Juridiskā uzraudzība Nr. 75 — 2024. gada septembris.  

Anonimizācija vai pseidonimizācija: kvalifikācijas, kas laika gaitā mainās?

2024. gada 5. septembrī CNIL piesprieda Cegedim Santé 800 000 eiro sodu par veselības datu apstrādi bez atļaujas.

Uzraudzības iestāde norāda, ka šie dati palika identificējami, lai gan tie tika uzrādīti kā anonīmi.

Šī sankcija dod mums iespēju pārskatīt GDPR smalkumus attiecībā uz datu anonimizāciju un pseidonimizāciju.

Cegedim publicē un pārdod pārvaldības programmatūru ģimenes ārstiem, kas strādā privātpraksēs un veselības centros.

Šīs programmatūras ļauj ārstiem pārvaldīt savus grafikus, pacientu failus un receptes.

Klientiem ir pieejama arī datubāze, kas ļauj veikt pētījumus un statistiku veselības jomā.

CNIL 2021. gadā veiktajās pārbaudēs tika atklāts, ka uzņēmuma apstrādātie dati – bez iepriekšējas atļaujas – bija pseidonimizēti veselības dati, tāpēc tos varēja identificēt.

No GDPR saistībām ir atbrīvoti tikai pilnīgi anonīmi dati.

Tomēr anonimizācijas process ir īpaši prasīgs.

Šajā konkrētajā gadījumā Cegedim bija ieviesusi procedūru, kuras mērķis bija dzēst identifikatorus, un, ņemot vērā iepriekšējos 2012. gada konstatējumus, CNIL arī bija uzskatījusi, ka apstrādātie dati patiešām bija anonīmi.

Komisija šodien atkārtoti pārskatīja šos konstatējumus, norādot, ka, izvērtējot iespējamo datu atkārtotu identificēšanu, jāņem vērā pašreizējā doktrīnas un judikatūras konteksts.

Tādējādi dati, kas pirms desmit gadiem bija anonīmi, šodien var nebūt obligāti: "Lai noteiktu, vai līdzekļi, visticamāk, tiks izmantoti fiziskas personas identificēšanai, ir jāņem vērā visi objektīvie faktori, piemēram, identifikācijas izmaksas un tai nepieciešamais laiks, ņemot vērā apstrādes laikā pieejamās tehnoloģijas un to attīstību."

Konkrētāk, CNIL — tāpat kā tās Eiropas kolēģi kopš 2014. gada — ir noteikusi prasības, kas jāievēro anonimizācijas procedūras ietvaros.

Viņa skaidro galvenās anonimizācijas metodes:

• nejaušināšana (kuras mērķis ir modificēt datu kopas atribūtus, lai tie būtu mazāk precīzi, vienlaikus saglabājot kopējo sadalījumu) un
• vispārināšana (kas sastāv no datu kopu atribūtu mēroga vai to lieluma secības modificēšanas).

CNIL iesaka:

• Lai noteiktu saglabājamo informāciju atbilstoši tās nozīmīgumam.
• Lai noņemtu tiešus identificējošus elementus, kā arī retas vērtības, kas varētu ļaut viegli atkārtoti identificēt personas;
• Atšķirt svarīgu informāciju no sekundāras vai bezjēdzīgas informācijas;
• Lai definētu ideālo un pieņemamo detalizācijas līmeni katrai uzglabātajai informācijai.

Lai nodrošinātu datu kopas patiesu anonimitāti, var izmantot trīs kritērijus:

1. Individualizācija: datu kopā nedrīkst būt iespējams izolēt indivīdu;
2. Korelācija: nevajadzētu būt iespējai sasaistīt atšķirīgus datu kopumus, kas attiecas uz vienu un to pašu personu;
3. Secinājums: nevajadzētu būt iespējams ar gandrīz pilnīgu pārliecību secināt jaunu informāciju par indivīdu.

Cegedim gadījumā netika ievērots individualizācijas kritērijs: pakalpojums ļāva pastāvīgi izsekot cilvēkus laika gaitā, izmantojot unikālu identifikatoru, un palielināt ar viņiem saistīto datu apjomu.

Tas ļāva izolēt indivīdu datu kopā un tādējādi palielināja pseidonimitātes dzēšanas risku.

Visbeidzot, jāatzīmē, ka persona, kas ir atbildīga par veselības datu noliktavas izveidi, to var ieviest tikai pēc CNIL atļaujas saņemšanas vai ar nosacījumu, ka tā atbilst standartam.

