Juridiskā uzraudzība Nr. 92 — 2026. gada februāris. 

 

Apakšuzņēmējs starp vājo posmu un stratēģisko spēlētāju.

9. februārī CNIL prezentēja savu 2025. gada ziņojumu par sankcijām un korektīvajiem pasākumiem: sīkfaili, darbinieku uzraudzība un datu drošība ir galvenie 2025. gadā noteikto sankciju temati, kuru kopējais sodu apmērs ir 486 839 500 eiro.

Starp sankcijām mēs atzīmējam ievērojamu skaitu gadījumu, kuros iesaistīti apakšuzņēmēji par pienākumu neizpildi attiecībā uz viņiem uzticētajiem datiem.

CNIL atgādina, ka apakšuzņēmējam ir jāievēro sekojošais:

• Apstrādāt datus tikai pēc datu pārziņa norādījumiem;
• Īstenot atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu atbilstošu drošības līmeni;
• Un dzēst datus, beidzoties līgumattiecībām ar datu pārzini.

Apakšuzņēmējam ir arī jāpalīdz pārzinim īstenot noteiktus regulas pienākumus: privātuma ietekmes novērtējums, datu pārkāpumu paziņošana, drošība, ieguldījums auditos.

Tai ir arī jāveic apstrādes darbību uzskaite un dažos gadījumos jāieceļ datu aizsardzības speciālists.

GDPR 28. pantā, kas attiecas uz īpaša līguma noslēgšanu starp pārzini un apstrādātāju, ir noteikti obligātie noteikumi, kas jāiekļauj līgumā.

Tas var būt pilnībā vai daļēji balstīts uz standarta līguma klauzulām, piemēram, tām, ko apstiprinājusi Eiropas Komisija vai kāda no ES dalībvalstīm.

Šajās klauzulās ieteicams skaidri definēt darbuzņēmēja un apakšuzņēmēja attiecīgos pienākumus. Šī informācija var būt noderīga vienas no pusēm līguma neizpildes gadījumā.

Ir vērts atcerēties, ka daudzus nesenos datu noplūdes gadījumus, kas ietekmē gan publisko, gan privāto sektoru, ir izraisījusi apakšuzņēmēja drošības kļūme.

Bieži vien cēlonis ir cilvēciska kļūda un, konkrētāk, darbinieka akreditācijas datu zādzība.

Divfaktoru autentifikācija un sarežģītu paroļu izmantošana joprojām ir būtiski veidi, kā aizsargāties pret šādiem uzbrukumiem, kā mēs atkārtojām komentārā par CNIL nesen noteikto "Francijas darba" sankciju.

Apakšuzņēmējiem patiešām ir īpaši pienākumi attiecībā uz drošību, konfidencialitāti un dokumentāciju.

Lai garantētu efektīvu datu aizsardzību, kas pielāgota riskiem, tiem jāievieš visi noderīgie pasākumi, sākot no pakalpojuma vai produkta izstrādes un beidzot ar noklusējuma aizsardzību ("privātums pēc noklusējuma un integrēta privātuma aizsardzība").

Turklāt par jebkuru datu noplūdi ir jāpaziņo datu pārzinim likumā noteiktajos termiņos.

Visbeidzot, datu dzēšana līguma beigās ir ne tikai pienākums, bet arī labākais veids, kā aizsargāties pret datu pārkāpumiem pēc līgumattiecību beigām, ko atgādina CNIL decembra beigās uzņēmumam Mobius Solutions uzliktais viena miljona eiro sods.

Uzņēmums bija saglabājis vairāk nekā 46 miljonu Deezer lietotāju datu kopijas pēc viņu līgumattiecību beigām, neskatoties uz pienākumu dzēst visus šos datus līguma beigās, tādējādi padarot iespējamu nopietnu datu noplūdi.

 

CNIL 2. martā publicēja atjauninātu datu aizsardzības tabulu versiju. 

Šajās tabulās ir apkopota un organizēta būtiskākā judikatūra un lēmumu pieņemšanas prakse attiecībā uz personas datu aizsardzību valsts un Eiropas līmenī.

Februāra beigās France 2 ziņojumā tika brīdināts par medicīnisko datu noplūdi un, konkrētāk, par Cegedim veikto "MonLogicielMedical" programmatūras uzlaušanu.

