Juridiskā uzraudzība Nr. 83 — 2025. gada maijs. 

Eiropas datu suverenitāte: tukša cerība?

Microsoft bloķējot Starptautiskās Krimināltiesas (SKT) ģenerālprokurora Karima Kāna e-pasta kontu, rodas būtisks jautājums par Francijas un Eiropas digitālo suverenitāti kopumā, ņemot vērā lielos tehnoloģiju spēlētājus.

Kā ziņo AP, Kāna kunga e-pasta konts tika bloķēts bez brīdinājuma, piespiežot viņu izmantot Šveices interneta pakalpojumu sniedzēja Proton pakalpojumus.

Tā kā tiesa ir ļoti atkarīga no tādiem pakalpojumu sniedzējiem kā Microsoft, tās darbs ir ievērojami palēninājies.

Šis Microsoft lēmums ir tiešas sekas pasākumiem, ko ASV prezidents Donalds Tramps veica pret Hāgas tiesu februārī pēc tam, kad Starptautiskās Krimināltiesas tiesnešu kolēģija izdeva aresta orderus Izraēlas premjerministram Benjaminam Netanjahu un viņa bijušajam aizsardzības ministram Joavam Galantam par kara noziegumiem Gazas joslā.

Prezidenta dekrēts īpaši aizliedz līdzekļu, preču vai pakalpojumu sniegšanu SKT ģenerālprokuroram un jebkādus darījumus, kas apietu šos aizliegumus, pamatojoties uz to, ka SKT darbības rada neparastus un ārkārtējus draudus Amerikas Savienoto Valstu nacionālajai drošībai un ārpolitikai.

Nīderlandes publikācija, kas publicēta 31. maijā, šajā kontekstā norāda, ka, ņemot vērā valsts sektora izmantoto amerikāņu serveru skaitu, "ASV valdība varētu bloķēt vai manipulēt ar vairāk nekā 650 Nīderlandes valdības un kritiski svarīgu uzņēmumu tīmekļa vietnēm ar vienu pieskārienu pogai, tostarp De Nederlandsche Bank un policijas tīmekļa vietnēm, kā arī Ārlietu ministrijas tīmekļa vietni (...). Tāpat kā tīmekļa vietne Crisis.nl, kas ir uzziņu vietne Nīderlandes iedzīvotājiem katastrofas gadījumā".

Vēl viens mūsu tehnoloģiskās atkarības iespējamo seku piemērs ir atrodams nesenā lietā starp OpenAI un ASV tiesu sistēmu: uzņēmums pašlaik cīnās pret lēmumu, kas tam uzliek par pienākumu saglabāt visus ChatGPT lietotāju žurnālus, tostarp dzēstos un sensitīvos tērzēšanas ierakstus, kas ierakstīti, izmantojot tā komerciālo API piedāvājumu.

Lēmums tika pieņemts, preses organizācijām iesniedzot prasības par autortiesībām un apsūdzot OpenAI pierādījumu iznīcināšanā.

Savā atbildē uzņēmums apgalvo, ka tiesa balstās tikai uz New York Times un citu plašsaziņas līdzekļu prasītāju apgalvojumiem un ka tā "bez jebkāda pamatota iemesla liedz OpenAI ievērot savu lietotāju lēmumus par privātumu".

Neieņemot nostāju leģitīmajā autortiesību ievērošanas jautājumā, šī lieta liek mums apšaubīt ārvalstu lielvaru, šajā gadījumā Amerikas Savienoto Valstu, kontroli pār mūsu ikdienas darba rīkiem, sākot no brīža, kad tās vienpersoniski lemj par nacionālo interešu motivāciju, kas attaisno šādu kontroli.

Tas šķiet īpaši satraucoši pasaulē, kur tiesiskums arvien vairāk tiek apdraudēts un kur politiskās alianses svārstās katru dienu.

Šajā drūmajā kontekstā, kurā Eiropai bieži tiek pārmesta atpalicība, ir iepriecinošas ziņas: Drošas datu piekļuves centrs (CASD) maija vidū kļuva par pirmo datu mitināšanas pakalpojumu Eiropā, kas ieguva oficiālu GDPR sertifikāciju, kas izsniegta saskaņā ar GDPR 42. pantu un Europrivacy standartu.

Šo sertifikāciju oficiāli atzīst 30 valstu datu aizsardzības iestādes – visas ES un EEZ dalībvalstis.

CASD jau ir daudz sertifikāciju (ISO 27001, ISO 2770), un tas ir arī veselības datu resursdators (HDS).

