„Legal Watch“ Nr. 84 – 2025 m. birželis. 

Papildytos kameros: CNIL nustato naujas gaires.

Liepos 11 d. CNIL nusprendė, kad „papildomų“ kamerų naudojimas tabako parduotuvėse klientų amžiui įvertinti siekiant kontroliuoti nepilnamečiams draudžiamų gaminių pardavimą nėra nei būtinas, nei proporcingas.

Šios kameros pateikiamos kaip sprendimų priėmimo įrankis. Jos remiasi dirbtinio intelekto algoritmu, kuris aktyvuojamas pagal numatytuosius nustatymus ir nuskaito visų jų matymo lauke esančių asmenų veidus, kad nustatytų, ar jie yra nepilnamečiai, ar suaugę.

CNIL (Prancūzijos duomenų apsaugos tarnyba) pažymi, kad kadangi „papildyta“ kamera atlieka tik apytikslį vertinimą, tabako pardavėjai, kad įvykdytų savo įsipareigojimus, privalo sistemingai reikalauti iš savo klientų amžiaus įrodymo. „Todėl išankstinė veido analizė kamera amžiui įvertinti neatrodo būtina: tai tik papildytų įstatymų reikalaujamus patikrinimus.“

CNIL atkreipia dėmesį į neproporcingą naudojimą, palyginti su siekiamu tikslu, dėl kurio filmuojami visi žmonės, net ir tie, kurie akivaizdžiai yra suaugę, ir neleidžiama žmonėms pasinaudoti savo teise nesutikti.

Ji taip pat mano, kad kamerų išdėstymas gyvenamosiose patalpose, tokiose kaip tabako parduotuvės, didina riziką, kad tokios priemonės bus trivializuotos ir pripratintos prie tokios stebėjimo formos, kurią sustiprina tokių priemonių gausa.

Tai ne pirmas kartas, kai reguliavimo institucija imasi veiksmų šiuo klausimu. Gegužės pabaigoje ji užsitraukė Nicos mero pyktį, uždraudusi įrengti papildytos realybės kameras priešais miesto mokyklas, atkreipdama dėmesį į asmens duomenų rinkimą ir dar kartą pabrėždama būtinybę iki minimumo sumažinti žmonių stebėjimą viešose erdvėse.

Tačiau kai kuriais atvejais CNIL pritaria išplėstinių kamerų naudojimui: todėl ji nusprendė, kad šių kamerų įrengimas prekybos centrų automatinėse kasose galėtų būti teisėtas interesas siekiant apriboti pajamų nuostolius, atsiradusius dėl klaidų ar vagysčių kasose, tačiau tam tikromis sąlygomis: sistema yra būtina siekiamam tikslui pasiekti, neproporcingai nepažeidžia asmenų teisių ir to negalima pasiekti mažiau įsikišančiu būdu.

Turi būti įgyvendintos duomenų kiekio mažinimo priemonės, pavyzdžiui, apriboti duomenų fiksavimo plotą savitarnos kasomis ir apriboti fiksavimo trukmę, raišką bei dažnumą. Be to, vartotojai turi būti informuoti apie sistemą ir jiems turi būti pasiūlyta alternatyva be kamerų.

CNIL ketina reguliuoti šių sistemų naudojimą, kiekvienu atveju užtikrindama jų būtinumą ir proporcingumą. Ji taip pat rekomenduoja taikyti projektuojant numatytos privatumo apsaugos principą.

Verta prisiminti, kad algoritminio vaizdo stebėjimo reguliavimo sistema yra nuolat besivystanti sritis, kuriai taikoma sudėtinga reguliavimo sistema.

Ši sistema skiriasi nuo biometrinių kamerų, kurios sistemingai apdoroja duomenis, susijusius su žmonių fizinėmis savybėmis, siekdamos unikaliai juos identifikuoti arba autentifikuoti.

Šios tvarkymo operacijos, susijusios su jautriais duomenimis, yra draudžiamos, išskyrus išimtines aplinkybes.

Kalbant apie „papildytas“ kameras, šiuo metu nėra konkretaus teksto, išskyrus eksperimentinę sistemą, numatytą 2023 m. gegužės 19 d. įstatyme dėl olimpinių ir parolimpinių žaidynių.

