Naujausiame BDAR naujienlaiškio numeryje ECOVIS ProventusLaw duomenų apsaugos ekspertai apžvelgia naujausias Europos ir nacionalinio lygmens duomenų apsaugos aktualijas, kurios atskleidžia vis ryškesnę reguliavimo kryptį – dėmesį ne tik formaliam atitikimui, bet ir realiam BDAR principų taikymui praktikoje.
Naujausi sprendimai ir ataskaitos rodo, kad priežiūros institucijos vis aktyviau vertina, kaip organizacijos įgyvendina duomenų subjektų teises, valdo kibernetines rizikas ir pagrindžia pasirinktus duomenų tvarkymo sprendimus. Kartu stiprėja reikalavimai technologiniams sprendimams – ypač tais atvejais, kai naudojamos biometrinės ar dirbtinio intelekto technologijos, taip pat kai tvarkomi didelės apimties ar jautrūs duomenys.
Šioje apžvalgoje taip pat aptariamos svarbios teismo praktikos tendencijos, kurios primena proporcingumo, pagrįstumo ir tinkamo procesų dokumentavimo svarbą, skiriant sankcijas ar vertinant atitiktį. Be to, matyti aiškus ES siekis mažinti administracinę naštą organizacijoms, kartu stiprinant bendrą kibernetinį atsparumą.
Europos duomenų apsaugos valdyba paskelbia 2025 m. koordinuoto vykdymo veiksmų ataskaitą
Europos duomenų apsaugos valdyba (EDPB) paskelbė 2025 m. ataskaitą, kurioje daugiausia dėmesio skiriama teisei į ištrynimą pagal Bendrąjį duomenų apsaugos reglamentą (BDAR). Ši teisė, dažnai vadinama „teise būti pamirštam“, leidžia asmenims tam tikromis sąlygomis prašyti ištrinti jų asmens duomenis. Ataskaitoje pateikiama apžvalga, kaip ši teisė taikoma visoje Europos Sąjungoje, taip pat išskiriami pagrindiniai iššūkiai, su kuriais susiduria duomenų valdytojai ir tvarkytojai.
Ataskaita atskleidžia, kad nors daugelis organizacijų yra įsidiegusios procesus, skirtus ištrynimo prašymams nagrinėti, jų taikymas išlieka nenuoseklus. Kai kurie duomenų valdytojai susiduria su sunkumais derindami teisę į ištrynimą su kitais teisiniais įsipareigojimais, pavyzdžiui, duomenų saugojimo reikalavimais pagal mokesčių ar baudžiamąją teisę. EDPB pabrėžia aiškių gairių svarbą, siekiant užtikrinti, kad teisė į ištrynimą būtų įgyvendinama nepakenkiant kitiems teisėtiems interesams.
Be to, ataskaitoje išskiriamos dažniausios kliūtys, įskaitant sunkumus patikrinti prašymą pateikusio asmens tapatybę ir techninius iššūkius šalinant duomenis iš atsarginių kopijų ar trečiųjų šalių tvarkytojų sistemų. Organizacijos raginamos diegti tvirtas procedūras ir investuoti į technologijas, kurios padėtų efektyviai ir saugiai ištrinti duomenis. EDPB taip pat pabrėžia nuolatinio mokymo ir informuotumo svarbą, siekiant gerinti ištrynimo prašymų nagrinėjimą.
Apskritai EDPB 2025 m. ataskaita yra vertingas šaltinis duomenų apsaugos pareigūnams, teisininkams ir organizacijoms, siekiančioms laikytis BDAR reikalavimų. Spręsdama praktinius klausimus ir skatindama gerąją praktiką, ji prisideda prie veiksmingo teisės į ištrynimą įgyvendinimo ir stiprina asmenų kontrolę jų asmens duomenų atžvilgiu.
Europos Komisija reaguoja į kibernetinę ataką prieš Europa web platformą
Europos Komisija aptiko kibernetinę ataką, kuri paveikė jos debesijos infrastruktūrą, naudojamą Komisijos interneto svetainių talpinimui Europa.eu platformoje. Nedelsiant buvo imtasi veiksmų atakai suvaldyti. Greita Komisijos reakcija užtikrino, kad incidentas buvo lokalizuotas, o rizikos mažinimo priemonės buvo įgyvendintos siekiant apsaugoti paslaugas ir duomenis, nepažeidžiant Europa svetainių prieinamumo.
