Juridiskā uzraudzība Nr. 69 — 2024. gada marts.

Datu drošība, kiberdraudi: pašreizējā situācija un vadlīnijas.

Šī gada sākumā vairākas organizācijas publicē savus ziņojumus par kiberdrošības apdraudējuma stāvokli: tā ir iespēja izvērtēt riskus un sniegt padomus personas datu aizsardzībai.

Eiropas Savienības Kiberdrošības aģentūra (ENISA) ir publicējusi ziņojumu par kiberdrošības apdraudējumiem līdz 2030. gadam.

Ziņojumā kā īpašas bažas rada draudi, kas saistīti ar programmatūras atkarībām un dezinformācijas kampaņām, kā arī ar cilvēciskām kļūdām.

Starp ilgtermiņa draudiem aģentūra norāda uz prasmju trūkumu un pakalpojumu sniedzēju kļūmēm, kā arī ar mākslīgo intelektu saistīto draudu pieaugumu.

Arī iniciatīva "Cīņa pret kibernoziedzību" savā ikgadējā darbības pārskata publicēšanas reizē dalās ar savu analīzi par apdraudējuma stāvokli Francijā. 

Pikšķerēšana joprojām ir galvenais drauds: tā kļūst daudzveidīgāka un sarežģītāka. Galvenie pikšķerēšanas veidi ir satiksmes noteikumu pārkāpumi, bērnu pornogrāfija vai viltots tehniskais atbalsts.

Turklāt krāpniecība, kurā iesaistīti viltus banku konsultanti, joprojām ir augstā līmenī.

Kontu uzlaušana ir vēl viens būtisks drauds, kura sekas var izraisīt identitātes zādzību un finansiālu kaitējumu.

Visbeidzot, izspiedējvīrusu uzbrukumi un ļaunprogrammatūra (vīrusi) ir nozīmīgi un arvien biežāki cietušo palīdzības pieprasījumu cēloņi.

27. martā CNIL publicēja ziņojumu par drošības pārkāpumiem pēdējo piecu gadu laikā.

Viņa norāda, ka privātais sektors ir atbildīgs par aptuveni divām trešdaļām no CNIL iesniegtajiem pārkāpumu deklarācijām, tostarp 39 % no MVU.

Tikmēr publiskais sektors ir atbildīgs par 22 % paziņojumiem.

Attiecībā uz sadalījumu pa darbības jomām valsts pārvaldes iestādes pārstāv 18 % paziņojumus.

Privātajā sektorā visvairāk pārstāvētas specializētās, zinātniskās un tehniskās darbības, kam seko finanšu un apdrošināšanas darbības.

Ar cilvēku veselību saistītas darbības arī veido 12 % paziņojumus.

Šajā kontekstā un lai ņemtu vērā jaunos datu riskus, CNIL marta beigās atjaunināja savu datu drošības rokasgrāmatu.

Šajā jaunajā versijā rokasgrāmata ir pārstrukturēta piecās daļās: lietotāji, aprīkojums, datu kontrole, sagatavotība incidentiem un visbeidzot uzmanības pievēršana īpaši aktuāliem jautājumiem.

CNIL iepazīstina ar jaunām faktu lapām, jo īpaši par mākslīgo intelektu (MI), mobilajām lietotnēm, mākoņdatošanu un lietojumprogrammu saskarnēm (API).

Rokasgrāmatā ir iekļautas arī faktu lapas par riska analīzi un šifrēšanu.

Dokumenta beigās ir kontrolsaraksts, kas ļauj pārskatīt atbildīgās personas veiktos pasākumus un novērtēt tās drošības līmeni.

Starp ieteicamajiem aizsardzības pasākumiem bieži tiek minēta daudzfaktoru autentifikācija (MFA), un tā arvien biežāk tiek ieteikta, lai aizsargātu datubāzes no krāpnieciskiem piekļuves mēģinājumiem.

CNIL tikko ir uzsākusi publisku apspriešanu par risinājumu, kas izmanto AMF, atbilstību GDPR.

Nesens piemērs apstiprina nepieciešamību precizēt AMF lietošanas kontekstu: Spānijā uzņēmums tika tiesā notiesāts par AMF uzspiešanu saviem darbiniekiem viņu privātajos tālruņos, lai gan likums noteica, ka tam šim nolūkam ir jānodrošina viņiem uzņēmuma mobilie tālruņi.

Savā ieteikumā CNIL pievēršas juridiskā pamata noteikšanai, savākto datu apjoma samazināšanai līdz minimumam, glabāšanas periodiem un attiecīgo personu tiesību īstenošanas ievērošanai.

