„Legal Watch“ Nr. 85 – 2025 m. liepa. 

 

Atitiktis BDAR: kokia ekonominė nauda?

Suaugusiųjų profesinio mokymo asociacijos (AFPA) ir CNIL atlikti tyrimai dabar patvirtina ekonominę naudą, susijusią su duomenų apsaugos pareigūno (DAP) buvimu įmonėse.

AFPE 2024 m. sausio mėn. atliktą statistinį tyrimą, pagrįstą daugiau nei 3600 duomenų apsaugos pareigūnų atsakymų, papildė CNIL išsamiais interviu su dešimčia Prancūzijos duomenų apsaugos korespondentų asociacijos (AFCDP) pasiūlytų duomenų apsaugos pareigūnų.

Šių analizių rezultatai, kuriuos CNIL pristatė liepos pabaigoje, įvardija keturis pagrindinius privalumus įmonėms, turinčioms duomenų apsaugos pareigūną: konkurencingumą, sankcijų išvengimą, duomenų nutekėjimo išvengimą ir duomenų valdymo racionalizavimą.

Šią naudą pastebi įvairaus dydžio įmonės, ypač „Tyrimų, IT ir konsultavimo“ bei „Bankininkystės, draudimo ir savitarpio pagalbos“ sektoriuose veikiančios.

• Kalbant apie konkurencingumą, BDAR laikymasis atrodo kaip svertas laimėti konkursus, ypač kai jie susiję su duomenimis.

Šiame kontekste duomenų apsaugos pareigūnas yra pagrindinis pirkėjų kontaktinis asmuo.

• Nors duomenų apsaugos pareigūnas padeda sumažinti sankcijų riziką, ši nauda apima ne tik baudų dydį, bet ir reputacijos aspektus.

Be poveikio įmonių pajamoms, sankcijos taip pat gali paveikti įmonių finansinius reitingus ir atitinkamai jų finansavimo galimybes.

• Kalbant apie saugumą, duomenų apsaugos pareigūnas kartu su vyriausiuoju informacijos saugumo pareigūnu (CISO) atlieka pagrindinį vaidmenį didinant darbuotojų informuotumą ir įgyvendinant vidaus duomenų apsaugos bei incidentų valdymo politiką.

Šiuo atžvilgiu CNIL atkreipia dėmesį, kad, remiantis 2024 m. IBM tyrimu, vidutinė duomenų saugumo pažeidimo kaina yra 5 mln. USD.

• Galiausiai, duomenų valdymo supaprastinimas leidžia sutaupyti pinigų serveriams, kurie gali siekti kelis šimtus tūkstančių eurų, ir pagerinti sprendimų priėmimo efektyvumą.

Šiuo atžvilgiu 2023 m. metinių apžvalgų tyrime apie skaitmeninio privatumo ekonominius aspektus taip pat pažymėta, kad „per didelis duomenų kiekis gali sumažinti įmonės rinkos galią“.

CNIL ataskaitoje atsižvelgiama į tai, kaip duomenų valdytojas suvokia reglamentus. 

Kuo labiau duomenų apsaugos pareigūnas ir įmonė įsitikinę BDAR laikymosi nauda ir integruoja jo principus į vidinius procesus, tuo labiau jaučiamas teigiamas poveikis, kitaip nei įmonėse, kurios atitiktį laiko suvaržymu.

Taigi, atsižvelgiant į reglamento principus, būtų sukurtas teigiamas motyvacijos ir naudos ratas.

Prancūzijoje atliktas tyrimas nėra vienintelis, kuriame nustatyta duomenų reguliavimo ekonominė nauda. 

Taip pat pabrėžiami papildomi aspektai, pavyzdžiui, Europos duomenų apsaugos valdyba (EDAV), kuri pabrėžia pasitikėjimą, kurį tarp asmenų sukuria įgyvendinant matomą duomenų apsaugos politiką, neapsiribojant vien konkursų skelbimu.

