„Legal Watch“ Nr. 63 – 2023 m. rugsėjis.

„Brexit“: duomenų apsaugos apžvalga.

Nuo tada, kai 2020 m. sausio 31 d. Jungtinė Karalystė išstojo iš Europos Sąjungos, abiejose Lamanšo sąsiaurio pusėse atsirado vis didesnių duomenų apsaugos sistemų skirtumų.

Šalis vis dar taiko įstatymą, kuriuo BDAR buvo perkeltas į nacionalinę teisę, vadinamą „JK BDAR“, o nuo 2021 m. birželio 28 d. Jungtinė Karalystė naudojasi tinkamu apsaugos lygiu, kuris leidžia keistis duomenimis su ES.

Sprendimas dėl tinkamumo galioja iki 2025 m. birželio 27 d., tačiau jis galėtų būti peržiūrėtas anksčiau, jei iki tos datos JK teisinė sistema reikšmingai pasikeistų.

Tarp įvykių, kurie gali sukelti Europos Komisijos nuostabą, yra JK siekis tapti „duomenų centru“, palengvinančiu tarptautinį keitimąsi duomenimis, ir dabartinis „JK BDAR“ peržiūros projektas, kuriuo siekiama palengvinti Britanijos įmonių įsipareigojimus.

Rugsėjo 21 d. Jungtinė Karalystė įformino birželį su Jungtinėmis Valstijomis sudarytą „duomenų tiltą“.

Susitarimas įsigalios spalio 12 d.

JK taip pat sudarė susitarimus su keliomis šalimis, kurias ES jau laiko tinkamomis: Kanada, Izraeliu, Japonija, Naująja Zelandija, Šveicarija ir Urugvajumi.

Jo prioritetų sąraše taip pat yra Australija, Kolumbija, Dubajus, Korėjos Respublika ir Singapūras.

Šis tarptautinių mainų palengvinimas kelia klausimą dėl vėlesnio Europos duomenų perdavimo, kai šie duomenys, praėję per JK, vėliau būtų gauti šalies, kurios ES nelaiko garantuojančia lygiavertę duomenų apsaugą.

JK iš tiesų pereina prie pragmatiškesnio trečiųjų šalių siūlomų garantijų vertinimo, labiau pagrįsto rizika.

Lygiagrečiai su šiomis iniciatyvomis dėl duomenų perdavimo, JK rengia įstatymo projektą dėl duomenų apsaugos ir skaitmeninės informacijos („Duomenų apsaugos ir skaitmeninės informacijos (Nr. 2) įstatymo projektas“), kuriuo siekiama pakeisti dabartinį JK BDAR.

Šis tekstas praėjusį pavasarį jau du kartus buvo perskaitytas parlamente ir vis dar turi būti svarstomas trečiuoju svarstymu.

Projekte išlaikomas tikslo apribojimo principas, tačiau pakeičiama jo taikymo sritis: leidžiama toliau tvarkyti duomenis, kai jie buvo surinkti be sutikimo, pavyzdžiui, tais atvejais, kai duomenys naudojami viešojo intereso labui.

Šios taisyklės poveikis slapukų naudojimui kol kas nėra aiškus, nors vyriausybė teigia norinti apriboti nepageidaujamus „iššokančius langus“, prašančius vartotojo sutikimo.

Mokslinio tyrimo apibrėžimas buvo atnaujintas ir išplėstas, o jo praktikos sąlygos sušvelnintos.

Tai galėtų leisti įmonėms lengviau tvarkyti duomenis komerciniais tikslais, teigdamos, kad ši komercinė praktika susideda iš technologinių tyrimų ir plėtros. 

Projektu taip pat sumažinami įmonėms keliami reikalavimai dėl įrašų tvarkymo ir aktyvios duomenų tvarkymo veiklos kontrolės, išskyrus tas, kurių tvarkymas kelia didelę riziką asmenų teisėms.

Tekste taip pat pristatoma „patikimų ir saugių skaitmeninio patvirtinimo paslaugų“ naudojimo sistema, kuri, regis, atitinka Europos Sąjungos skaitmeninės tapatybės projektą.

