Juridiskā uzraudzība Nr. 63 — 2023. gada septembris.

Brexit: datu aizsardzības pārskats.

Kopš Apvienotā Karaliste 2020. gada 31. janvārī izstājās no Eiropas Savienības, starp datu aizsardzības regulējumiem abās Lamanša pusēs ir parādījušās arvien nozīmīgākas atšķirības.

Valsts joprojām piemēro likumu, ar kuru valsts līmenī tika transponēta GDPR, ko sauc par "UK GDPR", un kopš 2021. gada 28. jūnija Apvienotā Karaliste ir ieguvusi atbilstošu aizsardzības līmeni, kas atļauj datu apmaiņu ar ES.

Lēmums par atbilstību ir spēkā līdz 2025. gada 27. jūnijam, taču to varētu pārskatīt agrāk, ja pirms šī datuma Apvienotās Karalistes tiesiskais regulējums būtiski mainītos.

Starp notikumiem, kas varētu radīt neizpratni Eiropas Komisijā, ir Apvienotās Karalistes ambīcijas kļūt par "datu centru", veicinot starptautisku datu apmaiņu, un pašreizējais "Apvienotās Karalistes GDPR" pārskatīšanas projekts, kura mērķis ir atvieglot Lielbritānijas uzņēmumu pienākumus.

21. septembrī Apvienotā Karaliste oficiāli apstiprināja jūnijā ar Amerikas Savienotajām Valstīm noslēgto "datu tiltu".

Līgums stāsies spēkā 12. oktobrī.

Apvienotā Karaliste ir noslēgusi arī nolīgumus ar vairākām valstīm, kuras ES jau uzskata par atbilstošām: Kanādu, Izraēlu, Japānu, Jaunzēlandi, Šveici un Urugvaju.

Viņa prioritāšu sarakstā ir arī Austrālija, Kolumbija, Dubaija, Korejas Republika un Singapūra.

Šī starptautiskās apmaiņas veicināšana rada jautājumu par turpmāku Eiropas datu pārsūtīšanu, kurus pēc to nodošanas caur Apvienoto Karalisti vēlāk saņemtu valsts, kuru ES neuzskata par tādu, kas garantē līdzvērtīgu datu aizsardzību.

Apvienotā Karaliste patiešām virzās uz pragmatiskāku trešo valstu piedāvāto garantiju izvērtēšanu, vairāk balstoties uz risku.

Paralēli šīm iniciatīvām attiecībā uz datu pārsūtīšanu Apvienotā Karaliste gatavo likumprojektu par datu aizsardzību un digitālo informāciju ("Datu aizsardzības un digitālās informācijas (Nr. 2) likumprojekts"), kura mērķis ir aizstāt pašreizējo Apvienotās Karalistes GDPR.

Šis teksts pagājušajā pavasarī jau divas reizes tika lasīts parlamentā un vēl ir jāapspriež trešajā lasījumā.

Projekts saglabā mērķu ierobežojuma principa ievērošanu, bet maina tā darbības jomu: tas atļauj turpmāku apstrādi, ja dati ir apkopoti bez piekrišanas, piemēram, gadījumos, kad izmantošana balstās uz sabiedrības interesēm.

Šī noteikuma ietekme uz sīkfailu izmantošanu vēl nav skaidra, lai gan valdība apgalvo, ka vēlas ierobežot nevēlamus "uznirstošos logus", kas lūdz lietotāja piekrišanu.

Zinātniskās pētniecības definīcija ir atjaunināta un paplašināta, un tās veikšanas nosacījumi ir atviegloti.

Tas varētu ļaut uzņēmumiem vieglāk apstrādāt datus komerciāliem mērķiem, apgalvojot, ka šī komercprakse sastāv no tehnoloģiskās pētniecības un attīstības. 

Projekts arī samazina uzņēmumiem noteiktās prasības attiecībā uz uzskaites veikšanu un to datu apstrādes darbību proaktīvu kontroli, izņemot tos, kuru apstrāde rada augstu risku fizisko personu tiesībām.

