„Legal Watch“ Nr. 88 – 2025 m. spalis. 

 

Vaizdo stebėjimas – pagrindinis CNIL sankcijų taikinys.

CNIL tai padarė esmė spalio mėnesį dėl supaprastintos sankcijų skyrimo tvarkos.

Nuo praėjusių metų gegužės mėnesio paskirtos 16 sankcijų buvo papildytos baudomis, kurių bendra suma siekia 108 000 eurų, be 104 000 eurų baudų, numatytų 10 sprendimų. ryškus nuo sausio mėnesio.

Be vaizdo stebėjimo, sankcijos taikomos ir komercinei žvalgybai, vykdomai be atitinkamų asmenų sutikimo, ir nebendradarbiavimo prašant pasinaudoti BDAR numatytomis teisėmis (teisė susipažinti su duomenimis, juos ištaisyti ar nesutikti).

Vaizdo stebėjimas išlieka pagrindine sankcijų tema, ypač kai jis vyksta darbo vietoje.

CNIL sistemingai atkreipia dėmesį į tai, kad duomenų valdytojai nesilaiko duomenų kiekio mažinimo principo.

Farmacijos bendrovei ir ligoninei buvo skirtos sankcijos už profesinių sąjungų patalpų ir tiesioginės prieigos prie jų filmavimą, pažeidžiant BDAR 5.1.c straipsnį, kuriame nurodoma, kad duomenys turi būti adekvatūs, aktualūs ir apsiriboti tik tuo, kas būtina siekiamam tikslui pasiekti.

CNIL primena, kad darbo vietose, nesvarbu, ar jos atviros visuomenei, ar ne, įrengtos vaizdo stebėjimo kameros privalo gerbti darbuotojų privatumą.

"Kameros jokiomis aplinkybėmis negali filmuoti profsąjungos patalpų ar tiesioginių prieigos prie jų taškų."

Taigi bet koks pernelyg didelis filmuojamų asmenų privatumo pažeidimas prieštarauja šiam informacijos mažinimo principui, kaip CNIL taip pat pažymėjo internatinėje mokykloje, kurios vaizdo stebėjimo sistema filmavo mokinius pusryčių metu ir kieme.

Kamerų negalima įrengti darbo vietoje.

• Tik jei jie siekia teisėto tikslo, pavyzdžiui, turto ir žmonių saugumo.
• Apribotose ir neįkyriose vietose, tokiose kaip pastatų įėjimai ir išėjimai, praėjimai ar sandėliai.

Taip pat reikalingi saugumo ir skaidrumo įsipareigojimai:

• Prieiga prie vaizdų turi būti saugi ir prieinama tik įgaliotiems asmenims, o duomenys turi būti saugomi ribotą laikotarpį, iš principo nuo kelių dienų iki mėnesio.
• Atsakingas asmuo privalo iš anksto informuoti darbuotojų atstovus ir su jais konsultuotis, taip pat pasirūpinti, kad darbuotojams ir visuomenei būtų skelbiamas pranešimas.

Išimtys dėl skaidrumo įsipareigojimų išlieka galimos: išimtinėmis aplinkybėmis ir tam tikromis sąlygomis duomenų valdytojas gali laikinai įrengti kameras, kurių nemato darbuotojai, su sąlyga, kad išanalizuojamas įrenginio suderinamumas su BDAR ir kad jis gali tai pagrįsti.

Būtent dėl to, kad nebuvo atlikta tokia poveikio analizė ir kad duomenų apsaugos pareigūnas nedalyvavo diegiant paslėptą vaizdo stebėjimo sistemą, praėjusių metų rugsėjį CNIL skyrė sankcijas bendrovei „La Samaritaine“.

Bendrovė pranešė apie rezervatuose įvykdytas vagystes ir paaiškino, kad sistema yra laikina, tačiau neatliko jokios išankstinės analizės ir neužfiksavo laikino įrengimo pobūdžio.

Dėl šio nesilaikymo tarp siekiamo tikslo ir darbuotojų privatumo apsaugos bendrovei buvo skirta 100 000 eurų bauda.

Galiausiai reikėtų pažymėti, kad visuomenei prieinamose vietose įrenginį turi autorizuoti departamento prefektas arba Paryžiaus policijos prefektas.

 

      

Audito rūmai spalio 31 d. paskelbė ataskaitą apie „valstybės civilinių informacinių sistemų suvereniteto klausimus“.

