„Legal Watch“ Nr. 69 – 2024 m. kovas.

Duomenų saugumas, kibernetinės grėsmės: dabartinė situacija ir gairės.

Šių metų pradžioje kelios organizacijos skelbia savo ataskaitas apie kibernetinio saugumo grėsmių būklę: tai galimybė įvertinti riziką ir pateikti patarimų, kaip apsaugoti asmens duomenis.

Europos Sąjungos kibernetinio saugumo agentūra (ENISA) paskelbė savo ataskaitą apie kibernetinio saugumo grėsmes iki 2030 m.

Ataskaitoje nurodomos grėsmės, susijusios su programinės įrangos priklausomybėmis ir dezinformacijos kampanijomis, taip pat su žmogaus klaidomis susijusios grėsmės, kaip keliančios ypatingą susirūpinimą.

Tarp ilgalaikių grėsmių agentūra nurodo įgūdžių trūkumą ir paslaugų teikėjų nesėkmes, taip pat su dirbtiniu intelektu susijusių grėsmių augimą.

Iniciatyva „Veiksmai prieš kibernetinius nusikaltimus“ taip pat dalijasi savo grėsmės Prancūzijoje analize, skelbdama metinę veiklos ataskaitą. 

Sukčiavimas apsimetant išlieka pagrindine grėsme: jis įvairėja ir tampa vis sudėtingesnis. Pagrindinės sukčiavimo apsimetant formos apima kelių eismo taisyklių pažeidimus, vaikų pornografiją arba netikrą techninę pagalbą.

Be to, sukčiavimo atvejų, susijusių su netikrais banko konsultantais, lygis išlieka aukštas.

Paskyrų įsilaužimas yra dar viena didelė grėsmė, kurios pasekmės gali būti tapatybės vagystė ir finansinė žala.

Galiausiai, išpirkos reikalaujančių programų atakos ir kenkėjiškos programos (virusai) yra reikšmingos ir vis dažnėjančios pagalbos prašymų aukoms priežastys.

Kovo 27 d. CNIL paskelbė ataskaitą apie saugumo pažeidimus per pastaruosius penkerius metus.

Ji pažymi, kad privatus sektorius yra atsakingas už maždaug du trečdalius CNIL pateiktų pažeidimų deklaracijų, įskaitant 39 MVĮ pateiktas % deklaracijas.

Tuo tarpu viešajam sektoriui tenka 22 % pranešimai.

Kalbant apie pasiskirstymą pagal veiklos rūšis, viešojo administravimo įstaigos sudaro 18 % pranešimų.

Privačiame sektoriuje labiausiai atstovaujama specializuotai, mokslinei ir techninei veiklai, po jos seka finansinė ir draudimo veikla.

Su žmonių sveikata susijusi veikla taip pat sudaro 12 % pranešimų.

Atsižvelgdama į tai ir atsižvelgdama į naujas duomenų saugumo rizikas, CNIL kovo pabaigoje atnaujino savo duomenų saugumo vadovą.

Šioje naujoje versijoje vadovas pertvarkomas į penkias dalis: naudotojai, įranga, duomenų kontrolė, pasirengimas incidentams ir galiausiai dėmesys ypač aktualioms problemoms.

CNIL pristato naujus informacinius lapus, ypač apie dirbtinį intelektą (DI), mobiliąsias programėles, debesų kompiuteriją ir taikomųjų programų sąsajas (API).

Vadove taip pat pateikiami informaciniai lapeliai apie rizikos analizę ir šifravimą.

Dokumento pabaigoje pateiktas kontrolinis sąrašas leidžia peržiūrėti atsakingo asmens taikomas priemones ir įvertinti jo saugumo lygį.

Tarp rekomenduojamų apsaugos priemonių dažnai minimas ir vis dažniau rekomenduojamas daugiafaktorinis autentifikavimas (MFA), siekiant apsaugoti duomenų bazes nuo nesąžiningų bandymų prisijungti.

CNIL ką tik pradėjo viešas konsultacijas dėl sprendimų, naudojančių AMF, atitikties BDAR.

Naujausias pavyzdys patvirtina poreikį išsiaiškinti AMF naudojimo kontekstą: Ispanijoje bendrovė buvo nuteista teisme už tai, kad primetė savo darbuotojams AMF jų asmeniniuose telefonuose, kai įstatymas įpareigojo ją šiuo tikslu suteikti jiems įmonės mobiliuosius telefonus.

Savo rekomendacijoje CNIL nagrinėja teisinio pagrindo nustatymo, renkamų duomenų kiekio mažinimo, saugojimo laikotarpių ir atitinkamų asmenų teisių įgyvendinimo pagarbos klausimus.

