Juridiskā uzraudzība Nr. 73 — 2024. gada jūlijs.  

Mākoņpakalpojumi: pēc kādiem kritērijiem jāizvēlas?

Kopš Covid pandēmijas mākoņpakalpojumu izmantošana ir pieaugusi gan publiskajā, gan privātajā sektorā.

Lai gan Eiropas regulējums šajā jomā kļūst skaidrāks, joprojām pastāv daudzas neskaidrības.

• Vai mums vajadzētu izvēlēties franču, eiropiešu mākoni, kas atbilst suverēna mākoņa prasībām?
• Kādi ir riski, uzticot savu datu pārvaldību GAFAM uzņēmumiem?

Lai gan nav juridiskas suverēna mākoņa definīcijas, parasti tiek uzskatīts, ka tam ir jānodrošina suverenitāte trīs pamatlīmeņos:

• Dati,
• Operācijas,
• Infrastruktūra.

Tāpēc mākonim ir jāizvirza augstas prasības digitālās drošības un datu aizsardzības jomā no tehniskā, operacionālā un juridiskā viedokļa, un konkrētāk, tam ir jābūt ekskluzīvai kompetencei valsts teritorijā.

Tāpēc esiet piesardzīgi pret apgalvojumiem par "suverēnu Eiropas mākoņpakalpojumu", ko izsaka uzņēmumi, kas nav Eiropas uzņēmumi.

Francija Eiropas Savienībā izceļas ar savām īpaši stingrajām prasībām. jo īpaši kopš SecNumCloud ietvara ieviešanas un SREN likuma pieņemšanas 21. maijā, kura mērķis ir digitālās telpas nodrošināšana un regulēšana.

Šis likums paredz, ka valsts pārvaldes iestādēm un to operatoriem, kas izmanto privāta pakalpojumu sniedzēja sniegtu mākoņpakalpojumu, ir jāievieš īpaši drošības un aizsardzības kritēriji datorsistēmu darbībai, kas apstrādā īpaši sensitīvus datus.

Mērķis ir novērst jebkādu neatļautu piekļuvi datiem no trešo valstu valsts iestāžu puses.

Tas ir īpaši svarīgi, ņemot vērā Mākoņdatošanas likumu, kas pilnvaro ASV drošības dienestus piekļūt datiem, ko glabā uzņēmumi, kas atrodas ārpus to teritorijas, bez iepriekšējas atļaujas.

Šīs saistības atbilst Francijas valsts izstrādātās "mākonis centrā" doktrīnas garam savām administrācijām.

Lai gan tie nav obligāti privātajam sektoram, tie joprojām ir noderīgi kā ieteikumi, jo īpaši, ja ir iesaistīta sensitīvu datu apstrāde, piemēram, veselības vai pētniecības jomā.

Kā ir ar mākoņpakalpojumu attīstību citviet Eiropā?

Ir pieejami daudzi kvalitatīvi pakalpojumi, piemēram, Vācijā un Šveicē.

Tomēr šķiet, ka suverēna mākoņa jēdziens bieži tiek interpretēts plašāk nekā Francijas kontekstā: Vācijas modelis par suverēnu definē jebkuru mākoni, kas atrodas ES teritorijā un ko tirgo Eiropas uzņēmums, kurā strādā ES pilsoņi, un ir īpašas drošības prasības attiecībā uz piekļuvi datiem, pat ja mākoņpakalpojumu praksē piedāvā, piemēram, Amerikas uzņēmuma meitasuzņēmums.

Šajā virzienā pašlaik virzās Eiropas Savienības mākoņpakalpojumu sertifikācijas (EUCS) projekts.

Jaunākajā versijā, kas datēta ar martu, šis projekts "vairs neļauj pakalpojumu sniedzējiem pierādīt, ka tie aizsargā uzglabātos datus pret jebkādu ārvalstu piekļuvi, atšķirībā no SecNumCloud kvalifikācijas Francijā".

Ar šādiem vārdiem CNIL brīdina jauno Eiropas Komisiju Urzula fon der Leienas vadībā, kas ir iesaistīta lēmumu pieņemšanas procesā attiecībā uz EUCS.

Starp iemesliem, kas tiek minēti, lai attaisnotu suverenitātes prasību atcelšanu no projekta, ir iespējamās apsūdzības par protekcionismu no Amerikas Savienoto Valstu vai Ķīnas puses.

