Juridiskā uzraudzība Nr. 80 — 2025. gada februāris. 

Datu pārsūtīšana uz Amerikas Savienotajām Valstīm: vājināts tiesiskais regulējums.

5. februārī 19 Eiropas Parlamenta deputāti no visām politiskajām aprindām lūdza Eiropas Komisiju izpētīt, vai "Datu aizsardzības regulējums" (DPF), kas regulē transatlantisko datu pārsūtīšanu, joprojām ir dzīvotspējīgs.

6. februārī Pilsoņu brīvību, tieslietu un iekšlietu komitejas priekšsēdētājs viņam uzdeva līdzīgu jautājumu.

Šos jautājumus radīja Donalda Trampa lēmums izbeigt trīs Demokrātu partijas locekļu pilnvaru termiņus. Privātuma un pilsonisko brīvību uzraudzības padome (PCLOB), kurai vairs nav nepieciešamā kvoruma, lai darbotos.

Transatlantiskā nolīguma kontekstā PCLOB tika uzskatīta par būtisku līdzekli indivīda tiesību ievērošanai masveida novērošanas jautājumos.

Kopš tā laika Amerikas garantijas attiecībā uz datu aizsardzību šķiet arvien trauslākas.

Saskaņā ar rakstu, ko 3. martā publicējis Euractiv, no tīmekļa vietnē esošā tiesnešu saraksta ir pazudis viens no PCLOB apelācijas iestādes — Datu aizsardzības pārskatīšanas tiesas — tiesnešiem, un no amata atkāpies īpašais advokāts.

Turklāt, "ja Donalds Tramps neatlaida ģenerālinspektorus, kas bija atbildīgi par izlūkdienestu uzraudzību, viņš atlaida vismaz 17 citus", un ziņots, ka tika atlaisti arī "Personāla vadības biroja" privātuma aizsardzības nodaļas locekļi.

Visbeidzot, "Projekts 2025", ar Trampa administrāciju saistīta politiskā programma, uzskata, ka jaunajam prezidentam vajadzētu veikt "Baidena" izpildrīkojuma attiecībā uz DPF izpēti un "atiestatīt Eiropas cerības".

Šajā projektā ir paredzēts arī apturēt noteikumus, kas nepamatoti kavē informācijas vākšanu.

Ir vērts atcerēties, ka neatkarīgu kontroles un tiesību aizsardzības mehānismu trūkums attiecībā uz Amerikas izlūkdienestiem bija iemesls iepriekšējā nolīguma, Privātuma vairoga, atcelšanai. 

Šie dažādie faktori neveicina transatlantiskā nolīguma dzīvotspēju. Neatbildēts jautājums ir, kad situācija tiks oficiāli noskaidrota.

Eiropas Komisija pagaidām klusē, bet sagaidāms, ka atbildēs uz parlamenta jautājumiem līdz mēneša beigām.

Eiropas Savienības Tiesa, kas jau ir izskatījusi šo lietu, varētu pieņemt lēmumu saskaņā ar diviem iepriekšējiem lēmumiem, kas attiecīgi atzina par spēkā neesošiem "drošības zonas principus" un "privātuma vairogu", taču šī lēmuma datums joprojām nav zināms.

Kā ar datu aizsardzības iestādēm?

Norvēģijas Datu aizsardzības iestāde (Datatilsynet) 26. februārī sniedza paziņojumu par šo jautājumu. Tā atkārtoti uzsvēra, ka Eiropas Komisijas lēmums par atbilstību, kas apstiprina transatlantisko tirdzniecības nolīgumu, paliek spēkā, līdz to potenciāli atceļ Eiropas Komisija vai Eiropas Savienības Tiesa (EST).

Datu aizsardzības iestādēm (DAI) ir saistoši šie lēmumi, un tās nevar aizliegt pārsūtīšanu, kas notiek saskaņā ar lēmumu par atbilstību.

Ņemot vērā pašreizējo kontekstu, Tomēr APD iesaka datu pārziņiem izstrādāt izejas stratēģiju gadījumam, ja pašreizējais regulējums tiek atzīts par spēkā neesošu. jo izmaiņas varētu notikt bez pārejas perioda.

