„Legal Watch“ Nr. 89 – 2025 m. lapkričio mėn. 

 

Europos skaitmeninių taisyklių supaprastinimas: ko galime tikėtis?

Kiek toli Europos Komisija ketina eiti siekdama supaprastinti Europos teisės aktų sistemą?

Nuo Draghi ataskaitos paskelbimo 2024 m. rugsėjį, esant neramiam tarptautiniam ekonominiam kontekstui, Europos vykdomoji valdžia ėmėsi daug priemonių, skirtų pramonei.

Neseniai paskelbtas „Skaitmeninio omnibuso“ paketas skirtas nuraminti privatų sektorių dėl teisinių apribojimų skaitmeniniame sektoriuje, o tai labai nuliūdino pilietinę visuomenę, kuri baiminasi precedento neturinčio pagrindinių teisių pažeidimo.

Lapkričio 19 d. Komisija oficialiai paskelbė du pasiūlymus – „Skaitmeninį omnibusą“ ir „Skaitmeninį dirbtinio intelekto omnibusą“ – ir pradėjo skaitmeninių įgūdžių vertinimą.

Pasiūlyme dėl skaitmeninių technologijų pateikiami BDAR ir Dirbtinio intelekto reglamento, taip pat E. privatumo direktyvos pakeitimai. Tekstas yra tankus; pateikiame keletą pagrindinių punktų.

• • Kalbant apie E. privatumo direktyvą,

Komisija siūlo visų pirma pakeisti slapukų politiką. Tikslas – sumažinti reklaminių skydelių rodymo skaičių ir sudaryti sąlygas vartotojams duoti sutikimą vienu spustelėjimu bei išsaugoti savo nuostatas per pagrindinius naršyklių ir operacinių sistemų nustatymus. Ši nuostata yra viena mažiausiai ginčijamų.

Tekste taip pat numatyta vieninga ataskaitų teikimo sąsaja, leidžianti įmonėms įvykdyti visus savo incidentų pranešimo įsipareigojimus per vieną saugų portalą, siekiant supaprastinti konkuruojančius NIS2 direktyvos, BDAR ir reglamento dėl skaitmeninio operacinio atsparumo įsipareigojimus.

Planuojama sušvelninti MVĮ ir mažųjų bei vidutinių įmonių teisinius įsipareigojimus, susijusius su dokumentacija, sankcijomis ir debesijos paslaugų perėjimo taisyklėmis.

• • Kalbant apie BDAR,

Pasiūlymas apriboja asmens duomenų apibrėžtį, įvesdamas subjektyvų požiūrį į duomenų identifikavimą, dėl kurio tam tikri pseudoniminiai duomenys arba identifikavimo numeriai galėtų būti neįtraukti į reglamento taikymo sritį.

Jautrių duomenų apibrėžtis būtų pakeista taip, kad ji apimtų tik tuos duomenis, kurie „tiesiogiai“ atskleidžia informaciją apie sveikatą, rasinę kilmę ir pan., rizikuojant neįtraukti tų, kuriuos, pavyzdžiui, galėtų nustatyti algoritmas.

Pasiūlymu taip pat siekiama apriboti asmenų teisę prašyti prieigos prie savo duomenų tik „duomenų apsaugos tikslais“.

Naujas „mokslinių tyrimų“ apibrėžimas taip pat galėtų lemti plačias BDAR išimtis, naudingas privačiam sektoriui: „bet kokie tyrimai, kuriais galima remti inovacijas, pavyzdžiui, technologinė plėtra ir demonstravimas“, galėtų būti atleisti nuo informacijos teikimo ir tikslo ribojimo įpareigojimų.

Pasiūlyme numatyti pakeitimai, palengvinantys automatizuotą sprendimų priėmimą ir leidžiantys naudoti asmens duomenis dirbtinio intelekto sistemoms mokyti ir valdyti remiantis teisėtu interesu.

Tekste taip pat numatytas šešių mėnesių pereinamasis laikotarpis Dirbtinio intelekto reglamento 50(2) straipsniui (skaidrumo įpareigojimai).

Skaitmeninis omnibuso dokumentų rinkinys komentarams teikiamas aštuonias savaites, šis laikotarpis pratęsiamas kasdien, kol pasiūlymas bus pateiktas visomis ES kalbomis, šiuo metu – iki 2026 m. sausio 29 d.

Tuomet pasiūlymas bus svarstomas pagal įprastą ES teisėkūros procedūrą Europos Parlamente ir Taryboje, kur jis neabejotinai bus gyvai svarstomas.

