„Legal Watch“ Nr. 86 – 2025 m. rugpjūčio mėn. 

 

Slapukai ir interneto vartotojų taikymas: dabartinė padėtis.

Rugsėjo 1 d. CNIL skyrė 325 mln. eurų baudą „Google“ ir 150 mln. eurų baudą „Shein“ grupės Airijos dukterinei įmonei – dvi sumos, kurios gerokai padidins CNIL pastaraisiais mėnesiais skirtų sankcijų vidurkį.

„Google“ buvo nubausta už reklamų rodymą tarp „Gmail“ vartotojų el. pašto adresų ir slapukų įdėjimą kuriant „Google“ paskyras be galiojančio Prancūzijos vartotojų sutikimo.

CNIL taip pat reikalauja, kad „Google“ per šešis mėnesius pašalintų šį reklamos rodymą ir gautų galiojantį vartotojų sutikimą dėl reklamos slapukų talpinimo kuriant „Google“ paskyrą, priešingu atveju būtų skiriama 100 000 eurų bauda per dieną. 

„Shein“ skirta bauda taip pat susijusi su slapukams taikomų taisyklių, kurios čia patalpintos „shein.com“ svetainės lankytojų įrenginiuose, nesilaikymu.

Šios didelės baudos yra dalis įvairių priemonių, kurių Komisija ėmėsi siekdama reguliuoti interneto vartotojų sekimą ir tikslinį jų naudojimą, ir kurios buvo paskelbtos jos interneto svetainėje 2019 m.

CNIL jau 2021 m. gruodį skyrė „Google“ 150 mln. eurų baudą už slapukų naudojimo taisyklių pažeidimą ir 50 mln. eurų baudą už privatumo politikos skaidrumo ir aiškumo stoką bei teisinio pagrindo suasmenintai reklamai nebuvimą.

Ji taip pat neseniai skyrė sankcijas bendrovei „Orange“ už panašią reklamos siuntimo el. laiškų forma praktiką.

Šie sprendimai suteikia mums galimybę peržiūrėti interneto vartotojų tikslinės rinkodaros praktiką ir teisinę sistemą.

Konkretiems atvejams taikomos specifinės taisyklės: Komisija primena, kad su sekimo priemonių naudojimu ir elektronine paieška susijusios operacijos patenka ne į BDAR, o į kitų taisyklių taikymo sritį: „E. privatumo“ direktyvos, perkeltos į Duomenų apsaugos įstatymo 82 straipsnį dėl sekimo priemonių, ir CPCE 34-5 straipsnio dėl komercinės paieškos elektroninėmis priemonėmis.

Netinkama praktika daugiausia susijusi su sekiklių išdėstymu be vartotojo sutikimo, bet taip pat ir su augančia „slapukų sienų“ naudojimo praktika, kai vartotojo prieiga prie paslaugos priklauso nuo jo sutikimo su sekiklių išdėstymu jo įrenginyje.

CNIL, skirtingai nei kai kurios jos Europos institucijos, nelaiko šios praktikos neteisėta.

Tačiau ji pabrėžia, kad sutikimas turi būti duotas laisva valia ir kad vartotojui siūlomos alternatyvos turi būti pateiktos subalansuotai, neskatinant jo naudoti vieną, o ne kitą variantą (pavyzdžiui, vieną pasirinkimą padarant sudėtingesnį už kitą).

Taip pat būtina, kad sutikimas būtų informuotas, tai reiškia, kad žmonės visapusiškai ir aiškiai suprastų savo pasirinkimų pasekmes.

Šie CNIL sprendimai yra nevyriausybinės organizacijos „noyb“ prieš daugiau nei dvejus metus pateiktų skundų daugeliui Europos duomenų apsaugos institucijų (DAI) kulminacija, daugiausia dėl slapukų sienų, mokėjimo ar tvarkos pažeidimo reiškinio ir duomenų rinkimo skaidrumo klausimo.