CNIL primena, kad „mechanizmai, galintys paveikti pagrindines piliečiams teikiamas garantijas dėl viešųjų laisvių įgyvendinimo, gali būti taikomi tik tuo atveju, jei įstatymas juos įgalioja ir konkrečiai reglamentuoja“.

Kitoms sistemoms turi būti įdiegtos griežtos apsaugos priemonės.

Olimpinių žaidynių įstatymo bandomasis laikotarpis neseniai buvo pratęstas iki 2027 m., nepaisant prieštaringai vertinamo vertinimo.

Šis įstatymas leidžia eksperimentiškai naudoti papildytas kameras tam tikrų svarbių sporto, pramogų ir kultūros renginių saugumui užtikrinti, laikantis labai specifinių sąlygų: aptikti gali būti tik įstatyme nurodyti renginiai, o veido atpažinimas negali būti atliekamas.

Žvelgiant iš politinės perspektyvos, CNIL ragina valdžios institucijas nubrėžti ribą tarp to, kas demokratinėje visuomenėje turėtų būti leidžiama, o kas ne: ne viskas, kas techniškai įmanoma, būtinai yra pageidautina etiniu ir socialiniu požiūriu.

 

 

Didėjant informuotumui apie kovą su diskriminacija, CNIL skelbia rekomendaciją dėl įvairovės vertinimo darbo vietoje.

Ji pabrėžia, kad tokia priemonė yra subtilus veiksmas, reiškiantis, kad darbdaviai griežtai laikosi Konstitucinės tarybos 2007 m. lapkričio 15 d. sprendimo, kuris reguliariai ir klaidingai interpretuojamas kaip absoliutus su kilme susijusios statistikos draudimas.

Komisija ypač pabrėžia, kad tyrimai turi likti neprivalomi, o darbuotojai ar atstovai turi būti tinkamai informuoti ir jų teisės turi būti gerbiamos.

Taip pat rekomenduojama teikti pirmenybę anoniminėms apklausoms ir riboti duomenis, renkamus naudojant uždarus klausimus.

CNIL taip pat paskelbė du DUK apie dirbtinio intelekto naudojimą mokyklose ir mangą, kuria siekiama didinti jaunimo informuotumą apie jų asmens duomenų apsaugą.

Ji taip pat paskelbė rekomendacijas dėl interneto auditorijos matavimo priemonių ir savęs vertinimo priemonės, skirtos įvertinti jų atitiktį teisinei sistemai.

Ji paskelbė rekomendacijas dėl dirbtinio intelekto sistemų kūrimo, kuriose nurodomos teisėto intereso naudojimo sąlygos, ypač duomenų rinkimo (žiniatinklio duomenų išgavimo) atveju, o birželio 12 d. pradėjo viešas konsultacijas dėl savo rekomendacijos projekto dėl sekimo pikselių naudojimo el. laiškuose.

Tikslas – padėti šiuos sekiklius naudojantiems subjektams geriau suprasti savo įsipareigojimus, ypač susijusius su naudotojo sutikimo gavimu.

Remiantis birželio 30 d. kibernetinio saugumo žiniasklaidos priemonės „Cybernews“ publikacija, šiuo metu internete galima rasti 16 milijardų pavogtų vartotojo vardų ir slaptažodžių.

Pavojinga informacija apima identifikatorius, tokius kaip vartotojo vardai ir el. pašto adresai, taip pat slaptažodžius.

Kataloguose taip pat yra prieigos žetonai, prisijungimo slapukai ir metaduomenys.

 Tai nebūtų naujas duomenų nutekėjimas, o skirtingų ankstesnių duomenų nutekėjimų susikaupimas, kuris gali padidinti duomenų vagystės riziką, palengvindamas kenkėjiškų veikėjų darbą.

„Google“ gresia rekordinė 525 milijonų eurų bauda už slapukų ir reklamos tvarkymą „Gmail“ pašto dėžutėse.

Savo sprendimo projekte CNIL kaltina „Google“ pažeidus Europos Sąjungos direktyvą „Privatumas ir elektroniniai ryšiai“, nes negavo naudotojo sutikimo atsisiųsti slapukus kuriant „Gmail“ paskyrą ir rodyti „Gmail“ pašto dėžutėse reklamas, kurios atrodo kaip el. laiškai.

