„Legal Watch“ Nr. 87 – 2025 m. rugsėjis. 

 

Penkeri metai po „Brexit“: žvilgsnis į padėtį Jungtinėje Karalystėje.

Nuo tada, kai Jungtinė Karalystė išstojo iš Europos Sąjungos, Britanijos duomenų apsaugos įstatymai pamažu, bet užtikrintai tolsta nuo Europos reguliavimo sistemos.

Nors abiejose Lamanšo sąsiaurio pusėse pastebima tendencija supaprastinti standartus, Jungtinė Karalystė lenkia Europos Sąjungą.

Po „Brexit“ 2018 m. Duomenų apsaugos įstatymas (DPA) buvo iš dalies pakeistas, kad ir toliau papildytų „JK BDAR“ – britų BDAR versiją, įsigaliojusią 2021 m. sausio 1 d.

Jungtinė Karalystė taip pat priėmė Privatumo ir elektroninių ryšių reglamentus (PECR), kuriais įgyvendinama Europos e. privatumo direktyva.

2025 m. birželio 19 d. priimtas Duomenų naudojimo ir prieigos įstatymas (DUAA) yra svarbi JK asmens duomenų tvarkymo reforma.

Juo keičiamas ir papildomas tiek JK BDAR, tiek DPA, tiek PECR, ir tai yra strateginis lūžio taškas, kuriuo JK nutolsta nuo pagrindine teise paremtos vizijos ir pereina prie pragmatiškesnio ir inovacijomis pagrįsto požiūrio.

Pagrindiniai jos tikslai yra šie:

• Pasiūlyti platesnį „pripažintų teisėtų interesų“ teisinį pagrindą tam tikrai tvarkymo veiklai, įskaitant archyvavimą viešojo intereso, visuomenės saugumo ar mokesčių tikslais;
• Suteikiant įmonėms galimybę sustabdyti prieigos prašymų atsakymo laiką,
• Supaprastinti slapukų taisykles;
• Tarptautinio duomenų perdavimo palengvinimas;
• Skatinti inovacijas skaitmeninių paslaugų ir dirbtinio intelekto srityje, sušvelninant automatizuotų sprendimų priėmimo sistemą;
• Įvesti „privatumo užtikrinimo sistemą pagal dizainą“ skaitmeninėse paslaugose, skirtose vaikams,
• Kad būtų galima įdiegti skaitmeninę tapatybę,
• Supaprastinti taisykles, susijusias su policija ir žvalgybos tarnybomis.

Vis dėlto kai kurie atkreipia dėmesį į šių reformų riziką, ypač į individualių teisių silpninimą.

Automatizuoto sprendimų priėmimo srityje jie nurodo, pavyzdžiui, 2020 m. „A lygio“ egzamino rezultatų fiaską, kai algoritmas skyrė nesusijusius pažymius, ir Darbo ir pensijų departamento (DWP) sukčiavimo aptikimo įrankių klaidas, kurios padarė daug žalos suinteresuotiesiems asmenims.

Vyriausybės spalio pradžioje paskelbtas skaitmeninės tapatybės projektas sukėlė protestų audrą – milijonai Britanijos piliečių pasirašė peticiją, reikalaujančią projekto atšaukimo.

Jau keletą metų Britanijos vyriausybė taip pat stengiasi įdiegti mechanizmus, leidžiančius pasiekti užšifruotą komunikacijos turinį: viešose diskusijose daugiausia dėmesio skiriama prieštaringai vertinamiems techniniams metodams, tokiems kaip „kliento pusės skenavimas“.

Reikėtų pažymėti, kad Europos Sąjunga šiuo metu svarsto susijusią temą: spalio 14 d. Europos Vadovų Tarybos darbotvarkėje vėl yra CSAR pasiūlymas, kuriuo siekiama užkirsti kelią seksualinei prievartai prieš vaikus ir su ja kovoti.

Šį pasiūlymą, kuriuo numatoma galimybė nuskaityti pranešimus vartotojo įrenginyje prieš juos išsiunčiant, daugelis mokslininkų ir pilietinės visuomenės laiko neveiksmingu ir ypač pavojingu pagrindinėms teisėms ir pačiam šifravimui.