Kalbant konkrečiau apie BDAR, kai kurios šalys yra pasirengusios peržiūrėti Komisijos pasiūlymus, o kitos, įskaitant Slovėniją, Estiją ir Austriją, jau nurodė, kad, jų nuomone, BDAR „šiuo metu nereikalauja jokių tolesnių pakeitimų“.

Šiame procese taip pat bus atsižvelgta į Europos duomenų apsaugos valdybos ir Europos duomenų apsaugos priežiūros pareigūno nuomones – dvi pozicijas, kurios, nors ir neįpareigojančios, turėtų turėti įtakos tolesnėms diskusijoms.

 

Po pirminės ataskaitos, kurioje buvo vertinama, ar prancūzai nori mokėti už internetines paslaugas be tikslinės reklamos, CNIL lapkričio 17 d. paskelbė antrąją dalį apie prancūzų požiūrį į savo duomenų monetizavimą.

65 % respondentų (%) nurodė, kad nori parduoti savo duomenis. Dažniausias įvertinimas buvo nuo 10 iki 30 eurų per mėnesį, tai buvo 28 % šių respondentų (%) pageidavimas.

Kita vertus, 35 % asmenų nenori parduoti savo duomenų, kad ir kokia būtų kaina, ir iš principo atmeta asmens duomenų monetizavimą.

Šiuo atžvilgiu CNIL atkreipia dėmesį, kad nors ir įmanoma perduoti teisę naudoti savo duomenis, „pagal dabartinę teisinę sistemą asmens duomenų „monetizavimo“, t. y. nuosavybės teisių į juos perleidimo, praktika nėra įmanoma, nes negalima atsisakyti savo teisių į savo duomenis“.

2025 m. lapkričio 20 d. CNIL skyrė Prancūzijos bendrovei „Conde Nast publications“ 750 000 eurų baudą už tai, kad ji nesilaikė galiojančių taisyklių dėl slapukų, patalpintų vartotojų, besilankančių svetainėje „vanityfair.fr“, įrenginiuose.

Bendrovei jau buvo išsiųstas oficialus pranešimas po „Noyb“ asociacijos skundo 2019 m., tačiau bendrovė į jį neįvykdė.

Skiriant baudą atsižvelgiama į bendrovės nereagavimą, susijusių žmonių skaičių ir įvairius trūkumus: sutikimo negavimą, vartotojų neinformavimą ir sutikimo atsisakymo bei atšaukimo mechanizmų neveiksmingumą.

2025 m. lapkričio 27 d. CNIL taip pat skyrė 1,5 mln. eurų baudą bendrovei „American Express Carte France“ už taikomų slapukų taisyklių nesilaikymą.

Lapkričio 26 d. ANSSI paskelbė ataskaitą apie mobiliųjų telefonų keliamą grėsmę.

Ataskaitoje atkreipiamas dėmesys į tai, kaip užpuolikai išnaudoja pažeidžiamumus, kurie gali būti nukreipti prieš tinklus, operacinę sistemą ar programas, ir įvardijama konkreti grėsmė: valstybinių subjektų vykdomos šnipinėjimo ir stebėjimo operacijos.

Mobilieji telefonai taip pat yra pagrindinis kibernetinių nusikaltėlių taikinys, kuriais naudodamiesi jie sugeba pavogti pinigus iš savo aukų.

Mobilieji telefonai taip pat netinkamai naudojami privačiam stebėjimui ar destabilizavimo operacijoms.

Ataskaitoje taip pat pateikiamos saugos rekomendacijos vartotojams.

Tai apima reguliarų telefono išjungimą ir įjungimą nenaudojant paleidimo iš naujo funkcijos, nuorodų nespustelėjimą ir failų neatidarymą nepageidaujamuose pranešimuose, budrumą atidarant QR kodais perduodamas nuorodas, operacinės sistemos atnaujinimų diegimą, nenaudojamų „Wi-Fi“ ir „Bluetooth“ sąsajų išjungimą ir vengimą prisijungti prie viešųjų „Wi-Fi“ tinklų.

 

Europos institucijos ir įstaigos

Lapkričio 26 d. ES valstybių narių atstovai susitarė dėl Tarybos pozicijos dėl reglamento, kuriuo siekiama užkirsti kelią vaikų seksualinei prievartai ir su ja kovoti.

Tekstu siekiama įpareigoti skaitmeninio sektoriaus įmones užkirsti kelią vaikų pornografijos platinimui ir vaikų priekabiavimui prie jų.

Kompetentingos nacionalinės institucijos turės įgaliojimus įpareigoti įmones pašalinti tam tikrą turinį ir blokuoti prieigą prie jo arba, paieškos sistemų atveju, pašalinti tam tikrus paieškos rezultatus.