Taigi, rugpjūčio viduryje Austrijos federalinis administracinis teismas pasekė Austrijos duomenų apsaugos institucijos nuomone ir nusprendė, kad norint, jog slapukai būtų naudojami keliais tikslais, reikia gauti atskirą sutikimą.

Teismo teigimu, skirtingų tvarkymo tikslų grupavimas pažeistų sprendimų laisvę ir sutikimą padarytų negaliojantį.

„Šis detalumas yra glaudžiai susijęs su reikalavimu, kad sutikimas turi būti duotas konkrečiam tikslui“, – teigiama sprendimo aiškinamajame memorandume.

Šie pastarojo meto įvykiai patvirtina priežiūros institucijų poziciją, kad teisinė sistema, o ypač E. privatumo direktyva, taikoma griežtai sutikimui, ypač nebūtiniems slapukams.

Valdžios institucijos nebetoleruoja „numatytųjų“ sutikimų ar neaiškių informacijos sąsajų.

       

Šią vasarą jį apklausė Senatas. „Microsoft France“ viešųjų ir teisinių reikalų direktorius Antonas Carniauxas pripažino, kad negali „garantuoti“, jog Europoje saugomi Prancūzijos piliečių duomenys niekada nebus perduoti Amerikos vyriausybei. pagal Debesų įstatymą, nors „to niekada nebuvo nutikę“.

Atsižvelgdama į priklausomybę nuo Amerikos gigantų, Danijos vyriausybė paskelbė oficialią iniciatyvą, skirtą atvirojo kodo sprendimų integravimui į savo viešąsias paslaugas įvertinti.

Rugsėjo 9 d. DGE ir DGCCRF paskelbė nacionalinių institucijų, atsakingų už Europos dirbtinio intelekto reglamento įgyvendinimą, paskyrimo projektą.

Dokumente pateikiama schema, kurioje parodytos daugybė kompetentingų institucijų pagal atitinkamus reglamento straipsnius ir dirbtinio intelekto apdorojimo tikslus.

DINUM teisinės misijos vadovo pavaduotojo darbo dėka dabar galima peržiūrėti CNIL kontrolės žemėlapį pagal metus ir veiklos sektorius.

Žemėlapyje daugiausia dėmesio skiriama šiems kontrolės veiksmams ir neapima visų CNIL veiksmų, tokių kaip informuotumo didinimas vietoje, oficialūs pranešimai, sankcijos ir kt.

Jis pagrįstas duomenimis, kuriuos CNIL skelbia svetainėje data.gouv.

 

Europos institucijos ir įstaigos

Šiuo metų laiku Europos naujienos yra įtemptos dėl institucijų, o ypač Europos Sąjungos Teisingumo Teismo (ESTT), veiklos.

Pasiūlymas dėl reglamento dėl komunikacijos kontrolės („pokalbių kontrolės“), kuriuo siekiama užkirsti kelią seksualinei prievartai prieš vaikus ir su ja kovoti, vėl įtrauktas į 2025 m. rugsėjo 12 d. Europos Vadovų Tarybos susitikimo, pirmininkaujant Danijai, darbotvarkę.

Peržiūrėtame pasiūlyme numatyta galimybė nuskaityti pranešimus vartotojo įrenginyje prieš juos išsiunčiant, ir daugelio mokslininkų bei pilietinės visuomenės nuomone, tai žingsnis atgal, palyginti su pirmininkaujančios Lenkijos tekstu.

Rugsėjo 8 d. buvo paskelbtas naujas atviras laiškas (ketvirtasis šia tema), kurį pasirašė daugiau nei 600 mokslininkų iš 34 šalių.

Ji pabrėžia šio pasiūlymo neefektyvumą ir riziką šifravimo požiūriu ir mini galimas alternatyvas.

Rugsėjo 4 d. Europos Komisija pradėjo duomenų apsaugos tinkamumo sprendimo su Brazilija priėmimo procesą.

Priimtas šis sprendimas bus pirmasis Lotynų Amerikai skirtas tinkamumo sprendimas nuo 2003 m. birželio 3 d. dėl Argentinos ir 2012 m. rugpjūčio 21 d. dėl Urugvajaus.

