Juridiskā uzraudzība Nr. 85 — 2025. gada jūlijs. 

 

Atbilstība GDPR: kādi ir ekonomiskie ieguvumi?

Pieaugušo profesionālās apmācības asociācijas (AFPA) un CNIL veiktie pētījumi tagad apstiprina ekonomiskos ieguvumus, kas saistīti ar datu aizsardzības speciālista (DPO) klātbūtni uzņēmumos.

AFPE 2024. gada janvārī veikto statistisko aptauju, kuras pamatā bija vairāk nekā 3600 DAS atbildes, papildināja CNIL padziļinātas intervijas ar desmit DAS, kurus ierosināja Francijas Datu aizsardzības korespondentu asociācija (AFCDP).

Šo analīžu rezultāti, ko CNIL prezentēja jūlija beigās, identificē četrus galvenos ieguvumus uzņēmumiem ar datu aizsardzības speciālistu: konkurētspēju, sankciju novēršanu, datu noplūdes novēršanu un datu pārvaldības racionalizāciju.

Šīs priekšrocības uztver visu lielumu uzņēmumi, jo īpaši "Pētniecības, IT un konsultāciju" un "Banku, apdrošināšanas un savstarpējo sabiedrību" nozarēs.

• Konkurences ziņā atbilstība GDPR tādējādi šķiet kā svira, lai uzvarētu iepirkumos, jo īpaši, ja tie ir saistīti ar datiem.

Šajā kontekstā DAS šķiet galvenā kontaktpersona pircējiem.

• Lai gan DAI palīdz ierobežot sankciju riskus, šie ieguvumi attiecas ne tikai uz naudas sodu apmēru, bet arī uz reputācijas aspektiem.

Papildus ietekmei uz uzņēmumu ieņēmumiem, sankcijas var ietekmēt arī uzņēmumu finanšu reitingus un līdz ar to arī to finansēšanas iespējas.

• Drošības ziņā datu aizsardzības speciālistam kopā ar informācijas drošības vadītāju (CISO) ir galvenā loma darbinieku informētības veicināšanā un iekšējo datu aizsardzības un incidentu pārvaldības politiku ieviešanā.

Šajā sakarā CNIL norāda, ka saskaņā ar 2024. gada IBM pētījumu datu noplūdes vidējās izmaksas ir 5 miljoni ASV dolāru.

• Visbeidzot, datu pārvaldības racionalizēšana ļauj ietaupīt naudu serveros, potenciāli sasniedzot vairākus simtus tūkstošu eiro, un uzlabot lēmumu pieņemšanas efektivitāti.

Šajā sakarā 2023. gada ikgadējā pārskata pētījumā par digitālās privātuma ekonomiskajiem aspektiem arī tika atzīmēts, ka "pārmērīgs datu apjoms var samazināt uzņēmuma tirgus varu".

CNIL ziņojumā ir ņemts vērā tas, kā datu pārzinis uztver noteikumus. 

Jo vairāk DPO un uzņēmums ir pārliecināti par GDPR ievērošanas priekšrocībām un integrē tās principus iekšējos procesos, jo vairāk ir jūtama pozitīvā ietekme, atšķirībā no uzņēmumiem, kas atbilstību uztver kā ierobežojumu.

Tādējādi, ņemot vērā regulas principus, tiktu izveidots motivācijas un ieguvumu aplis.

Francijā veiktais pētījums nav vienīgais, kas identificē datu regulējuma ekonomiskos ieguvumus. 

Tiek uzsvērti arī papildu aspekti, piemēram, no Eiropas Datu aizsardzības kolēģijas (EDAK) puses, kas uzsver uzticēšanos, ko rada redzamas datu aizsardzības politikas īstenošana starp indivīdiem, ne tikai konkursu ietvaros.

Šī gada sākumā ESAO publicēja arī starptautisko datu plūsmu analīzi, kurā norādīja, ka "režīmi, kas paredz drošības pasākumus, panāk līdzsvaru starp ar datu regulēšanu saistītajām tirdzniecības izmaksām un ieguvumiem uzticības ziņā, ko sniedz datu drošības pasākumi".

