„Legal Watch“ Nr. 90 – 2025 m. gruodžio mėn. 

 

Duomenys, dirbtinis intelektas, kibernetinis saugumas: kas yra kas, kokių gairių ir reglamentų reikia laikytis 2026 m.

Daugelis pastaraisiais metais priimtų reglamentų dabar įsigalios visiškai arba pasieks lemiamus jų įgyvendinimo etapus.

Tuo pačiu metu naujos Europos Komisijos iniciatyvos, ypač „Skaitmeninis omnibusas“ ir „Skaitmeninio teisingumo įstatymas“, skelbia apie naujus reguliavimo pakeitimus, skirtus papildyti arba iš dalies pakeisti galiojančius reglamentus.

Nuo 2018 m. galiojantis BDAR tebėra duomenų apsaugos sistemos kertinis akmuo kartu su E. privatumo direktyva, kurios peržiūra šiuo metu nutraukta.

Komisija savo pasiūlymu ketina supaprastinti Omnibusas keli BDAR aspektai, susiję su dirbtinio intelekto (DI) kūrimu: planuojama pripažinti DI sistemų kūrimą ir eksploatavimą „teisėtu interesu“ BDAR prasme ir nustatyti naują teisinį pagrindą jautrių duomenų, skirtų DI modeliams mokyti, tvarkymui.

Plačiau žiūrint, Skaitmeninis omnibusas sumažintų įmonių atitikties naštą, pavyzdžiui, sušvelnindama ribą, nuo kurios privaloma pranešti apie duomenų saugumo pažeidimą, ir išplėsdama situacijas, kada duomenys gali būti laikomi „anoniminiais“.

Skaitmeninio paketo reglamentuose, o konkrečiau – Skaitmeninių rinkų reglamente (DSR) ir Skaitmeninių paslaugų reglamente (DSR), paaiškinamos skaitmeninei ekonomikai taikomos taisyklės ir platformų atsakomybė.

Jos galioja nuo 2024 m., o Komisija pradėjo taikyti sankcijas 2025 m.

DSA taikoma labai didelėms internetinėms platformoms (VLOP) ir labai didelėms internetinėms paieškos sistemoms (VLOSE), taip pat visiems tarpininkams, kurie siūlo savo paslaugas ES įsikūrusiems vartotojams.

Keletas DSA įpareigojimų sutampa su BDAR įpareigojimais.

Pavyzdžiui, yra panašių arba papildomų įpareigojimų dėl „tamsių šablonų“, tikslinės reklamos, pagrįstos jautriais duomenimis arba susijusios su nepilnamečiais, skaidrumo, profiliavimo, rizikos analizės ir neteisėto turinio pašalinimo.

2025 m. Europos duomenų apsaugos valdyba (EDAV) paskelbė gaires dėl šių persidengiančių klausimų.

Pagrindinis tikslas DMA yra užkirsti kelią technologijų gigantams arba „vartininkams“ pasinaudoti savo dominuojančia padėtimi.

Kai kurie iš šių įpareigojimų sustiprina DSA numatytus įpareigojimus vartotojų apsaugos srityje, ypač profiliavimo srityje.

ES duomenų strategija siekiama sukurti bendrą duomenų rinką, skatinti inovacijas ir užtikrinti saugų bei efektyvų dalijimąsi duomenimis visoje Europos Sąjungoje.

Šie tekstai turi įtakos asmens duomenims: Duomenų valdymo reglamentas (DGA), Duomenų reglamentas (DA), Elektroninių operacijų reglamentas (eIDAS) ir Europos sveikatos duomenų erdvės reglamentas (EHDS). 

Komisijos „Omnibus“ pasiūlymu siekiama supaprastinti šios srities teisės aktų sistemą.

Tekste visų pirma numatyta panaikinti DGA ir 2019 m. atvirųjų duomenų direktyvą.

THE DA liktų pagrindine nuoroda ir apimtų esminius elementus, išsaugotus iš kitų tekstų.

Be apibrėžimų suderinimo, mažos ir vidutinės įmonės (iki 750 darbuotojų) būtų atleistos nuo tam tikrų įsipareigojimų.

