Juridiskā uzraudzība Nr. 89 — 2025. gada novembris. 

 

Eiropas digitālo noteikumu vienkāršošana: ko mēs varam sagaidīt?

Cik tālu Eiropas Komisija ies savā vēlmē vienkāršot Eiropas tiesisko regulējumu?

Kopš Dragi ziņojuma publicēšanas 2024. gada septembrī un nemierīgajā starptautiskajā ekonomiskajā kontekstā Eiropas izpildvara ir vairojusi pasākumus rūpniecības atbalstam.

Nesen publicētā “Digitālā kopīgā tiesību aktu pakete” ir paredzēta, lai pārliecinātu privāto sektoru par juridiskiem ierobežojumiem digitālajā nozarē, kas ļoti satrauc pilsonisko sabiedrību, kura baidās no vēl nepieredzētas pamattiesību ierobežošanas.

Komisija 19. novembrī oficiāli publicēja divus priekšlikumus — “Digitālo omnibusu” un “Digitālo omnibusu par mākslīgo intelektu” — un uzsāka digitālo prasmju novērtējumu.

Priekšlikums attiecībā uz digitālajām tehnoloģijām ievieš grozījumus gan GDPR un Mākslīgā intelekta regulā, gan E-privātuma direktīvā. Teksts ir blīvs; šeit ir daži galvenie punkti.

• • Attiecībā uz ePrivātuma direktīvu

Komisija jo īpaši ierosina izmaiņas sīkfailu politikā. Mērķis ir samazināt reklāmkarogu parādīšanās reižu skaitu un ļaut lietotājiem sniegt piekrišanu ar vienu klikšķi un saglabāt savas preferences, izmantojot pārlūkprogrammu un operētājsistēmu centrālos iestatījumus. Šis noteikums ir viens no vismazāk apstrīdētajiem.

Tekstā ir paredzēta arī vienota ziņošanas saskarne, kas ļauj uzņēmumiem izpildīt visus savus incidentu paziņošanas pienākumus, izmantojot vienu drošu portālu, lai vienkāršotu konkurējošos NIS2 direktīvas, GDPR un digitālās darbības noturības regulas pienākumus.

MVU un mazajiem un vidējiem uzņēmumiem ir plānota juridisko saistību atvieglošana attiecībā uz dokumentāciju, sankcijām un mākoņpakalpojumu pārslēgšanas noteikumiem.

• • Attiecībā uz GDPR,

Priekšlikums ierobežo personas datu definīciju, ieviešot subjektīvu pieeju datu identificējamībai, kas varētu izslēgt no regulas darbības jomas noteiktus pseidonīmdatus vai identifikācijas numurus.

Sensitīvu datu definīcija tiktu mainīta, lai tā attiektos tikai uz tiem datiem, kas “tieši” atklāj informāciju par veselību, rasi utt., riskējot izslēgt tos datus, kurus varētu secināt, piemēram, ar algoritmu.

Priekšlikums arī paredz ierobežot personu tiesības pieprasīt piekļuvi saviem datiem tikai "datu aizsardzības nolūkos".

Jauna "zinātniskās pētniecības" definīcija varētu arī novest pie plaša mēroga atbrīvojumiem no GDPR, kas sniegtu labumu privātajam sektoram: "jebkura pētniecība, kas varētu atbalstīt inovācijas, piemēram, tehnoloģiju attīstība un demonstrēšana", tādējādi varētu tikt atbrīvota no informācijas sniegšanas un mērķa ierobežojuma pienākumiem.

Priekšlikumā ir iekļautas izmaiņas, kas veicina automatizētu lēmumu pieņemšanu un ļauj izmantot personas datus mākslīgā intelekta sistēmu apmācībai un darbībai, pamatojoties uz likumīgām interesēm.

Tekstā ir paredzēts arī sešu mēnešu pārejas periods AI regulas 50. panta 2. punktam (pārredzamības pienākumi).

Digitālā kopīgā tiesību aktu pakete joprojām ir atvērta komentāriem astoņas nedēļas, un šis periods tiek pagarināts katru dienu, līdz priekšlikums ir pieejams visās ES valodās, pašlaik tas ir līdz 2026. gada 29. janvārim.

Pēc tam priekšlikums tiks izskatīts Eiropas Parlamentā un Padomē saskaņā ar parastajām ES likumdošanas procedūrām, kur tas noteikti būs dzīvu debašu temats.