Apkārtējā vidē, kur datu zādzības kļūst intensīvākas un mākslīgā intelekta attīstība rada arvien vairāk ētisku jautājumu, indivīdu uzticības iegūšana un saglabāšana ir būtiska priekšrocība sabiedrības acīs.

 

        

Ar 2025. gada 8. augusta lēmumu Konstitucionālā padome atzina par antikonstitucionālu CNIL ierobežotā sastāva praksi nepaziņot personām, kuras tā vēlas uzklausīt uzklausīšanas laikā, par tiesībām klusēt vai saņemt novērojumu pieprasījumus.

Šis lēmums ir balstīts uz tiesībām neliecināt pret sevi, kas izriet no Cilvēka un pilsoņa tiesību deklarācijas 9. panta.

Lai izbeigtu šo antikonstitucionalitāti no lēmuma publicēšanas dienas, Konstitucionālā padome nolēma, ka līdz jauna likuma spēkā stāšanās dienai vai līdz inkriminēto noteikumu atcelšanas dienai attiecīgajai personai ierobežotā sastāva izskatīšanā ir jāpaziņo par tās tiesībām klusēt.

Pēc Eiropas Savienības Tiesas (EST) lēmuma Valsts padome (EST) 31. jūlijā publicēja savu lēmumu Mousse lietā, kas nosaukta asociācijas vārdā, kura ierosināja sūdzību pret SNCF.

Viņš uzskata, ka SNCF Connect "nevar piespiest savus klientus paust savu pieklājību".

Šī datu apstrāde neatbilst GDPR, kas nosaka, ka jāvāc tikai absolūti nepieciešamie personas dati.

EK uzskata, ka pieklājības ievērošana nav obligāta biļešu pārdošanai vai identitātes pārbaudei ceļojuma laikā un tai vajadzētu būt neobligātai, izņemot atsevišķus pakalpojumus, piemēram, guļamvagonos, kas rezervēti vientuļām sievietēm.

Tādēļ tā atceļ CNIL 2021. gada 23. marta lēmumu, un tai būs atkārtoti jāizskata Mousse asociācijas sūdzība.

2025. gada 6. augustā Bouygues Telecom apstiprināja, ka tas ir cietis no datora ielaušanās, kas ļāva kibernoziedzniekiem piekļūt vairāk nekā sešu miljonu klientu personas datiem.

Paroles un bankas karšu numuri netika ietekmēti, taču hakeri ieguva piekļuvi daudzai informācijai, tostarp vārdiem, pasta un e-pasta adresēm, dzimšanas datumam, līguma numuram un IBAN. 

Arī France Travail jūlija vidū cieta no vēl viena personas datu noplūdes, kas ietekmēja 340 000 darba meklētāju failu, tostarp identitātes datus, adresi, dzimšanas datumu un tālruņa numuru. Saskaroties ar pieaugošo datu pārkāpumu skaitu, CNIL (Francijas Datu aizsardzības iestāde) ir atjauninājusi savus ieteikumus privātpersonām.

 

Eiropas iestādes un struktūras

Eiropas Komisija 7. augustā publicēja labas prakses kodeksu uzņēmumiem, kas pārvalda vispārējas nozīmes mākslīgā intelekta (GPAI) sistēmas.

Šis dokuments tika sagatavots sadarbībā ar nozares pārstāvjiem un pilsonisko sabiedrību, un tā mērķis ir veicināt atbilstību mākslīgā intelekta regulai.

Pilns parakstītāju saraksts ietver 26 uzņēmumus, tostarp Amazon, Anthropic, Google, Microsoft, Mistral un OpenAI.

Elona Maska uzņēmums xAI ir parakstījis tikai to kodeksa daļu, kas veltīta drošības un aizsardzības jautājumiem. Tādēļ xAI būs jāpierāda atbilstība noteikumu pārredzamības un autortiesību saistībām, izmantojot piemērotus alternatīvus līdzekļus.

