Juridiskā uzraudzība Nr. 68 — 2024. gada februāris.

CNIL kontrole: kādas ir 2024. gada prioritātes? ?

Kā katru gadu, CNIL 2024. gada sākumā publicēja savas iepriekšējās darbības pārskatu un prioritātes turpmākajiem mēnešiem.

Tas norāda uz pastāvīgi pieaugošu kontroli, ko padara efektīvāku vienkāršotas procedūras ieviešana atsevišķos gadījumos.

Pagājušajā gadā pārbaudes skāra dažādas nozares, piemēram, reklāmu un tiešsaistes tirdzniecību, drošību, transportlīdzekļu ģeolokāciju, darbinieku tiesības un veselības datu apstrādi.

CNIL ir piemērojusi sankcijas gan starptautiskiem uzņēmumiem, gan MVU, kā arī valsts un privātā sektora dalībniekiem.

Tomēr šķiet, ka Komisija ir apzinājusies papildu pūles, kas nepieciešamas mazo organizāciju vadītājiem, lai nodrošinātu atbilstību GDPR.

1. martā publicētā pētījumā par GDPR ekonomisko ietekmi viņa norāda, ka "GDPR ir proporcionāli labvēlīgāks lieliem ekonomikas dalībniekiem, kuriem ir vairāk resursu, ko veltīt atbilstības nodrošināšanai".

Viņa no tā izdara secinājumus, norādot, ka "regulatoram ir aktīvi jākompensē šī tendence ar prasīgu politiku pret lieliem spēlētājiem un vēl jo vairāk pret ļoti lieliem spēlētājiem proporcionāli riskiem, ko tie rada, un resursiem, kas ir to rīcībā".

Tādējādi, kā norādīts arī CNIL un Konkurences iestādes kopīgajā 2023. gada decembra paziņojumā, CNIL jau tagad pieņem un nākotnē vēl vairāk pieņems asimetrisku dimensiju savām regulatīvajām darbībām digitālajos tirgos.apvienojumā ar pilnīgu izpratni par uzņēmējdarbības modeļiem, indivīdu labā un viņu pamattiesību aizsardzībā.

Starp šogad izziņotajām darbībām, kas nepārsteidz, ir arī ar 2024. gada Olimpiskajām un Paralimpiskajām spēlēm saistītie faili un personu tiesības piekļūt saviem datiem.

Runājot par Olimpiskajām spēlēmCNIL plāno pārbaudīt drošības ierīču izmantošanu, jo īpaši pastiprinātāju kameru, QR kodu ierobežotas piekļuves zonām un piekļuves atļauju izmantošanu.

Datu apjoms un pasākumā iesaistīto partneru skaits arī liks Komisijai pārbaudīt biļešu datu izmantošanu, lai novērstu attiecīgo personu datu krāpniecisku atkārtotu izmantošanu.

Ņemiet vērā, ka sejas atpazīšanas izmantošanas jautājums tiesībaizsardzības iestādēs ir iekļauts arī Eiropas Datu aizsardzības kolēģijas (EDAK) prioritātēs tās 2023.–2024. gada darba programmā.

Personu tiesības piekļūt saviem datiem ir EDAK koordinētās rīcības tēma 2024. gadam (skatīt arī turpmāk).

EDAK 2023. gadā pieņēma vadlīnijas par šo tēmu, lai palīdzētu datu pārziņiem ieviest piekļuves procedūras, kas papildina CNIL publicētās vadlīnijas.

CNIL pievērsīsies arī datiem, kas tiešsaistē apkopoti no nepilngadīgajiem. : tā pārbaudīs, vai ir ieviesti vecuma kontroles mehānismi, kādi drošības pasākumi ir plānoti un vai tiek ievērots datu minimizēšanas princips.

Visbeidzot, tajā tiks aplūkota kases čeku dematerializācijas un lojalitātes programmu izmantošanas ietekme uz indivīdu tiesībām..

Piemēram, papīra čeku aizstāšana ar īsziņām vai e-pastu ietver papildu datu vākšanu.

CNIL precizē, ka šos datus, tāpat kā informāciju par personu pirkumiem, reklāmas mērķauditorijas atlases nolūkos var izmantot tikai ar attiecīgo personu iepriekšēju piekrišanu.

Visbeidzot, jāatzīmē, ka CNIL var uzsākt lietu neatkarīgi no noteiktajām prioritātēm, pamatojoties uz sūdzību, publikāciju presē vai citas Eiropas valsts datu aizsardzības iestādes ziņojumu.