Runājot par GDPR konkrētāk, dažas valstis ir atvērtas Komisijas priekšlikumu pārskatīšanai, savukārt citas, tostarp Slovēnija, Igaunija un Austrija, jau ir norādījušas, ka, viņuprāt, GDPR "šobrīd neprasa nekādas turpmākas izmaiņas".

Procesā tiks iekļauti arī Eiropas Datu aizsardzības kolēģijas un Eiropas Datu aizsardzības uzraudzītāja viedokļi — divas nostājas, kas, lai gan nav saistošas, paredzams, ietekmēs turpmākās diskusijas.

 

Pēc sākotnējā ziņojuma, kurā tika novērtēts, vai franči ir gatavi maksāt par tiešsaistes pakalpojumiem bez mērķtiecīgas reklāmas, CNIL 17. novembrī publicēja otro daļu par franču attieksmi pret savu datu monetizāciju.

65 % respondentu (%) norādīja, ka ir gatavi pārdot savus datus. Visbiežāk minētā vērtība bija no 10 līdz 30 eiro mēnesī, ko deva priekšroku 28 % no šiem respondentiem (%).

No otras puses, 35 % iedzīvotāju nevēlas pārdot savus datus par jebkuru cenu, principiāli noraidot personas datu monetizāciju.

Šajā sakarā CNIL norāda, ka, lai gan ir iespējams nodot lietošanas tiesības uz saviem datiem, "personas datu 'monetizācijas' prakse, proti, īpašumtiesību nodošana uz tiem, saskaņā ar pašreizējo tiesisko regulējumu nav iespējama, jo nevar atteikties no savām tiesībām uz saviem datiem".

2025. gada 20. novembrī CNIL piesprieda Francijas uzņēmumam Conde Nast publications 750 000 eiro sodu par piemērojamo noteikumu neievērošanu attiecībā uz sīkdatnēm, kas tiek ievietotas to lietotāju termināļos, kuri apmeklē vietni "vanityfair.fr".

Uzņēmums jau bija saņēmis oficiālu paziņojumu pēc Noyb asociācijas sūdzības 2019. gadā, taču neievēroja prasības.

Naudas sods ņem vērā uzņēmuma nereaģēšanu, iesaistīto cilvēku skaitu un dažādus trūkumus: piekrišanas neiegūšanu, lietotāju neinformēšanu un piekrišanas atteikšanas un atsaukšanas mehānismu neveiksmi.

2025. gada 27. novembrī CNIL arī uzlika 1,5 miljonu eiro sodu uzņēmumam American Express Carte France par piemērojamo sīkfailu noteikumu neievērošanu.

26. novembrī ANSSI publicēja ziņojumu par mobilo tālruņu apdraudējuma stāvokli.

Ziņojumā ir uzsvērta uzbrucēju izmantotās ievainojamības, kas var būt vērstas pret tīkliem, operētājsistēmu vai lietojumprogrammām, un identificēts konkrēts drauds: spiegošanas un novērošanas operācijas, ko veic valsts dalībnieki.

Mobilie tālruņi ir arī viens no galvenajiem mērķiem kibernoziedzniekiem, kuriem, tos kompromitējot, izdodas nozagt naudu no saviem upuriem.

Mobilie tālruņi tiek ļaunprātīgi izmantoti arī privātai novērošanai vai destabilizācijas operācijām.

Ziņojumā sniegti arī drošības ieteikumi lietotājiem.

Tas ietver regulāru tālruņa izslēgšanu un ieslēgšanu, neizmantojot restartēšanas funkciju, neklikšķināšanu uz saitēm un failu neatvēršanu nevēlamos ziņojumos, modrību, atverot saites, kas pārsūtītas, izmantojot QR kodus, operētājsistēmas atjauninājumu lietošanu, Wi-Fi un Bluetooth saskarņu atspējošanu, kad tās netiek izmantotas, un izvairīšanos no savienojuma izveides ar publiskiem Wi-Fi tīkliem.

 

Eiropas iestādes un struktūras

26. novembrī ES dalībvalstu pārstāvji vienojās par Padomes nostāju attiecībā uz regulu, kuras mērķis ir novērst un apkarot bērnu seksuālu izmantošanu.

Teksta mērķis ir uzlikt digitālā sektora uzņēmumiem pienākumu novērst bērnu pornogrāfijas izplatīšanu un bērnu uzmākšanos.

Kompetentajām valsts iestādēm būs tiesības piespiest uzņēmumus noņemt noteiktu saturu un bloķēt piekļuvi tam vai, meklētājprogrammu gadījumā, noņemt noteiktus meklēšanas rezultātus.

