„Legal Watch“ Nr. 80 – 2025 m. vasaris. 

Duomenų perdavimas į Jungtines Valstijas: susilpnėjusi teisinė sistema.

Vasario 5 d. 19 europarlamentarų iš įvairių politinių pažiūrų paprašė Europos Komisijos ištirti, ar transatlantinį duomenų perdavimą reglamentuojanti „Duomenų apsaugos sistema“ (DPF) vis dar yra veiksminga.

Vasario 6 d. Piliečių laisvių, teisingumo ir vidaus reikalų komiteto pirmininkas jam uždavė panašų klausimą.

Šiuos klausimus iškėlė Donaldo Trumpo sprendimas nutraukti trijų demokratų partijos narių kadencijas. Privatumo ir pilietinių laisvių priežiūros taryba (PCLOB), kuri nebeturi veiklai reikalingo kvorumo.

PCLOB transatlantinio susitarimo kontekste buvo laikoma esminiu asmens teisių gynimo masinio stebėjimo klausimais įrankiu.

Nuo to laiko Amerikos duomenų apsaugos garantijos atrodo vis trapesnės.

Kovo 3 d. „Euractiv“ paskelbtame straipsnyje teigiama, kad vienas iš PCLOB apeliacinės institucijos – Duomenų apsaugos peržiūros teismo – teisėjų dingo iš svetainės teisėjų sąrašo, o specialusis advokatas atsistatydino.

Be to, „jei Donaldas Trumpas neatleido už žvalgybos agentūrų priežiūrą atsakingų generalinių inspektorių, jis atleido mažiausiai 17 kitų“, taip pat pranešama, kad buvo atleisti „Personalo valdymo biuro“ privatumo apsaugos skyriaus nariai.

Galiausiai, su Trumpo administracija siejama politinė programa „Projektas 2025“ mano, kad būsimasis prezidentas turėtų atlikti „Bideno“ vykdomojo įsakymo dėl DPF tyrimą ir „iš naujo nustatyti Europos lūkesčius“.

Šiame projekte taip pat planuojama sustabdyti nuostatas, kurios nepagrįstai trukdo rinkti informaciją.

Verta priminti, kad nepriklausomų kontrolės ir teisių gynimo mechanizmų, susijusių su Amerikos žvalgybos agentūromis, nebuvimas buvo ankstesnio susitarimo „Privatumo skydas“ nutraukimo priežastis. 

Šie įvairūs veiksniai nežada nieko gero transatlantinio susitarimo gyvybingumui. Neišspręstas klausimas – kada situacija bus oficialiai išaiškinta.

Europos Komisija kol kas tyli, bet tikimasi, kad į parlamento klausimus atsakys iki mėnesio pabaigos.

Europos Sąjungos Teisingumo Teismas, jau nagrinėjantis šią bylą, galėtų priimti sprendimą, atitinkantį du ankstesnius sprendimus, kuriais atitinkamai buvo panaikinti „saugaus uosto principai“ ir „privatumo skydas“, tačiau šio sprendimo data vis dar nežinoma.

O kaip dėl duomenų apsaugos institucijų?

Norvegijos duomenų apsaugos tarnyba („Datatilsynet“) vasario 26 d. paskelbė pareiškimą šiuo klausimu. Ji pakartojo, kad Europos Komisijos sprendimas dėl tinkamumo, kuriuo patvirtinamas transatlantinis prekybos susitarimas, galioja tol, kol jį potencialiai atšauks Europos Komisija arba Europos Sąjungos Teisingumo Teismas (ESTT).

Duomenų apsaugos institucijos (DAI) yra saistomos šių sprendimų ir negali drausti duomenų perdavimų, kurie vykdomi pagal sprendimą dėl tinkamumo.

Atsižvelgiant į dabartinį kontekstą, Nepaisant to, APD pataria duomenų valdytojams parengti išėjimo strategiją tuo atveju, jei dabartinė sistema taptų negaliojančia. nes pokytis galėtų įvykti be pereinamojo laikotarpio.

