„Legal Watch“ Nr. 75 – 2024 m. rugsėjis.  

Anonimizavimas ar pseudonimizavimas: kvalifikacijos, kurios laikui bėgant kinta?

2024 m. rugsėjo 5 d. CNIL skyrė „Cegedim Santé“ 800 000 eurų baudą už sveikatos duomenų tvarkymą be leidimo.

Priežiūros institucija pažymi, kad šie duomenys išliko identifikuojami, nors ir buvo pateikti kaip anoniminiai.

Ši sankcija suteikia mums galimybę peržiūrėti BDAR subtilybes, susijusias su duomenų anonimizavimu ir pseudonimizavimu.

„Cegedim“ leidžia ir parduoda valdymo programinę įrangą bendrosios praktikos gydytojams, dirbantiems privačiose praktikose ir sveikatos centruose.

Šios programinės įrangos programos leidžia gydytojams tvarkyti savo tvarkaraščius, pacientų bylas ir receptus.

Klientai taip pat turi prieigą prie duomenų bazės, leidžiančios atlikti tyrimus ir statistiką sveikatos srityje.

2021 m. CNIL atlikti patikrinimai parodė, kad bendrovės be išankstinio leidimo tvarkomi duomenys buvo pseudoniminiai sveikatos duomenys, todėl juos buvo galima identifikuoti.

Tik visiškai anonimiški duomenys atleidžiami nuo BDAR įsipareigojimų.

Tačiau anonimizavimo procesas yra ypač sudėtingas.

Šiuo konkrečiu atveju „Cegedim“ buvo įdiegusi identifikatorių ištrynimo procedūrą, o atsižvelgdama į ankstesnes 2012 m. išvadas, CNIL taip pat nusprendė, kad tvarkomi duomenys iš tiesų buvo anoniminiai.

Komisija šiandien persvarstė šias išvadas, nurodydama, kad vertinant galimą duomenų pakartotinį identifikavimą reikia atsižvelgti į dabartinį doktrinos ir teismų praktikos kontekstą.

Taigi, duomenys, kurie prieš dešimt metų buvo anoniminiai, šiandien nebūtinai tokie yra: „Norint nustatyti, ar pagrįstai tikėtina, kad priemonės bus naudojamos fizinio asmens tapatybei nustatyti, būtina atsižvelgti į visus objektyvius veiksnius, tokius kaip tapatybės nustatymo kaina ir tam reikalingas laikas, atsižvelgiant į tvarkymo metu prieinamas technologijas ir jų raidą.“

Tiksliau sakant, CNIL – kaip ir jos Europos kolegos nuo 2014 m. – nustatė reikalavimus, kurių reikia laikytis anonimizavimo procedūros metu.

Ji paaiškina pagrindinius anonimizavimo metodus:

• atsitiktinės atrankos (kurios tikslas – modifikuoti duomenų rinkinio atributus, kad jie būtų mažiau tikslūs, išsaugant bendrą pasiskirstymą) ir
• apibendrinimas (kuris susideda iš duomenų rinkinių atributų skalės arba jų dydžio eilės modifikavimo).

CNIL pataria:

• Nustatyti saugotiną informaciją pagal jos aktualumą.
• Pašalinti tiesioginius identifikuojančius elementus, taip pat retas vertybes, kurios leistų lengvai iš naujo identifikuoti asmenis;
• Atskirti svarbią informaciją nuo antraeilės ar nenaudingos informacijos;
• Apibrėžti idealų ir priimtiną kiekvieno saugomo informacijos elemento detalumo lygį.

Duomenų rinkinio anonimiškumui užtikrinti galima taikyti tris kriterijus:

1. Individualizavimas: duomenų rinkinyje neturi būti įmanoma izoliuoti individo;
2. Koreliacija: neturėtų būti įmanoma susieti skirtingų duomenų rinkinių, susijusių su tuo pačiu asmeniu;
3. Išvada: neturėtų būti įmanoma beveik užtikrintai nustatyti naujos informacijos apie asmenį.

„Cegedim“ atveju nebuvo laikomasi individualizacijos kriterijaus: paslauga leido nuolat sekti žmones laikui bėgant naudojant unikalų identifikatorių ir didinti su jais susijusių duomenų kiekį.

Tai leido izoliuoti asmenį duomenų rinkinyje ir taip padidino pseudonimo panaikinimo riziką.

Galiausiai reikėtų pažymėti, kad už sveikatos duomenų saugyklos sukūrimą atsakingas asmuo gali ją įdiegti tik gavęs CNIL leidimą arba su sąlyga, kad ji atitinka standartą.