Savukārt CNIL pauž nožēlu, papildus personas datu pārkāpuma riskiem, par šīs Eiropas prasību samazināšanas ietekmi uz Eiropas mākoņpakalpojumu piedāvājuma stimulēšanu.

Ņemot vērā pašreizējo nenoteiktību Eiropas frontē, SecNumCloud ietvars ir noderīgs atsauces avots, jo īpaši sensitīvu vai stratēģisku datu apstrādei. 

ANSSI tīmekļa vietnē ir publicēts "SecNumCloud" kvalificēto mākoņpakalpojumu saraksts: tajā ir ietverts 17. jūlijā atjaunināts saraksts ar 14 mākoņpakalpojumiem, kas atbilst kvalifikācijas prasībām, un astoņiem citiem, kas atrodas kvalifikācijas procesā.

Neatkarīgi no SecNumCloud ietvara, citi Eiropas mākoņpakalpojumi joprojām ir pievilcīgi salīdzinājumā ar to starptautiskajiem konkurentiem, ņemot vērā pašreizējo juridisko kontekstu.

Lai gan datu aizsardzības līmenis Amerikas Savienotajās Valstīs pašlaik tiek uzskatīts par atbilstošu, ir vērts atcerēties, ka pirmos divus ES un ES nolīgumus atcēla Eiropas Kopienu Tiesa un ka Makss Šrems, kurš ierosināja pirmās divas darbības, plāno pakļaut "datu privātuma regulējumu" tādam pašam liktenim.

 

         

Savos 11. jūlija secinājumos Eiropas Savienības Tiesas (EST) ģenerāladvokāts lēma par nepieciešamību apstrādāt ar dzimumu saistītus datus (“kungs vai kundze”) SNCF vilcienu pakalpojumu sniegšanai.

Tā kā šo datu vākšana SNCF veidlapās ir obligāta, Valsts padome, kuru sazinājās ar Mousse asociāciju, bija jautājusi EST, vai šī vākšana varētu tikt balstīta uz VDAR 6.1.a) pantu (piekrišana) vai 6.1.b) pantu (nepieciešams līguma izpildei).

Saskaņā ar Ģenerālās asamblejas teikto, šāda apstrāde nav nepieciešama pakalpojuma sniegšanai, jo šajā gadījumā nav runa par atsevišķiem vagoniem vīriešiem vai sievietēm, un SNCF ir atzinusi, ka tā sistemātiski neizmanto šo informāciju saziņā ar klientiem.

Ģenerālsekretārs jo īpaši atgādina par minimizēšanas principa piemērošanu un min nolēmumu lietā "Bundeskartellamt", kurā tiesa paziņoja, ka "lai personas datu apstrādi varētu uzskatīt par nepieciešamu līguma izpildei, (...) tai ir jābūt objektīvi nepieciešamai mērķim, kas ir neatņemama daļa no līgumsaistībām, kurām pakļauts datu subjekts".

Tāpēc datu pārzinim ir jāspēj pierādīt, kā līguma galveno mērķi nevar sasniegt, ja attiecīgā apstrāde nenotiek.

Ģenerālā asambleja secina, ka lietotāja dzimums šajā konkrētajā gadījumā nav nepieciešams.

Digitālā sektora Uzticamo trešo pušu federācija ir publicējusi "Labas prakses rokasgrāmatu digitālajiem ceļojumiem un piekrišanai".

Digitālo parakstu regulējuma kontekstā mērķis ir "nodrošināt, lai visu komponentu apkopojums paplašinātā uzticības ķēdē visā procesā sniegtu nepieciešamos pierādījumus, lai a posteriori pierādītu procesa konsekvenci un uzticamību".

21. jūnijā Valsts padome daļēji atcēla 2021. gada dekrētu par dronu izmantošanu tiesībaizsardzības iestādēs..

Valsts padome uzskatīja, ka daži šī dekrēta noteikumi nesamērīgi pārkāpj tiesības uz privātās dzīves neaizskaramību un pulcēšanās brīvību.

Dronu izmantošana demonstrāciju filmēšanai ir atļauta tikai tad, ja ir iespējama sabiedriskās kārtības traucēšana un ja ierakstītie attēli ir absolūti nepieciešami, lai novērstu šādus traucējumus vai sauktu pie atbildības vainīgos.