Pirmoji šiandien duomenų valdytojams teikiama rekomendacija – parengti išsamų visų jų įmonės atliktų duomenų perdavimų sąrašą.

Užduotis sunki, nes Jungtinės Valstijos dabar yra visur mūsų skaitmeniniame pasaulyje ir, kaip ir ponas Jourdainas, mes kasdien perduodame duomenis to nežinodami.

Reikės atsižvelgti į aiškiai identifikuotus gavėjus Jungtinėse Valstijose, bet taip pat, pavyzdžiui, į Amerikos „debesijos“ paslaugų naudojimą Europos teritorijoje ir daugybę rodymo ar ryšio paslaugų, tokių kaip „Google“ šriftai, analizė ar žemėlapiai ar net „Facebook“: Europos Sąjungos Teisingumo Teismas savo sprendime byloje T-354/22 pasmerkė Europos Komisiją už BDAR pažeidimą, susijusį su internetine registracija į jos organizuojamą renginį.

Pasinaudodama pagrindiniame puslapyje rodoma nuoroda „susisiekite su „Facebook“, ji „sudarė sąlygas perduoti pareiškėjo IP adresą „Facebook““ ir atitinkamai Jungtinėms Amerikos Valstijoms tuo metu, kai „Privatumo skydas“ buvo negaliojantis.

Ten, kur egzistuoja europietiškos alternatyvos, jos gali būti įdomus sprendimas.Pavyzdžiui, turime omenyje Europos debesiją arba sertifikuotą Prancūzijos debesiją.

Kalbant apie sekiklius, CNIL paskelbė anoniminių auditorijos matavimo įrankių sąrašą.

Tais atvejais, kai perdavimas išlieka būtinas, eksportuotojas turės remtis tokiomis priemonėmis kaip standartinės sutarčių sąlygos arba privalomos įmonių taisyklės ir atlikti poveikio analizę, tiksliai dokumentuodamas duomenų perėmimo anapus Atlanto riziką valdžios institucijų ir taikomas apsaugos priemones – tai ypač sudėtinga užduotis.

Sausio 31 d. CNIL paskelbė galutinę savo vadovo dėl poveikio vertinimų, susijusių su duomenų perdavimu už Europos Sąjungos ribų, versiją.

Kaip ir Norvegijos kolega, tikėtina, kad ji paskelbs rekomendacijas, susijusias su būsimais tarptautiniais įvykiais.

 

  

Ką tik į siūlomą įstatymą dėl kovos su narkotikais buvo įtrauktas pakeitimas, kuriuo siekiama priversti platformas įgyvendinti priemones, leidžiančias teisėsaugos institucijoms pasiekti duomenis, ypač šifruotų pranešimų siuntimo paslaugų duomenis.

Vyriausybei ir parlamentarams skirtuose komentaruose kelios bendrovės, įskaitant „Apple“, „Amazon“, „Google“ ir „Microsoft“, prieštaravo šiam pakeitimui, remdamosi Europos duomenų apsaugos valdybos (EDAV) ir Europos duomenų apsaugos priežiūros pareigūno (EDPP) pozicijomis prieš silpninant ištisinį šifravimą.

Pasiūlymas bus svarstomas plenarinėje sesijoje, kuri prasidės kovo 17 d.

Šie pokyčiai atkartoja panašias vyriausybių iniciatyvas keliose Europos šalyse, taip pat ir Jungtinėse Amerikos Valstijose (žr. toliau „Nacionaliniai pokyčiai“).

CNIL priminė „Qwant“ paieškos sistemai apie jos įsipareigojimus pagal BDAR dėl duomenų anonimizavimo.

„Qwant“ pateikė anoniminius duomenis, kuriuos bendrovė naudojo parduodama reklamos vietą paieškos sistemoje, kurią valdo „MICROSOFT“. 

CNIL pažymi, kad „nepaisant griežtų atsargumo priemonių, kurių imtasi 2019 m. siekiant išvengti asmenų pakartotinio tapatybės nustatymo, perduotas duomenų rinkinys lėmė BDAR, ypač jo 12 ir 13 straipsnių, taikymą“.