Subrangos atveju atsakingas asmuo į subrangos sutartį privalo įtraukti visus reikalavimus, būtinus teisės aktų laikymuisi užtikrinti, ypač susijusius su duomenų saugumu.

Daugumoje šiandien antraštėse minimų duomenų saugumo pažeidimo atvejų (žr. toliau), silpnoji grandis pažeidimo pradžioje buvo subrangovas.

 

 

Naujosios vyriausybės sudėtis žinoma nuo rugsėjo 21 d., įskaitant kai kuriuos naujus įvykius, susijusius su skaitmeniniais klausimais.

Iš Ekonomikos ir finansų ministerijos pavadinimo dingsta sąvoka „skaitmeninis suverenitetas“, o skaitmeniniai reikalai priskirti Aukštojo mokslo ir mokslinių tyrimų ministrui.

Galiausiai, atsakingo sekretoriato pavadinimas dabar yra: Dirbtinis intelektas ir skaitmeninės technologijos.

Henri d'Agrain, „Cigref“ (asociacijos, atstovaujančios skaitmeninio sektoriaus įmonėms ir vyriausybinėms agentūroms) generalinis delegatas, teigia, kad šiame pavadinime „nepakankamai perteikiama debesijos, duomenų ir dirbtinio intelekto tęstinumo svarba, kurią turi apimti bet kokia rimta viešoji politika šioje srityje“. Jis priduria, kad „dirbtinio intelekto akcentavimas šiame pavadinime turėtų būti vertinamas atsižvelgiant į Eliziejaus rūmų ambicijas dirbtinio intelekto veiksmų aukščiausiojo lygio susitikime, kuris vyks Paryžiuje 2025 m. vasario mėn.“.

Po viešų konsultacijų CNIL rugsėjo 24 d. paskelbė galutinę savo rekomendacijų versiją, skirtą padėti specialistams kurti privatumą gerbiančias mobiliąsias programėles..

Nuo 2025 m. bus užtikrinta, kad į juos būtų tinkamai atsižvelgiama vykdant specialią kontrolės kampaniją.

CNIL ketina išaiškinti ir reglamentuoti specialistų vaidmenį bei užtikrinti mobiliųjų programėlių naudotojų informacijos kokybę ir sutikimą.

Po praėjusio mėnesio SFR, dabar atėjo „Free“ eilė įspėti savo klientus apie duomenų nutekėjimą.

Tarp duomenų, prie kurių prieidavo užpuolikas, buvo bent jau klientų vardas, pavardė, telefono numeris ir pašto adresas.

Be šių dviejų operatorių, rugsėjo viduryje daugelio Prancūzijos mažmenininkų, įskaitant „Boulanger“, „Cultura“, „Truffaut“ ir „Grosbil“, pristatymo duomenys buvo nulaužti. Tas pats įsilaužėlis šiuos duomenis paskelbė ir perpardavė tamsiajame internete.

Asmenims kylanti rizika paprastai susijusi su tapatybės vagyste ir su jų adresu susijusių duomenų gavimu.

Kalbant apie „Cultura“, kuri specializuojasi kultūros produktų pardavime, taip pat buvo nutekintas pirkinių krepšelių turinys, suteikiantis tikslią informaciją apie pirkėjų skaitymo įpročius, o tai gali turėti labai įkyrių pasekmių.

Daugelio šių atakų metu įsilaužėlis taikėsi į susijusių įmonių paslaugų teikėjus.

Rugsėjo 25 d. Kasacinio teismo socialinių bylų rūmai paskelbė sprendimą, kuriuo panaikino darbuotojo atleidimą dėl to, kad buvo perimti iš jo darbo adreso siunčiami el. laiškai.

Teismas primena, kad „darbuotojas turi teisę į pagarbą savo asmeniniam gyvenimui net ir darbo metu bei darbo vietoje.

Tai ypač susiję su korespondencijos konfidencialumu.

Todėl darbdavys negali, nepažeisdamas šios pagrindinės laisvės, naudoti darbuotojo, naudojamo darbo tikslais suteikta kompiuterine priemone, išsiųstų ar gautų asmeninių žinučių turinio jam drausminti.

 

Europos institucijos ir įstaigos

Rugsėjo 25 d. Komisija Briuselyje subūrė pagrindinius dirbtinio intelekto sektoriaus dalyvius, kad paminėtų pirmuosius 100 Dirbtinio intelekto pakto įsipareigojimų parašų.

