Juridiskā uzraudzība Nr. 61 — 2023. gada jūlijs.

API ir personas datu koplietošanas pamatā.

Lietojumprogrammu programmēšanas saskarnes, ko parasti sauc par "API", atsaucoties uz to angļu valodas nosaukumu "application programming interface", bieži izmanto, lai atvieglotu informācijas apmaiņu starp publiskām vai privātām organizācijām.

Šo datu apmaiņu atbalsta likumdevējs, ko apstiprina Eiropas digitālās suverenitātes stratēģija: tās mērķis ir izveidot vienotu datu tirgu, "atbalstot atbildīgu piekļuvi, koplietošanu un atkārtotu izmantošanu, ievērojot Eiropas Savienības vērtības un jo īpaši personas datu aizsardzību".

Tā papildina Eiropas stratēģiju mākslīgā intelekta jomā.

API, ja tie integrē datu aizsardzību jau no koplietošanas sistēmas izstrādes stadijas, var nodrošināt labvēlīgu tehnisko ietvaru saskaņā ar GDPR.

Tāpēc CNIL 7. jūlijā pieņemtajā ieteikumā mudina tos izmantot.

Viņa īpaši uzsver tāda drošības līmeņa nozīmi, kas atbilst atkārtotas izmantošanas riskiem, un datu koplietošanas ierobežošanu līdz nepieciešamajam minimumam.

Ieteikums ir vērsts uz trīs veidu dalībniekiem: datu turētājiem, API pārvaldniekiem un datu atkalizmantotājiem.

Datu turētājs raksturo fakts, ka tā kontrolē datus tehniskā vai organizatoriskā veidā.

API pārvaldnieks ir organizācija, kas atbild par dažiem vai visiem tehniskajiem komponentiem, uz kuriem balstās datu koplietošana.

Visbeidzot, datu atkārtoti izmantotājs ir jebkura organizācija, kas plāno piekļūt datiem vai saņemt tos, izmantojot API, savai lietošanai.

CNIL (Francijas Datu aizsardzības iestāde) uzsver, ka viena un tā pati organizācija var pildīt vairākas lomas, piemēram, ja datu pārzinis pats izstrādā API: tad viņš ir arī API administrators un viņam ir jāievēro ieteikumi, kas attiecas uz abām lomām. Tāpēc ir svarīgi noteikt savu konkrēto lomu API izmantošanā.

Katra kategorija ir pielāgota pasākumiem, kas ļauj sasniegt vēlamo drošības līmeni un ievērot datu aizsardzības principus.

Ieinteresētās personas tiek aicinātas sadarboties šo ieteikumu īstenošanā praksē.                              

• Datu turētājiem būs jāpievērš īpaša uzmanība atkārtotu lietotāju informēšanai, datu precizitātei un integritātei, kā arī datu drošībai (atdalīšana un pieejamība, autentifikācija, reģistrēšana).
• API pārvaldnieki koncentrēsies uz dokumentāciju, datu minimizēšanu, tiesību īstenošanu attiecībā uz datu koplietošanu un drošību (komunikācijām, informācijas sistēmu drošību, reģistrēšanu).
• Atkallietotājiem ir īpaši pienākumi attiecībā uz attiecīgo personu informēšanu, datu apjoma samazināšanu un arī drošību (risku pārvaldība, atslēgu aizsardzība, reģistrēšana).

Ieteikumā ir aplūkoti konkrēti datu apmaiņas gadījumi, piemēram, starp sociālajiem tīkliem un pētniekiem vai valdības datu atvēršana.

Dažādu dalībnieku kvalifikācija neietekmē to statusu kā datu pārzinim vai datu apstrādātājam GDPR izpratnē.

Tomēr var izdarīt dažas vadlīnijas: datu turētājs parasti būs atbildīgs par koplietošanas apstrādi, ciktāl viņš ir brīvi noteicis apstrādes mērķus un līdzekļus vai ja viņš ir bijis juridiski spiests to īstenot.