Pateikiami praktiniai privatumą gerbiančio daugiafaktorinio autentifikavimo įgyvendinimo pavyzdžiai.

 

      

Prancūzijos konkurencijos tarnyba kovo 20 d. skyrė 250 mln. eurų baudą bendrovei „Google“ už tai, kad ji nesilaikė savo įsipareigojimų ir naudojosi spaudos straipsniais savo dirbtinio intelekto sistemai (Bard/Gemini) apmokyti. 

Šis sprendimas, jau ketvirtas šioje byloje per ketverius metus, yra 2019 m. liepos 24 d. priimto gretutinių teisių įstatymo, kuriuo siekiama sudaryti sąlygas subalansuotoms leidėjų, spaudos agentūrų ir skaitmeninių platformų deryboms, konteksto dalis.

Balandžio 8 d. CNIL paskelbė rekomendacijas dėl dirbtinio intelekto naudojimo gerbiant asmens duomenis.

Jų tikslas – pateikti konkrečius, pavyzdžiais iliustruotus atsakymus į teisinius ir techninius iššūkius, susijusius su BDAR taikymu dirbtiniam intelektui.

Šiose pradinėse rekomendacijose aptarti klausimai visų pirma leidžia nustatyti taikytiną teisinį režimą, subjektų teisinę kvalifikaciją, prireikus atlikti poveikio analizę ir integruoti duomenų apsaugą nuo sistemos projektavimo etapo (projektuojant užtikrinta privatumas).

 

Europos institucijos ir įstaigos

Kovo 11 d. Europos duomenų apsaugos priežiūros pareigūnas (EDPS) nustatė, kad Europos Komisija, naudodama „Microsoft 365“, pažeidė keletą pagrindinių duomenų apsaugos taisyklių.

Visų pirma, „Komisija nenumatė tinkamų apsaugos priemonių, kad užtikrintų, jog už ES / EEE ribų perduodamiems asmens duomenims būtų taikomas apsaugos lygis, iš esmės lygiavertis tam, kuris garantuojamas ES / EEE“.

Be to, savo sutartyje su „Microsoft“ Komisija nepakankamai tiksliai nurodė, kokio tipo asmens duomenys turėtų būti renkami ir kokiais aiškiais bei tiksliais tikslais jie turėtų būti renkami naudojant „Microsoft 365“ (...).

EDAV nustatė Komisijai taisomąsias priemones, įskaitant visų duomenų srautų, atsirandančių dėl „Microsoft 365“ naudojimo, perdavimo „Microsoft“ ir jos filialams bei subrangovams, esantiems šalyse už ES / EEE ribų, kurioms netaikomas sprendimas dėl tinkamumo, sustabdymą nuo 2024 m. gruodžio 9 d.

Nors šis sprendimas susijęs su Europos institucijomis, EDAPP argumentai yra daug platesnio masto ir gali turėti įtakos „Microsoft 365“ naudojimui ES valstybėse narėse.

Kovo 15 d. Europos ombudsmenė raštu kreipėsi į Europos Komisiją, klausdama, kaip ji naudoja dirbtinį intelektą savo sprendimų priėmimo procese.

Ombudsmenas pažymėjo, kad „nors sparti dirbtinio intelekto plėtra gali pagerinti darbo kokybę ir efektyvumą, ji kelia didelių iššūkių tikslumo, galimo šališkumo, paaiškinamumo ir žmogaus kontrolės srityse“.

Ji taip pat pabrėžė, kad viešojo administravimo institucijos turi užtikrinti, jog dirbtinis intelektas tik padėtų žmonėms priimti sprendimus, o ne juos pakeistų.

Klausimai daugiausia susiję su dirbtinio intelekto naudojimu trijose konkrečiose srityse: visuomenės atsiliepimų analizė, galimų ES konkurencijos taisyklių pažeidimų nustatymas ir skundų nagrinėjimas.

Nors Europos Parlamentas ką tik balsavo dėl Dirbtinio intelekto reglamento, įsigaliojo reglamentai dėl skaitmeninių rinkų (DMA) ir skaitmeninių paslaugų (SPA), o Komisija jau pradėjo kelias procedūras pagal šiuos du tekstus.

Kovo 25 d. ji pradėjo DMA pagrindu vykdomą procesą prieš „Alphabet“, „Apple“ ir „Meta“.