Nesen pārņemot Eiropas Savienības Padomes prezidentūru, Dānija atrodas privileģētā pozīcijā veidot ES politiku nākamo sešu mēnešu laikā.

4. jūlijā neformālā Dānijas valdības dokumentā tika minēts tās nodoms ierosināt mērķtiecīgu GDPR un ePrivātuma direktīvas pārskatīšanu, lai samazinātu atbilstības slogu uzņēmumiem un nodrošinātu to konkurētspēju.

Paredzams, ka Eiropas Komisija turpmākajos mēnešos publicēs arī ES digitālo tiesību aktu kvalitātes novērtējumu, kā arī digitālo kopsavilkuma paketi.

GDPR pārskatīšana nešķiet garantēta, ja ticam Komisijas jūlija vidū organizētā "īstenošanas dialoga" kopsavilkumam, kura secinājumi tika publicēti augusta sākumā.

Privātais sektors norādīja, ka tas ir "ieguldījis atbilstības nodrošināšanā un ka vispārēja atkārtota atvēršana varētu radīt nenoteiktību, jo īpaši starptautiskās datu pārsūtīšanas kontekstā".

Lietā par Zviedrijas sabiedrisko transportu EST ģenerāladvokāts (AG) 1. augustā precizēja GDPR 13. un 14. panta darbības jomu attiecībā uz datu subjektu informēšanu.

Konkrētais gadījums attiecās uz attēlu vākšanu, ko veica dispečeriem iebūvētās kameras.

AG uzskata, ka 13. pants ir piemērojams ikreiz, kad datu subjekts ir datu avots (“savākti no datu subjekta”), neatkarīgi no pēdējā iesaistes datu vākšanā un no brīža, kad starp datu subjektu un pārzini nav starpnieka.

14. pants ir piemērojams ikreiz, kad dati tiek vākti no avota, kas nav datu subjekts.

Tādēļ attēlu vākšanas gadījumā ar transportlīdzekļa kamerām, pienākumam informēt attiecīgās personas ir jābūt tūlītējam, un uz to neattiecas 14. panta izņēmumi.

28. jūlijā Eiropas Datu aizsardzības uzraudzītājs (EDAU) pozitīvi noslēdza izmeklēšanu par Eiropas Komisijas Microsoft 365 izmantošanu.

Paziņojumā tā norāda uz ievērojamo datu aizsardzības atbilstības uzlabojumu Komisijas Microsoft 365 lietošanā un arī atzīst un novērtē "Microsoft centienus ievērot Komisijas prasības, kas izriet no EDAU 2024. gada marta lēmuma".

Eiropas Savienības Kiberdrošības aģentūras (ENISA) 26. jūnijā publicētajā ziņojumā sniegtas tehniskas vadlīnijas, lai atbalstītu NIS2 direktīvas īstenošanu vairāku veidu struktūrām NIS2 digitālās infrastruktūras, IKT pakalpojumu pārvaldības un digitālo pakalpojumu sniedzēju nozarēs.

Tas apkopo attiecīgo Eiropas un starptautisko standartu un sistēmu (ISO 27001, NIST, ETSI vai CEN) sarakstu.

 

Ziņas no Eiropas Savienības dalībvalstīm.

Vācijā Diseldorfas tiesa piesprieda 200 eiro kompensāciju par morālo kaitējumu fiziskai personai pēc datu pārkāpuma, ko izraisīja datu pārziņa nespēja nodrošināt tā apakšuzņēmēja apstrādāto personas datu dzēšanu likumā noteiktajos termiņos.

Atkārtojot iepriekš minēto Mousse lietu, Frankfurtes tiesa lēma, ka Vācijas valsts dzelzceļa uzņēmums nelikumīgi pieprasījis saviem klientiem norādīt savu e-pasta adresi vai mobilā tālruņa numuru biļešu iegādei.

Viņš uzskatīja, ka tas nebija nepieciešams līguma izpildei un ka sniegtā piekrišana nebija sirsnīga un brīva.