Visoje ES veikiančioms įmonėms reformos, kuria siekiama sumažinti administracinę naštą, nauda bus ribota: pavyzdžiui, jos vis tiek turės paskirti duomenų apsaugos pareigūną ir negalės pasinaudoti tam tikrų su duomenų saugojimu susijusių taisyklių sušvelninimu.

Plane taip pat numatyta pakeisti esamą reguliavimo instituciją – ICO – taryba ir suteikti valstybės sekretoriui įgaliojimus vadovauti tam tikrai institucijos veiklai, nustatant strateginius prioritetus.

Nepriklausomos duomenų apsaugos reguliavimo institucijos egzistavimas bus vienas iš pagrindinių elementų, į kuriuos ES atsižvelgs iš naujo vertindama JK „esminį lygiavertiškumą“ savo duomenų apsaugos taisyklėms.

Šis klausimas jau sukėlė klausimų Europos Parlamente.

Įstatymas galėtų būti priimtas kitą pavasarį.

 

• 2023 m. rugsėjo 18 d. CNIL skyrė oro krovinių gabenimo bendrovei SAF LOGISTICS 200 000 eurų baudą už per didelio duomenų kiekio, įskaitant jautrius duomenis ir teistumo įrašų išrašus, surinkimą iš savo darbuotojų.

Jai taip pat taikomos sankcijos už nepakankamą bendradarbiavimą su CNIL tarnybomis.

• Rugsėjo pabaigoje vyko Europos tvaraus vystymosi savaitė, suteikusi CNIL galimybę pristatyti savo šiai temai skirtą brošiūrą: joje nagrinėjamos duomenų apsaugos, laisvių ir aplinkos sąveikos: „Ar duomenų apsauga apsaugo planetą? Ar mūsų laisvės išgyvena pereinamąjį laikotarpį? Ar turėtume dalytis duomenimis, kad apsaugotume aplinką?“

Dokumente bandoma atsakyti į šiuos klausimus ir pateikiamos rekomendacijos, kaip suderinti du tikslus.

• Šią vasarą CNIL paskelbė viešųjų duomenų pakartotinio naudojimo vadovo projektą.

Vadove pateikiama CNIL ir jos kolegų pozicija, taip pat Prancūzijos ir Europos teismų sprendimai, kuriuos papildo konsultacijų su įvairiais subjektais, tiesiogiai dalyvaujančiais kuriant viešai prieinamų duomenų atvėrimo, dalijimosi ir pakartotinio naudojimo metodus (instituciniais partneriais, asociacijomis ir įmonėmis, teisininkais, tyrėjais).

• Rugpjūčio 29 d. CNIL (Prancūzijos duomenų apsaugos tarnyba) įpareigojo „Boursorama“ laikytis BDAR nuostatų, „visų pirma, nutraukiant prisijungimo prie impots.gouv.fr svetainės duomenų tvarkymą“: „Boursorama“ iš tiesų prašė prieigos prie impots.gouv.fr svetainės vartotojo vardo ir slaptažodžio iš tų, kurie norėjo gauti paskolą arba atidaryti akcijų taupymo planą.

CNIL nurodo, kad bendrovė turi du mėnesius įvykdyti reikalavimus.

• „Mozilla“ kreipiasi į visuomenę sureaguoti į būsimą SREN įstatymą, kuris numato „apsaugos nuo sukčiavimo filtro“ įdiegimą internete.

Fondas savo peticijos pavadinime teigia, kad Prancūzija verčia interneto naršykles „cenzūruoti svetaines“.

Privalomas mechanizmas įpareigotų tarpininkus įdiegti visas tinkamas priemones, kad interneto vartotojai negalėtų pasiekti adresų, kurie laikomi kenksmingais, bent septynias dienas.

Iš principo fondas mano, kad kova su sukčiavimu internete yra pagirtina.

Tačiau ji ginčija šiam tikslui pasiekti pasirinktus metodus, kurie sukuria precedentą, nes filtravimo strategija, įdiegus ją, galėtų būti išplėsta ir kitiems klausimams spręsti.