Tas sniedz praktiskus piemērus privātumu respektējošas daudzfaktoru autentifikācijas ieviešanai.

 

      

Francijas Konkurences iestāde 20. martā piesprieda Google 250 miljonu eiro sodu par savu saistību neievērošanu un preses rakstu izmantošanu savas mākslīgā intelekta sistēmas (Bard/Gemini) apmācībai. 

Šis lēmums, kas ir ceturtais šajā lietā četru gadu laikā, ir daļa no 2019. gada 24. jūlija blakustiesību likuma pieņemšanas konteksta, kura mērķis ir radīt apstākļus līdzsvarotām sarunām starp izdevējiem, preses aģentūrām un digitālajām platformām.

8. aprīlī CNIL publicēja ieteikumus par mākslīgā intelekta izmantošanu, ievērojot personas datus.

To mērķis ir sniegt konkrētas atbildes, kas ilustrētas ar piemēriem, uz juridiskajiem un tehniskajiem izaicinājumiem, kas saistīti ar GDPR piemērošanu mākslīgajam intelektam.

Šajos sākotnējos ieteikumos aplūkotie punkti jo īpaši ļauj noteikt piemērojamo tiesisko regulējumu, dalībnieku juridisko kvalifikāciju, attiecīgā gadījumā veikt ietekmes analīzi un integrēt datu aizsardzību jau no sistēmas izstrādes stadijas (integrēta privātuma aizsardzība).

 

Eiropas iestādes un struktūras

11. martā Eiropas Datu aizsardzības uzraudzītājs (EDAU) konstatēja, ka Eiropas Komisija, lietojot Microsoft 365, ir pārkāpusi vairākus svarīgus datu aizsardzības noteikumus.

Jo īpaši "Komisija nav paredzējusi atbilstošus drošības pasākumus, lai garantētu, ka personas datiem, kas tiek pārsūtīti ārpus ES/EEZ, ir tāds pats aizsardzības līmenis, kas būtībā ir līdzvērtīgs ES/EEZ garantētajam līmenim".

Turklāt līgumā ar Microsoft Komisija nepietiekami precizēja, kāda veida personas dati būtu jāvāc un kādiem skaidriem un precīziem mērķiem tie būtu jāvāc, izmantojot Microsoft 365 (...).

EDAK noteica Komisijai korektīvus pasākumus, tostarp no 2024. gada 9. decembra apturēja visas datu plūsmas, kas izriet no Microsoft 365 izmantošanas uz Microsoft un tā saistītajiem uzņēmumiem un apakšuzņēmējiem, kas atrodas valstīs ārpus ES/EEZ, uz kurām neattiecas lēmums par atbilstību.

Lai gan šis lēmums attiecas uz Eiropas iestādēm, EDAU pamatojumam ir daudz plašāks darbības joma un tas varētu ietekmēt Microsoft 365 izmantošanu ES dalībvalstīs.

15. martā Eiropas ombuds rakstveidā vērsās Eiropas Komisijā, lai jautātu, kā tā izmanto mākslīgo intelektu savā lēmumu pieņemšanas procesā.

Ombuds norādīja, ka "lai gan straujā mākslīgā intelekta attīstība var uzlabot darba kvalitāti un efektivitāti, tā rada nopietnas problēmas precizitātes, iespējamās neobjektivitātes, izskaidrojamības un cilvēka kontroles ziņā".

Viņa arī uzsvēra, ka valsts pārvaldes iestādēm ir jānodrošina, ka mākslīgais intelekts tikai palīdz cilvēkiem pieņemt lēmumus, nevis tos aizstāj.

Jautājumi koncentrējas uz mākslīgā intelekta izmantošanu trīs konkrētās jomās: sabiedrības atsauksmju analīze, iespējamu ES konkurences noteikumu pārkāpumu atklāšana un sūdzību izskatīšana.

Lai gan Eiropas Parlaments tikko nobalsoja par mākslīgā intelekta regulu, spēkā ir stājušās regulas par digitālajiem tirgiem (DMA) un digitālajiem pakalpojumiem (DSA), un Komisija jau ir uzsākusi vairākas procedūras saskaņā ar šiem diviem tekstiem.

25. martā tā uzsāka uz DMA balstītu tiesvedību pret Alphabet, Apple un Meta.

