Veille juridique

API – asmeninių duomenų bendrinimo pagrindas

„Legal Watch“ Nr. 61 – 2023 m. liepa.

API – asmeninių duomenų bendrinimo pagrindas.

Taikomųjų programų programavimo sąsajos, paprastai vadinamos „API“, atsižvelgiant į jų anglišką pavadinimą „taikomųjų programų programavimo sąsaja“, dažnai naudojamos siekiant palengvinti informacijos mainus tarp viešųjų ar privačių organizacijų.

Šį dalijimąsi duomenimis remia įstatymų leidėjas, kaip patvirtina Europos skaitmeninio suvereniteto strategija: ja siekiama sukurti bendrą duomenų rinką „remiant atsakingą prieigą, dalijimąsi ir pakartotinį naudojimą, laikantis Europos Sąjungos vertybių ir ypač asmens duomenų apsaugos“.

Tai papildo Europos dirbtinio intelekto strategiją.

API, jei jos integruoja duomenų apsaugą nuo bendrinimo sistemos projektavimo etapo, gali sukurti palankią techninę sistemą, atitinkančią BDAR.

Todėl CNIL liepos 7 d. priimtoje rekomendacijoje skatina juos naudoti.

Ji ypač pabrėžia pakartotinio naudojimo riziką atitinkančio saugumo lygio svarbą ir tai, kad duomenų dalijimasis būtų apribotas iki būtino minimumo.

Rekomendacija skirta trijų tipų subjektams: duomenų turėtojams, API valdytojams ir duomenų pakartotiniams naudotojams.

Duomenų turėtojas pasižymi tuo, kad valdo duomenis techniniu ar organizaciniu būdu.

API tvarkyklė yra organizacija, atsakinga už kai kuriuos arba visus techninius komponentus, kuriais grindžiamas duomenų bendrinimas.

Galiausiai, duomenų pakartotinis naudotojas yra bet kuri organizacija, planuojanti pasiekti arba gauti duomenis per API savo reikmėms.

CNIL (Prancūzijos duomenų apsaugos tarnyba) pabrėžia, kad ta pati organizacija gali atlikti kelis vaidmenis, pavyzdžiui, kai duomenų valdytojas pats kuria API: tokiu atveju jis taip pat yra API administratorius ir privalo laikytis su abiem vaidmenimis susijusių rekomendacijų. Todėl labai svarbu nustatyti savo konkretų vaidmenį naudojant API.

Kiekviena kategorija yra orientuota į priemones, leidžiančias pasiekti norimą saugumo lygį ir laikytis duomenų apsaugos principų.

Suinteresuotosios šalys raginamos bendradarbiauti įgyvendinant šias rekomendacijas.                              

  • Duomenų turėtojai turės atkreipti ypatingą dėmesį į pakartotinių naudotojų informavimą, duomenų tikslumą ir vientisumą bei duomenų saugumą (atskyrimą ir prieinamumą, autentifikavimą, registravimą).
  • API valdytojai daugiausia dėmesio skirs dokumentavimui, duomenų kiekio mažinimui, teisių, susijusių su duomenų bendrinimu, įgyvendinimui ir saugumui (ryšiams, informacinių sistemų saugumui, registravimui).
  • Pakartotiniai naudotojai turi konkrečius įsipareigojimus, susijusius su atitinkamų asmenų informavimu, duomenų kiekio mažinimu ir saugumu (rizikos valdymas, raktų apsauga, registravimas).

Rekomendacijoje aptariami konkretūs duomenų mainų atvejai, pavyzdžiui, tarp socialinių tinklų ir tyrėjų arba vyriausybės duomenų atvėrimas.

Skirtingų subjektų kvalifikacija neturi įtakos jų, kaip duomenų valdytojo ar duomenų tvarkytojo, statusui, kaip apibrėžta BDAR.

Vis dėlto galima nustatyti tam tikras gaires: duomenų valdytojas paprastai bus atsakingas už bendrinamą duomenų tvarkymą, jei jis laisva valia nusprendė dėl tvarkymo tikslų ir priemonių arba kai buvo teisiškai įpareigotas jį įgyvendinti.

