Juridiskā uzraudzība Nr. 59 — 2023. gada maijs.

Meta sankcijas: 1,2 miljardi eiro… un kas tālāk?

Sods, ko Īrijas iestāde 12. maijā noteica Facebook mātesuzņēmumam Meta, ir augstākais, ko datu aizsardzības iestāde jebkad noteikusi kopš GDPR stāšanās spēkā, laikā, kad regula svin savu piekto piemērošanas gadu.

Šī lēmuma pamatā ir tas, Facebook pārsūta datus no saviem Eiropas lietotājiem uz Amerikas Savienotajām Valstīm, valsti, kas vairs netiek uzskatīta par tādu, kas piedāvā atbilstošu aizsardzības līmeni. kopš Eiropas Savienības Tiesas 2020. gada 16. jūlija lēmuma (Schrems II nolēmums).

Šī jaunā sankcija ir arī datu aizsardzības iestāžu sadarbības simbols, jo Īrijas iestādes lēmums ir ilgas un nogurdinošas procedūras rezultāts, nemaz nerunājot par cīņu ar Eiropas partneriem.

Tādējādi APD bija spiesta paplašināt sava lēmuma darbības jomu un uzlikt ievērojamu naudas sodu.

Kā norāda NVO NOYB un tās prezidents Makss Šrems, kurš ierosināja sūdzību, ne vienmēr ir par ko priecāties.

Procedūra ilga trīs gadus, saskaroties ar valsts iestādi, kas sistemātiski bloķēja procesu dažādos posmos, un rezultātā tika segti vairāk nekā desmit miljoni eiro juridisko izdevumu… naudas sods, kas nonāks Īrijas valsts plecā.

 

Kādas ir konkrētās sekas Metai?

Lēmumā ir iekļauts īstenošanas periods: uzņēmumam ir laiks līdz oktobra vidum, lai pārtrauktu savu lietotāju datu pārsūtīšanu uz Amerikas Savienotajām Valstīm.

Tai arī līdz novembra vidum ir jāizdzēš visi dati, kas jau ir pārsūtīti no tās ASV datu centriem.

Lai gan uzņēmums ir draudējis pārtraukt pakalpojumu sniegšanu Eiropā, šī paziņojuma iespējamība ir apšaubāma, jo Eiropa ir tā lielākais ieņēmumu avots pēc Amerikas Savienotajām Valstīm, izveidojot vairākus datu centrus, kas atrodas Eiropas teritorijā.

Uzņēmums paziņoja, ka iesniegs valsts mēroga apelāciju pret Īrijas iestādi un lūgs apturēt rīkojuma darbību, līdz būs beigušās tiesvedības iespējas.

Meta, iespējams, cenšas novilcināt laiku, paļaujoties uz jaunu transatlantisku vienošanos, kas līdz rudenim regulēs datu pārsūtīšanu uz ASV.

Tomēr jāatceras, no vienas puses, ka jauns nolīgums nelegalizēs iepriekšējos pārskaitījumus un jau pierādītus likuma pārkāpumus, un, no otras puses, ka latiņa attiecībā uz topošo transatlantisko nolīgumu ir augsta.

Pašreizējais projekts jau ir saskāries ar asu Eiropas Parlamenta kritiku, un nav skaidrs, vai tas izturēs Eiropas Savienības Tiesas (EST) pārbaudi.

 

Ietekme uz GAFAM un datu pārziņiem kopumā

ASV novērošanas likumi, kas ir pamatā Īrijas iestādes, EDAK un EST lēmumiem, rada problēmas visiem lielākajiem ASV mākoņpakalpojumu sniedzējiem, piemēram, Microsoft, Google vai Amazon.

Jāatzīmē, ka attiecīgais ASV novērošanas likums (FISA 702) ir jāatjauno līdz 2023. gada decembrim.

Lai gan vairākas Eiropas uzraudzības iestādes jau ir atzinušas amerikāņu pakalpojumu, kas saistīti ar datu pārsūtīšanu, izmantošanu par nelikumīgu, to lēmumiem netika piespriests tik liels naudas sods kā Meta.