Regula paredz arī jaunas Eiropas aģentūras — Eiropas Bērnu pornogrāfijas centra — izveidi, kuras uzdevums ir palīdzēt dalībvalstīm un tiešsaistes pakalpojumu sniedzējiem īstenot likumu.

Padome arī vēlas padarīt par pastāvīgu pašlaik pagaidu pasākumu, kas ļauj uzņēmumiem brīvprātīgi skenēt savus pakalpojumus, lai atklātu bērnu seksuālu izmantošanu.

Lai gan teksts ir mazāk uzbāzīgs nekā iepriekšējā versija, tā kritiķi to joprojām uzskata par uzbrukumu pilnīgai šifrēšanai un saziņas konfidencialitātei.

Projekts vēl ir jāapspriež trialogos ar Komisiju un Eiropas Parlamentu.

5. decembrī Eiropas Komisija piesprieda X 120 miljonu eiro sodu par pārredzamības pienākumu neizpildi saskaņā ar Digitālo pakalpojumu likumu (DSA).

Starp trūkumiem ir maldinošs "zilās validācijas" dizains verificētiem kontiem, pārredzamības trūkums reklāmas direktorijā un nespēja nodrošināt pētniekiem piekļuvi publiski pieejamiem datiem.

Eiropas Savienības Tiesa (EST) 2. decembra lēmumā par krievu mediju lietām lēma, ka tirgus platformas izdevējs ir atbildīgs par savā platformā publicēto reklāmu apstrādi un pirms publicēšanas tam ir jāpārbauda, vai tās satur sensitīvus datus un vai to apstrāde atbilst GDPR.

1/ Tirgus platformas operators ir atbildīgs par publicēto sludinājumu apstrādi: EST uzskata, ka šādu klasifikāciju pamato vairāki elementi:

• Sludinājums ir pieejams tikai tiešsaistē platformas sniegtā pakalpojuma dēļ.
• Izdevējs īsteno savu mērķi, jo īpaši komerciālu un reklāmas, un neaprobežojas tikai ar tehnisku pakalpojumu sniegšanu.
• Tas nosaka būtiskus līdzekļus: prezentāciju, tiešsaistes publicēšanas ilgumu, sadaļas, klasifikāciju, izplatīšanas metodes.
• Tādējādi operators un reklāmdevējs ir kopīgi atbildīgi par reklāmu apstrādi.

2/ Kā datu pārzinim operatoram ir jāidentificē datu apstrādes potenciālie riski un jāievieš pasākumi un drošības pasākumi, kas atbilst identificētajam riskam: EST norāda, ka operatoram pirms apstrādes ir jāveic šādas darbības:

• Noteikt, vai reklāma satur sensitīvus datus.
• Pārbaudiet, vai šie dati attiecas uz reklāmdevēju vai arī reklāmdevējam ir atbrīvojums, jo īpaši vai ir saņemta attiecīgās personas nepārprotama piekrišana.
• Atteikties publicēt, ja šie nosacījumi nav izpildīti.

Kā daļa no savām drošības saistībām, operatoram ir jāievieš arī pasākumi, lai ierobežotu sensitīvu datu saturošu reklāmu nelikumīgu kopēšanu un reproducēšanu.

20. novembrī EST pieņēma lēmumu Policejní prezidium lietā par Čehijas policijas praksi apkopot un bezgalīgi uzglabāt visu personu biometriskos un ģenētiskos datus, kuras tiek turētas aizdomās par tīšu nodarījumu izdarīšanu.

Mērķis bija noteikt, vai Eiropas "Policijas" direktīva paredz katrā gadījumā atsevišķi izvērtēt saglabāšanas nepieciešamību, vai ir atļauti nenoteikti saglabāšanas periodi un kādiem tiesiskajiem aizsardzības pasākumiem būtu jāreglamentē šo sensitīvo datu apstrāde.

Tiesa nekonstatē principiālu aizliegumu, bet gan nosaka virkni nosacījumu: datu pārzinim ir jāievēro visi principi un īpašās prasības, kas piemērojamas sensitīvu datu apstrādei, un valsts tiesību aktos ir jānosaka atbilstoši termiņi šo datu saglabāšanas stingrās nepieciešamības periodiskai pārskatīšanai.

Eiropas Savienības Pamattiesību aģentūra 4. decembrī publicēja ziņojumu, kurā aplūkota pamattiesību aizsardzība mākslīgā intelekta izmantošanā augsta riska zonās. Tajā uzsvērta informētības trūkums par šīm tiesībām.

 

Ziņas no Eiropas Savienības dalībvalstīm.

