Juridiskā uzraudzība Nr. 65 — 2023. gada novembris.

Sūdzības un sankcijas: kāda ir datu aizsardzības iestāžu 2024. gada programma?

GDPR stāšanās spēkā ir palielinājusi gan datu pārziņu, gan privātpersonu izpratni par datu aizsardzību.

Tas ir novedis pie sūdzību skaita pieauguma ODA, kuras dažkārt tiek apsūdzētas par to, ka tās neizskata šīs sūdzības pietiekamu resursu trūkuma dēļ.

Lai gan Apvienotajā Karalistē "Informācijas komisārs" ir nolēmis vairs neizskatīt noteikta veida sūdzības, kas netiek uzskatītas par prioritārām, Eiropas Savienībā iestādēm principā ir jāizskata jebkura sūdzība, protams, ja vien tā ir pieņemama.

Tādējādi Norvēģijas Privātuma apelācijas komisija atcēla Datu aizsardzības iestādes lēmumu slēgt sūdzības lietu, nosūtot datu pārzinim vienkāršu informatīvu vēstuli, uzliekot pārzinim pienākumu izvērtēt apstrādes likumību un uzsverot, ka datu aizsardzības iestāde nevar brīvi izvēlēties, kuras lietas izmeklēt vai neizmeklēt.

Francijā CNIL 2022. gadā ieviesa vienkāršotu sankciju procedūru, kas tai ļāva ātrāk apstrādāt noteikta veida sūdzības.

Tās ir lietas, kurās ir izveidota tiesu prakse, iepriekš pieņemti lēmumi, ko pieņēmusi ierobežota tiesnešu kolēģija, vai faktu vai tiesību jautājumi, kurus ir viegli izlemt.

Procedūra ir rakstiska, taču tā ļauj attiecīgajai organizācijai tikt uzklausītai un sniegt mutiskus apsvērumus.

Šajā konfigurācijā sankcijas ir ierobežotākas un var ietvert brīdinājumu, rīkojumu nodrošināt apstrādes atbilstību prasībām, tostarp sodu līdz 100 eiro par katru kavējuma dienu, vai administratīvu naudas sodu līdz 20 000 eiro.

CNIL tikko ir sodījusi desmit privātā un publiskā sektora dalībniekus ar kopējo naudas sodu 97 000 eiro apmērā par pārkāpumiem:

• Pienākums atbildēt uz CNIL pieprasījumiem;
• Datu minimizēšanai;
• Informācija par veikto apstrādi un tās mērķiem;
• Pienākums ievērot indivīdu tiesības un jo īpaši atbildēt uz iebildumu pieprasījumu.

CNIL uzsver, ka no sūdzībām, ar kurām tai nācās saskarties, īpaši izceļas divi jautājumi: ģeolokācija un darbinieku pastāvīga videonovērošana.

Apstrāde bieži tiek veikta, pārkāpjot GDPR noteikto datu minimizēšanas principu.

Komisija jo īpaši norāda, ka "nepārtraukta ģeolokācijas datu ierakstīšana, nedodot darbiniekiem iespēju apturēt vai uz laiku apturēt ierīces darbību pārtraukumu laikā, ir pārmērīgs darbinieku pārvietošanās brīvības un tiesību uz privātumu pārkāpums, ja vien tas nav īpaši pamatots".

Tas pats attiecas uz videonovērošanas sistēmām, kas pastāvīgi filmē darbiniekus viņu darba vietās.

"Darba negadījumu novēršana un pierādījumu iegūšana neattaisno nepārtrauktas darbstaciju videonovērošanas ieviešanu," un apkopotie personas dati nešķiet atbilstoši vai atbilstoši.

Pastāvīga darbinieku uzraudzība, izņemot dažus izņēmumus, ir nesamērīga ar sasniedzamajiem mērķiem.

CNIL paziņo par savu nodomu 2024. gadā pastiprināt represīvo politiku un pieņemt lēmumus īsākā termiņā.

