Juridiskā uzraudzība Nr. 62 — 2023. gada augusts.

DMA, DSA: tehnoloģiju gigantu jaunās saistības.

Septembra sākumā paplašinās tiešsaistes lietotāju tiesību aizsardzība, piemērojot Digitālo pakalpojumu likumu lielākajām platformām un publicējot to uzņēmumu sarakstu, uz kuriem attiecas Digitālo tirgu likums.

• Kopš 25. augusta Eiropas digitālo pakalpojumu regula (DSA) attiecas uz ļoti lielām tiešsaistes platformām (VLOP) un ļoti lielām tiešsaistes meklētājprogrammām (VLOSE).

Regula no 2024. gada 17. februāra stāsies spēkā arī visiem starpniekiem, kas piedāvā savus pakalpojumus lietotājiem ES, tostarp tiešsaistes platformām, piemēram, lietotņu veikaliem, sadarbīgās ekonomikas platformām un sociālo mediju platformām, ar ierobežotākām saistībām.

Papildu izņēmumi ir paredzēti MVU un mikrouzņēmumiem.

Saskaņā ar Eiropas Komisijas 25. aprīļa lēmumu VLOPS un VLOSES kategorijā ietilpst deviņpadsmit uzņēmumi, tostarp TikTok, Facebook, X, Snapchat, YouTube un Google Search, ietekmīgi tiešsaistes mazumtirgotāji, piemēram, Amazon un Zalando, kā arī divas lielākās tiešsaistes meklētājprogrammas Bing un Google Search.

Šiem uzņēmumiem būs jāievēro virkne saistību attiecībā uz pārredzamību, nepilngadīgo aizsardzību, satura moderāciju un privātuma ievērošanu.

Jo īpaši tiem būs jāidentificē un jānovērtē sistēmiskie riski, kas izriet no to pakalpojumiem, tostarp algoritmiskajām sistēmām, piemēram:

• Nelikumīga satura izplatīšana
• Negatīvā ietekme uz pamattiesību īstenošanu
• Negatīvā ietekme uz pilsonisko diskursu un vēlēšanu procesiem;
• Negatīvā ietekme uz vardarbību dzimuma dēļ, sabiedrības veselības aizsardzību un nepilngadīgajiem;
• Nopietnas negatīvas sekas cilvēka fiziskajai un garīgajai labsajūtai.

Vairākas DSA saistības pārklājas ar GDPR saistībām. Tās ir uzskaitītas nesen publicētā "Future of Privacy Forum" rakstā.

Piemēram, pastāv līdzīgi vai papildinoši pienākumi attiecībā uz "tumšajiem modeļiem", mērķtiecīgu reklāmu, kuras pamatā ir sensitīvi dati vai kas attiecas uz nepilngadīgajiem, pārredzamību, profilēšanu, riska analīzi un nelegāla satura dzēšanu.

Kontroles procedūras ir sarežģītas un var traucēt GDPR procedūrām: atšķirībā no pēdējās, kas nodrošina regulējumu galvenokārt valsts līmenī, un pārrobežu gadījumos to koordinē Eiropas Datu aizsardzības kolēģija, DSA centralizē kontroli ES līmenī attiecībā uz VLOP un VLOSE, vienlaikus uzticot dalībvalstīm atbildību par citiem starpposma pakalpojumu sniedzējiem.

Cerēsim, ka starp šīm dažādajām iestādēm tiks ieviesta koordinācija, lai sniegtu norādījumus gan attiecīgajiem uzņēmumiem, gan personām, kas vēlas celt prasību tiesā.

• Lai gan Digitālā tirgus likums ir spēkā kopš maija, Komisija 6. septembrī publicēja sešu tehnoloģiju gigantu jeb "vārtu sargu" sarakstu, kuriem būs jāievēro tā principi. Tie ir Alphabet, Amazon, Apple, ByteDance, Meta un Microsoft.

