ECOVIS ProventusLaw duomenų apsaugos komanda apžvelgia svarbiausias 2025 m. sausio mėn. BDAR aktualijas.
Bendrasis Teismas įpareigojo Komisiją sumokėti kompensaciją dėl neteisėto duomenų perdavimo į JAV
Bendrasis Teismas įpareigojo Europos Komisiją sumokėti 400 eurų kompensaciją Vokietijos gyventojui, kurio asmens duomenys buvo perduoti į JAV nesilaikant ES teisės reikalavimų. Incidentas įvyko 2021–2022 m., kai asmuo lankėsi Komisijos administruojamoje svetainėje „Conference on the Future of Europe“ ir registravosi į renginį „GoGreen“, naudodamasis EU Login paslauga su „Prisijungti su Facebook“ funkcija.
Bylos nagrinėjimo metu nustatyta, kad naudotojo IP adresas ir kita asmeninė informacija buvo perduota JAV įmonėms „Meta Platforms“ ir „Amazon Web Services“. Europos Komisija nepateikė jokių tinkamų apsaugos priemonių, kurios pateisintų šiuos perdavimus, nors tuo metu Jungtinės Valstijos neužtikrino pakankamo duomenų apsaugos lygio.
Teismas konstatavo, kad Europos Komisija pažeidė asmens duomenų apsaugos taisykles, sukeldama neapibrėžtumą dėl duomenų tvarkymo. Tai lėmė neturtinę žalą, už kurią Europos Komisijai buvo pritaikyta atsakomybė.
Europos Komisija pristato sveikatos sektoriaus apsaugos nuo kibernetinių išpuolių veiksmų planą
Europos Komisija pristatė ES veiksmų planą, kuriuo siekiama didinti ligoninių ir sveikatos priežiūros paslaugų teikėjų kibernetinį saugumą. Ši iniciatyva yra svarbus žingsnis siekiant apsaugoti sveikatos priežiūros sektorių nuo kibernetinių grėsmių. Sustiprinus ligoninių ir sveikatos priežiūros paslaugų teikėjų grėsmių nustatymo, pasirengimo joms ir reagavimo į jas pajėgumus, bus sukurta saugesnė ir patikimesnė aplinka pacientams ir sveikatos priežiūros specialistams.
Skaitmeninimas sukelia revoliuciją sveikatos priežiūros srityje, sudarydamas sąlygas teikti geresnes paslaugas pacientams pasitelkiant tokias inovacijas kaip elektroniniai sveikatos įrašai, nuotolinė medicina ir dirbtiniu intelektu grindžiama diagnostika. Tačiau dėl kibernetinių išpuolių gali užtrukti medicininės procedūros, susidaryti aklavietės skubios pagalbos skyriuose ir sutrikti gyvybiškai svarbių paslaugų teikimas, o tai sunkiais atvejais gali turėti tiesioginį poveikį europiečių gyvenimui. 2023 m. valstybės narės pranešė apie 309 reikšmingus kibernetinio saugumo incidentus, darančius poveikį sveikatos priežiūros sektoriui – daugiau nei bet kuriame kitame ypatingos svarbos sektoriuje.
Veiksmų plane siūloma, be kita ko, ES kibernetinio saugumo agentūrai ENISA įsteigti ligoninėms ir sveikatos priežiūros paslaugų teikėjams skirtą visos Europos kibernetinio saugumo paramos centrą, kuris teiktų jiems pritaikytas gaires, priemones, paslaugas ir mokymus. Iniciatyva grindžiama platesne ES sistema, kuria siekiama stiprinti ypatingos svarbos infrastruktūros objektų kibernetinį saugumą, ir yra pirmoji konkrečiam sektoriui skirta iniciatyva, kuria siekiama įgyvendinti visas ES kibernetinio saugumo priemones.
EDPB atveria kelią geresniam bendradarbiavimui su konkurencijos institucijomis
BDAR įveda terminą „pseudonimizacija“ ir nurodo jį kaip tinkamą ir veiksmingą priemonę duomenų apsaugos įsipareigojimams vykdyti. Savo gairėse EDPB paaiškina pseudonimizacijos ir pseudonimizuotų duomenų apibrėžimą, jų taikymą ir pseudonimizacijos privalumus.
Gairėse pateikiami du svarbūs paaiškinimai:
- Pseudonimizuoti duomenys, kurie gali būti priskirti konkrečiam asmeniui naudojant papildomą informaciją, išlieka duomenimis, susijusiais su identifikuojamu fiziniu asmeniu, todėl jie vis dar laikomi asmens duomenimis. Iš tiesų, jei duomenys gali būti susieti su asmeniu duomenų valdytojo ar kito asmens, jie išlieka asmens duomenimis.