Horvātijas Datu aizsardzības iestāde (APD) ir sodījusi komunālo pakalpojumu uzņēmumu ar 320 000 eiro sodu par nepieciešamo drošības pasākumu neieviešanu, izsniedzot lietotājiem jaunas paroles, un par nesadarbošanos ar to.

Spānijas Datu aizsardzības aģentūra (APD) ir sodījusi sporta centrus pārvaldošu uzņēmumu ar 96 000 eiro sodu par obligātu sejas atpazīšanas sistēmu ieviešanu telpās, iepriekš neinformējot savus biedrus vai nesaņemot viņu piekrišanu.

Arī Spānijā APD sodīja enerģijas piegādātāju ar 1 380 000 eiro par kļūdainu gāzes piegādes līguma piešķiršanu nepareizajam klientam un maksas iekasēšanu no šī klienta, pārkāpjot datu precizitātes un apstrādes drošības principus.

Īrijas Augstākā tiesa lēma, ka prasības par kompensāciju par emocionālām ciešanām, kas saistītas ar ciešanām, satricinājumiem vai trauksmi, var tieši ietilpt GDPR darbības jomā un ka valsts noteikumi, kas paredz neatkarīgas iestādes atļauju pirms zaudējumu atlīdzības pieprasīšanas par miesas bojājumiem, nav piemērojami.

Itālijas konkurences iestāde 22. jūlijā uzsāka izmeklēšanu pret Meta Platforms saistībā ar mākslīgā intelekta pakalpojumu pievienošanu WhatsApp bez lietotāja piekrišanas.

Atgādinām, ka 2025. gada 23. maijā Ķelnes Augstākā reģionālā tiesa noraidīja pret Meta vērsto aizliegumu attiecībā uz Meta veikto mākslīgā intelekta apmācību.

Tiesa bija lēmusi, ka anonimizētu Facebook un Instagram datu apvienošana apmācības datu kopā nav nelikumīga datu “sapludināšana” Digitālo tirgu regulas (DMA) 5. panta 2. punkta izpratnē.

Lietuvas Datu aizsardzības iestāde (DAI) lietā, kurā bija iesaistīti divi kaimiņi, uzskatīja, ka neregulāra personas datu vākšana, izmantojot dronu, lai vāktu pierādījumus tiesvedībai, ietilpst GDPR paredzētajā iekšzemes izņēmumā.

APD norāda, ka šajā jautājumā tas atsaucās uz EDAK 2020. gada vadlīnijām.

Polijā Federālā Administratīvā tiesa nostājās ombuda pusē un lēma, ka Polijas tiesību akti, kas paredz tiesnešiem un prokuroriem pienākumu atklāt savu piederību reliģiskajām, arodbiedrību un politiskajām organizācijām, nav savienojami ar viņu tiesībām saskaņā ar ES Hartu un Eiropas Cilvēktiesību konvenciju.

Arī Polijā uzņēmumam “McDonald's Polska Sp. z oo” tika piemērots 3 955 000 eiro naudas sods par datu apstrādes vispārējo principu neievērošanu, jo īpaši par nepietiekamu pasākumu veikšanu personas datu aizsardzībai.

 

Apvienotajā Karalistē valdība, pakļaujoties ASV spiedienam, varētu atteikties no sava rīkojuma, kas vērsts pret Apple uzlaboto datu aizsardzības funkciju.

Iekšlietu ministrijas pieprasījums tika iesniegts saskaņā ar Izmeklēšanas pilnvaru likumu (IPA), kas pilnvaro Apvienotās Karalistes valdību "izdot slepenus rīkojumus, kas pieprasa piegādātājiem apiet šifrēšanu, ievietojot savos programmatūras produktos aizmugurējās durvis".

Saskaņā ar Ars Technica sniegto informāciju ASV amatpersonas, tostarp viceprezidents Dž. D. Venss, spiež Apvienoto Karalisti mainīt savu lēmumu. "Tas ir kaut kas tāds, kas ļoti kaitina viceprezidentu un ir jāatrisina," esot paziņojis kāds Lielbritānijas ministrijas ierēdnis.

