Juridiskā uzraudzība Nr. 79 — 2025. gada janvāris. 

Profesionālu datu mitināšana: uzmanieties no patērētāju platformām.

Datu mitināšanas pakalpojumu sniedzēju pienākumi attiecībā uz cīņu pret bērnu pornogrāfiju ļoti plaši ietekmē to dokumentu konfidencialitāti, ko mēs tiem uzticam.

To nesen uz sava rēķina atklāja kāds Parīzes advokāts, kad krimināllietas kontekstā Google diskā saglabāja ārkārtīgi sensitīvu konfidenciālu informāciju.

Parīzes Apelācijas tiesas 24. janvāra lēmums atgādina juristiem, kā arī jebkuram speciālistam, kas strādā ar sensitīviem datiem, ka datu konfidencialitāte netiek garantēta mitināšanas pakalpojumos, piemēram, Google Drive.

Patiešām, Google, tāpat kā jebkurš cits uzņēmums, uz kuru attiecas ASV tiesību akti, cīņas pret bērnu seksuālu izmantošanu kontekstā var dzēst mitināšanas kontu vai e-pasta kontu, ja rodas aizdomas par datu nelegālu izmantošanu.

Šajā konkrētajā gadījumā advokātam, kurš bija saglabājis vairākus desmitus bērnu pornogrāfijas attēlu pakalpojumā Google Drive, kas tika apstrādāti krimināllietas likumīgā kontekstā, tika dzēsts gan Drive, gan Gmail konts.

Par viņu tika ziņots arī NCMEC (Nacionālajam pazudušo un izmantoto bērnu centram).

Saskaroties ar advokātu, kurš pieprasīja no Google atgūt savus datus, kā arī atlīdzināt zaudējumus, tiesa apstiprināja, ka failu glabāšana, pat profesionālā kontekstā, neattaisno to glabāšanu un ka konta apturēšana un ziņojums bija likumīgi saskaņā ar juridiskajiem pienākumiem, kas attiecas uz mitināšanas pakalpojumu sniedzēju.

Ir vērts atcerēties, ka noteikšanas algoritmi, kas pastāvīgi skenē saglabātos failus un e-pastus, neatšķir likumīgi glabātus sensitīvus failus no nelegāla satura, kā arī personiskas vai profesionālas darbības.

Konta darbība var tikt apturēta bez iepriekšēja brīdinājuma un bez tiesībām uz tiesisko aizsardzību, kas nozīmē, ka jurists var zaudēt tūlītēju piekļuvi saviem failiem un saziņai pat likumīgas uzņēmējdarbības ietvaros.

Turklāt, joprojām runājot par bērnu pornogrāfiju, amerikāņu mitināšanas pakalpojumu sniedzējiem, kas jau skenē savos serveros glabāto saturu, ir pienākums ziņot par lietotāju Francijas kompetentajam policijas dienestam, proti, OFMIN.

Drošu pakalpojumu izmantošana ir vēl jo svarīgāka, strādājot regulētā profesijā.

Šajā sakarā atcerēsimies ANSSI 2023. gadā publicēto ziņojumu par kiberdraudu stāvokli juridiskajiem birojiem.

Lai gan juristiem parasti ir īpaša un droša sistēma (e-Drive) un adrese (avocat.fr), tāpat kā ārstiem, tas ne vienmēr attiecas uz visām profesijām, īpaši tām, kas nav regulētas.

Mūsdienās Eiropas noteikumi, un jo īpaši Francijas LCEN (2004. gada 21. jūnija likums par uzticēšanos digitālajai ekonomikai), neparedz mitināšanas pakalpojumu sniedzējiem pienākumu sistemātiski skenēt uzglabātos datus, bet gan pienākumu veikt pārbaudi paziņojuma un aizdomu par pārkāpumu gadījumā.

Tomēr tiesiskais regulējums varētu attīstīties Eiropas līmenī, pieņemot turpmāko CSAR regulu, kuras mērķis ir novērst un apkarot bērnu seksuālu izmantošanu.

Lai gan neviens neapstrīd mērķu pamatotību, plāns atļaut sistemātisku privātās saziņas skenēšanu izraisa asas debates.

Pašlaik jebkurā gadījumā ir stingri ieteicams:

• Izmantot profesionāļiem paredzētus mākoņrisinājumus, kas attiecīgā gadījumā ir izstrādāti regulētajām profesijām un garantē profesionālā noslēpuma ievērošanu;
• Stingri nodalīt personīgo un profesionālo lietojumu;
• Lai šifrētu datus no sākuma līdz beigām;
• Izvēlēties suverēnu mitināšanas pakalpojumu sniedzēju, kas atrodas Francijā vai vismaz Eiropā.