Atkārtoti izmantotājs bieži vien būs “saņēmējs” GDPR izpratnē.

Savukārt API pārvaldnieks darbosies kā apakšuzņēmējs, proti, datu turētāja un/vai atkalizmantotāja vārdā un saskaņā ar viņu norādījumiem.

CNIL ieteikumi drīzumā tiks papildināti ar atzinīgi vērtējamu praktisku gadījumu publicēšanu Komisijas tīmekļa vietnē.

 

Un arī

• 27. jūlijā CNIL publicēja aicinājumu sniegt ieguldījumu saistībā ar tās darbu mākslīgā intelekta jomā.

Šajā reizē viņa sniedz sākotnējo jaunāko informāciju par sava darba gaitu pēc viņas rīcības plāna mākslīgā intelekta jomā publicēšanas 16. maijā un aicina sniegt ieguldījumu viņas domāšanas veicināšanai pirms pirmajām publikācijām, kas plānotas rudenī.

• CNIL ierosina arī jaunu "smilškastes" sistēmu, lai atbalstītu trīs projektus, kuros tiek izmantots mākslīgais intelekts (MI) sabiedrisko pakalpojumu labā.

Projektu pieteikšana ir atvērta līdz 2023. gada 30. septembrim.

• Kā daļu no sava rīcības plāna mobilo lietotņu jomā CNIL publicē un iesniedz sabiedriskai apspriešanai ieteikuma projektu, kura mērķis ir precizēt dažādu šīs ekosistēmas dalībnieku pienākumus, veicināt to atbilstību prasībām un veicināt labas prakses ieviešanu.
• Vairāk nekā sešdesmit Eiropas NVO 26. jūlijā rakstīja Eiropas komisāram Tjerī Bretonam, lūdzot paskaidrojumus par viņa nesenajiem komentāriem, kuros viņš norādīja, ka tiešsaistes platformu bloķēšana varētu būt piemērojams un pamatots pasākums saskaņā ar Digitālo pakalpojumu likumu (DPA).

Šie komentāri sekoja Republikas prezidenta izteikumiem, kuros viņš pieminēja iespēju bloķēt piekļuvi sociālo mediju platformām sabiedriskās kārtības traucējumu kontekstā.

NVO uzskata, ka šie komentāri varētu veicināt valdību patvaļīgu tiešsaistes platformu bloķēšanu visā pasaulē.

Viņi lūdz Eiropas Komisiju nodrošināt, lai DSA īstenošana un piemērošana dalībvalstīs neradītu pārāk plašu šo pasākumu interpretāciju, kas būtu pretrunā ar tā regulatīvajiem mērķiem un pārkāptu ES Pamattiesību hartu.

• Valsts padome 26. jūnijā lēma, ka tiesības uz labošanu var izmantot, lai labotu datus pēc identitātes maiņas, bet ne ar atpakaļejošu spēku, lai labotu dokumentus pirms identitātes maiņas: šos iepriekšējos datus faktiski nevar uzskatīt par neprecīziem.
• Nacionālā asambleja 28. jūnijā vienbalsīgi pieņēma "likumprojektu digitālā vairākuma izveidei un cīņai pret naidu tiešsaistē".

Projektu 2023. gada 29. jūnijā vienbalsīgi pieņēma arī Senāts.

Tekstā ir noteikts, ka digitālā pilngadība ir 15 gadi, un šajā vecumā nepilngadīgajam vairs nebūs nepieciešama vecāku piekrišana, lai reģistrētos sociālajā tīklā.

 

Eiropas iestādes un struktūras

• 10. jūlijā Eiropas Komisija pieņēma lēmumu par atbilstību attiecībā uz "ES un ASV datu aizsardzības regulējumu", secinot, ka Amerikas Savienoto Valstu garantētā aizsardzība pārsūtītajiem datiem ir salīdzināma ar ES piedāvāto aizsardzību.

Jaunā sistēma stājās spēkā 11. jūlijā.

