„Legal Watch“ Nr. 70 – 2024 m. balandžio mėn.

Duomenų perdavimas už ES ribų: dabartinė padėtis.

Tarptautinio duomenų perdavimo situacija tampa aiškesnė, priimant sprendimus ir pozicijas institucijoms. 

Todėl atkreipėme dėmesį į keletą neseniai Europos ir nacionaliniu lygmenimis pradėtų iniciatyvų, kuriomis siekiama palengvinti duomenų srautus, kartu gerbiant pagrindines teises.

Kovo 4 d. vykusiame susitikime su penkiolikos šalių, jau pripažintų tinkamomis, atstovais Europos Komisija pademonstravo norą išplėsti ES tarptautinio bendradarbiavimo formas.

Nors anksčiau Komisija pirmenybę teikė bendradarbiavimui su Europos Taryba, daugiausia dėmesio skiriant žmogaus teisėms, kovo mėnesį Europos teisingumo komisaras taip pat užsiminė apie glaudesnį bendradarbiavimą su EBPO – organizacija, kurios perspektyvos orientuotos į ekonominę plėtrą.

 Suinteresuotos šalys Amerikoje ir Azijoje taiko privatumo apsaugos metodus, kurie labai skiriasi nuo Europos Sąjungos.

Verta priminti, kad sausio mėnesį Europos Komisija atnaujino visų šalių, kurios jau buvo gavusios teigiamą sprendimą, tinkamumo sprendimus.

Tai taip pat sukėlė reakciją dabartiniame politiniame kontekste – balandžio 22 d. 11 pilietinės visuomenės organizacijų atvirame laiške prašė Europos teisingumo komisaro paaiškinti savo sprendimą atnaujinti savo tinkamumo sprendimą dėl Izraelio.

 Laiške visų pirma abejojama dėl tinkamumo kriterijų laikymosi tvarkant duomenis nacionalinio saugumo tikslais, pagarbos žmogaus teisėms, teisinės valstybės principo ir teisės kreiptis į teismą užtikrinimo.

Žinoma, duomenys gali būti perduodami ir į šalis, kurioms netaikomas sprendimas dėl tinkamumo, pavyzdžiui, jei buvo priimtos standartinės sutarčių sąlygos arba įmonių grupėje buvo nustatytos privalomos duomenų perdavimą reglamentuojančios taisyklės.

Siekdama paremti grupes šiame procese, CNIL ką tik paskelbė savęs vertinimo įrankį.

Tai klausimynas, leidžiantis mums patikrinti projekto brandos lygį, atsižvelgiant į Europos duomenų apsaugos valdybos (EDAV) priimtų Įpareigojančių įmonių taisyklių (BCR) reikalavimus.

CNIL rekomenduoja išbandyti projektą prieš pateikiant Įpareigojančias taisykles tvirtinti.

Ši priemonė leidžia patikrinti, ar veiksmingai įgyvendinami šie įsipareigojimai:

• Atsakomybės režimas, pagrįstas Europos būstine arba Europos dukterine įmone, atsakinga už duomenų apsaugą pagal delegavimą;
• Darbuotojų mokymo procedūra;
• Audito procedūra, skirta užtikrinti atitiktį GCR;
• Vidinė skundų nagrinėjimo procedūra;
• Duomenų apsaugos pareigūnų arba kvalifikuotų darbuotojų tinklas, skirtas stebėti taisyklių laikymąsi;
• Procedūra, skirta nustatyti privatumo poveikio vertinimo (PAV) tinkamumą;
• Įpareigojančių įmonės taisyklių „subrangovas“ atveju – subrangovo įsipareigojimai duomenų valdytojui;
• Tinkamos techninės ir organizacinės priemonės, užtikrinančios duomenų apsaugos principų laikymąsi.

CNIL siūlo interaktyvų pasaulio žemėlapį, kuriame galima nustatyti kiekvienos šalies duomenų apsaugos statusą, o šalių, kurioms taikomas sprendimas dėl tinkamumo, sąrašas pateikiamas Europos Komisijos svetainėje.

