Juridiskā uzraudzība Nr. 82 — 2025. gada aprīlis. 

Datu aizsardzība un standartu vienkāršošana: ko mums sagaidīt?

Standartu vienkāršošanas jautājums, kas ir bieži apspriesta tēma Eiropā, ir ieguvis īpašu nozīmi kopš vadības maiņas Baltajā namā.

Tādējādi pagājušā gada februārī Parīzes samitā par mākslīgo intelektu (MI) konkurētspēja kļuva par deklarētu prioritāti, ņemot vērā deregulāciju Amerikas Savienotajās Valstīs.

Arī Eiropas Komisijas darba programma 2025. gadam nepārprotami paredz veicināt ekonomikas izaugsmi, atbalstot inovācijas.

Kāda būs šīs politikas ietekme uz Eiropas datu aizsardzības standartiem?

Mākslīgā intelekta jomā Eiropa, pirmkārt, ir apņēmusies sasniegt galvenos regulas mērķus, vienlaikus izvērtējot administratīvo slogu uzņēmumiem.

Komisija lūgs nozares pārstāvju viedokli gadījumos, kad regulatīvā nenoteiktība kavēs mākslīgā intelekta attīstību, un iekļaus to plašākos centienos pārskatīt un, iespējams, līdz gada beigām atcelt digitālo noteikumu kopumu.

Direktīva par atbildību mākslīgā intelekta jomā, kuras mērķis bija atjaunināt ES produktu drošības noteikumus, lai aptvertu mākslīgo intelektu un automatizāciju, jau ir atsaukta.

CCIA, galvenā ASV lobiju grupa, kas pārstāv lielos tehnoloģiju uzņēmumus Briselē, atzinīgi novērtēja šo pieeju, vienlaikus aicinot uz "tiešu uzbrukumu" regulai.

Aprīļa beigās Eiropas Komisija arī informēja dalībvalstis par savu vadlīniju projektu attiecībā uz mākslīgā intelekta regulas saistību ar citiem noteikumiem, tostarp GDPR.

Viņa strādā pie mākslīgā intelekta regulā paredzētā pamattiesību ietekmes novērtējumu (FRIA) modeļa izstrādes, lai izvairītos no dublēšanās ar GDPR datu aizsardzības ietekmes novērtējumu.

Savukārt dalībvalstis uzsver nepieciešamību pēc ciešākas sadarbības ar citām iestādēm, lai novērstu to, ka abi pamatlikumi noved pie pretrunīgiem lēmumiem vai izmeklēšanas pārklāšanās.

Eiropas Datu aizsardzības kolēģija (EDPB) arī gatavo vadlīnijas par GDPR un mākslīgā intelekta regulas mijiedarbību un kopā ar Komisiju izskata sinerģijas iespējas, lai nodrošinātu interpretācijas konsekvenci, juridisko noteiktību un skaidrību operatoriem.

Kā ar GDPR? Pagājušā gada jūlijā Komisija publicēja novērtējuma ziņojumu par šo tēmu, kurā tika atklāta ievērojama MVU neapmierinātība vairākos aspektos:

• Pārmērīgas dokumentācijas prasības,
• DAS pieņemšanas darbā vai iecelšanas izmaksas,
• Grūtības izvēlēties juridisko pamatu (leģitīmas intereses/piekrišana),
• Ierobežojumi jaunajām tehnoloģijām un jaunuzņēmumiem.

Šī kritika atspoguļo bijušā Itālijas premjerministra Mario Dragi viedokli, kura pagājušā gada septembra ekonomikas ziņojumā norādīts uz sarežģītiem Eiropas likumiem, kas neļauj tās ekonomikai panākt Amerikas Savienoto Valstu un Ķīnas līmeni, un īpaši pieminēta mākslīgā intelekta regula un GDPR.

Komisija plāno maija beigās ierosināt "vienkāršošanas paketi" maziem un vidējiem uzņēmumiem, lai gan datums tiek norādīts kā indikatīvs: priekšlikums par privātuma noteikumu vienkāršošanu jebkurā gadījumā tiktu iesniegts līdz jūnijam.

Pielāgojumi varētu ietvert datu apstrādes darbību uzskaites prasību ierobežošanu vai datu aizsardzības ietekmes novērtējumu reformēšanu – divi noteikumi, kas tiek uzskatīti par īpaši apgrūtinošiem MVU.

