Juridiskā uzraudzība Nr. 81 — 2025. gada marts. 

Datu pārkāpumi: kādas tiesībaizsardzības iestādes un kādas sankcijas?

Kurš gan nesen nav saņēmis e-pastu no sava telekomunikāciju pakalpojumu sniedzēja vai no NVO, kurai viņš veic ikmēneša ziedojumus, ar informāciju, ka viņa kontaktinformācija, identifikatori un dažreiz arī bankas dati ir apdraudēti?

Laikā, kad datu noplūdes kļūst arvien biežākas, IT sistēmu aizsardzība kļūst par svarīgu problēmu uzņēmumiem.

Kopš GDPR un NIS2 direktīvas stāšanās spēkā datu apstrādes drošība ir stingri regulēta, un pārkāpumi ir paredzēti ar bargiem sodiem datu pārziņiem.

Starp pienākumiem jāmin pienākums noteiktos apstākļos paziņot CNIL un attiecīgajām personām par pārkāpumu, novērst pārkāpumu un veikt visus lietderīgos pasākumus, lai mazinātu tā sekas.

CNIL ir plašas izmeklēšanas pilnvaras, un tās uzdevums ir atbalstīt, bet arī sodīt datu pārziņus, ja datu noplūdes cēlonis ir drošības pārkāpums.

Komisija pēdējos gados ir noteikusi vairākas sankcijas:

• Uzņēmumam Bouygues Telecom 2017. gadā tika piemērots 250 000 eiro sods par nepietiekamu drošību tā B&You klientu vietnē, kas ļāva piekļūt 2 miljonu klientu līgumiem, modificējot URL.
• 2016. gadā uzņēmumam Uber tika piemērots 400 000 eiro sods par drošības pārkāpumu, kas apdraudēja 57 miljonus kontu, un par to, ka tas netika paziņots CNIL likumā noteiktajos termiņos.
• Pavisam nesen Dedalus Biologie publiskoja 500 000 pacientu veselības datus apakšuzņēmēja servera nepareizas konfigurācijas dēļ, un CNIL tai piesprieda 1,5 miljonu eiro sodu.
• Visbeidzot, pagājušā gada oktobrī kriptovalūtu drošības uzņēmumam Ledger tika piespriests 750 000 eiro sods par klientu datu nepietiekamu aizsardzību. Uzņēmums 2020. gadā bija cietis no vairākiem personas datu pārkāpumiem un klusēja par tiem, kas skāra daudzus klientus un potenciālos klientus.

Tomēr pašlaik šķiet, ka Komisija dod priekšroku atbalstam, nevis sankcijām.un savā tīmekļa vietnē publicē daudzus ieteikumus datu pārziņiem.

Gada sākumā tā reaģēja uz liela mēroga datu pārkāpumiem, kas 2024. gadā skāra miljoniem cilvēku, un ierosināja drošības stiprināšanas pasākumus, lai novērstu uzbrukumu riskus.

CNIL uzstāj uz iekšējām uzņēmuma procedūrām, kā arī piesardzības pasākumiem, kas jāveic apakšuzņēmuma līgumu slēgšanas gadījumā.

Citviet Eiropā, Daudziem uzņēmumiem tiek piemēroti naudas sodi no dažiem tūkstošiem līdz vairākiem simtiem tūkstošu eiro, piemēram, par to, ka tie "aizmirst" atņemt piekļuves tiesības bijušajiem darbiniekiem datorsistēmai, nepareizi konfigurē bankas lietojumprogrammu, kļūdaini nosūtīja SIM karti nepareizajam klientam, lejupielādēja klienta failu lietotnē Whatsapp vai nepietiekami kontrolēja apakšuzņēmēja darbību.

Pārnacionālā līmenīArī Eiropas Savienības Tiesa sniedz skaidrojumus, jo īpaši attiecībā uz kompensāciju cietušajiem.

Ja personai ir jāpierāda datu pārkāpuma radītā kaitējuma esamība, šis kaitējums nedrīkst sasniegt noteiktu smaguma pakāpi (lieta C-300/21, lieta C-590/22).

