Teisinis stebėjimas Nr. 66 – 2023 m. gruodžio mėn.

BDAR teismų praktika: pagrindinės 2023 m. tendencijos

Tiek Prancūzijoje, tiek Europos lygmeniu duomenų apsaugos institucijos ir teisminės institucijos 2023 m. priėmė daugybę sprendimų, kuriais išaiškino BDAR taikymo sąlygas.

Europos lygmeniu didžiausios duomenų apsaugos institucijų taikomos sankcijos taikomos tarptautinėms technologijų milžinėms, taip pat kelioms nacionalinėms įmonėms.

Jie specialiai taikosi į reklamą be naudotojų sutikimo ir neinformuodami naudotojų.

• 2023 m. sausio 4 d. Airijos duomenų apsaugos komisija skyrė 390 mln. eurų baudą bendrovei „Meta Platforms Ireland Ltd.“ už neteisėtą asmens duomenų naudojimą reklamos tikslais „Facebook“ ir „Instagram“ platformose.

Taip pat 2023 m. gegužę bendrovė „Meta“ skyrė istorinę 1,2 mlrd. eurų baudą už neteisėtą duomenų perdavimą į Jungtines Valstijas.

• Airijos duomenų apsaugos tarnyba (DPA) 2023 m. sausio mėn. taip pat skyrė 5,5 mln. eurų baudą „WhatsApp“ už tai, kad ši vertė vartotojus sutikti su asmens duomenų naudojimu „paslaugų ir saugumo gerinimo“ tikslais.
• 2023 m. birželio 15 d. CNIL skyrė 40 mln. eurų baudą internetinės reklamos bendrovei „CRITEO“, visų pirma už tai, kad ji nepatikrino, ar asmenys, kurių duomenis ji tvarkė, davė sutikimą.
• Italijos duomenų apsaugos institucija praėjusį birželį skyrė telemarketingo bendrovei „TIM SpA“ 7,6 mln. eurų baudą už nepakankamą piktnaudžiaujančių skambučių centrų priežiūrą.

Prancūzijoje CNIL priėmė keletą kitų paminėtinų sankcijų. Komisija daugiausia dėmesio skyrė:

• Dėl teisinio pagrindo trūkumo bendrovės „Clearview“ renkant biometrinius duomenis;
• Dėl surinktų duomenų kiekio mažinimo principo laikymosi klausimo, šiuo atveju – geolokacijos duomenų, nagrinėtų 2023 m. kovo 16 d. „Cityscoot“ byloje;
• Dėl duomenų saugojimo laikotarpių 2023 m. birželio 8 d. KG COM byloje ir 2023 m. gegužės 11 d. Doctissimo byloje;
• Dėl pagarbos asmenų teisėms „Canal +“ (spalio 12 d.), „Free“ (kovo 20 d.) ir „Criteo“ (birželio 15 d.) bylose.

Dėl pastarojo punkto CNIL pabrėžia, kad duomenys pareiškėjui turi būti pateikti suprantama forma.

Ji taip pat pažymi, kad nesilaikymas vieno mėnesio termino atsakyti į prašymą susipažinti su duomenimis yra dažnas nusižengimas.

Verta priminti, kad asmens teisių įgyvendinimas yra 2024 m. Europos duomenų apsaugos institucijų koordinuotų tyrimų tema.

Taip pat, kalbant apie Prancūzijos teismų ir tribunolų praktiką, paminėkime keletą neseniai priimtų sprendimų dėl vaizdo stebėjimo.

• Nicos ir Lilio administraciniai teismai atitinkamai lapkričio 23 ir 29 d. priėmė sprendimus savivaldybių, kurios įdiegė algoritminio veido atpažinimo vaizdo stebėjimo sistemas, naudai, motyvuodami tuo, kad šios sistemos (dar) nebuvo iki galo aktyvuotos ar įdiegtos išplėstinio vaizdo stebėjimo tikslais.
• Kita vertus, Kano administracinis teismas lapkričio 22 d. laikinojoje nutartyje ryžtingiau nusprendė, kad algoritminė vaizdo stebėjimo sistema „Briefcam“ yra rimtas ir akivaizdžiai neteisėtas teisės į privatumą pažeidimas.