Ir arī vērts atcerēties, ka parlamenta deputāts Aksels Voss un NVO Noyb prezidents Makss Šrems — divas personas, kuru viedokļi par šo tēmu vēsturiski ir bijuši pretēji — pagājušā gada martā apvienoja spēkus, lai ierosinātu būtisku GDPR pārskatīšanu, kuras mērķis ir

• Atbilstības vienkāršošana MVU un bezpeļņas organizācijām,
• Izveidot skaidrākus un vieglāk pārvaldāmus noteikumus lielām organizācijām,
• Stiprināt kontroles iespējas, lai nodrošinātu efektīvāku datu aizsardzību.

Lai gan šis priekšlikums atspoguļo pāreju uz pragmatiskiem risinājumiem, kas apvieno privātuma aizsardzību ar uzņēmējdarbības realitāti, citi norāda uz riskiem, kas saistīti ar teksta atkārtotu atvēršanu, jo tas varētu sabrukt lobiju spiediena ietekmē, kā uzsvērusi digitālo tiesību aizstāvības grupa EDRi.

Ir vērts atcerēties, ka sarunas par GDPR izstrādi izraisīja vienu no lielākajām lobēšanas aktivitātēm, kādu Brisele jebkad ir pieredzējusi.

Tehnoloģiju uzņēmumi iztērēja miljonus, cenšoties ietekmēt noteikumus to izstrādes procesā, un Eiropas Parlamentā priekšlikums bija iesniegts vairāk nekā 3000 grozījumu, kas ir rekordliels skaits.

Pašreizējais darbs pie GDPR procesuālās regulas, kuras mērķis ir stiprināt sadarbību starp datu aizsardzības iestādēm (DAI) un paātrināt lēmumu pieņemšanu pārrobežu lietās, varētu apstiprināt, ka ceļš uz elli ir bruģēts ar labiem nodomiem.

Turpinoties diskusijām (trilogam) starp Komisiju, Eiropas Parlamentu un Padomi, daži brīdina par risku panākt kompromisu, kas ne tikai nenodrošinās nepieciešamās reformas, bet arī varētu radīt jaunas ievainojamības.

17. aprīlī NVO Noyb paziņoja, ka trialogs ir izraisījis likumdošanas haosu, kas, visticamāk, padarīs procedūras sarežģītākas, lēnākas un pakļautas juridiskām grūtībām.

 

    

CNIL savu 2024. gada pārskatu publicēja 29. aprīlī.

Galvenās tēmas ietver kiberdrošību, kas kļūst par stratēģisku prioritāti turpmākajos gados, ievērojami palielinoties datu noplūžu skaitam (+20 %), un represīvu darbību pastiprināšanu.

Ziņojumā arī uzsvērta nepilngadīgo tiesību ievērošanas, komerciālās izpētes prakses kontroles un videonovērošanas regulējuma nozīme.

Vienlaikus CNIL stiprina Eiropas sadarbību, lai labāk regulētu lielas digitālās platformas, un turpina darbu mākslīgā intelekta jomā.

Komisija 30. aprīlī arī publicēja savas vadlīnijas lielu datubāzu drošības stiprināšanai.

Šie pasākumi paplašina un pastiprina pamata drošības pasākumus.

Tāpat kā ANSSI prioritārie kiberdrošības pasākumi vai tie, kuru mērķis ir novērst datu noplūdes, to mērķis nav uzskaitīt visus pietiekamos pasākumus, bet gan pievērst datu pārziņu uzmanību drošības pasākumiem, ko CNIL uzskata par nepieciešamiem, ja ir iesaistītas lielas datubāzes, jo īpaši attiecībā uz masveida datu noplūdes riskiem.

Divsimt Francijas plašsaziņas līdzekļu iesniedz sūdzību pret Meta par "nelikumīgu praksi": saskaņā ar Le Monde sniegto informāciju, "vairākas preses grupas (Prisma, Les Echos-Le Parisien, CMI), nacionālie un reģionālie dienas laikraksti, kā arī privātās un sabiedriskās raidorganizācijas (TF1, RMC-BFM, France Télévisions un Radio France) apsūdz Meta par to, ka tie ir izmantojuši periodu, kad paši ieviesa lietotāju piekrišanu viņu personas datu vākšanai, lai iesaistītos mērķtiecīgā reklāmā".

 

Eiropas iestādes un struktūras

23. aprīlī Eiropas Komisija piemēroja pirmos divus sodus saskaņā ar Digitālo tirgu regulu (DMA).

Konkrētāk, Apple un Meta tika piespriesti attiecīgi 500 miljonu eiro un 200 miljonu eiro naudas sodi.