Brazilijos valdžios institucijos taip pat pradėjo procesą, kuriuo siekiama priimti lygiavertį sprendimą, kuris leistų laisvai judėti Brazilijos duomenims į ES.

Tolesni veiksmai apims sprendimo projekto pateikimą peržiūrėti Europos duomenų apsaugos valdybai (EDAV) ir ES valstybėms narėms atstovaujančiai Ministrų Tarybai.

Pasiūlymą taip pat nagrinės Europos Parlamentas.

Rugsėjo 5 d. Europos Komisija paskelbė, kad „Google“ skirs 2,95 mlrd. eurų baudą už ES antimonopolinių taisyklių pažeidimą iškraipant konkurenciją reklamos technologijų („adtech“) sektoriuje.

Teigiama, kad „Google“ pirmenybę teikė savo internetinės reklamos technologijų paslaugoms konkuruojančių reklamos technologijų paslaugų teikėjų, reklamuotojų ir internetinių leidėjų sąskaita.

Komisija įsakė „Google“ nutraukti šią savarankiško pasirinkimo praktiką ir įgyvendinti priemones, skirtas pašalinti interesų konfliktus, būdingus jos reklamos technologijų tiekimo grandinei.

„Google“ turi 60 dienų informuoti Komisiją apie savo ketinimus imtis tolesnių veiksmų.

Ši sankcija išprovokavo nedelsiamą Jungtinių Valstijų reakciją, o Donaldas Trumpas užsiminė apie savo ketinimą imtis atsakomųjų priemonių prieš ES.

Rugsėjo 3 d. savo sprendime T-553/23 | Latombe prieš Komisiją Europos Sąjungos Teisingumo Teismas atmetė Europos Parlamento nario Philippe'o Latombe'o ieškinį, kuriuo buvo siekiama panaikinti trečiąją ES ir Jungtinių Amerikos Valstijų susitarimo dėl duomenų perdavimo versiją. Duomenų apsaugos sistemą (DPF), atsižvelgdamas į tai, kad Jungtinės Valstijos „garantuoja tinkamą asmens duomenų apsaugos lygį“.

Ponas ypač pabrėžė, kad Amerikos apeliacijų institucija „Duomenų apsaugos peržiūros teismas“ (DPRC) nėra nešališka ir priklauso nuo vykdomosios valdžios.

Jis taip pat atkreipė dėmesį į žvalgybos tarnybų praktiką, kai jos renka didelius kiekius asmens duomenų, tranzitu perduodamų iš Europos Sąjungos, be išankstinio teisėjo ar nepriklausomos administracinės institucijos leidimo ir todėl neturėdamos pakankamai aiškių ir tikslių gairių.

Teismas atmeta prašymą dėl panaikinimo.

Jis pabrėžia, kad KLDR veiklai taikomos įvairios apsaugos priemonės, kad Europos Komisija stebi DPF taikymą ir mano, kad pakanka, jog KLDR atliktų Amerikos agentūrų vykdomos žvalgybos veiklos ex post teisminę peržiūrą.

ES Teisingumo Teismo sprendimą galima apskųsti ESTT, o parlamento narys Philippe Latombe jau pareiškė ketinimą pateikti tokį apeliacinį skundą.

Rugsėjo 4 d. svarbiu sprendimu (byla C-413/23 P | EDPB/CRU) ESTT panaikino ES teismo sprendimą, susijusį su asmens duomenų sąvoka.

Jis sprendžia Europos duomenų apsaugos priežiūros pareigūno (EDAPP) apeliaciją dėl ES teismo sprendimo, kuriuo panaikintas jo 2020 m. sprendimas.

Šiame sprendime EDAPP padarė išvadą, kad Europos bendra pertvarkymo valdyba (BPV) pažeidė Europos institucijų BDAR, perdavusi apskaitos įmonei kreditorių ir akcininkų pastabas dėl Ispanijos banko bankroto procedūros.

ESTT mano, kad asmenų asmeninės nuomonės yra asmeninė informacija ir kad Teismas turėjo su jomis taip ir elgtis.