Anksčiau šiais metais EBPO taip pat paskelbė tarptautinių duomenų srautų analizę, kurioje teigiama, kad „režimai, numatantys apsaugos priemones, užtikrina pusiausvyrą tarp su duomenų reguliavimu susijusių prekybos sąnaudų ir duomenų apsaugos priemonių teikiamos naudos pasitikėjimo požiūriu“.

Duomenų vagysčių intensyvėjimo ir dirbtinio intelekto plėtros kontekste kyla vis daugiau etinių klausimų, asmenų pasitikėjimo įgijimas ir išlaikymas yra didelis visuomenės pranašumas.

 

        

2025 m. rugpjūčio 8 d. sprendime Konstitucinė Taryba paskelbė antikonstitucine ribotos sudėties CNIL praktiką nepranešti asmenims, kuriuos ji nori išklausyti posėdžių metu, arba prašymams pateikti pastabas, apie teisę tylėti.

Šis sprendimas grindžiamas teise neduoti parodymų prieš save, kylančia iš Žmogaus ir piliečio teisių deklaracijos 9 straipsnio.

Siekdama panaikinti šį antikonstitucingumą nuo savo sprendimo paskelbimo dienos, Konstitucinė Taryba nusprendė, kad iki naujo įstatymo įsigaliojimo arba iki inkriminuotų nuostatų panaikinimo dienos atitinkamas asmuo, kreipęsis į ribotos sudėties teismą, turėtų būti informuotas apie jo teisę tylėti.

Po Europos Sąjungos Teisingumo Teismo (ESTT) sprendimo Valstybės Taryba (ET) liepos 31 d. paskelbė savo sprendimą Mousse byloje, pavadintoje skundą prieš SNCF inicijavusios asociacijos vardu.

Jis mano, kad „SNCF Connect“ „negali priversti savo klientų elgtis mandagiai“.

Šis duomenų tvarkymas neatitinka BDAR, kuris reikalauja, kad būtų renkami tik griežtai būtini asmens duomenys.

EK mano, kad mandagumo reikalavimas nėra būtinas parduodant bilietus ar atliekant tapatybės patikrinimus kelionės metu ir turėtų būti neprivalomas, išskyrus tam tikras paslaugas, pavyzdžiui, vienišoms moterims skirtas miegamąsias kajutes.

Todėl jis panaikina 2021 m. kovo 23 d. CNIL sprendimą, kuriuo teks iš naujo išnagrinėti „Mousse“ asociacijos skundą.

2025 m. rugpjūčio 6 d. „Bouygues Telecom“ patvirtino, kad į ją buvo įsilaužta kompiuteriu, kuris leido kibernetiniams nusikaltėliams pasiekti daugiau nei šešių milijonų klientų asmeninius duomenis.

Slaptažodžiai ir banko kortelių numeriai nebuvo paveikti, tačiau įsilaužėliai gavo prieigą prie daug informacijos, įskaitant vardus, pavardes, pašto ir el. pašto adresus, gimimo datą, sutarties numerį ir IBAN. 

„France Travail“ liepos viduryje taip pat patyrė dar vieną asmens duomenų saugumo pažeidimą, kuris paveikė 340 000 darbo ieškančiųjų bylų, įskaitant tapatybės duomenis, adresą, gimimo datą ir telefono numerį. Susidūrusi su didėjančiu duomenų saugumo pažeidimų skaičiumi, CNIL (Prancūzijos duomenų apsaugos tarnyba) atnaujino savo rekomendacijas asmenims.

 

Europos institucijos ir įstaigos

Rugpjūčio 7 d. Europos Komisija paskelbė gerosios praktikos kodeksą įmonėms, valdančioms bendrosios paskirties dirbtinio intelekto (GPAI) sistemas.

Šis dokumentas buvo parengtas bendradarbiaujant su pramone ir pilietine visuomene, ir juo siekiama palengvinti atitiktį Dirbtinio intelekto reglamentui.

Visas pasirašiusiųjų sąrašas apima 26 bendroves, įskaitant „Amazon“, „Anthropic“, „Google“, „Microsoft“, „Mistral“ ir „OpenAI“.