Attiecībā uz Apple un Alphabet Komisija plāno noteikt, vai pasākumi, kas īstenoti saistībā ar to saistībām attiecībā uz lietotņu veikaliem, ir pretrunā ar Publisko iepirkumu likumu, kas nosaka, ka vārtu sargiem ir jāļauj lietotņu izstrādātājiem bez maksas “novirzīt” patērētājus uz piedāvājumiem, kas nav uzskaitīti to lietotņu veikalos.

Attiecībā uz Meta Komisija ir uzsākusi procedūru, lai noteiktu, vai nesen ieviestais “maksāšanas vai piekrišanas” modelis lietotājiem ES atbilst datu aizsardzības tiesību aktiem, kas paredz, ka datu pārvaldniekiem ir jāsaņem lietotāju piekrišana, ja viņi plāno apvienot vai savstarpēji izmantot viņu personas datus.

Šī jaunākā procedūra papildina to pašu procedūru, ko par to pašu jautājumu ierosinājusi Eiropas Datu aizsardzības kolēģija.

Komisija 14. martā arī uzsāka oficiālu procedūru saskaņā ar DSA, lai noteiktu, vai AliExpress ir pārkāpis Digitālo pakalpojumu likumu jomās, kas saistītas ar risku pārvaldību un mazināšanu, satura moderāciju un iekšējo sūdzību izskatīšanas mehānismu, reklāmas un ieteikumu sistēmu pārredzamību, tirgotāju izsekojamību un pētnieku piekļuvi datiem.

Tajā pašā datumā viņa arī nosūtīja informācijas pieprasījumu uzņēmumam LinkedIn par potenciāli mērķtiecīgu reklāmu, kuras pamatā ir sensitīvi dati.

4. martā Eiropas Komisija rīkoja pašu pirmo "augsta līmeņa" sanāksmi par pārrobežu datu plūsmām.

Sanāksmē piedalījās tieslietu komisārs, EDAK priekšsēdētājs, kā arī ministri un datu aizsardzības iestāžu vadītāji no 15 valstīm un teritorijām, attiecībā uz kurām ES ir pieņēmusi lēmumu par atbilstību.

Mērķis ir veicināt ciešāku sadarbību starp šiem dalībniekiem datu aizsardzības jomā.

Eiropas Savienības Tiesa (EST) 7. marta spriedumā apstiprināja, ka TC virkne (“TC virkne”), ko reklāmdevēji izmanto lietotāju preferenču kodēšanai, “satur informāciju par identificējamu lietotāju un tādēļ ir personas dati GDPR izpratnē”.

Kad TC virknē ietvertā informācija ir saistīta ar identifikatoru, piemēram, lietotāja ierīces IP adresi, šo informāciju var izmantot, lai izveidotu lietotāja profilu un identificētu viņu. 

Turklāt IAB Europe ir jāuzskata par “kopīgu pārzini” GDPR izpratnē. (...)

Šķiet, ka asociācija ietekmē datu apstrādes darbības, kad lietotāju piekrišanas preferences tiek reģistrētas TC virknē, un kopīgi ar saviem biedriem nosaka gan šo darbību mērķus, gan līdzekļus, kas ir to pamatā. 

EST 7. martā pieņēma lēmumu par apelāciju par ES tiesas lēmumu attiecībā uz personas datu jēdzienu.

 Tā uzskatīja, ka identificējamība nav saistīta ar to, ka “vidusmēra lasītājs” var identificēt personu, bet gan ir atkarīga no tā, vai ir pieejami vai nav “papildu faktori..., kas nepieciešami identifikācijai... [šie faktori] var būt pieejami personai, kas nav pārzinis (sk. lietu C-582/14, 39. un 41. punkts)”.

Tribunāls arī kļūdījās, apgalvojot, ka "līdzekļi, ko pamatoti varētu izmantot attiecīgās personas identificēšanai, bija ierobežoti.

Tiesai vajadzēja ņemt vērā izmaksas un laiku, kas nepieciešams prasītāja identificēšanai, lai noteiktu, vai pēdējo varētu identificēt ar "saprātīgiem līdzekļiem".

Šis lēmums attiecās uz datu aizsardzības regulas piemērošanu Eiropas iestādēm, kuru definīcijas ir identiskas GDPR definīcijām.

Kaizener tīmekļa vietnē atradīsiet virkni tabulu, kurās uzskaitītas daudzas Eiropas regulatīvās iniciatīvas digitālajā nozarē, kā arī to ieviešanas stāvoklis. 

 

Ziņas no Eiropas dalībvalstīm.