Jei CNIL ribotos sudėties komitetas patvirtins baudą, tai bus didžiausia bauda CNIL istorijoje ir didžiausia kada nors skirta bauda už E. privatumo direktyvos pažeidimą. Galutinis sprendimas bus paskelbtas po kelių savaičių.

BDAR nesilaikymas yra sutarties nutraukimo pagrindas, ypač skaitmeninės komunikacijos plėtros paslaugų srityje: remdamasis ankstesniais sprendimais, 2025 m. birželio 11 d. sprendime Bordo apeliacinis teismas patvirtino reCAPTCHA apsaugos priemonės, susijusios su keliais slapukais, įdiegtais be galutinio vartotojo sutikimo, buvimą.

Atsižvelgiant į tai, kad paslaugų teikėjas nuolat pažeidžia sutartį, klientas turi teisę reikalauti nutraukti sutartį pagal Civilinio kodekso 1610, 1217 ir 1224 straipsnius.

 

Europos institucijos ir įstaigos

Europos dirbtinio intelekto reglamento įgyvendinimo tvarkaraštis buvo paskelbtas birželio viduryje.

Po gandų apie galimą lengvatinį laikotarpį Komisija patikslino, kad tekstas bus taikomas laikantis nustatytų terminų.

Reglamentas taikomas dirbtinio intelekto sistemoms atsižvelgiant į jų keliamą riziką ir bendrosios paskirties dirbtinio intelekto modeliams (GPAI) atsižvelgiant į jų galimybes.

GPAI taisyklės įsigalios 2026 m. rugpjūčio 2 d.; esamoms sistemoms taikymas prasidės 2027 m. rugpjūčio 2 d.

Be to, liepos 10 d. buvo paskelbtas Bendrosios paskirties dirbtinio intelekto gerosios praktikos kodeksas.

Jį sudaro 3 skyriai.

Skyriuose apie skaidrumą ir autorių teises visiems bendrosios paskirties dirbtinio intelekto modelių teikėjams suteikiama priemonė įrodyti, kad jie laikosi savo įsipareigojimų pagal Dirbtinio intelekto įstatymo 53 straipsnį.

Saugos ir apsaugos skyrius taikomas tik nedideliam skaičiui labai pažangių modelių tiekėjų, kuriems taikomi Dirbtinio intelekto įstatymo 55 straipsnyje nustatyti bendrosios paskirties dirbtinio intelekto modelių, keliančių sisteminę riziką, tiekėjams taikomi įpareigojimai.

Remiantis vidiniu dokumentu, su kuriuo susipažino „MLex“, Europos Komisijos pasiūlymas dėl „skaitmeninio omnibuso“ šiuo metu turėtų būti pateiktas iki gruodžio 10 d.

Tai bus dokumentų rinkinio, apimančio Skaitmeninių tinklų reglamentą, Kibernetinio saugumo reglamento peržiūrą ir Europos elektroninę piniginę, dalis.

Debesų kompiuterijos ir dirbtinio intelekto plėtros reglamentai preliminariai numatyti kitą savaitę.

Birželio pabaigoje Europos institucijos priėmė bendrą poziciją dėl papildomų procedūrinių taisyklių, susijusių su BDAR įgyvendinimu. Dabar tekstą turi oficialiai patvirtinti Europos Parlamentas balsuodamas.

Dviejų dienų susitikime Helsinkyje, liepos 1 ir 2 dienomis, Europos duomenų apsaugos valdyba (EDAV) paskelbė, kad padės organizacijoms geriau suprasti savo įsipareigojimus pagal BDAR, paskelbdama supaprastintas gaires. Savo pareiškime valdybos pirmininkė nurodė, kad „glaustų ir savalaikių gairių bei paruoštų naudoti priemonių, tokių kaip bendras duomenų saugumo pažeidimo pranešimo šablonas, kontroliniai sąrašai, praktiniai vadovai ir DUK, pagalba užtikrinsime, kad BDAR atitiktis būtų pasiekiama ir prieinama visiems“.

Transatlantiniai duomenų srautai kol kas lieka galioti pagal „Duomenų apsaugos sistemą“, nepaisant Trumpo administracijos priemonių, kurios silpnina duomenų apsaugos sistemą Jungtinėse Valstijose.