Uzbrukums ļāva hakerim apkopot 11 līdz 15 miljonu Francijas iedzīvotāju medicīniskos datus, kas bija pieejami tumšajā tīmeklī.

CNIL jau 2024. gada septembrī bija sodījusi uzņēmumu ar 800 000 eiro naudas sodu, jo īpaši par veselības datu apstrādi bez atļaujas.

2026. gada 18. februārī Valsts finanšu ģenerāldirektorāts (DGFiP) preses relīzē ziņoja, ka pēc pilnvarotas personas identifikatoru uzurpācijas ir atklāta nelikumīga piekļuve valsts bankas kontu failā (FICOBA).

Hakeris bija ieguvis konta akreditācijas datus pirms kiberuzbrukuma: Ekonomikas ministrija nebija ieviesusi divfaktoru autentifikāciju.

Attiecīgie dati attiecas uz aptuveni 1,2 miljoniem kontu un ietver jo īpaši konta turētāju identitāti, adresi, banku un IBAN.

01net ziņo par uzņēmuma Surfshark veikto datu noplūdju novērtējumu Francijā.

"Līdz 2025. gadam visā pasaulē būs uzlauzti 425,7 miljoni kontu. Visvairāk skartā valsts ir neviena cita kā Amerikas Savienotās Valstis ar 34 miljoniem globālu datu noplūžu. Otrajā vietā ir Francija, kam seko Indija, Vācija un Krievija. Līdz 2025. gadam Francijas interneta lietotāji vidēji būs piedzīvojuši gandrīz vienu konta uzlaušanu sekundē."

Francija arī izceļas ar "pārkāpumu blīvumu, kas ir 12 reizes lielāks nekā vidēji pasaulē". Tiek atsevišķi izcelta investīciju trūkums drošībā, gan no uzņēmumu, gan valsts iestāžu puses.

Datu brokeri, kas pārmeklē tīmekli, lai pārdotu tālāk šādi savāktos personas datus, ir arī viens no galvenajiem hakeru mērķiem.

 

Eiropas iestādes un struktūras

Eiropas Komisijas "Omnibus" priekšlikums GDPR vienkāršošanai cieš no neveiksmes ES Padomē.

Padome 20. februāra dokumentā paredz atcelt priekšlikumu grozīt personas datu definīciju.

Turklāt, kā norāda Euractiv, Padome arī vēlas atcelt Komisijas priekšlikumu paplašināt tās pilnvaras, kas ļautu tai noteikt, kas ir pietiekami pseidonimizēti dati.

Padomes prezidentvalsts Kipras sagatavotais kompromisa teksts kalpos par pamatu sarunām starp valstu valdībām.

Paredzams, ka Padome tekstu izskatīs 27. februārī.

11. februārī Eiropas Datu aizsardzības kolēģija (EDAK) un Eiropas Datu aizsardzības uzraudzītājs (EDAU) jau bija pieņēmuši ilgi gaidīto kopīgo atzinumu par šī Omnibus priekšlikuma datu aizsardzības aspektiem.

Savā preses relīzē regulatori uzstāj, ka vienkāršošana nedrīkst notikt uz cilvēku aizsardzības rēķina.

Viņi mudina likumdevējus nepieņemt ierosinātos grozījumus personas datu definīcijā, jo tie būtiski samazinātu tās darbības jomu un būtu pretrunā ar EST judikatūru.

“Mums jānodrošina, lai visi GDPR un Eiropas Vispārīgās datu aizsardzības regulas grozījumi patiesi precizētu pienākumus un sniegtu juridisko noteiktību, vienlaikus saglabājot uzticēšanos un augstu aizsardzības līmeni indivīda tiesībām un brīvībām.”

Kopīgajā atzinumā ir uzsvērta arī nepieciešamība pēc skaidras datu aizsardzības iestāžu kontroles attiecībā uz sīkfailu reklāmkarogiem un publiskā sektora datu atkārtotu izmantošanu.

EDAK ir publicējusi ziņojumu par savu koordinēto rīcību attiecībā uz tiesību tikt aizmirstam piemērošanu.

Šīs tiesības ir vienas no visbiežāk izmantotajām.

Tas ir izraisījis daudzas sūdzības un pieaugošu datu aizsardzības iestāžu lēmumu skaitu.