Jāatzīmē, ka Eiropas līmeņa sadarbības ietvaros datu aizsardzības iestādes, kas ir Eiropas Datu aizsardzības kolēģijas locekles, nākamgad ir nolēmušas prioritāti piešķirt indivīdu tiesībām. Viņu koordinētā rīcība būs vērsta uz to, kā datu pārziņi reaģē uz personu pieprasījumiem piekļūt viņu datiem, un šī tēma būtu jāiekļauj CNIL gaidāmajās vienkāršotajās sankciju procedūrās.

 

  

• CNIL publicēja 15. novembrī Atsauces rokasgrāmata par sociālajā un medicīniski sociālajā sektorā visbiežāk sastopamo ārstēšanas metožu saglabāšanas periodiem un praktisku rokasgrāmatu, kurā attiecīgajiem speciālistiem tiek piedāvāta metodoloģija.
• Sadarbībā ar Francijas Konkurences iestādi (AdlC) un Tulūzas Ekonomikas skolu CNIL 12. decembrī organizē pasākumu ar nosaukumu "Datu aizsardzība un konkurence: kopīgas ambīcijas". Šajā pusdienas pasākumā regulatoriem, pētniekiem un profesionāļiem AdlC un CNIL pieņems un iesniegs kopīgu deklarāciju.
• 2023. gada 9. novembrī CNIL (Francijas Datu aizsardzības iestāde) izdeva brīdinājumu Transformācijas un valsts dienesta ministrijai un Ekonomikas, finanšu un rūpniecības un digitālās suverenitātes ministrijai par vairāk nekā divu miljonu valsts amatpersonu kontaktinformācija lai paziņotu un pamatotu pensiju reformas projekta pieņemšanu.

Ministrs bija izmantojis ENSAP — digitālo platformu, kurā pieejami valsts amatpersonu konfidenciāli dokumenti, piemēram, viņu ikmēneša algas lapiņas. 

Ierobežotā CNIL ekspertu grupa jo īpaši atgādināja, ka ENSAP platformu nevar izmantot politiska rakstura saziņai.

• Ar 16. novembra lēmumu Konstitucionālā padome nosoda mobilo tālruņu attālināta aktivizēšana skaņas un attēlu uzņemšanai kas paredzēts likumā par tiesiskuma ievirzi un plānošanu attiecībā uz konstitucionālo likumu par tiesu iestāžu atvēršanu, modernizāciju un atbildību.

Padome uzskata, ka šī attālinātā aktivizēšana, bez nepieciešamības izmeklētājiem fiziski piekļūt privātām telpām, lai uzstādītu novērošanas ierīces, varētu radīt īpaši būtisku un nesamērīgu privātās dzīves neaizskaramības tiesību pārkāpumu.

Viņš arī uzsver, ka šis pasākums ļauj uzraudzīt gan tos, pret kuriem vērsta izmeklēšana, gan trešās personas. 

Tomēr Konstitucionālā padome nekritizē elektronisko ierīču attālinātu aktivizēšanu ģeolokācijas nolūkos.

• Ar 2023. gada 22. novembra pagaidu rīkojumu Kānas Administratīvā tiesa lēma, ka Briefcam algoritmiskā videonovērošanas sistēma ko izmanto Cœur Côte Fleurie starpkopienu pārvalde (tostarp Deauville-Trouville), ir nopietns un acīmredzami nelikumīgs privātuma tiesību pārkāpums un ir licis atbildīgajām personām dzēst personas datus, kas iegūti, lietojot programmatūru.

Tiesnesis palātā norādīja, ka izmantošana bija ārpus jebkāda juridiska vai normatīva regulējuma, un uzskatīja, ka "nav pierādīts, ne pat apgalvots, ka sabiedriskās kārtības saglabāšanai nevarēja īstenot citus, mazāk iejaucošus līdzekļus attiecībā uz privātumu".

• 2023. gada 8. novembrī sešu organizāciju koalīcija, tostarp La Quadrature du Net un EDRi, iesniedza Valsts padomē apelāciju pret Francijas dekrētu, ar kuru tiek īstenota regula par cīņu pret teroristiska satura izplatīšanu tiešsaistē.