Beļģijas Datu aizsardzības iestāde 15. martā publicēja lēmumu par mākslīgā intelekta modeļu apmācībai izmantoto datu apstrādes juridisko pamatu un šo modeļu turpmāku, atsevišķu izmantošanu komerciāliem mērķiem. 

APD uzskatīja, ka pārzinis nevar apgalvot saderīgu lietojumu (VDAR 6. panta 4. punkts), jo apmācības mērķis nebija skaidri noteikts jau no paša sākuma.

Turpmākai izmantošanai bija nepieciešams arī savs juridiskais pamats.

Datu pārzinim ir arī jādod saviem klientiem tiesības iebilst pret datu izmantošanu modeļu apmācībai.

Beļģijas Datu aizsardzības iestāde arī uzskatīja, ka datu pārzinis ir pārkāpis VDAR 5. panta 1. punktu, savlaicīgi neizdzēšot bijušā darbinieka e-pasta kontu.

APD norādīja, ka pastkastīte būtu jādeaktivizē pēdējā darba dienā un ka automātiskā atbilde būtu jādeaktivizē viena mēneša vai atsevišķos izņēmumos trīs mēnešu laikā.

Līdzīgā kontekstā Itālijas Datu aizsardzības iestāde (APD) uzskatīja, ka datu pārzinis ir pārkāpis datu minimizēšanas principu, jo tas nav deaktivizējis bijušā darbinieka e-pasta kontu, atsaucoties uz nepieciešamību novirzīt klientus uz citu kontu.

Datu pārzinim tika piemērots 15 000 eiro naudas sods.

Itālijas Datu aizsardzības iestāde (APD) sodīja apakšuzņēmēju ar 800 000 eiro par sekundāra apakšuzņēmēja nolīgšanu bez iepriekšējas datu pārziņa atļaujas un par datu pārkāpuma novēlotu paziņošanu datu pārzinim.

Tā arī sodīja piecus uzņēmumus, kas izmantoja sejas atpazīšanas tehnoloģiju, lai uzraudzītu klātbūtni darba vietā.

Iestāde konstatēja, ka datu aizsardzības pasākumi bija nepietiekami, ka cilvēki nebija saņēmuši nepieciešamo informāciju un ka varēja izmantot mazāk uzbāzīgu sistēmu.

Arī Itālijas Datu aizsardzības iestāde (APD) 8. martā uzsāka izmeklēšanu pret OpenAI, kas paziņoja par jauna mākslīgā intelekta modeļa ar nosaukumu "Sora" laišanu klajā.

Šis modelis spētu radīt dinamiskas, reālistiskas un iztēles bagātas ainas no dažām teksta instrukcijām.

APD ir lūgusi OpenAi sniegt vairākus skaidrojumus, ņemot vērā sekas, ko "Sora" varētu radīt lietotāju personas datu apstrādei Eiropas Savienībā un jo īpaši Itālijā.

25. martā Portugāles Datu aizsardzības iestāde (APD) nolēma uzdot Worldcoin Foundation uz laiku ierobežot "Orb" biometrisko datu vākšanu valsts teritorijā, lai aizsargātu pilsoņu, īpaši nepilngadīgo, tiesības.

Ar šo lēmumu Worldcoin Foundation kā datu pārzinim tiek noteikts steidzams pagaidu pasākums līdz izmeklēšanas procesa beigām.

Līdzīgu lēmumu pieņēmusi arī Spānija.

Somijas Datu aizsardzības iestāde (APD) ir sodījusi IT mazumtirgotāju ar 856 000 eiro sodu par klientu datu glabāšanas perioda nenoteikšanu.

APD arī uzskatīja, ka Ar vienu tiešsaistes pirkumu saistītu personas datu apstrādei nav nepieciešams izveidot klienta kontu.

Vācijā Berlīnes tiesa lēma, ka datu pārzinis, atbildot uz piekļuves pieprasījumu, nevar aprobežoties ar abstrakta apstrādes pārskata sniegšanu.

Amatpersona bija atsaukusies uz nesamērīgiem centieniem.

Pēc tiesas domām, uz tiem var atsaukties tikai ļoti izņēmuma gadījumos.

Islandes Datu aizsardzības iestāde (APD) ir piespriedusi uzņēmumam Stjörnuna ehf 10 059,92 eiro (1 500 000 ISK) naudas sodu. Subway operatoru Islandē par savu darbinieku nelikumīgu uzraudzību, pienācīgi viņus neinformējot.