Komisija norāda, ka kopumā ir skarti 22 šo sešu aizbildņu pārvaldītie pamata platformas pakalpojumi.

Galvenais mērķis ir neļaut šiem uzņēmumiem izmantot savu dominējošo stāvokli.

Tādējādi teksts aizliedz pašreferences vai pienākumu profesionāliem lietotājiem izmantot tikai attiecīgā uzņēmuma pakalpojumus vai produktus.

Vārtu sargi arī nevar aizliegt biznesa lietotājiem piedāvāt un reklamēt konkurējošus pakalpojumus, un viņiem ir pienākums dalīties ar viņiem informācijā, kas iegūta, izmantojot viņu platformu.

Ir paredzētas arī īpašas sadarbspējas prasības tiešsaistes ziņojumapmaiņas pakalpojumiem, kā arī iespējas operētājsistēmām, pārlūkprogrammām, meklētājprogrammām un virtuālajiem asistentiem.

Turklāt "vārtu sargiem" ir aizliegts izsekot un profilēt lietotājus reklāmas mērķauditorijas atlases nolūkos, ja vien viņi nav saņēmuši viņu piekrišanu, un liegt viņiem atinstalēt iepriekš instalētās lietotnes.

Tādēļ daži no šiem pienākumiem pastiprina tos, kas paredzēti DSA attiecībā uz lietotāju aizsardzību, jo īpaši attiecībā uz profilēšanu.

Vairāki uzņēmumi, piemēram, TikTok, Meta un Google, jau ir mainījuši savus pakalpojumu sniegšanas noteikumus.

DSA un DMA paredzētie naudas sodi var sasniegt attiecīgi 6% un 10% no attiecīgo uzņēmumu apgrozījuma.

Atkārtotu DMA pārkāpumu gadījumā sods var sasniegt 20% apgrozījuma…

Summas, kas pārsniedz GDPR paredzēto 4%, kuras likumdevējs jau regulas pieņemšanas brīdī bija uzskatījis par atturošām.

 

Un arī

• CNIL gatavo ieteikuma projektu par sistēmām, kurām drošības pārkāpuma gadījumā ir liels risks, un uzsāk sabiedrisko apspriešanu.

Tās mērķis ir apkopot visas uzlabotās drošības prakses vienā dokumentā, kas īpaši attiecas uz tā saukto "kritisko" apstrādi, ko definē šādi divi kumulatīvi kritēriji:

• Apstrāde ir liela mēroga GDPR izpratnē;
• Personas datu pārkāpumam varētu būt ļoti būtiskas sekas attiecīgajām personām, valsts drošībai vai sabiedrībai kopumā.

Konsultācijā ir iespējams piedalīties līdz 2023. gada 8. oktobrim.

• 8. augustā CNIL publicēja informatīvu piezīmi par savienotajām raidītājiem, lai palīdzētu ikvienam, kurš kļuvis par ļaunprātīgas izmantošanas vai nelikumīgas lietošanas upuriem, sevi pasargāt.

Šīs birkas, kas ļauj noteikt objektu atrašanās vietu un tos atrast (piemēram, atslēgas vai maku), dažreiz tiek izmantotas, lai atrastu cilvēkus bez viņu ziņas.

• Uzņēmums “Pôle emploi” 23. augustā paziņoja, ka aptuveni desmit miljonu cilvēku personas dati, kas reģistrēti tā failos, ir nozagti “kiberļaunprātīgas rīcības” rezultātā.

Šie dati tika nodoti ārpakalpojumā uzņēmumam Majorel, kas ir atbildīgs par darba meklētāju nosūtīto dokumentu digitalizāciju.

Var tikt ietekmēts vārds un uzvārds, pašreizējais vai iepriekšējais darba meklētāja statuss un sociālās apdrošināšanas numurs.

Tomēr "e-pasta adreses, tālruņu numuri, paroles un bankas dati" netika apdraudēti.