Tādējādi personas bailes par to, ka tās personas dati ir tikuši izpausti trešajām personām, var radīt tiesības uz kompensāciju, ja vien persona sniedz pierādījumus par savām bailēm ar no tā izrietošajām negatīvajām sekām (Lieta C-340/21, Lieta C-687/21, Lieta C-590/22).

EST arī lēma, ka kompensācija par morālo kaitējumu, kas nodarīts personas datu zādzības dēļ, neaprobežojas tikai ar gadījumiem, kad tiek pierādīts, ka tā faktiski izraisījusi identitātes zādzību.

Tādēļ kompensējams kaitējums var pastāvēt arī bez identitātes zādzības konstatēšanas. (Lieta C-182/22 un C-189/22).

Attīstoties kolektīvām prasībām, uzņēmumi, kas neuztver datu pārkāpumu riskus nopietni, pakļauj sevi ne tikai CNIL sankcijām, bet arī tiesvedībai no privātpersonu puses.

 

 

Nacionālā asambleja ceturtdienas, 20. marta, vakarā nobalsoja par šifrētu ziņojumapmaiņas pakalpojumu konfidencialitātes saglabāšanu..

Šis pasākums paredzēja iespēju pieprasīt šīm ziņojumapmaiņas platformām (Signal, WhatsApp u. c.) nodot cilvēku tirgotāju saziņu izlūkdienestiem.

"Parlamenta deputāti pagājušajā nedēļā Juridiskajā komitejā atcēla šo pasākumu, kas apvienoja daudzus kiberdrošības dalībniekus un ekspertus pret to. Viņuprāt, pastāv pārāk liels risks radīt ievainojamību, kas apdraudētu visu šo platformu lietotāju sarunas."

Lai attiecīgie speciālisti "varētu sagatavoties gaidāmajām konsultācijām vai diskusijām", CNIL 27. martā iepazīstināja ar darba programmu un vadlīnijām, kuras tā vēlas pieņemt 2025. gadā.

Starp aplūkotajām tēmām ir praktiski norādījumi par mākslīgo intelektu, atsauces dokumentu projekti par apakšuzņēmējiem, veselību, banku sektoru, datu saglabāšanas periodiem mārketinga un cilvēkresursu jomā, trīs ieteikumu projekti par "vairāku ierīču" piekrišanu, pikseļiem e-pastos un senioru ekonomiku; visbeidzot, CNIL turpinās darbu pie videoreģistratoriem un politiskās aģitācijas.

CNIL lēmums, ar kuru Eiropas Zāļu aģentūrai (CNIL) tiek atļauts ar noteiktiem nosacījumiem piekļūt datu izrakstiem no SNDS DARWIN projekta ietvaros. (Datu analīzes un reālās pasaules pratināšanas tīkls) ES, tika publicēts Légifrance vietnē.

Komisija kritizē mitināšanas pakalpojumu sniedzēja izvēli, uz kuru attiecas ekstrateritoriālās tiesības, kas pakļauj to riskam, ka sensitīvi dati tiks nodoti ārvalstīm, bet tomēr atļauj apstrādi uz laiku, kas ierobežots līdz trim gadiem datu izlases gadījumā un vienam gadam pēc pētījuma publicēšanas.

Francijas konkurences iestāde ar 28. marta lēmumu piesprieda Apple 150 miljonu eiro sodu. "par dominējošā stāvokļa ļaunprātīgu izmantošanu mobilo lietojumprogrammu izplatīšanas nozarē iOS un iPadOS ierīcēs."

Šis pasākums ir īpaši vērsts uz Apple lietotņu izsekošanas pārredzamību (ATT), kas ļauj lietotājiem viegli izvēlēties, vai viņi vēlas iespējot trešās puses izsekošanu.

Iestāde uzskata, ka pats regulējums "fundamentāli nav problemātisks", taču norāda, ka ATT padara trešo pušu lietojumprogrammu izmantošanu iOS vidē pārmērīgi sarežģītu, pieprasot vairākus piekrišanas uznirstošos logus.

