Juridiskā uzraudzība Nr. 90 — 2025. gada decembris. 

 

Dati, mākslīgais intelekts, kiberdrošība: kas ir kas no vadlīnijām un noteikumiem, kas jāievēro 2026. gadā.

Daudzi pēdējos gados pieņemtie noteikumi tagad stāsies pilnībā spēkā vai sasniegs izšķirošus to īstenošanas posmus.

Vienlaikus Eiropas Komisijas jaunās iniciatīvas, jo īpaši “Digital Omnibus” un “Digital Fairness Bill”, paziņo par jauniem regulējuma pielāgojumiem, kuru mērķis ir papildināt vai grozīt spēkā esošos noteikumus.

GDPR, kas ir spēkā kopš 2018. gada, joprojām ir datu aizsardzības regulējuma stūrakmens, tāpat kā E-privātuma direktīva, kuras pārskatīšana pašlaik ir atlikta.

Ar savu priekšlikumu Komisija plāno vienkāršot Omnibuss vairāki GDPR aspekti, kas saistīti ar mākslīgā intelekta (MI) attīstību: tā plāno atzīt MI sistēmu izstrādi un darbību par "leģitīmām interesēm" GDPR izpratnē un ieviest jaunu juridisko pamatu sensitīvu datu apstrādei, kas paredzēti MI modeļu apmācībai.

Plašākā nozīmē Digitālais omnibuss samazinātu atbilstības slogu uzņēmumiem, piemēram, atvieglojot slieksni, no kura ir jāziņo par datu noplūdi, un paplašinot situācijas, kurās datus var uzskatīt par "anonīm".

Digitālās paketes noteikumi, konkrētāk, Digitālo tirgu regula (DTA) un Digitālo pakalpojumu regula (DSA), precizē digitālajai ekonomikai piemērojamos noteikumus un platformu atbildību.

Tie ir spēkā kopš 2024. gada, un Komisija sāka piemērot sankcijas 2025. gadā.

DSA attiecas uz ļoti lielām tiešsaistes platformām (VLOP) un ļoti lielām tiešsaistes meklētājprogrammām (VLOSE), kā arī uz visiem starpniekiem, kas piedāvā savus pakalpojumus lietotājiem, kuru mītne atrodas ES.

Vairāki DSA pienākumi pārklājas ar GDPR pienākumiem.

Piemēram, pastāv līdzīgi vai papildinoši pienākumi attiecībā uz "tumšajiem modeļiem", mērķtiecīgu reklāmu, kuras pamatā ir sensitīvi dati vai kas attiecas uz nepilngadīgajiem, pārredzamību, profilēšanu, riska analīzi un nelegāla satura dzēšanu.

2025. gadā Eiropas Datu aizsardzības kolēģija (EDAK) publicēja vadlīnijas par šiem pārklājošajiem jautājumiem.

Galvenais mērķis DMA ir neļaut tehnoloģiju gigantiem vai "vārtu sargiem" izmantot savu dominējošo stāvokli.

Dažas no šīm saistībām pastiprina tās, kas paredzētas DSA attiecībā uz lietotāju aizsardzību, jo īpaši attiecībā uz profilēšanu.

ES datu stratēģijas mērķis ir izveidot vienotu datu tirgu, veicināt inovācijas un nodrošināt drošu un efektīvu datu apmaiņu visā Eiropas Savienībā.

Šādiem tekstiem ir ietekme uz personas datiem: Datu pārvaldības regula (DGA), Datu regula (DA), Elektronisko darījumu regula (eIDAS) un Regula par Eiropas veselības datu telpu (EHDS). 

Komisijas Omnibus priekšlikuma mērķis ir vienkāršot tiesisko regulējumu šajā jomā.

Tekstā jo īpaši paredzēta atcelšana DGA un 2019. gada direktīvu par atvērtajiem datiem.

THE DA tas paliktu par galveno atsauci un ietvertu no citiem tekstiem saglabātos būtiskos elementus.

Papildus definīciju saskaņošanai mazie un vidējie uzņēmumi (līdz 750 darbiniekiem) tiktu atbrīvoti no noteiktām saistībām.