Komisija uzskata, ka Apple nav izpildījusi savas saistības attiecībā uz lietojumprogrammu pieejamību App Store.

Kas attiecas uz Meta, uzņēmumam ir piespriests 200 miljonu eiro sods tā "piekrišanas vai maksāšanas" sistēmas dēļ.

Komisija uzskatīja, ka šis modelis nedeva lietotājiem konkrētu izvēli izvēlēties līdzvērtīgu pakalpojumu, kas izmantotu mazāk personas datu.

Ņemiet vērā, ka kopš šīs izmeklēšanas Meta ir ieviesusi trešo iespēju — "mazāk personalizētas reklāmas", ko Komisija vēl nav izvērtējusi.

Komisija ir publicējusi četrus jaunus uzaicinājumus iesniegt piedāvājumus 140 miljonu eiro vērtībā Digitālās Eiropas (DIGITAL) programmas ietvaros, lai veicinātu mākslīgā intelekta ieviešanu, veicinātu padziļinātas digitālās prasmes, paplašinātu Eiropas digitālās inovācijas centru (EDIH) tīklu un apkarotu dezinformāciju.

Šajā kontekstā tā 9. aprīlī publicēja aicinājumu sniegt ieguldījumu attiecībā uz turpmākajiem tiesību aktiem mākoņdatošanas un mākslīgā intelekta jomā (Mākoņdatošanas un mākslīgā intelekta attīstības likums — CAIDA).

Mērķis būtu novērst konkurētspējīgu Eiropas mākoņpakalpojumu trūkumu, kas piedāvātu pietiekamā mērogā ļoti kritiskiem lietojumiem ar īpaši augstām drošības prasībām.

EDAK un EDAU savus 2024. gada pārskatus iesniedza aprīļa beigās.

EDAU uzsvēra savas lomas attīstību, ņemot vērā Eiropas mākslīgā intelekta regulu, kas tai nosaka pienākumu būt par ES iestāžu uzraudzības un paziņošanas iestādi.

EDAK ziņojumā sniegts pārskats par 2024. gadā paveikto darbu, tostarp 2024.–2027. gada stratēģijas pieņemšanu, saskaņā ar 64. panta 2. punktu konsekvences mehānisma ietvaros sniegto atzinumu skaita pieaugumu un pastāvīgajiem centieniem sniegt norādījumus un juridiskas konsultācijas, jo īpaši MVU.

EDAK plenārsesijā 2025. gada aprīlī pieņēma vadlīnijas par personas datu apstrādi, izmantojot blokķēdes tehnoloģijas.

Dokumentā uzsvērts, cik svarīgi ir ieviest tehniskos un organizatoriskos pasākumus jau no apstrādes izstrādes sākumposma un vienlaikus definēt dažādu apstrādē iesaistīto personu lomas un pienākumus.

Tajā atkārtoti uzsvērta datu aizsardzības ietekmes novērtējumu nozīme un sniegti datu minimizācijas metožu piemēri, kā arī personas datu apstrāde un glabāšana. Vadlīnijas ir pieejamas apspriešanai līdz 9. jūnijam.

Attiecībā uz piekļuvi administratīvajiem dokumentiem Eiropas Savienības Tiesa (EST) ir pieņēmusi spriedumu par līdzsvaru, kas jāatrod starp šīm tiesībām un šajos dokumentos minēto personu datu aizsardzību.

Tā lēma, ka VDAR 6. panta 1. punkta c) un e) apakšpunkts neaizliedz papildu informēšanas pienākumus un datu subjekta apspriešanos pirms jebkādas viņa vai viņas personas datu izpaušanas.

Tomēr šie papildu pienākumi nedrīkst nesamērīgi ierobežot sabiedrības piekļuvi šiem dokumentiem.

EST publicē atjauninātu tematisko lapu par svarīgākajiem nolēmumiem datu aizsardzības jomā.

Dokumentā ir aplūkota judikatūra, kas saistīta ar vispārējiem datu aizsardzības noteikumiem un nozaru noteikumiem (elektroniskā komunikācija un krimināltiesības). Tajā ir sniegta arī spriedumu izlase par transversāliem noteikumiem, vienlaikus uzsverot Hartas lomu judikatūras attīstībā.

Aprīlī Eiropas Meta platformu lietotāji saņēma paziņojumu, kurā viņi tika informēti par to, ka Facebook un Instagram izmanto viņu datus mākslīgā intelekta apmācības nolūkos, kā arī saiti uz iebildumu veidlapu.