Teisėjas pažymėjo, kad naudojimas neatitiko jokios teisinės ar reguliavimo sistemos reikalavimų, ir nusprendė, kad „nebuvo nustatyta ir net teigiama, jog nebūtų buvę galima įgyvendinti kitų, mažiau privatumą pažeidžiančių priemonių viešajai tvarkai išsaugoti“.

Klausimas dėl algoritminio vaizdo stebėjimo naudojimo teisinio pagrindo turėtų tapti dar aktualesnis priėmus Europos dirbtinio intelekto reglamentą, kuris ypač griežtai reglamentuos veido atpažinimą viešose erdvėse (žr. toliau pateiktas santraukas).

Galiausiai, Europos lygmeniu Europos Sąjungos Teisingumo Teismas (ESTT) priėmė keletą sprendimų, kuriuose išaiškinami, visų pirma, automatizuotam duomenų tvarkymui taikomi principai ir žalos, padarytos pažeidus BDAR, įvertinimas:

• Todėl gruodžio 7 d. ESTT priėmė du svarbius sprendimus dėl dominuojančio kredito informacijos paslaugų teikėjo Vokietijoje („Schufa“).

Teismas visų pirma nurodė, kad automatizuotam kreditingumo apdorojimui („balų skyrimui“) taikomas bendras draudimas pagal BDAR 22 straipsnį.

Ji priduria, kad įmonei, kuri automatiškai nustato kredito reitingą, ir toliau taikomas 22 straipsnis, net jei tai kita įmonė, kuri remiasi šiuo reitingu priimdama sprendimus, turinčius (neigiamą) poveikį atitinkamam asmeniui, ir tai gali turėti įtakos dirbtinio intelekto palaikomoms sistemoms.

• Kalbant apie žalą, 2023 m. gegužės 4 d. sprendime Osterreichische Post AG byloje Teismas nusprendė, kad BDAR nuostatų pažeidimas nėra pakankamas, kad duomenų subjektas, nukentėjęs nuo neteisėto duomenų tvarkymo, turėtų teisę į kompensaciją: jis taip pat turi įrodyti žalą. Tačiau ši žala turi būti atlyginta, net jei ji nepasiekia tam tikro sunkumo laipsnio.
• 2023 m. gruodžio 14 d. sprendime ESTT pateikia platų moralinės žalos aiškinimą.

Teismas konkrečiai nurodo, kad baimė, kurią asmuo patiria dėl galimo trečiųjų šalių netinkamo naudojimosi jo asmens duomenimis po BDAR pažeidimo, savaime gali būti laikoma moraline žala.

Kartu su sprendimu Österreichische Post AG byloje, kuriame nustatyta, kad nėra minimalios neturtinės žalos ribos, šis sprendimas galėtų paskatinti kolektyvinių ieškinių plėtrą Europoje.

Verta priminti, kad Prancūzija, kaip ir jos Europos partnerės, šiuo metu perkelia į nacionalinę teisę 2020 m. lapkričio 25 d. direktyvą dėl atstovaujamųjų ieškinių ginant kolektyvinius vartotojų interesus.

 

   

• Gruodžio viduryje CNIL paskelbė duomenų apsaugos specialistams skirtas „Duomenų apdorojimo ir laisvių lenteles“.

Šiose lentelėse sugrupuotos ir suklasifikuotos daugelio Prancūzijos ir Europos teismų, įskaitant Europos Žmogaus Teisių Teismą, Europos Sąjungos Teisingumo Teismą, Konstitucinę Tarybą, Valstybės Tarybą ir Kasacinį Teismą, sprendimų santraukos.

Lentelėse taip pat pateikiami tam tikri EDPB ir CNIL sprendimai, daugiausia dėmesio skiriant tiems, kurie nustato naują doktriną ar principus.

