Duomenų apsaugos naujienlaiškis (2025 m. spalio mėn.)

ECOVIS ProventusLaw duomenų apsaugos komanda kviečia duomenų valdytojus ir tvarkytojus susipažinti su 2025 m. spalio mėn. duomenų apsaugos aktualijomis. 

EDAV ir Europos Komisija paskelbė pirmąsias bendras gaires dėl DMA ir BDAR sąveikos

Europos duomenų apsaugos valdyba (EDAV) ir Europos Komisija bendrai patvirtino naujas gaires, kuriose paaiškinama, kaip Skaitmeninių rinkų aktas (SRA) suderinamas su Bendruoju duomenų apsaugos reglamentu (BDAR). Tai pirmas kartas, kai šios dvi institucijos kartu išleido gaires.

Ši iniciatyva remia EDAV 2024–2027 m. strategiją ir Helsinkio deklaracijos tikslus supaprastinti BDAR laikymąsi ir pagerinti nuoseklumą visoje ES skaitmeninės reguliavimo sistemoje. Bendrosios gairės skirtos didinti teisinį tikrumą didelėms platformoms, kurioms taikomas SRA, taip pat verslo vartotojams, naudos gavėjams ir asmenims.

Gairėse paaiškinama, kaip SRA ir BDAR veikia kartu: abu siekia apsaugoti asmenis skaitmeninėje aplinkoje, tačiau turi skirtingus ir vienas kitą papildančius tikslus – BDAR saugo teises ir privatumą, o SRA skatina sąžiningumą ir konkurenciją skaitmeninėse rinkose. Daugelis SRA įsipareigojimų yra susiję su asmens duomenų tvarkymu ir tiesiogiai nurodo BDAR sąvokas. Naujajame dokumente paaiškinama, kaip tokios nuostatos turėtų būti įgyvendinamos, kad SRA laikymasis nepažeistų ES duomenų apsaugos teisės aktų. Pavyzdžiai apima pasirinkimą ir galiojantį sutikimą pagal SRA 5 straipsnio 2 dalį, kai pagrindinėse platformos paslaugose sujungiami arba kryžmiškai naudojami asmens duomenys, ir nuostatas dėl trečiųjų šalių programėlių platinimo, duomenų perkeliamumo, prieigos prašymų ir žinučių siuntimo paslaugų sąveikos.

Bendros viešos konsultacijos dėl gairių vyks iki 2025 m. gruodžio 4 d. Pasibaigus konsultacijoms, visi pateikti komentarai bus paskelbti SRA svetainėje, į kurią bus pateikta nuoroda EDAV svetainėje. Galutinė versija bus parengta ir priimta bendrai Valdybos ir Komisijos.

Valstybinė duomenų apsaugos inspekcija nustatė neteisėtą asmens duomenų tvarkymą sistemoje „Infostatyba“

Valstybinė duomenų apsaugos inspekcija (VDAI) išnagrinėjo skundą dėl galimai neteisėto asmens duomenų naudojimo Lietuvoje viešoje statybos informacinėje sistemoje „Infostatyba“. Skunde Pareiškėjas nurodė, kad jo vardas, pavardė, kvalifikacijos atestato numeris ir el. pašto adresas buvo įtraukti į sistemą kaip projekto vykdymo priežiūros vadovo ir statybos vadovo, nors jis niekada nesutiko dalyvauti projekte ir neturėjo jokio ryšio su juo. Šį įrašą sistemoje pateikė paslaugų teikėjas, veikęs Bendrijos (DNSB „Klaipėdos voruta“) vardu.

Tyrimo metu nustatyta, kad Bendrija negalėjo pateikti jokio teisinio pagrindo Pareiškėjo duomenų tvarkymui. Pateiktas pagrindimas – senas, 2020 metų vidinis įsakymas – buvo nesusijęs su 2024 metų projektu ir nerodė jokio sutikimo ar teisėto intereso. Dėl to Pareiškėjo duomenų tvarkymas buvo pripažintas neteisėtu, nesąžiningu ir neskaidriu, pažeidžiant:

  • BDAR 5 straipsnio 1 dalies a punktą (teisėtumas, sąžiningumas, skaidrumas), ir
  • BDAR 6 straipsnio 1 dalį (teisėto pagrindo nebuvimas).