Norvēģijas Datu aizsardzības iestāde (APD) publicēja emuāra ierakstu, kurā paskaidrotas šī lēmuma sekas un personām pieejamās tiesiskās aizsardzības iespējas. Tā arī norādīja, ka ir lūgusi Meta, kā arī citām APD, vai tā ir pārbaudījusi mākslīgā intelekta apmācības saderību ar sākotnējo mērķi apkopot lietotāju ziņojumus un attēlus.

Starptautiskā Privātuma speciālistu asociācija (IAPP) publicē tabulu, kurā sniegts pārskats par prasībām attiecībā uz digitālās drošības incidentu paziņošanu un informācijas apmaiņu vairākos Eiropas tiesību aktos.

Tajā ir ņemta vērā GDPR, "policijas" direktīva, ePrivātuma direktīva, datu pārvaldības regula, datu regula, NIS2 direktīva, digitālās darbības noturības regula, Maksājumu pakalpojumu direktīva 2, kibernoturības regula un mākslīgā intelekta regula.

Microsoft ir oficiāli ieviesis savu Eiropas datu robežu principu mākoņpakalpojumiem, apņemoties glabāt un apstrādāt savu klientu personas datus tikai ES un EBTA valstīs.

Tomēr dati no noteiktiem Azure pakalpojumiem var tikt pārsūtīti ārpus ES, ja Microsoft to uzskata par nepieciešamu kiberdrošības izmeklēšanām.

Turklāt jāatzīmē, ka Mākoņdatošanas likums ļauj ASV iestādēm piekļūt Amerikas uzņēmumu datiem neatkarīgi no tā, kur tie tiek glabāti.

 

Ziņas no Eiropas Savienības dalībvalstīm.

Vācijas Federālā tiesa uzskatīja, ka kvalificētām iestādēm (piemēram, patērētāju organizācijām) ir tiesības celt prasību tiesā par VDAR informācijas sniegšanas pienākumu pārkāpumu saskaņā ar patērētāju tiesību aizsardzības tiesību aktiem neatkarīgi no konkrētā pārkāpuma un bez datu subjektu pilnvarojuma.

Lieta attiecās uz Meta Platforms Ireland Ltd (Meta) nespēju ievērot juridiskās prasības attiecībā uz lietotāja piekrišanas iegūšanu.

BeļģijāLēmumā atgādināts, ka GDPR darbības joma attiecas arī uz profesionālajiem datiem: APD uzlika 20 000 eiro naudas sodu uzņēmumu datu brokerim par uzņēmuma vadošā partnera e-pasta adreses apkopošanu un izpaušanu.

APD arī atgādināja, ka datu pārzinis nevar piespiest personu izveidot tiešsaistes kontu, ja tas nav nepieciešams, šajā gadījumā, lai iesniegtu sūdzību.

Uzņēmums šeit ir pārkāpis datu minimizācijas un datu aizsardzības pēc noklusējuma un integrētas aizsardzības principus.

Spānijā Uzņēmumam (Marina Salud), kas pārvalda slimnīcu datus Valensijas kopienas autonomās valdības vārdā, ir piespriests 500 000 eiro naudas sods par sekundāro apakšuzņēmēju iecelšanu bez datu pārziņa atļaujas, pārkāpjot GDPR 28. panta 2. punktu.

Tāpat Spānijā bankai tika piemērots 120 000 eiro sods par klienta personas datu nelikumīgu apstrādi, pārkāpjot GDPR 6. panta 1. punktu, pēc tam, kad darbinieks datu aizsardzības līgumā atdarināja klienta parakstu.

TikTok tika nosodīts 2. maijā Īrijas datu aizsardzības iestāde uz 530 miljonu eiro sodu par nelikumīgu eiropiešu personas datu nosūtīšanu uz Ķīnu un to slēpšanu no tās lietotājiem.

TikTok ir seši mēneši, lai pielāgotu savu praksi GDPR prasībām.

Īrijas tiesa ir atstājusi spēkā Datu aizsardzības iestādes (DPA) lēmumu, kas noteica, ka darba devējs nav datu pārzinis attiecībā uz neprofesionāliem datiem, kas atrodas viena no tā darbiniekiem darba tālrunī.

Maltas APD publicē bieži uzdoto jautājumu sēriju par darbinieku e-pasta kontu pārvaldību pēc tam, kad viņi pamet organizāciju.