 

10. un 11. februārī Francija uzņems Mākslīgā intelekta (MI) rīcības samits, kas Lielajā pilī pulcēs valstu un valdību vadītājus, starptautisku organizāciju vadītājus, mazo un lielo uzņēmumu vadītājus, akadēmisko aprindu pārstāvjus, nevalstisko organizāciju pārstāvjus, māksliniekus un pilsoniskās sabiedrības locekļus.

CNIL publicē savu stratēģisko plānu 2025.–2028. gadamPēdējais sastāv no četrām galvenajām asīm:

• Mākslīgais intelekts,
• Nepilngadīgo tiesības,
• Kiberdrošība
• Ikdienas digitālā lietošana.

Tajā galvenā uzmanība tiks pievērsta diviem no šiem lietojumiem: mobilajām lietotnēm un digitālajai identitātei.

Šī gada sākumā CNIL publicē arī vairākas vadlīnijas datu pārziņiem.

Viņa publicēja savu galīgo versiju 31. janvārī. Rokasgrāmata par ietekmes novērtējumiem datu pārsūtīšanai ārpus Eiropas Savienības.

23. janvāra ierakstā viņa atgādina mums par pārbaudes, kas jāveic, izmantojot internetā brīvi pieejamas datubāzes vai ko nodrošina trešā puse.

Tajā ir arī reaģēts uz liela mēroga datu pārkāpumiem, kas 2024. gadā skāra miljoniem cilvēku, un ierosināti pasākumi drošības stiprināšanai, lai novērstu uzbrukumu riskus.

Tie attiecas uz uzņēmuma iekšējām procedūrām, kā arī piesardzības pasākumiem, kas jāveic apakšuzņēmuma līgumu slēgšanas gadījumā.

Viņa joprojām viņu atceras ieteikumi par SDK (programmatūras izstrādes komplektu) integrēšanu mobilajās lietojumprogrammāsun norāda, ka veiks pārbaudes, lai nodrošinātu to atbilstību GDPR.

Viņa to beidzot publicēja 20. janvārī. pārskatīt savu kontroli saistībā ar koordinētu Eiropas rīcību attiecībā uz piekļuves tiesību ievērošanu, un norāda, ka datu pārziņu īstenotie pasākumi dažkārt ir nepietiekami: piemēram, kad personas izmanto savas tiesības piekļūt visiem saviem datiem, dažas organizācijas sniedz tikai daļēju vai nepilnīgu atbildi.

Patērētāju asociācija UFC-Que Choisir zaudēja tiesas prāvu pret Google.

2019. gada jūnijā viņa iesniedza kolektīvu prasību pret uzņēmumu, nosodot praksi, kas ir pretrunā ar GDPR: uzmācīgu ģeolokāciju, kustību izsekošanu bez piekrišanas, nevēlamu mērķtiecīgu reklāmu.

Grupas prasība bija balstīta uz CNIL lēmumu, ar kuru Google tika uzlikts rekordliels sods 50 miljonu eiro apmērā.

Asociācija pieprasīja 1000 eiro par katru skarto lietotāju, kopā 27 miljardus eiro.

Parīzes tiesa noraidīja lūgumu, atsaucoties uz pietiekamu pierādījumu trūkumu, un piesprieda asociācijai samaksāt Google 10 000 eiro par juridiskajiem izdevumiem.

 

Eiropas iestādes un struktūras

16. janvārī Eiropas Datu aizsardzības kolēģija ir pieņēmusi vadlīnijas par pseidonimizāciju.

Tajos ir precizēta pseidonimizācijas definīcija un piemērošanas nosacījumi, kā arī tās priekšrocības.

Viņi sniedz arī vairākus piemērus.

Lai gan pseidonimizācija neatbrīvo datus no GDPR piemērošanas, tā tomēr samazina ar apstrādi saistītos riskus (piemēram, izspiedējvīrusu gadījumā).

Vadlīnijas ir atvērtas komentāriem līdz 28. februārim.

Trešdien, 29. janvārī, Eiropas Savienības Vispārējā tiesa (GC) lēma par labu Eiropas Datu aizsardzības kolēģijai (EDPB) strīdā ar Īrijas Datu aizsardzības iestādi (DPA).