DA, kas piemērojams kopš 2025. gada 12. septembra, paredz, ka ievērojama daļa no tā saistībām stājas spēkā 2026. gada 12. septembrī: regula paredz pienākumu izstrādāt savienotus produktus un saistītos pakalpojumus tā, lai dati, kas attiecas uz produktiem un saistītajiem pakalpojumiem, lietotājiem būtu pieejami pēc noklusējuma, un no septembra ražotājiem būs jānodrošina, ka piekļuve datiem ir tehniski nodrošināta, sākot no produktu izstrādes un projektēšanas posmiem.

Attiecībā uz noteikumiem eIDASNo 2026. gada dalībvalstīm būs jānodrošina saviem pilsoņiem un uzņēmumiem vismaz viens ES standartiem atbilstošs digitālās identitātes maks, kas lietotājiem ļaus droši glabāt savus identitātes datus, identifikatorus un atribūtus (personas apliecību, autovadītāja apliecību, maksājumu informāciju utt.) un selektīvi paziņot tos valsts iestādēm un privātiem pakalpojumu sniedzējiem.

Arī uzņēmumiem, tiešsaistes platformām un administratīvajiem pakalpojumiem būs jāpielāgojas šīm jaunajām digitālās identifikācijas un autentifikācijas formām.

LEHDS stājās spēkā 2025. gada 26. martā, bet tā galvenie noteikumi būs pilnībā piemērojami no 2029. gada marta.

Mākslīgā intelekta regula, kas ir spēkā kopš 2024. gada augusta, uzņēmumiem kļūst noteicoša no 2026. gada 2. augusta.

Dažas saistības jau ir spēkā, piemēram, pārredzamība mijiedarbībā ar tērzēšanas robotiem vai mākslīgā intelekta ģenerēta satura marķēšana, kā arī pietiekamas mākslīgā intelekta kompetences nodrošināšana darbiniekiem, kas strādā ar mākslīgā intelekta sistēmām.

Taču no augusta augsta riska mākslīgā intelekta sistēmām, ko izmanto tādās jutīgās jomās kā cilvēkresursu pārvaldība, snieguma novērtēšana vai piekļuve būtiskiem pakalpojumiem, vajadzētu piemērot visaptverošākas prasības.

Tomēr Komisija savā Omnibus priekšlikumā plāno atlikt šo noteikumu piemērošanu līdz 2027. gada decembrim.

Arī šeit dažas saistības tiktu vienkāršotas maziem un vidējiem uzņēmumiem ar līdz 750 darbiniekiem.

Runājot par drošību, mēs pieminēsim, Direktīva par tīklu un informācijas sistēmu drošību (NIS2) spēkā kopš 2024. gada oktobra regulējums par digitālo darbības noturību (DORA) spēkā kopš 2025. gada janvāra, kā arī Kibernoturības regula (CRA)).

Attiecībā uz pēdējo, digitālos elementus saturošu produktu ražotāju galvenie pienākumi stāsies spēkā 2026. gada 11. septembrī, tostarp pienākums paziņot par aktīvi izmantotām ievainojamībām un nopietniem drošības incidentiem.

Tāpēc ražotājiem ļoti īsā laikā būs jāziņo attiecīgajām tirgus uzraudzības iestādēm par konstatētajām ievainojamībām un drošības incidentiem, kas būtiski apdraud produktu drošību.

Lai papildinātu šo noteikumu sarakstu, visbeidzot pieminēsim priekšlikums par digitālā taisnīguma regulu (DFA) kas, domājams, vēl vairāk palielinās tiešsaistes pakalpojumu sniedzēju tiesiskā regulējuma sarežģītību.

2025. gada jūlijā Komisija uzsāka sabiedrisko apspriešanu par šo projektu, kura mērķis būtu apkarot "negodīgu komercpraksi", piemēram, tumšus modeļus, atkarību izraisošas funkcijas un ļaunprātīgu personalizāciju, tostarp tādu, kas saistīta ar mākslīgā intelekta aģentiem.

