BDAR apžvalga: naujienos ir ekspertų patarimai 2025 m. lapkričio mėn.

Naujausiame  BDAR naujienlaiškio numeryje ECOVIS ProventusLaw Duomenų apsaugos komanda apžvelgia reikšmingus Europos duomenų apsaugos srities pokyčius: nuo ESTT sprendimo, kuris aiškiai įtvirtina internetinių skelbimų platformų atsakomybę už skelbimuose esančius asmens duomenis, iki Europos Komisijos pristatyto plataus „skaitmeninio omnibus“ paketo, galinčio iš esmės pakeisti duomenų apsaugos, dirbtinio intelekto ir kibernetinio saugumo reguliavimą.

ES Teisingumo Teismas: internetinių skelbimų platformos yra atsakingos už skelbimuose esančius asmens duomenis

Europos Sąjungos Teisingumo Teismas (toliau – ESTT) išaiškino, kad internetinių turgaviečių (angl. online marketplaces) operatoriai laikomi duomenų valdytojais už skelbimuose pateikiamus asmens duomenis. Tai reiškia, kad prieš publikuodami skelbimus, jie privalo, be kita ko, identifikuoti skelbimus, kuriuose yra jautrių asmens duomenų, ir patikrinti, ar skelbimą keliantis asmuo tikrai yra duomenų subjektas, arba ar turi aiškų jo sutikimą.

Pagal ES teisę internetinių platformų operatoriai privalo prisiimti atsakomybę pagal BDAR už skelbimuose esančius asmens duomenis. Tai apima pareigą įgyvendinti tinkamas technines ir organizacines priemones, leidžiančias dar prieš skelbimo publikavimą:

  • identifikuoti skelbimus, kuriuose pateikiami jautrūs asmens duomenys,
  • patikrinti, ar skelbimo autorius turi teisę pateikti tokius duomenis,
  • įsitikinti, kad duomenų subjekto aiškus sutikimas buvo gautas, jeigu skelbimą talpina ne pats duomenų subjektas.

Jeigu sutikimo neįmanoma patvirtinti, o kita BDAR išimtis netaikoma, platforma privalo atsisakyti publikuoti tokį skelbimą. Taip pat operatoriai turi imtis priemonių, kad būtų išvengta tokių skelbimų kopijavimo ar neteisėto pakartotinio talpinimo kitose svetainėse.

Bylos kontekstas

Nagrinėta byla susijusi su Rumunijos bendrove Russmedia Digital, valdančia svetainę www.publi24.ro, kurioje galima talpinti mokamus ir nemokamus skelbimus. 2018 m. rugpjūčio 1 d. nežinomas asmuo svetainėje paskelbė skelbimą, siūlantį seksualines paslaugas tariamos moters vardu – panaudojant jos nuotraukas (be sutikimo) ir telefono numerį.
Moteriai paprašius, skelbimas buvo pašalintas per valandą, tačiau iki tol jis jau buvo paskelbtas kitose svetainėse.

ESTT patvirtino, kad skelbimų platformos, tokios kaip Russmedia Digital, yra laikomos duomenų valdytojais pagal BDAR, nes skelbimai skelbiami tik platformos veikimo dėka. Todėl jos privalo užtikrinti tinkamas saugumo priemones ir kontrolę.

Platformos privalo:

  • identifikuoti skelbimus su jautriais duomenimis dar prieš juos publikuojant;
  • patikrinti, ar skelbimą talpinantis asmuo yra tikrasis duomenų subjektas;
  • įsitikinti, kad gautas aiškus duomenų subjekto sutikimas, jeigu duomenis pateikia kitas asmuo.

Europos Komisija pristatė naują skaitmeninį paketą

Europos Komisija pristatė „Skaitmeninį omnibus paketą“ – plačią ES skaitmeninių teisės aktų peržiūrą, kuria siekiama supaprastinti taisykles, sumažinti administracinę naštą ir suteikti daugiau teisinio aiškumo verslui. Jei šis paketas bus priimtas, jis reikšmingai pakeis duomenų apsaugos, slapukų, kibernetinio saugumo ir ES Dirbtinio intelekto akto reguliavimą.

Pagrindiniai siūlymai:

  • Atnaujinta asmens duomenų samprata.