Austrijā Augstākā Administratīvā tiesa lēma, ka algoritms Darba meklētāju pieņemšanas darbā iespējamības noteikšana ir automatizēta lēmumu pieņemšana VDAR 22. panta izpratnē, pat ja rezultātu izmanto tikai publiska iestāde, lai sniegtu darba meklētājiem mērķtiecīgas konsultācijas par nodarbinātību.

 

Lielbritānijas valdība martā publicēja rokasgrāmatu par atbildīgu mākslīgā intelekta iegādi un ieviešanu cilvēkresursu un personāla atlases nozarē.

21. martā ANO pieņēma visaptverošu rezolūciju par mākslīgo intelektu.

Organizācija atzīst, ka mākslīgais intelekts var palīdzēt paātrināt 17 ilgtspējīgas attīstības mērķu sasniegšanu, un uzsver nepieciešamību steidzami "panākt globālu vienprātību par drošām, aizsargātām un uzticamām mākslīgā intelekta sistēmām".

Rezolūcijā dalībvalstis tiek mudinātas pieņemt mākslīgā intelekta noteikumus un politikas dažādos jautājumos, tostarp privātuma aizsardzībā.

Asambleja aicināja visas dalībvalstis un ieinteresētās personas "atturēties no tādu mākslīgā intelekta sistēmu izmantošanas vai pārtraukt tās izmantot, kuras nevar darbināt saskaņā ar starptautiskajām cilvēktiesībām vai kuras rada pārmērīgu risku cilvēktiesību ievērošanai".

Saskaņā ar Techcrunch rakstu, kas publicēts 26. martā, Kalifornijas federālā tiesa ir publiskojusi vairākus dokumentus kā daļu no kolektīvās prasības, ko patērētāji iesnieguši pret Meta.

Ziņots, ka 2016. gadā Facebook uzsāka slepenu projektu, kura mērķis bija pārtvert un atšifrēt tīkla datplūsmu starp cilvēkiem, kas izmanto Snapchat lietojumprogrammu un tās serverus.

Mērķis bija izprast lietotāju uzvedību un palīdzēt Facebook konkurēt ar Snapchat.

Tieslietu ministrija un FIB 25. martā paziņoja, ka miljoniem amerikāņu tiešsaistes kontu ir pieķerti ķīniešu hakeru shēmā.

Septiņi Ķīnas pilsoņi ir apsūdzēti plaša mēroga kiberuzbrukuma kampaņas īstenošanā.

Tieslietu ministrija paziņoja, ka hakeri bija vērsušies pret amerikāņu un ārvalstu Ķīnas kritiķiem, uzņēmumiem un politiķiem.

25. martā Floridas štata republikāņu gubernators parakstīja likumprojektu, kas aizliedz bērniem līdz 14 gadu vecumam piekļuvi sociālajiem tīkliem.

Nepilngadīgajiem vecumā no 14 vai 15 gadiem būs jāsaņem nepārprotama vecāku piekrišana, lai izveidotu kontu.

Kad noteikumi stāsies spēkā 2024. gada 1. jūlijā, tādiem uzņēmumiem kā Facebook, Instagram un TikTok principā būs jāslēdz esošie konti, kas neatbilst šīm prasībām, un jāizdzēš visi atbilstošie personas dati.

Šis pasākums ir kritizēts un, domājams, tiks apstrīdēts tiesā, pamatojoties uz konstitucionālajām tiesībām uz vārda brīvību.

Tikmēr Amerikas Savienotās Valstis apsver iespēju aizliegt TikTok visā valstī.

13. martā Pārstāvju palāta pieņēma tā saukto "Amerikāņu aizsardzības no ārvalstu pretinieku kontrolētiem pieteikumiem likumu".

Ja Senāts pieņems un stāsies spēkā, TikTok būs jāatdala video platforma no tās Ķīnas mātesuzņēmuma ByteDance vai jāatņem amerikāņiem piekļuve lietotnei.

18. martā Seulā notikušajā trešajā demokrātijas samitā Dienvidkoreja, Somija, Vācija, Īrija, Japāna, Polija un Korejas Republika pievienojās Amerikas Savienotajām Valstīm kopīgā paziņojumā par centieniem apkarot komerciālas spiegprogrammatūras izplatīšanu un ļaunprātīgu izmantošanu.

Valstis apņemas strādāt savu nacionālo sistēmu ietvaros, lai izveidotu stingrus drošības pasākumus, lai novērstu šīs novērošanas tehnoloģijas izplatīšanu un ļaunprātīgu izmantošanu.

Kuveitā Informācijas un komunikācijas tehnoloģiju regulēšanas iestāde (CITRA) ir publicējusi jaunu likumu par personas datu aizsardzību.