 

Balandžio 4 d. CNIL skyrė 525 000 eurų baudą bendrovei „HUBSIDE.STORE“. už žvalgybos kampanijų vykdymą naudojant asmens duomenis, gautus naudojant apgaulingai sukurtas formas, kurios neleido duomenų valdytojui gauti galiojančio sutikimo.

Kovo 25 d. skaitmeninių reikalų valstybės sekretorius pristatė Prancūzijos strateginį skaitmeninio dešimtmečio veiksmų planą. dalyvaujant Europos Komisijos Ryšių tinklų, turinio ir technologijų generaliniam direktoriui (DG Connect).

„Veiksmų planas suskirstytas į keturias darbo sritis, skirtas „skaitmeninio dešimtmečio“ tikslams pasiekti:“

• Skaitmeniniai įgūdžiai,
• Skaitmeninė infrastruktūra,
• Įmonių skaitmeninė transformacija ir
• Viešųjų paslaugų skaitmeninimas.

„La Quadrature du Net“ gegužės 2 d. pateikė skundą CNIL dėl algoritminio vaizdo stebėjimo (VSA) diegimo. kurį ji laiko neteisėtu.

Projektas „Prevent PCP“, kuriame SNCF ir RATP bendradarbiauja su įmonių grupe, įskaitant „Atos“ grupę ir „ChapsVision“, yra viešojo pirkimo forma. Ši sutartis leidžia įmonėms diegti savo VSA sistemas pagrindinėse Europos stotyse, kad būtų galima aptikti „paliktą bagažą“, taikant metodą, pagrįstą bagažo savininkų identifikavimu ir sekimu.

Prancūzijoje šios VSA sistemos jau kelis mėnesius naudojamos Paryžiaus Gare du Nord ir Gare de Lyon stotyse arba, visai neseniai, Gare de Marseille-Saint-Charles stotyje.

 

Europos institucijos ir įstaigos

Europos duomenų apsaugos valdyba (EDAV) balandžio viduryje priėmė savo 2024–2027 m. darbo programą.

Per ateinančius ketverius metus EDAV toliau skatins BDAR laikymąsi, rengdama praktines gaires ir medžiagą platesnei auditorijai.

Bendradarbiavimas taikant teisės aktus taip pat išlieka prioritetu. 

Naujas strategijos aspektas – dėmesys sąveikai su naująja skaitmenine reguliavimo sistema.

EDAV ir toliau skirs ypatingą dėmesį naujųjų technologijų, tokių kaip dirbtinis intelektas, keliamiems iššūkiams.

EDAV taip pat balandžio 17 d. išreiškė poziciją dėl „mokėk arba priimk slapukus“ modelio, taikomo pagrindinių internetinių platformų naudotojams.

2023 m. lapkritį „Meta“ įvedė mėnesinį mokestį vartotojams, kurie atsisakė būti stebimi suasmenintos reklamos tikslais.

Pilietinių teisių organizacijos sureagavo pateikdamos kelis skundus kompetentingoms duomenų apsaugos institucijoms (DAI), kurios paprašė EDAV pateikti privalomą nuomonę šiuo klausimu.

Ši nuomonė kelia abejonių dėl „Meta“ ir panašių platformų primesto modelio: komiteto nuomone, „daugeliu atvejų didelės internetinės platformos negalės laikytis galiojančio sutikimo reikalavimų, jei jos vartotojams teiks tik dvejopą pasirinkimą – sutikimą tvarkyti asmens duomenis elgsena grindžiamos reklamos tikslais arba mokesčio mokėjimą“.

Komitetas pakartoja, kad sutikimas turi būti duotas laisva valia ir kad alternatyva, pagal kurią būtų taikomas atgrasantis mokėjimas, užkirstų kelią laisva valia duotam sutikimui.

Ji ragina platformas įdiegti alternatyvų reklamos modelį, pagrįstą labiau ribotu asmens duomenų rinkimu.

Europos Komisijos iniciatyva paskatinti didžiąsias technologijų bendroves savanoriškai įsipareigoti naudoti „slapukus“, kurie sumažintų interneto vartotojų sekimą ir sustiprintų jų sutikimą, nesulaukė didelio pasisekimo.