Elono Musko įmonė „xAI“ pasirašė tik tą kodekso dalį, skirtą saugos ir apsaugos klausimams. Todėl „xAI“ turės įrodyti, kad laikosi reglamentų skaidrumo ir autorių teisių įsipareigojimų, naudodama tinkamas alternatyvias priemones.

Neseniai pradėjusi pirmininkauti Europos Sąjungos Tarybai, Danija turi privilegijuotą poziciją formuoti ES politiką ateinančius šešis mėnesius.

Liepos 4 d. neoficialiame Danijos vyriausybės dokumente buvo paminėtas jos ketinimas pasiūlyti tikslinę BDAR ir E. privatumo direktyvos peržiūrą, siekiant sumažinti atitikties naštą įmonėms ir užtikrinti jų konkurencingumą.

Taip pat tikimasi, kad Europos Komisija ateinančiais mėnesiais paskelbs ES skaitmeninių teisės aktų kokybės vertinimą ir skaitmeninį „omnibus“ dokumentų rinkinį.

BDAR peržiūra neatrodo savaime suprantama, jei tikėtume liepos viduryje Komisijos surengto „įgyvendinimo dialogo“ santrauka, kurios išvados buvo paskelbtos rugpjūčio pradžioje.

Privatus sektorius nurodė, kad „investavo į atitiktį reikalavimams ir kad bendras atnaujinimas galėtų sukelti netikrumo, ypač tarptautinių duomenų perdavimų kontekste“.

Rugpjūčio 1 d. ESTT generalinis advokatas byloje, susijusioje su Švedijos viešuoju transportu, išaiškino BDAR 13 ir 14 straipsnių taikymo sritį, susijusią su duomenų subjektų informavimu.

Konkretus atvejis buvo susijęs su vaizdų rinkimu, kurį atliko dispečerių borto kameros.

AG mano, kad 13 straipsnis taikomas visada, kai duomenų subjektas yra duomenų šaltinis („surinkti iš duomenų subjekto“), neatsižvelgiant į pastarojo dalyvavimą renkant duomenis, ir nuo to momento, kai tarp duomenų subjekto ir duomenų valdytojo nėra tarpininko.

14 straipsnis taikomas visada, kai duomenys renkami ne iš duomenų subjekto, o iš kito šaltinio.

Todėl, kai vaizdai renkami transporto priemonėse esančiomis kameromis, pareiga informuoti atitinkamus asmenis turi būti nedelsiant ir netaikoma 14 straipsnio išimtis.

Liepos 28 d. Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) teigiamai užbaigė tyrimą dėl Europos Komisijos „Microsoft 365“ naudojimo.

Pareiškime ji atkreipia dėmesį į reikšmingą duomenų apsaugos atitikties pagerėjimą Komisijai naudojant „Microsoft 365“, taip pat pripažįsta ir vertina „Microsoft“ pastangas laikytis Komisijos reikalavimų, kylančių iš 2024 m. kovo mėn. EDAPP sprendimo“.

Birželio 26 d. paskelbtoje Europos Sąjungos kibernetinio saugumo agentūros (ENISA) ataskaitoje pateikiamos techninės gairės, skirtos padėti įgyvendinti NIS2 direktyvą kelių tipų subjektams NIS2 skaitmeninės infrastruktūros, IRT paslaugų valdymo ir skaitmeninių paslaugų teikėjų sektoriuose.

Ji sudaro atitinkamų Europos ir tarptautinių standartų bei sistemų (ISO 27001, NIST, ETSI arba CEN) sąrašą.

 

Naujienos iš Europos Sąjungos šalių narių.

Vokietijoje Diuseldorfo teismas priteisė 200 eurų neturtinės žalos atlyginimą asmeniui po duomenų saugumo pažeidimo, kurį sukėlė duomenų valdytojo nesugebėjimas užtikrinti, kad jo subrangovo tvarkomi asmens duomenys būtų ištrinti per teisės aktuose numatytus terminus.

Atkartodamas minėtą Mousse bylą, Frankfurto teismas nusprendė, kad Vokietijos nacionalinė geležinkelių bendrovė neteisėtai reikalavo, kad jos klientai pateiktų savo el. pašto adresą arba mobiliojo telefono numerį bilietams įsigyti.