Tas varētu mudināt lielākos amerikāņu tehnoloģiju uzņēmumus un visus tos, kas izmanto amerikāņu izcelsmes "mākoņpakalpojumus", pārskatīt savu praksi un veikt vismaz ietekmes analīzi par pārskaitījumiem.

 

Tomēr datu aizsardzības iestādēm joprojām būtu jānodrošina pietiekami atturoša ietekme uz GDPR piemērošanu.

Tagad tās tiek kritizētas par neefektivitāti, kā parādīts nesenajā Īrijas Pilsoņu brīvību padomes (ICCL) ziņojumā.

Viņa analīze liecina, ka GDPR reti tiek piemērota pret lielajiem tehnoloģiju uzņēmumiem.

Tikai dažas nozīmīgas Eiropas lietas būtu novedušas pie nopietniem izpildes pasākumiem: "EDAK galīgo lēmumu reģistrs atklāj, ka lielākā daļa (64 %) no 159 izpildes pasākumiem, kas tika veikti 2022. gada beigās, bija tikai rājieni."

Pētījumā nepārsteidz, ka vaina tiek pievērsta Īrijas Datu aizsardzības komisijai, jo 75 no iestādes izmeklēšanas lēmumiem ES lietās ir atcelti ar Eiropas Datu aizsardzības padomes balsu vairākumu.

Tiesiskās aizsardzības līdzekļu konteksts attīstās, lai uzlabotu indivīdu aizsardzību: šovasar stāsies spēkā Eiropas direktīva par kolektīvajiem tiesiskās aizsardzības līdzekļiem, kas Eiropas lietotājiem dos papildu tiesiskās aizsardzības līdzekļus, ļaujot viņiem celt kolektīvas prasības GDPR pārkāpuma gadījumā visā Eiropas Savienībā.

Nīderlande, kas jau atļauj šāda veida tiesiskās aizsardzības līdzekļus, piedzīvo tiesvedības skaita pieaugumu.

Nīderlandes patērētāju tiesību organizācija "Consumentenbond" pašlaik apvieno Nīderlandes Facebook lietotājus, lai iesniegtu sūdzību par datu pārsūtīšanu starp Eiropas Savienību un Amerikas Savienotajām Valstīm.

Visbeidzot, nesen pieņemts EST (Österreichische Post AG) lēmums ir pavēris ceļu "neliela apmēra prasībām" par privātuma pārkāpumiem, apstiprinot, ka nav nepieciešams morālā kaitējuma smaguma slieksnis, kas varētu ļaut lietotājiem pieprasīt zaudējumu atlīdzību par pārkāpumiem, piemēram, saistībā ar masveida novērošanu, ko veic Amerikas Savienotās Valstis.

Tas novestu pie kompensācijas prasībām, kas ievērojami pārsniegtu pašreizējos sodus.

 

Un arī

     

• 16. maijā CNIL publicēja rīcības plānu mākslīgā intelekta sistēmu ieviešanai, kas respektē personu privātumu.

Tas plāno paplašināt savu darbu ar papildinātajām kamerām un paplašinās savu darbu, iekļaujot ģeneratīvo mākslīgo intelektu un lielos valodu modeļus (LLM), kā arī atvasinātas lietojumprogrammas (tostarp tērzēšanas robotus).

Šis darbs arī palīdzēs sagatavoties Eiropas mākslīgā intelekta regulas projekta stāšanās spēkā.

• CNIL ir uzlikusi uzņēmumam DOCTISSIMO 380 000 eiro lielu naudas sodu.

Komisija norādīja uz vairākiem GDPR trūkumiem, jo īpaši attiecībā uz datu glabāšanas periodiem, veselības datu vākšanu, izmantojot tiešsaistes testus, datu drošību un sīkfailu ievietošanas metodēm lietotāju termināļos.

• CNIL savu 2022. gada darbības pārskatu publicēja 23. maijā.

Tajā uzskaitīti aizvadītā gada svarīgākie notikumi, tostarp atbalsta stiprināšana uzņēmumiem un pārvaldes iestādēm, sabiedrības informēšanas kampaņas un digitālā izglītība jauniešiem, sūdzību izskatīšana un represīvas darbības.

