Juridiskā uzraudzība Nr. 66 — 2023. gada decembris.

GDPR judikatūra: galvenās tendences 2023. gadam

Gan Francijā, gan Eiropas līmenī datu aizsardzības iestādes un tiesu iestādes 2023. gadā pieņēma daudzus lēmumus, precizējot GDPR piemērošanas nosacījumus.

Eiropas līmenī visnozīmīgākās datu aizsardzības iestāžu noteiktās sankcijas attiecas gan uz starptautiskiem tehnoloģiju gigantiem, gan uz dažiem nacionāliem uzņēmumiem.

Tie īpaši mērķē uz reklāmu bez lietotāja piekrišanas un lietotāju neinformēšanu.

• 2023. gada 4. janvārī Īrijas Datu aizsardzības komisija piesprieda uzņēmumam Meta Platforms Ireland Ltd. 390 miljonu eiro sodu par nelikumīgu personas datu izmantošanu reklāmas nolūkos Facebook un Instagram.

Tā arī 2023. gada maijā uzlika uzņēmumam Meta vēsturisku 1,2 miljardu eiro sodu par datu nelikumīgu pārsūtīšanu uz Amerikas Savienotajām Valstīm.

• Īrijas Datu aizsardzības iestāde (DPA) 2023. gada janvārī arī piesprieda WhatsApp 5,5 miljonu eiro sodu par lietotāju piespiešanu piekrist personas datu izmantošanai "pakalpojumu un drošības uzlabošanas" nolūkos.
• 2023. gada 15. jūnijā CNIL uzlika 40 miljonu eiro sodu uzņēmumam CRITEO, kas specializējas tiešsaistes reklāmā, jo īpaši par to, ka tas nepārbaudīja, vai personas, kuru datus tas apstrādāja, ir devušas savu piekrišanu.
• Itālijas datu aizsardzības iestāde pagājušā gada jūnijā piesprieda telemārketinga uzņēmumam TIM SpA 7,6 miljonu eiro sodu par nepietiekamu zvanu centru uzraudzību ar ļaunprātīgu praksi.

Francijā CNIL ir noteikusi vairākas citas pieminēšanas vērtas sankcijas. Komisija jo īpaši ir pievērsusi uzmanību:

• Tā kā uzņēmumam Clearview nav juridiska pamata biometrisko datu vākšanai;
• Attiecībā uz jautājumu par apkopoto datu minimizēšanas principa ievērošanu, šajā gadījumā ģeolokācijas datu Cityscoot lietā, kas tika notikusi 2023. gada 16. martā;
• Attiecībā uz datu glabāšanas periodiem 2023. gada 8. jūnija KG COM lietā un 2023. gada 11. maija Doctissimo lietā;
• Attiecībā uz indivīdu tiesību ievērošanu Canal + (12. oktobris), Free (20. marts) un Criteo (15. jūnijs) lietās.

Attiecībā uz šo pēdējo punktu CNIL uzsver, ka dati pieteikuma iesniedzējam ir jāpaziņo saprotamā veidā.

Viņa arī norāda, ka bieži tiek pieļauts pārkāpums, ja netiek ievērots viena mēneša termiņš atbildes sniegšanai uz piekļuves pieprasījumu.

Ir vērts atgādināt, ka indivīdu tiesību īstenošana ir datu aizsardzības iestāžu koordinēto izmeklēšanu tēma Eiropā 2024. gadam.

Runājot par Francijas tiesu un tribunālu judikatūru, pieminēsim arī vairākus nesenus lēmumus par videonovērošanu.

• Nicas un Lilles administratīvās tiesas attiecīgi 23. un 29. novembrī lēma par labu pašvaldībām, kuras bija uzstādījušas algoritmiskās sejas atpazīšanas videonovērošanas sistēmas, pamatojoties uz to, ka šīs sistēmas (vēl) nebija pilnībā aktivizētas vai ieviestas paplašinātās videonovērošanas nolūkos.
• Savukārt Kānas Administratīvā tiesa 22. novembra pagaidu rīkojumā stingrāk atzina, ka Briefcam algoritmiskās videonovērošanas sistēma ir nopietns un acīmredzami nelikumīgs privātuma tiesību pārkāpums.

