„Legal Watch“ Nr. 82 – 2025 m. balandžio mėn. 

Duomenų apsauga ir standartų supaprastinimas: ko turėtume tikėtis?

Standartų supaprastinimo klausimas, nuolat diskutuojamas Europoje, įgijo ypatingą svarbą pasikeitus Baltųjų rūmų vadovybei.

Praėjusių metų vasarį Paryžiaus aukščiausiojo lygio susitikime dirbtinio intelekto (DI) klausimais konkurencingumas tapo deklaruojamu prioritetu, atsižvelgiant į dereguliavimą Jungtinėse Valstijose.

Europos Komisijos 2025 m. darbo programoje taip pat aiškiai siekiama skatinti ekonomikos augimą remiant inovacijas.

Koks bus šios politikos poveikis Europos duomenų apsaugos standartams?

Dirbtinio intelekto srityje Europa visų pirma įsipareigojo pasiekti pagrindinius reglamento tikslus, kartu išnagrinėdama administracinę naštą įmonėms.

Komisija prašys pramonės atstovų nuomonės, kai reguliavimo neapibrėžtumas trukdys dirbtinio intelekto plėtrai, ir įtrauks jį į platesnes pastangas iki metų pabaigos peržiūrėti ir galbūt panaikinti skaitmeninių taisyklių rinkinį.

Dirbtinio intelekto atsakomybės direktyva, kuria buvo siekiama atnaujinti ES gaminių saugos taisykles, kad jos apimtų dirbtinį intelektą ir automatizavimą, jau buvo atšaukta.

CCIA, pagrindinė JAV lobistų grupė, atstovaujanti didelėms technologijų bendrovėms Briuselyje, palankiai įvertino šį požiūrį ir paragino „tiesiogiai pulti“ šį reglamentą.

Balandžio pabaigoje Europos Komisija taip pat informavo valstybes nares apie savo gairių projektą dėl Dirbtinio intelekto reglamento ir kitų reglamentų, įskaitant BDAR, ryšio.

Ji kuria dirbtinio intelekto reglamente reikalaujamo pagrindinių teisių poveikio vertinimų (FRIA) modelį, siekdama išvengti dubliavimosi su BDAR duomenų apsaugos poveikio vertinimu.

Savo ruožtu valstybės narės pabrėžia, kad reikia glaudžiau bendradarbiauti su kitomis valdžios institucijomis, siekiant užkirsti kelią tam, kad dėl dviejų pavyzdinių įstatymų būtų priimami prieštaringi sprendimai ar atliekami tyrimai iš dalies.

Europos duomenų apsaugos valdyba (EDAV) taip pat rengia gaires dėl BDAR ir Dirbtinio intelekto reglamento sąveikos ir kartu su Komisija nagrinėja sinergijos galimybes, kad būtų užtikrintas aiškinimo nuoseklumas, teisinis tikrumas ir aiškumas operatoriams.

O kaip dėl BDAR? Praėjusių metų liepą Komisija paskelbė vertinimo ataskaitą šia tema, kurioje ypač atsiskleidė didelis MVĮ nepasitenkinimas keliais aspektais:

• Pernelyg dideli dokumentacijos reikalavimai,
• Duomenų apsaugos pareigūno samdymo ar paskyrimo išlaidos,
• Sunkumai renkantis teisinį pagrindą (teisėtas interesas / sutikimas),
• Apribojimai besiformuojančioms technologijoms ir startuoliams.

Ši kritika atkartoja buvusio Italijos ministro pirmininko Mario Draghi nuomonę, kurio praėjusių metų rugsėjį paskelbtoje ekonomikos ataskaitoje nurodomi sudėtingi Europos įstatymai, neleidžiantys šalies ekonomikai pasivyti Jungtinių Valstijų ir Kinijos, ir konkrečiai minimas dirbtinio intelekto reglamentas bei BDAR.

Komisija planuoja gegužės pabaigoje pasiūlyti „supaprastinimo paketą“ mažoms ir vidutinėms įmonėms, nors data pateikiama kaip orientacinė: pasiūlymas supaprastinti privatumo taisykles bet kokiu atveju būtų pateiktas iki birželio mėn.

Pakeitimai galėtų apimti duomenų tvarkymo veiklos įrašų saugojimo reikalavimų apribojimą arba duomenų apsaugos poveikio vertinimų reformą – dvi taisyklės, laikomos ypač sudėtingomis MVĮ.