 

    

• 31. janvārī CNIL nekustamo īpašumu pakalpojumu sniedzējam PAP piesprieda 100 000 eiro lielu naudas sodu.

CNIL (Francijas Datu aizsardzības iestāde) konstatēja trūkumus attiecībā uz datu glabāšanas periodiem, personu informēšanu, attiecību pārvaldību starp PAP (Personal Access Point) un apakšuzņēmēju, kā arī datu drošību (paroļu glabāšana vienkāršā tekstā). Konstatētie drošības trūkumi pakļāva datus kiberuzbrukumu un noplūžu riskiem.

• 31. janvārī tā arī piesprieda FORIOU 310 000 eiro sodu par datu brokeru sniegto datu izmantošanu komerciālas izpētes nolūkos, nepārliecinoties, ka attiecīgās personas ir devušas derīgu piekrišanu saziņai.

CNIL atgādina, ka uzņēmuma, kas izmanto datus, pienākums ir pārliecināties, ka attiecīgās personas iepriekš, datu vākšanas brīdī, ir devušas derīgu piekrišanu.

Komisija atzīmēja, ka, lai gan uzņēmums noteica noteiktas līgumiskās prasības saviem augšupējiem datu sniedzējiem, lejupējiem posmiem netika īstenota efektīva šo prasību kontrole.

• 30. janvārī Valsts padome atzina, ka nodokļu datu automātiskā pārsūtīšana starp Franciju un Amerikas Savienotajām Valstīm saskaņā ar FATCA nolīgumu nepārkāpj GDPR 5. un 46. pantu, un atbilstības lēmuma neesamība neliedz datu pārsūtīšanu, kas "nepieciešama svarīgu sabiedrības interešu dēļ".

Nejaušo amerikāņu asociācija bija lūgusi Valsts padomi atcelt CNIL lēmumu, ar kuru tā bija noraidījusi tās sūdzību.

Valsts padome uzskatīja, ka CNIL ir pietiekami pamatojusi savu lēmumu.

Jāņem vērā, ka par to pašu jautājumu Beļģijas datu aizsardzības iestāde bija nonākusi pie cita secinājuma un aizliegusi nejauši Beļģijas amerikāņu nodokļu datu pārsūtīšanu uz Amerikas Savienotajām Valstīm.

• Francijas jaunuzņēmums Mistral, kas specializējas mākslīgā intelekta izstrādē, 26. februārī paziņoja par stratēģisku partnerību ar Microsoft.

Kā vēsta laikraksts Le Monde, šis paziņojums rada spriedzi Briselē pēc intensīviem lobēšanas centieniem, īpaši no Francijas puses, lai dotu priekšroku Eiropas jaunuzņēmumiem un ierobežotu tiem paredzētās saistības turpmākajā mākslīgā intelekta regulējumā.

Zaļo partijas deputāti ir nosūtījuši vēstuli Eiropas Komisijai, kurā pauž jautājumus par iespējamiem interešu konfliktiem un pārredzamības problēmām saistībā ar Mistral lobiju šīs regulas jautājumā.

• Janvāra vidū ANSSI publicēja trīs vadlīnijas, kuru mērķis ir "kiberincidenta seku likvidēšanas pārvaldība".

Šīs rokasgrāmatas sastāv no trim daļām: stratēģiskās, operatīvās un tehniskās.

Aģentūra norāda, ka "ja nopietns incidents tiek daļēji vai slikti novērsts, tā sekas var saglabāties laika gaitā".

"Šis augstais destabilizācijas potenciāls prasa (...) zināšanas šo kiberuzbrukumu ierobežošanā, apdraudētās informācijas sistēmas kontroles atgūšanā un pietiekamas darbības stāvokļa atjaunošanā."

Koriģējošā rīcība ir kiberincidentu reaģēšanas galvenais aspekts, kā arī izmeklēšana un krīzes pārvaldība.

• Pēc astoņu mēnešu eksperimentiem digitālā vadītāja apliecība ir pieejama kopš 14. februāra visiem, kas to pieprasa.

Ar Francijas identitātes pieteikumu ir iespējams arī digitalizēt savu personas apliecību un izmantot to noteiktām procedūrām, piemēram, pilnvaras izsniegšanai.

 

Eiropas iestādes un struktūras

• 28. februārī EDAK uzsāka savu "koordinēto izmeklēšanas sistēmu" (CFE) 2024. gadam.