Tiesnesis palātā norādīja, ka izmantošana bija ārpus jebkāda juridiska vai normatīva regulējuma, un uzskatīja, ka "nav pierādīts, ne pat apgalvots, ka sabiedriskās kārtības saglabāšanai nevarēja īstenot citus, mazāk iejaucošus līdzekļus attiecībā uz privātumu".

Jautājumam par algoritmiskās videonovērošanas izmantošanas juridisko pamatu vajadzētu kļūt vēl aktuālākam, pieņemot Eiropas regulu par mākslīgo intelektu, kas īpaši stingri regulēs sejas atpazīšanu sabiedriskās vietās (sk. turpmāk sniegtos kopsavilkumus).

Visbeidzot, Eiropas līmenī Eiropas Savienības Tiesa (EST) ir pieņēmusi vairākus lēmumus, kas jo īpaši precizē automatizētai apstrādei piemērojamos principus un kaitējuma ņemšanu vērā GDPR pārkāpumu gadījumā:

• Tādējādi EST 7. decembrī pieņēma divus svarīgus nolēmumus attiecībā uz dominējošo kredītinformācijas pakalpojumu sniedzēju Vācijā (“Schufa”).

Tiesa jo īpaši norādīja, ka automatizēta kredītspējas apstrāde (“vērtēšana”) ir pakļauta vispārējam aizliegumam saskaņā ar VDAR 22. pantu.

Viņa piebilst, ka uzņēmums, kas automātiski nosaka kredītreitingu, joprojām ir pakļauts 22. panta noteikumiem, pat ja tas ir cits uzņēmums, kas, pieņemot lēmumus ar (negatīvu) ietekmi uz attiecīgo personu, izmanto šo reitingu, un šāda argumentācija varētu ietekmēt mākslīgā intelekta atbalstītas sistēmas.

• Attiecībā uz zaudējumu atlīdzību Tiesa 2023. gada 4. maija spriedumā Osterreichische Post AG lietā lēma, ka VDAR noteikumu pārkāpums nav pietiekams, lai datu subjektam, kuru skārusi nelikumīga apstrāde, rastos tiesības uz kompensāciju: ir jāpierāda arī kaitējums. Tomēr šis kaitējums ir jākompensē pat tad, ja tas nesasniedz noteiktu smaguma pakāpi.
• Savā 2023. gada 14. decembra spriedumā EST sniedz plašu morālā kaitējuma interpretāciju.

Tiesa jo īpaši norāda, ka bailes, ko persona izjūt par iespējamu trešo personu ļaunprātīgu izmantošanu pēc VDAR pārkāpuma, pašas par sevi var radīt morālu kaitējumu.

Apvienojumā ar Österreichische Post AG spriedumu, kas nosaka, ka nav minimālā sliekšņa nemateriālajiem zaudējumiem, šis lēmums varētu veicināt kolektīvo prasību attīstību Eiropā.

Ir vērts atgādināt, ka Francija, tāpat kā tās Eiropas partneri, pašlaik transponē savos tiesību aktos 2020. gada 25. novembra direktīvu par pārstāvības prasībām patērētāju kolektīvo interešu aizstāvībai.

 

   

• Decembra vidū CNIL publicēja datu aizsardzības speciālistiem paredzētas "Datu apstrādes un brīvību tabulas".

Šajās tabulās ir grupēti un klasificēti daudzu Francijas un Eiropas tiesu, tostarp Eiropas Cilvēktiesību tiesas, Eiropas Savienības Tiesas, Konstitucionālās padomes, Valsts padomes un Kasācijas tiesas, lēmumu kopsavilkumi.

Tabulās ir iekļauti arī daži EDAK un CNIL lēmumi, koncentrējoties uz tiem, kas nosaka jaunu doktrīnu vai principus.