Kāda ir šo priekšlikumu nākotne? Nākamajiem mēnešiem vajadzētu būt izšķirošiem: Kipras prezidentūra cenšas līdz marta beigām vai aprīļa sākumam nodrošināt mandātu sarunām ar Eiropas Parlamentu par Omnibus regulu, atspoguļojot vēlmi to pieņemt pirms mākslīgā intelekta regulas augsta riska prasību stāšanās spēkā augustā.

 

Mēs atzīmējam vairākas būtiskas CNIL sankcijas, kas tika pieņemtas tieši pirms un pēc pārejas uz 2026. gadu, un visas tās bija saistītas ar datu drošību.

2026. gada 13. janvārī CNIL (Francijas Datu aizsardzības iestāde) uzņēmumiem Free Mobile un Free piesprieda attiecīgi 27 miljonu eiro un 15 miljonu eiro sodu. ņemot vērā nepietiekamos pasākumus, kas veikti, lai nodrošinātu viņu abonentu datu drošību.

2024. gada oktobrī uzbrucējam izdevās iefiltrēties uzņēmumu informācijas sistēmās un piekļūt personas datiem par 24 miljoniem abonentu līgumu, tostarp IBAN.

2025. gada 22. decembrī tā piesprieda uzņēmumam Nexpublica France 1 700 000 eiro sodu.par to, ka tā nav ieviesusi pietiekamus drošības pasākumus savai PCRM programmatūrai — rīkam lietotāju attiecību pārvaldībai sociālo darbību jomā.

2025. gada 11. decembrī tā piemēroja sankcijas uzņēmumam Mobius Solutions Ltd, apakšuzņēmējam, kas bija atbildīgs par datu noplūdi, kas skāra Deezer lietotājus.Tam tika piemērots viena miljona eiro naudas sods par piemērojamo apakšuzņēmuma līgumu noteikumu neievērošanu: datu saglabāšanu pēc līguma termiņa beigām, neatļautu apstrādi un apstrādes uzskaites neveikšanu.

Trīs uzņēmuma darbinieki pēc līgumattiecību beigām bija saglabājuši vairāk nekā 46 miljonu Deezer lietotāju datu kopijas, pakļaujot viņus drošības trūkumiem, kas noveda pie datu publicēšanas tumšajā tīmeklī.

Versaļas Administratīvā apelācijas tiesa 11. decembrī lēma, ka pacients nevar lūgt slimnīcai labot medicīnisko novērtējumu, jo tas ir subjektīvs viedoklis.

Šis princips paliek spēkā pat tad, ja par ārstēšanu atbildīgās personas diagnoze atšķiras no turpmākajām diagnozēm.

Tiesneši juristu secinājumos paustās mākslīgā intelekta halucinācijas dažkārt uztver ar iecietību, vismaz tāds ir Perigueux tiesas viedoklis savā 18. decembra lēmumā.

Pēdējā norāda "(...), ka pieteikuma iesniedzēja citētās, bet viņa dokumentos neiesniegtās judikatūras atsauces nešķiet atbilstošas publicētajiem lēmumiem. (...)."

Tāpēc tiesa aicinās pieteikuma iesniedzēju un viņa advokātu nākotnē pārliecināties, ka atsauces, ko viņi ir atraduši meklētājprogrammās vai ar mākslīgā intelekta palīdzību, nav "halucinācijas".

Šī nostāja ir pretrunā ar nesen pieņemtu Beļģijas lēmumu, kas minēts turpmāk.

Iekšlietu ministrija decembra vidū cieta plaša mēroga kiberuzbrukumu.

Iekšlietu ministrs trešdien, 17. decembrī, apstiprināja, ka "Iekšlietu ministrijas dienesti bija plaša mēroga kiberuzbrukuma mērķis, raksturojot to kā ļoti nopietnu darbību, kuras rezultātā tika publicēti faili, tostarp krimināllietu reģistri", un meklētas personas. Kiberuzlaušana notikusi, izmantojot ministrijas darbinieku e-pasta kontus.

Kiberuzbrukumu jomā jāatzīmē arī tas, ka CNIL savā ierobežotā sastāvā 2025. gada 18. decembrī pieprasīja 5 miljonu eiro sankciju pret France Travail par drošības trūkumu, kura rezultātā notika datu noplūde, kas skāra 36,8 miljonus cilvēku.