 

Eiropas iestādes un struktūras

• 11. oktobrī Eiropas Savienības Kiberdrošības aģentūra (ENISA) sadarbībā ar Eiropas Komisiju organizē Uzticamības pakalpojumu un eID forumu, lai uzraudzītu tiesiskās vides, Eiropas digitālā maka un iedzīvotāju tiešsaistes darbību aizsardzības attīstību visā ES.

ENISA publicē arī viedtālruņu vadlīnijas: “SMASHING – Smartphone Secure development Guidelines” (Smagasinošas viedtālruņu drošas izstrādes vadlīnijas).

Rīks nodrošina viedtālruņu lietojumprogrammu izstrādātājiem paredzētu pasākumu karti, kuras mērķis ir nodrošināt drošu mobilo lietojumprogrammu izstrādi.

• Eiropas Telekomunikāciju standartu institūts (ETSI) ir publicējis ziņojumu "Mākslīgā intelekta (SAI) nodrošināšana; Multimediju identitātes attēlojumu automatizēta manipulācija".

Dokumentā ir aplūkotas uz mākslīgo intelektu balstītas metodes, lai automātiski manipulētu ar esošajiem identitātes datiem vai izveidotu viltotus identitātes datus, kas attēloti dažādos multivides formātos, piemēram, audio, video un tekstā (dziļviltojumi).

Tajā aprakstītas dažādas tehniskās pieejas un analizēti dziļviltojumu radītie draudi dažādos uzbrukumu scenārijos.

Pēc tam viņš ierosina tehniskus un organizatoriskus pasākumus šo draudu mazināšanai un analizē to efektivitāti un ierobežojumus.

• 2023. gada revīzijas programmas kontekstā EDAK koncentrējas uz DAS lomu.

IAPP 31. jūlijā publicētā rakstā ir uzskaitīti Eiropas datu aizsardzības iestāžu lēmumi par datu aizsardzības speciālistu iecelšanu un prasmēm.

• Google piederošais Fitbit saskaras ar sūdzībām par privātuma pārkāpumiem Eiropas Savienībā, apgalvojot, ka uzņēmums nelikumīgi eksportē lietotāju datus, pārkāpjot ES datu aizsardzības noteikumus.

Sūdzības ir vērstas pret Fitbit apgalvojumu, ka lietotāji ir piekrituši savas informācijas starptautiskai pārsūtīšanai — uz Amerikas Savienotajām Valstīm un citām vietām —, lai gan saskaņā ar NVO NOYB datiem uzņēmums piespiež lietotājus dot savu piekrišanu.

 

Ziņas no Eiropas dalībvalstīm.

• Nīderlandē Datu aizsardzības iestādes (DPA) sākotnējā ziņojumā, kas datēts ar 1. septembri, tiek aicināts veikt papildu pasākumus, lai kontrolētu ar algoritmiem un mākslīgo intelektu saistītos riskus, paredzot gaidāmos Eiropas tiesību aktus.

Lai tos labāk kontrolētu, valsts iestādēm un uzņēmumiem ir jātiek galā ar diviem izaicinājumiem.

Pirmkārt, riski, kas saistīti ar mākslīgā intelekta inovāciju, piemēram, viedo tērzēšanas robotu, straujo integrāciju sabiedrībā.

Otrkārt, ziņojumā ir uzsvērta nepieciešamība visām lielākajām valsts un privātajām iestādēm Nīderlandē izprast augsta riska algoritmu izmantošanu – tādu algoritmu izmantošanu, kuriem ir būtiska ietekme uz indivīdu dzīvi. Ziņojumā ir uzskaitītas īstenojamās darbības.

• Spānijas Datu aizsardzības iestāde (APD) ir sodījusi mediju uzņēmumu ar 20 000 eiro sodu par fotoattēla publicēšanu, kas uzņemts no personas privātā Instagram profila, un ievietošanu emuārā ar personas vārdu un vecumu, pārkāpjot GDPR 6. panta 1. punktu.

