Nauji metai po laukimo ženklu

Teisinis stebėjimas Nr. 42 – 202 m. gruodis1

Nauji metai po laukimo ženklu

Kalbant apie duomenų apsaugą, prasidedantys metai nepraneša apie jokius svarbius pokyčius, o veikiau apie evoliuciją ir galbūt strateginius sprendimus dėl tam tikrų aktualių klausimų.

Aptarkime tris iš jų: priežiūros institucijų įgyvendinamą BDAR, sveikatos problemas ir skaitmeninių gigantų reguliavimą.

Viena iš pasikartojančių temų nuo BDAR įsigaliojimo yra susijusi su tuo, kaip rimtai nacionalinės duomenų apsaugos institucijos žiūri į jo įgyvendinimą. ir didelį skirtumą tarp pritaikytų sankcijų skaičiaus ir griežtumo, priklausomai, pavyzdžiui, nuo to, ar atsakingas asmuo yra Airijoje, ar Ispanijoje.

Pastaroji šalis, regis, yra viena iš tų, kurios skyrė daugiausia sankcijų, o Liuksemburgas ir CNIL gali pareikšti didžiausias baudas GAFAM (prisiminkime 746 mln. eurų baudą, kurią Liuksemburgas skyrė bendrovei „Amazon“).

Kitame spektro gale yra Airijos duomenų apsaugos institucija, kurią kai kurie jos kolegos, taip pat ir Europos Komisijos viceprezidentas, atvirai kritikavo dėl aplaidumo pagrindinių interneto žaidėjų atžvilgiu.

Siekiant sustiprinti kontrolės procedūrų sanglaudą ir veiksmingumą Europoje, kai kas kalba apie Europos duomenų apsaugos valdybos (EDAV) įgaliojimų stiprinimą.

Šis klausimas bus nagrinėjamas Europos duomenų apsaugos priežiūros pareigūno organizuojamoje konferencijoje, kuri vyks birželio 16 ir 17 dienomis Briuselyje.

Po sveikatos krizės sveikatos duomenų tvarkymas yra dar viena svarbi problema..

Susirūpinę

• Klausimai, susiję su medicininių tyrimų sąlygomis,
• Genetinių duomenų tvarkymas ir rizika, kylanti tam tikrose laboratorijose perparduodant duomenis, surinktus atliekant atrankinius tyrimus, kaip parodė neseniai Jungtinėje Karalystėje nagrinėtas bendrovės „Signpost Diagnostics“ atvejis.
• Asmenų stebėjimas naudojant programėles ir kitus sveikatos leidimus, 

• Galiausiai, su duomenų saugumu susijusios rizikos: visų pirma galvojame apie duomenų nutekėjimą, susijusį su bendrovės „FranceTest“ COVID-19 testo rezultatais, kuriai praėjusių metų spalį oficialiai nurodė CNIL apsaugoti savo duomenis, arba duomenų nutekėjimą, susijusį su „Assistance Publique-Hôpitaux de Paris“.

Nors CNIL reguliariai skelbia savo pozicijas šiuo klausimu, atkreipiame dėmesį, kad lapkričio 30 d. svarstyme parlamentui ji nurodė, jog laukia, kol vyriausybė pateiks elementų, skirtų įdiegtų bylų ir kontrolės priemonių veiksmingumui pagrįsti.

Trečias aktualus klausimas susijęs su Europos Sąjungos reguliavimo iniciatyvomis, susijusiomis su skaitmeninėmis paslaugomis ir dirbtiniu intelektu.

Be slapukų valdymo, kuris vis dar yra nacionalinių valdžios institucijų dėmesio centre, Europos įstatymų leidėją neramina auganti interneto gigantų – šių dominuojančią padėtį užimančių tarpininkų, teikiančių pranešimų ir socialinių tinklų paslaugas, – galia.

Taip pat aptariamas biometrinių duomenų ir dirbtinio intelekto naudojimas vis labiau įkyriam profiliavimui ir manipuliavimas interneto vartotojais be jų žinios (tamsūs šablonai) pateikiant tikslinį turinį.

Europos lygmeniu šiuo metu priimami keli tekstai, įskaitant du Europos Komisijos pasiūlymus dėl skaitmeninių rinkų ir skaitmeninių paslaugų bei pasiūlymą dėl dirbtinio intelekto. 

Europos Parlamentas savo poziciją dėl pasiūlymo dėl skaitmeninių rinkų priėmė gruodžio 5 d.

Tarp teksto pakeitimų yra įtrauktas reikalavimas dėl pagrindinių momentinių pranešimų ir socialinių tinklų platformų paslaugų sąveikumo, siekiant sudaryti sąlygas vartotojams lengvai keisti paslaugų teikėjus ir kovoti su dominuojančia padėtimi.

Prancūzijos pirmininkavimo Europos Sąjungos Tarybai pradžioje Europos duomenų apsaugos priežiūros pareigūnas ką tik palinkėjo Prancūzijos vyriausybei sėkmės, pabrėždamas šių trijų svarbių su skaitmeninėmis technologijomis ir dirbtiniu intelektu susijusių klausimų svarbą ir nurodydamas, kad atidžiai stebės šių sričių raidą.

Nors kai kurie prioritetai jau atrodo aiškiai nustatyti, tikėkimės, kad šie naujieji metai mums visiems atneš malonių staigmenų ir pagaliau gaivaus oro gūsių.

