Juridiskā uzraudzība Nr. 70 — 2024. gada aprīlis.

Datu pārsūtīšana ārpus ES: pašreizējā situācija.

Starptautiskās datu pārsūtīšanas aina kļūst skaidrāka, jo tiek pieņemti institucionāli lēmumi un nostājas. 

Tādējādi mēs esam atzīmējuši vairākas nesenas iniciatīvas gan Eiropas, gan valstu līmenī, kuru mērķis ir atvieglot datu plūsmas, vienlaikus ievērojot pamattiesības.

Tādējādi 4. marta sanāksmē ar piecpadsmit jau par atbilstošām atzīto valstu pārstāvjiem Eiropas Komisija pauda vēlmi paplašināt ES starptautiskās sadarbības formas.

Lai gan iepriekš Komisija ir devusi priekšroku sadarbībai ar Eiropas Padomi, koncentrējoties uz cilvēktiesībām, Eiropas Tieslietu komisārs martā pieminēja arī ciešāku sadarbību ar ESAO, organizāciju, kuras perspektīvas ir vērstas uz ekonomikas attīstību.

 Attiecīgajām valstīm Amerikā un Āzijā ir pieejas privātuma aizsardzībai, kas būtiski atšķiras no Eiropas Savienības pieejām.

Ir vērts atgādināt, ka janvārī Eiropas Komisija atjaunoja visu to valstu atbilstības lēmumus, kuras jau bija saņēmušas pozitīvu lēmumu.

Tas ir izraisījis reakciju arī pašreizējā politiskajā kontekstā, un 11 pilsoniskās sabiedrības organizācijas 22. aprīlī atklātā vēstulē lūdza Eiropas Tieslietu komisāru sniegt skaidrojumu par savu lēmumu atjaunot savu atbilstības lēmumu attiecībā uz Izraēlu.

 Vēstulē jo īpaši tiek apšaubīta atbilstība atbilstības kritērijiem attiecībā uz datu apstrādi valsts drošības nolūkos, cilvēktiesību ievērošana, tiesiskums un piekļuve tiesu iestādēm.

Protams, datu pārsūtīšana uz valstīm, uz kurām neattiecas lēmums par atbilstību, joprojām ir iespējama, piemēram, ja ir pieņemtas standarta līguma klauzulas vai uzņēmumu grupā ir ieviesti saistoši noteikumi datu pārsūtīšanas regulēšanai.

Lai atbalstītu grupas šajā procesā, CNIL tikko ir publicējusi pašnovērtējuma rīku.

Šī ir anketa, kas ļauj mums pārbaudīt projekta brieduma līmeni attiecībā uz Eiropas Datu aizsardzības kolēģijas (EDPB) pieņemto BCR standartu prasībām.

CNIL iesaka projektu pārbaudīt pirms SUN iesniegšanas apstiprināšanai.

Šis rīks ļauj pārbaudīt šādu saistību efektīvu īstenošanu:

• Atbildības režīms, kas balstīts uz Eiropas galveno mītni vai Eiropas meitasuzņēmumu, kurš ir deleģēts datu aizsardzības jautājumos;
• Personāla apmācības procedūra;
• Revīzijas procedūra, lai nodrošinātu atbilstību GCR;
• Iekšējā sūdzību izskatīšanas procedūra;
• Datu aizsardzības speciālistu vai kvalificētu darbinieku tīkls, lai uzraudzītu noteikumu ievērošanu;
• Procedūra, lai noteiktu privātuma ietekmes novērtējuma (PIA) veikšanas piemērotību;
• Attiecībā uz SUN “apakšuzņēmējs” — apakšuzņēmēja pienākumi pret datu pārzini;
• Atbilstoši tehniski un organizatoriski pasākumi, lai nodrošinātu datu aizsardzības principu ievērošanu.

CNIL piedāvā interaktīvu pasaules karti, lai noteiktu katras valsts statusu datu aizsardzības jomā, un to valstu saraksts, uz kurām attiecas lēmums par atbilstību, ir pieejams Eiropas Komisijas tīmekļa vietnē.