Viņi lūdz Valsts padomi uzdot Eiropas Savienības Tiesai (EST) prejudiciālu jautājumu par TERREG spēkā esamību attiecībā uz Eiropas Savienības tiesību aktos aizsargātajām pamattiesībām un norāda uz vārda brīvības un tiesību uz informāciju tiešsaistē pārkāpumiem.

 

 

Eiropas iestādes un struktūras

• Eiropas Parlamenta Vides un Pilsoņu brīvību komitejas savu nostāju pieņēma 28. novembrī. Eiropas veselības datu telpas izveide lai veicinātu personas veselības datu pārnesamību un drošāku koplietošanu.

Parlamenta deputāti jo īpaši vēlas noteikt obligātu prasību saņemt no pacientiem skaidru atļauju viņu veselības datu sekundārai izmantošanai.

• Eiropas Savienība ir pieņēmusi pārskatīto eIDAS regulu, kas paver ceļu digitālās identitātes ieviešana visā ES.

Daži aspekti joprojām ir strīdīgi, jo īpaši par "kvalificētiem tīmekļa autentifikācijas sertifikātiem" (QWAC), kas pieprasīs pārlūkprogrammām pieņemt valdības izdotus saknes sertifikātus, kas paredzēti krāpšanas un identitātes zādzības novēršanai, ko daži kiberdrošības eksperti uzskata par ielaušanās risku tīmekļa autentifikācijā: pārlūkprogrammu pārdevēji nevarētu noraidīt QWAC, pat ja tas radītu drošības apdraudējumu.

• Kamēr Sarunas par turpmāko mākslīgā intelekta regulējumu turpinās. Rakstīšanas brīdī vairāki jautājumi joprojām nav atbildēti, tostarp par pamatmodeļu, piemēram, ChatGPT, iekļaušanu noteikumos.

Pilsoniskās sabiedrības nostājas paziņojumā, kas 16. novembrī tika paziņots Eiropas sarunu vedējiem, ir uzsvērts arī jautājums par aizsardzības apmēru pret kaitējumu, kas saistīts ar mākslīgā intelekta izmantošanu policijas, migrācijas un valsts drošības nolūkos.

• Eiropas Datu aizsardzības kolēģija (EDAK) 14. novembrī pieņēma vadlīnijas par ePrivātuma direktīvas 5. panta 3. punkta tehnisko darbības jomu.

Komiteja skaidro, ka Jaunu izsekošanas metožu parādīšanās, kuru mērķis ir aizstāt esošos izsekošanas rīkus, piemēram, sīkfailus, un radīt jaunus biznesa modeļus, ir kļuvusi par nopietnu problēmu. datu aizsardzības ziņā.

Vadlīnijas īpaši attiecas uz "ierīču pirkstu nospiedumu noņemšanu" un visizplatītākajām metodēm, piemēram, URL un pikseļu izsekošanu, tikai IP izsekošanu, lietu interneta (IoT) ziņošanu un unikāliem identifikatoriem.

• Eiropas Datu aizsardzības uzraudzītājs (EDAU) novembra vidū publicēja “TechDispatch” ziņojumu, kas veltīts izskaidrojams mākslīgais intelekts ("izskaidrojamais mākslīgais intelekts"), lai novērstu mākslīgā intelekta "melnās kastes" efektu.

Tajā tiek risināts jautājums par necaurspīdīgu mākslīgā intelekta sistēmu riskiem un aprakstīts, kā mākslīgais intelekts var ietvert pārredzamību, interpretējamību un izskaidrojamību.

EDAU 8. novembrī publicēja arī pētījumu par pamattiesību uz privātuma ievērošanu un personas datu aizsardzību būtību.

Šajā dokumentā tiek aplūkota prasība ievērot šo tiesību "būtību", ja tās ir ierobežotas saskaņā ar Eiropas Savienības (ES) tiesību aktiem.

• EST 9. novembra lēmumā precizēja savu personas datu interpretāciju.

Viņa juta, ka Transportlīdzekļa identifikācijas numuri kā tādi nav personas dati..

Tomēr tie kļūst par personas datiem, ja personai (fiziskai personai), kurai ir piekļuve tiem, ir līdzekļi, lai identificētu transportlīdzekļa īpašnieku.