Jis manė, kad tai nebuvo būtina sutarčiai įvykdyti ir kad duotas sutikimas nebuvo nuoširdus ir laisva valia.

Kroatijos duomenų apsaugos tarnyba (APD) skyrė 320 000 eurų baudą komunalinių paslaugų įmonei už tai, kad ji neįgyvendino reikiamų saugumo priemonių išduodama naujus slaptažodžius savo vartotojams ir už nebendradarbiavimą su ja.

Ispanijos duomenų apsaugos agentūra (APD) skyrė 96 000 eurų baudą sporto centrus valdančiai bendrovei už privalomų veido atpažinimo sistemų, skirtų įeinant ir išeinant iš patalpų, įdiegimą iš anksto neinformavus savo narių arba negavus jų sutikimo.

Taip pat Ispanijoje APD skyrė energijos tiekėjui 1 380 000 eurų baudą už tai, kad šis per klaidą sudarė dujų tiekimo sutartį su netinkamu klientu ir iš to kliento apmokestino, pažeisdamas duomenų tikslumo ir tvarkymo saugumo principus.

Airijos Aukščiausiasis Teismas nusprendė, kad ieškiniai dėl kompensacijos už emocinį išgyvenimą, susijusį su sielvartu, sukrėtimu ar nerimu, gali tiesiogiai patekti į BDAR taikymo sritį ir kad nacionalinės nuostatos, reikalaujančios nepriklausomos įstaigos leidimo prieš reikalaujant žalos atlyginimo už asmens sužalojimą, netaikomos.

Italijos konkurencijos tarnyba liepos 22 d. pradėjo tyrimą dėl „Meta Platforms“ dirbtinio intelekto paslaugų įtraukimo į „WhatsApp“ be vartotojo sutikimo.

Primename, kad 2025 m. gegužės 23 d. Kelno aukštesnysis regioninis teismas atmetė „Meta“ prašymą dėl teismo įsakymo dėl bendrovės vykdomo dirbtinio intelekto mokymo.

Teismas nusprendė, kad nuasmenintų „Facebook“ ir „Instagram“ duomenų sujungimas mokymo duomenų rinkinyje nėra neteisėtas duomenų „suliejimas“, kaip apibrėžta Skaitmeninių rinkų reglamento (DSR) 5(2) straipsnyje.

Lietuvos duomenų apsaugos tarnyba (DTA) byloje, kurioje dalyvavo du kaimynai, nusprendė, kad retkarčiais vykdomas asmens duomenų rinkimas naudojant droną siekiant surinkti įrodymus teisiniam procesui, patenka į BDAR numatytos nacionalinės išimties taikymo sritį.

APD nurodo, kad šiuo klausimu rėmėsi 2020 m. EDAV gairėmis.

Lenkijoje Federalinis administracinis teismas palaikė ombudsmeną ir nusprendė, kad Lenkijos teisės aktai, reikalaujantys teisėjų ir prokurorų atskleisti savo priklausomybę religinėms, profesinėms sąjungoms ir politinėms organizacijoms, nesuderinami su jų teisėmis pagal ES pagrindinių teisių chartiją ir Europos žmogaus teisių konvenciją.

Lenkijoje „McDonald's Polska Sp. z oo“ taip pat buvo skirta 3 955 000 eurų bauda už bendrųjų duomenų tvarkymo principų nesilaikymą, ypač už nepakankamas asmens duomenų apsaugos priemones.

 

Jungtinėje Karalystėje vyriausybė, spaudžiama JAV, gali atsisakyti savo įsakymo, nukreipto prieš „Apple“ pažangią duomenų apsaugos funkciją.

Vidaus reikalų ministerijos prašymas buvo pateiktas pagal Tyrimo įgaliojimų įstatymą (IPA), kuris įgalioja JK vyriausybę „išduoti slaptus įsakymus, reikalaujančius, kad tiekėjai apeitų šifravimą, įterpdami užpakalines duris į savo programinės įrangos produktus“.