Pasak Komisijos atstovo spaudai, kalbėjusio su „Euronews“, dauguma įmonių manė, kad savanoriško požiūrio į skaitmeninę reklamą įvedimas yra „per anksti, atsižvelgiant į tai, kad neseniai įsigaliojo nauji šios srities teisės aktai, pvz., Skaitmeninių paslaugų reglamentas (DSR) ir Skaitmeninių rinkų reglamentas (DMA)“.

Balandžio 11 d. ESTT nusprendė, kad duomenų valdytojas neatleidžiamas nuo atsakomybės už žalą pagal BDAR vien dėl to, kad asmuo, veikiantis pagal jo įgaliojimus, nesilaikė jo nurodymų.

Nustatant žalos, mokėtinos kaip kompensacija, dydį, nereikėtų atsižvelgti į administracinių baudų nustatymo kriterijus.

ESTT generalinis advokatas balandžio 25 d. pateikė savo nuomonę byloje dėl to, kaip „Meta“ naudojo ieškovo paviešintus duomenis.

Pasak AG, „duomenų kiekio mažinimo principo“ taikymas riboja asmens duomenų naudojimą reklamos tikslais, net jei vartotojai sutiko su reklama.

Šis principas taikomas nepriklausomai nuo teisinio pagrindo, naudojamo tvarkymui: net ir vartotojo, kuris sutinka su suasmeninta reklama, asmens duomenys negali būti naudojami neribotą laiką.

Be to, BDAR 5 straipsnio 1 dalyje nustatytas „tikslo apribojimo“ principas ir toliau taikomas „internetinių duomenų išgavimo“ atveju: viešai prieinama informacija (šiuo atveju – neskelbtina) negali būti renkama ir tvarkoma kitais tikslais, pavyzdžiui, tikslinei reklamai.

NVO „noyb“ pateikė skundą Austrijos duomenų apsaugos tarnybai (APD) dėl „ChatGPT“ „haliucinacijų“, kurios pažeistų BDAR principus.

„noyb“ direktorius Maxas Schremsas teigė, kad jo skundą sukėlė tai, jog „ChatGPT“ nepateikė tikslios jo gimimo datos ir pakeitė ją toli gražu neprognozuojamu spėjimu, o pokalbių robotas neinformuoja vartotojų, kad neturi teisingų duomenų, kad galėtų atsakyti į užklausą.

Pranešama, kad dirbtinio intelekto bendrovė atsisakė taisyti ar ištrinti neteisingus atsakymus ir neatskleidžia jokios informacijos apie tvarkomus duomenis, jų šaltinius ar gavėjus.

Nuo tada, kai 2023 m. rugpjūčio mėn. įsigaliojo DSA, pagrindinės internetinės platformos ir paieškos sistemos („VLOP“ ir „VLOSE“) privalo teikti viešai prieinamas ir skaidrias reklamos saugyklas.

Naujoje „Mozilla“ ataskaitoje, parengtoje bendradarbiaujant su „CheckFirst“, nagrinėjama ši problema, susijusi su 11 bendrovių, įskaitant „AliExpress“, „Apple App Store“, „Bing“, „Booking.com“, „Alphabet“ („Google“ paieška ir „YouTube“), „LinkedIn“ arba „Meta“ („Facebook“ ir „Instagram“), siūlomomis paslaugomis.

Ataskaitoje atkreipiamas dėmesys į „didelius platformų skirtumus“ ir teigiama, kad nė viena iš jų neturi „visiškai veikiančios reklamos saugyklos ir nė viena nesuteiks tyrėjams ir pilietinės visuomenės grupėms įrankių ir duomenų, reikalingų veiksmingai stebėti VLOPs reklamos poveikį artėjančiuose Europos rinkimuose“ (per GDPRtoday).

  

Naujienos iš Europos šalių narių.

Belgijos duomenų apsaugos tarnyba (APD) balandžio 2 d. nusprendė, kad vartotojo terminalo skaitmeninio piršto atspaudo rinkimas („piršto atspaudų ėmimas internetu“) iš principo turėtų būti grindžiamas atitinkamo asmens sutikimu.

Ši technika leidžia duomenų valdytojui pasiūlyti paslaugas, kurios identifikuoja svetainės lankytoją net naršant inkognito režimu arba naudojant VPN, priskiriant jam unikalų identifikatorių.