Ji pateikia keletą pastebėjimų:

• Kai kurios ministerijos naudoja neeuropietiškus IT sprendimus, kartais jautrių duomenų saugojimui, taip kenkdamos skaitmeniniam suverenitetui.

Ataskaitoje šiuo atžvilgiu minima sveikatos duomenų platforma, kurią daugiau nei penkerius metus valdo viena Amerikos įmonė.

Jis taip pat pažymi, kad privatūs operatoriai siūlo viešųjų paslaugų programas, tačiau jiems netaikomi tie patys įsipareigojimai kaip valstybei.

• Nėra administracijų sudaryto jautrių duomenų žemėlapio, kuris sudarytų atskaitos sistemą, leidžiančią nustatyti tuos, kurių suverenitetą reikia išsaugoti prioriteto tvarka.
• Vyriausybinės agentūros vis dar ribotai diegia suverenius debesų kompiuterijos sprendimus, vidiniai valstybiniai debesys sunkiai pasiekia pakankamą mastą, o suderinti suvereniteto reikalavimus su našumo imperatyvais yra sudėtinga.
• DINUM valdo dvi suverenias infrastruktūras: valstybės tarpžinybinį tinklą (RIE) ir skaitmeninės tapatybės sistemą („FranceConnect“), kurios laikomos sėkmingais projektais, nors dar reikia daug nuveikti, ypač atsparumo srityje.
• Be jautrių duomenų kontrolės, valstybė nesiekia visiško suvereniteto, o veikiau siekia sukurti pakankamai aukštą pasitikėjimo lygį, naudodama viešuosius pirkimus, pirkimų telkimą ir ANSSI patvirtinimą, kad sumažintų riziką.

Spalio 15 d. Valstybės taryba patvirtino CNIL skirtą 8 000 000 eurų baudą bendrovei „Apple“ už Prancūzijos vartotojų duomenų tvarkymą suasmenintos reklamos tikslais be jų sutikimo.

• Valstybės taryba nusprendė, kad sankcija nėra neproporcinga, atsižvelgiant į atitinkamų asmenų skaičių – beveik 27,5 mln. vartotojų nuo 2020 m. liepos mėn. iki 2021 m. liepos mėn. – ir grupės ekonominę reikšmę.
• Jis taip pat patvirtino CNIL jurisdikciją spręsti dėl bendrovės veiklos Prancūzijoje, taip atmesdamas bendrovės argumentą, kad tik jos Airijos subjektas patenka į Europos reguliavimo institucijos jurisdikciją.

Darbo ir solidarumo ministerija, CNIL ir AFCDP pavedė Afpa atlikti naują DPO profesinės observatorijos tyrimą dėl dirbtinio intelekto poveikio šiai profesijai.

Apklausoje nagrinėjami dirbtinio intelekto valdymo modeliai organizacijose, duomenų apsaugos pareigūno (DAP) vaidmuo, pagrindiniai iššūkiai, su kuriais susiduria DAP, ir jų poreikiai įrankių bei mokymų srityje. Rezultatai bus paskelbti 2026 m. pirmąjį pusmetį.

Spalio 28 d. CNIL paskelbė savo gegužės 20 d. renginio „BDAR: koks ekonominis poveikis?“ ataskaitą. 

Renginyje dalyvavo ekonomistai, taip pat Prancūzijos (CNIL) ir Europos (JK duomenų apsaugos institucija, Europos Komisija) reguliavimo institucijos, prisidėdamos prie BDAR įgyvendinimo ex post vertinimo.

Platinimo sektoriaus dalyviams užklupus lojalumo programų duomenų perkeliamumo klausimu, spalio viduryje ji taip pat nurodė, kokia informacija turi būti perduodama, ypač apie brūkšninį kodą ir duomenis, susijusius su akcijomis, prie kurių klientai turėjo prieigą.

 

Europos institucijos ir įstaigos

Neoficialioje spaudos išplatintoje dokumento versijoje teigiama, kad Skaitmeninio omnibuso įstatyme numatyti BDAR pakeitimai gali būti platesni nei iš pradžių skelbta.

Pasiūlymas, kuris, kaip tikimasi, bus oficialiai paskelbtas lapkričio 19 d., patikslintų (ir apribotų) tam tikras pagrindines apibrėžtis, sušvelnintų tam tikras konfidencialumo taisykles ir leistų naudoti asmens duomenis dirbtinio intelekto mokymui.