Tekstā ir ieviests arī regulējums “uzticamu un drošu digitālās verifikācijas pakalpojumu” izmantošanai, kas, šķiet, atbilst Eiropas Savienības digitālās identitātes projektam.

Uzņēmumiem, kas darbojas visā ES, daži no reformas, kuras mērķis ir samazināt administratīvo slogu, ieguvumiem būs ierobežoti: piemēram, tiem joprojām būs jāieceļ datu aizsardzības speciālists, un tie nevarēs izmantot dažu datu saglabāšanas noteikumu atvieglojumus.

Plānā ietilpst arī esošās regulatīvās iestādes, ICO, aizstāšana ar padomi un valsts sekretāra pilnvaru piešķiršana vadīt noteiktas iestādes darbības, nosakot stratēģiskās prioritātes.

Neatkarīga datu aizsardzības regulatora esamība būs viens no galvenajiem elementiem, ko ES apsvērs, atkārtoti izvērtējot Apvienotās Karalistes "būtisko līdzvērtību" ar saviem datu aizsardzības noteikumiem.

Šis jautājums jau ir radījis jautājumus Eiropas Parlamentā.

Likums varētu tikt pieņemts nākamā gada pavasarī.

 

• 2023. gada 18. septembrī CNIL piesprieda gaisa kravu pārvadājumu uzņēmumam SAF LOGISTICS 200 000 eiro sodu par pārāk liela datu apjoma, tostarp sensitīvu datu un sodāmības reģistra izrakstu, vākšanu no saviem darbiniekiem.

Viņai tiek piemērotas arī sankcijas par nepietiekamu sadarbību ar CNIL dienestiem.

• Septembra beigās norisinājās Eiropas ilgtspējīgas attīstības nedēļa, kas CNIL deva iespēju iepazīstināt ar savu brošūru, kas veltīta šim jautājumam: tajā tiek pētīta datu aizsardzības, brīvību un vides mijiedarbība: "Vai datu aizsardzība aizsargā planētu? Vai mūsu brīvības ir pārejas posmā? Vai mums vajadzētu koplietot datus, lai aizsargātu vidi?"

Dokumentā ir mēģināts atbildēt uz šiem jautājumiem un piedāvāti ieteikumi divu mērķu saskaņošanai.

• CNIL šovasar publicēja publisko datu atkārtotas izmantošanas rokasgrāmatas projektu.

Rokasgrāmatā ir iekļauta CNIL un tās partneru nostāja, kā arī Francijas un Eiropas tiesu lēmumi, ko papildina virkne konsultāciju ar dažādiem dalībniekiem, kas ir tieši iesaistīti publiski pieejamu datu atvēršanas, koplietošanas un atkārtotas izmantošanas pieeju izstrādē (institucionālie partneri, asociācijas un uzņēmumi, juristi, pētnieki).

• 29. augustā CNIL (Francijas Datu aizsardzības iestāde) lika Boursorama ievērot GDPR noteikumus, "jo īpaši pārtraucot impots.gouv.fr vietnes pieteikšanās datu apstrādi": Boursorama patiešām pieprasīja piekļuvi impots.gouv.fr vietnes lietotājvārdam un parolei no tiem, kas vēlējās saņemt aizdevumu vai atvērt akciju uzkrājumu plānu.

CNIL norāda, ka uzņēmumam ir divi mēneši, lai izpildītu prasības.

• Mozilla izsludina publisku aicinājumu reaģēt uz gaidāmo SREN likumu, kas paredz "krāpniecības novēršanas filtra" ieviešanu internetā.

Fonds savas petīcijas nosaukumā apgalvo, ka Francija piespiež tīmekļa pārlūkprogrammas "cenzēt tīmekļa vietnes".

Obligāts mehānisms paredzētu, ka starpniekiem vismaz septiņas dienas ir jāievieš visi atbilstošie pasākumi, lai novērstu interneta lietotāju piekļuvi adresēm, kas tiek uzskatītas par kaitīgām.

Principā fonds uzskata par apsveicamu centienus apkarot krāpšanu tiešsaistē.