Kalbant apie „Apple“ ir „Alphabet“, Komisija ketina nustatyti, ar priemonės, įgyvendintos atsižvelgiant į jų įsipareigojimus, susijusius su programėlių parduotuvėmis, prieštarauja Viešųjų pirkimų įstatymui, kuris reikalauja, kad prieigos valdytojai leistų programėlių kūrėjams nemokamai „nukreipti“ vartotojus į pasiūlymus, kurie nėra įtraukti į jų programėlių parduotuves.

Kalbant apie „Meta“, Komisija pradėjo procedūrą, siekdama nustatyti, ar neseniai ES vartotojams įdiegtas „mokėjimo arba sutikimo“ modelis atitinka duomenų apsaugos įstatymus, pagal kuriuos duomenų saugotojai privalo gauti vartotojų sutikimą, kai ketina sujungti arba kryžmiškai naudoti jų asmens duomenis.

Ši naujausia procedūra papildo Europos duomenų apsaugos valdybos tuo pačiu klausimu inicijuotąją procedūrą.

Kovo 14 d. Komisija taip pat pradėjo oficialią procedūrą pagal Skaitmeninių paslaugų aktą, siekdama nustatyti, ar „AliExpress“ pažeidė Skaitmeninių paslaugų aktą srityse, susijusiose su rizikos valdymu ir mažinimu, turinio moderavimu ir vidaus skundų nagrinėjimo mechanizmu, reklamos ir rekomendacijų sistemų skaidrumu, prekybininkų atsekamumu ir tyrėjų prieiga prie duomenų.

Tą pačią dieną ji taip pat išsiuntė „LinkedIn“ prašymą pateikti informaciją apie galimai tikslinę reklamą, pagrįstą jautriais duomenimis.

Kovo 4 d. Europos Komisija surengė pirmąjį aukšto lygio susitikimą tarpvalstybinių duomenų srautų klausimais.

Susitikime dalyvavo Teisingumo Komisijos narys, Europos duomenų apsaugos valdybos pirmininkas, taip pat ministrai ir duomenų apsaugos institucijų vadovai iš 15 šalių ir teritorijų, dėl kurių ES yra priėmusi sprendimą dėl tinkamumo.

Tikslas – skatinti glaudesnį šių dalyvių bendradarbiavimą duomenų apsaugos srityje.

Kovo 7 d. nutartyje Europos Sąjungos Teisingumo Teismas (ESTT) patvirtino, kad reklamuotojų naudojama TC eilutė („TC eilutė“), skirta vartotojų nuostatoms užkoduoti, „yra informacijos apie atpažįstamą vartotoją ir todėl yra asmens duomenys, kaip apibrėžta BDAR“.

Kai TC eilutėje esanti informacija susiejama su identifikatoriumi, pvz., be kita ko, naudotojo įrenginio IP adresu, ši informacija gali būti naudojama to naudotojo profiliui sukurti ir jam identifikuoti. 

Be to, „IAB Europe“ turi būti laikoma „bendru duomenų valdytoju“, kaip apibrėžta BDAR. (...)

Atrodo, kad asociacija daro įtaką duomenų tvarkymo operacijoms, kai naudotojų sutikimo nuostatos įrašomos TC eilutėje, ir kartu su savo nariais nustato šių operacijų tikslus ir jas pagrindžiančias priemones. 

Kovo 7 d. ESTT priėmė sprendimą dėl apeliacijos dėl ES teismo sprendimo dėl asmens duomenų sąvokos.

 Jis nusprendė, kad atpažįstamumas nesusijęs su tuo, kad „vidutinis skaitytojas“ gali atpažinti asmenį, bet priklauso nuo to, ar yra „papildomų veiksnių... būtinų tapatybei nustatyti... [šie veiksniai] gali būti prieinami ne tik duomenų valdytojui, bet ir kitam asmeniui“ (žr. C-582/14, 39 ir 41 punktus).

Tribunolas taip pat suklydo teigdamas, kad „pagrįstai tikėtinas“ priemones, kuriomis galima nustatyti atitinkamo asmens tapatybę, buvo ribotos.

Teismas turėjo atsižvelgti į ieškovo tapatybei nustatyti reikalingas išlaidas ir laiką, kad nustatytų, ar pastarąjį galima nustatyti „pagrįstomis priemonėmis“.

Šis sprendimas buvo susijęs su duomenų apsaugos reglamento, taikomo Europos institucijoms, kurių apibrėžimai yra identiški BDAR apibrėžtiesiems, taikymu.

„Kaizener“ svetainėje rasite lentelių seriją, kurioje išvardytos daugelis Europos reguliavimo iniciatyvų skaitmeniniame sektoriuje ir jų įgyvendinimo būklė. 

 

Naujienos iš Europos šalių narių.