 

CNIL 4. aprīlī uzlika HUBSIDE.STORE 525 000 eiro sodu. par izpētes kampaņu veikšanu, izmantojot personas datus, kas iegūti, izmantojot maldinoši izstrādātas veidlapas, kuras neļāva datu pārzinim iegūt derīgu piekrišanu.

25. martā digitālo lietu valsts sekretārs prezentēja Francijas stratēģisko ceļvedi digitālajai desmitgadei. Eiropas Komisijas Komunikācijas tīklu, satura un tehnoloģiju ģenerāldirektora (DG Connect) klātbūtnē.

“Ceļvedis ir strukturēts ap četrām darba jomām, kuru mērķis ir sasniegt “digitālās desmitgades” mērķus:

• Digitālās prasmes,
• Digitālā infrastruktūra,
• Uzņēmumu digitālā transformācija un
• Sabiedrisko pakalpojumu digitalizācija.

La Quadrature du Net 2. maijā iesniedza sūdzību CNIL par algoritmiskās videonovērošanas (VSA) ieviešanu. ko viņa uzskata par nelikumīgu.

Apvienojot SNCF un RATP ar uzņēmumu grupu, tostarp Atos grupu un ChapsVision, Prevent PCP projekts tiek īstenots kā publisks līgums, kas ļauj uzņēmumiem izvietot savas VSA sistēmas lielākajās stacijās visā Eiropā, lai atklātu "pamestu bagāžu", izmantojot metodi, kuras pamatā ir bagāžas īpašnieku identifikācija un izsekošana.

Francijā šīs VSA sistēmas jau vairākus mēnešus tiek izmantotas Parīzes Gare du Nord un Gare de Lyon stacijās vai, nesenāk, Marseļas-Sentšārlas stacijā.

 

Eiropas iestādes un struktūras

Eiropas Datu aizsardzības kolēģija (EDAK) aprīļa vidū pieņēma savu darba programmu 2024.–2027. gadam.

Nākamo četru gadu laikā EDAK turpinās veicināt atbilstību GDPR, izstrādājot praktiskas vadlīnijas un materiālus plašākai auditorijai.

Prioritāte joprojām ir arī sadarbība tiesību aktu piemērošanā. 

Jauns stratēģijas aspekts ir uzsvars uz mijiedarbību ar jauno digitālo regulējumu.

EDAK turpinās pievērst īpašu uzmanību izaicinājumiem, ko rada jaunās tehnoloģijas, piemēram, mākslīgais intelekts.

EDAK 17. aprīlī arī ieņēma nostāju attiecībā uz modeli "maksā vai pieņem sīkfailus", kas tiek uzspiests lielāko tiešsaistes platformu lietotājiem.

2023. gada novembrī Meta ieviesa ikmēneša maksu lietotājiem, kuri atteicās no izsekošanas personalizētas reklāmas nolūkos.

Pilsonisko tiesību organizācijas bija reaģējušas, iesniedzot vairākas sūdzības kompetentajām datu aizsardzības iestādēm (DAI), kuras lūdza EDAK sniegt saistošu atzinumu šajā jautājumā.

Šis atzinums apšauba Meta un līdzīgu platformu uzspiesto modeli: komiteja uzskata, ka "vairumā gadījumu lielās tiešsaistes platformas nevarēs ievērot derīgas piekrišanas prasības, ja tās lietotājiem piedāvās tikai bināru izvēli starp piekrišanu personas datu apstrādei uzvedības reklāmas nolūkos un maksas samaksu".

Komiteja atkārtoti uzsver, ka piekrišanai ir jābūt sniegtai brīvprātīgi un ka alternatīva, kas paredz atturošu maksājumu, nepieļautu brīvprātīgu piekrišanu.

Tā mudina platformas ieviest alternatīvu reklāmas modeli, kas balstīts uz ierobežotāku personas datu vākšanu.

Eiropas Komisijas iniciatīva mudināt lielos tehnoloģiju uzņēmumus brīvprātīgi uzņemties "sīkfailu apņemšanos", kas samazinātu interneta lietotāju izsekošanu un stiprinātu viņu piekrišanu, nav guvusi atbalstu.