Taip pat verta prisiminti, kad parlamento narys Axelis Vossas ir NVO „Noyb“ prezidentas Maxas Schremsas – du asmenys, kurių požiūriai šiuo klausimu istoriškai buvo priešingi, – praėjusių metų kovą suvienijo jėgas, kad pasiūlytų iš esmės peržiūrėti BDAR, kuriuo siekiama

• Supaprastinant atitiktį reikalavimams MVĮ ir ne pelno organizacijoms,
• Nustatyti aiškesnes ir lengviau valdomas taisykles didelėms organizacijoms,
• Sustiprinti kontrolės pajėgumus, siekiant užtikrinti veiksmingesnę duomenų apsaugą.

Nors šis pasiūlymas atspindi poslinkį link pragmatiškų sprendimų, kurie suderina privatumo apsaugą su verslo realijomis, kiti atkreipia dėmesį į teksto atnaujinimo riziką, kuri, kaip pabrėžė skaitmeninių teisių gynimo grupė EDRi, gali žlugti dėl lobizmo spaudimo.

Verta prisiminti, kad derybos dėl BDAR kūrimo paskatino vieną didžiausių lobistinių pastangų Briuselyje.

Technologijų bendrovės išleido milijonus, bandydamos daryti įtaką taisyklėms rengimo proceso metu, o pasiūlymas buvo apimtas daugiau nei 3000 Europos Parlamento pataisų – tai rekordas.

Dabartinis darbas, susijęs su BDAR procedūriniu reglamentu, kuriuo siekiama sustiprinti duomenų apsaugos institucijų (DAI) bendradarbiavimą ir paspartinti sprendimų priėmimą tarpvalstybiniais atvejais, gali patvirtinti, kad kelias į pragarą grįstas gerais ketinimais.

Tęsiantis diskusijoms (trišaliam dialogui) tarp Komisijos, Europos Parlamento ir Tarybos, kai kurie perspėja apie riziką pasiekti kompromisą, kuris ne tik nepadės įgyvendinti būtinų reformų, bet ir gali sukelti naujų pažeidžiamumų.

Balandžio 17 d. nevyriausybinė organizacija „Noyb“ pareiškė, kad trišalis dialogas sukėlė teisėkūros chaosą, dėl kurio procedūros greičiausiai taps sudėtingesnės, lėtesnės ir labiau patrauks dėmesį teisiniams ginčams.

 

    

CNIL paskelbė savo metinę 2024 m. ataskaitą balandžio 29 d.

Pagrindinės temos apima kibernetinį saugumą, kuris tampa strateginiu prioritetu ateinančiais metais, pastebimai padaugėjus duomenų nutekėjimų (+20 %), ir griežtinant represinius veiksmus.

Ataskaitoje taip pat pabrėžiama, kaip svarbu gerbti nepilnamečių teises, kontroliuoti komercinę žvalgybos praktiką ir reguliuoti vaizdo stebėjimą.

Tuo pačiu metu CNIL stiprina Europos bendradarbiavimą, siekdama geriau reguliuoti dideles skaitmenines platformas, ir tęsia darbą dirbtinio intelekto srityje.

Komisija taip pat balandžio 30 d. paskelbė savo gaires, skirtas didelių duomenų bazių saugumui stiprinti.

Šios priemonės išplečia ir sustiprina pagrindines saugos priemones.

Kaip ir prioritetinės ANSSI kibernetinės priemonės ar tos, kuriomis siekiama užkirsti kelią duomenų nutekėjimui, jos nesiekia išvardyti visų pakankamų priemonių, o atkreipti duomenų valdytojų dėmesį į saugumo priemones, kurias CNIL laiko būtinomis, kai naudojamos didelės duomenų bazės, ypač atsižvelgiant į masinio duomenų nutekėjimo riziką.

Du šimtai Prancūzijos žiniasklaidos priemonių pateikė skundą prieš „Meta“ dėl „nelegalių veiksmų“: anot „Le Monde“, „kelios spaudos grupės („Prisma“, „Les Echos-Le Parisien“, CMI), nacionaliniai ir regioniniai dienraščiai, taip pat privatūs ir visuomeniniai transliuotojai („TF1“, RMC-BFM, „France Télévisions“ ir „Radio France“) kaltina „Meta“, kad ši pasinaudojo laikotarpiu, kai pati įgyvendino vartotojų sutikimo dėl jų asmeninės informacijos rinkimo reikalavimą, kad galėtų vykdyti tikslinę reklamą“.

 

Europos institucijos ir įstaigos

Balandžio 23 d. Europos Komisija skyrė pirmąsias dvi baudas pagal Skaitmeninių rinkų reglamentą (DMA).