Pirminiai vykdomo tyrimo rezultatai rodo, kad iš šių svetainių galėjo būti pasisavinti duomenys. Komisija tinkamai informuoja Europos Sąjungos institucijas, kurios galėjo būti paveiktos šio incidento. Komisijos tarnybos vis dar tiria visą incidento poveikio mastą.
Komisijos vidinės sistemos nebuvo paveiktos šios kibernetinės atakos. Komisija toliau stebės situaciją ir imsis visų būtinų priemonių, kad užtikrintų savo vidinių sistemų ir duomenų saugumą. Taip pat bus atliekama incidento analizė, o jos rezultatai bus naudojami siekiant dar labiau sustiprinti kibernetinio saugumo pajėgumus.
Kadangi Europa susiduria su nuolatinėmis kibernetinėmis ir hibridinėmis atakomis, nukreiptomis prieš svarbiausias paslaugas ir demokratines institucijas, Komisija aktyviai dirba stiprindama Europos Sąjungos kibernetinį atsparumą.
Europos Parlamentas skelbia pažangą dėl vieno incidentų pranešimo taško (SEP)
Europos Parlamentas padarė pažangą kuriant vieną saugumo incidentų pranešimo tašką (Single Entry Point – SEP) visoje Europos Sąjungoje. Ši iniciatyva yra Europos Komisijos „Digital Omnibus“ teisėkūros paketo dalis, kuria siekiama supaprastinti procesą organizacijoms, kurios turi pranešti apie saugumo incidentus, įskaitant asmens duomenų saugumo pažeidimus, pagal įvairius ES teisės aktus.
SEP bus centralizuota skaitmeninė platforma, kurią valdys Europos Sąjungos kibernetinio saugumo agentūra ENISA. Ji leis organizacijoms pateikti incidentų pranešimus pagal kelis ES reglamentus, tokius kaip Bendrasis duomenų apsaugos reglamentas (BDAR), NIS2 direktyva, DORA ir Kibernetinio atsparumo aktas (CRA), naudojant vieną sąsają.
Šis sprendimas pakeis dabartinę sistemą, kai organizacijos turi teikti atskirus pranešimus skirtingoms nacionalinėms institucijoms, taip sumažinant administracinę naštą ir didinant efektyvumą.
Svarbu pažymėti, kad SEP nepakeis esamų taisyklių dėl to, kokie incidentai turi būti pranešami ar kokie yra pranešimo terminai, išskyrus vieną svarbų pakeitimą: pagal BDAR numatytas asmens duomenų saugumo pažeidimo pranešimo terminas bus pratęstas nuo 72 iki 96 valandų.
ENISA veiks kaip tarpinė institucija, perduodanti pranešimus atitinkamoms nacionalinėms ar ES institucijoms tolimesniems veiksmams Jei SEP platforma laikinai neveiktų, organizacijos vis tiek turės naudoti alternatyvius pranešimo kanalus.
Europos Parlamentas tikisi, kad SEP taps veikiantis per 18 mėnesių nuo tada, kai „Digital Omnibus“ paketas įsigalios, su galimybe pratęsti terminą dar iki dvejų metų, jei reikės papildomo laiko platformos saugumui ir funkcionalumui užtikrinti.
Organizacijos, kurioms taikomi ES duomenų apsaugos ir saugumo pranešimo reikalavimai, turėtų sekti šiuos pokyčius ir pasirengti galimam centralizuoto pranešimų teikimo poveikiui jų incidentų valdymo procedūroms.
Ispanijos duomenų apsaugos institucija skyrė 500 000 eurų baudą FC Barcelona klubui
Ispanijos duomenų apsaugos institucija (Agencia Española de Protección de Datos, AEPD) skyrė 500 000 eurų baudą futbolo klubui „FC Barcelona“ už tai, kad nebuvo atliktas teisės aktų reikalavimus atitinkantis poveikio duomenų apsaugai vertinimas (DPIA) prieš pradedant tvarkyti biometrinius duomenis.
Biometriniai duomenys apėmė veido atpažinimo technologiją ir balso įrašus, kurie buvo renkami 2023 m. skaitmeninio narių surašymo atnaujinimo kampanijos metu, nukreiptos į maždaug 143 000 klubo narių. AEPD nustatė, kad pateiktas DPIA neatitiko BDAR reikalavimų, nes jame trūko aiškaus biometrinių duomenų aprašymo, realaus mažiau invazinių alternatyvų vertinimo ir tinkamo rizikų įvertinimo.