Nuo 2025 m. rugsėjo 12 d. įsigaliojusiame DA didelė dalis jo įsipareigojimų įsigalioja 2026 m. rugsėjo 12 d.: reglamente numatyta prievolė projektuoti prijungtus produktus ir susijusias paslaugas taip, kad su produktais ir susijusiomis paslaugomis susiję duomenys būtų prieinami vartotojams pagal numatytuosius nustatymus, o nuo rugsėjo gamintojai turės užtikrinti, kad prieiga prie duomenų būtų techniškai užtikrinta nuo produkto kūrimo ir projektavimo etapų.

Dėl reglamentų eIDASNuo 2026 m. valstybės narės privalės savo piliečiams ir įmonėms suteikti bent vieną ES standartus atitinkančią skaitmeninę tapatybės piniginę, kurioje vartotojai galėtų saugiai saugoti savo tapatybės duomenis, identifikatorius ir atributus (asmens tapatybės kortelę, vairuotojo pažymėjimą, mokėjimo informaciją ir kt.) ir pasirinktinai juos perduoti valdžios institucijoms ir privatiems paslaugų teikėjams.

Įmonės, internetinės platformos ir administracinės paslaugos taip pat turės prisitaikyti prie šių naujų skaitmeninio identifikavimo ir autentifikavimo formų.

LEHDS įsigaliojo 2025 m. kovo 26 d., tačiau pagrindinės jo nuostatos bus visiškai taikomos nuo 2029 m. kovo mėn.

Dirbtinio intelekto reglamentas, galiojantis nuo 2024 m. rugpjūčio mėn., įmonėms tampa lemiamas nuo 2026 m. rugpjūčio 2 d.

Kai kurie įsipareigojimai jau taikomi, pavyzdžiui, skaidrumas bendraujant su pokalbių robotais arba dirbtinio intelekto sukurto turinio ženklinimas, taip pat pakankamos su dirbtinio intelekto sistemomis dirbančių darbuotojų dirbtinio intelekto kompetencijos užtikrinimas.

Tačiau nuo rugpjūčio mėnesio išsamesni reikalavimai turėtų būti taikomi didelės rizikos dirbtinio intelekto sistemoms, naudojamoms tokiose jautriose srityse kaip žmogiškųjų išteklių valdymas, veiklos vertinimas ar prieiga prie esminių paslaugų.

Tačiau Komisija savo „Omnibus“ pasiūlyme planuoja atidėti šių taisyklių taikymą iki 2027 m. gruodžio mėn.

Kai kurios prievolės taip pat būtų supaprastintos, taip pat ir mažoms bei vidutinėms įmonėms, kuriose dirba iki 750 darbuotojų.

Kalbant apie saugumą, paminėsime Direktyva dėl tinklų ir informacinių sistemų saugumo (NIS2) galioja nuo 2024 m. spalio mėn. reglamentas dėl skaitmeninio operacinio atsparumo (DORA) galioja nuo 2025 m. sausio mėn., taip pat Kibernetinio atsparumo reglamentas (CRA)).

Kalbant apie pastarąjį, pagrindinės produktų, kuriuose yra skaitmeninių elementų, gamintojų prievolės įsigalios 2026 m. rugsėjo 11 d., įskaitant prievolę pranešti apie aktyviai išnaudotas pažeidžiamumas ir rimtus saugumo incidentus.

Todėl gamintojai turės per labai trumpą laiką pranešti atitinkamoms rinkos priežiūros institucijoms apie nustatytus pažeidžiamumus ir saugumo incidentus, kurie labai kenkia gaminių saugai.

Šį reglamentų sąrašą užbaigdami, paminėkime pasiūlymas dėl reglamento dėl skaitmeninio teisingumo (DSF) o tai, kaip tikimasi, dar labiau padidins internetinių paslaugų teikėjų teisinės sistemos sudėtingumą.

2025 m. liepos mėn. Komisija pradėjo viešas konsultacijas dėl šio projekto, kuriuo siekiama kovoti su „nesąžininga komercine praktika“, pavyzdžiui, tamsiais šablonais, priklausomybę sukeliančiomis funkcijomis ir piktnaudžiavimu personalizavimu, įskaitant susijusią su dirbtinio intelekto agentais.