Vīnes Reģionālā civillietu tiesa lēma, ka prasība pret datu pārzini, kas nav reģistrēts ES, ir jāpaziņo pārzinim, nevis tā pārstāvim ES.

Paziņojums pārstāvim saskaņā ar VDAR 27. pantu nav pietiekams, ja vien valsts procesuālajos tiesību aktos nav paredzēta šāda iespēja.

14. novembrī Horvātijas Datu aizsardzības iestāde (APD) telekomunikāciju operatoram kā datu pārzinim uzlika administratīvu naudas sodu 4 500 000,00 EUR apmērā par personas datu nosūtīšanu uz trešo valsti, pārkāpjot GDPR.

Pāreja uz Serbijas apakšuzņēmēju tika veikta bez derīga juridiska pamata un bez pārredzamas informācijas sniegšanas attiecīgajām personām, darbinieku personas apliecību un sodāmības reģistra apliecību kopiju apstrāde bez juridiska pamata un bez pienācīgas apakšuzņēmēja iepriekšējas pārbaudes.

Spānijā esošajai Valensijas Starptautiskajai universitātei ir piespriests 750 000 eiro sods par sejas atpazīšanas un mākslīgā intelekta izmantošanu eksāmenu dalībnieku identificēšanai bez pienācīga juridiska pamata.

Arī Spānijā APD sodīja medicīnas klīniku ar 30 000 eiro sodu par GDPR 5. panta (1) punkta (f) apakšpunkta pārkāpumu, izpaužot aptuveni 90 klientu tālruņu numurus un veselības datus WhatsApp grupā bez iepriekšējas piekrišanas un bez atbilstošiem konfidencialitātes pasākumiem.

Tiesa ir piespriedusi vairāk nekā 480 000 000 eiro zaudējumu atlīdzību 87 Spānijas plašsaziņas līdzekļiem pēc tam, kad secināja, ka Meta nelikumīgi izmantoja savos sociālajos tīklos apkopotos personas datus, lai izveidotu detalizētus lietotāju profilus un piedāvātu efektīvāku personalizētu reklāmu nekā konkurenti, tādējādi iegūstot negodīgas konkurences priekšrocības.

Tiesa uzskatīja, ka personas datu apstrāde ir galvenais konkurences faktors digitālajā ekonomikā un ka GDPR pārkāpumi var tikt uzskatīti par negodīgu konkurenci, ja tie sniedz būtiskas priekšrocības.

Itālijas Datu aizsardzības iestāde (APD) ir piespriedusi Bolcāno provincei 32 000 eiro sodu par satiksmes uzraudzības kameru tīkla nelikumīgu darbību. Provincei nebija derīga juridiskā pamata personas datu, jo īpaši automašīnu numura zīmju, apstrādei.

 

Apvienotajā Karalistē 73 akadēmiķi, juristi, datu aizsardzības eksperti un nevalstiskās organizācijas vēstulē ir aicinājušas Pārstāvju palātu veikt izmeklēšanu par Lielbritānijas datu aizsardzības iestādi (ICO) pēc tam, ko viņi raksturo kā "izpildes pasākumu sabrukumu", jo īpaši pēc datu noplūdes skandāla Afganistānā.

Viņi brīdina par "dziļākām strukturālām nepilnībām", kas pārsniedz šo datu noplūdi.

Tas bija īpaši nopietns informācijas noplūdes gadījums attiecībā uz afgāņiem, kuri bija sadarbojušies ar britu spēkiem, pirms Taliban 2021. gada augustā pārņēma kontroli pār valsti, apdraudot 100 000 cilvēku dzīvības, kuru vārdus bija atklājusi Aizsardzības ministrija.

ICO tiek kritizēta par to, ka tā nav uzsākusi oficiālu tiesvedību pret ministriju, neraugoties uz atkārtotiem trūkumiem. 

Argentīnā dažas tiesas pēdējos mēnešos ir lēmušas par mākslīgā intelekta izmantošanu advokātu procesuālajos rakstos un uzklausīšanās materiālos.

Lietās bija iesaistīti juristi, kuri iekļāva tiesu prakses citātus, kas mākslīgā intelekta halucināciju dēļ izrādījās nepatiesi vai neprecīzi.

Tāpat kā jo īpaši Amerikas Savienotajās Valstīs, Argentīnas tiesas sāk izvērtēt juristu profesionālās atbildības apmēru: pat tad, ja viņi rīkojas labticīgi, iesniegumu iesniegšana, kuros citēta neesoša tiesu prakse, grauj profesijas pamatprincipus, tostarp godīgumu, lojalitāti un sirsnību, kas noteikti dažādu Argentīnas jurisdikciju ētikas kodeksos.