Komisija mano, kad tai yra pradinė analizės klaida, susijusi su perduotų duomenų klasifikavimu, neturint tikslo apeiti BDAR nuostatų, todėl netaiko jokių sankcijų.

Komisija taip pat skyrė 40 000 eurų baudą nekilnojamojo turto agentūrai už pernelyg didelį savo darbuotojų stebėjimą naudojant programinę įrangą („Time Doctor“), kuri užfiksavo... tariamus neveiklumo laikotarpius ir reguliariai darė savo kompiuterio ekrano kopijas.

Be to, darbuotojai buvo nuolat registruojami.

CNIL ypač kritikuoja atsakingą asmenį dėl poveikio vertinimo trūkumo, teisinio pagrindo tvarkymui nebuvimo ir duomenų kiekio mažinimo principo nesilaikymo.

Ji taip pat paskelbė atnaujintas duomenų apsaugos lenteles ir 2024 m. santraukų sąsiuvinius, kuriuose daugiausia dėmesio skiriama svarbiausiems naujiems sprendimams ir nacionalinės bei Europos teismų praktikos duomenų apsaugos srityje esminiams aspektams.

 

Europos institucijos ir įstaigos

Po 2024 m. spalio 3 d. paskelbtos Skaitmeninio teisingumo tinkamumo patikros ataskaitos Europos Komisija svarsto galimybę parengti skaitmeninio teisingumo reglamentą („Skaitmeninio teisingumo įstatymas“), kuriuo būtų sprendžiamos vartotojų apsaugos problemos internetinėje aplinkoje, pavyzdžiui, automatinis prenumeratų nutraukimas arba atnaujinimas ir nemokamų bandomųjų laikotarpių pavertimas mokamomis prenumeratomis.

Pranešama, kad rengiamos viešos konsultacijos ir preliminari poveikio analizė.

Komisija pagaliau nusprendė atsiimti savo pasiūlymą dėl E. privatumo reglamento, kuriuo buvo siekiama modernizuoti ir patikslinti dabartinės direktyvos įpareigojimus, kartu suderinant juos su BDAR principais.

Tekstas sukėlė ginčų, ypač dėl išimčių iš ryšių konfidencialumo principų taikymo srities.

Pateikti nauji teisėkūros pasiūlymai, kuriais siekiama spręsti privatumo problemas, kartu atskiriant komercinį stebėjimą nuo valstybinio stebėjimo.

Dirbtinio intelekto atsakomybės direktyva, kuria buvo siekiama atnaujinti ES gaminių saugos taisykles, kad jos apimtų dirbtinį intelektą ir automatizavimą, taip pat yra atšauktų teisėkūros pasiūlymų sąraše.

Atkartojant praėjusių metų vasarį Paryžiuje vykusio dirbtinio intelekto aukščiausiojo lygio susitikimo išvadas, Europos Komisijos 2025 m. darbo programoje pabrėžiamas konkurencingumas, o aiškus tikslas – skatinti ekonomikos augimą remiant inovacijas.

Vasario 2 d. įsigaliojo pirmosios Dirbtinio intelekto reglamento nuostatos, įskaitant 5 straipsnį, kuriame kalbama apie draudžiamą dirbtinio intelekto praktiką.

Po dviejų dienų Europos Komisija paskelbė gaires, kuriose išdėstė dirbtinio intelekto praktikas, kurios laikomos nepriimtinomis dėl keliamos rizikos Europos vertybėms ir pagrindinėms teisėms.

Kelios duomenų apsaugos institucijos (DAI), dalyvavusios dirbtinio intelekto aukščiausiojo lygio susitikime, po apskritojo stalo diskusijos „dėl patikimų duomenų valdymo sistemų sukūrimo, siekiant skatinti novatoriško ir privatumą saugančio dirbtinio intelekto kūrimą“, paskelbė bendrą pareiškimą, kuriame pabrėžė būtinybę integruoti privatumo principus nuo dirbtinio intelekto sistemų projektavimo etapo ir įdiegti tvirtas vidines duomenų valdymo sistemas.