• Decembra vidū CNIL publicēja arī rokasgrāmatu par GDPR izpratnes veicināšanu, lai atbalstītu darba drošības un veselības aizsardzības dienestus (SPST) atbilstības nodrošināšanā.
• Pēc EDAK tagad ir pienākusi Konkurences, patērētāju lietu un krāpšanas apkarošanas ģenerāldirektorāta kārta publicēt lapu, kuras mērķis ir brīdināt patērētājus par "tumšajiem modeļiem" – šīm metodēm vai procesiem, kuru mērķis ir ietekmēt interneta lietotāju izvēli, lai viņi pasūtītu produktus vai abonētu pakalpojumus, kurus viņi citādi nebūtu pilnībā izvēlējušies.
• Iekšlietu ministrija tikko ir pabeigusi savu kibernoziegumu apkarošanas dienestu reorganizāciju.
• Jaunā "Iekšlietu ministrijas kibertelpas pavēlniecība" (Comcyber-MI) tika izveidota ar 2023. gada 23. novembra dekrētu, un tā koordinēs visus ministrijas resursus.
• Vēl viens dekrēts oficiāli apstiprina jauna "Kibernoziegumu apkarošanas biroja" (OFAC) izveidi, kas policijas ietvaros apvieno kiberdrošības apkarošanas apakšdirektorātu un iepriekšējo biroju – Centrālo biroju ar informācijas un komunikācijas tehnoloģijām saistītu noziegumu apkarošanai (OCLCTIC).
• Visbeidzot, trešais dekrēts formalizē valsts kibervienības izveidi, kas ir pievienota valsts žandarmērijas ģenerāldirektorātam.

Iliad, CMA CGM un Schmidt Futures Groups ir izveidojušas "Kyutai": bezpeļņas mākslīgā intelekta pētniecības laboratoriju, kuras mērķis ir risināt galvenos mākslīgā intelekta izaicinājumus, piemēram, lielu multimodālu modeļu izstrādi un jaunu algoritmu izgudrošanu.

 

Eiropas iestādes un struktūras

• ES 9. decembrī panāca politisku vienošanos par mākslīgā intelekta regulu, kas, domājams, oficiāli tiks pieņemta 2024. gada sākumā.

Provizoriskā vienošanās aizliegtu, piemēram, kognitīvu uzvedības manipulāciju, sejas attēlu nemērķtiecīgu vākšanu no interneta vai videonovērošanas kameru ierakstiem, emociju atpazīšanu darba vietā un izglītības iestādēs, sociālo vērtēšanu, biometrisko kategorizāciju, lai secinātu sensitīvus datus, piemēram, seksuālo orientāciju vai reliģisko pārliecību, un atsevišķus paredzošas policijas darbības gadījumus attiecībā uz indivīdiem.

Līgums paredz vairākus izņēmumus tiesībaizsardzības dienestiem un migrācijai.

• Savā pēdējā plenārsēdē Eiropas Datu aizsardzības kolēģija pieņēma vēstuli, atbildot uz Eiropas Komisijas iniciatīvu par brīvprātīgu apņemšanos attiecībā uz sīkdatnēm ("sīkdatņu solījums").

Komiteja kopumā atbalsta dokumentu un iesaka uzņēmumiem, ja lietotājs ir atteicies no savu datu vākšanas, nogaidīt gadu, pirms atjaunot piekrišanas pieprasījumus, lai mazinātu lietotāju nogurumu ("sīkfailu nogurumu"), kas atkārtotu pieprasījumu dēļ liek lietotājiem nejauši klikšķināt, nevis faktiski izmantot savas tiesības.

• 2023. gada 7. decembra spriedumā EST precizēja, ka naudas soda uzlikšana par GDPR pārkāpumu paredz pārkāpumu, kas izdarīts tīši vai nolaidības dēļ.

Tajā tālāk tiek paplašināts datu pārziņa atbildības apjoms un kvalifikācija: šī definīcija tādējādi var attiekties uz struktūru, kas ir pasūtījusi uzņēmumam mobilās datora lietojumprogrammas izstrādi un kas šajā kontekstā ir piedalījusies apstrādes mērķu un līdzekļu noteikšanā, pat ja šī struktūra pati nav veikusi apstrādes darbības, nav skaidri devusi piekrišanu šo darbību veikšanai vai lietojumprogrammas publiskošanai.