Wetransfer, ko daudzi profesionāļi un privātpersonas izmanto dokumentu apmaiņai, jūlija vidū mainīja savus noteikumus un nosacījumus: uzņēmums bija norādījis, ka no augusta tas izmantos savu lietotāju datu saturu, lai apmācītu savu mākslīgā intelekta sistēmu.

Šīs informācijas izraisīto reakciju un datu konfidencialitātes jautājumu rezultātā uzņēmums, kā ziņots, nākamajās dienās atkāpās no savas rīcības.

ChatGPT izmantošana var novest pie datu izpaušanas bez lietotāju ziņas: to atklāj Digital Digging 31. jūlija publikācija.

Izmeklēšanā ziņots par 512 ChatGPT sarunām, kas publiskotas, izmantojot mērķtiecīgu atslēgvārdu meklēšanu, atklājot kompromitējošu informāciju un konfidenciālus datus.

Pateicoties funkcijai “kopīgot”, lietotāji neapzināti padarīja savu mijiedarbību ar ChatGPT publisku un meklētājprogrammām indeksējamu.

Kopīgās sarunas attiektos uz iekšējās informācijas ļaunprātīgas izmantošanas gadījumiem, detalizētu finanšu informāciju par uzņēmumiem, atzīšanos krāpšanā un pierādījumiem par normatīvo aktu pārkāpumiem, un tas viss glabātos pastāvīgi pieejamu publisko arhīvu veidā.

Indijā Ģeopolitikas ietekme uz digitālajām tehnoloģijām IAPP ziņo, ka jūlija beigās uzņēmumam Nayara Energy, kas ir trešais lielākais naftas pārstrādes uzņēmums Indijā ar 6000 degvielas uzpildes stacijām, Microsoft bez iepriekšēja brīdinājuma tika liegta piekļuve tā datiem, lai gan tas bija pilnībā samaksājis par licencēm.

Krievijas uzņēmumam "Rosneft" pieder 49,13 % no "Nayara Energy" akciju %. Tiek uzskatīts, ka šis solis ir saistīts ar sankcijām, kas Krievijai tika noteiktas saistībā ar karu Ukrainā.

Vēl viens incidents attiecas uz pakalpojumu atļaujas atsaukšanu, ko Indijas Nacionālais kosmosa veicināšanas un autorizācijas centrs piešķīra diviem Āzijas satelīttelekomunikāciju uzņēmuma satelītiem pēc 2026. gada 31. marta.

AsiaSat galvenais akcionārs ir Ķīnas valdībai piederoša struktūra.

Šim lēmumam ir sekas dažām no Indijas lielākajām izklaides raidorganizācijām, piemēram, Zee un Jiostar, kurām tagad būs jāmeklē alternatīvas.

Šie notikumi atspoguļo Microsoft pagājušā gada pavasarī īstenoto Starptautiskās krimināltiesas (SKT) ģenerālprokurora e-pasta konta bloķēšanu.

Šī bloķēšana bija tiešas sekas ASV prezidenta Donalda Trampa februārī veiktajiem pasākumiem pret Hāgas tiesu pēc tam, kad Starptautiskās Krimināltiesas tiesnešu kolēģija izdeva aresta orderus pret Izraēlas premjerministru Benjaminu Netanjahu un viņa bijušo aizsardzības ministru Joavu Galantu par kara noziegumiem Gazas joslā.

PL&B International Report augusta numurā ir iekļauts raksts, kura autore ir Marija Tzanou, tiesību zinātņu pasniedzēja Britu Šefīldas universitātē un FemTech uzraudzības projekta vadītāja.

Viņa uzdod jautājumus par sieviešu uzraudzību, izmantojot tādus produktus un pakalpojumus kā auglības un menstruāciju izsekošanas lietotnes, norādot, ka pastāv "problemātiska un bieži vien nelikumīga datu vākšanas prakse".