Mēs arī zinām, ka Eiropa pašlaik iegulda mākslīgajā intelektā gan finansiāli, gan ar mērķi vienkāršot noteikumus (skatīt ziņas zemāk). IMA (Inovāciju veidotāju alianses) manifests, ko atbalsta tādi dalībnieki kā OVHcloud, Hexatrust un Mistral AI, martā iesniedza arī 33 priekšlikumus, kas vērsti uz mākslīgo intelektu, mākoņdatošanu, kiberdrošību un publisko iepirkumu, lai steidzami atjaunotu līdzsvaru… Vienlaikus Microsoft piedāvāja Eiropas valdībām bezmaksas kiberdrošības programmu.

Eiropas iniciatīvas sasniegs savu pilno potenciālu tikai tad, ja mūsu refleksi attīstīsies gan attiecībā uz stratēģisko izvēli attiecībā uz mākslīgā intelekta rīkiem, mitināšanas pakalpojumiem, gan arī digitālo higiēnu: pirms datu pārsūtīšanas vai glabāšanas ir svarīgi sākotnēji apstrādāt tikai absolūti nepieciešamos datus un gan publiskajā, gan privātajā sektorā ieviest praksi un hartas, kas ierobežo kontroles zaudēšanas risku pār šiem datiem.

 

2025. gada 15. maijā CNIL piesprieda uzņēmumam “Solocal Marketing Services” 900 000 eiro sodu par potenciālo klientu piesaisti bez viņu piekrišanas un viņu datu nosūtīšanu partneriem bez derīga juridiska pamata.

Tajā pašā dienā tā piesprieda uzņēmumam Caloga 80 000 eiro sodu par potenciālo klientu piesaistīšanu bez viņu piekrišanas un viņu datu nosūtīšanu partneriem bez derīga juridiska pamata.

Maija beigās parlamenta deputāts un CNIL biedrs Filips Latombe, uzdodot parlamenta jautājumu ekonomikas, finanšu un rūpniecības un digitālās suverenitātes ministram, iztaujāja daudzu valsts iestāžu izvēli izmantot savstarpējās apdrošināšanas sabiedrību ALAN, lai nodrošinātu saviem darbiniekiem papildu veselības apdrošināšanu.

Viņš norāda, ka "šis franču vienradzis (...) savus datus mitina Amazon Web Services (AWS) un tāpēc uz to attiecas Amerikas tiesību aktu ekstrateritorialitāte".

Deputāts jautā valdībai, vai tā apsver iespēju "lūgt ALAN migrēt uz suverēnu mākoni, lai aizsargātu savu aģentu sensitīvos datus un ievērotu tās izdotās direktīvas".

Valsts padome 5. maijā pieņemtā lēmumā uzdeva Eiropas Savienības Tiesai (EST) prejudiciālu jautājumu par piekrišanas apjomu: lieta attiecas uz uzņēmumu Canal+, kuram CNIL 2023. gada oktobrī noteica sankcijas par interneta pakalpojumu sniedzēju partneru apkopoto datu izmantošanu elektroniskā mārketinga nolūkos, lai gan partneri netika skaidri identificēti, sniedzot piekrišanu.

Valsts padome būtībā jautā EST, vai piekrišana, kas sniegta galvenajam datu pārzinim (piemēram, interneta pakalpojumu sniedzējam) par apstrādi, ko veic "tā partneri", var tikt uzskatīta par pietiekamu, lai atļautu katram no šiem partneriem veikt mārketinga kampaņas, pat ja tie nav identificēti datu vākšanas brīdī.

25. aprīlī Valsts padome (CE) atteicās apturēt CNIL lēmumu, kas pilnvaroja Eiropas Zāļu aģentūru (EMA) veikt datu apstrādi pētījumam par slimību saslimstību un izplatību “DARWIN EU” projekta ietvaros.

Pieteikuma iesniedzējs apgalvoja, ka pasākums bija steidzams, jo ierosinātā apstrāde attiecās uz 10 miljonu Francijas iedzīvotāju veselības datiem, kurus glabātu Microsoft, un tāpēc tie būtu jāpārsūta uz Amerikas Savienotajām Valstīm, kur drošības pasākumi nebūtu pietiekami.

CE uzskata, ka "lai gan nevar pilnībā izslēgt iespēju, ka apstrādātie dati (...) varētu būt pakļauti piekļuves pieprasījumiem no Amerikas Savienoto Valstu iestādēm, izmantojot mitinātāja mātesuzņēmumu, un ka pēdējais, iespējams, nevarēs tam iebilst, šis risks pašreizējā izmeklēšanas posmā joprojām ir hipotētisks".