Turklāt filmējamajām personām ir jābūt pienācīgi informētām par dronu izmantošanu un viņu datu aizsardzības tiesībām (izmantojot AFCDP).

Valsts padome ir apstiprinājusi dzimumšūnu donoru tiesības saskaņā ar GDPR 21. pantu iebilst pret viņu personas datu nodošanu no organizācijas, kurā viņi veica ziedojumu, uz centrālo donoru reģistru.

 

Eiropas iestādes un struktūras

Pašlaik notiek strīds starp Eiropas Komisiju un Eiropas Datu aizsardzības uzraudzītāju (EDAU) par Microsoft Office 365 lietošanu.

Komisija maija vidū patiešām uzsāka tiesvedību, lai apstrīdētu EDAU izmeklēšanas secinājumus par šo pakalpojumu izmantošanu.

EDAU īpaši kritizē Komisiju par to, ka tā nav sniegusi garantijas attiecībā uz datu pārsūtīšanu uz Amerikas Savienotajām Valstīm. 

Līgumā ar Microsoft Komisija arī, iespējams, nebija pietiekami norādījusi apkopoto personas datu veidus un apstrādes mērķus, tādējādi pārkāpjot ES GDPR.

EDAU mudināja Komisiju apturēt attiecīgās pārsūtīšanas un līdz 9. decembrim panākt atbilstību likumam. Komisijas secinājumi tika publicēti jūlija vidū ES Oficiālajā Vēstnesī.

12. jūlijā Eiropas Komisija nosūtīja uzņēmumam X (agrāk Twitter) savus sākotnējos secinājumus par atbilstību Eiropas digitālo pakalpojumu regulai (DPA).

2023. gada decembrī uzsāktās procedūras ir īpaši vērstas pret "tumšajiem modeļiem", reklāmas pārredzamību un pētnieku piekļuvi datiem.

Elons Masks jau ir paziņojis, ka apstrīdēs Komisijas secinājumus tiesā.

EDAK jūlija vidus plenārsesijā pieņēma deklarāciju par datu aizsardzības iestāžu (DAI) lomu Mākslīgā intelekta regulas kontekstā.

Regula nosaka, ka dalībvalstis līdz 2025. gada 2. augustam izraugās valsts “tirgus uzraudzības iestādes”, kuru mērķis ir pārraudzīt tās piemērošanu un īstenošanu.

Saskaņā ar EDAK viedokli, datu aizsardzības iestādēm (DAI) jau ir pieredze attiecībā uz mākslīgā intelekta ietekmi uz pamattiesībām, un tāpēc tās būtu jāieceļ par tirgus uzraudzības iestādēm, tādējādi nodrošinot labāku koordināciju starp dažādām regulatīvajām iestādēm un lielāku juridisko noteiktību visām ieinteresētajām personām.

Jāatzīmē, ka mākslīgā intelekta regula, kas tika publicēta 12. jūlijā ES Oficiālajā Vēstnesī, stājās spēkā 1. augustā.

EDAK pieņēma arī divus dokumentus (BUJ) par Eiropas Savienības un Amerikas Savienoto Valstu nolīgumu par personas datu aizsardzību, lai sniegtu sīkāku informāciju par tā darbību.

Šie dokumenti ir paredzēti gan privātpersonām, gan uzņēmumiem, no vienas puses.

11. jūlijā EST ieņēma nostāju lietā, kurā uzņēmums Meta tika iebildis pret Vācijas patērētāju organizāciju federāciju.

Tiesa atgādināja, ka pārziņa pienākums sniegt informāciju datu subjektiem izriet no šo personu tiesībām uz informāciju saskaņā ar VDAR 12. un 13. pantu, un tāpēc ir viena no tiesībām, ko var aizstāvēt ar pārstāvības prasību saskaņā ar VDAR 80. panta 2. punktu.

Tiesa arī norādīja, ka informācijas sniegšanas pienākumu pārkāpums var liegt datu subjektam sniegt “informētu” piekrišanu un līdz ar to var padarīt apstrādi nelikumīgu saskaņā ar Regulas 5. panta 1. punkta a) apakšpunktu (izmantojot GDPRhub).

Microsoft nonāca ziņu virsrakstos citā kontekstā 19. jūlijā, kad viens no tā apakšuzņēmējiem Crowdstrike izplatīja kļūdainu atjauninājumu savai Falcon Sensor drošības programmatūrai.