Konkrečiau, „Apple“ ir „Meta“ buvo skirtos atitinkamai 500 mln. ir 200 mln. eurų baudos.

Komisija mano, kad „Apple“ neįvykdė savo įsipareigojimų dėl programėlių prieinamumo „App Store“ parduotuvėje.

Kalbant apie „Meta“, bendrovei skirta 200 mln. eurų bauda dėl jos taikomos „sutikimo arba mokėjimo“ sistemos.

Komisija manė, kad šis modelis nesuteikė vartotojams konkretaus pasirinkimo pasirinkti lygiavertę paslaugą, kuriai būtų naudojama mažiau asmens duomenų.

Atkreipkite dėmesį, kad po šio tyrimo „Meta“ pristatė trečią variantą – „mažiau suasmenintus skelbimus“, kurio Komisija dar neįvertino.

Komisija paskelbė keturis naujus konkursus, kurių vertė – 140 mln. EUR, pagal Skaitmeninės Europos (DIGITAL) programą, kuria siekiama skatinti dirbtinio intelekto diegimą, skatinti pažangius skaitmeninius įgūdžius, plėsti Europos skaitmeninių inovacijų centrų (EDIH) tinklą ir kovoti su dezinformacija.

Todėl balandžio 9 d. ji paskelbė kvietimą teikti pasiūlymus dėl būsimų debesijos ir dirbtinio intelekto teisės aktų (Debesijos ir dirbtinio intelekto plėtros įstatymas – CAIDA).

Tikslas būtų spręsti konkurencingų Europos debesijos paslaugų, skirtų itin svarbiems tikslams ir kuriems keliami itin aukšti saugumo reikalavimai, trūkumo problemą.

EDAV ir EDAPP savo 2024 m. metines ataskaitas pateikė balandžio pabaigoje.

EDAPP pabrėžė savo vaidmens raidą atsižvelgiant į Europos dirbtinio intelekto reglamentą, pagal kurį jis įgaliojamas būti ES institucijų priežiūros ir pranešimų institucija.

EDAV ataskaitoje pateikiama 2024 m. atlikto darbo apžvalga, įskaitant 2024–2027 m. strategijos priėmimą, pagal 64 straipsnio 2 dalį pateiktų nuomonių skaičiaus padidėjimą ir nuolatines pastangas teikti rekomendacijas bei teisines konsultacijas, ypač MVĮ.

2025 m. balandžio mėn. plenarinėje sesijoje Europos duomenų apsaugos valdyba (EDAV) priėmė asmens duomenų tvarkymo naudojant blokų grandinės technologijas gaires.

Dokumente pabrėžiama techninių ir organizacinių priemonių įgyvendinimo svarba nuo pat ankstyviausių apdorojimo projektavimo etapų ir tuo pačiu metu apibrėžiant įvairių apdorojimo dalyvių vaidmenis ir atsakomybę.

Jame dar kartą pabrėžiama duomenų apsaugos poveikio vertinimų svarba ir pateikiami duomenų kiekio mažinimo metodų, taip pat asmens duomenų tvarkymo ir saugojimo pavyzdžiai. Konsultacijos dėl gairių vyksta iki birželio 9 d.

Kalbant apie prieigą prie administracinių dokumentų, Europos Sąjungos Teisingumo Teismas (ESTT) priėmė sprendimą dėl pusiausvyros, kurią reikia rasti tarp šios teisės ir šiuose dokumentuose minimų asmenų duomenų apsaugos.

Jis nusprendė, kad BDAR 6 straipsnio 1 dalies c ir e punktai nedraudžia nustatyti papildomų informavimo įpareigojimų ir konsultuotis su duomenų subjektu prieš atskleidžiant bet kokius su juo susijusius asmens duomenis.

Tačiau šie papildomi įsipareigojimai neturi neproporcingai apriboti visuomenės prieigos prie šių dokumentų.

ESTT skelbia atnaujintą savo teminę lentelę apie svarbiausius savo sprendimus duomenų apsaugos srityje.

Dokumente aptariama teismų praktika, susijusi su bendraisiais duomenų apsaugos reglamentais ir konkretiems sektoriams skirtais reglamentais (elektroninių ryšių ir baudžiamosios teisės). Jame taip pat pateikiami atrinkti sprendimai dėl horizontaliųjų reglamentų, kartu pabrėžiant Chartijos vaidmenį formuojant teismų praktiką.