Otrkārt, papildus tam, ka Microsoft Ireland ir ieguvis "Health Data Hosting" (HDS) sertifikātu (...), projekta īstenošanu nodrošina garantijas un drošības pasākumi, jo īpaši tas, ka dati tiks vairākkārt pseidonimizēti un nebūs tieši identificējami, tāpēc CNIL uzskatīja, ka šis risks ir samazināts līdz līmenim, kas neattaisno pieprasītās atļaujas atteikumu, kuras ilgumu tā arī ierobežoja līdz trim gadiem.

Bordo Apelācijas tiesa 13. maijā anulēja līgumu par tīmekļa vietnes izstrādi personas datu aizsardzības noteikumu pārkāpumu dēļ, jo īpaši attiecībā uz pienākumiem attiecībā uz informāciju un piekrišanu sīkfailu lietošanā.

Kriptovalūtu sektors ir satricināts pēc vairākiem cilvēku nolaupīšanas mēģinājumiem.

Paymium platformas direktors, pret kuru nesen tika vērsts uzbrukums, norāda uz normatīvo aktu izmaiņām, kas paredz kriptovalūtu sektoram piemērot vairākus noteikumus, kuru mērķis ir atcelt anonimitāti un kas jau attiecas uz banku sektoru nelikumīgi iegūtu līdzekļu legalizācijas vai narkotiku tirdzniecības apkarošanas jautājumos.

Tie jo īpaši ir vērsti pret valstu un Eiropas mehānismiem, kas paredzēti, lai padarītu līdzekļus neizsekojamus.

Šīs bažas pauž arī daži kiberdrošības eksperti, kuri apgalvo, ka anonimitāti var izmantot likumīgā kontekstā, taču tās analizē arī citi eksperti, kuri norāda uz visām datu aizsardzības garantijām, kas jau piemērojamas finanšu sektoram.

 

Eiropas iestādes un struktūras

21. maijā Eiropas Komisija publicēja priekšlikumu grozīt GDPR, kura mērķis ir atvieglot MVU pienākumus un paplašināt tos, iekļaujot vidēja lieluma uzņēmumus, kuros strādā mazāk nekā 750 cilvēku.

Vissvarīgākās izmaiņas attiecas uz prasībām attiecībā uz apstrādes darbību reģistru (APA).

Pašreizējais 30. panta (5) punktā noteiktais izņēmums tiktu attiecināts uz visiem šādiem uzņēmumiem.

Šis jaunais izņēmums būtu piemērojams, ja vien apstrāde, visticamāk, neradīs “augstu risku” attiecīgo personu tiesībām un brīvībām (pretstatā pašreizējam “riskam”).

Tekstā tiktu pievienots arī apsvērums, kurā precizēts, ka konkrētu datu kategoriju apstrāde, kas nepieciešama darba un sociālā nodrošinājuma tiesību aktu piemērošanai saskaņā ar 9. panta 2. punkta b) apakšpunktu, pati par sevi nerada pienākumu uzturēt RAT.

Priekšlikumi arī grozītu noteikumus par rīcības kodeksiem (40. pants) un sertifikācijas shēmām (42. pants), lai tos attiecinātu arī uz uzņēmumiem, kuros strādā mazāk nekā 750 cilvēku.

Šie panti pašlaik pieprasa, lai dalībvalstis, datu aizsardzības iestādes (DAI), Komisija un EDAK “veicinātu” tādu kodeksu un sertifikāciju izstrādi, kuros ņemtas vērā MVU “īpašās vajadzības”.

Lai informētu par turpmāko ES datu stratēģiju, Eiropas Komisija sāk apspriešanu par datu izmantošanu mākslīgajā intelektā, datu noteikumu vienkāršošanu un starptautiskajām datu plūsmām.

Mērķis ir nodrošināt augstas kvalitātes, sadarbspējīgu un daudzveidīgu mākslīgajam intelektam nepieciešamo datu kopu izveidi, vienlaikus nodrošinot saskaņotību starp ar datiem saistītajām politikām, infrastruktūrām un juridiskajiem instrumentiem.

Apspriešana notiek līdz 18. jūlijam.

Komisija publicē arī apspriešanu par Digitālo pakalpojumu akta (DPA) vadlīniju projektu, kas atvērta līdz 10. jūnijam.

Tekstā ir iekļautas vadlīnijas par nepilngadīgo aizsardzību tiešsaistē. Komisija plāno publicēt galīgās vadlīnijas šovasar. Tā strādā arī pie vecuma pārbaudes lietotnes.

27. maijā Eiropas Komisija paziņoja, ka ir sākusi izmeklēšanu, lai aizsargātu nepilngadīgos no pornogrāfiska satura saskaņā ar Digitālo pakalpojumu likumu (DPA).