Ir taip pat

Prancūzija:

CNIL bendrovei skyrė sankcijas sausio 6 d. „Google“ iki 150 milijonų eurų, o bendrovė Facebook iki 60 milijonų eurų už slapukų naudojimo taisyklių nesilaikymą.

Gruodžio 28 d. CNIL skyrė bendrovei 300 000 eurų baudą. NEMOKAMAS MOBILUSIS, visų pirma už tai, kad nepaisė asmenų teisių ir savo naudotojų duomenų saugumo.

Tą pačią dieną bendrovė taip pat skyrė sankcijas. SLIMPAY, siūlanti mokėjimo sprendimus savo klientams, buvo skirta 180 000 eurų bauda už tai, kad tinkamai neapsaugojo vartotojų asmens duomenų ir neinformavo jų apie duomenų saugumo pažeidimą.

CNIL prezidentas oficialiai pranešė bendrovei lapkričio 26 d. „CLEARVIEW“ dirbtinis intelektas nustoti rinkti internete prieinamas nuotraukas ir vaizdo įrašus ir ištrinti duomenis per 2 mėnesius.

Įmonė sukūrė veido atpažinimo programinę įrangą, kurios duomenų bazė pagrįsta internete viešai prieinamų nuotraukų ir vaizdo įrašų išgavimu.

A nauja CNIL kūrėjo vadovo versija ką tik buvo paskelbtas. Šiame vadove pateikiamas naujas turinys, skirtas padėti žiniatinklio ir programų kūrimo specialistams užtikrinti, kad jų darbas atitiktų reikalavimus.

Ten SNCF Gruodį ji perkėlė savo 7000 serverių ir 250 programų į „Amazon“ debesį, konkrečiai į tris duomenų centrus Paryžiaus regione.

Bendrovės tikslas taip pat yra išplėsti dirbtinio intelekto naudojimą.

Europa

THE Europos duomenų apsaugos valdyba gruodžio 14 d. paskelbė gaires, skirtas padėti duomenų valdytojams valdyti saugumo pažeidimus.

Tekste pateikiama daug pavyzdžių ir išplėtojamos priemonės, kurių reikia imtis atsižvelgiant į nusikaltimo rūšį.

Europos Sąjungos pagrindinių teisių agentūra (FRA), bendradarbiaudama su duomenų apsaugos institucijomis, skelbia vadovą, skirtą geriau informuoti prieglobsčio prašytojus ir migrantus apie jų pirštų atspaudų naudojimą.

Sustabdžius juos prie Europos Sąjungos išorės sienos, jie privalo duoti pirštų atspaudus, kurie saugomi „Eurodac“ byloje.

Vysbadeno administracinis teismas Gruodžio 1 d. Vokietijos bendrovė įsakė RheinMain taikomųjų mokslų universitetui nutraukti bet kokį sutikimų tvarkyklės „Cookiebot“ naudojimą. To priežastis – neteisėtas svetainės lankytojų duomenų perdavimas į Jungtines Valstijas.

Suomijos duomenų apsaugos institucija gruodžio 7 d. „Economy of Science in the medicine“ skyrė daugiau nei 600 000 eurų baudą psichoterapijos bendrovei už tai, kad ši tinkamai neužtikrino pacientų duomenų saugumo ir neinformavo jų apie du saugumo pažeidimus, dėl kurių buvo šantažuojami atitinkami pacientai ir pati bendrovė.

Norvegijos duomenų apsaugos institucija skyrė 6 300 000 eurų baudą. Grindr dalytis savo naudotojų duomenimis su trečiosiomis šalimis profiliavimo ir reklamos tikslais be jų sutikimo.

Nyderlandų mokesčių administracija buvo skirta 2 750 000 EUR bauda už duomenų tvarkymą be teisinio pagrindo ir pažeidžiant sąžiningumo principą (BDAR 5(1)(a) ir 6(1)(e) straipsniai).

Belgijos gynybos ministerija gruodžio 20 d. tapo rimtos kibernetinės atakos, kurią sukėlė kenkėjiška programa „Log4Shell“, auka, kelias dienas paveikusi administracijos veiklą. 

Belgijos duomenų apsaugos institucija skyrė 10 000 eurų baudą bendrovei už tai, kad ši įsigijo duomenų bazę tiesioginės rinkodaros tikslais nepatikrinusi, ar duomenys buvo surinkti teisėtai.

Bendrovė taip pat neinformavo atitinkamų asmenų apie šį netiesioginį duomenų rinkimą ir neatsakė į asmens prašymą susipažinti su duomenimis.

Tarptautinis:

Amazonė pateikė keletą patentų paraiškų dėl biometrinių technologijų, skirtų vaizdo telefonų kameroms aptikti įtartinus asmenis pagal įvairius kriterijus: kvapą, odos tekstūrą, pirštų atspaudus, akių spalvą, balsą ir eiseną.

Ten Pietų Korėja nuo gruodžio 17 d. buvo laikoma užtikrinančia tinkamą apsaugos lygį. Europos Komisijos sprendimas priimtas praėjus keliems mėnesiams po to, kai 2021 m. liepos mėn. įsigaliojo laisvosios prekybos susitarimas tarp Europos Sąjungos ir Korėjos.

Nuo vasario 15 d., Kinijos vyriausybė Kinijos bendrovėms, vykdančioms tarptautinę veiklą, bus taikomos įvairios kibernetinio saugumo kontrolės priemonės.

Patikrinimai skirti apriboti strateginių duomenų perdavimą už šalies ribų.