- Pseudonimizacija gali sumažinti riziką ir palengvinti teisėtų interesų naudojimą kaip teisinį pagrindą (BDAR 6 straipsnio 1 dalies f punktas), jei laikomasi visų kitų BDAR reikalavimų. Taip pat pseudonimizacija gali padėti užtikrinti suderinamumą su pradiniu duomenų tvarkymo tikslu (BDAR 6 straipsnio 4 dalis).
Gairėse taip pat paaiškinama, kaip pseudonimizacija gali padėti organizacijoms vykdyti įsipareigojimus, susijusius su duomenų apsaugos principais (BDAR 5 straipsnis), duomenų apsauga pagal projektavimą ir pagal numatytuosius nustatymus (BDAR 25 straipsnis) bei saugumu (BDAR 32 straipsnis).
Galiausiai gairėse analizuojamos techninės priemonės ir apsaugos priemonės, naudojant pseudonimizaciją, siekiant užtikrinti konfidencialumą ir užkirsti kelią neteisėtam asmenų identifikavimui.
Gairės bus viešai konsultuojamos iki 2025 m. vasario 28 d., suteikiant suinteresuotoms šalims galimybę teikti pastabas ir sudarant sąlygas įtraukti būsimus teisės praktikos pokyčius.
Priežiūros institucijos pradeda viešai skelbti sprendimus dėl asmens duomenų tvarkymo pažeidimų
Nuo naujų metų priežiūros institucijos pradeda viešai skelbti sprendimus dėl asmens duomenų tvarkymo pažeidimų.
Valstybinė duomenų apsaugos inspekcija ir žurnalistų etikos inspektorius sprendimus dėl duomenų valdytojų ir duomenų tvarkytojų asmens duomenų tvarkymo pažeidimų turės skelbti viešai savo interneto svetainėse. Be to, nustatyta, kad ši informacija turi būti paskelbta ne vėliau kaip per 5 darbo dienas nuo sprendimo priėmimo dienos.
Skelbiami sprendimai turi būti nuasmeninami, juose negali būti atskleistos komercinės, profesinės ar kitų įstatymų saugomos paslaptys ir informacija, susijusi su saugumo priemonių taikymu.
Valstybinė duomenų apsaugos inspekcija priėmė sprendimą dėl vaizdo stebėjimo atvejo
2025 m. sausio 13 d. Valstybinė duomenų apsaugos inspekcija (toliau – Inspekcija) paskelbė sprendimą dėl skundo, susijusio su nuolatiniu vaizdo stebėjimu ir bepiločių orlaivių naudojimu.
Skundas dėl neteisėto vaizdo stebėjimo ir bepiločio orlaivio naudojimo
Skunde Pareiškėjai nurodė, kad jų gyvenamoji teritorija buvo nuolat stebima naudojant vaizdo kameras, taip pat ir bepiločiu orlaiviu (dronu), kuris filmavo jų namo prieigas ir net privatų kiemą. Pagal pateiktą informaciją, buvo stebimos tiek privati teritorija, tiek bendro naudojimo keliai.
Skundžiamas asmuo paaiškino, kad vaizdo stebėjimas yra atliekamas dėl saugumo, siekiant apsaugoti sklypą nuo nusikalstamų veikų, ir kad kameros yra skirtos tik stebėti viešąsias erdves, nepažeidžiant privatumo.
Teisiniai pagrindai ir sprendimas dėl vaizdo stebėjimo
Inspekcija remiasi Bendruoju duomenų apsaugos reglamentu (BDAR), kuris nustato, kad asmens duomenų tvarkymas, įskaitant vaizdo duomenų fiksavimą, turi būti teisėtas. Pateikta informacija rodo, kad skundžiamas asmuo pažeidė teisėtumo principą, nes stebėjo ir dalį Pareiškėjų teritorijos, kur nebuvo įrodyta teisėta stebėjimo būtinybė.
Inspekcija išnagrinėjo, kad stebėjimas buvo atliktas naudojant kameras, kurios, nors ir nebuvo tiesiogiai nukreiptos į Pareiškėjų teritoriją, tačiau apėmė bent dalį jų kiemo. Tai rodo, kad BDAR 2 straipsnio 2 dalies c punktas, nustatantis išimtis dėl asmeninės veiklos, šiuo atveju netaikytinas, nes vaizdo stebėjimas apėmė ir viešąją erdvę.
Veiksmai ir reikalavimai skundžiamam asmeniui
Remiantis šiuo sprendimu, skundžiamam asmeniui buvo pateikti reikalavimai užtikrinti, kad vaizdo stebėjimas apimtų tik jam priklausančią ir naudojamą teritoriją, o į pareiškėjų teritoriją stebėjimo kameros nebekeltų pavojaus dėl asmens duomenų pažeidimų.