 

 

Europos institucijos ir įstaigos

• Europos Komisija paskelbė gaires dėl naujosios Europos kibernetinio saugumo direktyvos NIS2.

Ši direktyva nustato su saugumu, incidentų pranešimu ir valdymu susijusius įpareigojimus įvairių ypatingos svarbos sektorių, įskaitant energetiką, transportą, finansus, sveikatos apsaugą ir skaitmeninę infrastruktūrą, subjektams.

Šie du gairių dokumentai padeda nustatyti, ar taikomi NIS2 reikalavimai, ar sektorių reikalavimai, ir jais siekiama užtikrinti, kad registracijos reikalavimai būtų nuoseklūs visoje Sąjungoje.

• Spalio mėnesį Europos Parlamento Piliečių laisvių komitetas pradės nagrinėti reglamentą dėl „Vaikų apsaugos internete“.

Šis tekstas sulaukia vis aštresnės kritikos, ypač dėl priemonės, kuria siekiama įpareigoti pagrindines platformas aktyviai nuskaityti privatų turinį, kuriuo keičiamasi su jų paslaugomis, siekiant aptikti vaikų pornografiją.

Daugelis pilietinės visuomenės veikėjų, visos Europos duomenų apsaugos institucijos ir ES Tarybos teisininkai mano, kad reglamentas nustatytų „ypač didelius teisės į privatumą apribojimus“ ir kad kyla „rimta rizika“, jog jis prieštarauja pagrindiniams ES tekstams.

• Kibernetinio saugumo mėnuo – tai proga Europos Sąjungos informacijos saugumo agentūrai (ENISA) paskelbti rekomendacijas dėl išpirkos reikalaujančių programų.

Tarp turimų dokumentų yra patarimų elektros energijos sektoriaus operatoriams, kurie yra pagrindinis įsilaužėlių taikinys.

• Rugsėjo 7 d. parlamento narys Philippe Latombe, CNIL narys, Europos Sąjungos Teisme užginčijo Duomenų privatumo sistemą, kuri nuo šios vasaros leidžia keistis duomenimis tarp ES ir Jungtinių Valstijų.
• Latombe pateikė du apeliacinius skundus: vieną su prašymu nedelsiant sustabdyti susitarimą, o kitą – dėl teksto turinio.

Jis prašo Teismo skubiai sustabdyti susitarimą, remdamasis 1958 m. Europos reglamentu, kuris reikalauja, kad bendro pobūdžio Europos tekstai būtų rašomi keturiomis oficialiomis kalbomis, o nuo liepos 10 d. DPF egzistuoja tik anglų kalba.

• Vaizdo konferencijų priemonių naudojimas kelia duomenų apsaugos problemų, ypač dėl to, kad duomenys labai dažnai perduodami už ES ribų.

ES Teisingumo Teismas atliko „duomenų perdavimo poveikio vertinimą (TIA)“, susijusį su „Cisco Webex“ naudojimu, ir pavedė tvarkymą gauti Europos duomenų apsaugos priežiūros pareigūno (EDPP) leidimą.

EDAPP sprendimas ir ESTT poveikio vertinimas yra naudingos nuorodos bet kuriam duomenų valdytojui, kuris naudoja šias priemones profesiniame kontekste.

 

Naujienos iš Europos šalių narių.

• Belgijos duomenų apsaugos tarnyba (APD) rugpjūčio 16 d. atmetė skundą, nepaisydama BDAR pažeidimų.

Ji manė, kad pažeidimai neturėjo „didelio socialinio ir (arba) asmeninio poveikio“ ir kad todėl skundui išnagrinėti reikalingi ištekliai būtų neproporcingi.

• Po privalomo Europos duomenų apsaugos valdybos (EDAV) sprendimo dėl ginčų sprendimo, Airijos duomenų apsaugos komisija rugsėjo 1 d. paskelbė galutinį sprendimą, kuriame nustatė, kad „TikTok“ pažeidė BDAR sąžiningumo principą tvarkydama 13–17 metų vaikų asmens duomenis.