Pilietinė visuomenė jau sureagavo atkreipdama dėmesį į tokio supaprastinimo keliamus pavojus pagrindinėms teisėms.

Ketvirtadienį, spalio 9 d., Europos Komisija paskelbė apie viešų konsultacijų dėl savo gairių projekto, susijusio su Skaitmeninių rinkų reglamento (DRA) ir BDAR sąveika, pradžią.

Šis projektas buvo parengtas bendradarbiaujant su Europos duomenų apsaugos valdyba (EDAV).

5(2) straipsnis yra šių gairių pagrindas: DMA reikalauja, kad „vartininkai“ gautų naudotojų sutikimą, norėdami dalytis jų duomenimis tarp skirtingų paslaugų, tačiau jame nėra apibrėžtos tikslios šio sutikimo sąlygos.

Dabar tekste nurodoma, kad šis sutikimas turi būti galiojantis pagal BDAR, bet svarbiausia, kad jo turi būti prašoma atskirai kiekvienu atskiru tvarkymo tikslu (turinio suasmeninimas ir tikslinė reklama).

Konsultacijos vyksta iki gruodžio 4 d.

Spalio 24 d. Europos Komisija preliminariai padarė išvadą, kad „Meta“ ir „TikTok“ pažeidė Skaitmeninių paslaugų įstatymą (DSA).

Įmonės nesuteikia tyrėjams tinkamos prieigos prie viešai prieinamų duomenų.

Komisija taip pat preliminariai daro išvadą, kad „Facebook“ ir „Instagram“ neįvykdė savo įsipareigojimų (1) suteikti vartotojams paprastus mechanizmus pranešti apie neteisėtą turinį, pavyzdžiui, vaikų pornografiją ar teroristinį turinį, ir (2) sudaryti sąlygas vartotojams veiksmingai ginčyti „Meta“ priimtus turinio moderavimo sprendimus.

„TikTok“ ir „Meta“ turi galimybę pasiekti tyrimo bylą ir į ją atsakyti.

Europos Komisija paskelbė savo suverenios debesijos, skirtos viešųjų pirkimų institucijoms, sistemą.

Dokumente remiamasi keliomis Europos iniciatyvomis, įskaitant Europos kibernetinio saugumo sertifikavimo sistemą (ENISA, NIS2, DORA).

Taip pat kalbama apie nacionalinę politiką, pavyzdžiui, „debesų kompiuterija centre“ Prancūzijoje su „SecNumCloud“, kurį sukūrė „Anssi“, ir Vokietijos „Sovereign Cloud“.

Komisija siūlo debesijos paslaugų suvereniteto balą, pagrįstą skirtingais kriterijais, tačiau tai sukelia prieštaringų reakcijų.

Šis metodas ne itin tenkina Europos debesijos paslaugų teikėjų, susibūrusių į „Cispe“ asociaciją, nes jie jį laiko neskaidriu ir, dabartiniu pavidalu, palankiu užsienio žaidėjams.

Europos Parlamento nariai ragina DSA atlikti tyrimą dėl „Shein“, „Temu“ ir „AliExpress“.

Paryžiaus prokuratūrai pradėjus tyrimą dėl šių keturių bendrovių, prekiaujančių „vaikiškomis sekso lėlėmis“, daugiau nei 40 Europos Parlamento narių paragino Komisiją pradėti tyrimą, teigiama „Euractiv“ ataskaitoje.

Pasiūlymas dėl reglamento, kuriuo siekiama užkirsti kelią seksualinei prievartai prieš vaikus ir kovoti su ja, vėl buvo įtrauktas į spalio 14 d. vykusio Europos Vadovų Tarybos susitikimo darbotvarkę.

Vokietijai, kuri anksčiau tvirtai rėmė šį įstatymo projektą, atsiėmus savo paramą reglamento projektui, balsavimas buvo atidėtas.

Prieštaringai vertinamame pasiūlyme buvo numatyta nuskaityti pranešimus vartotojo įrenginyje prieš juos siunčiant – šį elementą pašalino Tarybai pirmininkaujanti Danija, siekdama gauti pakankamą valstybių narių paramą.

