Veille juridique

El. laiškų sekimo pikseliai: CNIL paaiškina teisinę sistemą

„Legal Watch“ Nr. 94 – 2026 m. balandžio mėn. 

 

El. laiškų sekimo pikseliai: CNIL paaiškina teisinę sistemą

Balandžio 14 d. CNIL paskelbė rekomendacijas dėl sekimo pikselių el. laiškuose. Rekomendacija skirta visoms privačioms ir viešosioms organizacijoms, kurios naudoja sekimo pikselius, taip pat techninių paslaugų teikėjams, kuriais jos gali naudotis.

Sekimo pikselis praktiškai yra paveikslėlis, dažnai labai mažas, kuris bus rodomas el. laiško turinyje per hipersaitą.

Pikselio įtraukimas yra nurodymas vartotojo terminalui siųsti tikslinę informaciją (pikselio identifikatorių, IP adresą ir kt.) ją įkėlusiems subjektams.

Pikselis leidžia žinutės siuntėjui matyti, ar žinutė buvo atidaryta, ir atitinkamai pakoreguoti savo komunikaciją, pavyzdžiui, dėl siuntimo dažnumo, žinučių turinio ar potencialių klientų sąrašo atnaujinimo.

CNIL primena, kad tokiai praktikai reikalingas išankstinis el. laiškų gavėjų sutikimas pagal E. privatumo direktyvos 5 straipsnį, perkeltą į Prancūzijos duomenų apsaugos įstatymo 82 straipsnį.

Tačiau leidžiama išimtis „transakciniams“ el. laiškams, susijusiems su gavėjo užsakyta paslauga, pavyzdžiui, siekiant nustatyti gavėjus, kurie nebeatidaro savo el. laiškų, ir pašalinti juos iš adresatų sąrašų.

Išimtis taip pat taikoma el. laiškams dėl paskyros įspėjimų, pranešimų, susijusių su tokiais įvykiais kaip siuntinio išsiuntimas, užsakymų patvirtinimai ir pirkimo sąskaitos faktūros, slaptažodžių priminimai ir atkūrimas, saugumo įspėjimai ir pranešimai apie pažeidimus ir kt.

Išskyrus šias išimtis, duomenų valdytojas, prieš integruodamas sekimo pikselį į el. laišką, privalo gauti išankstinį gavėjų sutikimą bet kokiam adresui, surinktam nuo balandžio 14 d., CNIL rekomendacijos datos.

Šis sutikimas, pavyzdžiui, gali būti gautas renkant adresą arba per el. laiške įterptą nuorodą be sekimo pikselio.

Jei adresai surinkti iki šios datos, veikėjų prašoma per tris mėnesius aiškiai informuoti gavėjus, kad jie galėtų pateikti prieštaravimą.

Šis leidinys sukelia reakciją, nes priverčia labai daug pareigūnų greitai imtis atitikties priemonių.

Ar priežiūros institucija šiuo klausimu yra griežtesnė, ar atlaidesnė nei jos kolegos Europoje?

Dabar atrodo, kad tai vienas iš nedaugelio, aiškiai nurodančių, kokiame kontekste bus baudžiami sekimo pikseliai.

Tačiau tokio tipo duomenų tvarkymą jau daugelį metų pabrėžia Europos duomenų apsaugos valdyba (EDAV), o prieš tai – jos pirmtakė G29 (žr. visų pirma gaires WP118 ir 2/2023).

Europos pozicija taip pat griežtesnė nei CNIL, nes joje minimas visiškas stebėjimo pikselių draudimas be pranešimo gavėjo sutikimo.

Atrodo, kad per viešas konsultacijas dėl rekomendacijos projekto gautos pastabos paskatino CNIL stengtis įtikti visiems: todėl ji pakeitė savo poziciją, siekdama didesnio lankstumo dėl el. laiškų, susijusių su gavėjo prašoma paslauga.

Tačiau šios pozicijos įgyvendinimas greičiausiai bus sudėtingas.