Kokia šių pasiūlymų ateitis? Artimiausi mėnesiai turėtų būti lemiami: pirmininkaujantis Kipras siekia iki kovo pabaigos arba balandžio pradžios užsitikrinti įgaliojimus derėtis dėl „Omnibus“ reglamento su Europos Parlamentu, atspindėdamas norą jį priimti prieš įsigaliojant didelės rizikos dirbtinio intelekto reglamento reikalavimams rugpjūtį.

 

Atkreipiame dėmesį į keletą reikšmingų CNIL sankcijų, priimtų prieš pat perėjimą prie 2026 m. ir po jo, ir visos jos susijusios su duomenų saugumu.

2026 m. sausio 13 d. CNIL (Prancūzijos duomenų apsaugos tarnyba) skyrė bendrovėms „Free Mobile“ ir „Free“ atitinkamai 27 mln. ir 15 mln. eurų baudas. atsižvelgiant į priemonių, kurių imtasi siekiant užtikrinti jų abonentų duomenų saugumą, nepakankamumą.

2024 m. spalį užpuolikui pavyko įsiskverbti į bendrovių informacines sistemas ir pasiekti asmens duomenis, susijusius su 24 mln. abonentų sutarčių, įskaitant IBAN.

2025 m. gruodžio 22 d. ji skyrė bendrovei „Nexpublica France“ 1 700 000 eurų baudą.už tai, kad neįdiegė pakankamų saugumo priemonių savo PCRM programinei įrangai – įrankiui, skirtam valdyti vartotojų santykius socialinių veiksmų srityje.

2025 m. gruodžio 11 d. ji skyrė sankcijas „Mobius Solutions Ltd.“ – subrangovui, atsakingam už duomenų saugumo pažeidimą, paveikusį „Deezer“ naudotojus.Jai skirta milijono eurų bauda už taikomų subrangos taisyklių nesilaikymą: duomenų saugojimą pasibaigus sutarčiai, neteisėtą tvarkymą ir tvarkymo įrašų neveikimą.

Trys bendrovės darbuotojai, pasibaigus sutartiniams santykiams, buvo išsaugoję daugiau nei 46 milijonų „Deezer“ naudotojų duomenų kopijas, todėl susidūrė su saugumo spragomis, dėl kurių duomenys buvo skelbiami tamsiajame internete.

Gruodžio 11 d. Versalio administracinis apeliacinis teismas nusprendė, kad pacientas negali prašyti ligoninės ištaisyti medicininio įvertinimo, nes tai yra subjektyvi nuomonė.

Šis principas galioja net ir tada, kai už gydymą atsakingo asmens diagnozė skiriasi nuo vėlesnių diagnozių.

Teisėjai kartais atlaidžiai suvokia DI haliucinacijas teisininkų išvadose, bent jau tokią nuomonę gruodžio 18 d. sprendime išsakė Perigueux teismas.

Pastarasis pažymi, kad „(...) pareiškėjo cituotos, bet jo dokumentuose nepateiktos teismų praktikos nuorodos, atrodo, neatitinka paskelbtų sprendimų. (...).“

Todėl teismas paragins pareiškėją ir jo advokatą ateityje patikrinti, ar nuorodos, kurias jie rado paieškos sistemose ar pasitelkę dirbtinį intelektą, nėra „haliucinacijos“.

Ši pozicija prieštarauja neseniai priimtam Belgijos sprendimui, kuris minimas toliau.

Gruodžio viduryje Vidaus reikalų ministerija patyrė didelio masto kibernetinę ataką.

Vidaus reikalų ministras trečiadienį, gruodžio 17 d., patvirtino, kad „Vidaus reikalų ministerijos tarnybos tapo didelio masto kibernetinės atakos taikiniu, apibūdindamas tai kaip labai rimtą veiksmą, dėl kurio buvo paviešinti failai, įskaitant teistumo įrašus“ ir ieškomų asmenų duomenys. Kibernetinis įsilaužimas įvyko per ministerijos darbuotojų el. pašto paskyras.