Belgijos duomenų apsaugos tarnyba kovo 15 d. paskelbė sprendimą dėl dirbtinio intelekto modelių mokymui naudojamų duomenų tvarkymo ir vėlesnio atskiro šių modelių naudojimo komerciniais tikslais teisinio pagrindo. 

APD manė, kad duomenų valdytojas negali teigti, jog naudojimas yra suderinamas (BDAR 6 straipsnio 4 dalis), nes mokymo tikslas nuo pat pradžių nebuvo aiškiai nustatytas.

Tolesniam naudojimui taip pat reikėjo atskiro teisinio pagrindo.

Duomenų valdytojas taip pat privalo suteikti savo klientams teisę nesutikti su duomenų naudojimu modelių mokymui.

Belgijos duomenų apsaugos institucija taip pat nusprendė, kad duomenų valdytojas pažeidė BDAR 5(1) straipsnį, laiku neištrynęs buvusio darbuotojo el. pašto paskyros.

APD nurodė, kad pašto dėžutė turėtų būti išjungta paskutinę darbo dieną, o automatinis atsakymas turėtų būti išjungtas per vieną mėnesį arba tam tikromis išimtimis – per tris mėnesius.

Panašiu atveju Italijos duomenų apsaugos tarnyba (APD) nusprendė, kad duomenų valdytojas pažeidė duomenų kiekio mažinimo principą, nes neaktyvavo buvusio darbuotojo el. pašto paskyros, nurodydamas poreikį nukreipti klientus į kitą paskyrą.

Duomenų valdytojui skirta 15 000 eurų bauda.

Italijos duomenų apsaugos tarnyba (APD) skyrė 800 000 eurų baudą subrangovui už tai, kad šis pasamdė antrinį subrangovą be išankstinio duomenų valdytojo leidimo ir už pavėluotą pranešimą duomenų valdytojui apie duomenų saugumo pažeidimą.

Taip pat buvo skirtos baudos penkioms įmonėms, kurios naudojo veido atpažinimo technologiją, kad stebėtų lankomumą darbo vietoje.

Institucija nustatė, kad duomenų apsaugos priemonės buvo nepakankamos, kad žmonės negavo reikiamos informacijos ir kad buvo galima naudoti mažiau įžeidžiančią sistemą.

Italijos duomenų apsaugos tarnyba (APD) kovo 8 d. taip pat pradėjo tyrimą prieš „OpenAI“, kuri paskelbė apie naujo dirbtinio intelekto modelio, pavadinto „Sora“, paleidimą.

Šis modelis galėtų sukurti dinamiškas, realistiškas ir vaizdingas scenas iš kelių tekstinių instrukcijų.

APD paprašė „OpenAi“ pateikti keletą paaiškinimų, atsižvelgiant į „Sora“ pasekmes vartotojų asmens duomenų tvarkymui Europos Sąjungoje ir ypač Italijoje.

Kovo 25 d. Portugalijos duomenų apsaugos tarnyba (APD) nusprendė įpareigoti „Worldcoin Foundation“ laikinai apriboti „Orb“ biometrinių duomenų rinkimą šalies teritorijoje, siekiant apsaugoti piliečių, ypač nepilnamečių, teises.

Sprendimu „Worldcoin Foundation“, kaip duomenų valdytojui, nustatoma skubi laikinoji apsaugos priemonė, kol bus baigtas tyrimo procesas.

Panašų sprendimą priėmė ir Ispanija.

Suomijos duomenų apsaugos tarnyba (APD) skyrė 856 000 eurų baudą IT mažmenininkui už tai, kad šis nenustatė savo klientų duomenų saugojimo laikotarpio.

APD taip pat atsižvelgė į tai, kad Asmens duomenų, susijusių su vienu pirkimu internetu, tvarkymas nereikalauja sukurti kliento paskyros.

Vokietijoje Berlyno teismas nusprendė, kad duomenų valdytojas, atsakydamas į prašymą susipažinti su duomenimis, negali apsiriboti abstraktaus tvarkymo aprašymo pateikimu.

Pareigūnas nurodė neproporcingas pastangas.

Teismo teigimu, šie argumentai gali būti taikomi tik labai išimtiniais atvejais.

Islandijos duomenų apsaugos tarnyba (APD) skyrė „Stjörnuna ehf“ 10 059,92 euro (1 500 000 ISK) baudą. „Subway“ operatorius Islandijoje neteisėtai stebėjo savo darbuotojus tinkamai jų neinformavęs.