Pieteikums jo īpaši sodītu mazākus izdevējus, "kuri lielā mērā ir atkarīgi no trešo pušu datu vākšanas, lai finansētu savu uzņēmējdarbību".

Ar lēmumā, kas datēts ar 1. aprīli, Valsts padome ir lēmusi par TikTok bloķēšanu Jaunkaledonijā pagājušā gada pavasara nemieru laikā.

Lai gan tā uzskata, ka šajā konkrētajā gadījumā derīguma nosacījumi netika izpildīti, tā tomēr nosaka nosacījumus, saskaņā ar kuriem šāda sociālā tīkla bloķēšana varētu būt likumīga, lemjot, ka administratīvā iestāde "izņēmuma apstākļos var (...) izmantot šādu [bloķēšanas] pasākumu, ja tas ir būtiski, lai apmierinātu konkrētā brīža vajadzības".

Mērvienībai jābūt šādai:

• Neaizstājams īpaši nopietnu notikumu risināšanā;
• Bez jebkādiem tehniskiem līdzekļiem, kas ļautu nekavējoties īstenot alternatīvus pasākumus;
• Un pieņemts "uz ierobežotu laiku, kas nepieciešams šo alternatīvo pasākumu izpētei un ieviešanai".

 

Kasācijas tiesas sociālo lietu palāta 26. marta spriedumā apstiprināja darbinieces tiesības saņemt daļēju dažu savu kolēģu algas lapu kopiju, lai pierādītu netaisnīgu attieksmi. viņa karjeras progresā.

Tiesa atkārtoti uzsver datu minimizēšanas principu un norāda, ka pirmās instances tiesneša pienākums ir "nodrošināt, lai informācija, kurai viņš norādīs, ka tai jāpaliek redzamai, būtu atbilstoša, atbilstoša un stingri ierobežota ar to, kas ir būtiski darbinieku salīdzināšanai, ņemot vērā iespējamo(-os) diskriminācijas pamatu(-us)."

 

Eiropas iestādes un struktūras

Politico 3. aprīļa rakstā paziņoja, ka Eiropas Komisija plāno tuvākajās nedēļās iesniegt priekšlikumu GDPR vienkāršošanai..

Saskaņā ar publikāciju, šī ir "viena no ES izpildvaras prezidentes Urzulas fon der Leienas prioritātēm, kura cenšas padarīt Vecā kontinenta uzņēmumus konkurētspējīgākus salīdzinājumā ar konkurentiem Amerikas Savienotajās Valstīs, Ķīnā un citur".

1. aprīlī Komisija atklāja savu ceļvedi "jaunai Eiropas iekšējās drošības stratēģijai" ar nosaukumu ProtectEU, kuras mērķis jo īpaši ir paplašināt Eiropola un Frontex pilnvaras.

Komisija veiks datu saglabāšanas noteikumu ietekmes novērtējumu ES līmenī un sagatavos tehnoloģiju ceļvedi šifrēšanas jomā, "lai identificētu un novērtētu tehnoloģiskos risinājumus, kas ļautu tiesībaizsardzības iestādēm likumīgi piekļūt šifrētiem datiem, vienlaikus aizsargājot kiberdrošību un pamattiesības".

Eiropas Savienības Tiesas (EST) ģenerāladvokāts (AG) savos 27. marta secinājumos pauda viedokli, ka WhatsApp, būdams tieši skarts, var apstrīdēt EDAK saistošo lēmumu Eiropas Tiesā saskaņā ar LESD 263. pantu.

Atgādinām, ka pēc šī EDAK lēmuma 2021. gada 28. jūlijā saskaņā ar GDPR konsekvences mehānismu Īrijas Datu aizsardzības komisija pieņēma lēmumu, konstatējot pārkāpumus, nosakot korektīvus pasākumus un administratīvos sodus kopējā summā 225 miljonu eiro apmērā.

WhatsApp bija apstrīdējis EDAK lēmumu Eiropas Tiesā un vienlaikus Īrijas APD galīgo izpildes lēmumu Īrijas tiesā.