Reglamente taip pat numatyta įsteigti naują Europos agentūrą – Europos vaikų pornografijos centrą, kuriam bus pavesta padėti valstybėms narėms ir internetinių paslaugų teikėjams įgyvendinti šį įstatymą.

Taryba taip pat nori, kad šiuo metu laikina priemonė, leidžianti įmonėms savanoriškai nuskaityti savo paslaugas dėl seksualinės prievartos prieš vaikus, taptų nuolatine.

Nors tekstas yra mažiau įkyrus nei ankstesnė versija, jo kritikai jį vis tiek laiko išpuoliu prieš ištisinį šifravimą ir komunikacijos konfidencialumą.

Projektą dar reikia aptarti trišaliuose dialoguose su Komisija ir Europos Parlamentu.

Gruodžio 5 d. Europos Komisija skyrė X 120 mln. eurų baudą už tai, kad ji nesilaikė savo skaidrumo įsipareigojimų pagal Skaitmeninių paslaugų įstatymą (DSA).

Trūkumai apima klaidinantį „mėlynojo patvirtinimo“ dizainą patikrintoms paskyroms, skaidrumo stoką reklamos kataloge ir nesuteikimą tyrėjams prieigos prie viešųjų duomenų.

Gruodžio 2 d. priimtame Rusijos žiniasklaidos sprendime Europos Sąjungos Teisingumo Teismas (ESTT) nusprendė, kad prekyvietės leidėjas yra atsakingas už savo platformoje skelbiamų reklamų tvarkymą ir prieš paskelbdamas privalo patikrinti, ar joje yra jautrių duomenų ir ar jų tvarkymas atitinka BDAR.

1/ Prekyvietės operatorius yra atsakingas už paskelbtų skelbimų tvarkymą: ESTT nuomone, šią klasifikaciją pagrindžia keli elementai:

• Skelbimas pasiekiamas tik internete dėl platformos teikiamos paslaugos.
• Leidėjas siekia savo tikslo, ypač komercinio ir reklaminio, ir neapsiriboja technine paslauga.
• Jame nustatomos esminės priemonės: pateikimas, skelbimo internete trukmė, skyriai, klasifikacija, platinimo būdai.
• Taigi, operatorius ir reklamuotojas yra bendrai atsakingi už reklamose pateiktų duomenų tvarkymą.

2/ Kaip duomenų valdytojas, operatorius privalo nustatyti galimą duomenų tvarkymo riziką ir įgyvendinti nustatytas rizikas atitinkančias priemones bei apsaugos priemones: ESTT nurodo, kad operatorius privalo:

• Aptikti, ar reklamoje yra neskelbtinų duomenų.
• Patikrinkite, ar šie duomenys susiję su reklamuotoju, ar reklamuotojui taikoma išimtis, ypač ar jis yra gavęs aiškų atitinkamo asmens sutikimą.
• Atsisakyti publikuoti, jei šios sąlygos neįvykdytos.

Vykdydamas savo saugumo įsipareigojimus, operatorius taip pat privalo įgyvendinti priemones, skirtas apriboti neteisėtą reklamų, kuriose yra jautrių duomenų, kopijavimą ir atkūrimą.

Lapkričio 20 d. ESTT priėmė sprendimą byloje „Policejní prezidium“ dėl Čekijos policijos praktikos rinkti ir neribotą laiką saugoti visų asmenų, įtariamų tyčinių nusikaltimų padarymu, biometrinius ir genetinius duomenis.

Tikslas buvo nustatyti, ar Europos „Policijos“ direktyva reikalauja kiekvienu atveju atskirai įvertinti saugojimo poreikį, ar leidžiami neriboti saugojimo laikotarpiai ir kokios teisinės apsaugos priemonės turėtų reglamentuoti šių jautrių duomenų tvarkymą.

Teismas nenustato principinio draudimo, tačiau nustato keletą sąlygų: duomenų valdytojas privalo laikytis visų principų ir konkrečių reikalavimų, taikomų tvarkant jautrius duomenis, o nacionalinės teisės aktuose turi būti nustatyti tinkami terminai, per kuriuos periodiškai peržiūrimas griežtas šių duomenų saugojimo poreikis.

Europos Sąjungos pagrindinių teisių agentūra gruodžio 4 d. paskelbė ataskaitą, kurioje nagrinėjama pagrindinių teisių apsauga naudojant dirbtinį intelektą didelės rizikos zonose. Joje pabrėžiama, kad šios teisės yra nepakankamai informuotos.