Visu gadu Eiropas datu aizsardzības iestādes (DAI) piedalīsies šajā iniciatīvā par piekļuves tiesību īstenošanu.

2023. gada oktobra plenārsesijā EDAK par savu trešo koordinēto īstenošanas darbību izvēlējās piekļuves tiesības, "jo tās ir datu aizsardzības pamatā un ir vienas no visbiežāk izmantotajām datu aizsardzības tiesībām, par kurām datu aizsardzības iestādes saņem daudz sūdzību".

• EDAK drīzumā sniegs izšķirošu atzinumu par "pieņemt vai maksāt" biznesa modeli, kas paredz samaksu par piekļuvi tīmekļa vietnes saturam apmeklētājiem, kuri atsakās no sīkfailiem.

Meta pieņēma šo pieeju 2023. gada novembrī, kā rezultātā Nīderlandes, Norvēģijas un Hamburgas datu aizsardzības iestādes lūdza EDAK pieņemt saistošu atzinumu par šīs prakses likumību.

Pilsoniskā sabiedrība baidās, ka, ja šis ekonomiskais modelis tiks leģitimizēts, visu rūpniecības nozaru uzņēmumi sekos Meta piemēram, kas varētu iezīmēt patiesas piekrišanas datu izmantošanai beigas.

28 NVO ir nosūtījušas vēstuli EDAK, aicinot to sniegt atzinumu, kas aizsargā pamattiesības uz datu aizsardzību.

• EDAK plenārsesijā februāra vidū pieņēma atzinumu, kurā precizēts galvenās uzņēmējdarbības vietas jēdziens "vienas pieturas aģentūras" kontekstā.

Uzņēmumi nevar vienkārši izveidot galveno uzņēmējdarbības vietu, "uzliekot zīmi uz durvīm": uzņēmējdarbības vietai jābūt vietai, kur tiek pieņemti apstrādes lēmumi, un, ja šie lēmumi tiek pieņemti ārzemēs, galvenās uzņēmējdarbības vietas nevar būt: vienas pieturas aģentūras princips netiek piemērots. EDAK arī pieņēma paziņojumu, kurā aicināja ES likumdevējus nodrošināt, lai Bērnu seksuālās izmantošanas, tostarp bērnu tiesību, regula, kuras mērķis ir aizsargāt bērnu tiesības tiešsaistē, ievērotu tiesības uz privātumu un datu aizsardzību. 

• Eiropas Parlaments un konkrētāk Aizsardzības apakškomiteja februāra beigās bija paaugstinātas trauksmes stāvoklī pēc tam, kad divu tā locekļu tālruņos tika atklātas uzlaušanas pēdas, radot bažas par kiberuzbrukumiem un ārvalstu iejaukšanos pirms Eiropas Parlamenta vēlēšanām jūnijā.

Pagājušā gada decembrī "Politico" ziņoja, ka iestādes kiberdrošība "vēl nav sasniegusi nozares standartus" un "pilnībā neatbilst hakeru radītajam apdraudējuma līmenim".

Šie jaunie atklājumi seko iepriekšējiem incidentiem, kuros spiegprogrammatūra Pegasus un Predator uzbruka citiem Eiropas Parlamenta deputātiem.

• 19. februārī Eiropas Komisija uzsāka izmeklēšanu par bērnu tiesībām platformā TikTok.

Viņa jo īpaši aizdomās par pārkāpumiem attiecībā uz pārredzamību un pienākumiem aizsargāt nepilngadīgos saskaņā ar Digitālo pakalpojumu regulu (DPA), tostarp atkarību izraisošu dizainu, nepietiekamu vecuma pārbaudi un nepietiekamus noklusējuma privātuma iestatījumus. DPA ES ir spēkā kopš 2017. gada 17. februāra.

• ES dalībvalstis ar Eiropas Komisijas un Eiropas Savienības Kiberdrošības aģentūras (ENISA) atbalstu 21. februārī publicēja ziņojumu par kiberdrošību un Eiropas komunikācijas infrastruktūru un tīklu noturību.

Šis ziņojums seko dalībvalstu veiktam ar šīm infrastruktūrām un tīkliem saistīto risku novērtējumam.

Novērtējumā tika identificēti vairāki draudi, piemēram, logu tīrītāji, izspiedējvīrusu uzbrukumi, piegādes ķēdes uzbrukumi, fiziski uzbrukumi un sabotāža.

• 13. februārī Eiropas Cilvēktiesību tiesa (ECT) pieņēma lēmumu Podčasova lietā par Krievijas pilsoņu privātās saziņas vākšanu un piekļuvi tai.