Ziņojumā ir izceltas septiņas galvenās organizāciju problēmas, tostarp iekšējo procedūru trūkums. Tajā sniegti arī praktiski ieteikumi, lai palīdzētu organizācijām risināt šīs problēmas.

Komiteja publicēja arī ziņojumu par 2025. gada 12. decembrī notikušo pasākumu par anonimizāciju un pseidonimizāciju.

Ziņojumā ir apkopotas atsauksmes no aptuveni simts dalībniekiem, kas pulcējās, lai apspriestu GDPR piemērošanu šīm metodēm pēc EST nolēmuma EDPS pret SRB lietā.

Viņš uzsver praktisko nenoteiktību, nosakot, kad dati paliek “identificējami” atkarībā no iesaistītajām pusēm un konteksta, kā arī jautājumu par “līdzekļiem, kas pamatoti varētu tikt izmantoti personas atkārtotai identificēšanai”.

Dokumentā nav sniegtas galīgas vadlīnijas, bet gan identificēti galvenie jautājumi, kas vadīs EDAK turpmākos virzienus anonimizācijas un pseidonimizācijas jomā tās darba programmā.

EDAK ir pieņēmusi savu darba programmu 2026.–2027. gadam.

Viņš strādās pie vairākiem modeļiem, kuru mērķis ir veicināt atbilstību GDPR prasībām: datu pārkāpumu paziņojumi, datu aizsardzības ietekmes novērtējumi, leģitīmo interešu novērtējumi, apstrādes reģistrs un privātuma paziņojums/politika.

Tiesa 10. februārī lietā C-97/23 P | WhatsApp Ireland pret Eiropas Datu aizsardzības kolēģiju lēma, ka WhatsApp iesniegtā prasība pret EDAK lēmumu ir pieņemama.

Tā kā Eiropas Savienības Tiesa vēl nav izskatījusi lietu pēc būtības, Tiesa atceļ apstrīdēto rīkojumu un nodod lietu Tiesai atpakaļ izskatīšanai.

Eiropas Cilvēktiesību tiesa 17. februārī lietā “Zaļā alliance pret Bulgāriju – 6580/22” lēma, ka Bulgārijas noteikumi, kas pilnvaro valsts drošības iestādi izmantot “slepenos aģentus”, pārkāpj Eiropas Cilvēktiesību konvencijas 8. pantu, jo tie pieļauj organizāciju slepenu novērošanu bez pietiekamiem drošības pasākumiem vai kontroles.

 

Ziņas no Eiropas Savienības dalībvalstīm.

Vācijā, kā vēsta Heise.de un Table.Media, Bundestāgs intensīvi strādā pie savas digitālās arhitektūras rūpīgas pārstrukturēšanas. Parlaments vēlas atbrīvoties no tādu amerikāņu uzņēmumu kā Microsoft tehnoloģiskās ietekmes, lai krīzes laikā rīkotos noturīgāk un, galvenais, neatkarīgi no trešajām valstīm.

Austrijas Datu aizsardzības iestāde (DPA) ir piemērojusi datu pārzinim 1500 eiro sodu par publiskas ietves nelikumīgu filmēšanu ar videonovērošanas kameru un iespējamā zagļa attēlu publicēšanu sociālajos tīklos, tādējādi pārkāpjot datu minimizācijas un pārredzamības principus, kā arī noteikumus, kas regulē tiesu datu apstrādi.

Dānijas Datu aizsardzības iestāde (DPA) ir izteikusi rājienu 51 pašvaldībai un vienlaikus brīdinājusi tās par Google produktu izmantošanu pamatskolās un pamatskolās. Konkrētāk, tā konstatēja, ka pašvaldības nav pienācīgi pierādījušas, ka tās nodrošina atbilstošu aizsardzības līmeni personas datiem, kas tiek apstrādāti ārpus ES.

Īrijas Datu aizsardzības aģentūra (DPA) 17. februārī paziņoja, ka ir sākusi izmeklēšanu pret Elona Maska uzņēmumu X. Izmeklēšana attiecas uz "potenciāli kaitīgu, intīmu un/vai seksuāli nepārprotamu attēlu" izveidi un publicēšanu X platformā bez piekrišanas, kas satur vai ietver ES/EEZ datu subjektu, tostarp bērnu, personas datu apstrādi, izmantojot ģeneratīvu mākslīgā intelekta funkciju, kas saistīta ar Grok valodas modeli. Vairākas valstis jau ir nolēmušas pilnībā aizliegt Elona Maska mākslīgā intelekta tērzēšanas robotu, un Eiropas Komisija 26. janvārī uzsāka izmeklēšanu.