VDAI taip pat nustatė, kad nepaisant Bendrijos teiginių, Pareiškėjo duomenys sistemoje liko matomi po prašymo juos ištrinti pateikimo.

Skundas buvo visiškai patenkintas. Inspekcija išdavė:

  • Papeikimą Bendrijai už neteisėtą asmens duomenų tvarkymą; ir
  • Privalomą nurodymą nuolatos ištrinti Pareiškėjo duomenis iš sistemos „Infostatyba“ iki 2025 m. lapkričio 4 d.

VDAI pabrėžė, kad nors Pareiškėjas taip pat kėlė klausimą dėl galimo dokumentų klastojimo, tokie klausimai neįeina į Inspekcijos kompetenciją ir yra tiriami teisėsaugos institucijų.

Šis sprendimas akcentuoja patikimų duomenų šaltinių ir teisėto pagrindo asmens duomenų tvarkymui svarbą. Duomenų valdytojai privalo užtikrinti, kad:

  • Asmens duomenys būtų naudojami tik turint aiškų, naują ir dokumentuotą pagrindimą;
  • Pasenę vidiniai dokumentai negali būti laikomi pakaitalu tiesioginiam sutikimui ar būtinybei; ir
  • Kai duomenys dalijami per viešas ar partnerių sistemas, atsakomybė už jų tikslumą ir teisėtumą lieka valdytojo rankose.

Sprendimas dėl duomenų ištrynimo prašymų platformoje cargo.lt

2025 m. vasarį Valstybinė duomenų apsaugos inspekcija (VDAI) gavo skundą dėl asmens duomenų ištrynimo prašymo tvarkymo pagal BDAR 17 straipsnį. Atvejis susijęs su platforma www.cargo.lt, kurią valdo UAB „Eurospektras“ ir kuri teikia krovinių ir transporto mainų paslaugas.

Pareiškėjas prašė ištrinti savo asmens duomenis (vardą ir pavardę) iš įmonių katalogo po to, kai paliko buvusį darbdavį, naudojusį platformą. Duomenų valdytojas atsisakė ištrinti duomenis, teigdamas, kad asmuo vis dar nurodytas kaip įmonės direktorius, ir kad tokie duomenys tvarkomi pagal platformos Privatumo politiką, kuri leidžia saugoti informaciją apie įmonių atstovus ir naudotojus, siekiant apsaugoti kitus nuo galimų finansinių nuostolių.

VDAI paprašė paaiškinimų, kaip duomenų valdytojas užtikrina BDAR skaidrumo reikalavimų laikymąsi. Įmonė paaiškino, kad duomenys apie fizinius asmenis jau buvo ištrinti, o duomenys, susiję su juridiniu asmeniu, liko tvarkomi teisėtais pagrindais.VDAI nustatė, kad:

  • Ištrynimo teisė šiuo atveju netaikoma, nes duomenys susiję su juridinio asmens atstovavimu, o ne su fiziniu asmeniu;
  • Tačiau duomenų valdytojas nepateikė aiškaus ir skaidraus paaiškinimo Pareiškėjui, todėl buvo pažeisti BDAR 12 straipsnio 1 ir 4 punktai;
  • Todėl VDAI išdavė formalų papeikimą pagal BDAR 58 straipsnio 2 dalies b punktą už nepakankamą skaidrumą ir netinkamą atsakymą į duomenų ištrynimo prašymą. Bauda nebuvo taikyta, nes Inspekcija laikė papeikimą pakankama ir proporcinga priemone;
  • Sprendimas pabrėžia, kad net jei duomenų tvarkymas yra teisėtas, organizacijos privalo užtikrinti aiškią, išsamią ir skaidrią komunikaciją su duomenų subjektu atsakant į BDAR prašymus.