Pirmais ieteikums datu pārziņiem mūsdienās ir izveidot visaptverošu visu viņu uzņēmuma veikto datu pārsūtīšanu uzskaiti.

Uzdevums ir grūts, jo Amerikas Savienotās Valstis tagad ir visuresošas mūsu digitālajā pasaulē, un, tāpat kā kungs Žurdēns, mēs katru dienu pārsūtām datus, to nezinot.

Būs jāņem vērā skaidri identificētie saņēmēji Amerikas Savienotajās Valstīs, bet arī, piemēram, amerikāņu "mākoņpakalpojumu" izmantošana Eiropas teritorijā un vairāki attēlošanas vai savienojuma pakalpojumi, piemēram, Google fonti, analītika vai kartes, vai pat Facebook: Eiropas Savienības Tiesa savā lēmumā lietā T-354/22 nosodīja Eiropas Komisiju par GDPR pārkāpumu saistībā ar tiešsaistes reģistrāciju pasākumam, ko tā organizēja.

Izmantojot sākumlapā redzamo hipersaiti “Sazināties ar Facebook”, tā bija “radījusi apstākļus, kas ļāva pārsūtīt pieteikuma iesniedzēja IP adresi uz Facebook” un līdz ar to uz Amerikas Savienotajām Valstīm laikā, kad Privātuma vairogs bija atzīts par spēkā neesošu.

Ja pastāv Eiropas alternatīvas, tās varētu būt interesants risinājums.Mēs, piemēram, runājam par Eiropas mākoni vai sertificēto Francijas mākoni.

Attiecībā uz izsekotājiem CNIL ir publicējis anonīmu auditorijas mērīšanas rīku sarakstu.

Gadījumos, kad pārsūtīšana joprojām ir būtiska, eksportētājam būs jāpaļaujas uz tādiem rīkiem kā standarta līguma klauzulas vai saistoši uzņēmuma noteikumi un jāveic ietekmes analīze, precīzi dokumentējot datu pārtveršanas riskus pāri Atlantijas okeānam no iestāžu puses un nodrošinātos drošības pasākumus, kas ir īpaši sarežģīts uzdevums.

31. janvārī CNIL publicēja savas vadlīnijas par ietekmes novērtējumiem datu pārsūtīšanai ārpus Eiropas Savienības galīgo versiju.

Tāpat kā tās Norvēģijas kolēģis, visticamāk, tā publicēs ieteikumus saistībā ar gaidāmajām starptautiskajām norisēm.

 

  

Likuma par narkotiku tirdzniecību priekšlikumā tikko ir ieviests grozījums, kura mērķis ir piespiest platformas īstenot pasākumus, kas ļauj tiesībaizsardzības iestādēm piekļūt datiem, jo īpaši šifrētu ziņojumapmaiņas pakalpojumu datiem.

Komentāros, kas adresēti valdībai un parlamentāriešiem, vairāki uzņēmumi, tostarp Apple, Amazon, Google un Microsoft, iebilda pret šo grozījumu, atsaucoties uz Eiropas Datu aizsardzības kolēģijas (EDPB) un Eiropas Datu aizsardzības uzraudzītāja (EDAU) nostājām pret pilnīgas šifrēšanas vājināšanu.

Priekšlikums tiks izskatīts plenārsesijā, kas sāksies 17. martā.

Šīs norises atspoguļo līdzīgas valdības iniciatīvas vairākās Eiropas valstīs, kā arī Amerikas Savienotajās Valstīs (sk. tālāk sadaļu “Nākotnes norises valstī”).

CNIL atgādināja Qwant meklētājprogrammai par tās saistībām saskaņā ar GDPR attiecībā uz datu anonimizāciju.

Dati, ko uzņēmums izmantoja saistībā ar reklāmas vietas pārdošanu meklētājprogrammā, ko pārvalda MICROSOFT, Qwant tika pasniegti kā anonīmi. 