Nīderlandē tiesa lēma, ka Nīderlandes Datu aizsardzības iestāde (APD) nav pietiekami pamatojusi sūdzības noraidīšanu pret kinoteātri, kas vairs nepieņēma skaidras naudas maksājumus. Pēc tiesas domām, APD nebija izvērtējusi, vai prasība par maksājumiem ar karti īstenoja pietiekami konkrētu un pamatotu mērķi saskaņā ar GDPR.

Slovākijā Konstitucionālā tiesa atzina par spēkā neesošu likumu, kas uzlika NVO pienākumu publicēt datus par to ziedotājiem, konstatējot, ka tas pārkāpj privātumu, informācijas pašnoteikšanos un biedrošanās brīvību, vienlaikus uzliekot pārmērīgu slogu.

 

Apvienotās Karalistes datu aizsardzības iestāde (ICO) ir piemērojusi Reddit 14,47 miljonu sterliņu mārciņu (aptuveni 16,6 miljonu eiro) sodu par to, ka tas nav izpildījis savas saistības attiecībā uz bērnu datu privātumu.

ICO uzskata, ka Reddit vecuma pārbaude ir nepietiekama un ka platformai "tāpēc nebija juridiska pamata apstrādāt bērnu, kas jaunāki par 13 gadiem, personas datus".

Turklāt Reddit "pirms 2025. gada janvāra neveica datu aizsardzības ietekmes novērtējumu (DPIA), lai novērtētu un mazinātu riskus bērniem".

ICO 5. februārī paziņoja arī par 247 590 sterliņu mārciņu soda piemērošanu uzņēmumam MediaLab.AI, Inc., kas ir attēlu koplietošanas platformas Imgur dibinātājs.

MediaLab ļāva bērniem izmantot Imgur, neieviešot Apvienotās Karalistes datu aizsardzības tiesību aktu noteiktos pamata drošības pasākumus.

Indija 2026. gada februārī nolēma paplašināt Aadhaar, pasaulē lielākās digitālās identitātes sistēmas, izmantošanu ikdienas privātuma nodrošināšanai, izmantojot jaunu lietojumprogrammu un bezsaistes verifikācijas sistēmu.

Izmaiņām vajadzētu ļaut personām apliecināt savu identitāti bez reāllaika verifikācijas datubāzē, integrējot privātus verifikācijas pakalpojumus, piemēram, Google Wallet un Apple Wallet.

Pilsoniskās sabiedrības kampaņa apgalvo, ka bezsaistes verifikācijas sistēma riskē ar Aadhaar atkārtotu izmantošanu privātajā sektorā, ko Augstākā tiesa jau ir nosodījusi. 

Sistēma arī ļauj "Indijas štatiem un policijai sasaistīt visu veidu personisko informāciju ar Aadhaar numuru: GPS koordinātas, tālruņu numurus, sociālos tīklus, vēlētāja reģistrācijas karti, pasi, aizdevumus, sociālos pabalstus, dažreiz pat radinieku vārdus vai pat partneru vārdus noteiktās policijas veidlapās".

Saskaņā ar CNBC ziņojumu, kas datēts ar 19. februāri, Accenture saista savu vecāko vadītāju paaugstināšanu amatā ar regulāru mākslīgā intelekta rīku izmantošanu.

Tiek ziņots, ka asociētie direktori un vecākie vadītāji tika informēti, ka, lai piekļūtu vadošajiem amatiem, būs nepieciešama mākslīgā intelekta "regulāra lietošana".

Uzņēmuma mākslīgā intelekta stratēģija "prasa jaunāko rīku un tehnoloģiju ieviešanu, lai apkalpotu mūsu klientus pēc iespējas efektīvāk," CNBC sacīja pārstāvis.