Birželio viduryje Europos Komisija, atsakydama į parlamento klausimą, patvirtino, kad PCLOB (Privatumo ir pilietinių laisvių priežiūros komiteto) narių atleidimas neturi įtakos ES ir Jungtinių Valstijų duomenų apsaugos sistemos galiojimui, nes PCLOB toliau gali veikti.

 

Naujienos iš Europos Sąjungos šalių narių.

Berlyno žemės duomenų apsaugos institucija (DPA) birželio 27 d. sprendime padarė išvadą, kad „DeepSeek“ duomenų perdavimas Kinijai yra neteisėtas, ir paprašė „Google“ bei „Apple“ blokuoti programėlę.

Pranešama, kad „DeepSeek“ negalėjo pateikti DPA įtikinamų įrodymų, jog Vokietijos vartotojų duomenys Kinijoje yra apsaugoti tokiu pat lygiu kaip ir Europos Sąjungoje.

„Kinijos valdžios institucijos turi plačias prieigos prie Kinijos įmonių saugomų asmens duomenų teises. Be to, „DeepSeek“ naudotojai Kinijoje neturi vykdytinų teisių ir veiksmingų teisinių gynimo priemonių, kurios garantuojamos Europos Sąjungoje.“

Belgijos APD Birželio 26 d. atmetė 16 NVO „Noyb“ pateiktų skundų 5 skirtingose bylose, motyvuodamas tuo, kad nebuvo jokių realių (ne fiktyvių) atitinkamų asmenų įgaliojimų.

Savo pranešime spaudai APD pabrėžia skirtumą tarp BDAR 80(1) ir 80(2) straipsnių ir tai, kad Belgijos įstatymų leidėjas nusprendė neleisti vartotojų teisių organizacijoms teikti skundų be įgaliojimų.

Baigdama ji pareiškė, kad „atsižvelgdama į šių organizacijų svarbą, ji pritaria įstatymo pataisai, kuri leistų šią galimybę ir Belgijoje“.

DanijojeAutorių teisių įstatymo pakeitimas suteiks piliečiams teisę į savo balsą, veidą ir kūną, net kai juos skaitmeniniu būdu atkuria generatyvinis dirbtinis intelektas.

Danijos kultūros ministras šiuo klausimu pareiškė, kad „žmonėms gresia pavojus būti paverstiems skaitmeniniais kopijavimo aparatais ir panaudotiems įvairiems piktnaudžiavimo tikslams, ir aš nesu pasirengęs su tuo susitaikyti“.

IspanijojeAPD skyrė „Carrefour“ 3 200 000 eurų baudą už virtinę duomenų nutekėjimų.

Ji nustatė, kad „Carrefour“ neįgyvendino tinkamų saugumo priemonių ir nepranešė apie pažeidimą susijusiems asmenims.

APD taip pat skyrė 12 000 eurų baudą subrangovui už tai, kad jis sudarė sutartį su antriniu subrangovu be duomenų valdytojo leidimo, pažeisdamas BDAR 28(2) straipsnį.

„Microsoft“ Airijoje pareiškė pirmąjį kolektyvinį ieškinį Airijos pilietinių laisvių taryba (ICCL) gegužės pabaigoje pradėjo bylą Dublino Aukštajame Teisme. Šiame ieškinyje, pateiktame pagal naująją Europos kolektyvinio teisių gynimo direktyvą, teigiama, kad „Microsoft“ naudojama realiuoju laiku vykdomo pasiūlymų teikimo (RTB) sistema, skirta tikslinei internetinei reklamai teikti, yra nesuderinama su BDAR.

Su prieigos prašymais susiję dokumentai negali būti saugomi neribotą laiką: po vartotojo inicijuoto tyrimo, Lietuvos oficiali vystymosi parama įpareigojo medicinos paslaugų teikėją nustatyti dokumentų, susijusių su prašymų susipažinti su duomenimis nagrinėjimu, saugojimo laikotarpius.

Saugokitės sekimo pikselių: Norvegijos oficialioji paramos parama (OPV) skyrė 250 000 Norvegijos kronų (21 600 eurų) baudą Kristiansando savivaldybei už neteisėtą vaikų asmens duomenų tvarkymą per „Snap“ ir „Meta pixels“ savo vaikų išnaudojimo pagalbos linijos svetainėje.