Siūloma, kad pagal BDAR nebūtų laikoma asmens duomenimis ta informacija, iš kurios labai mažai tikėtina ar teisiškai draudžiama identifikuoti asmenį. Komisija taip pat pateiks gaires dėl pseudonimizuotų duomenų vertinimo, atsižvelgiant į naujausią ESTT praktiką.

  • Dirbtinio intelekto kūrimas ir taikymas.

Asmens duomenų tvarkymas DI mokymui ir kūrimui būtų pripažįstamas teisėtu interesu. Organizacijos turėtų įrodyti būtinybę ir proporcingumą, taikyti tinkamas apsaugos priemones, mažinti jautrių duomenų naudojimą ir užtikrinti teisę nesutikti.
Nauja išimtis leistų naudoti nedidelius likutinius jautrius duomenis, jei jie apsaugoti griežtomis techninėmis priemonėmis.

  • Moksliniai tyrimai.

„Mokslinių tyrimų“ apibrėžtis būtų išplėsta – ji apimtų veiklą, kuri skatina technologines inovacijas ir komercinę plėtrą, kartu prisidėdama prie visuomenės žinių. Toks tvarkymas būtų laikomas teisėtu interesu, o tolesnis duomenų naudojimas moksliniais tikslais paprastai būtų laikomas suderinamu su pradiniu surinkimo tikslu.

  • Išplėstos išimtys duomenų subjektų teisėms.

Duomenų valdytojai galėtų atsisakyti vykdyti akivaizdžiai piktnaudžiaujančias duomenų subjektų prašymus susipažinti su jų duomenimis arba už tokių prašymų įgyvendinimą taikyti pagrįstą mokestį, ypač tais atvejais, kai duomenys tvarkomi mokslinių tyrimų tikslais. Taip pat tam tikrose situacijose būtų supaprastintos informavimo pareigos, siekiant sumažinti administracinę naštą.

  • ES masto duomenų saugumo pažeidimų pranešimai.

Vienas bendras portalas supaprastintų pranešimų teikimą pagal kelis ES teisės aktus. Pranešimai būtų privalomi tik esant aukštai rizikai asmenims, o terminas būtų pratęstas iki 96 valandų.
Europos duomenų apsaugos valdyba (EDAV) parengtų standartizuotą pranešimo formą

  • Suvienodintos PDAV gairės.

EDAV sudarys ES masto sąrašus veiklų, kurioms privalomas ar neprivalomas poveikio duomenų apsaugai vertinimas, ir patvirtins vieningą šabloną bei metodiką. Šie dokumentai būtų reguliariai atnaujinami atsižvelgiant į technologijų pokyčius.

ES Taryba patvirtino naujas taisykles dėl tarptautinio BDAR vykdymo užtikrinimo ir duomenų apsaugos institucijų bendradarbiavimo

Taryba priėmė naujas taisykles, kuriomis siekiama pagerinti nacionalinių duomenų apsaugos įstaigų bendradarbiavimą užtikrinant BDAR vykdymą, kad būtų paspartintas tarpvalstybinių skundų dėl duomenų apsaugos nagrinėjimo procesas.

Priimtomis priemonėmis bus supaprastintos administracinės procedūros, susijusios, pavyzdžiui, su skundo pateikėjų teisėmis arba bylų priimtinumu, taigi, BDAR vykdymas tarpvalstybiniais atvejais bus užtikrinamas veiksmingiau.

Pagrindiniai naujojo ES reglamento elementai:

  • Priimtinumas: Bus suderinti tarpvalstybinio ieškinio priimtinumo (sprendimo, ar skundas atitinka tyrimo sąlygas) reikalavimai. Nepriklausomai nuo to, kur ES pateikiamas skundas, dėl priimtinumo bus sprendžiama remiantis ta pačia informacija.
  • Skundo pateikėjų ir šalių, dėl kurių atliekamas tyrimas, teisės: Bus taikomos bendros taisyklės dėl skundo pateikėjo dalyvavimo procedūroje, bendrovės ar organizacijos, dėl kurios atliekamas tyrimas, teisės būti išklausytai, taip pat teisės gauti preliminarias išvadas, kad būtų galima pareikšti savo nuomonę šiuo klausimu.
  • Paprasta bendradarbiavimo procedūra: Nesudėtingų bylų atveju duomenų apsaugos institucijos gali skundus išspręsti nesilaikydamos visų bendradarbiavimo taisyklių, kad būtų išvengta administracinės naštos.
  • Terminai: Ateityje tyrimas neturėtų trukti ilgiau kaip 15 mėnesių. Sudėtingiausiose bylose šis terminas gali būti pratęstas 12 mėnesių. Jei taikoma paprasta nacionalinių duomenų apsaugos įstaigų bendradarbiavimo procedūra, tyrimas turėtų būti užbaigtas per 12 mėnesių.

