„Legal Watch“ Nr. 68 – 2024 m. vasaris.

CNIL kontrolė: kokie yra 2024 m. prioritetai? ?

Kaip ir kiekvienais metais, CNIL 2024 m. pradžioje paskelbė savo ankstesnės veiklos apžvalgą ir ateinančių mėnesių prioritetus.

Tai rodo nuolat didėjančią kontrolę, kuri tapo efektyvesnė įdiegus supaprastintą procedūrą tam tikrais atvejais.

Praėjusiais metais patikrinimai paveikė įvairius sektorius, tokius kaip reklama ir internetinė prekyba, saugumas, transporto priemonių geolokacija, darbuotojų teisės ir sveikatos duomenų tvarkymas.

CNIL skyrė sankcijas tiek tarptautinėms įmonėms, tiek MVĮ, taip pat viešojo ir privačiojo sektorių subjektams.

Tačiau atrodo, kad Komisija sužinojo apie papildomas pastangas, kurių reikia mažų organizacijų vadovams, kad jie atitiktų BDAR reikalavimus.

Kovo 1 d. paskelbtame BDAR ekonominio poveikio tyrime ji pažymi, kad „BDAR yra proporcingai palankesnis dideliems ekonomikos subjektams, kurie turi daugiau išteklių, kuriuos gali skirti atitikčiai užtikrinti“.

Ji daro išvadas, pažymėdama, kad „reguliuotojas turi aktyviai kompensuoti šią tendenciją taikydamas reiklią politiką didelių žaidėjų, o ypač labai didelių, atžvilgiu, proporcingą jų keliamai rizikai ir turimiems ištekliams“.

Taigi, kaip nurodyta ir bendrame CNIL ir Konkurencijos tarnybos 2023 m. gruodžio mėn. pareiškime, CNIL jau dabar laikosi ir ateityje dar labiau laikysis asimetriško savo reguliavimo veiksmų skaitmeninėse rinkose masto.kartu su visapusišku verslo modelių supratimu, siekiant naudos asmenims ir jų pagrindinių teisių apsaugos.

Tarp šiais metais paskelbtų veiksmų, kaip ir galima tikėtis, yra ir su 2024 m. olimpinėmis ir parolimpinėmis žaidynėmis susiję failai bei asmenų teisė susipažinti su savo duomenimis.

Kalbant apie olimpines žaidynesCNIL ketina patikrinti, kaip bus naudojamos apsaugos priemonės, ypač sustiprintos kameros, QR kodai ribotos prieigos zonoms ir prieigos leidimai.

Duomenų kiekis ir renginyje dalyvaujančių partnerių skaičius taip pat paskatins Komisiją patikrinti bilietų duomenų naudojimą, kad būtų išvengta nesąžiningo atitinkamų asmenų duomenų pakartotinio naudojimo.

Atkreiptinas dėmesys, kad veido atpažinimo naudojimo teisėsaugos institucijose klausimas taip pat įtrauktas į Europos duomenų apsaugos valdybos (EDAV) 2023–2024 m. darbo programos prioritetus.

Asmenų teisė susipažinti su savo duomenimis yra EDAV koordinuotų veiksmų 2024 m. tema (taip pat žr. toliau).

2023 m. Europos duomenų apsaugos valdyba (EDAV) priėmė šiuo klausimu gaires, kurios papildo CNIL paskelbtas gaires, siekdamos padėti duomenų valdytojams įgyvendinti prieigos procedūras.

CNIL taip pat daugiausia dėmesio skirs duomenims, surinktiems internetu iš nepilnamečių. : bus patikrinta, ar įdiegti amžiaus kontrolės mechanizmai, kokios saugumo priemonės planuojamos ir ar laikomasi duomenų kiekio mažinimo principo.

Galiausiai bus nagrinėjamas kasos kvitų dematerializavimo ir lojalumo programų naudojimo poveikis asmenų teisėms..

Pavyzdžiui, popierinių kvitų pakeitimas SMS žinutėmis arba el. paštu reiškia papildomų duomenų rinkimą.

CNIL nurodo, kad šie duomenys, kaip ir informacija apie asmenų pirkimus, gali būti naudojami tikslinės reklamos tikslais tik gavus išankstinį atitinkamų asmenų sutikimą.

Galiausiai reikėtų pažymėti, kad CNIL gali imtis bylos nepriklausomai nuo nustatytų prioritetų, remdamasi skundu, publikacija spaudoje arba kitos Europos šalies duomenų apsaugos institucijos ataskaita.