Konkrētajos izskatītajos gadījumos tiesas nolēma nepiemērot tiešas sankcijas advokātiem.

Tomēr viņi uzskatīja par lietderīgu informēt vietējās advokātu asociācijas, lai vairotu izpratni par riskiem un atbildību, kas saistīta ar mākslīgā intelekta izmantošanu, un veicinātu plašākas debates par atbildīgu mākslīgā intelekta izmantošanu juridiskajā praksē.

Austrālijas valdība ir jaunākā, kas atklājusi mākslīgā intelekta ceļvedi.

Pēc tam, kad valdība bija apsvērusi uz drošību vērstu stratēģiju, tā galu galā izvēlējās uzsvērt investīcijas un ekonomiku.

Austrālija nevis ieviesīs obligātus drošības pasākumus augsta riska vidē, bet gan balstīsies uz "esošajiem spēcīgajiem tiesiskajiem un normatīvajiem regulējumiem".

2. decembrī paziņotā Nacionālā plāna mērķis ir uzlabot Austrālijas reputāciju kā mākslīgā intelekta investīciju vietu un veicināt plašu mākslīgā intelekta izmantošanu visā valstī, jo īpaši sabiedriskajos pakalpojumos.

Tajā ir aprakstīta arī AI drošības institūta loma AI iespēju, risku un bīstamības testēšanā un informācijas apmaiņā par tām.

Arī Austrālijā bērni un pusaudži, kas jaunāki par 16 gadiem, no 10. decembra vairs nedrīkstēs lietot sociālos medijus.

Platformām ir jāievieš vecuma pārbaudes pasākumi.

Neievērošanas gadījumā var tikt piemērots naudas sods līdz pat 28 miljoniem eiro.

Šim aizliegumam varētu sekot citi: 26. novembrī Eiropas Parlaments aicināja visā Eiropas Savienībā noteikt minimālo vecumu 16 gadu apmērā sociālajiem tīkliem, video koplietošanas platformām un mākslīgā intelekta asistentiem, vienlaikus atļaujot piekļuvi 13–16 gadus veciem bērniem ar vecāku piekrišanu.

Paužot atbalstu Komisijas iecerei izveidot Eiropas vecuma pārbaudes lietotni un Eiropas digitālo identitātes maku (eID), deputāti uzstāj, ka vecuma pārbaudes sistēmām ir jāaizsargā nepilngadīgo privātums.

Amerikas Savienotajās Valstīs Federālajā tirdzniecības komisijā (FTC) joprojām ir tikai divi no pieciem komisāriem.

Trešo atkāpšanos, Melisas Holioukas atkāpšanos, FTC patiešām paziņoja 2025. gada 17. novembrī.

Šī atkāpšanās notiek pēc tam, kad prezidents Tramps atlaida divus demokrātu komisārus, amatā atstājot tikai divus republikāņu komisārus.

Augstākā tiesa ir nodota lietas izskatīšanai, un tās lēmumam varētu būt plašākas sekas attiecībā uz prezidenta varu pār neatkarīgajām aģentūrām.           

Saskaņā ar ASV Muitas un robežapsardzības dienesta (CBP) 9. decembrī iesniegto priekšlikumu, ceļotājiem no tādām valstīm kā Lielbritānija, Francija vai Dienvidkoreja, valstīm, kas ir tiesīgas piedalīties ASV vīzu režīma atcelšanas programmā, drīzumā, iespējams, būs jāiesniedz pārskats par savu sociālo mediju aktivitāti pēdējo piecu gadu laikā.

CBP arī plāno lūgt pretendentiem garu personas datu sarakstu, tostarp viņu e-pasta adreses pēdējo desmit gadu laikā, kā arī viņu vecāku, laulāto, brāļu, māsu un bērnu vārdus, dzimšanas datumus, dzīvesvietas un dzimšanas vietas.

2025. gada 13. novembrī Indijas Elektronikas un informācijas tehnoloģiju ministrija izsludināja 2023. gada Digitālo personas datu aizsardzības likuma īstenošanas noteikumus.

Saskaņā ar uzņēmuma Nishith Desai Associates sniegto informāciju, tie precizē pārredzamības, piekrišanas un reģistrācijas prasības, pienākumus paziņot datu pārkāpuma gadījumā, attiecīgo personu tiesības un informāciju par Indijas Datu aizsardzības padomi.