Izmeklēšanā par Pornhub, Stripchat, XNXX un XVideos galvenā uzmanība tiek pievērsta riskiem, kas saistīti ar efektīvu vecuma pārbaudes pasākumu trūkumu.

Paralēli tam dalībvalstis, tiekoties Eiropas Digitālo pakalpojumu padomē, veic koordinētas darbības pret mazām pornogrāfiskām platformām.

Eiropas Datu aizsardzības uzraudzītājs 28. maijā publicēja atzinumu par priekšlikumu regulai, ar ko izveido kopēju sistēmu trešo valstu pilsoņu, kuri nelikumīgi uzturas ES, atgriešanai.

Atzīstot nepieciešamību efektīvāk īstenot spēkā esošos migrācijas un patvēruma tiesību aktus, viņš uzsver, ka "datu aizsardzība — kā pamattiesības, kas nostiprinātas Hartā — ir viena no pēdējām aizsardzības līnijām neaizsargātām personām, piemēram, migrantiem un patvēruma meklētājiem, kas tuvojas ES ārējām robežām".

NVO noyb 14. maijā nosūtīja Meta vēstuli par "pārtraukšanu" kā kvalificēta iestāde saskaņā ar jauno Eiropas kolektīvās tiesiskās aizsardzības direktīvu par Meta mākslīgā intelekta apmācību bez lietotāja piekrišanas.

Vācijā Verbraucherzentrale NRW bija iesniegusi arī pagaidu rīkojumu, ko tiesa maija beigās noraidīja (skatīt zemāk).

 

Ziņas no Eiropas Savienības dalībvalstīm.

Vācijas Federālā datu aizsardzības iestāde (BfDI) ir publicējusi mākslīgā intelekta atbilstības anketu, kas izstrādāta, lai palīdzētu organizācijām validēt savas mākslīgā intelekta iniciatīvas un nodrošināt to atbilstību GDPR.

Ķelnes Reģionālā augstākā tiesa 23. maijā lēma, ka Meta, izmantojot lietotāju profilu datus savas mākslīgā intelekta sistēmas uzlabošanai, nav pārkāpusi GDPR vai Eiropas digitālo tirgu regulu, norādot, ka šis novērtējums atbilst Īrijas Datu aizsardzības komisijas (DPC) novērtējumam, kas ir kompetenta Eiropā attiecībā uz Meta.

TikTok saskaras ar kolektīvu prasību Vācijā. Nīderlandes NVO Stichting Onderzoek Marktinformatie (Somi), kas iesniegusi prasību par zaudējumu atlīdzību Berlīnes tiesā, apgalvo, ka "TikTok vāc un analizē ļoti personiskus un intīmus savu lietotāju datus tādā apmērā, kas krietni pārsniedz nepieciešamo".

Organizācija apgalvo, ka platformas algoritms rada "manipulāciju un atkarības sistēmu", īpaši bērniem. NVO pieprasa zaudējumu atlīdzību līdz pat 2000 eiro apmērā par katru personu.

Beļģijas Datu aizsardzības iestāde (APD) ir veikusi Beļģijas valsts un Amerikas Savienoto Valstu noslēgtā FATCA nolīguma izvērtējumu un ir konstatējusi, ka tas nav saderīgs ar GDPR.

Sūdzības attiecās uz sūdzību iesniedzēju, tostarp Beļģijas "nejaušiem amerikāņiem", personas datu nosūtīšanu Amerikas nodokļu iestādēm.

APD izteica Federālajam valsts dienestam finanšu dienestam aizrādījumu par GDPR pārkāpumiem un konstatēja mērķa ierobežojuma, datu minimizēšanas un datu pārsūtīšanas noteikumu pārkāpumu. 

Šim lēmumam ir sekas, kas sniedzas tālāk par Beļģiju, jo līdzīgus nolīgumus Amerikas Savienotās Valstis ir noslēgušas arī citās Eiropas Savienības valstīs.

Spānijas Datu aizsardzības aģentūra (APD) ir sodījusi Andalūzijas uzņēmumu ar 1200 eiro sodu par to, ka tas lūdza saviem attālināti strādājošajiem darbiniekiem sniegt savu personīgo tālruņa numuru, lai pievienotu viņus uzņēmuma WhatsApp grupai.

Darbinieki teorētiski varēja piekrist vai izvēlēties e-pasta alternatīvu, taču uzņēmums mudināja viņus izmantot WhatsApp, lai nodrošinātu netraucētu saziņu.

