ECOVIS ProventusLaw kviečia skaityti svarbiausias gegužės mėn. BDAR aktualijas bei pateikia su tuo susijusius savo duomenų apsaugos ekspertų komentarus bei patarimus
Pokyčiai Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme
2024 m. gegužės 14 d. Lietuvos Respublikos Seimas priėmė Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo Nr. I-1374 pakeitimo įstatymą Nr. XIV-2626, kuris jau nuo 2024 m. liepos 1 d. atneš tam tikras naujoves Lietuvoje.
Esminiai pakeitimai susiję su teistumo duomenų tvarkymu:
- darbdaviai galės teisėtai tvarkyti kandidato, pretenduojančio eiti pareigas arba atlikti darbo funkcijas, ir darbuotojo teistumo duomenis, jei 1) tvarkyti šiuos duomenis būtina, siekiant teisėtų darbdavio interesų, išskyrus atvejus, kai darbuotojų interesai yra viršesni už darbdavio interesus; bei 2) šiuos duomenis tvarkyti būtina, kad būtų įvykdyta teisinė prievolė patikrinti, ar asmuo atitinka įstatymuose ir įgyvendinamuosiuose teisės aktuose nustatytus reikalavimus.
- Siekiant tvarkyti kandidato teistumo duomenis teisėto intereso pagrindu taikytini šie reikalavimai:
– Būtina atlikti balanso testą;
– Būtina patvirtinti ir savo interneto svetainėje, jeigu ją turi, paskelbti pareigų, kurias einančiam asmeniui keliamas reikalavimas būti neteistam už tam tikras nusikalstamas veikas, sąrašą nurodant nusikalstamas veikas, už kurias toks asmuo turi būti neteistas;
– Gali būti tvarkomi tik to darbuotojo teistumo duomenys, kurio funkcijos bus įtrauktos į aukščiau nurodytą sąrašą;
– Darbdaviui konkrečios apimties duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas pateiks pats darbuotojas.
Daugiau apie pasikeitimus dėl kandidatų ir darbuotojų teistumo duomenų tvarkymo skaitykite čia.
VDAI rekomendacija dėl veiklos įrašų ir jų formos
VDAI, atsižvelgdama į duomenų valdytojų ir duomenų tvarkytojų užklausas, parengė rekomendacijas dėl duomenų tvarkymo veiklos įrašų ir atnaujino duomenų tvarkymo veiklos įrašų (toliau – veiklos įrašai) duomenų valdytojams ir duomenų tvarkytojams formas.
Pagrindiniai rekomendacijose aptariami klausimai:
- Kam privalomi veiklos įrašai ir kokia apimtimi ši pareiga taikoma;
- Kas turi rengti veiklos įrašus ir kaip jų rengime dalyvauja duomenų apsaugos pareigūnas;
- Kokią informaciją įtraukti į veiklos įrašus;
- Kaip atlikti asmens tvarkymo veiklos inventorizavimą ir kt.
Daugiau apie rekomendaciją dėl veiklos įrašų ir jų formos skaitykite čia.
Europos duomenų apsaugos valdyba paskelbė nuomonę dėl BDAR ir FIDA
2024 m. gegužės 23 d. Europos duomenų apsaugos valdyba (EDAV) paskelbė pareiškimą, kuriame pabrėžė, kad naujai Europos Komisijos pasiūlytame teisės aktų pakete dėl prieigos prie finansinių duomenų sistemos reikia sustiprinti duomenų apsaugos priemones.
EDAV priėmė pareiškimą dėl Komisijos „Prieigos prie finansinių duomenų ir mokėjimų dokumentų rinkinio“ (į kurį įtraukti pasiūlymai dėl Reglamento dėl prieigos prie finansinių duomenų sistemos (FIDA), Mokėjimo paslaugų reglamento (MPR, angl. Payment Service Regulation, PSR) ir dėl Mokėjimo paslaugų direktyvos 3 (MPD3, angl. Payment Service Directive (PSD3)).
EDAV atkreipia dėmesį į Europos Parlamento ataskaitas dėl pasiūlymų dėl FIDA ir PSR, tačiau mano, kad, kiek tai susiję su sukčiavimo sandorių prevencija ir nustatymu, į PSR pasiūlymo sandorių stebėsenos mechanizmą turėtų būti įtrauktos papildomos duomenų apsaugos priemonės. Svarbu užtikrinti, kad atitinkamų asmenų pagrindinės teisės į asmens duomenų apsaugą ribojimo lygis būtų būtinas ir proporcingas tikslui užkirsti kelią sukčiavimui mokėjimo srityje.
Daugiau apie pareiškimą skaitykite čia.
Patvirtinta DAI darbo grupės ChatGPT darbo ataskaita
EDAV darbo grupę įsteigė siekdama skatinti duomenų apsaugos institucijų, tiriančių OpenAI sukurtą pokalbių robotą, bendradarbiavimą. Ataskaitoje pateikiamos preliminarios nuomonės dėl tam tikrų DAI aptartų aspektų ir nedaromas poveikis analizei, kurią kiekviena DAI atliks atitinkamame vykdomame tyrime.
Jame nagrinėjami keli aspektai, susiję su bendru taikomų BDAR nuostatų aiškinimu, aktualiais įvairiems vykdomiems tyrimams, kaip antai:
- mokymo duomenų rinkimo („web scraping“), taip pat duomenų apdorojimo ChatGPT įvesties, rezultatų ir mokymo tikslais teisėtumas.
- teisingumas: už BDAR laikymosi užtikrinimą atsako OpenAI, o ne duomenų subjektai, net jei asmenys įveda asmens duomenis.
- skaidrumas ir duomenų tikslumas: duomenų valdytojas turėtų pateikti tinkamą informaciją apie tikimybinį ChatGPT rezultatų pobūdį ir aiškiai nurodyti, kad sukurtas tekstas gali būti šališkas arba parengtas.
- Ataskaitoje nurodoma, kad būtina, jog duomenų subjektai galėtų veiksmingai naudotis savo teisėmis.
Darbo grupės nariai taip pat parengė bendrą klausimyną, kaip galimą pagrindą keistis informacija su atviruoju dirbtiniu intelektu, kuris skelbiamas kaip ataskaitos priedas.
Be to, EDAV nusprendė parengti gaires dėl generatyvinio dirbtinio intelekto, visų pirma daugiausia dėmesio skirdama duomenų apdorojimui dirbtinio intelekto mokymo kontekste.
Suomijos priežiūros institucija: 856 000 EUR bauda už tai, kad nenustatė klientų duomenų saugojimo laikotarpio.
Suomijos priežiūros institucija, gavusi kliento skundą, ištyrė internetinės parduotuvės Verkkokauppa.com veiklą. Internetinė parduotuvė reikalavo, kad asmuo, prieš pirkdamas internetu, užsiregistruotų kaip klientas interneto svetainėje. Apsipirkti internetinėje parduotuvėje nebuvo galima nesukūrus kliento paskyros.
Duomenų valdytojas nenurodė duomenų, surinktų jo internetinės parduotuvės klientų paskyroms, saugojimo laikotarpio. Suomijos priežiūros institucija nustatė, kad klientų paskyrų duomenys buvo saugomi neribotą laiką.
Be to, duomenų valdytojo praktika, pagal kurią, norint pirkti internetu, reikalaujama sukurti kliento paskyrą, pažeidė duomenų apsaugos teisės aktus.
Daugiau apie Suomijos priežiūros institucijos skirtą baudą skaitykite čia.