Europos Sąjunga taip pat šiuo metu siekia supaprastinti duomenų reglamentavimo sistemą, taikydama „skaitmeninį omnibuso paketą“.

Komisija paskelbė kvietimą teikti įnašus, kuris baigiasi spalio 14 d., ir apima duomenų teisės aktų sritis, įskaitant taisykles dėl slapukų ir kitų sekimo technologijų, pranešimą apie kibernetinio saugumo incidentus ir tam tikrus dirbtinio intelekto teisės aspektus.

Kalbant konkrečiau apie BDAR, iškilę klausimai apima, pavyzdžiui, registro tvarkymo prievolės apribojimą organizacijoms, turinčioms daugiau nei 500 darbuotojų, palyginti su dabartine 250 darbuotojų riba. Europos Sąjunga šiuo metu neginčija pagrindinių reglamento principų.

Abiejose Lamanšo sąsiaurio pusėse paskelbta nauda pramonei yra susijusi su atitikties sąnaudų sumažėjimu.

Tačiau mažiau suprantamos pačios reformos įgyvendinimo išlaidos, klaidų ar ginčų kaina ir vartotojų pasitikėjimo nuostoliai. Šis argumentas buvo iškeltas ir liepos viduryje Europos Komisijos surengtame „įgyvendinimo dialoge“. Privatus sektorius nurodė, kad „investavo į atitiktį reikalavimams ir kad bendras atnaujinimas galėtų sukelti netikrumo, ypač tarptautinių duomenų perdavimo kontekste“.

Šiandien Britanijos reformų naudos ir rizikos santykis bei jų poveikis tarptautinėms partnerystėms ir, dar svarbiau, JK tinkamumo sprendimo su ES išlaikymui tebėra neaiškūs.

Vis dėlto Europos Komisijos tinkamumo sprendimo projekte pritariama Jungtinės Karalystės apsaugos lygio pripažinimui.

Tačiau jis turi būti pateiktas Europos duomenų apsaugos valdybai, kad ši pateiktų nuomonę, ir aptartas Taryboje.

Tikėkimės, kad galutinis sprendimas bus ypač skaidrus dėl į tai įtrauktų kriterijų, atsižvelgiant į vėlesnius Britanijos įstatymų pakeitimus.

Tai atrodo būtina siekiant ateityje užtikrinti pakankamą teisinį tikrumą tiek Europos įmonėms, tiek toms, kurios įsteigtos už ES ribų.

 

      

2025 m. rugsėjo 18 d. CNIL skyrė bendrovei „Samaritaine SAS“ 100 000 eurų baudą už kamerų slėpimą parduotuvės sandėliavimo zonoje.

Šios kameros buvo užmaskuotos kaip dūmų detektoriai ir galėjo įrašyti garsą.

CNIL priminė, kad darbdavys gali įrengti paslėptas kameras išimtinėmis aplinkybėmis ir su sąlyga, kad užtikrinama teisinga pusiausvyra tarp siekiamo tikslo (turto ir asmenų apsaugos) ir darbuotojų privatumo apsaugos.

Pavyzdžiui, tokia sistema galėtų būti leidžiama, jei ji būtų laikina ir diegiama atlikus dokumentuotą jos suderinamumo su BDAR analizę ir atsižvelgiant į išimtines aplinkybes.

Šiuo atveju bendrovė pranešė apie rezervatuose įvykdytas vagystes ir paaiškino, kad sistema yra laikina, tačiau neatliko jokios išankstinės BDAR atitikties analizės ir nedokumentavo laikino įrengimo pobūdžio.

CNIL taip pat paskelbė keletą turinio elementų apie neaktyvių audiovizualinių ir vaizdo žaidimų specialistų paskyrų valdymą, mokyklų vaizdo įrenginiuose ir vaikų geolokaciją.

Nacionalinė Asamblėja rugsėjo 9 d. specialiajame komitete priėmė kibernetinio saugumo atsparumo įstatymo projektą. 