Tomēr viņa apstrīd šī mērķa sasniegšanai izvēlētās metodes, kas rada precedentu, jo filtrēšanas stratēģija, tiklīdz tā būs ieviesta, varētu tikt attiecināta arī uz citiem jautājumiem.

 

 

Eiropas iestādes un struktūras

• Eiropas Komisija publicē vadlīnijas par jauno Eiropas kiberdrošības direktīvu NIS2.

Šī direktīva uzliek pienākumus attiecībā uz drošību, incidentu paziņošanu un pārvaldību struktūrām dažādās kritiski svarīgās nozarēs, tostarp enerģētikas, transporta, finanšu, veselības aprūpes un digitālās infrastruktūras jomā.

Abi norādījumu dokumenti palīdz noteikt, vai piemērojamas NIS2 prasības vai nozaru prasības, un to mērķis ir nodrošināt reģistrācijas prasību konsekventu piemērošanu visā Savienībā.

• Oktobra mēnesī Eiropas Parlamenta Pilsoņu brīvību komiteja sāks izskatīt regulu par "bērnu aizsardzību internetā" (CSAM).

Šis teksts tiek arvien asāk kritizēts, jo īpaši attiecībā uz pasākumu, kura mērķis ir uzlikt par pienākumu lielākajām platformām proaktīvi skenēt privātu saturu, ar kuru tiek apmainīts to pakalpojums, lai atklātu bērnu pornogrāfiju.

Daudzi pilsoniskās sabiedrības dalībnieki, visas Eiropas datu aizsardzības iestādes un arī ES Padomes juristi uzskata, ka regula uzliktu "īpaši būtiskus ierobežojumus tiesībām uz privātumu" un ka pastāv "nopietns risks", ka tā ir pretrunā ar ES pamattekstiem.

• Kiberdrošības mēnesis ir iespēja ENISA, Eiropas Savienības Informācijas drošības aģentūrai, publicēt ieteikumus par izspiedējvīrusiem.

Starp pieejamajiem dokumentiem ir padomi operatoriem elektroenerģijas nozarē, kas ir hakeru galvenais mērķis.

• 7. septembrī CNIL biedrs, parlamenta deputāts Filips Latombe, apstrīdēja Datu privātuma regulējumu Eiropas Savienības Tiesā, kas kopš šīs vasaras atļauj datu apmaiņu starp ES un Amerikas Savienotajām Valstīm.
• Latombe iesniedza divas apelācijas: vienu par vienošanās tūlītēju apturēšanu un otru par teksta saturu.

Viņš lūdz Tiesu steidzami apturēt nolīguma darbību, atsaucoties uz 1958. gada Eiropas regulu, kas nosaka, ka vispārējas nozīmes Eiropas tekstiem jābūt rakstītiem četrās oficiālajās valodās, savukārt kopš 10. jūlija DPF pastāv tikai angļu valodā.

• Videokonferenču rīku izmantošana rada datu aizsardzības problēmas, jo īpaši tāpēc, ka dati ļoti bieži tiek pārsūtīti ārpus ES.

ES Tiesa veica "pārsūtīšanas ietekmes novērtējumu (TIA)" saistībā ar Cisco Webex izmantošanu un pakļāva apstrādi Eiropas Datu aizsardzības uzraudzītāja (EDAU) atļaujai.

EDAU lēmums un EST ietekmes novērtējums ir noderīgi atsauces dokumenti jebkuram datu pārzinim, kas šos rīkus izmanto profesionālā kontekstā.

 

Ziņas no Eiropas dalībvalstīm.

• Beļģijas Datu aizsardzības iestāde 16. augustā noraidīja sūdzību, neraugoties uz GDPR pārkāpumu esamību.

Viņa uzskatīja, ka pārkāpumiem nav bijusi "būtiska sociāla un/vai personiska ietekme" un ka tāpēc sūdzības izskatīšanai nepieciešamie resursi būtu nesamērīgi.

• Pēc EDAK saistošā strīdu izšķiršanas lēmuma Īrijas Datu aizsardzības komisija 1. septembrī publicēja savu galīgo lēmumu, kurā jo īpaši konstatēja, ka TikTok, apstrādājot personas datus, kas attiecas uz bērniem vecumā no 13 līdz 17 gadiem, ir pārkāpis GDPR taisnīguma principu.