Pakartotinis naudotojas dažnai bus „gavėjas“, kaip apibrėžta BDAR.

Savo ruožtu API valdytojas veiks kaip subrangovas, t. y. duomenų turėtojo ir (arba) pakartotinio naudotojo vardu ir pagal jų nurodymus.

CNIL rekomendacijas netrukus turėtų papildyti laukiami praktinių atvejų pavyzdžiai, paskelbti Komisijos svetainėje.

 

Ir taip pat

  • Liepos 27 d. CNIL paskelbė kvietimą teikti pasiūlymus dėl savo darbo dirbtinio intelekto srityje.

Šia proga ji pateikia pirmąją savo darbo eigos apžvalgą po gegužės 16 d. paskelbto jos veiksmų plano dėl dirbtinio intelekto ir kviečia teikti įnašus, kurie padėtų jai formuoti savo mintis, prieš pirmuosius leidinius, planuojamus rudenį.

  • CNIL taip pat siūlo naują „smėlio dėžę“, skirtą trims projektams, kuriuose dirbtinis intelektas (DI) naudojamas viešųjų paslaugų labui, paremti.

Kvietimas teikti projektų paraiškas galioja iki 2023 m. rugsėjo 30 d.

  • Įgyvendindama savo veiksmų planą dėl mobiliųjų programėlių, CNIL skelbia ir teikia viešoms konsultacijoms rekomendacijos projektą, kuriuo siekiama išaiškinti įvairių šios ekosistemos dalyvių įsipareigojimus, palengvinti jų atitiktį reikalavimams ir skatinti gerosios praktikos įgyvendinimą.
  • Liepos 26 d. daugiau nei šešiasdešimt Europos NVO parašė Europos komisarui Thierry Bretonui, prašydamos paaiškinimo dėl jo neseniai pasakytų komentarų, kad internetinių platformų blokavimas galėtų būti taikoma ir pagrįsta priemonė pagal Skaitmeninių paslaugų įstatymą (DSA).

Šie komentarai pasirodė po Respublikos Prezidento pastabų, kuriose jis iškėlė galimybę blokuoti prieigą prie socialinės žiniasklaidos platformų viešosios tvarkos sutrikimų atveju.

NVO mano, kad šie komentarai gali paskatinti vyriausybes visame pasaulyje savavališkai blokuoti internetines platformas.

Jie prašo Europos Komisijos užtikrinti, kad valstybės narės įgyvendindamos ir taikydamos Skaitmeninių paslaugų aktą (DSA) šios priemonės nebūtų aiškinamos pernelyg plačiai, nes tai prieštarautų jo reguliavimo tikslams ir pažeistų ES pagrindinių teisių chartiją.

  • Birželio 26 d. Valstybės Taryba nusprendė, kad teise reikalauti ištaisyti duomenis galima pasinaudoti duomenims ištaisyti po tapatybės pasikeitimo, bet ne atgaline data dokumentams ištaisyti iki tapatybės pakeitimo: šie ankstesni duomenys iš tikrųjų negali būti laikomi netiksliais.
  • Birželio 28 d. Nacionalinė Asamblėja vienbalsiai priėmė „įstatymo projektą, kuriuo siekiama sukurti skaitmeninę daugumą ir kovoti su neapykanta internete“.

Projektą Senatas taip pat vienbalsiai priėmė 2023 m. birželio 29 d.

Tekste nustatoma, kad skaitmeninė pilnametystė yra 15 metų – amžius, nuo kurio nepilnamečiui nebereikės tėvų sutikimo norint registruotis socialiniame tinkle.

 

Europos institucijos ir įstaigos

  • Liepos 10 d. Europos Komisija priėmė sprendimą dėl „ES ir JAV duomenų apsaugos sistemos“ tinkamumo, kuriame padarė išvadą, kad Jungtinių Valstijų garantuojama perduodamų duomenų apsauga yra panaši į ES siūlomą apsaugą.

Naujoji tvarka įsigaliojo liepos 11 d.