Komiteto pirmininkas Philippe'as Latombe'as priėmė pataisą, kuria siekiama įtvirtinti ištisinį šifravimą 16 bis straipsnyje: „Šifravimo paslaugų teikėjams, įskaitant kvalifikuotus patikimumo užtikrinimo paslaugų teikėjus, negalima taikyti pareigos integruoti techninius įrenginius, kuriais siekiama sąmoningai susilpninti informacinių sistemų ir elektroninių ryšių saugumą, pavyzdžiui, pagrindinius iššifravimo raktus ar bet kokį kitą mechanizmą, leidžiantį be sutikimo pasiekti saugomus duomenis.“

Šis tekstas, kuriuo į Prancūzijos teisę perkeliamos Europos direktyvos NIS2, DORA ir REC, turėtų ženkliai padidinti bendrą kibernetinio saugumo lygį.

 

Europos institucijos ir įstaigos

Rugsėjo 10 d. Ursula von der Leyen pasakė pranešimą apie Sąjungos padėtį, kuriame dar kartą patvirtino, kad Europa išliks suverenitetas nustatydama savo taisykles ir standartus, taip atmesdama transatlantinę kritiką.

Tą pačią dieną 39 Europos pramonės lyderiai ir asociacijos pasirašė Europos deklaraciją dėl dirbtinio intelekto ir technologijų, įsipareigodami investuoti į Europos technologinį suverenitetą.

Ponia von der Leyen pakartojo pagrindinius ES dirbtinio intelekto strategijos prioritetus, įskaitant būsimą debesijos ir dirbtinio intelekto plėtros reglamentą, „Quantum Sandbox“ iniciatyvą ir dideles investicijas į Europos dirbtinio intelekto „gigafabrikus“.

Būsimame debesijos ir dirbtinio intelekto plėtros reglamente galėtų būti numatytos duomenų suvereniteto ir lokalizavimo priemonės, suderintos su būsima Sąjungos duomenų strategija.

Komisijos pirmininkas taip pat pabrėžė Europos reguliavimo supaprastinimo tikslus, pabrėždamas naujausius reformų pasiūlymus, kurie galėtų turėti įtakos duomenų apsaugai, pavyzdžiui, duomenų registrų įpareigojimų mažinimą ir incidentų pranešimo reikalavimų supaprastinimą skaitmeninės teisės aktuose.

Galiausiai ji aptarė vaikų saugumo internete klausimą, paskelbdama, kad Komisija iki metų pabaigos kreipsis į ekspertus, galbūt pasiremdama Australijos požiūriu į socialinės žiniasklaidos apribojimus.

Duomenų reglamentas (Duomenų įstatymas) įsigaliojo 2025 m. rugsėjo 12 d.

Šis tekstas suteikia prijungtų produktų naudotojams (įmonėms ar asmenims, kurie valdo, nuomoja ar lizingo būdu įsigyja tokį produktą) didesnę jų generuojamų duomenų kontrolę, kartu išlaikant paskatas tiems, kurie investuoja į duomenų technologijas.

Taip pat apibrėžiamos bendrosios sąlygos, taikomos situacijoms, kai įmonė turi teisinę prievolę dalytis duomenimis su kita įmone.

Europos duomenų apsaugos valdyba paskelbė gaires dėl Skaitmeninių paslaugų reglamento ir BDAR sąveikos, kurios viešoms konsultacijoms skirtos iki spalio mėnesio pabaigos.

ES Teismas įpareigojo Europos Komisiją sumokėti 50 000 eurų kompensaciją asmeniui, susijusiam su Europos kovos su sukčiavimu tarnybos (OLAF) pranešimu spaudai.

Nors pranešime spaudai vardas nebuvo paminėtas, kontekstinės užuominos leido identifikuoti tyrėją. Nagrinėjama byla, OC prieš Komisiją [C-479/22 P], buvo cituojamas neseniai nagrinėtoje EDAPP prieš SRB byloje, kuri dabar sukelia stiprią reakciją dėl asmens duomenų, pagal kuriuos galima nustatyti tapatybę, pobūdžio.

 

Naujienos iš Europos Sąjungos šalių narių.

