Duomenų apsaugos naujienlaiškis (2025 m. birželis)

ECOVIS ProventusLaw duomenų apsaugos komanda kviečia duomenų valdytojus ir tvarkytojus susipažinti su 2025 m. birželio mėn. duomenų apsaugos aktualijomis.

VDAI paskelbė gaires organizacijoms, planuojančioms naudoti dirbtinio intelekto sistemas

Atsižvelgdama į augančias inovatyvių technologijų taikymo tendencijas ir didėjantį organizacijų susidomėjimą dirbtinio intelekto (DI) sistemomis, Valstybinė duomenų apsaugos inspekcija (VDAI) parengė metodinę informaciją, skirtą padėti organizacijoms įvertinti galimybes kurti, įsigyti ar naudoti DI sprendimus laikantis duomenų apsaugos reikalavimų.

Pirmasis žingsnis išsamiai susipažinti su DI sistemos veikimu, dokumentacija (pvz., privatumo politika, saugumo priemonės), funkcionalumais ir tvarkomais duomenimis.

Jei nustatoma, kad DI sistema apdoros asmens duomenis, VDAI siūlo laikytis 7 minimalių žingsnių:

1. Nustatyti DI sistemos naudojimo tikslą ir įvertinti, ar jos funkcionalumai atitinka šį tikslą;

2. Apibrėžti savo vaidmenį (duomenų valdytojas ar tvarkytojas);

3. Nustatyti teisinį pagrindą asmens duomenų tvarkymui ir atlikti tikslų suderinamumo analizę (kai taikoma);

4. Įvertinti, kokie duomenys būtini DI sistemos veikimui;

5. Identifikuoti rizikas duomenų subjektams, susijusias su DI sistemos kūrimu ar naudojimu;

6. Nustatyti, kaip bus įgyvendinamos duomenų subjektų teisės naudojant DI sistemą;

7. Konsultuotis su specialistais – duomenų apsaugos pareigūnu ar kitais ekspertais – dėl rizikų, pareigų ir specifinių aspektų.

Šios rekomendacijos padės užtikrinti, kad DI sistemų naudojimas būtų ne tik efektyvus, bet ir atitiktų Bendrojo duomenų apsaugos reglamento (BDAR) nuostatas bei gerąją praktiką.

EDPB patvirtino galutines gaires dėl asmens duomenų perdavimo trečiųjų šalių institucijoms

Europos duomenų apsaugos valdyba (EDPB), per savo naujausią plenarinį posėdį, patvirtino galutinę gairių dėl BDAR 48 straipsnio redakciją, kuri reglamentuoja asmens duomenų perdavimą trečiųjų šalių (ne ES/EEE valstybių) institucijoms. Gairės buvo atnaujintos po viešos konsultacijos.

Duomenų perdavimas trečiųjų šalių institucijoms

Gairėse EDPB pabrėžia, kad trečiųjų šalių institucijų sprendimai ar reikalavimai nėra automatiškai pripažįstami ar vykdytini ES, nebent tam yra tarptautinis susitarimas, kuris numato teisinį pagrindą ir tinkamas apsaugos priemones. Jei tokio susitarimo nėra, duomenų perdavimas galimas tik išimtiniais atvejais, vadovaujantis alternatyviais BDAR numatytais pagrindais, ir tik kiekvienu atveju atskirai įvertinus situaciją.

Atnaujintose gairėse pateikiamos papildomos praktinės situacijos, pavyzdžiui:

  • Kai prašymą gauti duomenis gauna duomenų tvarkytojas (processor);
  • Kai trečiosios šalies patronuojanti įmonė gauna reikalavimą ir perduoda jį ES esančiam savo padaliniui.

Nauji mokomieji projektai apie DI ir duomenų apsaugą

EDPB taip pat pristatė du naujus projektus pagal „Support Pool of Experts“ (SPE) iniciatyvą, skirtus mokymų medžiagai apie dirbtinį intelektą (DI) ir duomenų apsaugą rengti. Šie projektai padės institucijoms geriau suprasti DI sistemų poveikį asmens duomenims ir kaip užtikrinti atitiktį BDAR.