 

    

• Sausio 31 d. CNIL skyrė 100 000 eurų baudą nekilnojamojo turto paslaugų teikėjai PAP.

CNIL (Prancūzijos duomenų apsaugos tarnyba) nustatė trūkumų, susijusių su duomenų saugojimo laikotarpiais, asmenų informavimu, PAP (asmeninės prieigos taško) ir subrangovo santykių valdymu bei duomenų saugumu (slaptažodžių saugojimu paprasto teksto formatu). Nustatyti saugumo trūkumai kėlė duomenų kibernetinių atakų ir nutekėjimo riziką.

• Sausio 31 d. ji taip pat skyrė FORIOU 310 000 eurų baudą už duomenų brokerių pateiktų duomenų naudojimą komercinės žvalgybos tikslais, neužtikrindama, kad atitinkami asmenys būtų davę galiojantį sutikimą būti susisiektam.

CNIL primena, kad duomenis naudojanti įmonė privalo užtikrinti, jog atitinkami asmenys iš anksto, rinkdami duomenis, būtų davę galiojantį sutikimą.

Komisija atkreipė dėmesį, kad nors bendrovė nustatė tam tikrus sutartinius reikalavimus savo duomenų teikėjams, kurie teikia pirmines duomenų bazes, šių reikalavimų laikymasis nebuvo veiksmingai kontroliuojamas.

• Sausio 30 d. Valstybės taryba nusprendė, kad automatinis mokesčių duomenų perdavimas tarp Prancūzijos ir Jungtinių Valstijų pagal FATCA susitarimą nepažeidžia BDAR 5 ir 46 straipsnių, o tinkamumo sprendimo nebuvimas netrukdo duomenų perdavimui, „būtinui dėl svarbių viešojo intereso priežasčių“.

Atsitiktinių amerikiečių asociacija paprašė Valstybės tarybos panaikinti CNIL sprendimą, kuriuo buvo atmestas jos skundas.

Valstybės taryba nusprendė, kad CNIL pakankamai pagrindė savo sprendimą.

Atkreiptinas dėmesys, kad tuo pačiu klausimu Belgijos duomenų apsaugos institucija priėjo prie kitokios išvados ir uždraudė netyčia Belgijos piliečių kilmės amerikiečių mokesčių duomenis perduoti Jungtinėms Valstijoms.

• Prancūzijos startuolis „Mistral“, specializuojantis dirbtinio intelekto kūrime, vasario 26 d. paskelbė apie strateginę partnerystę su „Microsoft“.

Laikraščio „Le Monde“ teigimu, šis pranešimas kelia trintį Briuselyje po intensyvių lobistinių pastangų, ypač iš Prancūzijos pusės, siekiant paremti Europos startuolius ir apriboti jiems taikomus įsipareigojimus būsimame dirbtinio intelekto reglamente.

Žaliųjų frakcijos europarlamentarai išsiuntė Europos Komisijai laišką, kuriame iškėlė klausimus dėl galimų interesų konfliktų ir skaidrumo problemų, susijusių su „Mistral“ lobistine veikla dėl šio reglamento.

• Sausio viduryje ANSSI paskelbė tris vadovus, skirtus „kibernetinio incidento padarinių šalinimui valdyti“.

Šiuos vadovus sudaro trys dalys: strateginė, operacinė ir techninė.

Agentūra atkreipia dėmesį, kad „jei didelis incidentas yra iš dalies arba prastai pašalinamas, jo padariniai gali išlikti laikui bėgant“.

„Šis didelis destabilizacijos potencialas reikalauja (...) ekspertizės, kaip suvaldyti šias kibernetines atakas, atgauti pažeistos informacinės sistemos kontrolę ir atkurti pakankamą veikimo būseną.“

Korekciniai veiksmai yra svarbus kibernetinių incidentų reagavimo aspektas, kartu su tyrimu ir krizių valdymu.

• Po aštuonių mėnesių eksperimentų skaitmeninis vairuotojo pažymėjimas nuo vasario 14 d. prieinamas visiems, kurie jį kreipiasi.

Naudodamiesi Prancūzijos tapatybės programėle, taip pat galite suskaitmeninti savo asmens tapatybės kortelę ir naudoti ją tam tikroms procedūroms, pavyzdžiui, įgaliojimui išduoti.

 

Europos institucijos ir įstaigos

• Vasario 28 d. Europos duomenų apsaugos valdyba (EDAV) pradėjo įgyvendinti savo „koordinuotą tyrimų sistemą“ (CFE) 2024 m.