Būtų pageidautina patikslinti išimties taikymo sritį, kad būtų galima geriau nustatyti paslaugas, kurioms ji taikoma, pavyzdžiui, naujienlaiškius ar kitas gavėjų prenumeratas, dėl kurių kyla tam tikrų klausimų. CNIL (Prancūzijos duomenų apsaugos institucija) nurodo, kad ji rems duomenų valdytojus, ypač rengdama internetinius seminarus. Tikimasi, kad auditai ir sankcijų taikymas bus atliekami tik vėlesniame etape, nors Komisija šiandien nepateikia daugiau informacijos.

 

CNIL (Prancūzijos duomenų apsaugos tarnyba) paskelbė šabloninį dokumentą, skirtą padėti duomenų apsaugos pareigūnams (DAP) rengti ataskaitas apie savo veiklą. Nors tokia ataskaita nėra privaloma pagal BDAR, CNIL mano, kad tai naudinga geriausia praktika stebint atitiktį reikalavimams ir bendraujant su DAP.

Balandžio 28 d. CNIL taip pat patvirtino Prekybos aljanso (Alliance du Commerce) pateiktą elgesio kodeksą, kuriuo siekiama suteikti konkrečią pagalbą Prancūzijos drabužių ir avalynės sektoriaus mažmenininkams, kad jie atitiktų BDAR reikalavimus.

Vadovo tikslas – sustiprinti duomenų apsaugą pardavimo ir platinimo srityse, tiek parduotuvėse, tiek internetu.

Tai pirmasis nacionalinis kodeksas ir trečiasis CNIL (Prancūzijos duomenų apsaugos tarnybos) patvirtintas sektoriaus kodeksas, po Europos kodeksų CISPE (2021), skirtų debesų kompiuterijai, ir EUCROF (2024), susijusių su klinikiniais tyrimais sveikatos priežiūros srityje. Europoje įdiegta apie penkiolika kodeksų, su kuriais galima susipažinti šioje infografikoje.

2026 m. balandžio 24 d. dekretu vyriausybė, nepaisydama CNIL rekomendacijų dėl saugumo, nusprendė apibrėžti Nacionalinės sukčiavimo sąskaitų bylos (FNC-RF) techninius reikalavimus, kuriais siekiama sustiprinti kovą su bankų sukčiavimu.

Šiame faile, kuriuo per Prancūzijos banką dalijasi finansų įstaigos, yra įtariamų sukčiavimu sąskaitų IBAN numeriai.

Vyriausybės patvirtinta architektūra, anot CNIL, kelia maksimalią riziką, nes su mokėjimo paslaugų teikėjais ir jų subrangovais dalijamasi pilnomis ir sinchronizuotomis duomenų kopijomis paprasto teksto formatu.

Balandžio 17 d. DGSI (Vidaus saugumo generalinis direktoratas) paskelbė pranešimą, kuriame įspėjama apie riziką, susijusią su užsienio programų ir sprendimų naudojimu darbo vietoje. „Be padidėjusio kibernetinio saugumo rizikos poveikio, šios priemonės, dažnai sukurtos ne Europos įmonių, gali kelti teisinę, saugumo, konfidencialumo, priklausomybės ar paslaugų teikimo sutrikimų riziką.“

Pastaboje pateikiami įvairūs atvejai, kurie turėtų paskatinti visus naudotojus būti atsargiems dalijantis informacija ir suteikiant prieigą.

Balandžio 30 d. Prancūzijos Valstybės Taryba paskelbė savo sprendimą dėl laipsniško atsako principo, taikomo „Hadopi“ teisių perėmėjai ARCOM, ir panaikino kelis 2010 m. kovo 5 d. dekreto aspektus dėl privatumo teisių pažeidimo. Sistema buvo skirta kovoti su muzikos ir filmų piratavimu P2P tinkluose. Gavusi keturių skaitmeninių teisių gynimo grupių peticiją, Valstybės Taryba padarė reikiamas išvadas iš 2024 m. balandžio 30 d. Europos Sąjungos Teisingumo Teismo (ESTT) sprendimo, kuriame nurodoma, kad pakartotinės kryžminės nuorodos tarp tapatybės ir atsisiųstų kūrinių negali būti atliekamos be nepriklausomos priežiūros.