• Gruodžio viduryje CNIL taip pat paskelbė vadovą, kaip didinti informuotumą apie BDAR, siekiant padėti darbuotojų saugos ir sveikatos tarnyboms (SPST) laikytis reikalavimų.
• Po Europos duomenų apsaugos valdybos (EDAV) dabar Konkurencijos, vartotojų reikalų ir sukčiavimo kontrolės generalinio direktorato eilė paskelbti puslapį, skirtą įspėti vartotojus apie „tamsius modelius“ – šiuos metodus ar procesus, kuriais siekiama paveikti interneto vartotojų pasirinkimus, kad jie užsisakytų produktus ar užsisakytų paslaugas, kurių kitaip nebūtų visiškai pasirinkę.
• Vidaus reikalų ministerija ką tik baigė reorganizuoti savo kibernetinių nusikaltimų tarnybas.
• Naujoji „Vidaus reikalų ministerijos kibernetinės erdvės vadovybė“ (Comcyber-MI) buvo įsteigta 2023 m. lapkričio 23 d. dekretu ir koordinuos visus ministerijos išteklius.
• Kitas dekretas įformina naujos „Kovos su kibernetiniais nusikaltimais tarnybos“ (OFAC) įsteigimą, kuri sujungia policijos kibernetinio saugumo poskyrį ir buvusį biurą – Centrinę kovos su informacinių ir ryšių technologijų nusikaltimais tarnybą (OCLCTIC).
• Galiausiai, trečiuoju dekretu įforminamas nacionalinio kibernetinio padalinio, prijungto prie Nacionalinės žandarmerijos generalinio direktorato, sukūrimas.

„Iliad“, CMA CGM ir „Schmidt Futures Groups“ sukūrė „Kyutai“: ne pelno siekiančią dirbtinio intelekto tyrimų laboratoriją, kurios ambicijos – spręsti pagrindinius dirbtinio intelekto iššūkius, tokius kaip didelių multimodalinių modelių kūrimas ir naujų algoritmų išradimas.

 

Europos institucijos ir įstaigos

• Gruodžio 9 d. ES pasiekė politinį susitarimą dėl dirbtinio intelekto reglamento, kuris turėtų būti oficialiai priimtas 2024 m. pradžioje.

Preliminarus susitarimas uždraustų, pavyzdžiui, kognityvinį elgesio manipuliavimą, netikslinį veido atvaizdų rinkimą iš interneto ar vaizdo stebėjimo kamerų filmuotos medžiagos, emocijų atpažinimą darbo vietoje ir švietimo įstaigose, socialinį vertinimą, biometrinį kategorizavimą siekiant nustatyti jautrius duomenis, tokius kaip seksualinė orientacija ar religiniai įsitikinimai, ir tam tikrus nuspėjamojo policijos darbo atvejus asmenims.

Susitarime numatyta keletas išimčių teisėsaugos tarnyboms ir migracijai.

• Paskutiniame plenariniame posėdyje Europos duomenų apsaugos valdyba priėmė laišką, kuriuo reaguojama į Europos Komisijos iniciatyvą dėl savanoriško slapukų naudojimo įsipareigojimo.

Komitetas iš esmės pritaria dokumentui ir rekomenduoja įmonėms, kai vartotojas atsisako rinkti jo duomenis, palaukti metus prieš atnaujinant prašymus duoti sutikimą, siekiant sumažinti vartotojų nuovargį („slapukų nuovargį“), kuris dėl pakartotinių prašymų verčia vartotojus atsitiktinai spustelėti slapukus, užuot realiai pasinaudoję savo teisėmis.

• 2023 m. gruodžio 7 d. nutartyje ESTT išaiškino, kad baudos skyrimas už BDAR pažeidimą suponuoja tyčinį arba dėl neatsargumo padarytą pažeidimą.