Ištisus metus Europos duomenų apsaugos institucijos (DAI) dalyvaus šioje iniciatyvoje dėl teisės susipažinti su duomenimis įgyvendinimo.

2023 m. spalio mėn. plenarinėje sesijoje Europos duomenų apsaugos valdyba (EDAV) trečiuoju koordinuotu įgyvendinimo veiksmu pasirinko prieigos teisę, „nes ji yra duomenų apsaugos pagrindas ir viena iš dažniausiai naudojamų duomenų apsaugos teisių, dėl kurios duomenų apsaugos institucijos gauna daug skundų“.

• Europos duomenų apsaugos valdyba (EDAV) netrukus paskelbs lemiamą nuomonę dėl „sutinku arba mokėk“ verslo modelio, pagal kurį lankytojams, kurie atsisako slapukų, reikia mokėti už prieigą prie svetainės turinio.

„Meta“ šį požiūrį priėmė 2023 m. lapkritį, todėl Nyderlandų, Norvegijos ir Hamburgo duomenų apsaugos institucijos paprašė Europos duomenų apsaugos valdybos (EDAV) priimti privalomą nuomonę dėl šios praktikos teisėtumo.

Pilietinė visuomenė baiminasi, kad jei šis ekonominis modelis bus įteisintas, visų pramonės sektorių įmonės paseks „Meta“ pavyzdžiu, o tai gali reikšti tikrojo sutikimo dėl duomenų naudojimo pabaigą.

28 NVO išsiuntė Europos duomenų apsaugos valdybai (EDAV) laišką, kuriame ragina ją pateikti nuomonę, kuria būtų ginama pagrindinė teisė į duomenų apsaugą.

• Vasario viduryje vykusioje plenarinėje sesijoje EDAV priėmė nuomonę, kurioje paaiškinama pagrindinės buveinės sąvoka „vieno langelio“ principo kontekste.

Įmonės negali tiesiog įsteigti pagrindinės buveinės „užkabindamos ženklą ant durų“: buveinė turi būti ta, kurioje priimami sprendimai dėl duomenų tvarkymo, o jei šie sprendimai priimami užsienyje, pagrindinės buveinės negali būti: vieno langelio principas netaikomas. EDAV taip pat priėmė pareiškimą, kuriame ragina ES teisės aktų leidėjus užtikrinti, kad vaikų teisių apsaugai internete skirtas vaikų vaizdo įrašų ir vaizdo įrašų reglamentas gerbtų teises į privatumą ir duomenų apsaugą. 

• Europos Parlamentas, o tiksliau, Gynybos pakomitetis, vasario pabaigoje buvo paskelbtas itin budrus, kai dviejų jo narių telefonuose buvo aptikti įsilaužimo pėdsakai, o tai sukėlė baimę dėl kibernetinių atakų ir užsienio kišimosi artėjant birželio mėnesį vyksiantiems Europos Parlamento rinkimams.

Praėjusį gruodį „Politico“ pranešė, kad įstaigos kibernetinis saugumas „dar nepasiekė pramonės standartų“ ir „nevisiškai atitinka įsilaužėlių keliamos grėsmės lygį“.

Šie nauji atskleidimai sekė po ankstesnių incidentų, kai šnipinėjimo programos „Pegasus“ ir „Predator“ buvo atakuotos prieš kitus Europos Parlamento narius.

• Vasario 19 d. Europos Komisija pradėjo tyrimą dėl vaikų teisių „TikTok“ platformoje.

Ji įtaria visų pirma pažeidimus, susijusius su skaidrumu ir įsipareigojimais apsaugoti nepilnamečius pagal Skaitmeninių paslaugų reglamentą (DSA), įskaitant priklausomybę sukeliantį dizainą, nepakankamą amžiaus patikrinimą ir nepakankamus numatytuosius privatumo nustatymus. DSA ES galioja nuo vasario 17 d.

• ES valstybės narės, padedamos Europos Komisijos ir Europos Sąjungos kibernetinio saugumo agentūros (ENISA), vasario 21 d. paskelbė ataskaitą apie kibernetinį saugumą ir Europos ryšių infrastruktūrų bei tinklų atsparumą.

Ši ataskaita parengta remiantis valstybių narių atliktu su šia infrastruktūra ir tinklais susijusios rizikos vertinimu.

Vertinime nustatyta keletas grėsmių, tokių kaip valytuvai, išpirkos reikalaujančios programinės įrangos atakos, tiekimo grandinės atakos, fiziniai išpuoliai ir sabotažas.