„Anthropic“ sprendimas neviešinti savo naujausio dirbtinio intelekto (DI) modelio „Mythos“ dėl kibernetinio saugumo rizikos sukėlė daugybę reakcijų.

„Mythos“ iš tiesų gali labai efektyviai nustatyti kompiuterio kodo pažeidžiamumus.

Ketvirtadienį, balandžio 23 d., paskelbtame pranešime Dirbtinio intelekto ir skaitmeninių technologijų taryba (CIANum) ragina „nepasileisti vyraujančiai panikai“ ir pateikia keletą pastabų:

„Dirbtinio intelekto diegimas siekiant atitikties reikalavimams: viešojo ir privačiojo sektorių subjektai, kurie nesistengs nuolat suprasti ir integruoti šių naujų naudojimo būdų, greitai bus palikti nuošalyje.“

Žmonių įtraukimas į pagrindinius etapus: nors dirbtinis intelektas yra vertinga priemonė kuriant, taisant ir testuojant programinę įrangą, dabar visiškas žmonių patirties atsisakymas, regis, garantuoja nesėkmę. 

Naujų pažeidžiamumų numatymas ir atitinkamas pataisų diegimas yra didelis iššūkis, ypač turint omenyje, kad daugelis žaidėjų jau yra pervargę.

Nacionalinis gyvybės mokslų ir sveikatos konsultacinis etikos komitetas (CCNE) ir Nacionalinis skaitmeninių technologijų konsultacinis etikos komitetas (CCNEN) balandžio 7 d. paskelbė bendrą nuomonę, skirtą skaitmeninėms neurotechnologijoms ir smegenų bei mašinų sąsajoms.

Nuomonėje pabrėžiama, kad šių technologijų plėtra „kelia didelių etinių klausimų, ypač susijusių su orumu, autonomija, minties laisve, privatumo apsauga ir teisingumu“.

Konkretūs klausimai susiję su neuroninių duomenų naudojimu, nemedicininėmis reikmėmis, galimu poveikiu tapatybei ir elgesiui bei vaikų ir paauglių apsauga.

Komitetai parengia rekomendacijų rinkinį, kuriame raginama būti ypač budriems dėl skaitmeninių neurotechnologijų naudojimo.

 

Europos institucijos ir įstaigos

Gegužės 7 d., po pirmųjų nesėkmingų bandymų, Europos įstatymų leidėjai pasiekė susitarimą susitarimas dėl „DI Omnibus“ reglamento, kuriuo siekiama iš dalies pakeisti ir supaprastinti Europos dirbtinio intelekto reglamentą.

Įmonės turės laiko iki 2027 m. pabaigos laikytis taisyklių, susijusių su didelės rizikos dirbtiniu intelektu, o dirbtiniu intelektu varomų mašinų tiekėjai bus aiškiai atleisti nuo tam tikrų įsipareigojimų.

Tuo pačiu metu „Omnibus“ reglamente įvedamas naujas draudimas dėl dirbtinio intelekto praktikos, susijusios su seksualinio ir intymaus turinio ar vaikų pornografijos kūrimu be sutikimo.

Oficialus patvirtinimo procesas vyksta, o galutinius pakeitimus planuojama paskelbti iki rugpjūčio mėnesio.

Vis daugiau šalių ketinant apriboti nepilnamečių prieigą prie socialinių tinklų, Europos Komisija balandžio 29 d. priėmė rekomendaciją, kuria ragina valstybes nares paspartinti Europos amžiaus patvirtinimo programėlės diegimą ir padaryti ją prieinamą iki metų pabaigos.

Komisija parengė šios programėlės generalinį planą, kuris pateikiamas kaip privatumą užtikrinantis ir leidžiantis vartotojams įrodyti, kad jie yra pilnamečiai, neatskleidžiant tikslaus amžiaus, tapatybės ar jokios kitos asmeninės informacijos.

Tačiau pranešama, kad kibernetinio saugumo konsultantas nustatė saugumo spragų, kurios gali pakenkti programos diegimui visoje šalyje.