Jame toliau plėtojama duomenų valdytojo atsakomybės apimtis ir kvalifikacija: ši apibrėžtis gali būti taikoma subjektui, kuris pavedė įmonei sukurti mobiliąją kompiuterinę programėlę ir kuris šiame kontekste dalyvavo nustatant tvarkymo tikslus ir priemones, net jei šis subjektas pats neatliko tvarkymo operacijų, aiškiai nedavė sutikimo atlikti šias operacijas ar pateikti programėlę visuomenei.

Jame nurodoma, kad dviejų subjektų kvalifikavimas kaip bendri duomenų tvarkymo valdytojai nereiškia nei susitarimo tarp šių subjektų dėl tvarkymo tikslų ir priemonių nustatymo, nei susitarimo, kuriame būtų nustatytos su jų atsakomybe susijusios sąlygos, egzistavimo.

• Gruodžio 21 d. ESTT nusprendė, kad teisė į kompensaciją pagal BDAR 82 straipsnį atlieka kompensacinę funkciją, „t. y. piniginė kompensacija, pagrįsta šia nuostata, turi sudaryti sąlygas visiškai kompensuoti realiai patirtą žalą dėl šio reglamento pažeidimo“, o ne atgrasomąją ar baudžiamąją funkciją.

Todėl pažeidimo, dėl kurio atsirado atitinkama žala, sunkumas neturėtų turėti įtakos žalos dydžiui.

• „Microsoft“ pristatė naują „Outlook“ versiją, skirtą 2024 m. pakeisti į „Windows“ integruotą el. pašto ir kalendoriaus programą, ir tai kelia susirūpinimą Europos duomenų apsaugos institucijoms.

„Microsoft“ galėtų pasiekti el. laiškus ir priedus, kai vartotojas prie programos prideda ne „Microsoft“ el. pašto paskyrą, naudodamas tos paskyros IMAP ir SMTP kredencialus.

 

Naujienos iš Europos šalių narių.

• Nors, remiantis lapkričio pabaigoje paskelbtu Eliziejaus rūmų pranešimu, tikimasi, kad Marie-Laure Denis bus paskirta CNIL prezidente, Airijos duomenų apsaugos komisijos prezidentė Helen Dixon 2023 m. lapkričio 15 d. per „LinkedIn“ paskelbė apie savo pasitraukimą iš pareigų 2024 m. vasarį, išdirbusi 10 metų.
• Italijos duomenų apsaugos tarnyba (APD) skyrė 40 000 eurų baudą duomenų valdytojui už prieigą prie trijų buvusių jo darbuotojų el. pašto paskyrų, pažeidžiant BDAR 5(1) ir 13 straipsnius.

Institucija taip pat nusprendė, kad daugiabučio namo valdytojas pažeidė BDAR 5(1)(a) straipsnį ir 6 straipsnį, neteisėtai įrengdamas vaizdo stebėjimo sistemą be išankstinio daugiabučio namo valdymo nutarimo.

APD skyrė 1000 eurų baudą ir uždraudė perdirbimą.

• Norvegijos duomenų apsaugos tarnyba (APD) skyrė Norvegijos darbo ir gerovės administracijai (NAV) 1 754 678 eurų (20 mln. Norvegijos kronų) baudą ir išdavė kelis įsakymus už 12 pažeidimų, susijusių su „ilgą laiką trukusiu rimtu aplaidumu“ administracijos informacijos saugumo ir IT sistemose.
• Danijos duomenų apsaugos agentūra (DPA) papeikė Skaitmeninės valdžios agentūrą už „JavaScript“ naudojimą kartu su „MitID“ – Danijos skaitmeniniu identifikatoriumi.

Nors su šios programavimo kalbos naudojimu susijusi rizika yra žinoma, Agentūra ją naudojo neatlikusi išankstinio rizikos vertinimo ir taip, be kita ko, pažeisdama BDAR 32(1) straipsnį.

• Gruodžio 18 d. žurnale „New Scientist“ paskelbtame straipsnyje teigiama, kad dirbtinis intelektas, apmokytas naudoti šešių milijonų danų asmens duomenis (medicininius, profesinius ir finansinius įrašus), sugebėjo numatyti mirties riziką tiksliau nei esami modeliai, įskaitant tuos, kurie naudojami draudimo sektoriuje.