Tajā norādīts, ka divu subjektu kvalifikācija par kopīgiem apstrādes pārziņiem neparedz ne vienošanās esamību starp šiem subjektiem par apstrādes mērķu un līdzekļu noteikšanu, ne vienošanās esamību, kurā noteikti nosacījumi attiecībā uz to atbildību.

• 21. decembrī EST lēma, ka tiesības uz kompensāciju saskaņā ar GDPR 82. pantu pilda kompensējošu funkciju, "tādā ziņā, ka uz šo noteikumu balstītajai naudas kompensācijai ir jāļauj pilnībā kompensēt faktisko kaitējumu, kas nodarīts minētās regulas pārkāpuma rezultātā", nevis preventīvu vai sodīšanas funkciju.

Tāpēc pārkāpuma, kas izraisījis attiecīgo kaitējumu, nopietnībai nevajadzētu ietekmēt zaudējumu atlīdzības apmēru.

• Microsoft ir ieviesis jaunu Outlook versiju, kas paredzēta, lai 2024. gadā aizstātu Windows integrēto e-pasta un kalendāra programmu, kas rada bažas Eiropas datu aizsardzības iestāžu vidū.

Microsoft varētu piekļūt e-pastiem un pielikumiem, ja lietotājs lietojumprogrammai pievienotu e-pasta kontu, kas nav Microsoft konts, izmantojot šī konta IMAP un SMTP akreditācijas datus.

 

Ziņas no Eiropas dalībvalstīm.

• Lai gan saskaņā ar novembra beigās publicēto Elizejas nama paziņojumu Marija Lorēna Denī tiks atkārtoti iecelta CNIL prezidenta amatā, Īrijas Datu aizsardzības komisijas prezidente Helēna Diksone 2023. gada 15. novembrī vietnē LinkedIn paziņoja par savu aiziešanu no amata 2024. gada februārī pēc 10 gadiem amatā.
• Itālijas Datu aizsardzības iestāde (APD) ir sodījusi datu pārzini ar 40 000 eiro sodu par piekļuvi trīs bijušo darbinieku e-pasta kontiem, pārkāpjot GDPR 5. panta 1. punktu un 13. pantu.

Iestāde arī uzskatīja, ka dzīvokļu pārvaldnieks ir pārkāpis VDAR 5. panta 1. punkta a) apakšpunktu un 6. pantu, nelikumīgi uzstādot videonovērošanas sistēmu bez iepriekšējas dzīvokļu īpašnieku biedrības lēmuma pieņemšanas.

APD uzlika 1000 eiro naudas sodu un apstrādes aizliegumu.

• Norvēģijas Datu aizsardzības iestāde (APD) ir piespriedusi Norvēģijas Darba un labklājības administrācijai (NAV) 1 754 678 eiro (20 miljonu Norvēģijas kronu) sodu un izdevusi vairākus rīkojumus par 12 pārkāpumiem, kas saistīti ar "nopietnu nolaidību ilgstošā laika periodā" administrācijas informācijas drošības un IT sistēmās.
• Dānijas Datu aizsardzības aģentūra (DPA) ir izteikusi aizrādījumu Digitālās pārvaldes aģentūrai par JavaScript izmantošanu saistībā ar MitID, Dānijas digitālo identifikatoru.

Lai gan ir zināmi ar šīs programmēšanas valodas lietošanu saistītie riski, Aģentūra to izmantoja, neveicot iepriekšēju riska novērtējumu, tādējādi cita starpā pārkāpjot GDPR 32. panta 1. punktu.

• 18. decembrī žurnālā New Scientist publicētā rakstā minēts, ka mākslīgais intelekts, kas apmācīts ar sešu miljonu dāņu personas datiem (medicīniskajiem, profesionālajiem un finanšu ierakstiem), spēja paredzēt nāves riskus ar lielāku precīzāku precizitāti nekā esošie modeļi, tostarp tie, ko izmanto apdrošināšanas nozarē.