Vokietijoje Federalinis darbo teismas nusprendė, kad bendrovė neteisėtai perdavė savo darbuotojo asmens duomenis savo patronuojančiai bendrovei, kad galėtų išbandyti žmogiškųjų išteklių valdymo programinę įrangą.

Šis perkėlimas negalėjo būti pateisinamas teisėtu interesu, nes būtų pakakę fiktyvių duomenų. Teismas priteisė darbuotojui 200 eurų žalos atlyginimą už patirtą emocinį išgyvenimą.

Austrijoje teismas nusprendė, kad duomenų subjekto teisė susipažinti su duomenimis pasibaigia jam mirus ir neperduodama teisių perėmėjui. Todėl teismas apeliacinio proceso metu panaikino duomenų apsaugos institucijos sprendimą dėl teisės susipažinti su duomenimis pažeidimo po duomenų subjekto mirties.

Austrijos vartotojų teisių organizacija VSV pateikė kolektyvinį ieškinį prieš bendrovę „Meta“ Austrijoje ir Vokietijoje, siekdama iki 5000 eurų žalos atlyginimo asmenims, vyresniems nei 18 metų. Ieškinys susijęs su profesionaliais „Meta“ įrankiais, kurie, VSV teigimu, naudojami „neteisėtam vartotojų asmeninio gyvenimo stebėjimui“.

Belgijos duomenų apsaugos institucija skyrė 9 700 eurų baudą studentų bendrabučio savininkui už neteisėtą vaizdo stebėjimo sistemos, kuri nebuvo būtina turto apsaugai ar bendrabučio taisyklių laikymosi stebėjimui ir negalėjo būti pagrįsta teisėtu interesu ar nuomos sutarties vykdymu, naudojimą.

Ispanijos duomenų apsaugos agentūra (APD) skyrė 1 800 000 eurų baudą bendrovei, kuri be teisinio pagrindo tvarkė savarankiškai dirbančių asmenų asmens duomenis, kuriuos surinko valdžios institucija.

Ji manė, kad nors Ispanijos mokesčių agentūra (AEAT) turėjo teisę perduoti tam tikrus duomenis Prekybos rūmams, vėlesnis perdavimas bendrovei „Camerdata“ ir šių duomenų naudojimas komerciniais ir rinkodaros tikslais neturėjo jokio pagrįsto teisinio pagrindo.

Bendrovės nurodytas teisėtas interesas nenusvėrė rizikos darbuotojų, kurių duomenys buvo atskleisti, teisėms ir laisvėms.

Estijoje farmacijos bendrovei „Allium UPI“ buvo skirta 3 000 000 eurų bauda už tai, kad ji neįgyvendino tinkamų techninių ir organizacinių priemonių, tokių kaip daugiafaktorinis autentifikavimas, dėl ko įvyko duomenų saugumo pažeidimas, paveikusis 750 000 žmonių, įskaitant vaikus ir pažeidžiamas grupes.

Suomijoje APD skyrė 1 800 000 eurų baudą bankui („S-Pankki Oyj“) už tai, kad šis neįgyvendino pakankamų techninių ir organizacinių priemonių, susijusių su nauja prisijungimo funkcija savo programėlėje, dėl ko jo klientai neteisėtai galėjo pasiekti kitų klientų sąskaitas.

Italijos duomenų apsaugos tarnyba (APD) nusprendė, kad įmonės klientas turi teisę atšaukti savo sutikimą naudoti jos atvaizdą įmonės reklamoje. Ji patikslino, kad sutikimą galima atšaukti nepaisant jokių neigiamų ekonominių pasekmių duomenų valdytojui.

Rugsėjo 17 d. Senate balsavus, Italija tapo pirmąja Europos šalimi, priėmusia dirbtinio intelekto įstatymą.

Apibrėžus bendrųjų principų sistemą, įstatyme ypatingas dėmesys skiriamas tokiems svarbiausiems sektoriams kaip darbas, sveikatos apsauga ir teisingumas.

Taip pat reglamentuojamas nepilnamečių dirbtinio intelekto naudojimas ir įtrauktos baudžiamosios nuostatos.