2026. gada 11. februārī Kalifornijas ģenerālprokurors paziņoja par rekordlielu 2,75 miljonu ASV dolāru vienošanos ar Walt Disney Company. lai atrisinātu apgalvojumus, ka uzņēmums nav pienācīgi ņēmis vērā patērētāju iebildumus pret viņu datu apstrādi saskaņā ar Kalifornijas Patērētāju privātuma likumu.

13. februāra rakstā laikraksts “New York Times” ziņo, ka “Facebook” mātesuzņēmums “Meta” plāno jau šogad pievienot sejas atpazīšanas funkcionalitāti savām viedajām brillēm, kuras tas ražo sadarbībā ar “Ray-Ban” un “Oakleys” īpašnieku.

Šī funkcija, ko iekšēji sauc par "Name Tag", ļautu viedbriļļu lietotājiem identificēt cilvēkus un iegūt informāciju par viņiem, izmantojot Meta mākslīgā intelekta palīgu. Pagājušajā gadā publicētā iekšējā piezīmē Meta esot paziņojis, ka politiskie nemieri Amerikas Savienotajās Valstīs novērsīs uzmanību no funkcijas izlaišanas kritiķiem.

2026. gada 23. februārī 61 datu aizsardzības iestāde publicēja kopīgu paziņojumu par mākslīgā intelekta ģenerētiem attēliem.

Šajā kopīgajā paziņojumā tiek risinātas bažas par mākslīgā intelekta sistēmām, kas spēj ģenerēt reālistiskus attēlus un video, kuros attēlotas identificējamas personas bez viņu ziņas vai piekrišanas.

2026. gada 19. februārī Ekonomiskās sadarbības un attīstības organizācija (OECD) publicēja jaunas vadlīnijas, lai palīdzētu organizācijām īstenot OECD vadlīnijas daudznacionāliem uzņēmumiem un OECD principus par mākslīgo intelektu.

Šīs vadlīnijas ir paredzētas, lai palīdzētu organizācijām pārvaldīt ar mākslīgo intelektu saistītos riskus un ievērot starptautiskos atbildīgas uzņēmējdarbības standartus.

Mākslīgā intelekta aģentu izstrāde, lai gan paredzēta daudzu administratīvu uzdevumu atvieglošanai, rada arī nopietnus drošības jautājumus.

Jaunākais OpenClaw ir atvērtā pirmkoda projekts, kas balstīts uz autonomu mākslīgā intelekta aģentu, kas spēj vadīt datoru lietotāja vietā.

Nesen OpenAI iegādātais OpenClaw tagad ir nopietnu drošības uzbrukumu mērķis.

Dažu nedēļu laikā kibernoziedznieki apdraudēja vairāk nekā 30 000 OpenClaw instanču, izmantojot viltotus skriptus, kas ļāva instalēt vīrusus un ļaunprogrammatūru, kas spēj ierakstīt visu, kas tiek rakstīts uz tastatūras Windows datoros. 

“Arvien vairāk jaunuzņēmumu vadītāju aizliedz autonomus aģentus uzņēmumu ierīcēs, baidoties no konfidenciālu datu noplūdes. Drošības eksperti pauž nopietnas bažas par audita, perspektīvas, reālu drošības pasākumu un pārredzamības trūkumu saistībā ar mākslīgo intelektu, savukārt arvien vairāk darbinieku to jau integrē savos ikdienas uzdevumos, tiecoties pēc produktivitātes.”

Šos brīdinājumus 12. februārī izplatīja Nīderlandes Datu aizsardzības iestāde (APD), kas brīdina lietotājus un organizācijas neizmantot OpenClaw un līdzīgas eksperimentālas sistēmas kritisku drošības ievainojamību dēļ.

Starptautiskā Privātuma speciālistu asociācija (IAPP) 5. februārī publicēja atjauninātu globālā privātuma likumu un datu aizsardzības iestāžu direktoriju.

IAPP norāda, ka datu aizsardzības režīmi visā pasaulē turpina attīstīties un nobriest. “Pēdējo 12 mēnešu laikā Indija ir ieviesusi jaunus izpildes noteikumus, lai īstenotu Digitālo personas datu aizsardzības likumu, Bangladeša un Gambija ir pieņēmušas vai apsver jaunu visaptverošu likumu pieņemšanu, un citas valstis, tostarp Ekvadora un Indonēzija, ir izveidojušas jaunas aģentūras, lai interpretētu un īstenotu spēkā esošos privātuma likumus.”