Nepaisant to, Danija ketintų neribotam laikui pratęsti dabartinį laikiną leidimą atlikti savanorišką vaikų seksualinės prievartos, susijusios su vaikais, analizę, o „didelės rizikos paslaugų teikėjai [...] vis tiek galėtų būti įpareigoti imtis veiksmų, kad sukurtų atitinkamas technologijas, skirtas sumažinti jų paslaugose nustatytų vaikų seksualinės prievartos riziką“.

ES vidaus reikalų ministrai vėl turėtų susitikti gruodžio pradžioje.

Spalio mėnesio plenariniame posėdyje Europos duomenų apsaugos valdyba (EDAV) pasirinko penktojo koordinuoto veiksmo kontrolės srityje temą, kurioje daugiausia dėmesio bus skiriama BDAR numatytų skaidrumo ir informavimo įpareigojimų laikymuisi.

Reglamentu užtikrinama, kad atitinkami asmenys būtų informuojami apie jų duomenų tvarkymą (pagal 12, 13 ir 14 straipsnius).

EDAV pakartoja, kad ši teisė į informaciją yra pagrindinis skaidrumo elementas ir garantuoja asmenims geresnę savo duomenų kontrolę.

Dalyvaujančios duomenų apsaugos institucijos prie šios akcijos savanoriškai prisijungs artimiausiomis savaitėmis, o pati akcija bus pradėta 2026 m.

Belgijos dienraščio „L'Echo“, Vokietijos specializuoto leidinio „Netzpolitik.org“, Nyderlandų radijo stoties BNR, Vokietijos radijo stoties BR ir „Le Monde“ atliktas asmens duomenų tarpininkų tyrimas rodo, kokio masto stebėjimą įgalina geolokacijos reklamos duomenys.

Šie „Le Monde“ ir jos partnerių gauti duomenys leido identifikuoti ir susekti kelis Europos Sąjungos aukštus pareigūnus, kartais net iki jų namų.

 

Naujienos iš Europos Sąjungos šalių narių.

Vokietijos Šlėzvigo-Holšteino žemė atsisakė savo vyriausybinių el. pašto ir kalendoriaus sistemų, naudodama atvirojo kodo programinę įrangą.

Šešis mėnesius trukęs perkėlimas pakeitė „Microsoft Exchange“ ir „Outlook“ į „Open-Xchange“ ir „Mozilla Thunderbird“.

Perkėlimas apėmė daugiau nei 40 000 el. pašto paskyrų ir daugiau nei 100 milijonų pranešimų bei kalendoriaus įrašų.

Austrijoje nevyriausybinė organizacija „Noyb“ praneša, kad duomenų apsaugos institucija paskelbė sprendimą, kuriuo daroma išvada, jog „Microsoft 365 Education“ neteisėtai seka mokinius ir naudoja jų duomenis savo tikslais.

Programinės įrangos milžinė taip pat neatsakė į prašymą suteikti prieigą prie „Microsoft 365 Education“, kuri plačiai naudojama Europos mokyklose.

Austrijos teismas patvirtino 1 500 000 eurų baudą, skirtą IKEA už neteisėtą ir pernelyg didelį vaizdo stebėjimą viename iš jos filialų ir aplink juos, be kita ko, įrašant, kaip klientai įveda savo PIN kodus.

Taigi jis panaikino APD sprendimą, kuriuo už pirkimo metu padarytus pažeidimus buvo atsakingas tik pardavėjas.

Belgijoje Belgijos duomenų apsaugos tarnyba (APD) taip pat papeikė bendrovę už neteisėtą buvusio darbuotojo el. pašto adreso ir telefono numerio saugojimą pasibaigus jo darbo sutarčiai. APD nustatė, kad duomenų valdytojas pažeidė kelias BDAR nuostatas, įskaitant tikslo ribojimo principą, duomenų mažinimo ir saugojimo apribojimo principus, duomenų subjekto informavimo principus ir teisę į duomenų ištrynimą.

Galiausiai nebeliko jokio teisinio pagrindo toliau tvarkyti šių duomenų.

Ispanijoje APD skyrė finansinių paslaugų bendrovei („Servicios Financieros Carrefour“) 1 500 000 eurų baudą už tai, kad ji neužtikrino duomenų tvarkymo saugumo ir konfidencialumo duomenų pažeidimo, dėl kurio buvo išsiųsta daugybė sukčiavimo el. laiškų, metu.

Airijoje neseniai vėl sulaukė dėmesio buvusios „Meta“ lobistės Niamh Sweeney paskyrimas Airijos duomenų apsaugos tarnybos komisare.

