Juridiskā uzraudzība Nr. 67 — 2024. gada janvāris.

Datu aizsardzības speciālistu loma un resursi: gada auditu rezultāti

17. janvārī CNIL un tās Eiropas kolēģi publicēja savu veikto izmeklēšanu rezultātus par datu aizsardzības speciālistu (DPO) lomu un resursiem GDPR piemērošanas kontekstā.

Šī tēma bija Eiropas Datu aizsardzības kolēģijas (EDAK) koordinētas Eiropas rīcības priekšmets 2023. gadā.

DAS galvenās funkcijas, kā noteikts VDAR 37.–39. pantā, ietver pārziņa informēšanu un konsultēšanu par datu aizsardzības jautājumiem (tostarp ietekmes novērtējumu veikšanu), personāla informētības veicināšanu un apmācību, kā arī datu pārkāpumu uzraudzību.

Datu aizsardzības speciālists sadarbojas ar uzraudzības iestādi un ir kontaktpersona personām, kuru dati tiek apstrādāti.

Datu aizsardzības iestāžu veiktās izmeklēšanas balstījās uz anketu, ko kopīgi izstrādāja visas to veidojošās iestādes.

Francijā CNIL veica 14 datu pārziņu auditu un papildināja anketas nosūtīšanu ar vairākām pārbaudēm uz vietas.

Pārbaudes aptvēra tādus valsts sektora dalībniekus kā slimnīcas, universitātes, pašvaldības, pārvaldības centrus un privātā sektora dalībniekus luksusa preču un transporta nozarēs.

Ievērības cienīgs ir īpaši mazais revidēto amatpersonu skaits.

Tāpat kā vairākas Eiropas iestādes, CNIL ir izvēlējusies veikt ierobežotu skaitu padziļinātu izmeklēšanu, savukārt citas iestādes ir sazinājušās ar desmitiem tūkstošu vadītāju, neveicot tik rūpīgas pārbaudes.

EDAK ziņojumā šīs pieeju atšķirības ir ņemtas vērā analīzē.

CNIL sniedz kopumā pozitīvu novērtējumu par DAS lomu un tam piešķirtajiem resursiem.

Viņa norāda, ka viņiem parasti ir pietiekami daudz resursu.

Tomēr viņa uzsver lielās atšķirības starp resursiem, kas piešķirti DPO valsts struktūrās, kuras bieži strādā vienas, īpaši mazās kopienās, savukārt DPO privātajā sektorā parasti ir komanda.

Šis novērojums ir apstiprināts Eiropas līmenī.

Starp konstatētajiem trūkumiem ir interešu konflikta risks starp DAS pienākumiem un citiem viņam uzticētajiem uzdevumiem, kā arī DAS neiesaistīšanās lēmumu pieņemšanā par datu aizsardzību.

Šajā sakarā CNIL norāda, ka (ārpus šīs izmeklēšanas) tā ir sodījusi sociālā sektora organizāciju ar 10 000 eiro naudas sodu, jo delegāts nespēja pienācīgi pildīt savus pienākumus: viņš nebija pietiekami iesaistīts jautājumos, kas saistīti ar personas datu aizsardzību, un viņa funkcijas nebija pārskatāmas organizācijas darbiniekiem.

Eiropas ziņojumā šī analīze noslēdzas, norādot, ka datu aizsardzības speciālisti papildus savai lomai saistībā ar GDPR arvien vairāk uzņemas galvenās lomas jauno Eiropas noteikumu kontekstā, piemēram, attiecībā uz mākslīgo intelektu, digitālajiem pakalpojumiem, digitālo tirgu vai datiem. 

Viņiem tiek piešķirtas arī jaunas lomas, kas saistītas ar ētiku, datu pārvaldību un datu telpām.

Ņemot vērā šo tendenci, Komiteja brīdina par paaugstinātu interešu konfliktu risku vai datu aizsardzības inspektoriem pieejamo resursu nepietiekamību.

Viņš uzsver, ka datu aizsardzības iestādēm, kā arī datu pārziņiem ir būtiska loma, lai datu aizsardzības speciālists varētu pilnībā pildīt savus pienākumus.