APD atkārtoti uzsvēra, ka piekrišana nav derīgs juridiskais pamats darbinieka un darba devēja attiecībās.

Arī Spānijā APD piesprieda uzņēmumam Carrefour 3,2 miljonu eiro sodu par to, ka tas nebija aizsargājis piekļuvi savu klientu kontiem.

Uzņēmums tika notiesāts, lai gan uzlaušanas laikā izmantotie akreditācijas dati netika nozagti tieši no tā, bet gan tāpēc, ka tas nebija izpildījis savu rūpības pienākumu un tā drošības sistēmas neļāva atklāt masveida uzbrukumus no ļoti liela skaita IP adrešu.

Itālijas Datu aizsardzības iestāde (APD) ir sodījusi amerikāņu uzņēmumu Luka Inc, kas nodrošina virtuālo kompanjonu Replika AI, ar 5 miljonu eiro sodu par nelikumīgu personas datu apstrādi, pārredzamības noteikumu pārkāpšanu un efektīvu mehānismu neieviešanu lietotāju vecuma pārbaudei.

Polijas Datu aizsardzības iestāde (APD) ir piespriedusi Polijas digitalizācijas ministram 100 000 PLN (23 448,50 eiro) sodu un Polijas pastam 27 124 816 PLN (6 444 174 eiro) sodu par aptuveni 30 miljonu pilsoņu personas datu nelikumīgu apstrādi, lai atvieglotu balsošanu pa pastu vispārējās vēlēšanās.

 

Austrālijas valdība ir publicējusi standarta klauzulas attiecībā uz mākslīgo intelektu.

Šīs klauzulas attiecas uz mākslīgā intelekta sistēmu iegādes noteikumiem, nodrošinot, ka tās tiek iegādātas un ieviestas atbildīgi, ētiski un droši. To mērķis ir mazināt riskus un veicināt pārredzamību un atbildību mākslīgā intelekta ieviešanā.

5. jūnijā publicētajā Privacy Laws and Business ziņojumā norādīts, ka daudzas Āfrikas valstis pieņem personas datu aizsardzības likumus sociālekonomiskajā vidē, kas pilnībā atšķiras no Eiropas vai Ziemeļamerikas vides.

“Āfrika ir vadošais kontinents mobilo naudas līdzekļu izmantošanā, ar vairāk nekā 1,1 miljardu reģistrētu kontu, kas veido vairāk nekā pusi no kopējā skaita pasaulē. Līdz ar to privātuma politikas prioritātes Āfrikas valstīs neizbēgami atšķiras no tām, kas ir Eiropas valstīs.”

Autorei šis atšķirīgais sociālekonomiskais konteksts nozīmē, ka ES novērtējumos par Kenijas un citu Āfrikas, Āzijas un Latīņamerikas valstu “piemērotību” zināmā mērā būtu jāņem vērā valstu apstākļi.

Amerikas Savienoto Valstu prezidents 19. maijā parakstīja likumprojektu “Take It Down Act” (“Noņemt saturu”), kura mērķis ir bloķēt intīmus attēlus, kas publicēti bez piekrišanas, un kas attiecas arī uz mākslīgā intelekta “dziļviltojumiem”.

“Take It Down” ir akronīms no “Tools to Address Known Exploitation by Immobilizing Technological Deepfakes On Websites and Networks Act” (Likums par rīkiem, lai risinātu zināmu ekspluatāciju, imobilizējot tehnoloģiskos dziļviltojumus tīmekļa vietnēs un tīklos).

Google ir piekritis samaksāt Teksasas štatam 1,375 miljardus dolāru, lai izbeigtu divas tiesas prāvas, kurās uzņēmums tiek apsūdzēts lietotāju atrašanās vietas izsekošanā, "inkognito" meklēšanā, kā arī balss un sejas datu izmantošanā bez viņu atļaujas.

Uzņēmums esot paziņojis, ka tas izbeidz tiesvedību, neatzīstot vainu vai atbildību un bez nepieciešamības modificēt savus produktus, un ka tā prakse kopš notikumiem ir mainījusies.

Tikmēr 3. jūnijā publicētie pētījuma rezultāti liecina, ka Meta un Krievijas uzņēmums Yandex izseko Android lietotāju tīmekļa pārlūkošanu pat inkognito režīmā vai ar VPN, izmantojot lokālo portu, lai saistītu pārlūkošanas darbību ar pievienoto identitāti.

Google apgalvo, ka izmeklē šo ļaunprātīgo izmantošanu, kas ļauj Meta un Yandex pārvērst īslaicīgus tīmekļa identifikatorus pastāvīgās mobilo lietotņu lietotāju identitātēs.