„Ars Technica“ duomenimis, JAV pareigūnai, įskaitant viceprezidentą J. D. Vance'ą, spaudžia JK atšaukti savo sprendimą. „Tai labai erzina viceprezidentą ir tai reikia išspręsti“, – pranešama, kad vienas Britanijos departamento pareigūnas.

„Wetransfer“, kuria daugelis specialistų ir asmenų naudojasi dokumentams bendrinti, liepos viduryje pakeitė savo sąlygas: bendrovė buvo nurodžiusi, kad nuo rugpjūčio mėnesio naudos savo vartotojų duomenų turinį savo dirbtinio intelekto sistemai apmokyti.

Dėl šios informacijos sukeltų reakcijų ir iškeltų klausimų dėl duomenų konfidencialumo bendrovė, kaip pranešama, per kitas dienas atsitraukė nuo veiksmų.

„ChatGPT“ naudojimas gali lemti duomenų atskleidimą be vartotojų žinios: tai atskleidžia liepos 31 d. „Digital Digging“ publikacija.

Tyrimo metu pranešama apie 512 „ChatGPT“ pokalbių, paviešintų naudojant tikslines raktinių žodžių paieškas, atskleidžiant kompromituojančią informaciją ir konfidencialius duomenis.

Dėl „bendrinimo“ funkcijos vartotojai nesąmoningai paviešino savo sąveiką su „ChatGPT“ ir padarė ją indeksuojamą paieškos sistemų.

Bendri pokalbiai būtų susiję su prekybos vertybiniais popieriais pasinaudojant viešai neatskleista informacija atvejais, išsamia finansine informacija apie įmones, sukčiavimo prisipažinimais ir reguliavimo pažeidimų įrodymais, visa tai saugoma nuolat prieinamuose viešuosiuose archyvuose.

Indijoje geopolitikos poveikis skaitmeninėms technologijoms IAPP praneša, kad liepos pabaigoje „Microsoft“ be išankstinio įspėjimo neleido trečiai pagal dydį Indijos naftos perdirbimo gamyklai „Nayara Energy“, turinčiai 6000 degalinių, pasiekti savo duomenų, nors bendrovė buvo visiškai sumokėjusi už licencijas.

Rusijos bendrovė „Rosneft“ valdo 49,13 proc. „Nayara Energy“ akcijų paketą (%). Manoma, kad šis žingsnis yra Rusijai įvestų sankcijų dėl karo Ukrainoje pasekmė.

Kitas incidentas susijęs su Indijos nacionalinio kosmoso skatinimo ir leidimų centro suteikto paslaugų leidimo, suteikto dviem „Asia Satellite Telecommunications Company“ palydovams, panaikinimu po 2026 m. kovo 31 d.

Pagrindinis „AsiaSat“ akcininkas yra Kinijos vyriausybei priklausantis subjektas.

Šis sprendimas turi pasekmių kai kuriems didžiausiems Indijos pramogų transliuotojams, tokiems kaip „Zee“ ir „Jiostar“, kuriems dabar teks ieškoti alternatyvų.

Šie įvykiai atkartoja „Microsoft“ praėjusį pavasarį įvykdytą Tarptautinio baudžiamojo teismo (TBT) generalinio prokuroro el. pašto paskyros blokavimą.

Šis blokavimas buvo tiesioginė JAV prezidento Donaldo Trumpo vasario mėnesį prieš Hagos teismą priimtų priemonių pasekmė, po to, kai TBT teisėjų kolegija išdavė arešto orderius Izraelio ministrui pirmininkui Benjaminui Netanyahu ir jo buvusiam gynybos ministrui Yoavui Gallantui dėl karo nusikaltimų Gazos Ruože.

Rugpjūčio mėnesio „PL&B International Report“ numeryje publikuojamas Maria Tzanou, teisės dėstytojos Šefildo Britų universitete ir „FemTech“ stebėjimo projekto vadovės, straipsnis.

Ji kelia klausimų dėl moterų stebėjimo naudojant tokius produktus ir paslaugas kaip vaisingumo ir mėnesinių stebėjimo programėlės, teigdama, kad egzistuoja „problematiška ir dažnai neteisėta duomenų rinkimo praktika“.