Kartu su naudotojo buvimo vieta šis identifikatorius leidžia stebėti, be kita ko, naudotojo apsilankymų skaičių.

APD skyrė įspėjimą konkrečiai už informacijos nepateikimą ir atitinkamo asmens kontaktinių duomenų naudojimą rinkodaros el. laiškams siųsti.

Čekijos duomenų apsaugos tarnyba (APD) po apeliacijos kibernetinio saugumo ir antivirusinės sistemos bendrovei „Avast“ skyrė 13,7 mln. eurų baudą – tai didžiausia kada nors APD skirta bauda.

Prieš pasidalijusi su trečiosiomis šalimis rinkos analizės tikslais, bendrovė neanonimizavo daugiau nei 100 milijonų vartotojų naršymo duomenų.

Verta prisiminti, kad vasario mėnesį „Avast“ taip pat buvo sankcionuota Federalinės prekybos komisijos (FTC) Jungtinėse Valstijose ir buvo priversta sumokėti daugiau nei 18 mln. JAV dolerių.

Dėl tų pačių nusikaltimų ji taip pat yra kolektyvinio skundo Nyderlanduose objektas.

Suomijoje programišius, atsakingas už įsilaužimą į pacientų įrašus Vastaamo psichoterapijos centre ir pareikalavęs 400 000 eurų išpirkos už pavogtus duomenis, Uusimaa Vakarų apygardos teismo buvo nuteistas šešeriems metams ir trims mėnesiams kalėjimo. 

Įsilaužimas apima maždaug 33 000 pacientų įrašus – tai precedento neturintis aukų skaičius Suomijos teisinėje istorijoje. 

Tuo metu APD skyrė „Vastaamo“ 608 000 eurų administracinę baudą už BDAR pažeidimą, įsipareigojimų dėl saugaus asmens duomenų tvarkymo nevykdymą ir delsimą pranešti apie duomenų saugumo pažeidimą.

Buvęs bendrovės generalinis direktorius pernai buvo nuteistas kalėti tris mėnesius, jų vykdymas buvo lygtinai nuteistas už tai, kad neapsaugojo jautrių asmens duomenų.

Nuo to laiko bendrovė pateikė bankroto bylą.

Nyderlanduose telekomunikacijų grupei „Odido“, anksčiau vadinusiai „T-Mobile Nederland“, skirta 175 000 eurų bauda. skaitmeninės infrastruktūros inspekcijos dėl neteisingo srauto duomenų apdorojimo, įgyvendinant bendrą projektą su nacionaline statistikos agentūra.

Projekto tikslas buvo sukurti algoritmą, galintį teikti informaciją apie didelių žmonių grupių judėjimą, tačiau „Odido“ procesai pažeidė privatumo įstatymus: „Odido“ pasirūpino apdorotų duomenų pseudonimizavimu, tačiau nė vienas klientas nebuvo informuojamas apie tyrimą.

Graikijos duomenų apsaugos tarnyba (APD) skyrė 2 995 140 eurų baudą Graikijos paštui. už tai, kad nebuvo įgyvendintos tinkamos saugumo priemonės, dėl ko įvyko duomenų saugumo pažeidimas, paveikusis daugiau nei 4 milijonus žmonių.

Ispanijos duomenų apsaugos agentūra (AEPD) nusprendė bankui skirti 2 000 000 eurų baudą. už tai, kad nebuvo gautas asmenų, kurių asmens duomenys tvarkomi, sutikimas.

Duomenų valdytojas, pripažinęs savo pažeidimą, galiausiai sumokėjo sumažintą 1 200 000 eurų baudą. 

Iš tiesų, Ispanijos įstatymas (39/2015) dėl administracinių procedūrų leidžia kontrolieriui pripažinti atsakomybę už įtariamą pažeidimą ir (arba) sumokėti AEPD tyrimo etape pasiūlytą baudą mainais už baudos sumos sumažinimą 40 %.

AEPD taip pat skyrė duomenų valdytojui 3 500 000 eurų baudą už tai, kad šis neatliko tinkamo rizikos vertinimo. ir kuri nepaisė išvengiamų saugumo spragų, dėl to įvyko duomenų nutekėjimas, paveikusis 1,3 mln. žmonių.