Rokasgrāmata mudina darba devējus pieņemt proaktīvu un strukturētu pieeju kontu pārvaldībai gan darba attiecību laikā, gan pēc darbinieka aiziešanas, kā arī risināt galvenos jautājumus par izplatītu praksi, piemēram, automātisku pasta pārsūtīšanu un automātiskām atbildes ziņām.

Saistībā ar Rumānijas prezidenta vēlēšanām, kas notika 4. un 18. maijā, TikTok paziņoja par jauniem pasākumiem, kuru mērķis ir novērst dezinformācijas kampaņu, kas ir līdzīga tai, kas, iespējams, palīdzēja kandidātam Kelinam Georgesku sasniegt pirmās kārtas virsotni pagājušā gada novembrī.

Lietotnē ir izveidots arī “Vēlēšanu centrs”, kurā sniegta informācija, piemēram, par svarīgiem datumiem un saitēm uz Pastāvīgās vēlēšanu iestādes tīmekļa vietni, kā arī publicēti izpratnes veicināšanas rīki par dezinformāciju.

Šie pasākumi tiek veikti laikā, kad Eiropas Komisija ir uzsākusi izmeklēšanu saskaņā ar Digitālo pakalpojumu aktu (DSA), lai noskaidrotu novembra notikumus.

 

Ķīnā Kibertelpas administrācija tikko paziņoja par trīs mēnešu kampaņas sākšanu, lai apkarotu mākslīgā intelekta tehnoloģiju ļaunprātīgu izmantošanu. Par interneta regulēšanu atbildīgajām iestādēm būs jāvada tiešsaistes platformas kampaņas prasību izpildē, stiprinot mehānismus mākslīgā intelekta ģenerēta satura pārskatīšanai, uzlabojot atklāšanas iespējas un nodrošinot korektīvu pasākumu pareizu īstenošanu.

Amerikas Savienotajās Valstīs Pārstāvju palātas Enerģētikas un tirdzniecības komitejas locekļi ir uzsākuši izmeklēšanu par Deepseek saistību ar Ķīnas Komunistisko partiju. Tiek apgalvots, ka tērzēšanas robots ne tikai sūta datus uz Ķīnu, bet arī kopīgo lietotāju personas informāciju ar citām ar partiju saistītām struktūrām, tostarp ByteDance Ltd. Pastāv arī aizdomas, ka mākslīgā intelekta lietojumprogramma vāc lietotāju sirdsdarbības datus.

Privātuma nākotnes forums (FPF) ir pakļauts Trampa administrācijas kritikai. Senāta Tirdzniecības komitejas priekšsēdētājs Teds Krūzs (republikānis no Teksasas) pieprasa atbildes no FPF, kas, iespējams, izmantoja federālās dotācijas, lai piespiestu štatus pieņemt "kreisā spārna" mākslīgā intelekta likumus. Senators Krūzs ir noraizējies, ka grupa atklāti iestājas par mākslīgā intelekta noteikumiem, kas ir saskaņoti ar Baidena administrācijas politisko programmu. Viņš arī rūpīgi pārbauda organizācijai piešķirtās federālās dotācijas.

Saskaņā ar Euractiv sniegto informāciju, kas atsaucas uz Financial Times, Eiropas Komisija aprīko savus darbiniekus, kas nosūtīti uz ASV, ar vienreizlietojamiem tālruņiem, ņemot vērā bažas par novērošanu. "ES izpildvaras izdotās jaunās vadlīnijas, kurās arī ieteikts ceļojumos uz ASV izmantot vienkāršus klēpjdatorus, ir līdzīgas tām, kas paredzētas ceļojumiem uz Ukrainu vai Ķīnu. Visiem darbiniekiem, iebraucot valstī, ieteicams izslēgt savas ierīces un ievietot tās speciālā pretspiegošanas maciņā."

CNN ziņo, ka Trampa administrācija ar Palantir palīdzību izveido "vispārēju datubāzi, lai paātrinātu imigrācijas kontroli un deportāciju, apvienojot sensitīvus datus no visas federālās valdības", veidojot "mērķauditorijas atlases sarakstus" un arestējot mērķtiecīgas personas. Wired iepriekš ziņoja, ka "DOGE apkopo imigrācijas datubāzes no visas Iekšzemes drošības departamenta (DHS) un lejupielādē datus no ārējām aģentūrām, tostarp Sociālās nodrošināšanas administrācijas (SSA), kā arī balsošanas ierakstus", kas, kā ziņots, tiek mitināti Palantir izstrādātā programmatūrā.