Balandžio mėnesį Europos „Meta“ platformų naudotojai gavo pranešimą, kuriame buvo informuota apie tai, kad „Facebook“ ir „Instagram“ naudoja jų duomenis dirbtinio intelekto mokymo tikslais, kartu su nuoroda į prieštaravimo formą.

Norvegijos duomenų apsaugos tarnyba (APD) paskelbė tinklaraščio įrašą, kuriame paaiškino šio sprendimo pasekmes ir asmenų teisines priemones. Ji taip pat teigė, kad kartu su kitomis APD paklausė „Meta“, ar ši išnagrinėjo dirbtinio intelekto mokymo suderinamumą su pradiniu tikslu – rinkti naudotojų žinutes ir vaizdus.

Tarptautinė privatumo specialistų asociacija (IAPP) skelbia lentelę, kurioje pateikiama skaitmeninio saugumo incidentų pranešimo ir informacijos mainų reikalavimų, numatytų keliuose Europos teisės aktuose, apžvalga.

Jame atsižvelgiama į BDAR, „Policijos“ direktyvą, E. privatumo direktyvą, Duomenų valdymo reglamentą, Duomenų reglamentą, NIS2 direktyvą, Skaitmeninio operacinio atsparumo reglamentą, Mokėjimo paslaugų direktyvą 2, Kibernetinio atsparumo reglamentą ir Dirbtinio intelekto reglamentą.

„Microsoft“ oficialiai įgyvendino Europos duomenų ribų principą debesijos paslaugoms, įsipareigodama saugoti ir tvarkyti savo klientų asmens duomenis išskirtinai ES ir ELPA šalyse.

Tačiau tam tikrų „Azure“ paslaugų duomenys gali būti perduoti už ES ribų, jei „Microsoft“ mano, kad tai būtina kibernetinio saugumo tyrimams.

Be to, reikėtų pažymėti, kad Debesijos įstatymas leidžia JAV valdžios institucijoms pasiekti Amerikos įmonių duomenis, neatsižvelgiant į tai, kur jie saugomi.

 

Naujienos iš Europos Sąjungos šalių narių.

Vokietijos federalinis teisingumo teismas laikoma, kad kompetentingi subjektai (pvz., vartotojų organizacijos) turi teisę pareikšti ieškinį dėl BDAR informacijos teikimo įpareigojimų pažeidimo pagal vartotojų apsaugos įstatymus, neatsižvelgiant į konkretų pažeidimą ir be duomenų subjektų įgaliojimo.

Byla buvo susijusi su „Meta Platforms Ireland Ltd“ (toliau – „Meta“) nesilaikymu teisinių reikalavimų, susijusių su naudotojų sutikimo gavimu.

BelgijojeSprendime primenama, kad BDAR taikymo sritis apima ir profesinius duomenis: APD skyrė 20 000 eurų baudą verslo duomenų tarpininkui už tai, kad šis surinko ir atskleidė įmonės vadovaujančio partnerio el. pašto adresą.

APD taip pat priminė, kad duomenų valdytojas negali priversti asmens susikurti paskyros internete, jei tai nėra būtina, šiuo atveju – pateikti skundą.

Bendrovė čia pažeidė duomenų kiekio mažinimo ir duomenų apsaugos pagal numatytuosius nustatymus bei pagal dizainą principus.

Ispanijoje Valensijos bendruomenės autonominės vyriausybės vardu ligoninių duomenis tvarkanti bendrovė („Marina Salud“) buvo nubausta 500 000 eurų bauda už tai, kad paskyrė antrinius subrangovus be duomenų valdytojo leidimo, pažeisdama BDAR 28(2) straipsnį.

Taip pat Ispanijoje bankui buvo skirta 120 000 eurų bauda už neteisėtą kliento asmens duomenų tvarkymą, pažeidžiant BDAR 6(1) straipsnį, po to, kai darbuotojas duomenų apsaugos sutartyje imitavo kliento parašą.

„TikTok“ buvo pasmerktas gegužės 2 d. Airijos duomenų apsaugos tarnyba iki 530 milijonų eurų baudos už neteisėtą europiečių asmeninių duomenų siuntimą į Kiniją ir jų slėpimą nuo savo vartotojų.

„TikTok“ turi šešis mėnesius, kad savo praktika atitiktų BDAR reikalavimus.

Airijos teismas patvirtino Duomenų apsaugos tarnybos (DPA) sprendimą, kuriuo buvo nustatyta, kad darbdavys nėra duomenų valdytojas, susijęs su vieno iš savo darbuotojų darbo telefone esančiais neprofesiniais duomenimis.