Švedijoje Duomenų apsaugos tarnyba (APD) skyrė papeikimą duomenų valdytojui už tai, kad šis prašė duomenų subjektų pateikti savo asmens tapatybės dokumento kopiją. taip pat paštu pasirašytus dokumentus, susijusius su prašymu ištrinti duomenis, kai nebuvo pagrįstų priežasčių abejoti atitinkamų asmenų tapatybe.

 

„Grindr“ buvo pareikštas kolektyvinis ieškinys Jungtinėje Karalystėje. teigdama, kad LGBTQ pažinčių programėlė su reklamuotojais dalijosi neskelbtina informacija apie savo naudotojus, pavyzdžiui, jų ŽIV statusą ir seksualinę orientaciją.

BBC pranešime teigiama, kad programėlė neteisėtai rinko šiuos duomenis ir dalinosi jais su trečiosiomis šalimis (per GDPRtoday).

Gegužės 3 d. EBPO Taryba priėmė Dirbtinio intelekto principų pataisas.

Reaguojant į naujausius dirbtinio intelekto technologijų pokyčius, įskaitant generalistinio ir generatyvinio dirbtinio intelekto atsiradimą, atnaujinti principai tiesiogiai sprendžia su dirbtiniu intelektu susijusius iššūkius, susijusius su privatumu, intelektinės nuosavybės teisėmis, saugumu ir informacijos vientisumu.

Jungtinėse Valstijose JAV Užsienio žvalgybos stebėjimo įstatymo (FISA) 702 skirsnis ką tik buvo atnaujintas dvejiems metams.

Šį skirsnį, leidžiantį ribotą tam tikrų pranešimų stebėjimą be orderio, Kongresas turi reguliariai atnaujinti.

Pranešama, kad balsavimas buvo prieštaringas, nes Kongresas svarstė kelis pasiūlymus atnaujinti įstatymo tekstą: anot „Associated Press“, nesutarėma, ar FTB turėtų būti ribojamas įstatymo naudojimas šnipinėjant amerikiečius.

Senatas įstatymo projektą galiausiai priėmė balandžio 20 d., atlikdamas tik minimalius teksto pakeitimus.

Balandžio 23 d. Senatas priėmė įstatymą „Amerikiečių apsauga nuo užsienio priešininkų kontroliuojamų programų“ – įstatymo projektą, kuris plačiai apibūdinamas kaip „TikTok“ draudimas.

JAV prezidentas Joe Bidenas ką tik pasirašė įstatymą, kuris privers Kinijos platformą atskirti savo veiklą JAV nuo patronuojančios bendrovės „ByteDance“ veiklos arba sutikti, kad JAV piliečiai nebegalės naudotis šia paslauga. „TikTok“ jau paskelbė apie teisinius veiksmus.

JAV federalinės prekybos komisijos (FTC) balandžio 15 d. siūlomame įsakyme psichikos sveikatos priežiūros telemedicinos bendrovė kaltinama pažeidus privatumo politiką ir klaidinant klientus dėl paslaugų atšaukimo politikos.

Federalinė prekybos komisija (FTC) ketina skirti 7 milijonų dolerių baudą bendrovei „Cerebral“ ir jos generaliniam direktoriui už tai, kad jie rinko asmeninę informaciją apie savo klientus ir vėliau ją pardavė trečiosioms šalims.

Europos Žmogaus Teisių Teismas šiuo metu nagrinėja kelis tūkstančius bylų dėl Turkijoje priimtų apkaltinamųjų nuosprendžių už narystę ginkluotoje teroristinėje organizacijoje, pagrįstų tariamu užšifruotos pranešimų siuntimo programėlės „Bylock“ naudojimu.

Pareiškėjai teigia, kad jų apkaltinamieji nuosprendžiai buvo pagrįsti tariamu šios programėlės, kuri, anot Turkijos teismų, buvo sukurta išskirtinai FETÖ/PDY narių naudojimui, prisidengiant pasauline programėle, naudojimu.

Jų teigimu, bet kas, pasinaudojęs „Bylock“, iš principo galėtų būti nuteistas vien dėl to už priklausymą ginkluotai teroristinei organizacijai.