• Vasario 13 d. Europos Žmogaus Teisių Teismas (EŽTT) priėmė sprendimą Podčasovo byloje dėl Rusijos piliečių privačių pranešimų rinkimo ir prieigos prie jų.

Vykstant diskusijoms apie tariamą šifruoto ryšio keliamą pavojų, Teismas aiškiai nurodė, kad ryšio šifravimo silpninimas visiems piliečiams nėra pateisinamas.

Pasak E. Tuchtfeldo, „šis sprendimas siunčia svarbią žinią ne tik Rusijos valstybei, bet ir kitoms Europos vyriausybėms, kurios svarsto galimybę įdiegti „užpakalines duris“ užšifruotose pranešimų siuntimo paslaugose, tokiose kaip „Telegram“, „Signal“ ar „WhatsApp“.“

• EŽTT vasario 15 d. sprendime taip pat nusprendė, kad sistemingas ir beatodairiškas telekomunikacijų duomenų, panaudotų Slovėnijoje prieš buvusį teisėją jo teismo metu, saugojimas turėtų būti laikomas jo teisės į privatumą pažeidimu.

Pareiškėjo nuteisimo metu ryšių paslaugų teikėjai privalėjo sistemingai ir be atrankos saugoti telekomunikacijų duomenis 14 mėnesių.

Teismas nusprendė, kad toks išsaugojimas neatitinka demokratinėje visuomenėje būtinų ribų.

Duomenų saugojimas, prieiga prie jų ir tvarkymas baudžiamojo proceso prieš pareiškėją kontekste pažeidė jo teisę į privatų gyvenimą.

 

Naujienos iš Europos šalių narių.

• Belgijoje Belgijos duomenų apsaugos tarnyba (APD) savo svetainėje paskelbė skyrių pavadinimu „Dokumentai duomenų apsaugos pareigūnui“.

Tai visų pirma apima teisminius ir APD sprendimus, susijusius su duomenų apsaugos pareigūnais, pavyzdžiui, tokiais klausimais kaip interesų konfliktas ir apsauga nuo atleidimo iš darbo.

• Belgijos duomenų apsaugos institucija taip pat nusprendė, kad, nepaisant skundo atsiėmimo, ji vis tiek turi teisę konstatuoti atitinkamo asmens teisių pažeidimą ir skirti baudą dėl BDAR nesilaikymo.
• Italijos duomenų apsaugos tarnyba (APD) vasario 29 d. paskelbė skyrusi daugiau nei 79 mln. eurų baudą bendrovei „Enel Energia“ už šiurkščius elektros energijos ir dujų sektoriaus vartotojų asmens duomenų tvarkymo pažeidimus, atliktus telemarketingo tikslais.
• APD taip pat skyrė Sirakūzų savivaldybei 5 000 eurų baudą už tai, kad ji nepateikė duomenų apsaugos pareigūno kontaktinių duomenų pagal BDAR 37 straipsnį.
• Graikijos duomenų apsaugos institucija (DPA) skyrė 5000 eurų baudą duomenų valdytojui, nes jos duomenų apsaugos pareigūnas (DAP), nepaisant kelių priminimų, neatsakė į klausimyną, kurį ji jam išsiųsdavo 2023 m. koordinuotų Europos duomenų apsaugos institucijų veiksmų kontekste.
• Ispanijoje APD neleido bankui naudoti kovos su pinigų plovimu susijusių išsamaus patikrinimo prievolių kaip pasiteisinimo, kad šis priverstų skundą pateikusį asmenį pateikti informaciją apie savo pinigų kilmę nešifruotais el. laiškais.

Duomenų valdytojui skirta 2 500 000 eurų bauda.

• Danijos duomenų apsaugos institucija savo penktajame sprendime, susijusiame su „Chromebook“, nustatė, kad 53 savivaldybės neteisėtai dalijosi mokinių asmens duomenimis su „Google“ pastarosios plėtros tikslais, pažeisdamos BDAR 6(1)(e) straipsnį.
• Jungtinėje Karalystėje DPA skyrė 409 080 eurų (350 000 svarų sterlingų) baudą Britanijos gynybos ministerijai už 265 asmenų, norėjusių palikti Afganistaną po Talibano atėjimo į valdžią 2021 m., el. pašto adresų atskleidimą.
• Žurnalas „Republik“ įtaria Šveicarijos federalinę žvalgybos tarnybą (FIS), sausio viduryje paskelbęs tyrimą, kuriame teigiama, kad FIS turi prieigą prie visų Šveicarijos piliečių el. laiškų ir kad pagal 2016 m. įstatymą masiškai stebi jų bendravimą.