Debašu laikā par šifrētas saziņas iespējamiem apdraudējumiem Tiesa skaidri norādīja, ka saziņas šifrēšanas vājināšana visiem pilsoņiem nav pamatota.

Pēc E. Tuhtfelda teiktā, "šis lēmums nosūta svarīgu vēstījumu ne tikai Krievijas valstij, bet arī citām Eiropas valdībām, kas apsver iespēju uzstādīt "aizmugurējās durvis" šifrētos ziņojumapmaiņas pakalpojumos, piemēram, Telegram, Signal vai WhatsApp".

• ECT 15. februāra spriedumā arī atzina, ka sistemātiska un nekritiska telekomunikāciju datu glabāšana, kas Slovēnijā tika izmantota pret bijušo tiesnesi viņa tiesas procesa laikā, ir jāuzskata par viņa tiesību uz privātumu pārkāpumu.

Pieteikuma iesniedzēja notiesāšanas laikā sakaru pakalpojumu sniedzējiem bija pienākums sistemātiski un nediferencēti saglabāt telekomunikāciju datus 14 mēnešus.

Tiesa uzskatīja, ka šāda aizsardzība neatbilst demokrātiskā sabiedrībā nepieciešamajām robežām.

Tādējādi datu saglabāšana, piekļuve tiem un apstrāde kriminālprocesa kontekstā pret pieteikuma iesniedzēju ir pārkāpusi viņa tiesības uz privātās dzīves neaizskaramību.

 

Ziņas no Eiropas dalībvalstīm.

• Beļģijā Beļģijas Datu aizsardzības iestāde (APD) savā tīmekļa vietnē ir ievietojusi sadaļu ar nosaukumu "Dokumenti datu aizsardzības speciālistam".

Tas jo īpaši ietver tiesu un APD lēmumus attiecībā uz datu aizsardzības speciālistiem, piemēram, par tādiem jautājumiem kā interešu konflikts un aizsardzība pret atlaišanu.

• Beļģijas Datu aizsardzības iestāde arī uzskatīja, ka neatkarīgi no sūdzības atsaukšanas tai joprojām ir tiesības konstatēt attiecīgās personas tiesību pārkāpumu un uzlikt naudas sodu par GDPR neievērošanu.
• Itālijas Datu aizsardzības iestāde (APD) 29. februārī paziņoja, ka tā ir piemērojusi Enel Energia vairāk nekā 79 miljonu eiro sodu par nopietniem pārkāpumiem daudzu lietotāju personas datu apstrādē elektroenerģijas un gāzes nozarē, kas tika veikta telemārketinga nolūkos.
• APD arī piesprieda Sirakjūzu pašvaldībai 5000 eiro sodu par datu aizsardzības speciālista kontaktinformācijas nesniegšanu saskaņā ar GDPR 37. pantu.
• Grieķijas Datu aizsardzības iestāde (DPA) ir sodījusi datu pārzini ar 5000 eiro sodu, jo tās datu aizsardzības speciālists (DPO), neskatoties uz vairākiem atgādinājumiem, neatbildēja uz anketu, kas viņam tika nosūtīta DPA koordinētās Eiropas rīcības ietvaros 2023. gadā.
• Spānijā APD atteicās atļaut bankai izmantot noziedzīgi iegūtu līdzekļu legalizācijas novēršanas pienācīgas pārbaudes pienākumus kā attaisnojumu, lai piespiestu sūdzības iesniedzēju sniegt informāciju par savas naudas izcelsmi, izmantojot nešifrētus e-pastus.

Tā datu pārzinim uzlika 2 500 000 eiro lielu naudas sodu.

• Dānijas Datu aizsardzības iestāde savā piektajā lēmumā par Chromebook konstatēja, ka 53 pašvaldības ir nelikumīgi kopīgojušas skolēnu personas datus ar Google Google izstrādes vajadzībām, pārkāpjot GDPR 6. panta 1. punkta e) apakšpunktu.
• Apvienotajā Karalistē DPA piesprieda Lielbritānijas Aizsardzības ministrijai 409 080 eiro (350 000 mārciņu) sodu par 265 to cilvēku e-pasta adrešu izpaušanu, kuri vēlējās pamest Afganistānu pēc talibu nākšanas pie varas 2021. gadā.
• Žurnāls Republik apsūdz Šveices Federālo izlūkdienestu (FIS), kas janvāra vidū publicēja izmeklēšanu, apgalvojot, ka FIS ir piekļuve visu Šveices pilsoņu e-pastiem un ka tas masveidā uzrauga viņu saziņu saskaņā ar 2016. gada likumu.