 

     

• CNIL pēdējo nedēļu laikā ir noteikusi vairākas būtiskas sankcijas.
• 2023. gada 29. decembrī tā piesprieda Yahoo 10 miljonu eiro sodu par to, ka tā neievēroja to interneta lietotāju izvēli, kuri atteicās no sīkfailiem tās tīmekļa vietnē, un par to, ka tā ziņojumapmaiņas pakalpojuma lietotājiem neļāva brīvi atsaukt savu piekrišanu sīkfailu izmantošanai.
• Pēc pārbaudēm uz vietas Amazon France Logistique noliktavās Francijas datu aizsardzības iestāde (CNIL) 27. decembrī konstatēja arī vairākus GDPR pārkāpumus saistībā ar plašu darba vietu uzraudzību un piesprieda starptautiskajam uzņēmumam 32 miljonu eiro sodu. Saskaņā ar CNIL datiem, Amazon ir ieviesis "pārmērīgi uzmācīgu" uzraudzības sistēmu, kas darbojas, nesniedzot informāciju, un nav pietiekami droša.
• 29. decembrī CNIL arī uzlika 105 000 eiro sodu elektroniskās naudas izplatītājam NS Cards France par pārmērīgu personas datu glabāšanu, nepilnīgām privātuma politikām, nepietiekamiem drošības pasākumiem un lietotāja piekrišanas neesamību attiecībā uz nebūtiskām sīkdatnēm.
• Visbeidzot, tā uzsāk sabiedrisko apspriešanu par vadlīniju projektu attiecībā uz datu pārsūtīšanas ietekmes novērtējumu ārpus Eiropas Ekonomikas zonas: pirms jebkādas pārsūtīšanas uz valsti, kurai nav lēmuma par atbilstību, ir jāveic datu aizsardzības līmeņa novērtējums saņēmējvalstī, kā arī jānovērtē drošības pasākumi, kas jānodrošina šai pārsūtīšanai. Atsauksmes var iesniegt līdz 2024. gada 12. februārim.
• Francijas Nacionālā kiberdrošības aģentūra (ANSSI) ir paziņojusi par Hackropole — jaunas platformas, kas paredzēta, lai iepazīstinātu cilvēkus ar karjeru kiberdrošībā, — palaišanu. Platforma piedāvā vairāk nekā 300 izaicinājumus, kas pieejami ikvienam, aptverot visas kiberdrošības jomas, sākot no kriptogrāfijas līdz pat uzlaušanai.

 

Eiropas iestādes un struktūras 

• Beļģija janvāra sākumā uz sešiem mēnešiem pārņēma Eiropas Savienības Padomes prezidentūru ar devīzi "Aizsargāt, stiprināt un sagatavoties".

2024. gadā risināmās tēmas ietver savienoto produktu kibernoturību, digitālo identitāti, datu telpas, GDPR pārrobežu piemērošanu un mākslīgo intelektu.

 2024. gads būs arī daudzu pagājušajā gadā pabeigto likumu īstenošanas gads, tostarp digitālo pakalpojumu likums, tur digitālo tirgu likums un datu pārvaldības likums.

• 2. februārī 27 Eiropas Savienības valstu vēstnieki vienbalsīgi, bet ne bez grūtībām, apstiprināja mākslīgā intelekta noteikumi, tādējādi valdības līmenī apstiprinot decembrī panākto politisko vienošanos.

Pēc Eiropas Parlamenta komiteju balsojuma februāra vidū pieņemšana plenārsesijā provizoriski paredzēta 10. un 11. aprīlī.

Regula stāsies spēkā 20 dienas pēc tās publicēšanas oficiālajā vēstnesī.

Aizliegto prakšu aizliegumi stāsies spēkā sešus mēnešus vēlāk, bet ar mākslīgā intelekta modeļiem saistītie pienākumi — gada laikā.

• Vienlaikus Eiropas Komisija 24. janvārī paziņoja par Eiropas mākslīgā intelekta biroja izveidi, lai veicinātu topošās regulas īstenošanu un piemērošanu.

