingumo ir sienų valdymo srityse, būtų atidėtos nuo 2026 m. rugpjūčio 2 d. iki 2027 m. gruodžio 2 d.

Parlamentarai siūlo atidėti kitų sektorių reguliavimui (saugumo ir rinkos priežiūros) taikomų sistemų atitikties reikalavimams užtikrinimą iki 2028 m. rugpjūčio 2 d.

Trišalių dialogų tarp Europos Komisijos, Parlamento ir Tarybos tikslas – iki balandžio 28 d. pasiekti preliminarų susitarimą dėl teksto.

Verta priminti, kad esminiai reglamento principai jau įsigaliojo ir juos kontroliuoja CNIL (Prancūzijos duomenų apsaugos institucija).

Kovo 24 d. Europos Komisija aptiko kibernetinę ataką, paveikusią debesijos infrastruktūrą, kurioje talpinama jos svetainė „Europa.eu“ platformoje, ir ši ataka pasirodė esanti rimtesnė nei iš pradžių buvo nurodyta pranešime spaudai.

Duomenys susiję su 71 „Europa“ prieglobos paslaugos klientu. ES duomenų saugumo tarnyba CERT-EU patvirtino, kad nutekintoje informacijoje yra vardų, vartotojų vardų, el. pašto adresų ir el. laiškų turinio.

Tamsiajame internete buvo paskelbta 340 GB duomenų ir beveik 52 000 el. pašto failų.

Du svarbūs kovo 19 d. Europos Sąjungos Teisingumo Teismo sprendimai – „Brillen Rottler“ ir „Comdribus“ – jau buvo aptarti redakcijos straipsnyje ir Prancūzijos naujienose.

Europos skaitmeninės infrastruktūros konsorciumas „Skaitmeninės bendruomenės“ (EDIC) įgauna formą prisijungus naujoms šalims ir pradėjus pirmuosius projektus, įskaitant bandomąjį Europos valstybės technologijų fondo projektą.

Konsorciumo tikslas – padėti Europos Sąjungos valstybėms narėms kurti atvirą skaitmeninę infrastruktūrą ir stiprinti Europos skaitmeninį suverenitetą.

 

Naujienos iš Europos Sąjungos šalių narių.

Vokietijos teismas nusprendė, kad „Meta“ neteisėtai tvarkė neregistruotų asmenų asmens duomenis per savo „Facebook“ funkciją „Rasti draugų“.

Be to, bendrovė neturėtų teisinio pagrindo tvarkyti naudotojų asmens duomenų iš savo platformos reklamos tikslais.

Neseniai nagrinėtoje byloje Austrijos teismas nusprendė, kad duomenų apsaugos institucija teisingai atsisakė nagrinėti skundą pagal BDAR 57(4) straipsnį po to, kai asmuo bandė piktnaudžiauti skundų nagrinėjimo mechanizmu, siekdamas vilkinti skolos išieškojimą.

Belgijos duomenų apsaugos tarnyba (APD) nusprendė, kad darbdavys pakankamai patenkino darbuotojo prašymą susipažinti su duomenimis, pateikdamas darbuotojui jų duomenis kopijos būdu, o ne visiškai ištraukdamas atitinkamus el. laiškus.

Suomijoje DPA įspėjo kredito reitingų agentūrą dėl netinkamo duomenų prieigos prašymų tvarkymo.

Duomenų valdytojas nukreipė duomenų subjektus į savo duomenų prieigos portalą, nesikreipdamas į juos dėl tolesnių veiksmų, ir nurodė, kad už kiekvieną prašymą, pateiktą daugiau nei vieną kartą per dvylika mėnesių, bus imamas mokestis.

Ispanijos duomenų apsaugos agentūra (APD) skyrė 950 000 eurų baudą skaitmeninės identifikacijos ir amžiaus patvirtinimo paslaugų teikėjui (YOTI) už biometrinių duomenų rinkimą be galiojančio sutikimo (nepakankamai detalizuota ir neapsaugota su nepilnamečiais susijusių duomenų) ir duomenų saugojimo laikotarpio neapribojimą.

Belgijos duomenų apsaugos tarnyba (APD) taip pat skyrė „Hyundai“ 2 000 000 eurų baudą po to, kai kibernetinės atakos metu buvo paviešinti daugiau nei milijono žmonių duomenys, įskaitant jų vardus, kontaktinius duomenis ir transporto priemonių identifikavimo numerius. Ji nustatė, kad duomenų valdytojas neužtikrino tinkamo saugumo lygio, ypač dėl to, kad atitinkami duomenys nebuvo užšifruoti.