Skaitmeninio surašymo metu nariai turėjo atlikti kelis veiksmus: nuskenuoti tapatybės dokumentus, pateikti veido atvaizdą su biometrikos patikra ir (pasirinktinai) įrašyti balso profilį. Biometriniai duomenys buvo tvarkomi naudojant „Veridas Digital Authentication Solutions S.L.“ programinę įrangą, o užšifruoti biometriniai šablonai laikinai saugoti serveriuose Europos ekonominėje erdvėje.
AEPD gavo skundų iš narių, kurie teigė, kad biometrinis procesas buvo privalomas be aiškaus sutikimo, todėl buvo pradėtas oficialus tyrimas ir klubas laikinai sustabdė biometrinę patikros sistemą.
Institucijos sprendime pabrėžiama, kad DPIA turėjo esminių trūkumų: nebuvo aiškiai identifikuoti veido biometriniai duomenys, nebuvo tinkamai įvertinta, ar biometrinė patikra yra mažiausiai privatumo pažeidžiantis sprendimas, ir buvo nepakankamai įvertintos rizikos, susijusios su jautrių biometrinių duomenų tvarkymu.
Nepaisant klubo argumentų dėl ankstesnių gairių, savanoriško sustabdymo ir bendradarbiavimo, institucija pabrėžė, kad pareiga atlikti išsamų DPIA egzistuoja nepriklausomai nuo gairių ir turi būti įvykdyta prieš pradedant duomenų tvarkymą.
Šis atvejis pabrėžia, kad organizacijos, naudojančios biometrines ar didelės rizikos technologijas, privalo rengti išsamius ir realiais vertinimais paremtus DPIA, kurie įvertina rizikas ir alternatyvas. Tai taip pat atspindi platesnę tendenciją Ispanijoje, kur duomenų apsaugos institucijos vis griežčiau vertina DPIA kokybę. Šis sprendimas rodo, kad formalus atitikimas nepakankamas – būtinas realus ir substancialus analizės procesas.
DLA Piper 2025 m. BDAR baudų ir duomenų saugumo pažeidimų ataskaita
Aštuntoji kasmetinė „DLA Piper“ BDAR baudų ir duomenų saugumo pažeidimų tyrimo ataskaita už 2025 m. atskleidžia stabilią priežiūros ir vykdymo aplinką Europoje. Priežiūros institucijos iš viso skyrė apie 1,2 mlrd. eurų baudų. Ši suma beveik nesiskiria nuo 2024 m. lygio, o tai rodo, kad reguliuotojai išlieka nuosekliai aktyvūs, nors bendras baudų kiekis metų bėgyje nedidėjo.
Nuo BDAR įsigaliojimo 2018 m. gegužės 25 d. bendras visose tirtose jurisdikcijose skirtų baudų dydis pasiekė 7,1 mlrd. eurų. Didžiausią dalį šių veiksmų vykdo Airija – Airijos duomenų apsaugos komisija (DPC) viena pati skyrė daugiau nei 4 mlrd. eurų baudų. Tarp jų – ir didžiausia 2025 m. bauda, siekianti 530 mln. eurų, skirta socialinių tinklų bendrovei už tarptautinių duomenų perdavimo taisyklių pažeidimus.
2025 m. taip pat išryškėjo svarbi tendencija – asmens duomenų saugumo pažeidimų pranešimų skaičius per dieną padidėjo 22 % ir pasiekė vidutiniškai 443 pranešimus per dieną. Tai pirmas kartas nuo BDAR taikymo pradžios, kai vidutinis dienos pranešimų skaičius viršijo 400. Šį augimą, tikėtina, lėmė geopolitinė įtampa, padidėję kibernetiniai išpuoliai, naujų technologijų panaudojimas kenkėjiškai veiklai bei besikeičiantys teisiniai reikalavimai, įskaitant pranešimo prievoles pagal tokius reglamentus kaip NIS2 ir DORA.
Priežiūros institucijos taip pat svarsto galimybę didinti slenkstį, nuo kurio privaloma pranešti apie duomenų saugumo pažeidimus, siekiant daugiau dėmesio skirti tik tiems incidentams, kurie kelia didelę riziką asmenims, ir taip efektyviau valdyti augantį pranešimų srautą.