Šios technologijos tyrėjai teigia, kad ji galėtų turėti teigiamą poveikį ankstyvam socialinių ir sveikatos problemų prognozavimui, tačiau ji turi likti už didelių korporacijų rankos ribų.

• Praėjusį spalį priėmus Internetinio saugumo įstatymo projektą, kurį pilietinė visuomenė kritikavo dėl pavojaus ryšio šifravimui nuo pradžios iki pabaigos, Jungtinė Karalystė rengia naują prieštaringai vertinamą įstatymą dėl tyrimo įgaliojimų.

„Politico“ pranešime teigiama, kad pagrindinis su šiuo projektu susijęs rūpestis susijęs su vadinamuoju „pranešimų“ režimu: tai leistų Vidaus reikalų ministerijai reikalauti, kad įmonės informuotų ją apie bet kokius planus modifikuoti savo paslaugų produktus ar sistemas, o tai reikštų, kad įmonės gali prarasti savo produktų kontrolę ir neleisti joms, pavyzdžiui, ištaisyti kodo pažeidžiamumų, kuriais norėtų pasinaudoti vyriausybė ar jos partneriai.

Šiuo metu įstatymo projektas yra svarstomas, kitas posėdis numatytas sausio 23 d.

 

• 2023 m. lapkričio 26 d. paskelbtame dokumente 18 šalių kibernetinio saugumo agentūros susitarė sukurti dirbtinio intelekto modelius, kurie būtų „saugūs pagal dizainą“: įmonės, kurios kuria ir naudoja dirbtinį intelektą, privalo jį kurti ir diegti taip, kad apsaugotų savo klientus ir plačiąją visuomenę nuo netinkamo naudojimo.

Šį neįpareigojantį susitarimą priėmė Jungtinės Valstijos, Kanada, Japonija ir 7 ES valstybės (Vokietija, Estija, Prancūzija, Italija, Lenkija, Čekija), taip pat Norvegija ir Jungtinė Karalystė.

• Jungtinėse Valstijose, prieš pat metų pabaigą, „Google“ sutiko susitarti dėl 5 mlrd. dolerių vertės kolektyvinio ieškinio dėl „Chrome“ naršyklės inkognito režimo. „Google“ buvo apkaltinta tuo, kad toliau realiuoju laiku seka, renka ir identifikuoja naudotojų naršymo duomenis net ir atidarius naują inkognito langą.

„Euractiv“ teigimu, konkrečios susitarimo sąlygos kol kas nėra viešos, tačiau tikimasi, kad oficialus susitarimas teismui bus pateiktas iki vasario 24 d.

• Kalifornijos privatumo agentūra (CCPA) pritarė įstatymo projektui, pagal kurį interneto naršyklių tiekėjai turėtų įtraukti funkciją, leidžiančią žmonėms pasinaudoti savo teisėmis per „atsisakymo“ signalus.

CCPA pažymi, kad šiuo metu daugelyje naršyklių vartotojai reikalauja įdiegti trečiosios šalies papildinį, galintį perduoti signalą. 

Naršyklės, kurios iš esmės palaiko atsisakymo nuostatų signalus, šiuo metu sudaro mažiau nei 10 % pasaulinės žiniatinklio naršyklių rinkos.

• Gruodžio pabaigoje Federalinė prekybos komisija (FTC) pasiūlė naujus apribojimus įmonėms, renkančioms duomenis apie jaunesnius nei 13 metų vaikus, ir griežtesnius šios informacijos saugojimo standartus, kaip atnaujinto Vaikų privatumo apsaugos įstatymo (COPPA) dalį.
• Taip pat Jungtinėse Valstijose kolektyviniame ieškinyje kaltinama Amerikos sveikatos draudimo bendrovė „Humana“, kad ši neteisėtai naudojo dirbtinio intelekto modelį, siekdama neleisti pagyvenusiems žmonėms gauti būtinos reabilitacinės priežiūros.