Saskaņā ar Komisijas teikto, Amerikas saistības ievieš "jaunas saistošas garantijas, lai risinātu visas Eiropas Savienības Tiesas paustās bažas, jo īpaši ierobežojot ASV izlūkdienestu piekļuvi ES datiem līdz nepieciešamajam un samērīgajam līmenim un izveidojot Datu aizsardzības tiesu".

Nav pārsteigums, ka Makss Šrems uzskatīja, ka jaunā transatlantiskā personas datu aizsardzības sistēma lielā mērā ir "Privātuma vairoga" kopija un ka viņš apstrīdēs šo lēmumu tiesā.

Savukārt Eiropas Datu aizsardzības kolēģija (EDAK) ir publicējusi informatīvu piezīmi, lai sniegtu norādījumus attiecīgajiem uzņēmumiem un privātpersonām.

• 4. jūlijā Eiropas Komisija publicēja savu "Priekšlikumu regulai, ar ko nosaka papildu procedūras noteikumus GDPR piemērošanai", kura mērķis ir nodrošināt regulas konsekventu piemērošanu pārrobežu lietās.

Ziņojumā vietnē Twitter EDAK atzinīgi novērtēja Komisijas ātro atbildi uz tās pieprasījumiem sniegt paskaidrojumus.

Tomēr dažas NVO kritizē ierosināto regulējumu, norādot, ka tas varētu ierobežot pilsoņu dalību sūdzību izskatīšanā datu aizsardzības iestādēm (DPA) viņu datu ļaunprātīgas izmantošanas gadījumos.

• Savienotās ierīces, piemēram, novērošanas kameras, ledusskapji un viedie televizori, drīzumā varētu piedāvāt labāku aizsardzību pret kiberuzbrukumiem.

ES dalībvalstis nesen vienojās par kopēju nostāju attiecībā uz iepriekšminēto digitālo produktu drošības prasībām.

Ierosinātais kibernoturības likums ieviestu obligātas prasības ierīču projektēšanai, izstrādei un ražošanai.

• 2023. gada 4. jūlija spriedumā Eiropas Savienības Tiesa ieņēma nostāju strīdā starp Meta un Vācijas konkurences iestādi.

EST lēma, ka konkurences iestāde var konstatēt GDPR pārkāpumu un, neaizstājot datu aizsardzības iestādi, tai joprojām ir tiesības izdarīt savus secinājumus no konkurences tiesību piemērošanas viedokļa.

EST arī norāda, ka Facebook, visticamāk, apstrādās “sensitīvus” datus no lietotāju aktivitātēm, lietotājam ne vienmēr vēloties tos publiskot, kas izslēdz atbrīvojumu no piekrišanas.

Tiesa arī noraidīja Meta atsaukšanos uz līguma izpildes nepieciešamību un leģitīmām interesēm, lai attaisnotu satura personalizāciju.

Visbeidzot, tā norāda, ka Facebook dominējošais stāvoklis sociālo tīklu tirgū rada bažas par piekrišanas derīgumu un ka operatora pienākums ir pierādīt, ka piekrišana patiešām ir sniegta brīvi.

Meta 1. augustā paziņoja, ka plāno mainīt juridisko pamatu, ko izmanto mērķtiecīgajai reklāmai Eiropā: uzņēmums lūgs lietotāju piekrišanu.

Šīs izmaiņas ir tiešas EDAK un valstu un Eiropas tiesu iestāžu lēmumu sekas.

• Diskusiju kontekstā par Eiropas plašsaziņas līdzekļu brīvības regulas projektu 80 pilsoniskās sabiedrības organizācijas, plašsaziņas līdzekļu organizācijas, izdevēji un raidorganizācijas, kā arī arodbiedrības aicina Eiropas Parlamentu bez izņēmuma aizliegt spiegprogrammatūras izmantošanu pret žurnālistiem.
• 3. jūlijā pilsoniskās sabiedrības grupas un interneta eksperti arī rakstīja komisāriem Jourovai un Reindersam, paužot dziļas bažas par Apvienotās Karalistes valdības ierosināto Datu aizsardzības un digitālās informācijas (DPDI) likumprojektu, kas pārvērstu Apvienoto Karalisti par "cauru vārstu" un apdraudētu Eiropas pilsoņu tiesības uz datu aizsardzību.