Diskusijos dėl supaprastintos BDAR registravimo prievolės

Valdyba taip pat aptarė Europos Komisijos prašymą pateikti bendrą EDPB ir EDAPP nuomonę dėl siūlomos duomenų tvarkymo veiklos įrašų (registro) prievolės supaprastinimo. Šis pasiūlymas gali turėti įtakos organizacijų administracinei naštai ir atitikties priežiūrai.

Teismas atmetė „Vinted“ skundą dėl BDAR pažeidimų

Teismas pripažino, kad Valstybinės duomenų apsaugos inspekcijos (VDAI) sprendimas byloje prieš UAB „Vinted“ buvo pagrįstas ir kad įmonė pažeidė Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimus. Buvo nustatyti trys svarbūs pažeidimai, susiję su tuo, kaip įmonė tvarkė vartotojų duomenis.

Netinkamas vartotojų prašymų nagrinėjimas

Pirmiausia nustatyta, kad įmonė netinkamai nagrinėjo duomenų subjektų – t. y. vartotojų – prašymus, ypač dėl teisės būti pamirštam (duomenų ištrynimo) ir teisės susipažinti su savo duomenimis. Vartotojams pateikti atsakymai buvo neaiškūs, bendrinio pobūdžio, o sprendimų atsisakyti ištrinti duomenis nebuvo pagrindžiama. Kai kuriais atvejais trūko paaiškinimo apie tai, kaip vartotojas gali skųsti tokį sprendimą arba ši informacija buvo suteikta pavėluotai.

Pagal BDAR, įmonė turi aiškiai, sąžiningai ir skaidriai informuoti vartotojus apie jų duomenų tvarkymą. Šiuo atveju šie reikalavimai nebuvo įvykdyti, taip pažeidžiant skaidrumo principą.

Atskaitomybės principo neįgyvendinimas

Antra, teismas konstatavo, kad „Vinted“ neįgyvendino atskaitomybės principo – įmonė turėtų ne tik laikytis duomenų apsaugos taisyklių, bet ir gebėti tai įrodyti. Visgi bendrovė nepateikė įrodymų, kad paskyrų blokavimas buvo pagrįstas, o svarbi komunikacija su vartotojais nebuvo dokumentuota. Taip pat nenustatyta, kad įmonė būtų taikiusi tinkamas technines ir organizacines priemones duomenų apsaugai užtikrinti, kaip reikalauja BDAR 24 straipsnis.

Neteisėtas „šešėlinis blokavimas“

Trečia, nustatytas neteisėtas „šešėlinio blokavimo“ (angl. shadow banning) taikymas. Tai praktika, kai vartotojo paskyra apribojama ar „nutildoma“ be jokio informavimo, be paaiškinimo ir be teisėto pagrindo. Tokie veiksmai pažeidžia BDAR 6 straipsnį (teisėto pagrindo būtinybė) bei 5 straipsnio skaidrumo principą – vartotojai turi žinoti apie jų duomenų tvarkymo veiksmus ir turėti galimybę juos apskųsti.

EDAPP nuomonė dėl trečiųjų šalių piliečių grąžinimo sistemos

2025 m. gegužės 28 d. Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) pateikė nuomonę dėl ES Reglamento pasiūlymo, kuriuo siekiama suvienodinti trečiųjų šalių piliečių grąžinimo procedūras.

EDAPP rekomendacijos:

  • Užtikrinti tinkamą asmenų informavimą apie sprendimus dėl grąžinimo;
  • Derinti pasiūlymą su ES duomenų apsaugos teisės aktais ir migracijos teisynu;
  • Sustiprinti apsaugos priemones perduodant asmens duomenis tarptautiniu mastu, ypač apie nepilnamečius ir teistumą.

Duomenų apie grąžinimo priežastis slėpimas galimas tik išimtiniais atvejais (pvz., nacionalinis saugumas), o asmenims turi būti aiškiai paaiškintos jų teisės.

Italijos priežiūros institucija skyrė 5 mln. € baudą Replika kūrėjui

2025 m. balandžio 10 d. Italijos duomenų apsaugos institucija paskelbė galutinį sprendimą skirti 5 mln. eurų baudą JAV įmonei Luka Inc., valdančiai AI pokalbių programėlę Replika.