Komitejas lēmumā, ko apstrīdēja Īrija, tika lūgts Datu aizsardzības iestādei paplašināt izmeklēšanu par Meta GDPR pārkāpumiem.

Tiesa norāda, "ka izmeklēšanas paplašināšana, ko obligāti pieprasa vismaz puse uzraudzības iestāžu (...), pretēji pieteikuma iesniedzēja apgalvojumiem nav paredzēta, lai sarežģītu sūdzības iesniedzēja vai pārziņa, uz kuru tā attiecas, uzdevumu, bet gan ir pasākums, lai aizstāvētu viņu attiecīgās tiesības" (§56).

Savā lēmumā lietā T-354/22 Eiropas Savienības Vispārējā tiesa nosodīja Eiropas Komisiju par GDPR pārkāpumu saistībā ar tiešsaistes reģistrāciju pasākumam, ko tā organizēja.

Izmantojot sākumlapā redzamo hipersaiti “Sazināties ar Facebook”, Komisija “radīja apstākļus, kas ļāva nosūtīt pieteikuma iesniedzēja IP adresi uz Facebook” un līdz ar to uz Amerikas Savienotajām Valstīm.

Tobrīd Privātuma vairogs bija atzīts par spēkā neesošu, un tāpēc pārsūtīšana tika uzskatīta par pretēju Regulas 2018/1725 46. pantam.

Tiesa lēma, ka "pieteikuma iesniedzēja norādītais morālais kaitējums ir jāuzskata par reālu un noteiktu", jo datu pārsūtīšana "nostādītu pieteikuma iesniedzēju nedrošā situācijā attiecībā uz viņa personas datu, jo īpaši viņa IP adreses, apstrādi".

Šim lēmumam varētu būt sekas, ja "Datu privātuma regulējums" tiktu atzīts par spēkā neesošu, jo tas atzīst, ka vienkārša interneta lietotāja savienošana ar ASV pakalpojumu ir personas datu pārsūtīšana uz Amerikas Savienotajām Valstīm.

Eiropas Savienības Tiesa (EST) 2025. gada 9. janvāra spriedumā lietā “Mousse” (C-394/23) uzskata, ka nav nepieciešams jautāt vilciena biļešu pircējiem, vai viņus vajadzētu saukt par “kungs” vai “kundze”.

Tiesa atgādina, ka “lai personas datu apstrādi varētu uzskatīt par nepieciešamu līguma izpildei šī noteikuma izpratnē, tai ir jābūt objektīvi nepieciešamai, lai sasniegtu mērķi, kas ir neatņemama līgumiskā pakalpojuma sastāvdaļa, kas paredzēts attiecīgajai personai”.

Šajā gadījumā Tiesa norāda, ka, šķiet, pastāv praktisks un mazāk uzbāzīgs risinājums: attiecīgais uzņēmums varētu izvēlēties saziņu, kuras pamatā ir vispārīgas, iekļaujošas pieklājības formulas, kas nav saistītas ar pieņemto dzimumidentitāti.

EST 9. janvāra spriedumā arī precizēja kritērijus "pārmērīgu" pieprasījumu definēšanai GDPR 57. panta 4. punkta izpratnē, uzsverot, ka svarīgs nav tikai datu subjekta iesniegto pieprasījumu skaits, bet gan ļaunprātīgs nolūks, kas slēpjas aiz šiem pieprasījumiem.

Šis lēmums attiecas uz APD, taču tā pamatojums ir interesants datu pārziņiem.

EST uzskata, ka uzraudzības iestādēm ir pierādīšanas pienākums un tām ir jāpierāda pieprasījuma iesniedzēja ļaunprātīgais nodoms.

EST 2024. gada 19. decembra spriedumā (lieta C-65/23) ir precizēts, ka, lai gan uzņēmumu līgumi var būt īpašs juridiskais pamats, darba devējiem ir jānodrošina, lai šāda veida līgumi atbilstu GDPR.

Šajā konkrētajā gadījumā Vācijas uzņēmums un tā darba padome bija noslēguši līgumus par darbinieku datu apstrādi.

Strīds bija par jaunas mākoņdatošanas programmatūras izmantošanu, ar kuras palīdzību personas dati tika pārsūtīti uz serveriem Amerikas Savienotajās Valstīs.

EKT uzsver, ka valstu tiesām ir jāpārbauda atbilstība visiem GDPR principiem, pat ja datu apstrāde notiek, pamatojoties uz koplīgumu.