Ji taip pat mano, kad pakartotinio identifikavimo rizika, susijusi su asmens duomenų tvarkymu ir perdavimu, turi būti vertinama kiekvienu atveju atskirai duomenų rinkimo metu ir kad Teismas suklydo panaikindamas pradinį EDAV sprendimą iš dalies dėl to, kad nenustatė, ar pseudoniminių komentarų turinyje iš tikrųjų yra asmeninės informacijos.

Tačiau ESTT pritarė CRU klausimu, kokiomis sąlygomis pseudonimizuoti duomenys taip pat gali būti laikomi asmens duomenimis, savo sprendime rašydamas, kad „Pseudoniminiai duomenys neturėtų būti laikomi asmens duomenimis visais atvejais ir kiekvieno asmens atveju taikant (BDAR)“ tiek, kiek pseudoniminimas, priklausomai nuo atvejo aplinkybių, gali veiksmingai užkirsti kelią kitiems asmenims, išskyrus duomenų valdytoją, nustatyti duomenų subjekto tapatybę taip, kad jiems duomenų subjekto tapatybė nebūtų arba nebebūtų nustatyta.

Kitame sprendime, taip pat priimtame rugsėjo 4 d. (Sprendimas byloje C 655/23, IP prieš Quirin Privatbank AG), Teismas nusprendė dėl teisės į prevencinį draudimą susilaikyti nuo duomenų tvarkymo duomenų valdytojo atžvilgiu ir dėl moralinės žalos dydžio.

Teismas mano, kad BDAR nenumato prevencinės teisminės teisių gynimo priemonės nuo neteisėto duomenų tvarkymo ateityje, tačiau valstybės narės gali ją numatyti.

Ji taip pat patikslino, kad tokie jausmai kaip pažeminimas ar nerimas gali pakakti moralinei žalai nustatyti, jei pateikiami įrodymai.

Ji priduria, kad duomenų valdytojo kaltės sunkumas ar teismo įsakymo gavimas neturėtų turėti įtakos kompensacijos dydžiui, kuris išlieka išimtinai kompensacinis.

 

Naujienos iš Europos Sąjungos šalių narių.

Vokietijoje Federalinis darbo teismas nusprendė, kad darbdavys neteisėtai tvarkė darbuotojo sveikatos duomenis, stebėdamas jį, ar jis neapsimetinėja esąs nedarbingas.

Ji taip pat priteisė darbuotojui 1500 eurų neturtinės žalos atlyginimo.

Belgijos duomenų apsaugos tarnyba (APD) skyrė papeikimą politikui, kuris iš viešo šaltinio surinko asmens el. pašto adresą ir siuntė jam politines žinutes, pažeisdamas BDAR teisėtumo, tikslo apribojimo ir skaidrumo principus.

Ispanijoje APD skyrė 250 000 eurų baudą bendrovei „Loro Parque“, valdančiai zoologijos sodą ir vandens parką, už pirštų atspaudų rinkimą be išankstinės informacijos ar sutikimo: atitinkami asmenys turėjo pateikti pirštų atspaudus, jei turėjo reklaminius bilietus, suteikiančius jiems galimybę patekti į abu parkus su vienu bilietu.

Be to, APD skyrė Ispanijos prekybos rūmams 500 000 eurų baudą už savarankiškai dirbančių asmenų mokesčių mokėtojo identifikacinių numerių perdavimą privačioms įmonėms be teisinio pagrindo.

Italijoje APD automobilių įmonei skyrė 50 000 eurų baudą.

Pastaroji organizavo „grįžimo į darbą“ pokalbius su savo darbuotojais po jų nedarbingumo, todėl buvo surinkta per daug duomenų, įskaitant jautrius duomenis.

APD taip pat atkreipia dėmesį į skaidrumo ir darbuotojo sutikimo galiojimo principų pažeidimą.

Lietuvos duomenų apsaugos tarnyba (DPA) nurodė „Vinted“ nutraukti klientų telefono numerių rinkimą paskyrų patvirtinimo tikslais.