• Valsts padome ir publicējusi tiešsaistē ierakstu no 2023. gada 10. februāra diskusiju dienas, kuras kopīgi organizēja CNIL un Alliance IHU France, par tēmu "Mākslīgais intelekts un lielie dati: kā tie revolucionizēs rītdienas medicīnas pētniecību un praksi".

Tas sekoja Valsts padomes 2022. gada augusta pētījumam "Mākslīgais intelekts un sabiedrības rīcība".

• 2023. gada 23. aprīļa lēmumā Parīzes Apelācijas tiesa lēma, ka WhatsApp ziņojumi jāuzskata par īsziņām, ja to apmaiņa notiek saskaņā ar tādiem pašiem nosacījumiem.

Strīda kontekstā starp uzņēmumu un bijušajiem darbiniekiem tā lēma, ka darba devējs var piekļūt nenorādītiem "personiskiem" ziņojumiem no WhatsApp grupas bijušo darbinieku darba tālruņos.

 

Eiropas iestādes un struktūras

• Tā kā GDPR svin savu piekto gadadienu, daudzos pētījumos ir sniegts jaukts tās īstenošanas novērtējums.

NVO noyb publicē pārskatu par 800 GDPR lietām, ko tā pēdējo piecu gadu laikā ir iesniegusi datu aizsardzības iestādēm (DAI), no kurām 86 % joprojām gaida lēmumu.

NVO ir identificējusi vairāk nekā 60 procesuālas problēmas, kas kavē GDPR piemērošanu.

Lai gan Meta uzliktais naudas sods nonāk ziņu virsrakstos, NVO uzskata, ka datu aizsardzības iestādes parasti nepiemēro GDPR savlaicīgi.

• Privātuma nākotnes foruma (FPF) veiktais novērtējums atklāj, ka Vispārīgās datu aizsardzības regulas (VDAR) 25. panta pārkāpumi par "integrēto privātumu" ir tie, par kuriem ir piemēroti vislielākie naudas sodi.

Pētījums ir balstīts uz vairāk nekā 90 gadījumiem, un tajā ir paskaidrots, ka "dažas datu aizsardzības iestādes piemēro 25. pantu pirms citu GDPR pārkāpumu rašanās vai pat pirms paredzētās datu apstrādes".

• Eiropas Datu aizsardzības kolēģija (EDKP) par savu priekšsēdētāju tikko ievēlējusi Somijas datu aizsardzības komisāri Anu Talusu.

Jaunā prezidente nomainīs aizejošo prezidenti Andreu Jelineku un pārraudzīs komitejas darbu nākamos piecus gadus.

• EDAK publicē lietu apkopojumu par tiesībām iebilst un tiesībām uz dzēšanu saskaņā ar VDAR 17. pantu. Tā izskata vairākus lēmumu piemērus no sava publiskā reģistra.
• IAB Europe “Caurspīdīguma un piekrišanas ietvara” vadības grupa ir publicējusi sava atsauces ietvara 2.2. versiju.

Galvenās izmaiņas ietver likumīgu interešu juridiskā pamata atcelšanu reklāmas un satura personalizēšanai, gala lietotājiem sniegtās informācijas uzlabošanu un pakalpojumu sniedzēju pienākumu sniegt papildu informāciju par savām datu apstrādes darbībām.

• 30 Eiropas IT un kiberdrošības ekspertu grupa ir uzrakstījusi atklātu vēstuli ES līderiem.

Viņi pauž bažas par nopietnajiem riskiem, ko Eiropas Komisijas ierosinātā regula par bērnu seksuālu izmantošanu (CSA) rada visu saziņas konfidencialitātei un drošībai, kā arī interneta un informācijas ekosistēmas vispārējai veselībai.

 

Ziņas no Eiropas dalībvalstīm.