Apakšuzņēmuma gadījumā atbildīgajai personai apakšuzņēmuma līgumā jāiekļauj visas prasības, kas nepieciešamas, lai nodrošinātu atbilstību noteikumiem, jo īpaši attiecībā uz datu drošību.

Lielākajā daļā datu noplūdes gadījumu, kas mūsdienās nonāk ziņu virsrakstos (skatīt zemāk), vājais posms pārkāpuma sākumā bija apakšuzņēmējs.

 

 

Jaunās valdības sastāvs ir zināms kopš 21. septembra, un ir dažas jaunas norises digitālajos jautājumos.

No Ekonomikas un finanšu ministrijas nosaukuma pazūd frāze "digitālā suverenitāte", un digitālās lietas ir pievienotas augstākās izglītības un pētniecības ministram.

Visbeidzot, atbildīgā sekretariāta nosaukums tagad ir: Mākslīgais intelekts un digitālās tehnoloģijas.

Cigref (asociācijas, kas pārstāv uzņēmumus un valdības aģentūras digitālajā sektorā) ģenerāldelegātam Anrī d'Agrēnam šis nosaukums "neatspoguļo mākoņdatošanas, datu un mākslīgā intelekta nepārtrauktības nozīmi, kas jāiekļauj jebkurai nopietnai valsts politikai šajā jomā". Viņš piebilst, ka "uzsvars uz mākslīgo intelektu šajā nosaukumā būtu jāapsver, ņemot vērā Elizejas pils ambīcijas attiecībā uz Mākslīgā intelekta rīcības samitu, kas notiks Parīzē 2025. gada februārī".

Pēc publiskās apspriešanas CNIL 24. septembrī publicēja savu ieteikumu galīgo versiju, lai palīdzētu profesionāļiem izstrādāt privātumu ievērojošas mobilās lietojumprogrammas..

Sākot ar 2025. gadu, tā nodrošinās, ka tie tiek pienācīgi ņemti vērā, izmantojot īpašu kontroles kampaņu.

CNIL plāno precizēt un regulēt profesionāļu lomu, kā arī nodrošināt informācijas kvalitāti un mobilo lietotņu lietotāju piekrišanu.

Pēc SFR pagājušajā mēnesī tagad ir pienākusi Free kārta brīdināt savus klientus par datu noplūdi.

Starp datiem, kuriem piekļuva uzbrucējs, bija vismaz klientu vārds, uzvārds, tālruņa numurs un pasta adrese.

Papildus šiem diviem operatoriem daudzi Francijas mazumtirgotāji, tostarp Boulanger, Cultura, Truffaut un Grosbil, septembra vidū kļuva par piegādes datu uzlaušanas upuriem, ko tas pats hakeris publicēja un pārdeva tumšajā tīmeklī.

Riski indivīdiem parasti ir saistīti ar identitātes zādzību un ar viņu adresi saistītu datu iegūšanu.

Kas attiecas uz Cultura, kas specializējas kultūras produktu pārdošanā, arī iepirkumu grozu saturs ir nopludināts, sniedzot precīzu informāciju par pircēju lasīšanas paradumiem, ar potenciāli ļoti uzmācīgām sekām.

Vairumā šo uzbrukumu hakeris bija vērsies pret iesaistīto uzņēmumu pakalpojumu sniedzēju.

Kasācijas tiesas sociālo lietu palāta 25. septembrī pasludināja spriedumu, ar kuru tā atzina par spēkā neesošu darbinieka atlaišanu, pamatojoties uz no viņa profesionālās adreses sūtīto e-pastu pārtveršanu.

Tiesa atgādina, ka "darbiniekam ir tiesības uz savas privātās dzīves neaizskaramību pat darba laikā un vietā".

Tas jo īpaši attiecas uz korespondences konfidencialitāti.

Tādēļ darba devējs, nepārkāpjot šo pamatbrīvību, nevar izmantot darbinieka, izmantojot darba vajadzībām nodrošinātu datorrīku, nosūtīto vai saņemto personisko ziņojumu saturu, lai viņu disciplinētu.

 

Eiropas iestādes un struktūras

25. septembrī Komisija Briselē pulcēja galvenos mākslīgā intelekta nozares dalībniekus, lai atzīmētu pirmos 100 Mākslīgā intelekta pakta saistību parakstus.