Pasirašiusios šalys yra tarptautinės korporacijos ir mažos bei vidutinės Europos įmonės iš įvairių sektorių. Kol kas „Meta“ ir „Apple“ šio pakto nepasirašė.

Dokumente savanoriškai prisiimti įsipareigojimai ragina dalyvaujančias įmones įsipareigoti atlikti bent tris pagrindinius veiksmus:

• Priimti dirbtinio intelekto valdymo strategiją, skirtą skatinti dirbtinio intelekto diegimą organizacijoje ir siekti ateities atitikties dirbtinio intelekto reglamentams.
• Nustatyti ir susisteminti dirbtinio intelekto sistemas, kurios pagal dirbtinio intelekto reglamentą gali būti klasifikuojamos kaip didelės rizikos.
• Skatinti darbuotojų informuotumą apie dirbtinį intelektą.

Įmonės raginamos prisiimti kitus įsipareigojimus, pritaikytus jų veiklai, įskaitant žmogaus priežiūros užtikrinimą, rizikos mažinimą ir skaidrų tam tikrų tipų dirbtinio intelekto sukurto turinio, pavyzdžiui, „deepfake“, žymėjimą.

Europos Sąjungos Teisingumo Teismas (ESTT) spalio 4 d. sprendime (C 621/22) nusprendė, kad komercinis interesas gali būti laikomas „teisėtu interesu“, kaip apibrėžta BDAR 6 straipsnio 1 dalies f punkte, jei jis neprieštarauja įstatymui.

Nors ši pozicija gali atrodyti akivaizdi, Nyderlanduose ji keletą metų nebebuvo tokia: pasak Nyderlandų duomenų apsaugos institucijos (DPA), teisėtas interesas turėjo būti pagrįstas teisiniu pagrindu.

Teismas pakartoja, kad toks reikalavimas yra pernelyg didelis ir kad jo pakanka, jog nebūtų pažeisti įstatymai. Reikėtų pažymėti, kad šis sprendimas nesuteikia visoms rinkodaros praktikoms visiško veiksmų laisvės: visada turi būti atlikta atitinkamų interesų ir teisių pusiausvyra.

Taip pat spalio 4 d. ESTT paskelbė sprendimą byloje C-446/21, kuriuo pritaria ieškiniui, iškeltam prieš „Meta“ dėl jos „Facebook“ paslaugos.

Klausimai buvo susiję su asmens duomenų naudojimo internetinei reklamai apribojimu ir viešai prieinamų asmens duomenų naudojimo apribojimu tik tais tikslais, kurie iš pradžių buvo numatyti paskelbimui.

Tą pačią dieną ESTT byloje C-21/23 taip pat patvirtino bendrovės konkurento galimybę pareikšti ieškinį civiliniame teisme, remiantis nesąžiningos komercinės praktikos draudimu, siekiant sustabdyti to konkurento daromą esminių BDAR nuostatų pažeidimą.

Reikėtų pažymėti, kad tokia teismų praktika jau egzistuoja Prancūzijos teisėje.

Rugsėjo 26 d. ESTT nusprendė (byla C 768/21), kad nustačius duomenų saugumo pažeidimą, duomenų apsaugos institucijos neprivalo įgyvendinti taisomųjų įgaliojimų pagal BDAR 58 straipsnio 2 dalį, kai tai nėra tinkama, būtina ar proporcinga nustatytam trūkumui ištaisyti.

Teismo teigimu, išanalizavus visas bylos aplinkybes, duomenų apsaugos institucijos gali susilaikyti nuo tokių taisomųjų įgaliojimų taikymo, pavyzdžiui, kai duomenų valdytojas įgyvendino tinkamas technines ir organizacines priemones, siekdamas užtikrinti, kad pažeidimas būtų nutrauktas ir nepasikartotų.

Galiausiai rugsėjo 12 d. sprendime (sujungtos bylos C 17/22 ir C 18/22) Teismas nusprendė, kad ne tik teisėkūros aktas, bet ir nacionalinė teismų praktika gali nustatyti teisinę prievolę pagal BDAR 6 straipsnio 1 dalies c punktą atskleisti akcininkui visų kitų atitinkamų akcininkų tapatybę.

Po iniciatyvų Prancūzijoje, Danijoje, Ispanijoje ir Vokietijoje internetinio amžiaus patvirtinimo srityje, rugsėjo 16 d. Europos nevyriausybinė organizacija EDRi ir 63 organizacijos, akademikai ir privatumo, šifravimo, vaikų saugumo, sekso paslaugų teikėjų teisių ir vartotojų teisių ekspertai paskelbė bendrą pareiškimą.