• Vācijas Federālā datu aizsardzības iestāde (BfDI) ir apstiprinājusi, ka tās kompetencē ir pārskatīt tehnoloģiskos sasniegumus, piemēram, ģeneratīvo mākslīgo intelektu (MI), no datu aizsardzības viedokļa.
• Dānijas datu aizsardzības iestāde ir izteikusi aizrādījumu datu pārzinim par personas datu kopīgošanu ar Meta Ireland, vispirms nepārliecinoties, ka pēdējais, pārsūtot datus uz Meta platformām Amerikas Savienotajās Valstīs, ievēro GDPR.
• Pēc skaļa datu noplūdes skandāla un pēc NVO noyb iesniegtās sūdzības Maltas Datu aizsardzības iestāde (DPA) lika C-Planet izpildīt datu piekļuves pieprasījumu un atklāt tās rīcībā esošo personas datu avotu. Šajā gadījumā dati bija nonākuši atklātībā kā daļa no pārkāpuma, kas saistīts ar 335 000 salas vēlētāju politiskajiem uzskatiem.
• Nīderlandes Patērētāju savienība ir iesniegusi kolektīvu prasību pret Google par lietotāju atrašanās vietas, tīmekļa pārlūkošanas un lietotņu lietošanas izsekošanu bez derīgas piekrišanas. Paredzams, ka Google kompensēs visiem lietotājiem, kuri ir izmantojuši tā pakalpojumus kopš 2012. gada 1. marta.
• Beļģijas Datu aizsardzības iestāde (APD) ir aizliegusi nodokļu datu pārsūtīšanu no Beļģijā dzīvojošiem ASV pilsoņiem uz Amerikas Savienotajām Valstīm. Saskaņā ar APD viedokli, FATCA nolīgums, kas atļauj šādu pārsūtīšanu, neatbilst GDPR, un Beļģijas nodokļu iestādei bija jāveic ietekmes novērtējums.
• Norvēģijas Privātuma apelācijas padome ir noteikusi, ka automašīnu nomas platformai ir juridiskais pamats saskaņā ar GDPR 6. panta 1. punkta f) apakšpunktu, lai novērtētu datu subjekta kredītspēju, lai samazinātu uzņēmuma finansiālo risku.
• Pēc anonīmas sūdzības pret parādu piedziņas aģentūru Horvātijas Datu aizsardzības iestāde (APD) piesprieda 2 265 000 eiro sodu par drošības pasākumu trūkumu, piekrišanas trūkumu un datu pārziņa informācijas sniegšanas pienākuma pārkāpumu.
• Pēc sūdzības saņemšanas Austrijas Datu aizsardzības iestāde (APD) 2023. gada 10. maijā pieņēma lēmumu pret sejas atpazīšanas uzņēmumu Clearview AI. Lēmumā tika konstatēti GDPR (5., 6. un 9. panta) pārkāpumi, uzdots pārzinim dzēst sūdzības iesniedzēja datus un saskaņā ar Regulas 27. pantu iecelt pārstāvi Austrijā.
• 15. maijā Informācijas komisāra birojs (ICO) piesprieda TikTok 12 700 000 sterliņu mārciņu sodu par vairākiem datu aizsardzības tiesību aktu pārkāpumiem, tostarp bērnu personas datu nelikumīgu izmantošanu.

 

• Profesionālajā kontekstā pieaug tendence izmantot mākslīgo intelektu (MI). Piemēram, kāds amerikāņu jurists izmantoja ChatGPT, lai meklētu tiesas prāvas īsam aprakstam, un vismaz sešas no minētajām tiesvedībām neeksistēja – tipisks MI halucinācijas gadījums, kurā tērzēšanas robots izdomā informāciju.

Lietu izskatošais tiesnesis rakstīja: “Tiesa ir saskārusies ar vēl nebijušu situāciju. Prasītāja advokāta iesniegtais raksts, kurā viņš iebilst pret lūgumu izbeigt lietu, ir pilns ar atsaucēm uz neesošām lietām.” Advokāts atvainojās un tagad saskaras ar disciplinārlietu izskatīšanu.

• 16. maijā OpenAI izpilddirektors Sems Altmans liecināja ASV Kongresā.