Iš pradžių ji manė, kad „Vinted“ nurodytos priežastys, būtent vartotojų paskyrų patikrinimas ir platformos saugumo užtikrinimas, nėra esminis duomenų valdytojo ir duomenų subjekto sutarties aspektas.

Ji taip pat pažymėjo, kad naudojimo sąlygose buvo paminėtos kitos galimos naudotojo tapatybės patvirtinimo priemonės, todėl asmens duomenų tvarkymas neatitiko BDAR 6 straipsnio 1 dalies b punkte nustatyto būtinumo kriterijaus.

Nyderlandų Aukščiausiasis Administracinis Teismas nusprendė, kad psichikos sveikatos priežiūros įstaiga neprivalo tenkinti prašymo ištrinti duomenis.

Duomenų saugojimas buvo būtinas pagal medicininio gydymo sutartį ir įstaigos paslaugų valdymui.

Lenkijoje „ING Bank Śląski“ buvo skirta 4 300 000 eurų bauda už asmens tapatybės dokumentų nuskaitymą be teisėtos priežasties ar rizikos įvertinimo..

APD nustatė, kad bankas be reikalo tvarkė neskelbtinus duomenis, įskaitant PESEL numerius ir dokumentų duomenis, taip pažeisdamas rizika pagrįstą požiūrį, kurio reikalaujama pagal kovos su pinigų plovimu reglamentus.

 

Kinija griežtina savo taisykles dėl duomenų perdavimo į užsienį.

Kinijos viešojo saugumo institucijos kaltina „Dior“ Šanchajaus filialą neteisėtu klientų duomenų perdavimu į būstinę Prancūzijoje, nesilaikant privalomų saugumo vertinimo, vartotojų informavimo ir šifravimo taisyklių.

Filialui buvo skirta administracinė nuobauda.

Jungtinėse Valstijose 44 generaliniai prokurorai išsiuntė laišką 13 dirbtinio intelekto bendrovių, įskaitant „OpenAI“, „CharacterAI“, „Replika“ ir „Meta“, informuodami jas, kad jos bus laikomos atsakingomis, jei padarys žalos vaikams.

Laiške atkreipiamas dėmesys į neseniai atskleistas žinias apie „Meta“ technines gaires, skirtas „Meta AI“ ir „Facebook“, „WhatsApp“ bei „Instagram“ pokalbių robotams.

Šis dokumentas, patvirtintas bendrovės teisinės, politinės ir techninės komandų, leido pokalbių robotams kviesti vaikus romantiškiems ar gundantiems pokalbiams su jais, įskaitant komentarus apie vaikų išvaizdą ir vaidmenų žaidimo scenarijus.

„Microsoft“ tinklaraštis „Tech Community“ rugpjūčio pabaigoje paskelbė, kad naujausias „MS Word for Windows“ atnaujinimas pagal numatytuosius nustatymus automatiškai išsaugo vartotojų „Word“ failus debesyje („OneDrive“).

„Microsoft“ šį atnaujinimą pristato kaip saugumo, prieigos, komandinio darbo ir dirbtinio intelekto naudojimo patobulinimą.

Nors šiuos nustatymus galima modifikuoti „Word“ nuostatose, numatytasis dokumentų įkėlimas į Amerikos debesį kelia klausimų, susijusių su BDAR, dėl duomenų konfidencialumo ir šių duomenų prieinamumo JAV valdžios institucijoms.

Išmanieji akiniai „Halo“ kelia susirūpinimą tarp dirbtinio intelekto ekspertų.

L. Jarosvsky praneša, kad šie nauji akiniai visada uždėti, viską įrašo ir neturi jokio indikatoriaus, kuris įspėtų žmones, kad jie yra įrašinėjami.

Interviu su „TechCrunch“ „Halo“ įkūrėjai, kaip pranešama, neprisiėmė atsakomybės, teigdami, kad JAV valstijose, kuriose neteisėta slapta įrašyti pokalbius be kito asmens sutikimo, vartotojas turi gauti šį sutikimą prieš naudodamas akinius.