Tolesni veiksmai

Tarybai priėmus šį teisės aktą pasiektas galutinis teisėkūros proceso etapas. Šis reglamentas įsigalios praėjus 20 dienų nuo jo paskelbimo ES oficialiajame leidinyje dienos. Jis bus pradėtas taikyti praėjus 15 mėnesių nuo jo

Paskelbtos Dirbtinio intelekto (DI) sistemų rizikos valdymo gairės

Europos duomenų apsaugos priežiūros pareigūnas (toliau – EDAPP) paskelbė naują gairių dokumentą, skirtą padėti duomenų valdytojams atlikti duomenų apsaugos rizikos vertinimą kuriant, įsigyjant ir diegiant dirbtinio intelekto (DI) sistemas, – „Dirbtinio intelekto sistemų rizikos valdymo gairės“.

Nors naujosios gairės, išleistos EDAPP, yra skirtos ES institucijoms, organizacijos – tiek viešojo, tiek privataus sektoriaus – kurios naudoja arba planuoja naudoti DI sistemas, gali jas naudoti kaip vertingą atspirties tašką.

Šiose gairėse pateikiamos praktinės rekomendacijos, padėsiančios nustatyti ir sušvelninti dažniausiai pasitaikančias technines rizikas, susijusias su dirbtinio intelekto sistemomis, ir prisidėsiančios prie asmens duomenų apsaugos bei atsakingo dirbtinio intelekto kūrimo.

Šis dokumentas skirtas asmenims, dalyvaujantiems dirbtinio intelekto sistemų pirkimuose, kūrime ir diegime, įskaitant programinės įrangos kūrėjus, duomenų mokslininkus, IT inžinierius, IT projektų vadovus, duomenų apsaugos pareigūnus ir duomenų apsaugos koordinatorius.

Italijos duomenų apsaugos priežiūros institucija skyrė 100 000 EUR baudą bankui BBVA už pavėluotą prieigos prie asmens duomenų suteikimą

2025 m. liepos 10 d. Italijos duomenų apsaugos institucija (Garante) skyrė 100 000 EUR administracinę baudą Banco Bilbao Vizcaya Argentaria SA (BBVA) už tai, kad bankas nepateikė klientui jo asmens duomenų per GDPR nustatytą 30 dienų terminą.

Klientas, kuriam buvo padaryta 10 000 EUR sukčiavimo žala, kreipėsi į banką prašydamas pateikti pokalbių su banko klientų aptarnavimu įrašus, kad galėtų užginčyti pavedimą ir atkurti įvykių seką. Bankas šiuos įrašus pateikė tik po to, kai Garante pradėjo tyrimą.

Tyrimo metu nustatyta, kad pagal Europos duomenų apsaugos valdybos Gaires 01/2022 dėl duomenų subjekto teisės susipažinti su duomenimis – net telefono pokalbiai tarp klientų ir bankų laikomi asmens duomenimis ir turi būti pateikiami duomenų subjektui pareikalavus, užtikrinant trečiųjų šalių teisių apsaugą.

Skirdama baudą, Garante atsižvelgė į banko apyvartą, bendradarbiavimą tyrimo metu ir tai, kad anksčiau pažeidimų nenustatyta.

VDAI skyrė papeikimą bendrovei už pavėluotą atsakymą į duomenų subjekto prašymą susipažinti su duomenimis

Lietuvos Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) priėmė naują sprendimą dėl įmonės, kuri neatsakė į duomenų subjekto prašymą susipažinti su duomenimis per GDPR nustatytą vieno mėnesio terminą.