Ji ragina Europos Komisiją teikti pirmenybę veiksmingoms vaikų saugumo priemonėms, kartu reiškdama didelį susirūpinimą dėl dabartinių pasiūlymų tinkamumo, proporcingumo ir neigiamo poveikio pagrindinėms teisėms.

 

Naujienos iš Europos Sąjungos šalių narių.

Rugsėjo 11 d. Vokietijos nepriklausomų duomenų apsaugos institucijų konferencijos (DSK) paskelbtoje rezoliucijoje pateikiamos praktinės rekomendacijos, kaip asmens duomenų perdavimo sistema „turto sandorių“ kontekste dėl įmonių turimų asmens duomenų: įmonės klientų ir potencialių klientų, darbuotojų, verslo partnerių ir kt. duomenų.

Vokietijoje Hamburgo duomenų apsaugos agentūra priėmė prieštaringai vertinamą dokumentą dėl didelių kalbų modelių (LLM).

Taigi institucija padarė išvadą, kad LLM nesaugo asmens duomenų ir kad ši išvada atitinka ESTT nuomonę.

Tačiau dirbtinio intelekto sistemos įvesties ir išvesties duomenys, kitaip nei mokymo etapas, gali būti laikomi asmens duomenimis, ir tai turi pasekmių: prašymai susipažinti su duomenimis, juos ištrinti ar ištaisyti gali būti susiję su šiais duomenimis.

Belgijoje Flandrija atsiriboja nuo federalinės vyriausybės privatumo apsaugos klausimais.

Rugsėjo 1 d. laikraštis „Le Soir“ paskelbė, kad Flandrijos ministras pirmininkas Janas Jambonas rugsėjo 20 d., likus kelioms dienoms iki palikimo poste, įsakė savo ministrams nebeteikti dekretų ir sprendimų projektų Federalinei duomenų apsaugos tarnybai (APD), o teikti juos jos regioninei įstaigai – Vlaamse Toezichtcommissie (VTC).

Tiesą sakant, nuo 2019 m. Flandrijos vyriausybė sistemingai apeidavo APD, priimdama savo dekretus per VTC, nepaisant 2023 m. kovo mėn. Konstitucinio Teismo nutarimo, kuriame priminta, kad Flandrijos vyriausybė, norėdama priimti savo tekstus, turėjo kreiptis į APD.

Šiandien ministras pirmininkas nori įforminti Flandrijos kompetenciją: jis išsiuntė laišką Europos Komisijai, prašydamas pripažinti vaizdo transliacijų komisijos (VTC) kompetenciją BDAR atžvilgiu.

Belgijos duomenų apsaugos tarnyba (APD) skyrė 100 000 eurų baudą duomenų valdytojui už tai, kad šis laiku neatsakė į duomenų subjekto prašymą susipažinti su duomenimis.

Vis dėlto APD atmetė atitinkamo asmens prašymą gauti informaciją apie konkrečius darbuotojus, kurie susipažino su jo duomenimis.

Taip pat Belgijoje APD ginčų rūmai rugsėjo 6 d. atmetė „Noyb“ pateikto atstovavimo įgaliojimo galiojimą byloje dėl „Google Analytics“ scenarijų integravimo į svetainę tuo metu, kai ESTT buvo pripažinęs negaliojančiu „Privatumo skydą“.

Ginčų kolegija nusprendė, kad įgaliojimas yra Noyb piktnaudžiavimas teisėmis.

Atskiroje byloje Belgijos duomenų apsaugos tarnyba (APD) vis dėlto patenkino kelis „Noyb“ 2023 m. pateiktus skundus ir nurodė keturioms pagrindinėms Belgijos naujienų svetainėms suderinti savo slapukų reklamjuostes su BDAR.

Ispanijos duomenų apsaugos institucija spalio 2 d. paskelbė ataskaitą apie asmens duomenų tvarkymą ir vaikų amžiaus tikrinimą skaitmeninėje aplinkoje.

Dokumente pasisakoma už tai, kad informacinės visuomenės paslaugos turėtų parengti aktyvią apsaugos politiką.

Ispanijos duomenų apsaugos agentūra (APD) skyrė 72 000 eurų baudą finansinių technologijų bendrovei už nepakankamų klientų tapatybės patvirtinimo priemonių įgyvendinimą, kurios leido sukčiams be aukos žinios imti paskolą jos vardu.