Kalbant apie kibernetines atakas, taip pat reikėtų atkreipti dėmesį į tai, kad CNIL 2025 m. gruodžio 18 d. riboto posėdžio metu paprašė skirti 5 mln. eurų sankciją „France Travail“ už saugumo trūkumą, dėl kurio įvyko duomenų nutekėjimas, paveikusis 36,8 mln. žmonių.

 

Europos institucijos ir įstaigos

ES reglamentas, nustatantis papildomas procedūrines taisykles, susijusias su BDAR taikymu, buvo paskelbtas gruodžio 12 d. ir įsigalios nuo 2027 m. balandžio 2 d.

Šio teksto tikslas – supaprastinti nacionalinių duomenų apsaugos institucijų (DAI) procedūrinį tarpvalstybinių bylų nagrinėjimą pagal BDAR, pagerinti DAI bendradarbiavimą taikant struktūrizuotas procedūras, aiškesnius vaidmenis ir apibrėžtus terminus, taip pat sustiprinti skundų pateikėjų ir tiriamųjų šalių procedūrines apsaugos priemones ir teisinį tikrumą, įskaitant teisę būti išklausytiems, susipažinti su bylomis ir teisminių teisių gynimo priemonių veiksmingumą.

Gruodžio 17 d. Europos Komisija paskelbė pirmąjį gerosios praktikos kodekso dėl dirbtinio intelekto sukurto turinio žymėjimo ir ženklinimo projektą.

Projektą sudaro dvi dalys.

Pirmajame skyriuje aptariamos su dirbtinio intelekto sukurto turinio žymėjimu ir aptikimu susijusios taisyklės, taikomos generatyvinių dirbtinio intelekto sistemų teikėjams.

• Antrasis apima giliųjų klastočių ir tam tikrų dirbtinio intelekto sugeneruotų ar manipuliuojamų tekstų žymėjimą viešojo intereso klausimais ir taikomas generatyvinių dirbtinio intelekto sistemų diegėjams.

Komisija rinks komentarus iki sausio 23 d., kad kodeksą būtų galima galutinai parengti iki birželio mėn.

2025 m. gruodžio 19 d. Europos Komisija paskelbė apie dviejų su Jungtine Karalyste susijusių tinkamumo sprendimų atnaujinimą iš pradžių priimtas 2021 m., dar kartą patvirtinant, kad asmens duomenys gali toliau laisvai judėti tarp Europos ekonominės erdvės ir Jungtinės Karalystės.

Gruodžio 18 d. Storstockholms Lokaltrafik (C-422/24) byloje priimtame sprendime Europos Sąjungos Teisingumo Teismas išaiškino tiesioginio asmens duomenų rinkimo sąvoką.

Šis įstatymas „nereikalauja, kad atitinkamas asmuo sąmoningai pateiktų duomenis ar imtųsi kokių nors konkrečių veiksmų. Todėl duomenys, gauti stebint asmenį, kuris yra jų šaltinis, laikomi surinktais tiesiogiai iš to asmens.“

Šie paaiškinimai turi įtakos informacijos teikimo prievolės laikui ir apimčiai – ji turi būti neatidėliotina ir išsamesnė.

Konkretus atvejis buvo susijęs su transporto bilieto patikrinimu, kurį atliko agentas, turintis kūno kamerą.

Teismas siūlo svarbiausią informaciją nurodyti įspėjamajame ženkle, o kitą informaciją – lengvai prieinamoje vietoje.

Gruodžio 23 d. Trumpo administracija įvedė sankcijas penkiems Europos piliečiams. Reaguojant į neseniai Europos Komisijos pagal Skaitmeninių paslaugų įstatymą (DSA) įmonei X skirtą baudą, buvusiam Europos skaitmeninės ekonomikos komisarui Thierry Bretonui, taip pat keliems pilietinės visuomenės nariams, dirbantiems nevyriausybinėse organizacijose „HateAid“, Kovos su skaitmenine neapykanta centre ir „The Global Disinformation Index“, uždrausta atvykti į Jungtines Valstijas.

Vašingtonas smerkia DSA numatytus platformų moderavimo, ataskaitų teikimo ir atskaitomybės įpareigojimus, kurie čia laikomi ekstrateritorinėmis cenzūros priemonėmis.