Kā intervijā Euronews sacīja Komisijas pārstāvis, vairums uzņēmumu uzskatīja, ka brīvprātīgas pieejas ieviešana digitālajai reklāmai ir "pāragra, ņemot vērā nesen spēkā stājušos jaunos tiesību aktus šajā jomā, piemēram, Digitālo pakalpojumu regulu (DSA) un Digitālo tirgu regulu (DMA)".

11. aprīlī EST lēma, ka datu pārzinis nav atbrīvots no atbildības par zaudējumiem saskaņā ar GDPR tikai tāpēc, ka persona, kas rīkojas saskaņā ar tā pilnvarām, nav ievērojusi tā norādījumus.

Lai novērtētu kompensācijas apmēru, nevajadzētu ņemt vērā administratīvo sodu noteikšanai noteiktos kritērijus.

EST ģenerāladvokāts 25. aprīlī sniedza savu atzinumu lietā par to, kā Meta izmantoja sūdzības iesniedzēja publiskotos datus.

Saskaņā ar AG viedokli, "datu minimizācijas principa" piemērošana ierobežo personas datu izmantošanu reklāmas nolūkos, pat ja lietotāji ir piekrituši reklāmai.

Šis princips ir piemērojams neatkarīgi no apstrādes juridiskā pamata: pat lietotājam, kurš piekrīt personalizētai reklāmai, personas dati nevar tikt izmantoti bezgalīgi.

Turklāt VDAR 5. panta 1. punktā noteiktais "mērķa ierobežojuma" princips joprojām ir piemērojams "tīmekļa datu ieguves" kontekstā: publiski pieejamu informāciju (šajā gadījumā sensitīvu) nedrīkst vākt un apstrādāt citiem mērķiem, piemēram, mērķtiecīgai reklāmai.

NVO noyb ir iesniegusi sūdzību Austrijas Datu aizsardzības iestādei (APD) par ChatGPT "halucinācijām", kas pārkāptu GDPR principus.

Makss Šrems, noyb direktors, sacīja, ka viņa sūdzību izraisīja tas, ka ChatGPT nesniedza precīzu dzimšanas datumu un aizstāja to ar tālu nojausmu, savukārt tērzēšanas robots neinformē lietotājus, ka tam nav pareizo datu, lai atbildētu uz pieprasījumu.

Tiek ziņots, ka mākslīgā intelekta uzņēmums atteicās labot vai dzēst nepareizas atbildes un neatklāj nekādu informāciju par apstrādātajiem datiem, to avotiem vai saņēmējiem.

Kopš DSA stāšanās spēkā 2023. gada augustā lielākajām tiešsaistes platformām un meklētājprogrammām (“VLOP” un “VLOSE”) ir jānodrošina publiski pieejamas un pārredzamas reklāmas krātuves.

Jaunā Mozilla ziņojumā, kas publicēts sadarbībā ar CheckFirst, tiek pētīts šis jautājums pakalpojumos, ko piedāvā 11 uzņēmumi, tostarp AliExpress, Apple App Store, Bing, Booking.com, Alphabet (Google Search un YouTube), LinkedIn vai Meta (Facebook un Instagram).

Ziņojumā ir atzīmētas “plašas atšķirības starp platformām” un teikts, ka nevienai no tām nav “pilnībā funkcionējoša reklāmu krātuves un neviena nenodrošinās pētniekiem un pilsoniskās sabiedrības grupām rīkus un datus, kas nepieciešami, lai efektīvi uzraudzītu VLOP reklāmu ietekmi gaidāmajās vēlēšanās Eiropā” (izmantojot GDPRtoday).

  

Ziņas no Eiropas dalībvalstīm.

Beļģijas Datu aizsardzības iestāde (APD) 2. aprīlī uzskatīja, ka lietotāja termināļa digitālā pirkstu nospieduma iegūšanai ("tiešsaistes pirkstu nospiedumu noņemšana") principā jābūt balstītai uz attiecīgās personas piekrišanu.

Šī metode ļauj datu pārzinim piedāvāt pakalpojumus, kas identificē vietnes apmeklētāju pat pārlūkojot to inkognito režīmā vai izmantojot VPN, piešķirot viņam unikālu identifikatoru.