Poveikio priemonės
Atsižvelgiant į tai, kad skundžiamas asmuo pirmą kartą pažeidė duomenų apsaugos taisykles, jam buvo paskirtos priemonės, siekiant užtikrinti ateityje atitiktį duomenų apsaugos reikalavimams. Skundžiamam asmeniui buvo nurodyta perkelti vaizdo stebėjimo kameras arba imtis kitų techninių priemonių, kad stebėjimas apimtų tik teisėtai valdomą teritoriją.
Bepiločio orlaivio naudojimo atvejai
Aptarus bepiločio orlaivio naudojimo atvejį, Inspekcija nenustatė nuolatinio privatinės teritorijos stebėjimo. Skundžiamas asmuo nurodė, kad nuotraukos buvo darytos tik teismo reikmėms, susijusioms su žemės sklypo valdymu. Todėl šiuo atveju bepiločio orlaivio naudojimas nesukėlė papildomų pažeidimų.
Išvados
Inspekcija nusprendė, kad vaizdo stebėjimas buvo neteisėtas, kai jis apėmė Pareiškėjų teritoriją, tačiau bendrai naudojamose teritorijose (t.y. kelio, kuriam nustatytas servitutas) stebėjimas buvo teisėtas, remiantis teisėtu interesu užtikrinti saugumą. Sprendimas reikalauja perkelti kameras ir užtikrinti atitiktį BDAR reikalavimams, tačiau veiksmų dėl bepiločio orlaivio naudojimo nėra.
„Netflix“ Nyderlanduose skirta 4,75 mln. eurų bauda už BDAR pažeidimus.
Nyderlandų duomenų apsaugos institucija televizijos ir serialų platformai „Netflix“ skyrė 4,75 mln. eurų baudą už Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus. Nustatyta, kad „Netflix“ nesugebėjo tinkamai informuoti klientų apie jų asmens duomenų tvarkymą. Todėl klientams buvo sudėtinga suprasti, kaip ir kodėl yra tvarkomi jų asmens duomenys.
„Netflix“ privatumo politikoje ir atsakymuose klientams nurodyti duomenų tvarkymo tikslai ir pagrindai reikšmingai skyrėsi nuo to, ką įmonė pateikė paaiškinimuose priežiūros institucijai. „Netflix“ nurodė, kad remiasi tokiais teisiniais pagrindais kaip „sutikimas“, „sutartis“, „teisinės prievolės“ ir „teisėtas interesas“. Tačiau nepaaiškino, kokie duomenys naudojami konkretiems tikslams, tokiems kaip pasiūlymų kūrimas, auditorijos analizė ar sukčiavimo prevencija. Be to, „Netflix“ neatskleidė, kokius asmens duomenis gauna iš trečiųjų šalių.
Taip pat nustatyti pažeidimai dėl duomenų gavėjų atskleidimo trūkumo, saugojimo laikotarpių nepateikimo, tarptautinių duomenų perdavimo neaiškumo.
Italija skyrė „OpenAI“ 15 mln. eurų baudą po „ChatGPT“ tyrimo
Baigiantis 2024 m., Italijos duomenų apsaugos priežiūros institucija „Garante“ už reikšmingus duomenų apsaugos reglamento (GDPR) pažeidimus skyrė 15 mln. Eur baudą „ChatGPT“ sukūrusiai bendrovei „OpenAI“.
Dar 2023 m. „ChatGPT“ buvo laikinai uždraustas Italijoje dėl šių GDPR pažeidimų:
- Nepakankamas vartotojų informavimas apie jų duomenų tvarkymo sąlygas;
- Vaikų apsauga: trūko amžiaus tikrinimo sistemos, todėl nepilnamečiai galėjo gauti netinkamą turinį;
- Duomenų tikslumas: „ChatGPT“ kartais pateikdavo klaidingą ar išgalvotą informaciją apie asmenis (beje, ši problema dar išliko).
Pagrindiniai užfiksuoti pažeidimai:
- Skaidrumo trūkumas: vartotojams nepateikta aiški informacija apie tai, kaip renkami ir tvarkomi jų asmens duomenys;
- Neteisėtas duomenų tvarkymas: duomenys tvarkyti be galiojančio sutikimo ar teisėto intereso.
Atkreiptinas dėmesys, kad „OpenAI“ skirta ne tik bauda, bet ir įpareigojimas vykdyti pusės metų trukmės informacinę kampaniją. Jos metu visuomenė turės būti šviečiama apie tai, kaip veikia „ChatGPT“ ir kaip tvarkomi asmens duomenys.
Naujienlaiškio prenumerata
Susisiekti