 

Eiropas iestādes un struktūras

ES regula, ar ko nosaka papildu procedūras noteikumus saistībā ar GDPR piemērošanu, tika publicēta 12. decembrī un stāsies spēkā no 2027. gada 2. aprīļa.

Šī teksta mērķis ir racionalizēt pārrobežu lietu procesuālo izskatīšanu saskaņā ar VDAR, ko veic valstu datu aizsardzības iestādes (DAI), uzlabot sadarbību starp DAI, izmantojot strukturētas procedūras, skaidrākas lomas un noteiktus termiņus, un stiprināt procesuālās garantijas un juridisko noteiktību sūdzību iesniedzējiem un izmeklēšanā iesaistītajām pusēm, tostarp tiesības tikt uzklausītām, piekļuvi dokumentiem un tiesiskās aizsardzības līdzekļu efektivitāti.

Eiropas Komisija 17. decembrī publicēja savu pirmo labas prakses kodeksa projektu par mākslīgā intelekta ģenerēta satura marķēšanu un etiķetēšanu.

Projekts sastāv no divām sadaļām.

Pirmajā sadaļā ir aplūkoti noteikumi par mākslīgā intelekta ģenerēta satura marķēšanu un noteikšanu, kas piemērojami ģeneratīvo mākslīgā intelekta sistēmu nodrošinātājiem.

• Otrais attiecas uz dziļviltojumu un noteiktu mākslīgā intelekta ģenerētu vai manipulētu tekstu marķēšanu sabiedrības interešu jautājumos un attiecas uz ģeneratīvo mākslīgā intelekta sistēmu ieviesējiem.

Komisija apkopos komentārus līdz 23. janvārim, lai kodeksu pabeigtu līdz jūnijam.

2025. gada 19. decembrī Eiropas Komisija paziņoja par divu atbilstības lēmumu atjaunošanu attiecībā uz Apvienoto Karalisti sākotnēji pieņemts 2021. gadā, atkārtoti apstiprinot, ka personas dati var turpināt brīvi plūst starp Eiropas Ekonomikas zonu un Apvienoto Karalisti.

Eiropas Savienības Tiesa 18. decembra spriedumā Storstockholms Lokaltrafik (C-422/24) precizēja personas datu tiešas vākšanas jēdzienu.

Šis likums "nepieprasa attiecīgajai personai apzināti sniegt datus vai veikt kādu konkrētu darbību no savas puses. Tādēļ dati, kas iegūti, novērojot personu, kura ir to avots, tiek uzskatīti par savāktiem tieši no šīs personas."

Šiem precizējumiem ir ietekme uz informācijas sniegšanas pienākuma laiku un apjomu, kam jābūt tūlītējam un visaptverošākam.

Konkrētajā gadījumā bija runa par transporta biļetes pārbaudi, ko veica ar ķermeņa kameru aprīkots aģents.

Tiesa iesaka vissvarīgāko informāciju norādīt uz brīdinājuma zīmes, bet citu informāciju – viegli pieejamā vietā.

23. decembrī Trampa administrācija noteica sankcijas pieciem Eiropas pilsoņiem. Reaģējot uz nesen Eiropas Komisijas uzlikto sodu uzņēmumam X saskaņā ar Digitālo pakalpojumu likumu (DSA), bijušajam Eiropas digitālās ekonomikas komisāram Tjerī Bretonam, kā arī vairākiem pilsoniskās sabiedrības pārstāvjiem, kas strādā nevalstiskajās organizācijās HateAid, Digitālā naida apkarošanas centrā un Globālajā dezinformācijas indeksā, ir aizliegts ieceļot Amerikas Savienotajās Valstīs.

Vašingtona nosoda DSA paredzētos platformu moderācijas, ziņošanas un pārskatatbildības pienākumus, kas šeit tiek uzskatīti par ekstrateritoriāliem cenzūras pasākumiem.

5. decembrī Eiropas Komisija piesprieda X 120 miljonu eiro sodu par DSA noteikto pārredzamības saistību neizpildi.