Skundą pateikė Lenkijos pilietis, o jis į Lietuvą buvo perduotas per Vidinės rinkos informacinę sistemą (IMI). Asmuo nurodė, kad kelis kartus kreipėsi į Lietuvos bendrovę, prašydamas informacijos, ar jo asmens duomenys yra tvarkomi, kokiu teisiniu pagrindu ir kaip užtikrinamas jų saugumas. Įmonė laiku neatsakė.

Tyrimo metu organizacija pripažino, kad prašymą gavo 2024 m. gegužės 14 d., tačiau atsakymą pateikė tik 2024 m. rugsėjo 10 d. dėl žmogiškosios klaidos. Pavėluotame atsakyme įmonė informavo duomenų subjektą, kad jos sistemose nerado jokios su juo susijusios informacijos, ir atsiprašė už vėlavimą.

VDAI nustatė, kad organizacija pažeidė BDAR 12 straipsnio 3 dalį, nes nepateikė atsakymo per vieną mėnesį. Kadangi įmonė galiausiai suteikė visą reikiamą informaciją ir pažeidimas palietė tik vieną duomenų subjektą, inspekcija pažeidimą vertino kaip nedidelį ir, vadovaudamasi BDAR 58 straipsnio 2 dalies b punktu, skyrė papeikimą, o ne griežtesnes poveikio priemones.

Skundas pripažintas pagrįstu, o tiek skundą pateikęs asmuo, tiek organizacija buvo informuoti apie sprendimą.

Rekomendacijos įmonėms:

  • Įdiegti aiškias vidines procedūras visiems BDAR prašymams registruoti ir spręsti per vieną mėnesį.
  • Nustatyti automatinius priminimus, kad būtų išvengta delsimo.
  • Užtikrinti darbuotojų mokymus: darbuotojai turi žinoti, kaip atpažinti prašymus, kam juos perduoti ir kokie terminai galioja.

EDAV viešoms konsultacijoms teikia rekomendacijas dėl vartotojų privatumo apsiperkant internetu

Paskutinėje plenarinėje sesijoje, vykusioje  gruodžio 4 d.,  Europos duomenų apsaugos valdyba (toliau – EDAV) priėmė rekomendacijas dėl teisinio pagrindo, reikalingo sukurti naudotojų paskyras elektroninės prekybos svetainėse. Be to, EDAV surengė preliminarią diskusiją dėl „Digital Omnibus“ dokumentų rinkinio.

Interneto vartotojams lankantis elektroninės prekybos svetainėse (norint apsipirkti internetu, peržiūrėti produktus ir kt.), gali būti prašoma susikurti paskyrą, todėl gali būti renkami ir tvarkomi asmens duomenys ir dėl to padidėti privatumo ir saugumo rizika.

EDAV šiomis rekomendacijomis siekia patikslinti atvejus, kada elektroninės prekybos svetainės gali reikalauti, kad naudotojai susikurtų paskyrą.

Paprastai vartotojai turėtų turėti galimybę naudotis elektroninės prekybos svetainėmis, įskaitant galimybę pirkti, nesukurdami paskyros. Tokiais atvejais EDAV rekomenduoja, kad elektroninės prekybos svetainės pasiūlytų pasirinkimą: „svečio“ režimą, leidžiantį vartotojams pirkti nesukuriant paskyros, arba galimybę savanoriškai susikurti paskyrą. Toks požiūris sumažina asmens duomenų rinkimą ir tvarkymą, todėl atitinka BDAR principus.

Privalomas paskyros sukūrimas galėtų būti pateisinamas tik tam tikrais atvejais, įskaitant, pavyzdžiui, prenumeratos paslaugos siūlymą arba prieigos prie išskirtinių pasiūlymų suteikimą.

Rekomendacijos teikiamos viešoms konsultacijoms, suteikiant suinteresuotosioms šalims galimybę teikti pastabas ir atsiliepimus. Pastabos turėtų būti pateiktos ne vėliau kaip 2026 m. vasario 12 d.

Naujienlaiškio prenumerataSusisiekti
Nemokami patarimai!

Turite klausimų ar reikia daugiau informacijos?

Susisiekite su mumis el. paštu!