Rugsėjo 27 d. Airijos duomenų apsaugos komisija (DPC) skyrė „Meta“ 91 mln. eurų baudą.

Sprendimas susijęs su bendrovės imtomis priemonėmis, kuriomis siekiama užtikrinti saugumo lygį, atitinkantį su slaptažodžių tvarkymu susijusią riziką, ir su pareiga dokumentuoti duomenų saugumo pažeidimus bei pranešti apie juos Duomenų apsaugos institucijai.

Institucija primena duomenų valdytojams, kad jie privalo įvertinti su vartotojų slaptažodžių saugojimu susijusią riziką ir įgyvendinti priemones šiai rizikai sušvelninti.

Rugsėjo 12 d. APD taip pat paskelbė apie tyrimo prieš „Google“ pradžią dėl Europos vartotojų asmens duomenų naudojimo kuriant dirbtinio intelekto modelį vertimų srityje.

Tyrimas susijęs su dirbtinio intelekto modeliu „Pathways Language Model 2“ (PaLM 2), kurį „Google“ pristatė 2023 m., neatlikusi duomenų apsaugos poveikio analizės.

Italijoje APD skyrė 5 000 000 eurų baudą energijos tiekėjui už tai, kad jis neįgyvendino tinkamų priemonių, siekdamas užtikrinti, kad jo subrangovai laikytųsi BDAR.

Tai leido jiems sudaryti sutartis su atitinkamais asmenimis be jų žinios.

Portugalijos duomenų apsaugos tarnyba (APD) skyrė 107 000 eurų baudą duomenų valdytojui už pakartotinį nepageidaujamų komercinių pranešimų siuntimą.

Duomenų valdytojas buvo laikomas atsakingu, nors siuntimus atliko subrangovas, naudodamas savo duomenų bazę.

 

Rugsėjo 19 d. paskelbtoje JAV federalinės prekybos komisijos (FTC) ataskaitoje atskleidžiama, kad didžiosios socialinės žiniasklaidos ir vaizdo transliacijų bendrovės vykdė plačiai paplitusį vartotojų stebėjimą, taikydamos silpną privatumo kontrolę ir nepakankamą vaikų bei paauglių apsaugą.

Ataskaitoje rekomenduojama apriboti duomenų saugojimą ir bendrinimą, apriboti tikslinę reklamą ir sustiprinti paauglių apsaugą.

Rugsėjo 30 d. Kinijos vyriausybė paskelbė „Tinklo duomenų saugumo valdymo reglamentus“, kurie įsigalios 2025 m. sausio 1 d. 

Teksto tikslas – reguliuoti tinklo duomenų tvarkymo veiklą, apsaugoti asmenų ir organizacijų teises ir teisėtus interesus bei užtikrinti nacionalinį saugumą ir viešuosius interesus.

Taip pat Kinijoje Nacionalinis informacijos saugumo standartizacijos techninis komitetas (TC260) paskelbė dirbtinio intelekto informacijos saugumo valdymo sistemą.

Dokumente pateikiama keletas principų ir naudinga su dirbtiniu intelektu susijusių rizikų klasifikacija bei technologinės priemonės joms spręsti.

IBM paskelbė duomenų saugumo pažeidimų kainos ataskaitą 2024 m.

Tarp ataskaitos išvadų verta paminėti, kad:

• Vidutinė duomenų saugumo pažeidimo kaina siekia 4,88 mln. JAV dolerių, o brangiausi duomenų saugumo pažeidimai yra Jungtinėse Valstijose.
• Kibernetinio saugumo įgūdžių trūkumas paaštrėjo,
• Beveik pusė pažeidimų susiję su asmens duomenimis (46 %) arba intelektinės nuosavybės įrašais (43 %),
• Teisėsaugos įsikišimas sumažina išpirkos reikalaujančių programų išlaidas vidutiniškai 1 mln. USD.
• 292 dienos reikalingos pažeidimams, susijusiems su pavogtais prisijungimo duomenimis, nustatyti ir sustabdyti.

„Instagram“ dabar siūlo paauglių paskyras su griežtesniais saugumo nustatymais, leidžiančiais tėvams apriboti programėlių naudojimą.

Paauglių paskyros yra specialiai sukurtos siekiant apsaugoti nepilnamečius nuo žalingo turinio ir nepageidaujamų kontaktų, kartu sutrumpinant laiką, praleidžiamą prie programėlės.