Starp trūkumiem ir maldinošs "zilās validācijas" dizains verificētiem kontiem, pārredzamības trūkums reklāmas direktorijā un nespēja nodrošināt pētniekiem piekļuvi publiski pieejamiem datiem.

 

Ziņas no Eiropas Savienības dalībvalstīm.

Ar 10. novembra lēmumu Darmštates reģionālā tiesa Vācijā samazināja līdz 0 eiro eksperta honorārus, kurš bija plaši izmantojis mākslīgo intelektu, lai sagatavotu tiesas ziņojumu, to neizpaužot.

Tiesa norādīja uz šādiem faktoriem, lai samazinātu nodevas:

1. Mākslīgā intelekta izmantošanas nedeklarēšana un īstā autora neesamība bija procesuālo pienākumu pārkāpums.
2. Ziņojums tika atzīts par nelietojamu: trūka personiskas atsauksmes, bija faktu kļūdas un acīmredzamas mākslīgā intelekta ģenerēta teksta pazīmes.
3. Ekspertu atzinumos būtiska ir pārredzamība un atbildība.

Vācijas tiesa Lībekā piesprieda prasītājam 5000 eiro kompensāciju par morālo kaitējumu uzņēmumam Meta par personas datu apstrādi bez iepriekšējas piekrišanas, izmantojot Meta Business Tools.

Datu pārsūtīšana no trešo pušu tīmekļa vietnēm uz Meta notiek neatkarīgi no lietotāja Meta lietojumprogrammu aktivizēšanas un viņu piekrišanas saņemšanas.

Tiesa konstatēja, ka Meta ir pārkāpusi GDPR 6. panta 1. punktu, radot pietiekami konkrētus draudus datu subjektam, kuram bija pamatotas bažas par viņa personas datu ļaunprātīgu izmantošanu kontroles zaudēšanas veidā.

Austrijā Augstākā tiesa 26. novembrī lēma, ka uzņēmumam Meta ir jānodrošina saviem lietotājiem pilnīga piekļuve visiem viņu personas datiem, tostarp to avotiem, saņēmējiem un mērķiem.

Vienkāršs indikatīvs saraksts nav pietiekams.

Tiesa arī lēma, ka personalizētai reklāmai un (sensitīvu) personas datu apstrādei no trešo pušu tīmekļa vietnēm ir nepieciešama attiecīgās personas piekrišana.

Nesen pieņemts Beļģijas lēmums, kurā prasītājiem tika piespriests vairāk nekā 25 000 eiro sods par ģeneratīvo mākslīgā intelekta rīku izmantošanu apelācijas iesniegumu sagatavošanā, par acīmredzamu procedūras ļaunprātīgu izmantošanu, nepamatotu apelāciju un ļaunprātīgu tiesību aizsardzību.

Antverpenes Apelācijas tiesa norāda uz "nesakarīgu un pilnīgi bezjēdzīgu" argumentu izvirzīšanu, ko pamato neesoša judikatūra un izdomāti tiesību avoti.

Arī Beļģijā APD izteica rājienu uzņēmumam par informācijas nelikumīgu nosūtīšanu par bijušo darbinieku telefonsarunas laikā ar citu uzņēmumu darbā pieņemšanas procesa ietvaros.

APD arī izteica aizrādījumu abiem uzņēmumiem par to, ka tie neatbildēja uz personu piekļuves pieprasījumiem.

Horvātijā bankai AZOP tika piemērots 1 500 000 eiro sods par vairākiem GDPR pārkāpumiem.

Banka bez likumīga pamata apstrādāja 433 922 lietotāju personas datus, nesniedzot lietotājiem nepieciešamo informāciju, un nebija ieviesusi atbilstošus tehniskos un organizatoriskos pasākumus.

 

Apvienotās Karalistes Datu aizsardzības iestāde (DPA) ir sodījusi paroļu pārvaldības pakalpojumu sniedzēju LastPass UK Ltd ar 1,2 miljonu sterliņu mārciņu sodu pēc 2022. gadā notikušā datu pārkāpuma, kura rezultātā tika apdraudēta gandrīz 1,6 miljonu tā lietotāju Apvienotajā Karalistē personiskā informācija.