Šīs tehnoloģijas pētnieki apgalvo, ka tai varētu būt pozitīva ietekme uz sociālo un veselības problēmu agrīnu prognozēšanu, taču tai jāpaliek ārpus lielu korporāciju rokām.

• Pēc tam, kad pagājušā gada oktobrī tika pieņemts Tiešsaistes drošības likumprojekts, ko pilsoniskā sabiedrība kritizēja par saziņas pilnīgas šifrēšanas apdraudēšanu, Apvienotā Karaliste gatavo jaunu pretrunīgi vērtētu likumu par izmeklēšanas pilnvarām.

Saskaņā ar Politico ziņojumu, galvenās bažas par šo projektu rada tā sauktais "paziņojumu" režīms: tas ļautu Iekšlietu ministrijai pieprasīt uzņēmumiem informēt to par jebkādiem plāniem modificēt savu pakalpojumu produktus vai sistēmas, kas nozīmētu, ka uzņēmumi varētu zaudēt kontroli pār saviem produktiem un neļautu tiem, piemēram, labot koda ievainojamības, kuras valdība vai tās partneri vēlētos izmantot.

Likumprojekts pašlaik ir ziņojuma stadijā, un nākamā sesija paredzēta 23. janvārī.

 

• Kiberdrošības aģentūras no 18 valstīm 2023. gada 26. novembrī publicētā dokumentā vienojās izveidot mākslīgā intelekta "drošus pēc konstrukcijas" modeļus: uzņēmumiem, kas izstrādā un izmanto mākslīgo intelektu, tas ir jāizstrādā un jāievieš tā, lai aizsargātu savus klientus un plašu sabiedrību no ļaunprātīgas izmantošanas.

Šo nesaistošo nolīgumu pieņēma Amerikas Savienotās Valstis, Kanāda, Japāna un 7 ES valstis (Vācija, Igaunija, Francija, Itālija, Polija, Čehijas Republika), kā arī Norvēģija un Apvienotā Karaliste.

• Amerikas Savienotajās Valstīs neilgi pirms gada beigām Google piekrita panākt izlīgumu 5 miljardu dolāru vērtā kolektīvā prasībā par Chrome pārlūkprogrammas inkognito režīmu. Google tika apsūdzēts par lietotāju pārlūkošanas datu izsekošanas, vākšanas un identificēšanas turpināšanu reāllaikā pat pēc jauna inkognito loga atvēršanas.

Kā vēsta Euractiv, konkrētie vienošanās nosacījumi vēl nav publiski pieejami, taču oficiāla vienošanās tiesā, domājams, tiks iesniegta līdz 24. februārim.

• Kalifornijas Privātuma aģentūra (CCPA) ir atbalstījusi likumdošanas priekšlikumu, kas paredzētu tīmekļa pārlūkprogrammu pārdevējiem iekļaut funkciju, kas ļautu cilvēkiem īstenot savas tiesības, izmantojot atteikšanās preferences signālus.

CCPA norāda, ka daudzas pārlūkprogrammas pašlaik pieprasa patērētājiem instalēt trešās puses spraudni, kas spēj pārraidīt signālu. 

Pārlūkprogrammas, kas sākotnēji atbalsta atteikšanās preferenču signālus, pašlaik veido mazāk nekā 10% no globālā tīmekļa pārlūkprogrammu tirgus.

• Federālā tirdzniecības komisija (FTC) decembra beigās ierosināja jaunus ierobežojumus uzņēmumiem, kas vāc datus par bērniem, kas jaunāki par 13 gadiem, un stingrākus standartus šīs informācijas saglabāšanai, kas ir daļa no Bērnu privātuma aizsardzības likuma (COPPA) atjauninājuma.
• Arī Amerikas Savienotajās Valstīs kolektīvā prasībā amerikāņu veselības apdrošinātājs Humana ir apsūdzēts par mākslīgā intelekta modeļa nelikumīgu izmantošanu, lai liegtu vecāka gadagājuma cilvēkiem būtisku rehabilitācijas aprūpi.