CNIL norāda, ka "neskatoties uz stingrajiem piesardzības pasākumiem, kas veikti 2019. gadā, lai izvairītos no personu atkārtotas identificēšanas, nosūtītais datu kopums noveda pie GDPR un jo īpaši tās 12. un 13. panta piemērošanas".

Komisija uzskata, ka šī ir sākotnējā analīzes kļūda attiecībā uz nosūtīto datu klasifikāciju, kas nav saistīta ar nolūku apiet GDPR noteikumus, un tāpēc nepiemēro sankcijas.

Komisija arī sodīja nekustamā īpašuma aģentūru ar 40 000 eiro sodu par savu darbinieku pārmērīgu uzraudzību, izmantojot programmatūru (Time Doctor), kas reģistrēja... iespējamiem neaktivitātes periodiem un regulāri uzņēma sava datora ekrānuzņēmumus.

Turklāt darbinieki tika pastāvīgi reģistrēti.

CNIL jo īpaši kritizē atbildīgo personu par ietekmes novērtējuma trūkumu, juridiskā pamata trūkumu apstrādei un datu minimizēšanas principa neievērošanu.

Tā ir arī publicējusi atjauninātas datu aizsardzības tabulas un 2024. gada kopsavilkuma piezīmju grāmatiņas, kurās koncentrēti svarīgākie jaunie lēmumi, kā arī valstu un Eiropas judikatūras būtība datu aizsardzības jomā.

 

Eiropas iestādes un struktūras

Pēc 2024. gada 3. oktobrī publicētā digitālā taisnīguma atbilstības pārbaudes ziņojuma Eiropas Komisija apsver iespēju izstrādāt digitālā taisnīguma regulu (“Digitālā taisnīguma akts”), lai risinātu patērētāju aizsardzības jautājumus tiešsaistes vidē, piemēram, abonementu automātisku izbeigšanu vai atjaunošanu un bezmaksas izmēģinājumu pārveidošanu par maksas abonementiem.

Tiek ziņots, ka tiek gatavota sabiedriskā apspriešana un provizoriska ietekmes analīze.

Komisija beidzot ir nolēmusi atsaukt savu priekšlikumu ePrivātuma regulai, kuras mērķis bija modernizēt un precizēt pašreizējās direktīvas pienākumus, vienlaikus saskaņojot tos ar GDPR principiem.

Teksts izraisīja strīdus, jo īpaši attiecībā uz saziņas konfidencialitātes principu izņēmumu darbības jomu.

Ir iesniegti jauni likumdošanas priekšlikumi, kuru mērķis ir risināt privātuma jautājumus, vienlaikus nodalot komerciālo uzraudzību no valsts uzraudzības.

Atsaukto likumdošanas priekšlikumu sarakstā ir arī Mākslīgā intelekta atbildības direktīva, kuras mērķis bija atjaunināt ES produktu drošības noteikumus, lai aptvertu mākslīgo intelektu un automatizāciju.

Atsaucoties uz pagājušā gada februāra Parīzes mākslīgā intelekta samita secinājumiem, Eiropas Komisijas 2025. gada darba programmā uzsvars tiek likts uz konkurētspēju, un tās skaidrais mērķis ir veicināt ekonomikas izaugsmi, atbalstot inovācijas.

2. februārī stājās spēkā pirmie mākslīgā intelekta regulas noteikumi, tostarp 5. pants, kas attiecas uz aizliegtām mākslīgā intelekta praksēm.

Divas dienas vēlāk Eiropas Komisija publicēja vadlīnijas, kurās izklāstītas mākslīgā intelekta prakses, kas tiek uzskatītas par nepieņemamām to radīto risku dēļ Eiropas vērtībām un pamattiesībām.

Vairākas datu aizsardzības iestādes (DAI), kas piedalījās mākslīgā intelekta samitā, pēc apaļā galda diskusijas "par uzticamu datu pārvaldības sistēmu izveidi, lai veicinātu inovatīva un privātumu aizsargājoša mākslīgā intelekta attīstību", publicēja kopīgu paziņojumu, uzsverot nepieciešamību integrēt privātuma principus jau no mākslīgā intelekta sistēmu izstrādes posma un ieviest stabilas iekšējās datu pārvaldības sistēmas.