Nustatyti BDAR pažeidimai:

  • Nėra teisėto pagrindo duomenų tvarkymui (6 str.);
  • Nepateikta skaidri informacija naudotojams (12, 13 str.);
  • Neveiksmingas amžiaus patikrinimas;
  • Duomenų apsauga nebuvo užtikrinta pagal projektavimo ir numatytųjų nustatymų principą (25 str.);
  • Pažeisti pagrindiniai principai: skaidrumas, tikslo apribojimas, atskaitomybė (5, 24 str.).

Nepaisant patobulinimų po laikino veiklos sustabdymo 2023 m., priemonės buvo pripažintos nepakankamomis.

VDAI įspėjo UAB „Prime Leasing“ dėl neišnagrinėto prašymo ištrinti asmens duomenis

Valstybinė duomenų apsaugos inspekcija (VDAI) pateikė oficialų įspėjimą bendrovei UAB „Prime Leasing“ po atlikto tyrimo dėl asmens duomenų subjekto teisės būti pamirštam (teisės į ištrynimą) pažeidimo.

Nustatyta, kad bendrovė negavo ir laiku neišnagrinėjo duomenų subjekto prašymo, pateikto 2022 m. gruodžio 20 d., dėl žmogiškosios klaidos – jį aptarnaujantis išorinis partneris nepersiuntė prašymo atsakingam vidaus padaliniui. Atsakymas nebuvo pateiktas per BDAR numatytą vieno mėnesio terminą. Tik po pakartotinio prašymo 2024 m. vasario 29 d. bendrovė jį nedelsdama įvykdė ir ėmėsi vidaus procesų tobulinimo, kad ateityje sumažėtų panašių klaidų rizika.

VDAI nustatė šiuos Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus:

  • 12 straipsnio 3 dalis – nesilaikyta atsakymo į prašymą termino;
  • 17 straipsnis – neįgyvendinta teisė į duomenų ištrynimą;
  • 24 straipsnio 1 dalis – nebuvo užtikrintos tinkamos organizacinės priemonės;
  • 25 straipsnio 1 dalis – neužtikrintas duomenų apsaugos principas pagal numatytąją padėtį.

Atsižvelgus į tai, kad pažeidimas įvyko dėl netyčinės klaidos, bendrovė vėliau tinkamai įgyvendino prašymą, ėmėsi korekcinių veiksmų ir per pastaruosius dvejus metus nebuvo padariusi kitų BDAR pažeidimų, VDAI apsiribojo oficialiu įspėjimu, kaip tai numatyta BDAR 58 straipsnio 2 dalies b punkte.

Skundas dėl neteisėtos reklamos ir neatsakymo į prašymą

2025 m. gegužės 16 d. Valstybinė duomenų apsaugos inspekcija (VDAI) priėmė sprendimą dėl UAB „Consilium optimum“ – nustatyta, kad įmonė:

  • Nepateikė atsakymo į asmens prašymą dėl prieigos prie jo duomenų, pateiktą 2024 m. gegužės 31 d.;
  • 2024 m. gegužės 29 d. be sutikimo išsiuntė tiesioginės rinkodaros el. laišką, o kitą dieną – paskambino telefonu su reklama;
  • Iš anksto pažymėjo rinkodaros sutikimo langelius paslaugų sutarčių formose – tai pripažinta neteisėta praktika pagal BDAR.

Pažeisti BDAR reikalavimai:

  • Neįvykdytas duomenų subjekto teisės į prieigą įgyvendinimas (12 ir 15 str.);
  • Tiesioginė rinkodara vykdyta be tinkamo sutikimo (6 ir 7 str.);
  • Praktika su iš anksto pažymėtais sutikimo langeliais laikoma nesąžininga ir pažeidžiančia savanoriško sutikimo principą.
Naujienlaiškio prenumerataSusisiekti
Nemokami patarimai!

Turite klausimų ar reikia daugiau informacijos?

Susisiekite su mumis el. paštu!