Airijos pilietinių laisvių taryba (ICCL) spalio 25 d. pateikė skundą Europos Komisijai prieš Airiją, teigdama, kad Airija nepateikė pakankamai garantijų dėl savo nominavimo proceso nepriklausomumo ir nešališkumo.

Pranešama, kad Europos Komisija atsakė pareikšdama, jog ji neturi kompetencijos spręsti nacionalinių paskyrimų, susijusių su oficialia vystymosi pagalba, klausimus.

Nyderlandų duomenų apsaugos tarnyba (APD) skyrė bendrovei „Experian Nederland“ 2,7 mln. eurų baudą už kelis BDAR pažeidimus.

Iki 2025 m. sausio 1 d. „Experian“ teikė savo klientams kreditingumo vertinimus, kuriems rinko duomenis, pavyzdžiui, apie neigiamą mokėjimo elgesį, neapmokėtas skolas ar bankrotą.

APD atkreipė dėmesį į galiojančio teisinio pagrindo informacijos rinkimui trūkumą ir atitinkamų asmenų neinformavimą.

Bendrovė turėjo nutraukti veiklą šalyje ir įsipareigojo iki metų pabaigos ištrinti visą savo asmeninę duomenų bazę.

 

 

JK duomenų apsaugos tarnyba (DPA) skyrė atitinkamai 8 000 000 ir 6 000 000 svarų sterlingų baudą verslo paslaugų teikėjui, kuris specializuojasi pensijų administravime, ir jo subrangovui po kibernetinės atakos, kuri leido neteisėtoms trečiosioms šalims pasiekti daugiau nei 6 milijonų žmonių duomenis.

APD atkreipė dėmesį į tinkamų saugumo priemonių trūkumą.

IAPP praneša, kad pirmą kartą nuo 2019 m. Tarptautinė standartizacijos organizacija atnaujino savo tarptautinį privatumo atitikties programų valdymo standartą ISO 27701.

Standartas dabar yra savarankiška valdymo sistema, o tai reiškia, kad organizacijoms nebereikės turėti pagal ISO 27001 sertifikuotos informacijos saugumo valdymo sistemos.

Tačiau tie, kurie turi SGSI, galės integruoti abi valdymo sistemas.

Standarte išsamiai aprašomi aukšto lygio PIMS diegimo reikalavimai, kuriuos turi atitikti ir įdiegti bet kuri sertifikavimo siekianti organizacija.

Nors jis negali būti laikomas teisės aktų pakaitalu, jis išlieka glaudžiai suderintas su ES ir JK BDAR.

Jungtinėse Valstijose imigracijos policija gatvėje nuskaito žmonių veidus, kad patikrintų jų pilietybę.

Pasak Amerikos žiniasklaidos priemonės 404, socialiniuose tinkluose platinamuose vaizdo įrašuose matyti ICE (Imigracijos ir muitinės kontrolės) ir CBP (Muitinės ir sienų apsaugos) agentai, naudojantys veido atpažinimo technologiją praeiviams lauke.

Naudota programa „Mobile Fortify“ susieja veidus su 200 milijonų vaizdų duomenų baze iš FTB, Valstybės departamento ir kitų agentūrų duomenų bazių.

Programa taip pat galėtų atlikti kryžminę paiešką transporto priemonėse, telefonuose, adresuose ir šaunamuosiuose ginkluose.

Nors Vidaus saugumo departamentas atsisako patvirtinti ar paneigti „Mobile Fortify“ galimybes, CBP, kaip pranešama, pripažįsta, kad remiasi „įvairiomis technologinėmis priemonėmis, siekiant padidinti agentų efektyvumą“.

Konkurencija dėl dirbtinio intelekto integravimo į interneto naršykles ir dabar jau klasikinės „Google Chrome“ dominuojančios pozicijos augimo didėja.

Todėl „Microsoft“ integravo savo dirbtinio intelekto įrankį „Copilot“ į „Edge“ naršyklę.

Siūlomi „veiksmai“ leidžia „Copilot“ pildyti formas arba rezervuoti viešbučius, o „Kelionės“ leidžia „Copilot“ atsekti sąsajas tarp vartotojo atidarytų skirtukų.

„Microsoft“ pranešimas pasirodė praėjus dviem dienoms po panašaus „OpenAI“ pristatymo, kuriame pristatyta nauja „Atlas“ naršyklė, vizualiai labai panaši į „Microsoft“.