Gruodžio 5 d. Europos Komisija skyrė X 120 mln. eurų baudą už tai, kad ji nesilaikė savo skaidrumo įsipareigojimų pagal DSA.

Trūkumai apima klaidinantį „mėlynojo patvirtinimo“ dizainą patikrintoms paskyroms, skaidrumo stoką reklamos kataloge ir nesuteikimą tyrėjams prieigos prie viešųjų duomenų.

 

Naujienos iš Europos Sąjungos šalių narių.

Lapkričio 10 d. sprendimu Darmštato (Vokietija) apygardos teismas iki 0 eurų sumažino eksperto, kuris plačiai naudojosi dirbtiniu intelektu rengdamas teismo ataskaitą jos neatskleisdamas, honorarą.

Teismas nurodė šias aplinkybes, dėl kurių sumažino priteistą sumą:

1. Nedeklaravimas apie dirbtinio intelekto naudojimą ir tikrojo autoriaus nebuvimas buvo procedūrinių įsipareigojimų pažeidimas.
2. Ataskaita buvo pripažinta netinkama naudoti: trūko asmeninės apžvalgos, buvo faktinių klaidų ir akivaizdžių dirbtinio intelekto sugeneruoto teksto požymių.
3. Skaidrumas ir atskaitomybė yra būtini ekspertų nuomonėse.

Vokietijos Liubeko teismas priteisė ieškovui 5000 eurų neturtinės žalos atlyginimą iš „Meta“ už asmens duomenų tvarkymą negavus išankstinio sutikimo naudojant „Meta Business Tools“.

Duomenų perdavimas iš trečiųjų šalių svetainių į „Meta“ vyksta nepriklausomai nuo to, ar vartotojas aktyvavo „Meta“ programas ir gavo jų sutikimą.

Teismas nustatė, kad „Meta“ pažeidė BDAR 6(1) straipsnį, sukeldamas pakankamai konkrečią grėsmę duomenų subjektui, kuris pagrįstai bijojo, kad jo asmens duomenys bus netinkamai naudojami dėl kontrolės praradimo.

Austrijos Aukščiausiasis Teismas lapkričio 26 d. nusprendė, kad „Meta“ privalo suteikti savo vartotojams visišką prieigą prie visų jų asmens duomenų, įskaitant jų šaltinius, gavėjus ir tikslus.

Paprasto orientacinio sąrašo nepakanka.

Teismas taip pat nusprendė, kad norint rodyti suasmenintą reklamą ir tvarkyti (neskelbtinus) asmens duomenis iš trečiųjų šalių interneto svetainių, reikalingas atitinkamo asmens sutikimas.

Neseniai Belgijoje priimtu sprendimu ieškovams skirta daugiau nei 25 000 eurų bauda už generatyvinių dirbtinio intelekto įrankių naudojimą rengiant apeliacinius skundus, akivaizdų piktnaudžiavimą procedūra, nepagrįstą apeliaciją ir piktnaudžiavimą teisių gynimu.

Antverpeno apeliacinis teismas atkreipia dėmesį į „nenuoseklių ir visiškai beprasmių“ argumentų, pagrįstų neegzistuojančia teismų praktika ir išgalvotais teisės šaltiniais, pateikimą.

Belgijoje APD taip pat skyrė papeikimą įmonei už neteisėtą informacijos apie buvusį darbuotoją perdavimą telefoninio pokalbio su kita įmone metu, kai tai buvo įdarbinimo proceso dalis.

APD taip pat papeikė abi bendroves už tai, kad jos neatsakė į asmenų prašymus susipažinti su duomenimis.

Kroatijoje bankui „AZOP“ skirta 1 500 000 eurų bauda už kelis BDAR pažeidimus.

Bankas neturėdamas teisinio pagrindo tvarkė 433 922 vartotojų asmens duomenis, nesuteikdamas vartotojams reikiamos informacijos ir neįgyvendino tinkamų techninių bei organizacinių priemonių.