Apvienojumā ar lietotāja atrašanās vietu šis identifikators ļauj izsekot, cita starpā, lietotāja apmeklējumu skaitu.

APD izdeva brīdinājumu par informācijas nesniegšanu un attiecīgās personas kontaktinformācijas izmantošanu mārketinga e-pastu sūtīšanai.

Čehijas Datu aizsardzības iestāde (APD) pēc apelācijas sūdzības piespriedusi kiberdrošības un antivīrusu uzņēmumam Avast 13,7 miljonu eiro sodu, kas ir lielākais APD jebkad piemērotais sods.

Uzņēmums neanonimizēja vairāk nekā 100 miljonu lietotāju pārlūkošanas datus, pirms tos kopīgoja ar trešajām pusēm tirgus analīzes nolūkos.

Vērts atcerēties, ka februārī Federālā tirdzniecības komisija (FTC) arī Amerikas Savienotajās Valstīs noteica sankcijas pret Avast, un tas bija spiests samaksāt vairāk nekā 18 miljonus ASV dolāru.

Viņa ir arī kolektīvas sūdzības subjekts Nīderlandē par tiem pašiem nodarījumiem.

Somijā hakeris, kas bija atbildīgs par pacientu ierakstu uzlaušanu Vastaamo psihoterapijas centrā un pieprasīja 400 000 eiro izpirkuma maksu par nozagtajiem datiem, Ūsimā Rietumu rajona tiesā tika notiesāts uz sešiem gadiem un trim mēnešiem cietumā. 

Uzlaušanas procesā ir iesaistīti aptuveni 33 000 pacientu ieraksti, kas ir nepieredzēts upuru skaits Somijas tiesību vēsturē. 

Toreiz APD uzlika Vastaamo administratīvo sodu 608 000 eiro apmērā par GDPR pārkāpumu, par pienākumu neievērošanu attiecībā uz personas datu drošu apstrādi un par datu pārkāpuma ziņošanas kavēšanos.

Uzņēmuma bijušajam izpilddirektoram pagājušajā gadā tika piespriests trīs mēnešu cietumsods ar nosacītu sodu par sensitīvu personas datu neaizsargāšanu.

Kopš tā laika uzņēmums ir iesniedzis bankrota pieteikumu.

Nīderlandē telekomunikāciju grupai Odido, kas agrāk bija pazīstama kā T-Mobile Nederland, tika piespriests 175 000 eiro sods. digitālās infrastruktūras inspekcija par datplūsmas datu nepareizu apstrādi kopīga projekta ietvaros ar valsts statistikas aģentūru.

Projekta mērķis bija izstrādāt algoritmu, kas spētu sniegt informāciju par lielu cilvēku grupu pārvietošanos, taču Odido procesi pārkāpa privātuma tiesību aktus: Odido bija parūpējies pseidonimizēt apstrādātos datus, taču neviens no klientiem netika informēts par pētījumu.

Grieķijas Datu aizsardzības iestāde (APD) ir uzlikusi Grieķijas pasta nodaļai 2 995 140 eiro lielu naudas sodu. par atbilstošu drošības pasākumu neieviešanu, kā rezultātā notika datu noplūde, kas skāra vairāk nekā 4 miljonus cilvēku.

Spānijas Datu aizsardzības aģentūra (AEPD) nolēma bankai piemērot 2 000 000 eiro sodu. par to personu piekrišanas neiegūšanu, kuru personas dati tiek apstrādāti.

Datu pārzinis, atzinis savu pārkāpumu, galu galā samaksāja samazinātu sodu 1 200 000 eiro apmērā. 

Patiešām, Spānijas likums (39/2015) par administratīvajām procedūrām ļauj kontrolierim atzīt atbildību par iespējamu pārkāpumu un/vai samaksāt AEPD ierosināto naudas sodu izmeklēšanas posmā apmaiņā pret naudas soda summas samazinājumu par 40 %.

AEPD arī sodīja datu pārzini ar 3 500 000 eiro sodu par pienācīga riska novērtējuma neveikšanu. un kurā nebija ņemti vērā novēršami drošības trūkumi, kā rezultātā notika datu noplūde, kas skāra 1,3 miljonus cilvēku.