 

Ziņas no Eiropas dalībvalstīm.

• Beļģijas Datu aizsardzības iestāde (APD) uzskatīja, ka farmaceitu asociācija, uz nenoteiktu laiku saglabājot datus, kas saistīti ar disciplinārsodiem, kas piemēroti saskaņā ar vecu regulējumu, cita starpā pārkāpj likumības, mērķa ierobežojuma, datu minimizēšanas, precizitātes un saglabāšanas ierobežojuma principus.

Biedrībai tika piespriests 30 000 eiro sods.

• Saskaņā ar Beļģijas Datu aizsardzības iestādes datiem, datu pārzinim, kura darbība ietver konferenču organizēšanu Eiropā, ir piemērojama GDPR, un tam cita starpā ir jāieceļ pārstāvis Beļģijā.
• Latvijas Datu aizsardzības iestāde (DAI) uzskatīja, ka unikāla personas identifikatora izmantošana nav pietiekama, lai skaidri identificētu datu subjektu un novērstu valsts veselības pakalpojumu sniedzēja veiktu īpašu datu kategoriju nelikumīgu izpaušanu.

Bija nepieciešams izmantot papildu kritērijus, piemēram, attiecīgās personas vārdu.

• Spānijas Datu aizsardzības aģentūra (APD) ir sodījusi apsargu ar 10 000 eiro sodu par attēlu iegūšanu no cietuma videonovērošanas sistēmas un to izplatīšanu, izmantojot WhatsApp, tādējādi pārkāpjot GDPR 6. pantu.
• Itālijas Datu aizsardzības iestāde (APD) 22. jūnija lēmumā piesprieda Itālijas automaģistrāļu uzņēmumam viena miljona eiro sodu par to, ka tas nav norādījis savu datu pārziņa lomu naudas atmaksas pakalpojumu izmantošanas kontekstā.
• Islandes Datu aizsardzības iestāde (APD) ir sodījusi Valsts medicīnas eksperta biroju ar aptuveni 82 000 eiro lielu sodu par vairākiem GDPR pārkāpumiem pēc drošības pārkāpuma tā tīmekļa vietnē Heilsuvera, kas piedāvā tiešsaistes veselības aprūpes sistēmu un recepšu portālu.
• Pēc četru uzņēmumu, kas savās tīmekļa vietnēs izmantoja Google Analytics, revīzijas Zviedrijas Datu aizsardzības aģentūra lika šiem uzņēmumiem pārtraukt rīka izmantošanu.

Diviem uzņēmumiem tika piemērots administratīvs sods, bet vēl viens brīvprātīgi pārtrauca rīka lietošanu.

Revīzijas tika veiktas pēc organizācijas noyb sūdzībām, kurās uzņēmumi tika apsūdzēti personas datu nelikumīgā pārsūtīšanā uz Amerikas Savienotajām Valstīm, pārkāpjot Eiropas tiesību aktus.

• Pēc iepriekš minētā EST lēmuma Norvēģijas Datu aizsardzības iestāde pasludināja uzvedības reklāmu Facebook un Instagram par nelikumīgu.

Nākamo trīs mēnešu laikā vai līdz brīdim, kad tas varēs pierādīt atbilstību Norvēģijas likumiem, sociālo mediju uzņēmums vairs nedrīkst izmantot šo pieeju.

 

• Jūlija vidū Baltais nams iepazīstināja ar pagaidu pasākumiem brīvprātīgu saistību veidā attiecībā uz "drošu, aizsargātu un pārredzamu mākslīgā intelekta izstrādi un izmantošanu".

Amazon, Anthropic, Google, Inflection, Meta, Microsoft un OpenAI ir vienojušies piešķirt prioritāti pētījumiem par AI sistēmu radītajiem sabiedrības riskiem un veicināt problēmu un ievainojamību atklāšanu un ziņošanu.