Parakstītāji ir starptautiski uzņēmumi un mazi un vidēji Eiropas uzņēmumi no dažādām nozarēm. Līdz šim Meta un Apple šo paktu nav parakstījuši.

Dokumentā ietvertās brīvprātīgās saistības aicina iesaistītos uzņēmumus apņemties veikt vismaz trīs pamatdarbības:

• Pieņemt mākslīgā intelekta pārvaldības stratēģiju, lai veicinātu mākslīgā intelekta ieviešanu organizācijā un strādātu pie atbilstības mākslīgā intelekta noteikumiem nākotnē.
• Identificēt un kartēt mākslīgā intelekta sistēmas, kuras saskaņā ar mākslīgā intelekta regulu var klasificēt kā augsta riska sistēmas.
• Veicināt darbinieku informētību par mākslīgo intelektu.

Uzņēmumi tiek mudināti uzņemties citas saistības, kas pielāgotas to darbībai, tostarp nodrošināt cilvēka uzraudzību, mazināt riskus un pārredzami marķēt noteiktus mākslīgā intelekta ģenerēta satura veidus, piemēram, "dziļviltojumus".

Eiropas Savienības Tiesa (EST) 4. oktobra spriedumā (C 621/22) lēma, ka komerciālas intereses var tikt uzskatītas par "leģitīmām interesēm" GDPR 6. panta 1. punkta f) apakšpunkta izpratnē, ciktāl tās nav pretrunā ar likumu.

Lai gan šī nostāja var šķist acīmredzama, Nīderlandē tā vairākus gadus vairs nebija: saskaņā ar Nīderlandes Datu aizsardzības iestādes (DPA) datiem likumīgām interesēm bija jābūt balstītām uz juridisko pamatu.

Tiesa atkārtoti uzsver, ka šāda prasība ir pārmērīga un ka pietiek ar to, ka mērķis nav pretrunā ar likumu. Jāatzīmē, ka šis lēmums nedod pilnīgas pilnvaras visām mārketinga praksēm: vienmēr ir jāveic attiecīgo interešu un tiesību līdzsvarošana.

Tāpat 4. oktobrī EST pieņēma nolēmumu lietā C-446/21, kurā tā atbalsta tiesvedību, kas celta pret Meta saistībā ar tās Facebook pakalpojumu.

Jautājumi attiecās uz personas datu izmantošanas ierobežošanu tiešsaistes reklāmai un publiski pieejamu personas datu izmantošanas ierobežošanu, atļaujot tos izmantot tikai sākotnēji publicēšanai paredzētajiem mērķiem.

Tajā pašā dienā EST lietā C-21/23 apstiprināja arī iespēju uzņēmuma konkurentam celt prasību civiltiesās, pamatojoties uz negodīgas komercprakses aizliegumu, lai apturētu šī konkurenta izdarīto GDPR materiālo tiesību normu pārkāpumu.

Jāatzīmē, ka šāda tiesu prakse jau pastāv Francijas tiesībās.

EST 26. septembrī (lieta C 768/21) lēma, ka, konstatējot datu pārkāpumu, datu aizsardzības iestādēm nav pienākuma īstenot korektīvās pilnvaras saskaņā ar VDAR 58. panta 2. punktu, ja konstatētā trūkuma novēršana nav piemērota, nepieciešama vai samērīga.

Saskaņā ar Tiesas lēmumu, pēc visu lietas apstākļu izvērtēšanas datu aizsardzības iestādes var atturēties no šādu korektīvu pilnvaru īstenošanas, piemēram, ja pārzinis ir īstenojis atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka pārkāpums tiek pārtraukts un neatkārtojas.

Tiesa 12. septembra spriedumā (apvienotās lietas C 17/22 un C 18/22) beidzot lēma, ka ne tikai leģislatīvais akts, bet arī valsts judikatūra var noteikt juridisku pienākumu saskaņā ar VDAR 6. panta 1. punkta c) apakšpunktu atklāt akcionāram visu pārējo attiecīgo akcionāru identitāti.

Pēc iniciatīvām Francijā, Dānijā, Spānijā un Vācijā tiešsaistes vecuma pārbaudes jomā Eiropas NVO EDRi un 63 organizācijas, akadēmiķi un eksperti privātuma, šifrēšanas, bērnu drošības, seksa darbinieku tiesību un patērētāju tiesību jomā 16. septembrī publicēja kopīgu paziņojumu.