Aptuveni 8,5 miljoni Microsoft Windows datoru, kuros tika izmantota programmatūra, avarēja un nespēja pareizi restartēties, kas tiek raksturots kā "lielākais darbības pārtraukums informācijas tehnoloģiju vēsturē".

No juridiskā viedokļa datu nepieejamība šādas kļūmes dēļ ir drošības pārkāpums, kas prasa veikt pasākumus saskaņā ar, jo īpaši, Eiropas NIS2 direktīvu (kas stāsies spēkā no nākamā gada oktobra).

Eiropas Datu aizsardzības kolēģija (EDAK) uzskata, ka šis ir arī personas datu pārkāpums GDPR 4. panta 12. punkta izpratnē, tostarp pārkāpumi, kuru rezultātā rodas nejauša vai nelikumīga datu zaudēšana.

Atkarībā no sekām tas nozīmē paziņošanu datu aizsardzības iestādēm un attiecīgajām personām.

Šī nostāja pašlaik tiek apspriesta, un daži speciālisti uzskata, ka datu nepieejamība nav zaudējums GDPR izpratnē, savukārt citi min dažkārt būtiskas sekas, ko rada piekļuves datu bloķēšana attiecīgajām personām.

 

Ziņas no Eiropas dalībvalstīm.

Vācijas tiesa ir lēmusi, ka Google Ireland Limited kā Google meklētājprogrammas operators ir atbildīgs par meklēšanas rezultātu attēlošanu neatkarīgi no tā, ka meklēšanas rezultātus sniedz ASV bāzētais uzņēmums Google LLC.

Dānijā datu aizsardzības iestāde izteica rājienu Imigrācijas un integrācijas ministrijai par glabāšanas ierobežojuma principa pārkāpumu, neievērojot savu datu saglabāšanas politiku.

Spānijas Administratīvo strīdu izskatīšanas palāta "Audiencia Nacional" 27. jūnija lēmumā lēma, ka Spānijas Datu aizsardzības iestāde (APD) ir kompetenta izskatīt sūdzību, kas iesniegta pret ASV uzņēmumu Clearview AI.

Tiesa atsaucās uz vairāku datu aizsardzības iestāžu iepriekšējiem lēmumiem, tostarp Itālijas iestādes lēmumiem un CNIL 2021. gada 26. novembra lēmumu, kurā tā noteica, ka Clearview ietilpst VDAR 3. panta 2. punkta b) apakšpunkta darbības jomā.

CNIL bija ņēmusi vērā uzņēmuma Clearview veikto fotoattēlu meklēšanu tīmeklī, šo fotoattēlu URL adreses un to metadatus, kas ļāva tai identificēt un izveidot detalizētu attiecīgo personu profilu un tādējādi izsekot šo personu uzvedībai.

Itālijā APD sodīja datu pārzini ar 30 000 eiro sodu pēc datu noplūdes, kas radās novecojuša CMS rīka izmantošanas dēļ, kurš bija ļoti neaizsargāts pret kiberuzbrukumiem.

Lietuvas Datu aizsardzības iestāde (APD) ir piemērojusi Vinted 2 385 276 eiro sodu, uzskatot, ka tās "slēptās izslēgšanas" prakse (kas sastāv no lietotāja izslēgšanas no platformas, viņu par to neinformējot), kā arī nespēja reaģēt uz datu dzēšanas pieprasījumiem ir pretrunā ar taisnīguma un pārredzamības principiem.

Šajā konkrētajā gadījumā prasītāji, kas bija no Francijas un Polijas, bija sazinājušies ar savām attiecīgajām iestādēm.

Sūdzības tika nodotas Lietuvas iestādei, kas šajā kontekstā ir vadošā iestāde, ņemot vērā, ka Vinted galvenā mītne atrodas Lietuvā.

Luksemburgā tiesa atstāja spēkā APD uzlikto 18 000 eiro sodu datu pārzinim par grupas datu aizsardzības speciālista tiešu neiesaistīšanu datu aizsardzības jautājumos un pietiekamu resursu nenodrošināšanu.

Nīderlandes Datu aizsardzības iestāde (APD) ir piespriedusi 600 000 eiro sodu vietnei Kruidvat.nl par izsekošanas sīkfailu izvietošanu pirms lietotāju piekrišanas saņemšanas.