Austrijoje Aukščiausiasis administracinis teismas nusprendė, kad algoritmas Darbo ieškančių asmenų įdarbinimo tikimybės nustatymas yra automatizuotas sprendimų priėmimas, kaip apibrėžta BDAR 22 straipsnyje, net jei rezultatą naudoja tik viešoji įstaiga, siekdama teikti darbo ieškantiems asmenims tikslines konsultacijas dėl įdarbinimo.

 

Britų vyriausybė kovo mėnesį paskelbė atsakingo dirbtinio intelekto įsigijimo ir diegimo žmogiškųjų išteklių ir įdarbinimo sektoriuje vadovą.

Kovo 21 d. JT priėmė išsamią rezoliuciją dėl dirbtinio intelekto.

Organizacija pripažįsta, kad dirbtinis intelektas gali padėti paspartinti 17 darnaus vystymosi tikslų įgyvendinimą, ir pabrėžia, kad reikia skubiai „pasiekti pasaulinį sutarimą dėl saugių, patikimų ir patikimų dirbtinio intelekto sistemų“.

Rezoliucijoje valstybės narės raginamos priimti dirbtinio intelekto reglamentus ir politiką įvairiomis temomis, įskaitant privatumo apsaugą.

Asamblėja paragino visas valstybes nares ir suinteresuotąsias šalis „susilaikyti nuo dirbtinio intelekto sistemų, kurių negalima valdyti laikantis tarptautinės žmogaus teisių teisės arba kurios kelia pernelyg didelę riziką žmogaus teisių įgyvendinimui, arba nutraukti tokių sistemų naudojimą“.

Kovo 26 d. „Techcrunch“ straipsnyje teigiama, kad Kalifornijos federalinis teismas paviešino kelis dokumentus, kurie yra vartotojų pateikto kolektyvinio ieškinio prieš „Meta“ dalis.

Pranešama, kad 2016 m. „Facebook“ pradėjo slaptą projektą, kurio tikslas buvo perimti ir iššifruoti tinklo srautą tarp žmonių, naudojančių „Snapchat“ programėlę ir jos serverius.

Tikslas buvo suprasti vartotojų elgseną ir padėti „Facebook“ konkuruoti su „Snapchat“.

Kovo 25 d. Teisingumo departamentas ir FTB paskelbė, kad milijonai amerikiečių internetinių paskyrų buvo užfiksuoti Kinijos įsilaužimo sąmokslo metu.

Septyni Kinijos piliečiai apkaltinti didelio masto kibernetinės atakos kampanijos vykdymu.

Teisingumo departamentas teigė, kad įsilaužėliai taikėsi į Amerikos ir užsienio Kinijos kritikus, įmones ir politikus.

Kovo 25 d. Floridos gubernatorius respublikonas pasirašė įstatymo projektą, draudžiantį vaikams iki 14 metų naudotis socialiniais tinklais.

14 ar 15 metų nepilnamečiai, norėdami sukurti paskyrą, turės gauti aiškų tėvų sutikimą.

Kai taisyklės įsigalios 2024 m. liepos 1 d., tokios įmonės kaip „Facebook“, „Instagram“ ir „TikTok“ iš principo privalės uždaryti esamas paskyras, kurios neatitinka šių reikalavimų, ir ištrinti visus atitinkamus asmens duomenis.

Ši priemonė buvo kritikuojama ir tikimasi, kad ji bus ginčijama teisme remiantis konstitucinėmis teisėmis į saviraiškos laisvę.

Tuo tarpu Jungtinės Valstijos svarsto galimybę uždrausti „TikTok“ visoje šalyje.

Kovo 13 d. Atstovų Rūmai priėmė vadinamąjį „Amerikiečių apsaugos nuo užsienio priešininkų kontroliuojamų paraiškų įstatymą“.

Jei Senatas priims ir įsigalios, „TikTok“ turės atskirti vaizdo įrašų platformą nuo jos Kinijos patronuojančios bendrovės „ByteDance“ arba atimti amerikiečių prieigą prie programėlės.

Kovo 18 d. Seule vykusiame trečiajame demokratijos viršūnių susitikime Pietų Korėja, Suomija, Vokietija, Airija, Japonija, Lenkija ir Korėjos Respublika prisijungė prie Jungtinių Valstijų bendrame pareiškime dėl pastangų kovoti su komercinių šnipinėjimo programų platinimu ir netinkamu naudojimu.

Šalys įsipareigoja savo nacionalinėse sistemose nustatyti tvirtas apsaugos priemones, skirtas kovoti su šios stebėjimo technologijos platinimu ir netinkamu naudojimu.

Kuveite Informacijos ir ryšių technologijų reguliavimo tarnyba (CITRA) paskelbė naują asmens duomenų apsaugos įstatymą.