Galiausiai Belgijos duomenų apsaugos tarnyba (APD) skyrė itin didelę baudą (10 mln. eurų) oro uosto operatoriui „Aena“ už tai, kaip jis įdiegė savo veido atpažinimo įlaipinimo sistemą. Sistema leidžia keleiviams įlipti tiesiog žiūrint į kamerą. Tarnyba nustatė, kad ši biometrinė sistema buvo įdiegta neatlikus išankstinio poveikio duomenų apsaugai vertinimo.

Italijos duomenų apsaugos tarnyba (APD) skyrė 31 800 000 eurų baudą bankui už tai, kad šis neįgyvendino pakankamų saugumo priemonių, kurios neleistų darbuotojui pasiekti daugiau nei 3 500 žmonių finansinių duomenų su jo pareigomis nesusijusiais tikslais.

Duomenų valdytojas taip pat laiku neinformavo APD ir duomenų subjektų apie šį duomenų saugumo pažeidimą.

Kitam bankui skirta 17 628 000 eurų bauda už 275 000 klientų sąskaitų perdavimą savo dukterinei įmonei be jų sutikimo. Bankas naudojo profiliavimą, kad atrinktų asmenis, kurie laikomi „daugiausia skaitmeniniais“ klientais.

Liuksemburge Aukščiausiasis administracinis teismas panaikino 746 mln. eurų baudą, skirtą „Amazon“. Sprendimas nekvestionuoja neteisėto asmens duomenų tvarkymo tikslinės reklamos tikslais, tačiau reikalauja, kad Duomenų apsaugos institucija (APD) prieš skirdama naujas sankcijas iš naujo įvertintų pažeidimą ir proporcingumą.

Sutrumpintame procese Nyderlandų teismas uždraudė socialinės žiniasklaidos platformai X per „Grok“ kurti ir platinti be sutikimo sukurtą intymų turinį ir vaikų pornografiją. Teismas taip pat uždraudė X siūlyti „Grok“ funkcijas tol, kol šie pažeidimai tęsiasi.

Rumunijos duomenų apsaugos tarnyba (APD) skyrė „Renault Romania“ 637 262,50 RON (125 000 EUR) baudą už tai, kad ši neįgyvendino tinkamų saugumo priemonių po duomenų pažeidimo, susijusio su subrangovo valdoma programa, dėl kurio internetinėje platformoje buvo paskelbti asmens duomenys.

 

Brazilijos įstatymas dėl nepilnamečių apsaugos internete oficialiai įsigaliojo, o kartu su juo – ir teisingumo ministro dekretas, tiesiogiai nukreiptas prieš technologijų gigantų naudojamus dizaino sprendimus, siekiant patraukti jaunimo dėmesį.

Reglamentas perkelia vaikų saugumą internete nuo reaktyvaus turinio moderavimo prie platformos architektūros ex ante reguliavimo, įskaitant apribojimus dėl begalinio slinkimo, automatinio paleidimo, manipuliacinių pranešimų, tikslinės reklamos, skirtos nepilnamečiams profiliavimo būdu, ir griežtesnius amžiaus patvirtinimo reikalavimus.

Balandžio pradžioje Kinijos pramonės ir informacinių technologijų ministerija kartu su aštuoniomis kitomis ministerijomis paskelbė „Eksperimentines priemones, susijusias su dirbtinio intelekto technologijų etiniu vertinimu ir teikimu“.

Dokumente pateikiama Kinijos „etiško dirbtinio intelekto valdymo“ apžvalga ir politikos bei techninių priemonių, kurias ji laiko būtinomis kovojant su etikos trivializavimu taikant rinkodaros strategijas, kurios žada pagarbias paslaugas, bet iš tikrųjų neatitinka dirbtinio intelekto reglamentų, rūšys.

Balandžio 24 d. JAV Naujosios Meksikos valstijos prisiekusiųjų teismas įpareigojo „Meta“ sumokėti 375 mln. JAV dolerių civilinės baudos, nustatęs, kad bendrovė tinkamai neapsaugojo vaikų savo platformose. Ši bauda buvo skirta už nesąžiningos verslo praktikos įstatymo pažeidimus.

Balandžio 8 d. Vašingtone įsikūręs federalinis apeliacinis teismas atsisakė blokuoti dirbtinio intelekto bendrovės „Anthropic“ įtraukimą į Pentagono nacionalinio saugumo juodąjį sąrašą – tai buvo Trumpo administracijos pergalė.

Tačiau kitas apeliacinis teismas atskiroje „Anthropic“ iškeltoje byloje priėmė priešingą sprendimą.

Dirbtinio intelekto asistento „Claude“ kūrėja bendrovė teigia, kad gynybos sekretorius viršijo savo įgaliojimus, priskirdamas bendrovę nacionalinio saugumo tiekimo grandinės rizikai.

„Anthropic“ atsisakė panaikinti tam tikrus savo produktų naudojimo apribojimus, atsižvelgdama į tai, kad juos naudoja JAV gynyba.