Šī biroja mērķis būs publicēt vadlīnijas, lai izveidotu saskaņotus noteikumus visā ES, kā arī veicināt un atvieglot prakses kodeksu un rīcības kodeksu izstrādi Savienības līmenī.

• Likumdošanas process, kas saistīts ar CSAR noteikumi Tā kā (“tērzēšanas kontrole”) nebūt nav pabeigta, Eiropas Savienība ir ierosinājusi pagarināt pagaidu risinājumu, kas ļauj tehnoloģiju gigantiem brīvprātīgi skenēt savu klientu ierīces, lai atrastu bērnu pornogrāfiju.

Šis pasākums ir izraisījis kritiku, jo īpaši no Eiropas Datu aizsardzības uzraudzītāja (EDAU) puses. 29. janvārī publicētā atzinumā EDAU pauda bažas par šīs regulas mērķiem, kas ierobežotu personu tiesības uz viņu saziņas konfidencialitāti.

• 31. janvārī Eiropas Komisija publicēja Digitālo pakalpojumu akta (DPA) pārredzamības rezultātu apkopojumu. Tas sniedz pārskatu par satura moderācijas lēmumiem, ko pieņēmušas lielākās tiešsaistes platformas.
• Eiropas datu regula stājās spēkā 2024. gada janvārī.

Tās mērķi ietver datu taisnīgas apmaiņas veicināšanu, iespēju publiskā sektora iestādēm izmantot privātā sektora rīcībā esošos datus konkrētiem sabiedrības interešu mērķiem un iespēju klientiem viegli mainīt datu apstrādes pakalpojumu sniedzējus, lai veicinātu Eiropas mākoņpakalpojumu tirgu.

• Eiropas Komisija veiks izmeklēšanu par partnerība starp Microsoft un OpenAI, kuras ietvaros MS plāno integrēt mākslīgā intelekta rīku komplektu savos produktos.

9. janvāra preses relīzē Komisija aicina visas ieinteresētās personas dalīties pieredzē un komentāros par konkurences līmeni virtuālo pasauļu un ģeneratīvā mākslīgā intelekta kontekstā, kā arī idejās par to, kā konkurences tiesības var palīdzēt nodrošināt, ka šie jaunie tirgi saglabā konkurētspēju.

• Eiropas Komisija savu ziņojumu publicēja 15. janvārī. 11 piemērotības lēmumu izvērtēšana pieņemts saskaņā ar 1995. gada Datu aizsardzības direktīvu.

Tajā norādīts, ka uz personas datiem, kas tiek pārsūtīti no Eiropas Savienības uz Andoru, Argentīnu, Kanādu, Fēru salām, Gērnsiju, Menas salu, Izraēlu, Džersiju, Jaunzēlandi, Šveici un Urugvaju, joprojām attiecas lēmums par atbilstību saskaņā ar GDPR.

• Eiropas Datu aizsardzības kolēģija (EDAK) ir publicējusi tīmekļa vietnes audita rīks lai nodrošinātu atbilstību ES Vispārīgajai datu aizsardzības regulai.

Šo rīku izstrādāja EDAK ekspertu grupa, un to var izmantot datu aizsardzības iestādes, kā arī datu pārziņi un apstrādātāji, lai racionalizētu auditu sagatavošanu, izpildi un novērtēšanu. Tā ir bezmaksas un atvērtā pirmkoda programmatūra, kas licencēta saskaņā ar EUPL 1.2 un ko var lejupielādēt no code.europa.eu.

• EDAK 18. janvārī arī publicēja fails par datu apstrādes drošību un datu pārkāpumu paziņošanu.

Dokumentā tiek analizēti uzraudzības iestāžu lēmumi, kas pieņemti saskaņā ar GDPR 60. pantu vienas pieturas aģentūras mehānisma ietvaros datu apstrādes drošības un personas datu pārkāpumu jomā.