APD taip pat nusprendė, kad informacija, susijusi su apsilankymais svetainės puslapiuose, kuriuose yra turinio apie konkrečias medicinines problemas, yra jautri duomenys, ir papeikė bendrovę už neteisėtą šios jautrios informacijos tvarkymą naudojant „Meta“ pikselį.

 

Jungtinėje Karalystėje Duomenų naudojimo ir prieigos įstatymas (DUAA) gavo karališkąjį pritarimą birželio 19 d. Šiame įstatyme yra nuostatų, skirtų skatinti skaitmeninio patvirtinimo paslaugų, naujų išmaniųjų duomenų programų, tokių kaip atviroji bankininkystė, ir naujo nacionalinio požeminio turto registro plėtrą.

Taip pat numatyti reikšmingi JK duomenų apsaugos įstatymų pakeitimai.

DUAA nepakeis JK BDAR, tačiau atliks tam tikrus pakeitimus, „siekiant supaprastinti taisykles organizacijoms, skatinti inovacijas, padėti teisėsaugos institucijoms kovoti su nusikalstamumu ir sudaryti sąlygas atsakingam dalijimuisi duomenimis, kartu išlaikant aukštus duomenų apsaugos standartus“.

Jungtinėse Valstijose neseniai priimtas Aukščiausiojo Teismo sprendimas byloje „Free Speech Coalition prieš Paxton“ sukėlė sukrėtimą skaitmeninėje erdvėje.IAPP straipsnyje reiškiamas susirūpinimas dėl amžiaus patvirtinimo, saviraiškos laisvės ir jų poveikio privatumui sąvokų kvestionavimo.

Birželio 27 d. nutartis patvirtina Teksaso įstatymą, reikalaujantį, kad suaugusiesiems skirtą turinį siūlančios svetainės tikrintų lankytojų amžių, naudodamos potencialiai įžeidžiančius metodus, tokius kaip biometriniai duomenys. Nors šiuo sprendimu siekiama apsaugoti nepilnamečius nuo atviro turinio, jis taip pat kelia klausimų dėl rizikos, susijusios su neskelbtinos asmeninės informacijos rinkimu.

Jungtinėse Valstijose Kongresas liepos pradžioje taip pat balsavo už „Vieno didelio gražaus įstatymo“ priėmimą.kodifikuojanti prezidento Trumpo nacionalinę darbotvarkę, išskyrus vieną esminę išimtį: dirbtinio intelekto reguliavimo moratoriumą, kuris iš pradžių buvo įtrauktas į įstatymo projektą. Šis moratoriumas būtų sustabdęs daugiau nei 1000 dirbtinio intelekto reguliavimo įstatymų projektų, kurie nuo sausio mėnesio buvo svarstomi valstijų sostinėse.

„WhatsApp“ savininkė „Meta“ birželio 16 d. paskelbė apie naujų funkcijų, skirtų „WhatsApp“ skirtukui „Atnaujinimai“, paleidimą, įskaitant tikslinę reklamą ir prenumeratos modelį.Bendrovė teigė, kad šios funkcijos bus palaipsniui diegiamos vartotojams „per ateinančius kelis mėnesius“. Šiuo tikslu „Meta“ naudos „reklamos nuostatas ir informaciją“ iš vartotojų „Facebook“ ir „Instagram“ paskyrų, susietų su „WhatsApp“.

Airijos duomenų apsaugos komisija (DPC) teigė, kad „WhatsApp“ informavo ją, jog jos reklamos modelis ES nebus įdiegtas iki 2026 m. ir kad jis bus aptartas su kitomis duomenų apsaugos institucijomis, kad jos, kaip Europos reguliavimo institucijos, galėtų pareikšti susirūpinimą.

Gegužės 26 d. laikraščio „L'Express“ duomenimis, Rusija planuoja nuo 2025 m. rugsėjo 1 d. įgyvendinti eksperimentinį projektą, pagal kurį laikinai Maskvoje ir jos regione viešintys užsieniečiai privalės naudoti mobiliąją geolokacijos programėlę ir atlikti biometrinius patikrinimus.Vartotojai turės užsiregistruoti programėlėje, „sutikti su jų asmens duomenų, įskaitant geolokaciją, rinkimu, nurodyti Vidaus reikalų ministerijai savo gyvenamąją vietą ir atnaujinti ją per tris dienas, jei persikelia“.