Nyderlandų duomenų apsaugos tarnyba (DPA) šiuo metu atlieka tyrimą, bendradarbiaudama su Italijos, Liuksemburgo ir Vengrijos duomenų apsaugos tarnybomis, kaip išmanieji televizoriai tvarko asmens duomenis.

Ataskaitoje visų pirma pažymima, kad išmanieji televizoriai siunčia didelį kiekį duomenų juos įrengiant, kasdien naudojant, budėjimo režimu ir net išjungus, ir kad jie veikia neskaidrioje interneto ekosistemoje, kurioje dalyvauja skirtingos šalys: gamintojai, operacinių sistemų teikėjai, programų kūrėjai ir kt.

Jis atkreipia dėmesį, kad vartotojai dažnai neturi kito pasirinkimo, kaip tik sutikti su privatumo politika, ir jiems sunku nustatyti už duomenų tvarkymą atsakingus asmenis.

Iš anksto įdiegtos programos (kartais neįmanoma pašalinti) kelia klausimų dėl duomenų kiekio mažinimo ir naudotojų teisių.

Po Šveicarijos atvirojo kodo pokalbių platformos „Apertus AI“ paleidimo atsirado dar vienas svarbus atvirojo kodo mašininio mokymosi modelis, kurį remia viešoji įstaiga Europoje: „TildeOpen LLM“.

Tai fundamentalus lingvistinis modelis, skirtas kompensuoti esamų teisės mokslų (LLM) silpnybes, susijusias su Šiaurės ir Rytų Europos kalbomis, kurios šiuo metu yra nepakankamai atstovaujamos.

Šis 30 milijardų parametrų modelis buvo sukurtas finansuojant Europos Komisijai ir apmokytas LUMI superkompiuteriu.

Šie du modeliai paskelbė, kad atitinka Europos dirbtinio intelekto reglamentą.

 

 

Praėjusį rugsėjį Seule vykusioje 47-ojoje Generalinėje Asamblėjoje privatumo apsaugos klausimais buvo dar kartą patvirtinta, kad duomenų privatumas ir saugumas yra esminiai klausimai, su kuriais šiandien susiduria pasaulis.

Kasmetinis renginys suburia reguliavimo institucijas, taip pat įmones ir organizacijas iš viso pasaulio.

Šia proga dvidešimt duomenų apsaugos institucijų priėmė bendrą deklaraciją, siekdamos sukurti patikimą dirbtinio intelekto valdymo sistemą.

Jie pasisako už duomenų apsaugos principų integravimą nuo projektavimo etapo, patikimo duomenų valdymo įdiegimą ir rizikos valdymo numatymą.

Pareiškime taip pat pabrėžiamas didėjantis duomenų tvarkymo sudėtingumas šiame kontekste ir pabrėžiama dalyvaujančių subjektų įvairovė, taip pat poreikis sukurti prie technologinės pažangos pritaikytą reguliavimo sistemą.

Jungtinėse Valstijose „uždarymas“ turi reikšmingų pasekmių duomenų apsaugai.

Kai kurios federalinės agentūros, įskaitant Federalinę prekybos komisiją (FTC) – pagrindinę įstaigą, atsakingą už duomenų privatumo užtikrinimą, yra beveik visiškai uždarytos.

Federalinėje prekybos komisijoje (FTC) labiausiai dėl priverstinių atleidimų nukentėjo Vartotojų apsaugos biuras.

Išskyrus atvejus, kai žala laikoma itin rimta, vartotojų teisių apsaugos bylos bus sustabdytos, nesvarbu, ar jos susijusios su preliminariais tyrimais, administracinėmis procedūromis, ar ieškiniais federaliniuose teismuose.

JAV „ChatGPT Plus“, „Pro“ ir „Free“ naudotojai dabar gali pirkti tiesiogiai iš „Etsy“ pardavimo platformos, o netrukus bus galima naudotis ir daugeliu kitų pardavėjų.

Tai reiškia, kad „ChatGPT“, kaip ir kitų agentinių dirbtinio intelekto sistemų atveju, vartotojas suteikia trečiosioms šalims prieigą prie savo asmeninės informacijos, ypač banko informacijos, su visomis su tuo susijusiomis duomenų pažeidžiamumo problemomis.