 

Naujienos iš Europos Sąjungos šalių narių.

Vienos regioninis civilinių bylų teismas nusprendė, kad ieškinys prieš duomenų valdytoją, neįsisteigusį ES, turi būti įteiktas duomenų valdytojui, o ne jo atstovui ES.

Pranešimo atstovui pagal BDAR 27 straipsnį nepakanka, nebent nacionalinėje proceso teisėje numatyta tokia galimybė.

Lapkričio 14 d. Kroatijos duomenų apsaugos tarnyba (APD) skyrė 4 500 000,00 EUR administracinę baudą telekomunikacijų operatoriui, veikiančiam kaip duomenų valdytojas, už asmens duomenų perdavimą į trečiąją šalį pažeidžiant BDAR.

Perdavimas Serbijos subrangovui buvo atliktas neturint galiojančio teisinio pagrindo ir skaidriai neinformuojant atitinkamų asmenų, be teisinio pagrindo tvarkomos darbuotojų asmens tapatybės kortelių ir teistumo pažymėjimų kopijos ir neatlikus tinkamų išankstinių subrangovo patikrinimų.

Ispanijoje esančiam Valensijos tarptautiniam universitetui skirta 750 000 eurų bauda už veido atpažinimo ir dirbtinio intelekto naudojimą egzaminų dalyvių tapatybei nustatyti neturint tinkamo teisinio pagrindo.

Ispanijoje APD taip pat skyrė 30 000 eurų baudą medicinos klinikai už BDAR 5(1)(f) straipsnio pažeidimą, kai ji atskleidė maždaug 90 „WhatsApp“ grupės klientų telefono numerius ir sveikatos duomenis be išankstinio jų sutikimo ir netaikydama tinkamų konfidencialumo priemonių.

Teismas priteisė daugiau nei 480 000 000 eurų žalos atlyginimo 87 Ispanijos žiniasklaidos priemonėms, padaręs išvadą, kad „Meta“ neteisėtai naudojo savo socialiniuose tinkluose surinktus asmens duomenis, kad sukurtų išsamius vartotojų profilius ir siūlytų veiksmingesnę suasmenintą reklamą nei jos konkurentai, taip įgydama nesąžiningą konkurencinį pranašumą.

Teismas nusprendė, kad asmens duomenų tvarkymas yra pagrindinis konkurencijos veiksnys skaitmeninėje ekonomikoje ir kad BDAR pažeidimai gali būti laikomi nesąžininga konkurencija, kai suteikia didelį pranašumą.

Italijos duomenų apsaugos tarnyba (APD) skyrė Bolcano provincijai 32 000 eurų baudą už neteisėtą eismo stebėjimo kamerų tinklo eksploatavimą. Provincija neturėjo galiojančio teisinio pagrindo tvarkyti asmens duomenis, ypač automobilių numerių.

 

Jungtinėje Karalystėje 73 akademikai, teisininkai, duomenų apsaugos ekspertai ir nevyriausybinės organizacijos laiške Bendruomenių rūmams paragino atlikti tyrimą dėl Britanijos duomenų apsaugos institucijos (ICO), po to, ką jie apibūdina kaip „vykdymo priemonių žlugimą“, ypač po Afganistano duomenų nutekėjimo skandalo.

Jie perspėja apie „gilesnius struktūrinius trūkumus“, kurie yra ne tik šis duomenų nutekėjimas.

Tai buvo ypač rimtas informacijos nutekinimas apie afganistaniečius, kurie bendradarbiavo su britų pajėgomis prieš tai, kai Talibanas 2021 m. rugpjūtį perėmė šalies kontrolę, ir sukėlė pavojų 100 000 žmonių, kurių vardus atskleidė Gynybos ministerija, gyvybėms.

ICO kritikuojama už tai, kad, nepaisant pakartotinių trūkumų, nepradėjo oficialių teisinių procesų prieš ministeriją. 

Argentinoje pastaraisiais mėnesiais kai kurie teismai priėmė sprendimus dėl dirbtinio intelekto naudojimo advokatų pareiškimuose ir pareiškimuose.

Šiose bylose dalyvavo teisininkai, kurie įtraukė teismų praktikos citatas, kurios dėl dirbtinio intelekto haliucinacijų pasirodė esančios klaidingos arba netikslios.

Kaip ir ypač Jungtinėse Amerikos Valstijose, Argentinos teismai pradeda vertinti teisininkų profesinės atsakomybės mastą: net ir veikdami sąžiningai, teikdami ieškinius, kuriuose cituojama neegzistuojanti teismų praktika, pažeidžiami pagrindiniai profesijos principai, įskaitant sąžiningumą, lojalumą ir nuoširdumą, kaip nustatyta įvairių Argentinos jurisdikcijų etikos kodeksuose.