 

Ziņas no Eiropas Savienības dalībvalstīm.

Beļģijā Beļģijas Datu aizsardzības iestāde (APD) 7. janvārī izteica rājienu darba devējam par nelikumīgu izskatīšanu saistībā ar viena no tā darbiniekiem veiktu nepilngadīgā uzbrukumu.

Darba devēja drošības vadītājs bija lūdzis Francijas Nacionālajai drošības iestādei pagarināt viena no tās darbiniekiem drošības pielaidi, taču Iestāde ar pamatotu lēmumu noraidīja šo lūgumu, kas tika nosūtīts vadībai un darbiniekam.

Tomēr vadība šo informāciju nodeva personas tiešajam vadītājam, kurš pret viņu uzsāka disciplinārlietu.

APD norāda uz vairākiem pārkāpumiem, tostarp juridiskā pamata trūkumu, datu nosūtīšanu bez saderīga mērķa, sensitīvu datu nelikumīgu apstrādi un pārredzamības trūkumu attiecībā pret attiecīgo personu.

Dānijā APD pieņēma FC Copenhagen lūgumu izmantot sejas atpazīšanas tehnoloģiju futbola spēļu laikā saskaņā ar valsts tiesību aktiem, pamatojoties uz to, ka paredzētā diskvalifikācijas piemērošana rada būtiskas sabiedrības intereses.

Atļaujas nav izsniegtas citiem pasākumiem, izņemot futbola spēles.

Dānijas asociācija "Danes je nov dan" ir laidusi klajā rīku, kas paredzēts, lai pārbaudītu lietotāju spēju identificēt mākslīgā intelekta ģenerētu saturu, vienlaikus informējot viņus par riskiem, kas saistīti ar tā ļaunprātīgu izmantošanu.

Rīks, kas tiek pasniegts interaktīvas viktorīnas veidā, aptver dažādas jomas, piemēram, sintētisku attēlu, tekstu un video atpazīšanu.

Atšķirībā no Dānijas iestādes, Spānijas Datu aizsardzības aģentūra (APD) uzskatīja, ka papildu sejas atpazīšanas sistēmas ieviešana, ko izmanto, lai pārvaldītu piekļuvi futbola stadionam, pārkāpj datu minimizēšanas principu, jo pastāv mazāk invazīvas alternatīvas, un, pamatojoties uz to, atbildīgajām personām piesprieda 200 000 eiro lielu naudas sodu.

Spānijas Datu aizsardzības iestāde (APD) arī piesprieda operatoram CI Postal 200 000 eiro sodu par to, ka laikā no 2022. gada septembra līdz oktobrim tas publiskās vietās atstāja aptuveni 8000 vēstuļu, ko tam bija uzticējuši vairāki uzņēmumi.

APD norāda uz GDPR 5. panta 1. punkta f) apakšpunkta un 32. panta pārkāpumu attiecībā uz konfidencialitāti un drošību un norāda uz pasta izsekojamības sistēmas trūkumu un nepietiekamu darbinieku apmācību par datu aizsardzības noteikumiem.

Tā arī piesprieda Generali España 4 000 000 eiro sodu pēc tam, kad tika konstatēti būtiski trūkumi uzņēmuma pieejā datu drošībai., kas ļāva neatļautai trešajai personai piekļūt vairāk nekā 25 000 bijušo klientu datiem.

Igaunijas Datu aizsardzības iestāde (APD) ir piespriedusi uzņēmumam Asper Biogene 85 000 eiro (10 % no apgrozījuma) sodu par nespēju pienācīgi aizsargāt sensitīvus datus izspiedējvīrusa uzbrukuma laikā..

Uzņēmums veic ģenētiskos testus, piemēram, paternitātes testus un iedzimtu slimību skrīningus.

Hakeri spēja lejupielādēt vairāk nekā 33 GB PDF failu, kas nebija ne anonimizēti, ne pseidonimizēti un attiecas uz aptuveni 100 000 igauņu.

Grieķijā Datu aizsardzības iestāde (DPA) uzlika 50 000 eiro sodu Klimata krīzes un civilās aizsardzības ministrijai par datu aizsardzības speciālista (DPO) neiecelšanu., tādējādi cita starpā pārkāpjot GDPR 37. pantu.

Ķīniešu jaunuzņēmums Deepseek janvāra beigās palaida tērzēšanas robotu, kas ir līdzīgs OpenAI ChatGPT un Microsoft Co-Pilot.