 

JK duomenų apsaugos tarnyba (DPA) skyrė slaptažodžių tvarkymo priemonių teikėjai „LastPass UK Ltd.“ 1,2 mln. svarų sterlingų baudą po 2022 m. įvykusio duomenų saugumo pažeidimo, per kurį buvo pavogta beveik 1,6 mln. jos JK vartotojų asmeninė informacija.

ICO nustatė, kad „LastPass“ neįdiegė pakankamai patikimų techninių ir saugumo priemonių, kurios galiausiai leido įsilaužėliui gauti neteisėtą prieigą prie jos atsarginių kopijų duomenų bazės.

Jungtinės Valstijos atnaujino savo reikalavimą suteikti prieigą prie bevizio režimo programoje (VWP) dalyvaujančių ES šalių nacionalinių biometrinių duomenų bazių ir ketina iki 2026 m. pabaigos sudaryti susitarimą šiuo klausimu.

Vašingtonas prašo šios prieigos nuo 2022 m., kaip Jungtinių Valstijų „Sustiprintos sienų saugumo partnerystės“ (EBSP) dalį, ir grasina panaikinti vizų išimtį, jei ji bus atmesta.

Prieigos mastas lieka neaiškus.

Šiame etape Europos pozicija, regis, siekia apriboti tai iki žmonių, keliaujančių į Jungtines Valstijas.

Prieiga apimtų biometrinius duomenis, tokius kaip pirštų atspaudai ir veido skenavimas, taip pat kitus neskelbtinus duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, narystę profesinėse sąjungose, arba duomenis apie sveikatą ar lytinį gyvenimą, kai tai būtina ir proporcinga „siekiant užkirsti kelią nusikalstamai ir teroristinei veikai arba kovoti su ja“.

Gruodį Europos sostinės susitarė suteikti Europos Komisijai įgaliojimus derėtis dėl šio susitarimo, kurio detales nuspręs valstybės narės, pagrindų.

Jungtinėse Valstijose dirbtinio intelekto naudojimas transkribuojant policijos kūno kamerų ataskaitas Heber Sityje, Jutoje, turėjo nenuoseklių pasekmių.

„Draft One“ programinė įranga, paremta „Open AI“ LLM, pranešė, kad agentas virto varle.

Programinė įranga iš tikrųjų aptiko fone rodantį filmą – „Princesė ir varlė“.

Be situacijos ironijos, šis konkretus atvejis kelia klausimų, kuriuos pabrėžia „Cybernews“. „Nors tikslas yra sumažinti dokumentų kiekį, padarius tokias klaidas kaip Heber City, agentai rizikuoja sugaišti dar daugiau laiko ataskaitų peržiūrai.“ Praėjusiais metais Elektroninių sienų fondo (EFF) atliktas tyrimas atskleidė, kad Pirmasis projektas „atrodo sąmoningai sukurtas siekiant išvengti auditų, kurie galėtų užtikrinti viešąją atskaitomybę“.

"Dažnai neįmanoma žinoti, kurias policijos ataskaitos dalis sukūrė dirbtinis intelektas, o kurias parašė pareigūnas."

Galiausiai, „Privacy Laws & Business“ ataskaitoje nurodoma, kad privatumo reguliavimas Jungtinėse Valstijose vis dėlto stiprėja – 19 valstijų pasekė Kalifornijos pavyzdžiu ir priėmė privatumo įstatymus, dažnai skirtus su vaikais susijusiems klausimams.

Nedaug valstijų domisi biometrinių duomenų rinkimu ir naudojimu.

Ilinojus ilgą laiką užėmė lyderio pozicijas, o dabar po jo seka Teksasas ir Vašingtono valstija.

Vis dar nėra sutarimo dėl naujų federalinių privatumo taisyklių, „tačiau FTC ėmėsi vykdymo veiksmų, susijusių su šimtais milijonų dolerių žalos atlyginimu ir piniginėmis baudomis pagal susitarimus su didelėmis internetinėmis bendrovėmis „Epic Games“, „Amazon“ ir „Microsoft““ arba neseniai su „Disney Worldwide Services“, su kuria susitarė dėl 10 mln. dolerių vertės susitarimo už Vaikų internetinės apsaugos įstatymo (COPPA) pažeidimą.