Registracijos iššokančiajame lange vaikai buvo raginami pasirinkti viešą paskyrą.

Galutiniame APD sprendime laikoma, kad numatytieji viešieji nustatymai taip pat prieštaravo pritaikytosios ir standartizuotosios duomenų apsaugos, duomenų kiekio mažinimo ir skaidrumo principams.

Be papeikimo ir atitikties nurodymo, Airijos duomenų apsaugos institucija skyrė 345 mln. eurų baudą.

• Žemutinės Saksonijos duomenų apsaugos institucija, bendradarbiaudama su šešiomis kitomis duomenų apsaugos institucijomis, parengė „Microsoft 365“ naudojimo profesiniais tikslais vadovą.

Valdžios institucijos rekomenduoja sudaryti papildomą susitarimą tarp atsakingos šalies ir „Microsoft“, kuris būtų viršesnis už visus prieštaringus sutarčių tekstus.

Šiame susitarime visų pirma turėtų būti reglamentuojami prie duomenų valdytojo poreikių pritaikyti duomenų ištrynimo laikotarpiai, informacijos reikalavimai dėl subrangovų naudojimo, taip pat „Microsoft“ atliekamas duomenų tvarkymas savo komerciniais tikslais.

• Liepos vidurio įsakyme dėl duomenų tvarkymo rinkodaros tikslais Italijos duomenų apsaugos tarnyba (APD) primena, kad, atsižvelgiant į duomenų saugojimo apribojimo principą, nėra pagrindo saugoti duomenis iki sutikimo atšaukimo datos.

Šis priminimas jau įtrauktas į EDAV gaires Nr. 5/2020, pagal kurias reikia atsižvelgti į kontekstą ir teisėtus asmenų lūkesčius: gera praktika yra reguliariai reikalauti naujo sutikimo.

• Italijos Aukščiausiasis Teismas patvirtino neteisėtą darbuotojo atleidimą iš Italijos banko dėl neteisėto to darbuotojo el. laiškų stebėjimo ir sekimo.

Aukščiausiasis Teismas nurodė, kad, atsižvelgiant į aplinkybes, būtina užtikrinti teisingą pusiausvyrą tarp įmonės interesų ir nuosavybės apsaugos reikalavimų, susijusių su ekonominės iniciatyvos laisve, ir darbuotojo orumo bei privatumo apsaugos.

Visų atsakovo įmonės nešiojamajame kompiuteryje vykstančių ryšių stebėjimas buvo nepagrįstas, nes jis buvo nediferencijuotas, neribotas ir dėl to, kad ieškovas neinformavo atsakovo apie galimą jo nešiojamojo kompiuterio ryšių stebėjimą, taip pat apie stebėjimo pobūdį ir mastą.

• Rugpjūčio 21 d. paskelbtame sprendime Ispanijos duomenų apsaugos tarnyba (APD) skyrė duomenų valdytojui sankcijas už BDAR 28(2) ir 28(3) straipsnių pažeidimą.

Ši sankcija buvo skirta, nors tarp duomenų valdytojo ir subrangovų nebuvo sudaryta jokia sutartis, o duomenų valdytojas nebuvo informuotas apie subrangovų dalyvavimą duomenų tvarkymo veikloje.

• Ispanijos duomenų apsaugos agentūra (APD) skelbia tinklaraščio įrašą apie skaitmenines valiutas, kuriame aptaria didžiausias kriptovaliutų keliamas rizikas: nepastovumą, spekuliacijas, klaidingą prieinamumo jausmą, saugumą ir anonimiškumą.
• JK rinkimų komisija rugpjūčio 8 d. paskelbė, kad tapo duomenų saugumo pažeidimo auka.

Kibernetinė ataka įvykdyta 2021 m. rugpjūtį, o buvo aptikta 2022 m. spalį.

Įsilaužėliai, kurių tapatybė lieka nežinoma, nuo 2014 iki 2022 metų gavo prieigą prie 40 milijonų registruotų rinkėjų duomenų.

• Didžiosios Britanijos vyriausybė sustabdė savo planus susilpninti internetinį šifravimą įgyvendindama Internetinio saugumo įstatymą.