Balandžio 29 d. Europos Komisija preliminariai padarė išvadą, kad „Meta“ platformos „Instagram“ ir „Facebook“ pažeidė Skaitmeninių paslaugų reglamentą (DSR), nes jos nepakankamai kruopščiai nustato, įvertina ir mažina riziką, susijusią su jaunesnių nei 13 metų nepilnamečių prieiga prie jų paslaugų.

Balandžio 22 d. vykusiame plenariniame posėdyje Europos duomenų apsaugos valdyba (EDAV) priėmė gaires, susijusias su asmens duomenų tvarkymu mokslinių tyrimų tikslais.

Komitetas taip pat įsteigė darbo grupę, kuriai pavesta paspartinti anoniminimo gairių rengimą.

Ji taip pat priėmė dvi nuomones dėl dviejų „Europrivacy“ sertifikavimo kriterijų rinkinių, siekdama juos patvirtinti kaip Europos duomenų apsaugos ženklus, iš kurių viena skirta naudoti kaip duomenų perdavimo priemonė.

Ankstesnėje plenarinėje sesijoje Europos duomenų apsaugos valdyba (EDAV) paskelbė dar vieną svarbų dokumentą: siekdama palengvinti organizacijų atitiktį BDAR ir sustiprinti nuoseklumą visoje Europoje, ji sukūrė duomenų apsaugos poveikio vertinimo (DPAV) modelį. Šis dokumentas atviras komentarams iki birželio 9 d.

Balandžio 21 d. Europos Sąjungos Teisingumo Teismas nusprendė, kad Vengrija, priimdama įstatymą, kuris stigmatizuoja ir marginalizuoja LGBTI+ asmenis, pažeidė Europos Sąjungos teisę.

Teismas taip pat atkreipia dėmesį, kad įstatymo pavadinimas šiuos asmenis prilygina už pedofiliją nuteistiems asmenims – „ši asimiliacija gali padidinti pirmųjų stigmatizaciją ir paskatinti neapykantos kurstymą jų atžvilgiu“.

Galiausiai Teismas nurodo, kad šis įstatymas pažeidžia BDAR tiek, kiek juo iš dalies pakeistas baudžiamųjų bylų registro įstatymas, siekiant išplėsti prieigą prie informacijos apie asmenis, nuteistus už pedofiliją.

Nors tokia prieiga tam tikromis aplinkybėmis gali būti teisėta, Teismas mano, kad „įstatymas nepakankamai tiksliai apibrėžia nei asmenis, turinčius teisę susipažinti su duomenimis, nei prieigos sąlygas, būtinas norint užtikrinti tinkamas asmenų, kurių duomenys yra susiję, teisių ir laisvių apsaugos priemones“.

 

Naujienos iš Europos Sąjungos šalių narių.

Belgijoje duomenų apsaugos tarnyba (APD) įspėjo du asmenis užtikrinti, kad jų stebėjimo kameros nebefilmuotų viešųjų kelių.

Kamera buvo įrengta kaip atgrasymo priemonė nuo padangų pradūrimų.

APD nustatė, kad filmuoti viešąjį greitkelį buvo neteisėta pagal Stebėjimo kamerų įstatymą, ir pabrėžė, kad užfiksuoti vaizdai pažeidė skundo pateikėjo ir jo šeimos teisę į privatumą ir teisę į duomenų apsaugą dėl dažno jų asmens duomenų tvarkymo, susijusio su kameros buvimo vieta.

Ispanijos duomenų apsaugos agentūra (APD) skyrė 200 000 eurų baudą transporto paslaugų bendrovei, kuri vertė savo darbuotojus darbo tikslais naudoti keturias sekimo programėles asmeniniuose telefonuose.

APD taip pat skyrė 160 000 eurų baudą universitetui už tai, kad jis negavo galiojančio studentų sutikimo patvirtinti jų tapatybę internetinių egzaminų metu naudojant veido atpažinimo sistemą.

Italijos duomenų apsaugos tarnyba (APD) skyrė 6 624 000 eurų baudą bendrovei „Poste Italiane SpA“ ir 5 877 000 eurų baudą bendrovei „Postepay SpA“ už neteisėtą milijonų vartotojų asmens duomenų tvarkymą.