Tā mudina Eiropas Komisiju piešķirt prioritāti efektīviem bērnu drošības pasākumiem, vienlaikus paužot nopietnas bažas par pašreizējo priekšlikumu atbilstību, samērīgumu un negatīvo ietekmi uz pamattiesībām.

 

Ziņas no Eiropas Savienības dalībvalstīm.

Vācijas Neatkarīgo datu aizsardzības iestāžu konferences (DSK) 11. septembrī publicētā rezolūcija sniedz praktiskus ieteikumus personas datu pārsūtīšanas regulējums "aktīvu darījumu" kontekstā attiecībā uz uzņēmumu glabātajiem personas datiem: uzņēmuma klientu un potenciālo klientu, tā darbinieku, biznesa partneru u. c. dati.

Vācijā Hamburgas DPA pieņēma pretrunīgi vērtētu dokumentu par lieliem valodu modeļiem (LLM).

Tādējādi iestāde secināja, ka tiesneši ar pilnvarām neuzglabā personas datus un ka šis secinājums atbilst EST atzinumam.

Tomēr mākslīgā intelekta sistēmas ievades un izvades dati, atšķirībā no apmācības fāzes, var tikt uzskatīti par personas datiem, un tam ir sekas: piekļuves, dzēšanas vai labošanas pieprasījumi var attiekties uz šiem datiem.

Beļģijā Flandrija distancējas no federālās valdības privātuma aizsardzības jautājumos.

Laikraksts Le Soir 1. septembrī paziņoja, ka Flandrijas ministru prezidents Jans Jambons 20. septembrī, dažas dienas pirms amata atstāšanas, ir devis rīkojumu saviem ministriem vairs neiesniegt dekrētu un lēmumu projektus Federālajai datu aizsardzības iestādei (APD), bet gan tās reģionālajai iestādei — Vlaamse Toezichtcommissie (VTC).

Faktiski kopš 2019. gada Flandrijas valdība jau sistemātiski apejot APD, pieņemot savus dekrētus caur VTC, neskatoties uz Konstitucionālās tiesas 2023. gada marta lēmumu, kurā tika atgādināts, ka Flandrijas valdībai savu tekstu pieņemšanai bija jāiziet caur APD.

Šodien premjerministrs vēlas formalizēt flāmu kompetenci: viņš ir nosūtījis vēstuli Eiropas Komisijai, lūdzot atzīt videokonferences komisijas (VDAR) kompetenci.

Beļģijas Datu aizsardzības iestāde (APD) sodīja datu pārzini ar 100 000 eiro sodu par savlaicīgu neatbildēšanu uz datu subjekta piekļuves pieprasījumu.

APD tomēr noraidīja attiecīgās personas lūgumu saņemt informāciju par konkrētajiem darbiniekiem, kuri piekļuva viņa datiem.

Arī Beļģijā APD Strīdu izskatīšanas palāta 6. septembrī noraidīja Noyb iesniegtā pārstāvības mandāta derīgumu lietā par Google Analytics skriptu integrāciju tīmekļa vietnē laikā, kad EST bija atzinusi Privātuma vairogu par spēkā neesošu.

Strīdu izskatīšanas palāta uzskatīja, ka Noyb pilnvarojums ir tiesību ļaunprātīga izmantošana.

Atsevišķā lietā Beļģijas Datu aizsardzības iestāde (APD) tomēr apmierināja vairākas Noyb 2023. gadā iesniegtās sūdzības un lika četrām lielākajām Beļģijas ziņu vietnēm nodrošināt sīkfailu reklāmkarogu atbilstību GDPR.

Spānijas datu aizsardzības iestāde 2. oktobrī publicēja ziņojumu par personas datu apstrādi un bērnu vecuma pārbaudi digitālajā vidē.

Dokumentā tiek ieteikts izstrādāt proaktīvu aizsardzības politiku, ko īsteno informācijas sabiedrības pakalpojumi.

Spānijas Datu aizsardzības aģentūra (APD) ir piespriedusi finanšu tehnoloģiju uzņēmumam 72 000 eiro sodu par nepietiekamu klientu identitātes verifikācijas pasākumu ieviešanu, kas ļāva krāpniekiem bez cietušā ziņas ņemt aizdevumu uz viņa vārda.