Ģenerālā asambleja tajā pašā dienā arī uzskatīja, ka ikdienas informatīvā biļetena nosūtīšana ir uzskatāma par “tiešo mārketingu” attiecībā uz “līdzīgiem produktiem vai pakalpojumiem” ePrivātuma direktīvas izpratnē, un uzskatīja, ka gadījumos, kad personas datu apstrāde ir likumīga, pamatojoties uz šo noteikumu, GDPR 6. pants nav piemērojams: ja ePrivātuma direktīvā ir īpašs noteikums, kas paredz pienākumus ar tādu pašu mērķi kā atbilstošajiem GDPR noteikumiem, ir jāpiemēro “ePrivātuma” noteikums.

20. martā Tiesa beidzot lēma, ka GDPR paredz datu subjektiem tiesības pieprasīt aizliegumu nelikumīgas apstrādes gadījumos. Šī preventīvā iespēja pieprasīt aizliegumu nemazina kompensējošos nemateriālos zaudējumus, kas radušies šādas nelikumīgas apstrādes rezultātā.

EST 13. martā lēma, ka GDPR 16. pants paredz transpersonas dzimuma labošanu, ja tas ir neprecīzi reģistrēts publiskā reģistrā.

Lai gan kompetentā iestāde var pieprasīt pierādījumus par neprecizitātēm, prasība attiecīgajai personai pierādīt, ka tai ir veikta dzimuma maiņas operācija, ir šīs personas cilvēktiesību pārkāpums.

 

Ziņas no Eiropas Savienības dalībvalstīm.

Vācijā Federālā Augstākā tiesa atstāja spēkā 500 eiro morālā kaitējuma kompensāciju prasītājam par viņa reputācijas nodarīto kaitējumu. saskaņā ar VDAR 82. pantu.

Turklāt tā lēma, ka tiesa, nosakot zaudējumu apmēru, nevar ņemt vērā ne GDPR pārkāpuma smagumu, ne vainas jautājumu.

Austrijas Datu aizsardzības iestāde (APD) ir likusi iznīcināt fotogrāfa uzņemtos attēlus par neatbilstību GDPR..

Fotogrāfs publiskā tīmekļa vietnē bija publicējis ielā uzņemtus attēlus, kuros redzami identificējami cilvēki, īpaši bērni un sievietes, sensitīvos kontekstos, bez derīga juridiska pamata vai pietiekamām garantijām (informācija, tiesības iebilst).

Noyb biedrība tikko cieta neveiksmi Briseles Apelācijas tiesā..

Tiesa 19. marta spriedumā lēma, ka...Biedrības iesniegtajām sūdzībām ir jāpierāda attiecīgās personas personīgā ieinteresētība..

Šajā konkrētajā gadījumā Tirgus tiesa norāda, ka tā nav atradusi nekādu pamatojumu šādai prasītāju interesei attiecībā uz sīkdatņu noteikumu pārkāpumiem.

Cita starpā viņa min, ka Noyb nevienā tiesvedības brīdī neapgalvo, ka prasītāji būtu regulāri vai pat neregulāri attiecīgo tīmekļa vietņu/avīžu apmeklētāji.

Arī Beļģijā APD tiesvedības palāta brīdinājumu izteica erotiskajai saunai, jo īpaši par tiešsaistes viesu grāmatas uzturēšanu, kas ļāva publiski izplatīt sensitīvus datus par klientiem.

APD norādīja uz privātuma politikas pārredzamības trūkumu, datu apstrādes juridiskā pamata neesamību un apstrādes darbību reģistra neizpildi.

Spānijā APD piesprieda bankai 3 500 000 eiro sodu par nopietnu banku lietojumprogrammas dizaina trūkumu, kas ļāva klientiem piekļūt kontiem, kuriem viņiem nebija atļaujas.

Apdrošināšanas sabiedrībai tika piemērots arī 1 000 000 eiro sods par kodēšanas kļūdu, kuras rezultātā pa e-pastu 354 saņēmējuzņēmumiem tika nosūtīti 3395 cilvēku personas dati, tostarp sensitīvi dati.