Tomēr, pēc dažu akadēmisko ekspertu domām, šie līgumi nebūt nav pietiekami.

"Amerikas Savienotās Valstis turpina piedāvāt brīvprātīgus pasākumus, savukārt Eiropas Savienība gatavojas pieņemt visaptverošākos mākslīgā intelekta tiesību aktus, kādus līdz šim esam redzējuši," sacīja Brendija Nonneke, Bērklijas Universitātes Citris politikas laboratorijas dibinātāja un direktore.

• Tikmēr Federālā tirdzniecības komisija (FTC) izmeklē OpenAI darbību saistībā ar ChatGPT, uzdodot detalizētus jautājumus par tā finanšu ieņēmumiem, modeļu apmācību un datu apstrādi, drošības riskiem un procedūrām, satura ģenerēšanu par personām, ārējiem uzbrukumiem, lai manipulētu ar LLM ("tūlītējas injekcijas"), un personas datu aizsardzību.
• OpenAI ir pārtraucis sava rīka izmantošanu, kas atšķir cilvēka ģenerētu tekstu no mākslīgā intelekta ģenerēta teksta: "Sākot ar 2023. gada 20. jūliju, mākslīgā intelekta klasifikators vairs nav pieejams tā zemās precizitātes dēļ." Uzņēmums turpina pētījumus, lai izstrādātu efektīvāku rīku.
• Amazon ir piekritis samaksāt vairāk nekā 30 miljonus ASV dolāru, lai izlīgumu panāktu divās Federālās tirdzniecības komisijas (FTC) ierosinātās tiesas prāvās par lietotāju, tostarp bērnu, privātuma pārkāpumiem, izmantojot balss asistentu Alexa un durvju zvanu kameras Ring.

Amazon tika apsūdzēts par Ring videoierakstu un Alexa balss ierakstu, kā arī saistīto ģeogrāfiskās atrašanās vietas datu glabāšanu vairākus gadus bez patērētāju piekrišanas un neskatoties uz patērētāju pieprasījumiem dzēst šos datus.

• Singapūras Infocomm Media Development Authority ir paziņojusi par partnerību ar Google, lai atbalstītu "tehnoloģiju smilškastes" iniciatīvu.

Šī iniciatīva palīdzēs uzņēmumiem "aizsargāt lietotāju privātumu un nodrošināt viņiem rīkus, kas ļauj viņiem turpināt piekļūt datiem bez trešo pušu sīkfailiem".

IMDA un Google partnerība ir atvērta visiem uzņēmumiem, kas atrodas Singapūrā.

• Dienvidāfrikas informācijas regulators 3. jūlijā izdeva Tieslietu un konstitucionālās attīstības departamentam paziņojumu par pārkāpumu un administratīvu sodu 5 miljonu randu (aptuveni 240 000 eiro) apmērā par Personas informācijas aizsardzības likuma (POPIA) neievērošanu.

Regulators maijā bija izdevis rīkojumu, lūdzot ministrijai atjaunot noteiktas IT drošības licences (pretvīrusu, pretielaušanās, SIEM) un uzsākt disciplinārlietu pret attiecīgajām amatpersonām.

• Vjetnamā 1. jūlijā stājās spēkā dekrēts par personas datu aizsardzību.

Tajā jo īpaši paredzēta datu pārsūtīšanas ietekmes novērtējumu veikšana un datu aizsardzības speciālista iecelšana sensitīvu datu apstrādei.

• Austrālijā 26. jūlijā Meta meitasuzņēmumiem Onavo un Facebook Israel tika piespriests 20 miljonu Austrālijas dolāru naudas sods par to, ka tie pienācīgi nebrīdināja VPN lietotājus, ka viņu dati tiks vākti komerciāliem mērķiem.

Austrālijas Konkurences un patērētāju tiesību aizsardzības iestādes (ACCC) noteiktā sankcija ir lielākā, kas jebkad Austrālijā noteikta attiecībā uz privātuma aizsardzību.