Tuo pačiu metu, vasario 12 d., Europos duomenų apsaugos valdyba (EDAV) paskelbė, kad plečia savo „ChatGPT“ darbo grupės veiklos sritį, įtraukdama dirbtinio intelekto taikymą, ir steigia „greitojo reagavimo komandą, skirtą koordinuoti duomenų apsaugos institucijų veiksmus“ dėl skubių jautrių klausimų, susijusių su dirbtiniu intelektu.

Kovo pradžioje Europos duomenų apsaugos valdyba (EDAV) paskelbė apie savo koordinuotų veiksmų, skirtų 2025 m. kontrolei dėl teisės į duomenų ištrynimą, pradžią.

Šis veiksmas atliekamas po koordinuotų veiksmų dėl debesijos naudojimo viešajame sektoriuje (2022 m.), duomenų apsaugos pareigūnų paskyrimo ir vaidmens (2023 m.) ir prieigos teisės (2024 m.).

Europos Parlamento tyrimų tarnyba vasario 26 d. paskelbė informacinį pranešimą apie įtampą tarp algoritminės diskriminacijos prevencijos ir specialių kategorijų duomenų tvarkymo.

Dokumente įvardyti neaiškumai dėl bendro Dirbtinio intelekto reglamento ir BDAR taikymo, dėl kurių gali prireikti teisėkūros reformos arba papildomų gairių.

Vasario 27 d. ESTT paskelbė svarbų sprendimą dėl asmenų, kuriems taikomas automatizuotas sprendimas, teisių apimties.

Byloje „Dun & Bradstreet Austria“ (C 203/22) Teismas išaiškino, kad BDAR 15 straipsnio 1 dalies h punktas „suteikia duomenų subjektui realią teisę gauti automatizuoto sprendimų priėmimo proceso, kuriam jis buvo taikomas, mechanizmo veikimo paaiškinimą ir to sprendimo rezultatą“ (57 punktas).

Saugomų trečiųjų šalių duomenys arba komercinės paslaptys neatleidžia duomenų valdytojo nuo konkrečių paaiškinimų: pastarasis „privalo perduoti šią tariamai saugomą informaciją kompetentingai priežiūros institucijai arba teismui, kuris yra atsakingas už atitinkamų teisių ir interesų įvertinimą, siekiant nustatyti duomenų subjekto teisės susipažinti su duomenimis, numatytos BDAR 15 straipsnyje, apimtį“ (67 punktas).

Vasario 13 d. ESTT taip pat nusprendė, kad priežiūros institucijos ir teismai, nustatydami baudų dydį, privalo atsižvelgti į tai, kad duomenų valdytojas yra įmonės, kaip apibrėžta Sutarties dėl Europos Sąjungos veikimo (SESV) 101 ir 102 straipsniuose, dalis.

Be to, didžiausią baudų sumą jie turi grįsti įmonės, o ne duomenų valdytojo apyvarta.

Vasario 6 d. ES Teisingumo Teismo generalinis advokatas pasidalijo savo išvadomis byloje EDAPP prieš BPV (C-413/23 P).

Byloje sprendžiama, ar ES agentūros – Bendrosios pertvarkymo valdybos – savo konsultacijų įmonei „Deloitte“ perduoti pseudonimizuoti duomenys „Deloitte“ požiūriu yra asmens duomenys.

Generalinė Asamblėja daugiausia dėmesio skiria pagrįstoms priemonėms, kuriomis duomenų gavėjas gali identifikuoti atitinkamus asmenis, ir taiko gerokai siauresnį asmens duomenų sąvokos aiškinimą nei EDAPP ir EDAV. Galutinio sprendimo tikimasi iki vasaros.

 

Naujienos iš Europos Sąjungos šalių narių.

Vokietijos teismo sprendimas (OLG Dresden/Vokietija (Az.: 4 U 940/24) patvirtina, kad duomenų valdytojai yra atsakingi ne tik už savo veiksmus, bet ir už savo subrangovų veiksmus.