Vienlaikus EDAK 12. februārī paziņoja, ka paplašina savas ChatGPT darba grupas darbības jomu, iekļaujot tajā mākslīgā intelekta pielietošanu, un izveido "ātrās reaģēšanas komandu, lai koordinētu datu aizsardzības iestāžu darbības" attiecībā uz steidzamiem, jutīgiem jautājumiem, kas saistīti ar mākslīgo intelektu.

EDAK marta sākumā paziņoja par koordinētas kontroles darbības uzsākšanu 2025. gadam attiecībā uz tiesībām uz dzēšanu.

Šī darbība seko koordinētām darbībām attiecībā uz mākoņdatošanas izmantošanu publiskajā sektorā (2022. gadā), datu aizsardzības speciālistu iecelšanu un lomu (2023. gadā) un piekļuves tiesībām (2024. gadā).

Eiropas Parlamenta Izpētes dienests 26. februārī publicēja informatīvu piezīmi par spriedzi starp algoritmiskās diskriminācijas novēršanu un īpašu datu kategoriju apstrādi.

Dokumentā ir norādītas neskaidrības attiecībā uz mākslīgā intelekta regulas un GDPR kopīgu piemērošanu, kam varētu būt nepieciešama likumdošanas reforma vai papildu norādījumi.

27. februārī EST pieņēma svarīgu nolēmumu par to personu tiesību apjomu, kuras skar automatizēts lēmums.

Lietā C-203/22 Dun & Bradstreet Austria Tiesa precizē, ka VDAR 15. panta 1. punkta h) apakšpunkts “datu subjektam piešķir patiesas tiesības uz skaidrojumu par automatizēta lēmumu pieņemšanas procesa, kuram šī persona ir pakļauta, pamatā esošā mehānisma darbību un par rezultātu, pie kura šis lēmums ir novedis” (57. punkts).

Aizsargātu trešo personu dati vai komercnoslēpumi neatbrīvo pārzini no konkrētu paskaidrojumu sniegšanas: pēdējam ir "pienākums paziņot šo it kā aizsargāto informāciju kompetentajai uzraudzības iestādei vai tiesai, kas ir atbildīga par iesaistīto tiesību un interešu izvērtēšanu, lai noteiktu datu subjekta piekļuves tiesību apjomu, kas paredzēts VDAR 15. pantā" (67. punkts).

EST 13. februārī arī atzina, ka uzraudzības iestādēm un tiesām, nosakot naudas sodu apmēru, jāņem vērā fakts, ka datu pārzinis ir uzņēmuma daļa Līguma par Eiropas Savienības darbību (LESD) 101. un 102. panta izpratnē.

Turklāt tiem maksimālā naudas sodu summa jānosaka, pamatojoties uz uzņēmuma apgrozījumu, nevis datu pārziņa apgrozījumu.

ES Tiesas ģenerāladvokāts 6. februārī dalījās ar saviem secinājumiem lietā EDPS pret VNV (C-413/23 P).

Lieta ir par to, vai pseidonimizēti dati, ko ES aģentūra — Vienotā noregulējuma valde — nosūtījusi savam konsultāciju uzņēmumam Deloitte, no Deloitte viedokļa ir personas dati.

Ģenerālā asambleja koncentrējas uz saprātīgiem līdzekļiem, kas saņēmējam ir pieejami attiecīgo personu identificēšanai, pieņemot ievērojami šaurāku personas datu jēdziena interpretāciju nekā EDAU un EDAK. Galīgais lēmums ir gaidāms pirms vasaras.

 

Ziņas no Eiropas Savienības dalībvalstīm.

Vācijas tiesas lēmums (OLG Dresden/Vācija (Az.: 4 U 940/24) apstiprina, ka datu pārziņi ir atbildīgi ne tikai par savu rīcību, bet arī par savu apakšuzņēmēju rīcību.