Asmens duomenų saugumas išlieka viena pagrindinių priežiūros prioritetų sričių. Kelios reikšmingos 2025 m. baudos buvo skirtos už BDAR vientisumo ir konfidencialumo principo (5 straipsnio 1 dalies f punktas) bei saugumo reikalavimų (32 straipsnis) pažeidimus.
Pavyzdžiui, Jungtinės Karalystės Informacijos komisaro biuras (ICO) skyrė 16 mln. eurų baudą bendrovei „Capita“ už nepakankamas technines ir organizacines priemones, dėl kurių įvyko didelis duomenų saugumo pažeidimas, paveikęs milijonus žmonių. Taip pat Vokietijos federalinis duomenų apsaugos komisaras skyrė 45 mln. eurų baudų telekomunikacijų bendrovei už saugumo trūkumus ir nepakankamą duomenų tvarkytojų priežiūrą.
Šie atvejai rodo augantį reguliuotojų dėmesį tiekimo grandinės saugumui, kai duomenų tvarkytojai (procesoriai) tampa vis dažniau tiesiogiai atsakingi už saugumo pažeidimus.
Liuksemburgo vyriausiasis administracinis teismas panaikino 746 mln. eurų baudą „Amazon“
Liuksemburgo vyriausiasis administracinis teismas panaikino 746 mln. eurų baudą, kurią bendrovei „Amazon“ buvo skyrusi Liuksemburgo duomenų apsaugos institucija (CNPD) už neteisėtą asmens duomenų tvarkymą, susijusį su tikslinės reklamos veikla.
Teismas patvirtino, kad „Amazon“ pažeidė BDAR nuostatas, įskaitant galiojančio teisinio pagrindo nebuvimą pagal 6 straipsnio 1 dalies f punktą (teisėtas interesas) elgsenos reklamai, taip pat skaidrumo ir duomenų subjektų teisių pažeidimus. Tačiau teismas nustatė procesinius CNPD sprendimo trūkumus – visų pirma nebuvo įvertinta kaltė ir proporcingumas prieš skiriant baudą.
Byla kilo iš 2018 m. skundo, kurį pateikė Prancūzijos organizacija „La Quadrature du Net“, ginčijusi „Amazon“ sprendimą remtis teisėtu interesu kaip teisiniu pagrindu tvarkant asmens duomenis tikslinės reklamos tikslais. CNPD atliko tyrimą ir nustatė kelis BDAR pažeidimus, įskaitant teisės susipažinti su duomenimis, juos ištaisyti, ištrinti ir nesutikti su jų tvarkymu pažeidimus.
„Amazon“ apskundė CNPD sprendimą, tačiau tiek administracinis teismas, tiek vyriausiasis administracinis teismas patvirtino, kad BDAR pažeidimai buvo padaryti, tačiau nagrinėjo pačios sankcijos teisėtumą.
Vyriausiasis administracinis teismas pabrėžė, kad CNPD tinkamai neįvertino, ar „Amazon“ veikė tyčia ar dėl neatsargumo – tai reikalavimas, nustatytas naujesnėje Europos Sąjungos Teisingumo Teismo (ESTT) praktikoje. Taip pat institucija nepakankamai įvertino alternatyvias priemones ir proporcingumo principą skiriant baudą.
Dėl šių priežasčių teismas panaikino baudą ir grąžino bylą CNPD pakartotiniam nagrinėjimui, kad būtų iš naujo įvertinta kaltė ir proporcingumas prieš priimant naują sprendimą dėl sankcijų.
Teismas taip pat patvirtino, kad „Amazon“ nuo tyrimo pradžios atnaujino savo praktiką ir dabar remiasi vartotojų sutikimu pagal BDAR 6 straipsnio 1 dalies a punktą, kuris buvo pripažintas atitinkančiu reikalavimus. Todėl ankstesni įpareigojimai dėl atitikties ir baudos mokėjimo tapo nebeaktualūs.
Teismas atmetė reikalavimus dėl procesinės žalos atlyginimo ir paskirstė bylinėjimosi išlaidas lygiomis dalimis, dar kartą pabrėždamas, kad sankcijos turi būti pagrįstos, proporcingos ir priimtos laikantis nuodugnios teisinės analizės.
Naujienlaiškio prenumerata
Susisiekti