Zviedrijā Datu aizsardzības iestāde (APD) izteica rājienu datu pārzinim par datu subjektu lūgumu iesniegt viņu personu apliecinoša dokumenta kopiju. kā arī pa pastu parakstītus dokumentus saistībā ar datu dzēšanas pieprasījumu, ja nebija pamatota iemesla šaubīties par attiecīgo personu identitāti.

 

Apvienotajā Karalistē pret Grindr ir ierosināta kolektīva prasība. apgalvojot, ka LGBTQ iepazīšanās lietotne kopīgoja ar reklāmdevējiem sensitīvu informāciju par saviem lietotājiem, piemēram, viņu HIV statusu un seksuālo orientāciju.

Saskaņā ar BBC ziņojumu, lietotne it kā izmantoja "slepenu izsekošanas tehnoloģiju", lai nelikumīgi apkopotu un kopīgotu šos datus ar trešajām personām (izmantojot GDPRtoday).

3. maijā ESAO Padome pieņēma pārskatītos mākslīgā intelekta principus.

Reaģējot uz jaunākajām norisēm mākslīgā intelekta tehnoloģijās, tostarp vispārinātā un ģeneratīvā mākslīgā intelekta parādīšanos, atjauninātie principi tiešāk risina ar mākslīgo intelektu saistītās problēmas attiecībā uz privātumu, intelektuālā īpašuma tiesībām, drošību un informācijas integritāti.

Amerikas Savienotajās Valstīs ASV Ārvalstu izlūkošanas uzraudzības likuma (FISA) 702. pants tikko ir atjaunots uz diviem gadiem.

Šī sadaļa, kas atļauj ierobežotu un bez ordera noteiktu saziņu uzraudzību, Kongresam ir regulāri jāatjauno.

Ziņots, ka balsojums bija pretrunīgs, jo Kongress izskatīja vairākus priekšlikumus likuma teksta atjaunināšanai: saskaņā ar Associated Press ziņām, pastāvēja domstarpības par to, vai FBI būtu jāierobežo likuma izmantošana amerikāņu izspiegošanai.

Senāts likumprojektu beidzot pieņēma 20. aprīlī ar ļoti nelielām izmaiņām tekstā.

23. aprīlī Senāts pieņēma likumu “Amerikāņu aizsardzība no ārvalstu pretinieku kontrolētiem pieteikumiem” (Protecting Americans from Foreign Adversary Controlled Applications), kas plaši tiek raksturots kā TikTok aizliegums.

ASV prezidents Džo Baidens tikko parakstījis likumu, kas piespiedīs Ķīnas platformu atdalīt savas darbības ASV no mātesuzņēmuma ByteDance darbībām vai arī pieņemt, ka ASV pilsoņi vairs nevarēs izmantot šo pakalpojumu. TikTok jau ir paziņojis par tiesvedību.

ASV Federālās tirdzniecības komisijas (FTC) 15. aprīļa rīkojuma priekšlikumā garīgās veselības aprūpes televeselības uzņēmums tiek apsūdzēts par tā privātuma politikas pārkāpšanu un klientu maldināšanu par pakalpojumu atcelšanas politiku.

FTC plāno sodīt Cerebral un tā izpilddirektoru ar 7 miljonu dolāru lielu naudas sodu par personiski identificējamas informācijas vākšanu par saviem klientiem un pēc tam tās pārdošanu trešajām personām.

Eiropas Cilvēktiesību tiesa pašlaik izskata vairākus tūkstošus lietu par notiesājošiem spriedumiem Turcijā par dalību bruņotā teroristu organizācijā, pamatojoties uz iespējamu šifrētas ziņojumapmaiņas lietotnes "Bylock" izmantošanu.

Pieteikuma iesniedzēji apgalvo, ka viņu notiesājošie spriedumi bija balstīti uz viņu iespējamo šīs lietotnes izmantošanu, kas, pēc Turcijas tiesu domām, bija paredzēta tikai FETÖ/PDY biedru lietošanai, aizbildinoties ar globālu lietotni.

Viņuprāt, ikviens, kurš bija izmantojis Bylock, principā varētu tikt notiesāts tikai uz šī pamata par piederību bruņotai teroristu organizācijai.