Teismas pabrėžė, kad nepakanka pasitikėti subrangovu, nepatikrinus, kaip šiuo atveju, ar jis iš tikrųjų ištrynė subrangovo duomenis pasibaigus sutarčiai.

Nepakankamo patikrinimo pasekmės gali išlikti ilgai po pradinio incidento, kaip buvo šiuo atveju po įsilaužimo, dėl kurio nutekėjo duomenys, o vėliau buvo pradėtas teisinis procesas ir padaryta žala duomenų valdytojo reputacijai.

Ispanijoje APD skyrė 1,2 mln. eurų baudą mobiliojo ryšio tiekėjui „Orange“ už tai, kad šis neužkirto kelio SIM kortelės dublikato išdavimui trečiajai šaliai, kuri ja pasinaudojo norėdama prisijungti prie atitinkamo asmens banko sąskaitos.

APD manė, kad operatorius neįgyvendino tinkamų apsaugos priemonių.

Taip pat Ispanijoje APD skyrė keletą baudų kooperatinių bankų grupei „Caja Rural“ už BDAR pažeidimą po duomenų saugumo pažeidimo, kurį sukėlė nepakankamos saugumo priemonės ir IT sistemos pažeidžiamumas.

Šiuo atveju APD kiekvieną kooperatinės grupės banko narį laikė individualiai atsakingu, nors visi naudojosi to paties IT paslaugų teikėjo paslaugomis, ir skyrė sankcijas nuo 6 200 iki 400 000 eurų, priklausomai nuo klientų skaičiaus ir bankų reakcijos greičio.

Graikijos duomenų apsaugos tarnyba (APD) priėmė sprendimą, kuriuo siekiama palengvinti asmens teisių įgyvendinimą su „Google“.

Ji nurodė bendrovei pašalinti nuorodas, rodomas paieškos rezultatuose pagal asmens vardą, ir nurodė „Google“ pakeisti pašalinimo prašymų procedūrą, leidžiant priedus, pateikiant tiesioginę kontaktinę informaciją ir nutraukiant automatinius atsakymus.

Nyderlanduose kibernetinio saugumo eksperto (ir buvusio civilinės žvalgybos tarnybos vadovo) „Bluesky“ platformoje paskelbtoje ekrano kopijoje matyti, kad „Google Analytics“ renka duomenis apie darbo ieškančius asmenis šalies civilinėse ir karinėse žvalgybos tarnybose.

Ši informacija paskatino parlamento narį paprašyti vidaus reikalų ministro paaiškinimo.

Lenkijos duomenų apsaugos tarnyba (APD) skyrė 350 000 eurų (1 527 855 PLN) baudą svetainės operatoriui ir 4 590 eurų (20 037 PLN) baudą jo subrangovui už duomenų saugumo pažeidimą po to, kai dėl netinkamos svetainės konfigūracijos įvyko duomenų nutekėjimas, paveikusis 21 453 žmones.

Rumunijoje bendrovei „Unicredit“ buvo skirta 15 000 eurų (74 652 lėjų) bauda už du duomenų nutekėjimus, įvykusius dėl vidinių programų.

Prieš diegiant jie nebuvo išbandyti, o APD numato bausmę už BDAR 25(1) straipsnio, kuriame reikalaujama duomenų apsaugos nuo projektavimo („privatumo užtikrinimas projektuojant“), nesilaikymą.

Po Didžiosios Britanijos vyriausybės nurodymo nutraukti „iCloud“ šifravimą, „Apple“ ką tik atšaukė visą savo pažangią saugumo funkciją iš JK.

Įsakymas konkrečiai buvo susijęs su 2023 m. įdiegta funkcija, kuri leidžia „iCloud“ naudotojams pasirinkti visų bendrovės debesyje saugomų duomenų šifravimą nuo galo iki galo ir užtikrina, kad jokia trečioji šalis, įskaitant „Apple“, negalėtų pasiekti duomenų.

Bendrovė turėjo pasirinkimą tarp šifravimo funkcijos pašalinimo ir galinių durų sukūrimo, kurios būtų pakenkusios šifravimui visiems vartotojams visame pasaulyje, o antroji galimybė „Apple“ buvo atmesta.