„BancoPosta“ ir „Postepay“ programėlės reikalavo, kad norint naudotis paslaugomis, vartotojai suteiktų leidimą stebėti mobiliuosiuose įrenginiuose saugomus duomenis, siekiant aptikti bet kokią kenkėjišką programinę įrangą.

APD nustatė, kad stebėjimo apimtis buvo pernelyg didelė, palyginti su sukčiavimo prevencijos tikslais, ir atkreipė dėmesį į vartotojams teikiamos informacijos trūkumus, poveikio vertinimo (IAPD) nebuvimą, tinkamų saugumo priemonių ir duomenų saugojimo politikos trūkumą, taip pat į duomenų valdytojo paskyrimo pažeidimus.

Nyderlandų skaitmeninės ekonomikos ir suvereniteto ministras rengia „skaitmeninės avarinės pagalbos rinkinį“, kuris padėtų viešojo administravimo įstaigoms ir piliečiams patiems susidoroti su skaitmeninės nelaimės, pavyzdžiui, nacionalinio interneto ryšio sutrikimo, atveju.

Šalis iš tiesų vis dar pavojingai priklausoma nuo Amerikos technologijų bendrovių, kurios teikia esminę infrastruktūrą – nuo debesijos kompiuterijos iki mokesčių sistemų.

Vyriausybė nori, kad piliečiai galėtų savarankiškai patenkinti savo poreikius 72 valandas be interneto, telefono ir skaitmeninių mokėjimo būdų.

Balandžio 23 d. Didžiosios Britanijos vyriausybė patvirtino, kad 500 000 vienos iš pagrindinių JK mokslinių programų – JK biobanko – dalyvių medicininiai įrašai buvo parduoti internetu „Alibaba“ svetainėje. Nors paviešintoje informacijoje nebuvo vardų, pavardžių, adresų, kontaktinių duomenų ar telefono numerių, joje galėjo būti lytis, amžius, gimimo mėnuo ir metai, socialinė ir ekonominė padėtis, gyvenimo būdo įpročiai ir biologinių mėginių matavimai. Nebuvo jokios kibernetinės atakos, o veikiau teisėtai akredituotos organizacijos atliktas masinis duomenų atsisiuntimas. Duomenų bazė iš tiesų yra prieinama tyrėjams. Biobanko vadovybė teigė, kad po incidento jie įgyvendino priemones atsisiunčiamų failų dydžiui apriboti ir įtartinų failų eksportui stebėti.

 

Balandžio 23 d. Didžiosios Britanijos vyriausybė patvirtino, kad „Alibaba“ svetainėje buvo parduoti 500 000 vienos iš pagrindinių JK mokslinių programų – JK biobanko – dalyvių medicininiai įrašai. Nors paviešintoje informacijoje nėra vardų, pavardžių, adresų, kontaktinių duomenų ar telefono numerių, joje gali būti lytis, amžius, gimimo mėnuo ir metai, socialinė ir ekonominė padėtis, gyvenimo būdo įpročiai ir biologinių mėginių matavimai.

Nebuvo jokios kibernetinės atakos, o veikiau teisėtai akredituotos organizacijos atliktas masinis duomenų atsisiuntimas. Duomenų bazė iš tiesų yra prieinama tyrėjams.

Biobanko vadovybė nurodė, kad po incidento jie įgyvendino priemones, ribojančias atsisiunčiamų failų dydį ir stebinčias įtartinų failų eksportą.

Balandžio 21 d. Amerikos vartotojų federacija (CFA) pateikė kolektyvinį ieškinį prieš „Meta“, teigdama, kad bendrovė, priešingai nei įsipareigojo, neapsaugojo savo vartotojų nuo apgaulingų skelbimų „Facebook“ ir „Instagram“ tinkle ir kad iš šių skelbimų pelnėsi savo vartotojų sąskaita.

CFA siekia prisiteisti žalos atlyginimą, neteisėtai gauto pelno atlyginimą ir įpareigojamąsias teisių gynimo priemones vartotojų naudai Vašingtone.