• EST 7. decembrī pieņēma divus svarīgus nolēmumus attiecībā uz dominējošo kredītinformācijas pakalpojumu sniedzēju (“Schufa”) Vācijā.

Tiesa jo īpaši norādīja, ka Automatizēta kredītspējas novērtēšana ("punktu piešķiršana") ir pakļauta vispārējam aizliegumam. saskaņā ar VDAR 22. pantu.

Viņa piebilst, ka uzņēmums, kas automātiski nosaka kredītreitingu, joprojām ir pakļauts 22. panta noteikumiem, pat ja cits uzņēmums izmanto šo reitingu, lai pieņemtu lēmumus, kuriem ir (negatīva) ietekme uz attiecīgo personu. – argumentācija, kas varētu ietekmēt mākslīgā intelekta atbalstītas sistēmas.

Tiesa arī apstiprināja, ka valstu tiesām ir plašas pilnvaras pārraudzīt datu aizsardzības iestādes.

• Eiropas Cilvēktiesību tiesa novembrī publicēja dokumentu, kurā uzskaitīta tās judikatūra par personas datu aizsardzību.
• Eiropas Savienības Kiberdrošības aģentūra ENISA ir publicējusi 2023. gada kiberdraudu pārskats pa darbības nozarēm.

Saskaņā ar "Apdraudējumu ainavu 2023" galvenie mērķi joprojām ir valsts pārvalde un valdības, kam seko veselības aprūpes, ražošanas, transporta un finanšu nozares.

• 28. novembrī NVO noyb iesniedza sūdzību pret Meta Austrijas datu aizsardzības iestādē.

GARI apstrīd Eiropas lietotājiem doto “izvēli” starp piekrišanu izsekošanai personalizētas reklāmas nolūkos vai līdz pat 251,88 eiro maksāšanu gadā "lai saglabātu savas pamattiesības uz datu aizsardzību Instagram un Facebook." 

Tajā pašā kontekstā Eiropas Patērētāju organizācija (BEUC) 30. novembrī iesniedza sūdzību Patērētāju tiesību aizsardzības iestāžu tīklā (CPC), pamatojoties uz to, ka Meta īsteno negodīgu komercpraksi.

Tajā arī tiek izvērtēts, vai Meta pārkāpj GDPR.

• 110 pilsoniskās sabiedrības organizācijas aicina ES politikas veidotājus noraidīt notiekošo EURODAC reformu.

Datubāze, kas paredzēta patvēruma meklētāju datu vākšanai un glabāšanai, "tiktu pārveidota par novērošanas rīku, kas aizsardzību meklējošus cilvēkus, tostarp pat sešus gadus vecus bērnus, kuru pirkstu nospiedumi un sejas attēli tiktu integrēti datubāzē, uzskatītu par aizdomās turētajiem krimināllietās".

 

Ziņas no Eiropas dalībvalstīm.

• Beļģijā APD 23. novembrī darba vietas novērošanas lietā atzina, ka nepārtraukta darba uzraudzība ar kamerām neatbilst minimālas datu apstrādes principam.

APD Strīdu izskatīšanas palāta norādīja, ka tas ir nopietns pārkāpums, bet, tā kā tas attiecas uz mazu uzņēmumu, tā to informēja par pārkāpumu un lūdza nodrošināt atbilstību prasībām, neuzliekot naudas sodu.

• Dānijas Datu aizsardzības iestāde noraidīja Kopenhāgenas pilsētas plānu izstrādāt mākslīgā intelekta rīkus, lai identificētu iedzīvotājus, kuriem nepieciešama rehabilitācija, jo valsts tiesību akti, uz kuriem atsaucas GDPR 6. panta 1. punkta e) apakšpunkta un 6. panta 3. punkta vajadzībām, nebija pietiekami precīzi attiecībā uz mākslīgā intelekta izmantošanas apjomu.
• Vācijas Federālā darba tiesa īstenoja EST lēmumu C-453/21, ņemot vērā, ka Meitasuzņēmuma darba padomes priekšsēdētājs bija pamatoti atlaists no uzņēmumu grupas datu aizsardzības speciālista amata interešu konflikta dēļ starp abiem amatiem.
• Nīderlandē OAP 24. novembrī piemēroja koriģējošus pasākumus darbinieku apdrošināšanas aģentūrai (Uitvoeringsinstituut Werknemersverzekeringen – UWV) attiecībā uz 703 personām, kas saņem pabalstus.