Komisijos teigimu, Amerikos įsipareigojimai numato „naujas privalomas garantijas, skirtas spręsti visus Europos Teisingumo Teismo iškeltus klausimus, visų pirma apribojant JAV žvalgybos tarnybų prieigą prie ES duomenų iki to, kas būtina ir proporcinga, ir įsteigiant Duomenų apsaugos teismą“.

Nenuostabu, kad Maxas Schremsas manė, jog naujoji transatlantinė asmens duomenų apsaugos sistema iš esmės yra „Privatumo skydo“ kopija ir kad jis apskųs šį sprendimą teisme.

Savo ruožtu Europos duomenų apsaugos valdyba (EDAV) paskelbė informacinį pranešimą, skirtą atitinkamoms įmonėms ir asmenims.

  • Liepos 4 d. Europos Komisija paskelbė savo „Pasiūlymą dėl reglamento, kuriuo nustatomos papildomos BDAR taikymo procedūrinės taisyklės“, kuriuo siekiama užtikrinti nuoseklų reglamento taikymą tarpvalstybiniais atvejais.

„Twitter“ žinutėje EDAV palankiai įvertino greitą Komisijos atsaką į jos prašymus pateikti paaiškinimą.

Vis dėlto kai kurios NVO kritikuoja siūlomą reglamentą, nurodydamos, kad jis gali apriboti piliečių dalyvavimą nagrinėjant skundus duomenų apsaugos institucijoms (DPA) dėl netinkamo jų duomenų naudojimo.

  • Prijungti įrenginiai, tokie kaip stebėjimo kameros, šaldytuvai ir išmanieji televizoriai, netrukus galėtų pasiūlyti geresnę apsaugą nuo kibernetinių atakų.

ES valstybės narės neseniai susitarė dėl bendros pozicijos dėl minėtų skaitmeninių produktų saugumo reikalavimų.

Siūlomu kibernetinio atsparumo įstatymu būtų nustatyti privalomi įrenginių projektavimo, kūrimo ir gamybos reikalavimai.

  • 2023 m. liepos 4 d. sprendime Europos Sąjungos Teisingumo Teismas išreiškė poziciją ginče tarp „Meta“ ir Vokietijos konkurencijos institucijos.

ESTT nusprendė, kad konkurencijos institucija gali nustatyti BDAR pažeidimą ir, nepakeisdama duomenų apsaugos institucijos, gali laisvai daryti savo išvadas konkurencijos teisės taikymo požiūriu.

ESTT taip pat pažymi, kad „Facebook“ gali tvarkyti „neskelbtinus“ duomenis iš naudotojų veiklos, nebūtinai pateikęs norą juos paviešinti, todėl netaikoma išimtis dėl sutikimo reikalavimo.

Teismas taip pat atmetė „Meta“ rėmimąsi būtinybe vykdyti sutartį ir teisėtu interesu, siekiant pateisinti turinio suasmeninimą.

Galiausiai, ji pastebi, kad dominuojanti „Facebook“ padėtis socialinių tinklų rinkoje kelia abejonių dėl sutikimo galiojimo ir kad operatorius turi įrodyti, jog sutikimas iš tiesų duotas laisva valia.

Rugpjūčio 1 d. „Meta“ paskelbė ketinanti pakeisti tikslinės reklamos Europoje teisinį pagrindą: bendrovė prašys vartotojų sutikimo.

Šis pakeitimas yra tiesioginė EDAV ir nacionalinių bei Europos teisminių institucijų sprendimų pasekmė.

  • Svarstant Europos žiniasklaidos laisvės reglamento projektą, 80 pilietinės visuomenės organizacijų, žiniasklaidos organizacijų, leidėjų ir transliuotojų, taip pat profesinių sąjungų ragina Europos Parlamentą be išimties uždrausti šnipinėjimo programų naudojimą prieš žurnalistus.
  • Liepos 3 d. pilietinės visuomenės grupės ir interneto ekspertai taip pat parašė Komisijos nariams Jourovai ir Reyndersui, išreikšdami didelį susirūpinimą dėl JK vyriausybės siūlomo Duomenų apsaugos ir skaitmeninės informacijos (DPDI) įstatymo projekto, kuris paverstų JK „nesandariu vožtuvu“ ir pakenktų Europos piliečių duomenų apsaugos teisėms.