• ES Tiesa 30. janvāra spriedumā lēma, ka vispārēja un nediferencēta noziedzīgu nodarījumu izdarīšanu notiesātu personu biometrisko un ģenētisko datu saglabāšana līdz viņu nāvei ir pretrunā ar ES tiesību aktiem un jo īpaši ar tiesībām tikt aizmirstam.
• EST arī 16. janvārī nolēma, ka GDPR attiecas uz valstu parlamentārajām komitejām..

Tiesa precizēja valsts drošības jēdzienu un norādīja, ka, ja nav pierādījumu par valsts drošības mērķi, valsts tiesām ir jānosaka, vai ir piemērojams 2. panta 2. punkta a) apakšpunkts par VDAR darbības jomu.

• Tehnoloģiju gigantiem ir laiks līdz 6. martam, lai nodrošinātu atbilstību Eiropas digitālo tirgu regulas noteikumiem, un jo īpaši tiem ir jāļauj saviem lietotājiem reģistrēties vienam pakalpojumam, automātiski to nesaistot ar citu.

Šajā kontekstā Meta 22. janvārī paziņoja, ka Instagram un Facebook lietotāji varēs pārvaldīt savus kontus atsevišķi, lai viņu informācija vairs netiktu koplietota starp abiem kontiem.

Google savā palīdzības centra lapā arī minēja iespēju Eiropas lietotājiem izvēlēties pakalpojumus, kurus viņi vēlas saglabāt saistītus datu koplietošanas ziņā.

 

Ziņas no Eiropas dalībvalstīm

• 2023. gada 11. decembrī Nīderlandes Datu aizsardzības iestāde (APD) sadarbībā ar CNIL pieņēma lēmumu pret uzņēmumiem. Uber BV un Uber Technologies

Inc. tika sodīts ar desmit miljonu eiro naudas sodu par vairākkārtēju informācijas nesniegšanu autovadītājiem. 

Šīs nepilnības jo īpaši attiecas uz procedūrām attiecībā uz tiesībām piekļūt datiem, pārsūtīšanu ārpus ES, glabāšanas periodiem un tiesībām uz datu pārnesamību.

• Nīderlandes Datu aizsardzības iestāde arī piesprieda kredītkaršu uzņēmumam ICS 150 000 eiro sodu par ietekmes novērtējuma (DPIA) neveikšanu.

Savos apsvērumos APD uzsvēra, ka ietekmes uz datu aizsardzību novērtējuma neesamība pati par sevi ir VDAR pārkāpums, taču tā arī palielina citu regulas pārkāpumu iespējamību, jo pirms apstrādes īstenošanas netiek ņemti vērā riski.

• Beļģijas Datu aizsardzības iestāde (APD) ir sodījusi datu brokeri ar 174 640 eiro lielu naudas sodu.

Cita starpā datu pārzinis nevarēja paļauties uz leģitīmām interesēm vākt datus no trešajām personām.

Viņš arī neinformēja pieteikuma iesniedzēju par datu avotiem un saņēmējiem piekļuves pieprasījuma kontekstā. 

• Beļģijas iestāde arī izmeklēja datu pārziņa praksi pēc datu noplūdes, kas skāra gandrīz 90 000 cilvēku.

Tā nepieņēma nekādas sankcijas, ņemot vērā, ka datu pārkāpums bija atsevišķs incidents un ka datu pārzinis bija ievērojis VDAR 33. pantu.

• Austrijas Datu aizsardzības iestāde (APD) ir sodījusi datu pārzini ar 10 000 eiro sodu par nesadarbošanos ar to sūdzību izskatīšanas procedūrā, tādējādi pārkāpjot GDPR 31. pantu.
• Vācijā drošības pētniekam 17. janvārī tika piespriests 3000 eiro naudas sods par drošības nepilnības atklāšanu un ziņošanu e-komercijas datubāzē, kuras rezultātā tika atklāti gandrīz 700 000 klientu ierakstu.

Paroles atklāšana vienkāršā tekstā un tās izmantošana bez atļaujas meklēšanā ir uzskatīta par noziegumu.

Šo lēmumu, kas tiks pārsūdzēts, drošības eksperts kritizē par tā bremzējošo ietekmi uz likumīgiem pētījumiem par sistēmu ievainojamībām.