Maltos APD skelbia DUK seriją apie darbuotojų el. pašto paskyrų valdymą jiems išėjus iš organizacijos.

Vadove darbdaviai skatinami taikyti iniciatyvų ir struktūrizuotą požiūrį į sąskaitų valdymą tiek darbo santykių metu, tiek darbuotojui išėjus, ir spręsti pagrindinius klausimus, susijusius su įprasta praktika, pavyzdžiui, automatiniu laiškų persiuntimu ir automatiniais atsakymais.

Gegužės 4 ir 18 dienomis Rumunijoje vykusių prezidento rinkimų kontekste „TikTok“ paskelbė apie naujas priemones, skirtas užkirsti kelią dezinformacijos kampanijai, panašiai kaip ta, kuri, kaip įtariama, praėjusių metų lapkritį padėjo kandidatui Călinui Georgescu užimti pirmąją vietą pirmajame rinkimų ture.

Programėlėje taip pat paleistas „Rinkimų centras“, kuriame pateikiama informacija, pavyzdžiui, svarbios datos ir nuorodos į Nuolatinės rinkimų komisijos svetainę, ir paskelbtos informuotumo apie dezinformaciją didinimo priemonės.

Šių priemonių imamasi po to, kai Europos Komisija pradėjo tyrimą pagal Skaitmeninių paslaugų įstatymą (DSA), siekdama išsiaiškinti lapkričio mėnesio įvykius.

 

Kinijoje Kibernetinės erdvės administracija ką tik paskelbė apie trijų mėnesių kampanijos, skirtos kovai su dirbtinio intelekto technologijų netinkamu naudojimu, pradžią. Už interneto reguliavimą atsakingi departamentai turės padėti internetinėms platformoms laikytis kampanijos reikalavimų, stiprindami dirbtinio intelekto sukurto turinio peržiūros mechanizmus, gerindami aptikimo galimybes ir užtikrindami tinkamą taisomųjų priemonių įgyvendinimą.

Jungtinėse Valstijose Atstovų Rūmų Energetikos ir prekybos komiteto nariai pradėjo tyrimą dėl „Deepseek“ ryšių su Kinijos komunistų partija. Įtariama, kad pokalbių robotas ne tik siunčia duomenis į Kiniją, bet ir dalijasi vartotojų asmenine informacija su kitomis su partija susijusiomis įmonėmis, įskaitant „ByteDance Ltd.“. Įtariama, kad dirbtinio intelekto programa taip pat renka savo vartotojų širdies ritmo duomenis.

Privatumo ateities forumas (FPF) sulaukė Trumpo administracijos kritikos. Senato Prekybos komiteto pirmininkas Ted Cruz (respublikonas iš Teksaso) reikalauja atsakymų iš FPF, kuris, kaip įtariama, naudojo federalines dotacijas, kad darytų spaudimą valstijoms priimti „kairiųjų“ DI įstatymus. Senatorius Cruzas nerimauja, kad grupė atvirai pasisako už DI reguliavimą, suderintą su Bideno administracijos politine darbotvarke. Jis taip pat atidžiai nagrinėja organizacijai skirtas federalines dotacijas.

„Euractiv“, remdamasi „Financial Times“ informacija, praneša, kad Europos Komisija aprūpina į Jungtines Valstijas siunčiamus darbuotojus vienkartiniais telefonais dėl susirūpinimo dėl stebėjimo. „Naujos ES vykdomosios valdžios išleistos gairės, kuriose taip pat rekomenduojama keliaujant į JAV naudoti paprastus nešiojamuosius kompiuterius, yra panašios į tas, kurios taikomos kelionėms į Ukrainą ar Kiniją. Visiems darbuotojams patariama atvykus į šalį išjungti savo įrenginius ir įdėti juos į specialų šnipinėjimo apsaugos maišelį.“

CNN praneša, kad Trumpo administracija, padedama „Palantir“, kuria „bendrą duomenų bazę, skirtą paspartinti imigracijos kontrolę ir deportaciją, derindama jautrius duomenis iš visos federalinės vyriausybės“, sudarydama „taikinių sąrašus“ ir suimdama tikslinius asmenis. Anksčiau „Wired“ pranešė, kad „DOGE kaupia imigracijos duomenų bazes iš viso Vidaus saugumo departamento (DHS) ir atsisiunčia duomenis iš išorės agentūrų, įskaitant Socialinio draudimo administraciją (SSA), taip pat balsavimo įrašus“, kurie, kaip pranešama, saugomi „Palantir“ sukurtoje programinėje įrangoje.