Nuo Kanados iki Europos Sąjungos ir Ramiojo vandenyno pakrantės ryškėja pasaulinė skaitmeninio suvereniteto naudai skirta dinamika – ši tema buvo pagrindinė neseniai Vašingtone vykusiame 2026 m. IAPP pasaulio aukščiausiojo lygio susitikime. „Kelių seminarų metu dalyviai siekė išsiaiškinti ir niuansuoti diskusiją apie skaitmeninį suverenitetą, kartu pateikdami savo nuomonę apie tai, kaip dabartinė geopolitinė aplinka formuos šią diskusiją ateinančiais metais.“

„01.net“ pateikia išsamią informaciją apie naujausius „Anthropic“ dirbtinio intelekto projektus.

Balandžio 14 d. bendrovė paskelbė specialų tapatybės patvirtinimo puslapį savo teisės magistro (LLM) Claude'o vardu. Tam tikros funkcijos, saugumo veiksmai arba „platformos vientisumo patikrinimai“ dabar suaktyvina oficialaus asmens dokumento ir asmenukės gyvai užklausą.

Šis pranešimas pasirodė vos kelios savaitės po nutekėjusios informacijos, rodančios, kad „Anthropic“ žinutėse aptinka keiksmažodžius, įžeidimus ir nusivylimo išraiškas ir įrašo jas kaip neigiamų vartotojų nuotaikų signalus. „Kartu su nauju paso ir asmenukių reikalavimu vaizdas svaiginantis. „Anthropic“ žino, ką sakai, kai pyksti.“

Šeštadienį, balandžio 19 d., „Palantir“ svetainėje X paskelbė 22 punktų santrauką apie „Technologinę respubliką“ – savotišką geopolitinį šios bendrovės, kurios pagrindinė veikla – teikti stebėjimo ir duomenų analizės programinę įrangą Vakarų armijoms, žvalgybos tarnyboms ir imigracijos agentūroms (įskaitant Prancūziją), kredo.

Pagal šį manifestą, liberalių demokratijų išlikimas dabar priklauso nuo programinės įrangos galios, Vokietijos ir Japonijos „nusiginklavimas“ po 1945 m. buvo istorinė klaida, branduolinio atgrasymo era eina į pabaigą ir ją turi pakeisti naujas atgrasymas, pagrįstas dirbtiniu intelektu.

Tyrėja Chiara Gallese praneša apie pažeidžiamumą, susijusį su dirbtinio intelekto agentu, kurį valdo bendrovė „Meta“.

Įtariama, kad šis agentas veikė be žmogaus nurodymų, atskleisdamas neskelbtinus įmonės ir vartotojų duomenis neįgaliotiems darbuotojams.

Pranešama, kad „Meta“ šį incidentą priskyrė „Sev 1“ – antram pagal svarbą saugumo pavojaus lygiui. Tyrėjas atkreipia dėmesį, kad, viena vertus, kai kurie „Meta“ dirbtinio intelekto agentai ignoruoja žmonių priežiūros nurodymus, o tuo pačiu metu „Meta“ įsigyja platformas, kurios leidžia dirbtinio intelekto agentams bendrauti tarpusavyje („Moltbook“).

Rizika išliks tol, kol žmogaus priežiūra netaps griežtu agentinių dirbtinio intelekto sistemų architektūriniu reikalavimu: šiandien žmogaus atliekamas patikrinimas laikomas prioritetu, o ne autonominių dirbtinio intelekto sistemų apribojimu.

Australijos signalų direktoratas / ACSC kartu su keliais tarptautiniais partneriais, įskaitant NSA, gegužės 1 d. publikacijoje rekomendavo atsargiai diegti agentines dirbtinio intelekto paslaugas.

Dokumente pabrėžiama, kad kritinėse infrastruktūrose agentų autonomija padidina klaidų, nenumatytų eskalacijų ir veiksmų grandinių pažeidimo riziką.

Pagrindinė rekomendacija – apriboti autonomiją, registruoti veiksmus, kontroliuoti prieigą ir apibrėžti apsaugos priemones prieš bet kokį agentinio dirbtinio intelekto diegimą.

lt_LTLT