ICO konstatēja, ka LastPass nebija ieviesis pietiekami spēcīgus tehniskos un drošības pasākumus, kas galu galā ļāva hakerim iegūt nesankcionētu piekļuvi tās dublējuma datubāzei.

Amerikas Savienotās Valstis ir atjaunojušas savu pieprasījumu pēc piekļuves to ES valstu biometriskajām datubāzēm, kuras piedalās Vīzu režīma atcelšanas programmā (VWP), un plāno noslēgt vienošanos par šo jautājumu līdz 2026. gada beigām.

Vašingtona ir pieprasījusi šo piekļuvi kopš 2022. gada kā daļu no Amerikas Savienoto Valstu "Uzlabotās robeždrošības partnerības" (EBSP) un draud atcelt vīzu atbrīvojumu, ja tas tiks atteikts.

Piekļuves apjoms joprojām nav skaidrs.

Šķiet, ka Eiropas nostāja šajā posmā vēlas to attiecināt tikai uz cilvēkiem, kas ceļo uz Amerikas Savienotajām Valstīm.

Piekļuve attiektos uz biometriskajiem datiem, piemēram, pirkstu nospiedumiem un sejas skenēšanu, kā arī citiem sensitīviem datiem, kas atklāj rases vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību, dalību arodbiedrībās vai datus par veselību vai seksuālo dzīvi, ja tas ir nepieciešams un samērīgi, "lai novērstu vai apkarotu noziedzīgus un teroristiskus nodarījumus".

Decembrī Eiropas galvaspilsētas vienojās piešķirt Eiropas Komisijai mandātu risināt sarunas par šī nolīguma pamatprincipiem, par kura detaļām lems dalībvalstis.

Amerikas Savienotajās Valstīs mākslīgā intelekta izmantošanai, lai pārrakstītu ziņojumus no policijas ķermeņa kamerām Hebersitijā, Jūtā, ir bijušas pretrunīgas sekas.

Draft One programmatūra, kuras pamatā ir Open AI LLM, ziņoja, ka aģents ir pārveidojies par vardi.

Programmatūra faktiski bija noteikusi filmu, kas tika atskaņota fonā, un tā bija "Princese un varde".

Papildus situācijas ironijai šis konkrētais gadījums rada jautājumus, ko uzsvēris Cybernews. "Lai gan mērķis ir samazināt dokumentu apjomu, ar tādām kļūdām kā Hībersitijā aģenti riskē pavadīt vēl vairāk laika ziņojumu pārskatīšanai." Pagājušajā gadā Elektronisko robežu fonda (EFF) veiktā izmeklēšana atklāja, ka Pirmais drafts "šķiet apzināti izstrādāts, lai izvairītos no auditiem, kas varētu nodrošināt publisku atbildību".

"Bieži vien nav iespējams zināt, kuras policijas ziņojuma daļas ir ģenerējis mākslīgais intelekts un kuras ir uzrakstījis policists."

Visbeidzot, Privacy Laws & Business ziņojumā norādīts, ka privātuma regulējums Amerikas Savienotajās Valstīs tomēr tiek stiprināts, un 19 štati tagad ir sekojuši Kalifornijas piemēram, pieņemot privātuma likumus, kas bieži vien ir vērsti uz jautājumiem, kas saistīti ar bērniem.

Tikai dažas valstis ir ieinteresētas biometrisko datu vākšanā un izmantošanā.

Ilinoisa jau sen ir ieņēmusi vadošo pozīciju, tagad tai seko Teksasa un Vašingtonas štats.

Joprojām nav vienprātības par jauniem federālajiem privātuma noteikumiem, "taču FTC ir veikusi piespiedu pasākumus, kas saistīti ar simtiem miljonu dolāru vērtu zaudējumu atlīdzināšanu un naudas sodiem, vienojoties ar lielākajiem tiešsaistes uzņēmumiem Epic Games, Amazon un Microsoft" vai nesen ar Disney Worldwide Services, panākot 10 miljonu dolāru lielu vienošanos par Bērnu tiešsaistes aizsardzības likuma (COPPA) pārkāpšanu.