Grieķijā APD piesprieda bankai 3000 eiro sodu par atbilstošu drošības pasākumu neieviešanu pēc iekšēja datu pārkāpuma.

Darbinieks pēc aiziešanas no uzņēmuma bija nelikumīgi saglabājis administratora tiesības un bez atļaujas piekļuvis vairāk nekā 6000 citu darbinieku datiem.

Līdzīgu lēmumu ir pieņēmusi arī Itālijas Datu aizsardzības iestāde (APD).

Īsziņu surogātpasta lietā Grieķijas Datu aizsardzības iestāde (APD) lūdza valsts domēnu vārdu iestādi apturēt attiecīgā uzņēmuma domēna vārda darbību, pamatojoties uz to, ka šis domēna vārds tiek izmantots negodprātīgi vai veidā, kas ir pretrunā ar sabiedrisko kārtību.

Piezīme ka ICANN līmenī reģistratūras ir "apturējušas 2528 domēna vārdus un atspējojušas 328 tīmekļa vietnes, kas izmantotas pikšķerēšanas operācijām" kā daļa no centieniem īstenot atbilstības pasākumus.

Itālijas Datu aizsardzības iestāde (APD) ir sodījusi enerģētikas uzņēmumu ar 300 000 eiro par nelikumīgu personas datu apstrādi tiešā mārketinga nolūkos, par datu aizsardzības principu neieviešanu un par darba meklētāju nepietiekamu informēšanu par viņu datu apstrādi.

Luksemburgas Administratīvā tiesa ir atstājusi spēkā 746 000 000 eiro sodu, ko APD 2021. gadā uzlika Amazon meitasuzņēmumam par tīmekļa vietnes apmeklētāju datu nelikumīgu apstrādi uz interesēm balstītas reklāmas nolūkos, par pārredzamas informācijas nesniegšanu un par vairāku datu subjektu tiesību pārkāpšanu.

Lai gan ziņots, ka Amazon apsver apelācijas iesniegšanu, APD paziņoja, ka apelācijas periodā vai iespējamās tiesvedības laikā nesniegs nekādu informāciju par savu lēmumu.

Polijas Datu aizsardzības iestāde (APD) ir piespriedusi pasta dienestam 6,3 miljonu eiro sodu par valdības datu apstrādes pieprasījuma izpildi attiecībā uz 30 miljoniem pilsoņu saistībā ar Covid pandēmijas laikā notikušajām vēlēšanām, nepārbaudot pieprasījuma juridisko pamatu. 

La Poste vajadzēja gaidīt, līdz būs izsmeltas visas pārsūdzības iespējas pret šo lēmumu, kuru tiesas galu galā atcēla.

 

17. martā stājās spēkā Apvienotās Karalistes Tiešsaistes drošības likums, kas pieprasa tiešsaistes platformām īstenot virkni pasākumu, kuru mērķis ir mazināt riskus bērniem un kopumā noņemt kaitīgu saturu.

Lielbritānijas pakalpojumu sniedzējiem ir laiks līdz 16. martam, lai veiktu savu pakalpojumu riska novērtējumus.

Apvienotās Karalistes regulatīvā iestāde (Ofcom) ir izstrādājusi labas prakses kodeksu un ieviešanas programmu.

Šī likuma kritiķi īpaši kritizē tā darbības jomu attiecībā uz pelēkajām zonām, piemēram, uzmākšanos vai uzvedības kontroli, un no tā izrietošajiem cenzūras riskiem.

Šis likums papildina divus citus Lielbritānijas noteikumus, kas varētu apdraudēt Apvienotās Karalistes atbilstības lēmuma atjaunošanu jūnijā: Eiropas Parlamenta Pētniecības dienesta publicētā piezīmē ir atsauce uz Datu likumprojektu un grozījumu Izmeklēšanas pilnvaru likumā, kuru abu mērķis ir paplašināt valdības un tiesībaizsardzības iestāžu piekļuvi lietotāju datiem.