Pēc tam, kad viņš atzina, ka mākslīgais intelekts varētu "noiet greizi", un paziņoja par savu vēlmi sadarboties ar valdību, lai to novērstu, viņš niansēja savus izteikumus: ChatGPT izstrādātājs uzskata, ka ir svarīgi ļaut uzņēmumiem un atvērtā pirmkoda projektiem izstrādāt noteiktus modeļus "zem ievērojama jaudas sliekšņa" bez stingra regulējuma vai mehānismiem, piemēram, licencēm vai auditiem.

• 23. maijā ASV Kongress publicēja ziņojumu ar nosaukumu "Ģeneratīvais mākslīgais intelekts un datu privātums: ievads": ziņojumā galvenā uzmanība pievērsta privātuma jautājumiem un politikas apsvērumiem, kas ir būtiski Kongresam.
• Arī mākslīgā intelekta jomā Elektroniskās privātuma informācijas centrs (EPIC) publicēja ziņojumu ar nosaukumu "Kaitējuma radīšana – ģeneratīvā mākslīgā intelekta ietekme un turpmākie virzieni". Dokuments salīdzina privātuma un mākslīgā intelekta jomas no potenciālā kaitējuma viedokļa.
• Amerikas Savienoto Valstu Federālā tirdzniecības komisija ir publicējusi politikas paziņojumu par biometriskās informācijas vākšanu, kas nav palicis nepamanīts.

Aģentūra norāda, ka tā izmantos savu pieredzi negodīgas prakses jomā, lai sauktu pie atbildības par biometriskās informācijas kaitīgu apstrādi, un izstrādā plašu biometrisko datu interpretāciju, tostarp tādus datus kā sejas fotogrāfija, pat ja tie netiek apstrādāti, lai identificētu attiecīgo personu.

• 18. maijā Vašingtonas štata ģenerālprokurors paziņoja, ka Google samaksās štatam 39,9 miljonus ASV dolāru par maldinošu ģeolokācijas praksi.

Google arī ieviesīs virkni reformu, lai palielinātu savu ģeolokācijas iestatījumu pārredzamību.

• Eiropas Komisija sadarbībā ar ASEAN (Dienvidaustrumāzijas valstu asociāciju) ir publicējusi rokasgrāmatu par personas datu pārsūtīšanu, izmantojot abu organizāciju pieņemtās standarta līguma klauzulas.

Rokasgrāmata tiks publicēta divās daļās: "Atsauces rokasgrāmata", kurā sniegts ASEAN CMC un ES CSC salīdzinājums, un "Īstenošanas rokasgrāmata", kurā izklāstīta labākā prakse no uzņēmumiem, kas atbilst abu līgumu klauzulu prasībām.

• Ibēroamerikāņu datu aizsardzības iestāžu tīkls (“RIPD”) 8. maijā paziņoja, ka koordinēs izmeklēšanu saistībā ar ChatGPT.
• 2023. gada 11. aprīlī Ķīnas Kibertelpas administrācija (CAC) publicēja administratīvo pasākumu projektu ģeneratīvajiem mākslīgā intelekta pakalpojumiem (“MI pasākumu projekts”).

Šis projekts būtu saskaņots ar Ķīnas vispārējo pieeju datu regulēšanai, kiberdrošībai un tiešsaistes saturam, kurā liels uzsvars tiek likts uz politiskās un sociālās kārtības uzturēšanu.

CAC 30. maijā publicēja arī vadlīnijas par standarta līgumu reģistrēšanu personas datu eksportam.

• 23. maijā Pakistānas Informācijas tehnoloģiju un telekomunikāciju ministrija pabeidza likumprojektu par personas datu aizsardzību.

Tas stāsies spēkā ne vēlāk kā divus gadus pēc tā izsludināšanas datuma atkarībā no tā, ko noteiks federālā valdība.

• Brazīlijas varas iestādes ir devušas rīkojumu bloķēt Brazīlijā plaši izmantoto lietotni Telegram, apgalvojot, ka tā nepietiekami sadarbojas notiekošajā izmeklēšanā pret neonacistu grupējumiem.

Tiesa piesprieda Telegram samaksāt aptuveni 200 000 eiro sodu dienā par šīs informācijas nesniegšanu. Pieteikumā nepieciešamā informācija bija sniegta tikai daļēji.