Datu aizsardzības iestāde arī uzskatīja, ka iepriekš atzīmēta rūtiņa izsekošanas sīkfailu pieņemšanai nav uzskatāma par brīvi sniegtu, konkrētu, informētu un nepārprotamu piekrišanu.

 

19. jūnijā Apvienotās Karalistes Datu aizsardzības iestāde (ICO) publicēja savu lēmumu par Snap lietotni “My AI” un atbilstību pienākumam veikt datu aizsardzības ietekmes novērtējumu (DPIA).

Lēmumā ir ietverti detalizēti komentāri par ICO cerībām attiecībā uz ietekmes uz vidi novērtējumos (DPIA) iekļaujamo detalizācijas līmeni kopumā un konkrēti novērojumi attiecībā uz vispārējas nozīmes mākslīgo intelektu (MI) un MI, kas attiecas uz bērniem.

Tā kā Lielbritānijas tiesību akti, kas ir šo noteikumu pamatā, joprojām ir gandrīz identiski ES tiesību aktiem, šie novērojumi varētu būt noderīgi arī ārpus Apvienotās Karalistes.

ICO 30. jūlijā arī publicēja paziņojumu presei, kurā norādīja, ka ir izteikusi aizrādījumu Vēlēšanu komisijai par nespēju aizsargāt savus serverus, kas ļāva hakeriem piekļūt aptuveni 40 miljonu cilvēku personiskajai informācijai.

Amerikas Savienotajās Valstīs Senātā ir iesniegts likumprojekts par mākslīgo intelektu ("Likums par satura izcelsmes aizsardzību un integritāti no rediģētiem un dziļi viltotiem medijiem (KOPIĒTS ACT)"), lai cīnītos pret "dziļviltojumiem", palielinātu mākslīgā intelekta pārredzamību un piešķirtu lielākas pilnvaras satura veidotājiem.

ASV Senāts jūlija beigās pieņēma Bērnu tiešsaistes drošības un privātuma likumu.

Šis divpusējais likumprojekts apvieno vairākus likumprojektus par drošību, bērnu un pusaudžu tiešsaistes privātuma aizsardzību un filtrēšanas pārredzamību saistībā ar mākslīgā intelekta izmantošanu.

Tagad teksts ir jāapstiprina Pārstāvju palātai.

Federālā tirdzniecības komisija 23. jūlija paziņojumā norādīja, ka tā ir likusi astoņiem uzņēmumiem sniegt tai informāciju par produktiem un pakalpojumiem, kas izmanto personas datus, tostarp finanšu datus un pārlūkošanas vēsturi, lai personalizētu cenas privātpersonām.

Rīkojumi ir paredzēti, lai palīdzētu FTC labāk izprast necaurredzamo tirgu produktiem, ko piedāvā trešo pušu starpnieki, kuri izmanto progresīvus algoritmus, kā arī lietotāju datus (atrašanās vietu, demogrāfiskos datus, kredītvēsturi un pārlūkošanas vai pirkumu vēsturi), lai kategorizētu personas un noteiktu mērķtiecīgas cenas.

Lai gan Google bija sācis pakāpeniski likvidēt trešo pušu izsekošanas sīkfailus no pārlūka Chrome, izmantojot savu "privātuma smilškasti" (izsekošanas sistēmu, kas tiek pasniegta kā privātumam draudzīga, bet citur tiek apstrīdēta), uzņēmums 22. jūlijā paziņoja, ka atsakās no šī projekta.

Tā vietā, lai noņemtu trešo pušu sīkfailus, Google ieviestu "jaunu pieredzi pārlūkā Chrome, kas ļautu lietotājiem izdarīt apzinātu izvēli, kas attiektos uz visu viņu tīmekļa pārlūkošanu", izvēli, ko varētu mainīt jebkurā laikā.

Britu ODA ir norādījusi, ka nožēlo projekta pamešanu.

Malāvijas datu aizsardzības likums stājās spēkā jūlijā.

Tā pievienosies nu jau garajam Āfrikas valstu sarakstam ar likumu, kas aizsargā personas datus.

Turklāt Āfrikas Atbildīgas mākslīgā intelekta observatorija pagājušā gada martā publicēja dokumentu ar nosaukumu “Atbildīgas mākslīgā intelekta pārvaldība Āfrikā: uz rezultātiem balstītas regulējuma perspektīvas”.