Austrālijas Informācijas komisāra birojs 19. martā publicēja pētījumu par Austrālijas publiskā sektora aģentūru politiku un praksi attiecībā uz ziņojumapmaiņas lietojumprogrammu izmantošanu.

Ziņojumā konstatēts, ka ziņojumapmaiņas lietotnes Austrālijas valsts pārvaldē tiek plaši izmantotas bez pienācīgas uzraudzības vai procedūrām. Pētījumā sniegts ieteikumu saraksts šīs problēmas risināšanai.

Kanādas Privātuma komisārs tikko ir izlaidis rīku, lai novērtētu, vai personas datu pārkāpums rada reālu būtiska kaitējuma risku personām.

Ķīnā "Nacionālais interneta informācijas birojs" 13. martā publicēja drošības pārvaldības pasākumus biometrisko tehnoloģiju piemērošanai, kas paredz, ka sejas atpazīšanas darbībām jāatbilst piemērojamajiem likumiem, jāveic drošības pasākumi un jāsamazina ietekme uz cilvēktiesībām.

Vācu laikraksts Der Spiegel 26. martā paziņoja, ka tam ir izdevies piekļūt dažu augstāko Amerikas drošības amatpersonu, tostarp aizsardzības ministra un bijušā Fox News vadītāja Pīta Hegseta, personas datiem, tiešsaistes kontaktinformācijai un pat parolēm.

Žurnālisti izmantoja publiskās meklētājprogrammas, kā arī "uzlauza klientu datus", kas bija publicēti tiešsaistē.

Tiek uzskatīts, ka starp tiem, kuru informācija nopludināta tiešsaistē, ir arī nacionālās drošības padomnieks Maiks Volcs un nacionālās izlūkošanas direktore Talsi Gabārda.

Arī Amerikas Savienotajās Valstīs mākslīgā intelekta regulējums ievērojami pieaug: 2024. gadā tika identificēti vairāk nekā 600 ar mākslīgo intelektu saistīti likumprojekti, no kuriem gandrīz 100 ir pieņemti.

Tomēr aizsardzības līmenis dažādās valstīs ievērojami atšķiras.

"Multistate" tīmekļa vietnes piedāvātais izsekotājs ļauj vizualizēt noteikumu stāvokli 2025. gadā.

Tikmēr 18. martā prezidents Tramps atlaida divus Federālās tirdzniecības komisijas (FTC) demokrātu locekļus, palielinot pašreizējo nenoteiktību par patērētāju aizsardzības un kontroles mehānismu efektivitāti Amerikas Savienotajās Valstīs un vēl vairāk vājinot transatlantiskā datu aizsardzības nolīguma stabilitāti.

Vjetnamā datu aizsardzības likums varētu tikt pieņemts pavasarī.

Valdība nesen pieņēma rezolūciju, lai paātrinātu likumdošanas procesu, un Sabiedriskās drošības ministrijai tika uzdots iesniegt likumprojektu Nacionālajai asamblejai oficiālai pieņemšanai 2025. gada maijā.

Kā liecina L. Jarosvka raksts, uzlabotiem mākslīgā intelekta attēlu ģeneratoriem ir būtiska ietekme uz datu aizsardzību.

• “Ghibli” efekts, kas ļauj veidot attēlus slaveno Mjasaki multfilmu stilā, pēdējās dienās ir pamudinājis tūkstošiem cilvēku brīvprātīgi augšupielādēt savas sejas un personīgās fotogrāfijas vietnē ChatGPT, tādējādi dodot OpenAI tiešu un bezmaksas piekļuvi vairākiem tūkstošiem jaunu seju, lai apmācītu savus mākslīgā intelekta modeļus.
• Attēlu ģeneratori arī padara viltotu pierādījumu izveidi ārkārtīgi vienkāršu, lētu un pieejamu. Tādējādi ikviens ar ļaunprātīgiem nodomiem var dažu minūšu laikā un praktiski bez maksas izveidot viltotus rēķinus, personu apliecinošus dokumentus, adreses apliecinājumus vai pat bankas dokumentus, radot identitātes zādzības risku.