VDAI rekomendacijos:

  • Net jei ištrynimo prašymas teisėtai atmetamas, duomenų valdytojas privalo aiškiai paaiškinti teisėtą atsisakymo pagrindą;
  • Atsakymai turi būti pateikiami trumpai, skaidriai, suprantamai ir lengvai prieinamu būdu, laikantis BDAR 12 straipsnio 1 ir 4 punktų;
  • Nepateikti tinkamo, informatyvaus atsakymo laikoma BDAR pažeidimu, net jei pats duomenų tvarkymas yra teisėtas.

Sprendimas dėl asmens duomenų tvarkymo skaidrumo per e. pristatymo sistemą

2025 m. liepos 7 d. Valstybinė duomenų apsaugos inspekcija (VDAI) priėmė sprendimą Nr. 3R-856(2.13-1.E) po tyrimo dėl skundo, susijusio su asmens duomenų tikslumu ir skaidrumu tarp dviejų valstybės institucijų per E. pristatymo sistemą. Skunde buvo teigiama, kad Lietuvos Respublikos konkurencijos taryba (skundžiamas asmuo 1) neteisėtai gavo ir naudojo skundo pateikėjo el. pašto adresą bei nepateikė išsamios informacijos apie duomenų šaltinį, kuris, kaip nurodyta, galėjo būti perduotas per E. pristatymo sistemos operatorių (skundžiamas asmuo 2).

VDAI išvados:

  • Tyrimas patvirtino, kad Konkurencijos taryba negalėjo gauti skundo pateikėjo el. pašto adreso per E. pristatymo sistemą, nes tokie duomenys techniniu požiūriu nesikeičia sistemos integracijomis.
  • Įrodymai parodė, kad el. pašto adresas buvo gautas tiesiogiai iš skundo pateikėjo 2019 m., kai jis savanoriškai jį pateikė korespondencijos metu.
  • Todėl duomenų tvarkymas buvo laikomas teisėtu pagal GDPR 6 straipsnio 1 dalies c ir e punktus, kaip viešojo administravimo funkcijų vykdymo dalis.
  • Vis dėlto Konkurencijos taryba pateikė netikslią informaciją apie duomenų šaltinį, dėl ko buvo pažeistas GDPR 15 straipsnio 1 dalies g punktas, garantuojantis teisę gauti tikslią informaciją apie asmens duomenų kilmę.

Skundas buvo patenkintas iš dalies. VDAI neskyrė sankcijų, kadangi pažeidimas buvo nedidelis, o skaidrumas buvo atstatytas pateikus teisingą duomenų šaltinio informaciją.

ESTT siaurina/patikslina „asmens duomenų“ apibrėžtį pseudonimizuotų duomenų perdavimo atveju

Teisingumo Teismas panaikino Bendrojo Teismo sprendimą, kuriuo buvo panaikintas Europos duomenų apsaugos priežiūros pareigūno (EDAPP) sprendimas dėl Bendros pertvarkymo valdybos (SRB) perduotų pseudonimizuotų komentarų „Deloitte“ bendrovei Banco Popular pertvarkymo kontekste.

ESTT nusprendė, kad:

  • Asmeninės nuomonės yra asmeninės duomenys pagal savo pobūdį, nes jos išreiškia autoriaus mintis ir yra neatskiriamai susijusios su tuo asmeniu – EDAPP nereikėjo iš naujo nagrinėti turinio / tikslo / poveikio, kad padarytų išvadą, jog duomenys yra „susiję“ su komentatoriais.
  • Pseudonimizuoti duomenys ne visada yra asmens duomenys visiems, priklausomai nuo to, ar gavėjas gali iš naujo identifikuoti asmenį esamomis aplinkybėmis – pakartojant ankstesnę teismų praktiką.
  • Informacijos teikimo pareiga vertinama duomenų rinkimo metu ir duomenų valdytojo, o ne gavėjo (Deloitte) požiūriu po pseudonimų suteikimo – SRB turėjo informuoti duomenų subjektus prieš perduodama duomenis, neatsižvelgiant į Deloitte galimybę identifikuoti.

Byla grąžinta Bendrajam Teismui.