Tuo pačiu metu Švedijai taip pat reikalingos slaptos priemonės, todėl „Signal“ perspėjo, kad priėmus tokį įstatymą, ji pasitrauktų iš šalies.

Pridurkime, kad, remiantis vasario 24 d. „Forbes“ straipsniu, Jungtinės Valstijos siekia to paties tikslo – gauti prieigą prie užšifruotų duomenų.

 

Pietų Korėja ką tik priėmė dirbtinio intelekto įstatymą, kuris įsigalios 2026 m. sausio mėn.

Įstatymas atitinka Europos dirbtinio intelekto reglamentą: juo nustatomi įpareigojimai dirbtinio intelekto įmonėms, ypač didelio poveikio dirbtinio intelekto ir generatyvinio dirbtinio intelekto srityse, daugiausia dėmesio skiriant rizikos valdymui, vartotojų apsaugai ir skaidrumui.

IAPP praneša, kad vasario 5 d. grupė JAV senatorių, priklausančių „Senato žvalgybos rinktiniam komitetui“, išsiuntė Baltiesiems rūmams laišką, kuriame „išreiškė susirūpinimą dėl neseniai įsteigto Vyriausybės efektyvumo departamento (DOGE) keliamos rizikos privatumui ir nacionaliniam saugumui“.

Laiške teigiama, kad DOGE veiksmai kelia pavojų atskleisti įslaptintą ir kitą neskelbtiną informaciją, kelti grėsmę nacionaliniam saugumui ir pažeisti amerikiečių privatumą.

Šiuo metu nagrinėjamos kelios bylos dėl neteisėtos prieigos prie šių agentūrų tvarkomų duomenų.

Pastaraisiais metais žvalgybos tarnybų prašymų pateikti GAFAM turimus duomenis skaičius smarkiai išaugo.

Tai matyti iš bendrovės „Proton“ paskelbto tyrimo, paremto „Apple“, „Meta“ ir „Google“ skaidrumo ataskaitomis nuo 2014 iki 2024 m.

Kaip pažymi „01net“, šios bendrovės pagal JAV įstatymus (FISA, Debesijos įstatymas) privalo atsakyti į valdžios institucijų, norinčių gauti prieigą prie telefono įrašų, tekstinių žinučių, el. laiškų ar debesies atsarginių kopijų, prašymus.

„Per pastaruosius dešimt metų „Google“, „Apple“ ir „Meta“ JAV valdžios institucijoms pateiktų prašymų dėl prieigos prie vartotojų duomenų (bet kurios tautybės), pvz., el. laiškų ar žinučių, skaičius (...) šioms trims bendrovėms vidutiniškai išaugo... 600 %.“

Malaizijos asmens duomenų apsaugos įstatymas buvo sustiprintas siekiant gerokai padidinti reguliavimo institucijos įgaliojimus ir sustiprinti asmenų teises.

Jis bus įgyvendintas trimis etapais per pirmąjį 2025 m. pusmetį: sausio 1 d., balandžio 1 d. ir birželio 1 d.

Kelios tarptautinės žiniasklaidos priemonės, įskaitant „Le Monde“, „France Info“ ir Prancūzijos naujienų laidą „8 PM“, atliko „sekimo bylų“ tyrimą, kuris atskleidžia sekimo mastą ir duomenų tarpininkų tvarkomų asmens duomenų detales.

Milijonų vartotojų geografiškai nustatyti asmens duomenys yra kaupiami sąlygomis, kurios dažnai nėra labai skaidrios: pavyzdžiui, žaidžiant internetu išmaniajame telefone naudojant programėlę, gali būti perduodami tokie duomenys kaip ryšio laikas, išmaniojo telefono modelis ar geografinė vieta – elementai, surinkti milžiniškuose failuose, kuriuos parduoda tokie tarpininkai kaip „American Datastream Group“.

Šiame naujausiame faile yra daugiau nei 47 milijonai žmonių.

Gali būti paveikti visų duomenys, bet taip pat ir diplomatų, kariškių ar žurnalistų duomenys.