 

Naujienos iš Europos šalių narių.

  • Belgijos duomenų apsaugos tarnyba (APD) nusprendė, kad vaistininkų asociacija, neribotą laiką saugodama duomenis, susijusius su pagal seną reglamentą pritaikytomis drausminėmis nuobaudomis, pažeidžia, be kita ko, teisėtumo, tikslo ribojimo, duomenų kiekio mažinimo, tikslumo ir saugojimo apribojimo principus.

Asociacijai skirta 30 000 eurų bauda.

  • Belgijos duomenų apsaugos institucijos teigimu, Jungtinėse Valstijose įsikūręs duomenų valdytojas, kurio veikla apima konferencijų organizavimą Europoje, privalo laikytis BDAR reikalavimų ir, be kitų įsipareigojimų, paskirti atstovą Belgijoje.
  • Latvijos duomenų apsaugos tarnyba (APD) nusprendė, kad unikalaus asmens identifikatoriaus naudojimo nepakanka, kad būtų galima aiškiai identifikuoti duomenų subjektą ir užkirsti kelią neteisėtam specialių kategorijų duomenų atskleidimui nacionalinio sveikatos priežiūros paslaugų teikėjo.

Reikėjo naudoti papildomus kriterijus, pavyzdžiui, atitinkamo asmens vardą ir pavardę.

  • Ispanijos duomenų apsaugos agentūra (APD) skyrė 10 000 eurų baudą apsaugos darbuotojui už tai, kad šis užfiksavo vaizdus iš kalėjimo vaizdo stebėjimo sistemos ir platino juos per „WhatsApp“, pažeisdamas BDAR 6 straipsnį.
  • Birželio 22 d. sprendimu Italijos duomenų apsaugos tarnyba (APD) skyrė milijono eurų baudą Italijos greitkelių bendrovei, kuri nenurodė savo, kaip duomenų valdytojo, vaidmens pinigų grąžinimo paslaugų naudojimo kontekste.
  • Islandijos duomenų apsaugos tarnyba (APD) skyrė maždaug 82 000 eurų baudą Nacionaliniam medicinos eksperto biurui už kelis BDAR pažeidimus, kilusius po saugumo pažeidimo jos svetainėje „Heilsuvera“, kurioje siūloma internetinė sveikatos priežiūros sistema ir receptų portalas.
  • Švedijos duomenų apsaugos agentūra, patikrinusi keturias įmones, kurios savo svetainėse naudojo „Google Analytics“, nurodė šioms įmonėms nutraukti šio įrankio naudojimą.

Dvi įmonės buvo nubaustos administracine bauda, o kita savanoriškai nustojo naudoti įrankį.

Auditai buvo atlikti gavus organizacijos „noyb“ skundus, kuriuose bendrovės kaltinamos neteisėtu asmens duomenų perdavimu į Jungtines Valstijas, pažeidžiant Europos teisės aktus.

  • Po minėto Europos Sąjungos Teisingumo Teismo sprendimo Norvegijos duomenų apsaugos tarnyba paskelbė elgesiu grindžiamą reklamą „Facebook“ ir „Instagram“ platformose neteisėta.

Artimiausius tris mėnesius arba kol socialinės žiniasklaidos bendrovė negalės naudoti šio metodo.

 

  • Liepos viduryje Baltieji rūmai pristatė laikinąsias priemones savanoriškų įsipareigojimų forma dėl „saugaus, patikimo ir skaidraus dirbtinio intelekto kūrimo ir naudojimo“.

„Amazon“, „Anthropic“, „Google“, „Inflection“, „Meta“, „Microsoft“ ir „OpenAI“ susitarė teikti pirmenybę dirbtinio intelekto sistemų keliamos visuomenės rizikos tyrimams ir skatinti problemų bei pažeidžiamumų atradimą ir pranešimą apie juos.