Līdz šī gada sākumam UWV nelikumīgi izsekoja šo cilvēku, kas saņēma bezdarbnieka pabalstus, tiešsaistes uzvedību, izmantojot algoritmu.

• Saskaņā ar VDAR 60. pantā minēto procedūru Īrijas Datu aizsardzības aģentūra (DPA) ir izteikusi aizrādījumu Airbnb Ireland par datu minimizācijas un glabāšanas ierobežošanas principu pārkāpšanu. un par to, ka, saglabājot datu subjekta personu apliecinošus dokumentus, ir nepamatoti atsaukusies uz VDAR 6. panta 1. punkta f) apakšpunktu kā apstrādes pamatu.
• Itālijas APD novembra beigās uzsāka izmeklēšanu publiskās un privātās tīmekļa vietnēs, lai pārbaudītu to pieņemšanu. Atbilstoši drošības pasākumi, lai novērstu personas datu masveida vākšanu (tīmekļa datu nokopēšanu)ko veic trešās personas mākslīgā intelekta algoritmu apmācības nolūkā.
• Berlīnes Reģionālā tiesa lēsts, ka LinkedIn bija iesaistījies negodīgā komercpraksē un pārkāpis GDPR, neapsverot izmantošanu Parametri "Neizsekot" (DNT) kā iebildumu pret apstrādi un iepriekš atzīmējot iestatījumu “redzamība ārpus LinkedIn”, kad lietotāji pirmo reizi izveido kontu.

Tiesa uzskata, ka DNT, neskatoties uz standartizācijas trūkumu, ir efektīvs iebildums pret datu apstrādi: citiem vārdiem sakot, GDPR paredzētās tiesības iebilst var īstenot arī ar automatizētiem līdzekļiem, piemēram, pārlūkprogrammas iestatījumiem.

• G7 digitālo un tehnoloģiju ministri un ESAO tikās virtuāli 2023. gada 1. decembrī, lai turpinātu diskusijas, kuru mērķis ir ieviest "Datu brīvu plūsmu ar uzticēšanos" (DFFT) principu, lai veicinātu pārrobežu datu plūsmas.

Progress un nākamie soļi ir sīki aprakstīti preses relīzē, kas pieejama tiešsaistē.

• Lielāko sociālo mediju platformu vadītāji stājas ASV Senāta Tieslietu komitejas priekšā. 6. decembrī, lai sniegtu liecības par bērnu seksuālu izmantošanu un uzņēmumu iespējamo nespēju aizsargāt bērnus savās platformās.
• Austrālijas valdība ir publiski reaģējusi uz Privātuma likuma pārskatīšanas ziņojumu, kas publicēts 2023. gada 28. septembrī, un apstiprina savu apņemšanos stiprināt Austrālijas privātuma standartus, lai tos ciešāk saskaņotu ar globālajiem standartiem.

 

Virkne priekšlikumu būtu vērsti uz papildu aizsardzības ieviešanu attiecībā uz bērnu privātumu.

• Elons Masks paziņoja, ka viņa mākslīgā intelekta tērzēšanas robots Groks sāks darboties decembra sākumā.

Tērzēšanas robotu, ko izstrādājusi Maska mākslīgā intelekta kompānija xAI, X Premium+ abonentiem būs pieejama lietotnē.

• YouTube ir publicējis emuāra ierakstu, kurā paziņots par dažādiem pasākumiem, kuru mērķis ir marķēt mākslīgā intelekta ģenerētu saturu un apkarot "dziļviltojumus".

Uzņēmums plāno ieviest atjauninājumus, kas informēs lietotājus, kad redzētais saturs ir sintētisks.

Tāpēc YouTube lūgs satura veidotājiem norādīt, vai viņi ir radījuši reālistisku modificētu vai sintētisku saturu, tostarp izmantojot mākslīgā intelekta rīkus.