Īrijas Datu aizsardzības komisija (DPC) 27. septembrī piesprieda uzņēmumam Meta 91 miljona eiro sodu.

Lēmums attiecas uz uzņēmuma veiktajiem pasākumiem, lai nodrošinātu drošības līmeni, kas atbilst ar paroļu apstrādi saistītajiem riskiem, un pienākumu dokumentēt un paziņot DPA par datu pārkāpumiem.

Iestāde atgādina datu pārziņiem, ka viņiem ir jānovērtē ar lietotāju paroļu glabāšanu saistītie riski un jāievieš pasākumi šo risku mazināšanai.

12. septembrī APD paziņoja arī par izmeklēšanas sākšanu pret Google saistībā ar Eiropas lietotāju personas datu izmantošanu mākslīgā intelekta modeļa izstrādei tulkošanas jomā.

Izmeklēšana attiecas uz mākslīgā intelekta modeli "Pathways Language Model 2" (PaLM 2), ko Google laida klajā 2023. gadā, neveicot datu aizsardzības ietekmes analīzi.

Itālijā APD sodīja enerģijas piegādātāju ar 5 000 000 eiro sodu par to, ka tas nebija ieviesis atbilstošus pasākumus, lai nodrošinātu, ka tā apakšuzņēmēji ievēro GDPR.

Tas ļāva viņiem slēgt līgumus ar attiecīgajām personām bez viņu ziņas.

Portugāles Datu aizsardzības iestāde (APD) ir sodījusi datu pārzini ar 107 000 eiro sodu par atkārtotu nevēlamu komerciālu paziņojumu sūtīšanu.

Datu pārzinis tika saukts pie atbildības, lai gan nosūtīšanas veica apakšuzņēmējs, izmantojot savu datubāzi.

 

ASV Federālās tirdzniecības komisijas (FTC) 19. septembrī publicētajā ziņojumā atklāts, ka lielākie sociālo mediju un video straumēšanas uzņēmumi ir plaši izplatījuši lietotāju uzraudzību, nodrošinot nepietiekamu privātuma kontroli un nepietiekamu bērnu un pusaudžu aizsardzību.

Ziņojumā ieteikts ierobežot datu saglabāšanu un koplietošanu, ierobežot mērķtiecīgu reklāmu un stiprināt pusaudžu aizsardzību.

Ķīnas valdība 30. septembrī publicēja "Tīkla datu drošības pārvaldības noteikumus", kas stāsies spēkā 2025. gada 1. janvārī. 

Teksta mērķis ir regulēt tīkla datu apstrādes darbības, aizsargāt fizisko personu un organizāciju tiesības un likumīgās intereses, kā arī aizsargāt valsts drošību un sabiedrības intereses.

Arī Ķīnā Nacionālā informācijas drošības standartizācijas tehniskā komiteja (TC260) ir publicējusi informācijas drošības pārvaldības sistēmu attiecībā uz mākslīgo intelektu.

Dokumentā ir ietverta virkne principu un sniegta noderīga ar mākslīgo intelektu saistīto risku klasifikācija un tehnoloģiskie pasākumi to novēršanai.

IBM ir publicējis ziņojumu par datu noplūdes izmaksām 2024. gadā.

Starp ziņojuma secinājumiem ir vērts atzīmēt, ka:

• Datu noplūdes vidējās kopējās izmaksas ir 4,88 miljoni ASV dolāru, un datu noplūdes ir visdārgākās Amerikas Savienotajās Valstīs.
• Kiberdrošības prasmju trūkums ir pasliktinājies,
• Gandrīz puse pārkāpumu attiecas uz personas datiem (46 %) vai intelektuālā īpašuma ierakstiem (43 %),
• Tiesībaizsardzības iestāžu iejaukšanās samazina izspiedējvīrusu izmaksas vidēji par 1 miljonu ASV dolāru.
• Lai identificētu un apturētu pārkāpumus, kas saistīti ar nozagtiem piekļuves datiem, ir nepieciešamas 292 dienas.

Instagram tagad piedāvā pusaudžu kontus ar stingrākiem drošības iestatījumiem, ļaujot vecākiem ierobežot lietotņu izmantošanu.

Pusaudžu konti ir īpaši izstrādāti, lai aizsargātu nepilngadīgos no kaitīga satura un nevēlamas saziņas, vienlaikus samazinot lietotnē pavadīto laiku.