Tačiau, anot kai kurių akademinių ekspertų, šių susitarimų toli gražu nepakanka.

„Jungtinės Valstijos ir toliau siūlo savanoriškas priemones, o Europos Sąjunga ruošiasi priimti išsamiausius iki šiol matytus dirbtinio intelekto teisės aktus“, – teigė Brandie Nonnecke, Berklio universiteto „Citris“ politikos laboratorijos įkūrėja ir direktorė.

  • Tuo tarpu Federalinė prekybos komisija (FTC) tiria „OpenAI“ veikimo principus, susijusius su „ChatGPT“, ir pateikia išsamių klausimų apie jos finansines pajamas, modelių mokymą ir duomenų apdorojimą, saugumo riziką ir procedūras, turinio apie asmenis generavimą, išorines atakas, skirtas manipuliuoti LLM („greitosios injekcijos“) ir asmens duomenų apsaugą.
  • „OpenAI“ nutraukė savo įrankio, skirto atskirti žmogaus ir dirbtinio intelekto sugeneruotą tekstą, naudojimą: „Nuo 2023 m. liepos 20 d. dirbtinio intelekto klasifikatorius nebepasiekiamas dėl mažo tikslumo.“ Bendrovė tęsia tyrimus, siekdama sukurti efektyvesnį įrankį.
  • „Amazon“ sutiko sumokėti daugiau nei 30 mln. dolerių, kad išspręstų du Federalinės prekybos komisijos (FTC) iškeltus ieškinius dėl vartotojų, įskaitant vaikus, privatumo pažeidimo per balso asistentą „Alexa“ ir durų skambučio kameras „Ring“.

„Amazon“ buvo apkaltinta tuo, kad keletą metų be vartotojų sutikimo ir nepaisant prašymų ištrinti šiuos duomenis saugojo „Ring“ vaizdo įrašus ir „Alexa“ balso įrašus kartu su susijusiais geolokacijos duomenimis.

  • Singapūro informacijos ir komunikacijos žiniasklaidos plėtros tarnyba paskelbė apie partnerystę su „Google“, kuria siekiama paremti „technologijų smėlio dėžės“ iniciatyvą.

Ši iniciatyva padės įmonėms „apsaugoti vartotojų privatumą ir suteikti joms įrankius, leidžiančius toliau pasiekti duomenis be trečiųjų šalių slapukų“.

IMDA ir „Google“ partnerystė atvira visoms Singapūre įsikūrusioms įmonėms.

  • Liepos 3 d. Pietų Afrikos informacijos reguliavimo institucija Teisingumo ir konstitucinės plėtros departamentui išsiuntė pranešimą apie pažeidimą ir skyrė 5 milijonų randų (maždaug 240 000 eurų) administracinę baudą už Asmens informacijos apsaugos įstatymo (POPIA) nesilaikymą.

Gegužės mėnesį reguliuotojas išdavė įsakymą, kuriuo prašė ministerijos atnaujinti tam tikras IT saugumo licencijas (antivirusines, apsaugos nuo įsilaužimų, SIEM) ir pradėti drausmines procedūras prieš atitinkamus pareigūnus.

  • Vietname liepos 1 d. įsigaliojo asmens duomenų apsaugos įstatymas.

Jame visų pirma numatytas duomenų perdavimo poveikio vertinimų atlikimas ir duomenų apsaugos pareigūno, atsakingo už neskelbtinų duomenų tvarkymą, skyrimas.

  • Liepos 26 d. Australijoje „Meta“ dukterinėms įmonėms „Onavo“ ir „Facebook Israel“ buvo skirtos 20 mln. Australijos dolerių baudos už tai, kad jos tinkamai neįspėjo VPN vartotojų, jog jų duomenys bus renkami komerciniais tikslais.

Australijos Konkurencijos ir vartotojų apsaugos tarnybos (ACCC) skirta sankcija yra didžiausia kada nors Australijoje skirta sankcija dėl privatumo apsaugos.

lt_LTLT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV sk_SKSK sl_SISL lt_LTLT