Šiuo įstatymo projektu buvo siekiama įpareigoti tokias pranešimų siuntimo programėles kaip „WhatsApp“ analizuoti savo naudotojų pokalbius dėl vaikų pornografijos. Prieštaringai vertinamos nuostatos liktų įstatymo projekte, tačiau Didžiosios Britanijos vyriausybė pareiškė, kad neverš technologijų įmonių jų įgyvendinti.

• Britų tyrėjų komanda 2023 m. rugpjūtį paskelbė straipsnį apie dirbtinio intelekto (DI), galinčio iššifruoti slaptažodį tiesiog klausantis klaviatūros klavišų skleidžiamų garsų, kūrimą.

Dirbtinis intelektas buvo apmokytas naudojant daugiau nei 100 000 klavišų paspaudimų duomenų rinkinį ir sėkmingai išbandytas įvairiuose įrenginiuose, įskaitant nešiojamuosius kompiuterius, išmaniuosius telefonus ir išmaniąsias garso kolonėles.

 

• Tarptautinė standartizacijos organizacija neseniai paskelbė ISO 22989:2022 – Dirbtinio intelekto sąvokos ir terminologija, kuriame nustatoma terminologija ir aprašomos dirbtinio intelekto srities sąvokos.

Šis dokumentas gali būti naudojamas kuriant kitus standartus ir palaikant bendravimą tarp įvairių suinteresuotųjų šalių ar subjektų. Jis taikomas visų tipų organizacijoms (komercinėms įmonėms, vyriausybinėms agentūroms, ne pelno organizacijoms).

• Pranešama, kad „Meta“ ruošiasi įdiegti mokamą prenumeratą savo socialinės žiniasklaidos platformose „Instagram“ ir „Facebook“.

„Wall Street Journal“ duomenimis, vartotojai, kurie nenori būti stebimi suasmenintos reklamos tikslais, turėtų mokėti nuo 10 iki 15 eurų per mėnesį, priklausomai nuo naudojamo įrenginio (išmaniojo telefono, kompiuterio).

• Vaizdo stebėjimas su biometriniu atpažinimu yra Argentinos skandalo centre: klaidos, manipuliavimui jautri sistema, neteisėta prieiga, skaidrumo priemonių trūkumas…

75 procentai sostinės yra stebimi vaizdo kameromis, tačiau veido atpažinimo sistema kritikuojama po to, kai nuo 2019 m. mažiausiai 140 klaidų lėmė policijos patikrinimus ar areštus.

Aktyvistai nusprendė paduoti miesto valdžią į teismą ir 2022 m. balandžio mėn. pasiekė, kad sistema būtų išjungta.

Nuo to laiko Buenos Airių miestas kovoja, kad jis vėl būtų pradėtas eksploatuoti.

• Indonezijos saugumo tyrėjas tviteryje atskleidė, kad įsilaužėlis už 10 000 dolerių pardavė failą, kuriame yra beveik 35 milijonų pasų turėtojų duomenys.

Jau žinoma, kad įsilaužėlis 2022 m. pavogė ir pardavė 1,3 milijardo SIM kortelių duomenis iš Indonezijos ryšių ir informacinių technologijų ministerijos serverių, taip pat įtariamas 17 milijonų Indonezijos elektros energijos bendrovės klientų asmeninės informacijos vagyste 2022 m. (per AFCDP).

• Rugsėjo viduryje Saudo Arabija paskelbė savo reglamentus dėl asmens duomenų apsaugos įstatymo įgyvendinimo, taip pat reglamentus dėl asmens duomenų perdavimo už Karalystės ribų.
• 2021 m. spalio 15 d. Ruandos vyriausybė priėmė įstatymą dėl asmens duomenų ir privatumo apsaugos.

Vyriausybė suteikė dvejų metų pereinamąjį laikotarpį, kad asmenys ir organizacijos galėtų suderinti savo duomenų tvarkymo veiklą su įstatymu. Šis laikotarpis baigsis 2023 m. spalio 15 d.