Dati tiktu vākti tieši no sakaru kabeļiem, izmantojot iekārtas, kas uzstādītas interneta pakalpojumu sniedzēju infrastruktūrā. SRC šīs apsūdzības (ar AFCDP vēstules starpniecību) noliedz.

• Kiberuzbrukums amerikāņu uzņēmumam noveda pie sensitīvas informācijas par Šveices gaisa spēkiem izpaušanas tumšajā tīmeklī.

Atbildību par uzbrukumu uzņēmās hakeru grupa ALPHV, kuras rezultātā tika publiskoti slepeni dokumenti, tostarp 5 miljonu dolāru vērts līgums starp Šveici un Ultra Intelligence & Communications, kas ir šifrēšanas un komunikāciju tehnoloģiju nodrošinātājs aizsardzības nozarei.

2023. gada jūlijā līdzīgs uzbrukums skāra Šveices uzņēmumu Xplain, kam novembrī sekoja uzlaušana programmatūras uzņēmumā Concevis, kas strādā arī aizsardzības nozarē un nodokļu administrācijā.

 

• Baidena administrācija 28. februārī pieņēma izpildrīkojumu, kura mērķis ir aizsargāt amerikāņu sensitīvos personas datus no izmantošanas noteiktās trešajās valstīs ("valstis, kas rada bažas").

Šis dekrēts pilnvaro ģenerālprokuroru novērst plaša mēroga amerikāņu personas datu nosūtīšanu uz valstīm, kas rada bažas, un paredz drošības pasākumus citām darbībām, kas varētu ļaut šīm valstīm piekļūt amerikāņu sensitīvajiem datiem.

Šie dati jo īpaši ietver genomiskos, biometriskos, veselības, ģeolokācijas un finanšu datus.

• ASV Nacionālais standartu un tehnoloģiju institūts (NIST) februārī publicēja konkrētus pasākumus, lai integrētu drošību katrā programmatūras izstrādes cikla fāzē.

Rokasgrāmatā ražotājiem ieteikts prioritizēt virkni konkrētu pasākumu, tostarp noteikt pamata drošības prasības atvērtā pirmkoda programmatūras integrācijai un paplašināt "izcelsmes datu" uzraudzību.

• Arī Amerikas Savienotajās Valstīs Federālā tirdzniecības komisija (FTC) tikko ir aizliegusi Avast pārdot savu klientu pārlūkošanas datus reklāmas nolūkos.

Federālā tirdzniecības komisija (FTC) izmeklēja apgalvojumus, ka Avast pārdeva pārlūkošanas datus, apgalvojot, ka tā produkti bloķē tiešsaistes izsekošanu. Avast tika sodīts ar 16,5 miljonu dolāru lielu naudas sodu.

Ņemiet vērā, ka Čehijas Datu aizsardzības iestāde (DPA) 2023. gada aprīlī noteica uzņēmumam sankcijas to pašu iemeslu dēļ.

• Džordžijas štata datu aizsardzības likuma grozījumi stājās spēkā 1. martā.

Šo izmaiņu mērķis ir nodrošināt aizsardzību, kas ir tuvāka GDPR noteiktajai. 

Mobilo tālruņu operatoriem un to īsziņu pakalpojumu sniedzējiem tagad ir aizliegts izmantot pilsoņu personas datus tiešā mārketinga nolūkos bez viņu iepriekšējas piekrišanas.

Turklāt tagad valsts iestādēm un noteiktiem privātiem uzņēmumiem ir obligāti jāieceļ datu aizsardzības speciālists.

• Honkongas personas datu aizsardzības komisārs (PDPC) no 2023. gada augusta līdz 2024. gada februārim veica atbilstības pārbaudes 28 vietējās organizācijās attiecībā uz to personas datu apstrādi mākslīgā intelekta izmantošanas kontekstā.

Novērtējums aptvēra dažādas nozares, tostarp telekomunikācijas, finanšu un apdrošināšanas, skaistumkopšanas pakalpojumus, mazumtirdzniecību, transportu, izglītību un valdības ministrijas.

PCPD neatrada pārkāpumus, lai gan atzīmēja, ka arvien vairāk gan valsts, gan privāto organizāciju izmanto mākslīgo intelektu, lai uzlabotu ikdienas darbības efektivitāti.