Tiesa uzsvēra, ka nepietiek tikai uzticēties apakšuzņēmējam, nepārbaudot, kā šajā gadījumā, ka viņš līguma beigās faktiski ir izdzēsis apakšuzņēmējam nodotos datus.

Nepietiekamas verifikācijas sekas var saglabāties ilgi pēc sākotnējā incidenta, kā tas bija šajā gadījumā pēc uzlaušanas, kas izraisīja datu noplūdi, kam sekoja tiesvedība un datu pārziņa reputācijas bojājums.

Spānijā APD sodīja mobilo sakaru operatoru Orange ar 1,2 miljonu eiro sodu par to, ka tas nenovērsa SIM kartes dublikāta izsniegšanu trešajai personai, kura to izmantoja, lai piekļūtu attiecīgās personas bankas kontam.

APD uzskatīja, ka operators nav īstenojis atbilstošus aizsardzības pasākumus.

Arī Spānijā APD uzlika vairākus naudas sodus kooperatīvo banku grupai Caja Rural par GDPR pārkāpšanu pēc datu noplūdes, ko izraisīja nepietiekami drošības pasākumi un IT sistēmas ievainojamība.

Šajā gadījumā APD uzskatīja katru kooperatīvās grupas bankas locekli par individuāli atbildīgu, lai gan visi izmantoja vienu un to pašu IT pakalpojumu sniedzēju, un noteica sankcijas no 6200 eiro līdz 400 000 eiro atkarībā no klientu skaita un banku reakcijas ātruma.

Grieķijas Datu aizsardzības iestāde (APD) ir pieņēmusi lēmumu, kura mērķis ir atvieglot individuālo tiesību īstenošanu saziņā ar Google.

Viņa lika uzņēmumam noņemt saites, kas meklēšanas rezultātos parādās pēc personas vārda, un lika Google mainīt savu noņemšanas pieprasījumu procedūru, atļaujot pielikumus, sniedzot tiešu kontaktinformāciju un pārtraucot automatizētās atbildes.

Nīderlandē kiberdrošības eksperta (un bijušā civilā izlūkdienesta vadītāja) kopīgots ekrānuzņēmums Bluesky platformā atklāj, ka Google Analytics vāc datus par darba meklētājiem valsts civilajos un militārajos izlūkdienestos.

Šī informācija pamudināja kādu deputātu pieprasīt iekšlietu ministram skaidrojumu.

Polijas Datu aizsardzības iestāde (APD) ir piespriedusi tīmekļa vietnes operatoram 350 000 eiro (1 527 855 PLN) sodu un tā apakšuzņēmējam 4590 eiro (20 037 PLN) sodu par datu drošības pārkāpumu pēc tam, kad tīmekļa vietnes nepareiza konfigurācija izraisīja datu noplūdi, kas skāra 21 453 cilvēkus.

Rumānijā uzņēmumam Unicredit tika piespriests 15 000 eiro (74 652 leju) sods par diviem datu noplūdēm, kas radušās iekšējo lietojumprogrammu dēļ.

Tie pirms ieviešanas nebija pārbaudīti, un APD paredz sodu par GDPR 25. panta (1) punkta neievērošanu, kas nosaka datu aizsardzību pēc integrācijas ("privātums pēc integrācijas").

Pēc Lielbritānijas valdības rīkojuma uzlauzt iCloud šifrēšanu, Apple tikko ir atsaucis visu savu uzlaboto drošības funkciju no Apvienotās Karalistes.

Rīkojums īpaši attiecās uz 2023. gadā ieviesto funkciju, kas ļauj iCloud lietotājiem izvēlēties pilnīgu visu uzņēmuma mākonī glabāto datu šifrēšanu un nodrošina, ka neviena trešā puse, tostarp Apple, nevar piekļūt datiem.

Uzņēmumam bija izvēle starp šifrēšanas funkcijas noņemšanu vai aizmugurējo durvju izveidi, kas apdraudētu šifrēšanu visiem lietotājiem visā pasaulē, otra iespēja Apple tika izslēgta.