Duomenys būtų renkami tiesiogiai iš ryšio kabelių, naudojant interneto paslaugų teikėjų infrastruktūroje įrengtą įrangą. SRC šiuos kaltinimus neigia (AFCDP laiške).

• Kibernetinė ataka prieš amerikiečių bendrovę lėmė, kad tamsiajame internete buvo atskleista neskelbtina informacija apie Šveicarijos oro pajėgas.

Atsakomybę už išpuolį prisiėmė programišių grupuotė ALPHV, po kurios buvo paviešinti įslaptinti dokumentai, įskaitant 5 mln. dolerių vertės sutartį tarp Šveicarijos ir „Ultra Intelligence & Communications“, šifravimo ir ryšių technologijų tiekėjos gynybos sektoriui.

2023 m. liepą panašus išpuolis buvo įvykdytas prieš Šveicarijos bendrovę „Xplain“, o lapkritį – prieš programinės įrangos bendrovę „Concevis“, kuri taip pat dirba gynybos sektoriuje ir mokesčių administracijoje.

 

• Vasario 28 d. Bideno administracija priėmė vykdomąjį įsakymą, kuriuo siekiama apsaugoti amerikiečių jautrius asmens duomenis nuo piktnaudžiavimo tam tikrose trečiosiose šalyse („susirūpinimą keliančiose šalyse“).

Šis dekretas įgalioja generalinį prokurorą užkirsti kelią didelio masto amerikiečių asmens duomenų perdavimui susirūpinimą keliančioms šalims ir numato apsaugos priemones kitai veiklai, kuri galėtų leisti šioms šalims susipažinti su jautriais amerikiečių duomenimis.

Šie duomenys apima, visų pirma, genominius, biometrinius, sveikatos, geolokacijos ir finansinius duomenis.

• JAV Nacionalinis standartų ir technologijų institutas (NIST) vasarį paskelbė konkrečias priemones, skirtas integruoti saugumą į kiekvieną programinės įrangos kūrimo ciklo etapą.

Vadove rekomenduojama gamintojams teikti pirmenybę konkrečioms priemonėms, įskaitant pagrindinių atvirojo kodo programinės įrangos integravimo saugumo reikalavimų nustatymą ir „kilmės duomenų“ stebėsenos išplėtimą.

• Taip pat Jungtinėse Valstijose Federalinė prekybos komisija (FTC) ką tik uždraudė „Avast“ parduoti savo klientų naršymo duomenis reklamos tikslais.

Federalinė prekybos komisija (FTC) tyrė įtarimus, kad „Avast“ pardavinėjo naršymo duomenis teigdama, kad jos produktai blokuoja internetinį stebėjimą. „Avast“ buvo skirta 16,5 mln. dolerių bauda.

Atkreipkite dėmesį, kad Čekijos duomenų apsaugos agentūra (DPA) 2023 m. balandžio mėn. dėl tų pačių priežasčių bendrovei skyrė sankcijas.

• Džordžijos duomenų apsaugos įstatymo pakeitimai įsigaliojo kovo 1 d.

Šiais pakeitimais siekiama užtikrinti apsaugą, artimesnę BDAR numatytai. 

Mobiliojo ryšio operatoriams ir jų SMS paslaugų teikėjams dabar draudžiama naudoti piliečių asmens duomenis tiesioginės rinkodaros tikslais be išankstinio jų sutikimo.

Be to, dabar privaloma, kad valstybinės įstaigos ir tam tikros privačios įmonės paskirtų duomenų apsaugos pareigūną.

• Honkongo asmens duomenų apsaugos komisaras (PDPC) nuo 2023 m. rugpjūčio iki 2024 m. vasario atliko 28 vietos organizacijų atitikties patikrinimus, susijusius su jų asmens duomenų tvarkymu naudojant dirbtinį intelektą.

Vertinimas apėmė įvairius sektorius, įskaitant telekomunikacijas, finansus ir draudimą, grožio paslaugas, mažmeninę prekybą, transportą, švietimą ir ministerijas.

PCPD nerado jokių pažeidimų, nors pažymėjo, kad vis daugiau tiek viešųjų, tiek privačių organizacijų diegia dirbtinį intelektą, siekdamos pagerinti savo kasdienį veiklos efektyvumą.