Reģistrācijas uznirstošajā logā bērni tika mudināti izvēlēties publisku kontu.

APD galīgajā lēmumā ir norādīts, ka noklusējuma publiskie iestatījumi bija pretrunā arī ar datu aizsardzības pēc noklusējuma un integrētas datu aizsardzības, datu minimizēšanas un pārredzamības principiem.

Papildus rājienam un atbilstības rīkojumam Īrijas datu aizsardzības iestāde piesprieda 345 miljonu eiro lielu naudas sodu.

• Lejassaksijas Datu aizsardzības pārvalde sadarbībā ar sešām citām datu aizsardzības iestādēm ir izstrādājusi rokasgrāmatu par Microsoft 365 izmantošanu profesionāliem mērķiem.

Varas iestādes iesaka noslēgt papildu vienošanos starp atbildīgo personu un Microsoft, kurai jābūt noteicošai pār visiem pretrunīgajiem līgumu tekstiem.

Šim nolīgumam jo īpaši būtu jāregulē dzēšanas periodi, kas pielāgoti datu pārziņa vajadzībām, informācijas prasības attiecībā uz apakšuzņēmēju izmantošanu, kā arī datu apstrāde, ko Microsoft veic saviem komerciāliem mērķiem.

• Jūlija vidū izdotā rīkojumā par datu apstrādi mārketinga nolūkos Itālijas Datu aizsardzības iestāde (APD) atgādina, ka, ņemot vērā datu saglabāšanas ierobežošanas principu, nav pamatoti saglabāt datus līdz piekrišanas atsaukšanas datumam.

Šis atgādinājums jau ir iekļauts EDAK vadlīnijās Nr. 5/2020, saskaņā ar kurām ir jāņem vērā konteksts un personu leģitīmās cerības: laba prakse ir regulāri pieprasīt atjaunotu piekrišanu.

• Itālijas Augstākā tiesa ir apstiprinājusi darbinieka atlaišanas no Itālijas bankas nelikumīgumu saistībā ar nelikumīgu e-pasta uzraudzību un darbinieka novērošanu.

Augstākā tiesa norādīja, ka ir jānodrošina taisnīgs līdzsvars starp uzņēmuma interešu un īpašuma aizsardzības prasībām, kas saistītas ar ekonomiskās iniciatīvas brīvību, un darbinieka cieņas un privātuma aizsardzību atkarībā no apstākļiem.

Visu atbildētāja uzņēmuma klēpjdatorā esošo saziņu uzraudzība nebija pamatota, jo tā bija neselektīva, neierobežota un tāpēc, ka prasītājs nebija informējis atbildētāju par iespējamo viņa klēpjdatora saziņas uzraudzību, kā arī par uzraudzības raksturu un apjomu.

• Spānijas Datu aizsardzības iestāde (APD) 21. augustā publicētā lēmumā sodīja datu pārzini par VDAR 28. panta 2. un 3. punkta pārkāpumu.

Šī sankcija tika piemērota, lai gan starp datu pārzini un apakšuzņēmējiem nebija noslēgts līgums un datu pārzinis nebija informēts par apakšuzņēmēju iesaistīšanos datu apstrādes darbībās.

• Spānijas Datu aizsardzības aģentūra (APD) publicē emuāra ierakstu par digitālajām valūtām, kurā tā pievēršas lielākajiem kriptovalūtu radītajiem riskiem: svārstīgumam, spekulācijām, maldīgam pieejamības priekšstatam, drošībai un anonimitātei.
• Apvienotās Karalistes Vēlēšanu komisija 8. augustā paziņoja, ka tā ir kļuvusi par datu noplūdes upuri.

Kiberuzbrukums notika 2021. gada augustā un tika atklāts 2022. gada oktobrī.

Hakeri, kuru identitāte joprojām nav noskaidrota, laika posmā no 2014. līdz 2022. gadam ieguva piekļuvi 40 miljonu vēlētāju datiem, kas reģistrēti vēlēšanu sarakstos.