• Janvāra beigās Dānijas Datu aizsardzības iestāde (APD) konstatēja, ka pašvaldība ir pārkāpusi GDPR drošības noteikumus, nešifrēžot savu datoru cietos diskus.

No darbinieka mājām bija nozagts darba dators, kurā bija sensitīvi personas dati, sociālās apdrošināšanas dati un dati par nepilngadīgajiem.

Cietais disks nebija šifrēts.

Izmeklēšanā atklājās, ka gandrīz 1200 pašvaldības klēpjdatoriem arī nebija šifrēšanas.

• 24. janvārī Apvienotās Karalistes Nacionālais kiberdrošības centrs publicēja satraucošu ziņojumu par mākslīgā intelekta īstermiņa ietekmi uz kiberdraudiem.

Ziņojumā jo īpaši norādīts, ka Mākslīgais intelekts (AI) nākamo divu gadu laikā noteikti palielinās kiberuzbrukumu apjomu un ietekmi, uzlabojot esošo taktiku, metodes un procedūras.

Viņš arī norāda, ka mākslīgais intelekts ierobežo grūtības amatieriem kibernoziedzniekiem, kuri drīzumā varēs veikt sarežģītus pikšķerēšanas uzbrukumus, kurus saņēmējiem būs grūti identificēt.

 

• Janvāra beigās iekšējā tirgus komisārs Tjerī Bretons un ASV iekšzemes drošības ministrs Alehandro N. Majorkass apsprieda ES un ASV kopīgais rīcības plāns kiberdrošu produktu jomāpēc ES un ASV samita 2023. gada oktobrī.

Šīs sadarbības starp Komisiju un attiecīgajām ASV regulatīvajām aģentūrām mērķis ir izpētīt iespējamu savstarpēju kiberdrošības prasību atzīšanu attiecībā uz lietu interneta patērētāju aparatūras un programmatūras produktiem.

Rīcības plāns ir balstīts uz ES tiesību aktu par kibernoturību regulējumu un Amerikas Savienoto Valstu ierosināto kiberdrošības marķēšanas programmu (Kiberuzticamības zīmes likums).

• Baidena-Harisa administrācija paziņoja par galvenajiem mākslīgā intelekta pasākumiem 29. janvārī pēc prezidenta Baidena izpildrīkojuma, kas tika pieņemts pirms trim mēnešiem.

Dekrēts jo īpaši paredz noteikt būtiskas informācijas izpaušanas prasības visspēcīgāko sistēmu izstrādātājiem, novērtēt mākslīgā intelekta riskus kritiskajai infrastruktūrai un "kavēt ārvalstu dalībnieku centienus izstrādāt mākslīgo intelektu kaitīgiem mērķiem".

Attiecīgās federālās aģentūras un departamenti norādīja, ka 90 dienu laikā ir pabeiguši visas dekrētā noteiktās darbības, un norādīja uz ilgākā termiņā plānoto pasākumu progresu.

• Kanādas valdība ir izveidojusi "personas informācijas un privātuma glosāriju", kurā ir iekļauti vairāk nekā 300 jēdzienu angļu un franču valodas termini.

Tajā iekļauta arī cita terminoloģiska informācija (kas katrā ierakstā var atšķirties), tostarp citi apzīmējumi, definīcijas, piezīmes un lietošanas piemēri.

• Divi pētnieki no Kārnegi Starptautiskā miera fonda ir mudinājuši Dienvidāfrikas valdību piešķirt kiberdrošībai augstāko prioritāti un uzņemties stingrāku vadību šajā jomā starptautiskajā arēnā.

Neskatoties uz digitālo atkarību, pētnieki norāda, ka valsts kiberdrošības stratēģijai ļoti trūkst finansējuma un valdībai nav skaidras nostājas debatēs par kiberdrošības pārvaldību.

Saskaņā ar Dienvidāfrikas Zinātnes un rūpnieciskās pētniecības padomes datiem, Dienvidāfrika ir Āfrikas valsts, pret kuru šie kiberuzbrukumi ir vērsti visvairāk, un ieņem astoto vietu pasaulē.