Papildus amerikāņu gigantu apsūdzībām, ka Deepseek izmantoja viņu pašu sistēmu ģenerētus datus, ķīniešu tērzēšanas robots jau ir piesaistījis Itālijas Datu aizsardzības iestādes (APD) uzmanību: 30. janvārī APD bloķēja tērzēšanas robotu Itālijā un uzsāka izmeklēšanu pēc tam, kad saņēma no Deepseek atbildes, kas tika uzskatītas par pilnīgi nepietiekamām uz tās jautājumiem.

Arī Īrijas, Beļģijas un Francijas APD norādīja, ka ir ķērušās pie šī jautājuma izskatīšanas.

Lēmumi par "tumšajiem rakstiem" sīkdatnēs vairojas.ent: Zviedrijā APD izteica aizrādījumu azartspēļu uzņēmumam par tā sīkfailu reklāmkaroga slikto dizainu.

Piekrišanas opcijas grafiskais izcelšana un papildu darbības, kas nepieciešamas sīkfailu atteikšanai, padarīja piekrišanu par spēkā neesošu saskaņā ar GDPR 6. pantu.

APD arī izdeva trīs lēmumus par rājieniem uzņēmumiem, kas laika posmā no dažiem mēnešiem līdz vairākiem gadiem bija integrējuši Meta auditorijas mērīšanas pakalpojumu (Meta Pixel) savās tīmekļa lapās.

Šīs integrācijas rezultātā trafika lietotājiem tika nemanāmi novirzīta uz Meta.

 

Apvienotās Karalistes Datu aizsardzības iestāde (DPA) 23. janvārī preses relīzē paziņoja, ka tā risina sīkfailu atbilstības jautājumu 1000 lielākajās tīmekļa vietnēs Apvienotajā Karalistē.

ICO publicē arī “stratēģiju”, lai nodrošinātu, ka tiešsaistes izsekošana sniedz cilvēkiem “skaidru izvēli un pārliecību par to, kā tiek izmantota viņu informācija”, un jaunas vadlīnijas par “piekrišanas vai samaksas” modeļiem.

Amerikas Savienotajās Valstīs 27. janvārī tika atlaisti trīs Privātuma un pilsonisko brīvību uzraudzības padomes (PCLOB) demokrātu locekļi, kas ir padome, kuras uzdevums ir pārskatīt valsts drošības uzraudzības programmas no privātuma viedokļa, jo viņi atteicās atkāpties no amata, kā to pieprasīja Baltais nams.

PCLOB Eiropas un Amerikas Savienoto Valstu "Datu privātuma regulējuma" kontekstā tika uzskatīta par būtisku līdzekli indivīdu tiesību ievērošanai masveida novērošanas jautājumos.

Šī pasākuma ietekme uz transatlantiskā nolīguma dzīvotspēju līdz šim joprojām nav zināma.

Pēc bijušā prezidenta Džo Baidena mākslīgā intelekta izpildrīkojuma atsaukšanas Donalds Tramps parakstīja jaunu, kas "atceļ noteiktas esošās mākslīgā intelekta politikas un vadlīnijas, kas ir šķēršļi Amerikas inovācijām mākslīgā intelekta jomā, paverot ceļu Amerikas Savienotajām Valstīm rīkoties izlēmīgi, lai saglabātu savu pozīciju kā pasaules līderi mākslīgā intelekta jomā".

23. janvārī OpenAI atklāja savu "Operatora" aģentu, kas aprakstīts kā "aģents, kas var doties tīmeklī, lai veiktu uzdevumus jūsu vietā".

Lai gan ģeneratīvās mākslīgā intelekta lietojumprogrammas var, piemēram, atbildēt uz jautājumiem, apkopot tekstus un izveidot sintētiskus attēlus un video, aģentūru mākslīgā intelekta lietojumprogrammas var veikt sarežģītākus uzdevumus, ne tikai izveidojot, bet arī ieviešot saturu.

Tādējādi operators ir izstrādāts, lai automatizētu tādus uzdevumus kā brīvdienu plānošana, veidlapu aizpildīšana vai pārtikas preču pasūtīšana.

Tas ir apmācīts mijiedarboties ar tīmekļa parastajām pogām, izvēlnēm un teksta laukiem, kā arī var uzdot papildu jautājumus, lai vēl vairāk personalizētu šos uzdevumus.

Atvērtā mākslīgā intelekta tehnoloģija precizē, ka lietotāji jebkurā laikā var pārņemt ekrāna kontroli.