Tā arī uzlika Fourth Party Logistics SL 120 000 eiro sodu (samazinātu līdz 72 000 eiro) par nelikumīgu apakšuzņēmuma līgumu slēgšanu līgumu neformalizācijas un iepriekšēju atļauju neesamības dēļ formalizācijai.

• Horvātijā publiskā Facebook grupā komentārā pie video ar policijas operāciju tika ievietota fotogrāfija, kurā redzams policists.

APD konstatēja GDPR 5. panta 1. punkta b) apakšpunkta un 6. panta 1. punkta pārkāpumu un lika noņemt fotoattēlu.

• Līdzīgā kontekstā Kipras Datu aizsardzības iestāde piesprieda vietējam laikrakstam 7000 eiro sodu par GDPR 5. panta (1) daļas c) punkta un 6. panta pārkāpumu: laikraksts bija publicējis dežūrējošo policijas darbinieku vārdus un fotogrāfijas.
• Kopīgas izmeklēšanas ietvaros datu aizsardzības iestādes Baltijas valstīs veica revidējumu un noteica sankcijas kādam automašīnu nomas uzņēmumam.

Aprēķinot naudas sodu, Datu aizsardzības iestāde kā atbildību pastiprinošu apstākli izcēla datu pārziņa pilnīgu sadarbības trūkumu.

Sākotnēji viņa uzskatīja par atbilstošu sodu 15 000 eiro apmērā. Tomēr, ņemot vērā datu pārziņa finansiālās grūtības un augsto maksātnespējas risku, viņa galu galā samazināja sodu līdz 1000 eiro.

• Jaunais Šveices federālais likums par datu aizsardzību stājās spēkā 1. septembrī.

Starp jaunajiem noteikumiem, kas iedvesmoti no GDPR, ir ietekmes novērtējums sensitīvu datu apstrādei, apstrādes darbību reģistrēšana, datu aizsardzības speciālists (DPO) un datu pārkāpumu ziņošana. Tagad ir skaidri minēta koncepcija "privātums pēc integrācijas".

 

• 24. augustā divpadsmit starptautiski datu aizsardzības un privātuma regulatori no Amerikas, Eiropas, Āfrikas un Āzijas un Klusā okeāna reģiona paziņoja, ka sagaida, ka sociālo mediju platformas un citas vietnes aizsargās sevi pret nelikumīgu datu izgūšanu (“tīmekļa datu ieguvi”).

Šis paziņojums atkārto ieteikumus, ko iepriekš snieguši tādi regulatori kā Austrālijas Informācijas komisija, CNIL un Apvienotās Karalistes Informācijas komisāra birojs pēc izmeklēšanas par Clearview AI, Inc. personas informācijas apstrādes praksi un datu pārkāpumu paziņošanas pienākumiem.

• Amerikas Savienotajās Valstīs Kiberdrošības un infrastruktūras drošības aģentūra (“CISA”), Nacionālā drošības aģentūra (“NSA”) un Nacionālais standartu un tehnoloģiju institūts (“NIST”) 21. augustā publicēja kopīgu faktu lapu par kvantu skaitļošanas sagatavotību, lai brīdinātu organizācijas, jo īpaši tās, kas atbalsta infrastruktūras sektorus.

kritiku – par kvantu skaitļošanas draudiem un mudināt šīs organizācijas sākt plānot turpmāku migrāciju uz postkvantu kriptogrāfijas standartiem (“PQC”).

• ASV valdība uzsāk Cyber Trust Mark — savu programmu lietu interneta drošības marķēšanai.
• Arī Amerikas Savienotajās Valstīs datu noplūde ietekmē Tesla: tā skar 75 000 cilvēku.

Divi bijušie Tesla darbinieki sniedza laikrakstam Handelsblatt personisku informāciju un kontaktinformāciju par citiem darbiniekiem.