Pradeda veikti ES atvykimo ir išvykimo sistema: priežiūros ir duomenų apsaugos sistema

Nuo 2025 m. spalio 12 d. pradėjo veikti ES atvykimo ir išvykimo sistema (EES), kurios tikslas – užkirsti kelią neteisėtai migracijai ir stiprinti saugumą Šengeno erdvėje.

Ši automatizuota sistema registruoja, kurie trečiųjų šalių keliautojai atvyksta į Šengeno erdvę ir iš jos išvyksta. Ji registruoja kelionės dokumentuose nurodytus asmens duomenis, pavyzdžiui, vardą, pavardę, gimimo datą ir vietą. Ji taip pat registruoja keliautojų atvykimo ir išvykimo datas, taip pat biometrinius duomenis, pavyzdžiui, veido atvaizdus ir pirštų atspaudus.

Tikimasi, kad sistema bus visiškai įdiegta per šešis mėnesius.

Asmens duomenų apsaugos priežiūrą EES atlieka Koordinavimo priežiūros komitetas – nacionalinių priežiūros institucijų ir Europos duomenų apsaugos priežiūros pareigūno (EDAPP) grupė, glaudžiai bendradarbiaujanti siekdama prižiūrėti EES įgyvendinimą tiek Europos, tiek nacionaliniu lygmeniu.

Šios priežiūros tikslas – užtikrinti, kad naujoji sistema atitiktų aukščiausius duomenų apsaugos ir privatumo standartus, taip pat užtikrinti keliautojų asmens duomenų saugumą

EDAPP paskelbė atnaujintas gaires dėl generatyvinės DI, stiprinančias duomenų apsaugą sparčiai kintančioje skaitmeninėje eroje

Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) šiandien paskelbė peržiūrėtas ir atnaujintas gaires dėl generatyvinės dirbtinio intelekto (DI) naudojimo ir asmens duomenų tvarkymo ES institucijose, įstaigose, biuruose ir agentūrose (ESĮ), atsižvelgdamas į sparčiai kintančią technologinę aplinką ir generatyvinių DI sistemų keliamus iššūkius.

Šios atnaujintos gairės sustiprina EDAPP įsipareigojimą teikti patarimus ES institucijoms, kad jos galėtų visiškai laikytis Reglamente (ES) 2018/1725 nustatytų duomenų apsaugos įsipareigojimų.

Remiantis ES institucijų atsiliepimais, peržiūrėtose gairėse pateikiamos aiškesnės ir praktiškesnės instrukcijos, kaip atsakingai kurti ir diegti generatyvaus DI įrankius. Jose pateikiama keletas svarbių atnaujinimų, įskaitant:

  • patobulintą generatyvaus DI apibrėžtį, siekiant didesnio aiškumo ir nuoseklumo;
  • naują, į veiksmus orientuotą atitikties kontrolinį sąrašą, kuris padės ES institucijoms įvertinti ir užtikrinti jų duomenų tvarkymo veiklos teisėtumą;
  • patikslintas vaidmenis ir atsakomybę, padedančias ES institucijoms nustatyti, ar jos veikia kaip duomenų valdytojai, bendri duomenų valdytojai ar duomenų tvarkytojai;
  • išsamius patarimus dėl teisėtų pagrindų, tikslo apribojimo ir duomenų subjektų teisių tvarkymo generatyvinės DI kontekste.

Peržiūrėtose gairėse pabrėžiamas EDAPP aktyvus požiūris į technologijų plėtros stebėjimą ir ES institucijų konsultavimą, kaip integruoti inovacijas, atsižvelgiant į privatumą ir duomenų apsaugą. EDAPP toliau stebės generatyvinės DI raidą ir prireikus atnaujins gaires, kad būtų galima spręsti kylančius iššūkius.

EDAPP išleidžia šias gaires kaip nepriklausoma ES institucijų duomenų apsaugos priežiūros institucija. EDAPP neišleido šių gairių kaip rinkos priežiūros institucija pagal ES dirbtinio intelekto aktą.

Naujienlaiškio prenumerataSusisiekti
Nemokami patarimai!

Turite klausimų ar reikia daugiau informacijos?

Susisiekite su mumis el. paštu!