Konkrečiais nagrinėtais atvejais teismai nusprendė netaikyti tiesioginių sankcijų advokatams.

Nepaisant to, jie manė, kad tikslinga informuoti vietos advokatų asociacijas, siekiant didinti informuotumą apie su dirbtinio intelekto naudojimu susijusią riziką ir atsakomybę, ir skatinti platesnes diskusijas apie atsakingą dirbtinio intelekto naudojimą teisinėje praktikoje.

Australijos vyriausybė yra naujausia, pristačiusi dirbtinio intelekto veiksmų planą.

Apsvarsčiusi į saugumą orientuotą strategiją, vyriausybė galiausiai nusprendė pabrėžti investicijas ir ekonomiką.

Užuot nustačiusi privalomas apsaugos priemones didelės rizikos aplinkoje, Australija remsis „esamomis tvirtomis teisinėmis ir reguliavimo sistemomis“.

Gruodžio 2 d. paskelbtas nacionalinis planas siekia sustiprinti Australijos, kaip dirbtinio intelekto investicijų vietos, reputaciją ir skatina plačiai paplitusį dirbtinio intelekto naudojimą visoje šalyje, ypač viešosiose paslaugose.

Taip pat aprašomas Dirbtinio intelekto saugumo instituto vaidmuo testuojant ir dalijantis informacija apie dirbtinio intelekto galimybes, riziką ir pavojus.

Australijoje vaikai ir paaugliai iki 16 metų nebegalės naudotis socialiniais tinklais nuo gruodžio 10 d.

Platformos privalo įdiegti amžiaus patvirtinimo priemones.

Nesilaikymas gali užtraukti baudas iki 28 milijonų eurų.

Šį draudimą gali lydėti kiti: lapkričio 26 d. Europos Parlamentas paragino visoje Europos Sąjungoje nustatyti minimalų 16 metų amžių socialiniams tinklams, vaizdo įrašų bendrinimo platformoms ir dirbtinio intelekto asistentams, kartu suteikiant prieigą 13–16 metų amžiaus asmenims su tėvų sutikimu.

Reikšdami paramą Komisijos pasiūlymui dėl Europos amžiaus patvirtinimo programėlės ir Europos skaitmeninės tapatybės piniginės (eID), europarlamentarai tvirtina, kad amžiaus patvirtinimo sistemos turi apsaugoti nepilnamečių privatumą.

Jungtinėse Valstijose Federalinėje prekybos komisijoje (FTC) liko tik du iš penkių komisarų.

Apie trečiąjį atsistatydinimą, Melissos Holyoak, FTC iš tiesų paskelbė 2025 m. lapkričio 17 d.

Šis atsistatydinimas įvyko po to, kai prezidentas Trumpas atleido du demokratų komisarus, o pareigose liko tik du respublikonų komisarai.

Aukščiausiasis Teismas nagrinėja šį klausimą, ir jo sprendimas gali turėti platesnių pasekmių prezidento valdžiai nepriklausomų agentūrų atžvilgiu.           

Gruodžio 9 d. JAV muitinės ir sienų apsaugos tarnybos (CBP) pateiktame pasiūlyme teigiama, kad keliautojams iš tokių šalių kaip Didžioji Britanija, Prancūzija ar Pietų Korėja, kurios atitinka JAV bevizio režimo programos reikalavimus, netrukus gali tekti pateikti savo socialinės žiniasklaidos veiklos peržiūrą, apimančią iki penkerių metų laikotarpį.

CBP taip pat planuoja paprašyti pareiškėjų pateikti ilgą asmens duomenų sąrašą, įskaitant jų el. pašto adresus per pastaruosius dešimt metų, taip pat jų tėvų, sutuoktinių, brolių, seserų ir vaikų vardus, pavardes, gimimo datas, gyvenamąsias vietas ir gimimo vietas.

2025 m. lapkričio 13 d. Indijos elektronikos ir informacinių technologijų ministerija paskelbė 2023 m. Skaitmeninių asmens duomenų apsaugos įstatymo įgyvendinimo taisykles.

Pasak įmonės „Nishith Desai Associates“, jie nurodo skaidrumo, sutikimo ir registracijos reikalavimus, pareigas pranešti duomenų saugumo pažeidimo atveju, atitinkamų asmenų teises ir informaciją apie Indijos duomenų apsaugos tarybą.