Uzņēmums paziņoja Meinas ģenerālprokuroram par drošības pārkāpumu un piedāvāja cietušajām personām identitātes zādzības aizsardzības pakalpojumus.

2023. gada aprīlī darbinieki bija apskatījuši un kopīgojuši privātus video, ko ierakstījušas klientu Tesla automašīnas un kas uzņemti no transportlīdzekļu Sentry Mode drošības sistēmām.

Tesla nav vienīgais uzņēmums, kas pauž bažas par privātumu.

Mozilla Foundation 5. septembrī publicētā pētījumā 25 autoražotāju automašīnas tiek raksturotas kā "murgi uz riteņiem, runājot par datu privātumu".

Fonds izvērtēja 25 automašīnu ražotāju politiku un praksi un brīdināja, ka tie varētu apkopot un komerciāli izmantot daudz vairāk informācijas nekā tikai atrašanās vietas vēsturi, braukšanas paradumus, automašīnas navigācijas vēsturi un lietotāju mūzikas preferences.

Daži ražotāji var apstrādāt dziļi personiskus datus, piemēram, — atkarībā no privātuma politikas — seksuālo aktivitāti, imigrācijas statusu, rasi, sejas izteiksmes, svaru, veselību un pat ģenētisko informāciju.

Turklāt vairāk nekā puse ražotāju pārdod datus trešajām personām.

• 2023. gada 25. augustā Ķīnā tika publicētas jaunas vadlīnijas par mākslīgā intelekta ģenerēta satura marķēšanu: Ķīnas Nacionālā informācijas drošības standartizācijas tehniskā komiteja (“TC260”) publicēja “Kiberdrošības standartu praktisko vadlīniju – Ģeneratīvā mākslīgā intelekta pakalpojumu satura marķēšanas metodes” galīgo versiju.
• Kanāda publicē arī ģeneratīvā mākslīgā intelekta prakses kodeksu un mudina sniegt ieguldījumu tā dokumentā.
• Indijā oficiālajā vēstnesī 12. augustā tika publicēts 2023. gada Digitālo personas datu aizsardzības likums.

Lai gan šis likums tiek atzinīgi vērtēts, jo tas nodrošina 760 miljonu interneta lietotāju datu aizsardzību, tas arī rada kritiku par piedāvāto aizsardzības līmeni, jo īpaši ņemot vērā vēsturisko Puttasvamija spriedumu, kas pirms pieciem gadiem noteica tiesības uz privātumu Indijā.

• 31. augustā Apple paziņoja par atteikšanos no savas iCloud skenēšanas funkcijas izstrādes, lai identificētu bērnu pornogrāfijas saturu (CSAM).

Uzņēmums tagad koncentrējas uz rīku un resursu kopumu lietotāju ierīcēs, kas pazīstams kā "komunikācijas drošības funkcijas".

Pēc sadarbības ar dažādiem drošības un privātuma pētniekiem, digitālo tiesību grupām un bērnu drošības aizstāvjiem uzņēmums secināja, ka nevar turpināt mākoņskenēšanas mehānisma izstrādi, pat ja tas būtu īpaši izstrādāts privātuma aizsardzībai. 

"Katra lietotāja privāto iCloud datu analīze radītu jaunus draudu vektorus, ko datu zagļi varētu atrast un izmantot. Tas radītu arī neparedzētu seku risku. Piemēram, viena veida satura meklēšana paver durvis masveida novērošanai un varētu radīt vēlmi meklēt citas šifrētas ziņojumapmaiņas sistēmas visu veidu saturam."

Šī publiskā nostāja ir svarīga pašreizējā kontekstā, jo Apvienotā Karaliste, ES un ASV gatavo tiesību aktus, kuru mērķis ir ieviest plašu tīmekļa dalībnieku pārbaudi saistībā ar cīņu pret kibernoziedzību kopumā un jo īpaši bērnu aizsardzību tiešsaistē.