• Lielbritānijas valdība ir apturējusi savus plānus vājināt tiešsaistes šifrēšanu, īstenojot Tiešsaistes drošības likumprojektu.

Šī likumprojekta mērķis bija noteikt pienākumu ziņojumapmaiņas lietotnēm, piemēram, WhatsApp, analizēt lietotāju sarunas, lai atrastu bērnu pornogrāfiju. Pretrunīgi vērtētās klauzulas paliktu likumprojektā, taču Lielbritānijas valdība ir paziņojusi, ka tā nepiespiedīs tehnoloģiju uzņēmumus tās ieviest.

• Britu pētnieku komanda 2023. gada augustā publicēja rakstu par mākslīgā intelekta (MI) izstrādi, kas spēj atšifrēt paroli, vienkārši klausoties tastatūras taustiņu radītajās skaņās.

Mākslīgais intelekts tika apmācīts, izmantojot vairāk nekā 100 000 taustiņu nospiešanas datu kopu, un veiksmīgi pārbaudīts dažādās ierīcēs, tostarp klēpjdatoros, viedtālruņos un viedajos skaļruņos.

 

• Starptautiskā standartizācijas organizācija nesen publicēja ISO 22989:2022 — Mākslīgā intelekta koncepcijas un terminoloģija, kurā noteikta terminoloģija un aprakstīti jēdzieni mākslīgā intelekta jomā.

Šo dokumentu var izmantot citu standartu izstrādei un saziņas atbalstam starp dažādām ieinteresētajām pusēm vai ieinteresētajām personām. Tas ir piemērojams visu veidu organizācijām (komerciāliem uzņēmumiem, valsts iestādēm, bezpeļņas organizācijām).

• Tiek ziņots, ka Meta gatavojas ieviest maksas abonementu savām sociālo mediju platformām Instagram un Facebook.

Saskaņā ar laikraksta “Wall Street Journal” datiem lietotājiem, kuri nevēlas, lai viņus izsekotu personalizētas reklāmas nolūkos, būtu jāmaksā no 10 līdz 15 eiro mēnesī atkarībā no izmantotās ierīces (viedtālrunis, dators).

• Videonovērošana ar biometriskās atpazīšanas funkciju ir Argentīnas skandāla centrā: kļūdas, manipulācijām pakļauta sistēma, neatļauta piekļuve, pārredzamības pasākumu trūkums…

Septiņdesmit pieci procenti galvaspilsētas tiek novēroti ar videonovērošanas kamerām, taču sejas atpazīšanas sistēma tiek kritizēta pēc tam, kad kopš 2019. gada vismaz 140 kļūdas ir novedušas pie policijas pārbaudēm vai arestiem.

Aktīvisti nolēma iesūdzēt pilsētas valdību tiesā un 2022. gada aprīlī panāca sistēmas deaktivizēšanu.

Kopš tā laika Buenosairesas pilsēta cīnās par tā atjaunošanu ekspluatācijā.

• Indonēzijas drošības pētnieks tviterī atklāja, ka hakeris par 10 000 ASV dolāru ir pārdošanā izlicis failu, kurā ir gandrīz 35 miljonu pasu turētāju dati.

Ir jau zināms, ka hakeris 2022. gadā nozaga un pārdeva 1,3 miljardu SIM karšu datus no Indonēzijas Komunikāciju un informācijas tehnoloģiju ministrijas serveriem, un tiek turēts aizdomās arī par 17 miljonu Indonēzijas elektroenerģijas uzņēmuma klientu personiskās informācijas zādzību 2022. gadā (izmantojot AFCDP).

• Saūda Arābija septembra vidū publicēja savus noteikumus par personas datu aizsardzības likuma īstenošanu, kā arī noteikumus par personas datu nosūtīšanu ārpus Karalistes.
• 2021. gada 15. oktobrī Ruandas valdība pieņēma likumu par personas datu un privātuma aizsardzību.

Valdība ir piešķīrusi divu gadu pārejas periodu, lai ļautu privātpersonām un organizācijām saskaņot savas datu apstrādes darbības ar likumu. Šis periods beigsies 2023. gada 15. oktobrī.