Vienlaikus Zviedrijai ir nepieciešamas arī aizmugures durvis, kas pamudināja Signal brīdināt, ka tas pametīs valsti, ja šāds tiesību akts tiktu pieņemts.

Piebildīsim, ka saskaņā ar Forbes 24. februāra rakstu Amerikas Savienotās Valstis tiecas pēc tā paša mērķa — piekļūt šifrētiem datiem.

 

Dienvidkoreja tikko pieņēma mākslīgā intelekta likumu, kas stāsies spēkā 2026. gada janvārī.

Likums ir saskaņots ar Eiropas regulējumu par mākslīgo intelektu: tas ievieš pienākumus mākslīgā intelekta uzņēmumiem, jo īpaši attiecībā uz augstas ietekmes mākslīgo intelektu un ģeneratīvo mākslīgo intelektu, uzsverot risku pārvaldību, lietotāju aizsardzību un pārredzamību.

IAPP ziņo, ka ASV senatoru grupa, kas darbojas "Senāta Izlūkošanas atlases komitejā", 5. februārī nosūtīja vēstuli Baltajam namam, kurā "pauda bažas par riskiem privātumam un valsts drošībai, ko rada nesen izveidotā Valdības efektivitātes departaments" (DOGE).

Vēstulē apgalvots, ka DOGE rīcība rada risku atklāt klasificētu un citu sensitīvu informāciju, apdraudot valsts drošību un pārkāpjot amerikāņu privātumu.

Pašlaik notiek vairākas tiesas prāvas par nelikumīgu piekļuvi šo aģentūru apstrādātajiem datiem.

Pēdējos gados ir strauji pieaudzis izlūkdienestu pieprasījumu skaits pēc GAFAM rīcībā esošajiem datiem.

Tas izriet no uzņēmuma Proton publicētā pētījuma, kas balstīts uz Apple, Meta un Google pārredzamības ziņojumiem laikposmā no 2014. līdz 2024. gadam.

Kā norāda 01net, šiem uzņēmumiem saskaņā ar ASV likumiem (FISA, Cloud Act) ir jāatbild uz iestāžu pieprasījumiem, kuras vēlas piekļūt telefona ierakstiem, īsziņām, e-pastiem vai mākoņa dublējumkopijām.

“Pieprasījumu skaits par piekļuvi lietotāju datiem (jebkuras tautības), piemēram, e-pastiem vai ziņojumiem, ko ASV varas iestādēm iesnieguši Google, Apple un Meta pēdējo desmit gadu laikā, šiem trim uzņēmumiem (...) vidēji ir pieaudzis par... 600 %.”

Malaizijas likums par personas datu aizsardzību ir pastiprināts, lai ievērojami palielinātu regulatīvās iestādes pilnvaras un stiprinātu indivīdu tiesības.

Tas tiks īstenots trīs posmos 2025. gada pirmajā pusē, proti, 1. janvārī, pēc tam 1. aprīlī un 1. jūnijā.

Vairāku starptautisku plašsaziņas līdzekļu, tostarp Le Monde, France Info un Francijas ziņu programmas 20:00, veiktā "izsekošanas failu" izmeklēšana atklāj izsekošanas apmēru un datu brokeru apstrādāto personas datu detaļas.

Miljoniem lietotāju ģeolokētie personas dati tiek apkopoti apstākļos, kas bieži vien nav īpaši caurspīdīgi: piemēram, spēlējot tiešsaistē viedtālrunī, izmantojot lietojumprogrammu, var tikt pārraidīti tādi dati kā savienojuma laiki, viedtālruņa modelis vai ģeogrāfiskā atrašanās vieta, elementi, kas apkopoti milzīgos failos, ko pārdod tādi brokeri kā American Datastream Group.

Šajā jaunākajā failā ir iekļauti vairāk nekā 47 miljoni cilvēku.

Var tikt ietekmēti ikviena dati, bet arī diplomātu, militārpersonu vai žurnālistu dati.