Juridiskā uzraudzība Nr. 77 — 2024. gada novembris. 

Mākslīgais intelekts kā darba instruments: kāda veida ietvars ir nepieciešams?

Mākslīgā intelekta izmantošana darbavietā mūsdienās strauji pieaug, bieži vien bez iepriekšējas pārdomāšanas un darba devējam precīzi nezinot, kā viņu darbinieki izmanto viņu rīcībā esošos jaunos rīkus.

Neatkarīgi no tā, vai tie ir tagad jau klasiskie valodu modeļi, piemēram, ChatGPT, vai rīki, kas ļauj izveidot grafisko dizainu (Canva), iegūt datus no tīmekļa (Browse AI) vai automātiski veikt piezīmes sapulces laikā (Fireflies), iespēju ir neskaitāmas.

Saskaņā ar IFOP pētījumu, kas veikts Learnthings vajadzībām 2023. gada decembrī, gandrīz katrs ceturtais darbinieks profesionālā kontekstā jau ir izmantojis mākslīgā intelekta rīku, un no tiem vairāk nekā puse (55 %) to ir darījuši, neinformējot savu vadītāju.

Tomēr ir svarīgi izprast, kā šie rīki tiek izmantoti iekšēji, lai nodrošinātu atbilstību piemērojamajam tiesiskajam regulējumam un jo īpaši Eiropas regulai par mākslīgo intelektu un GDPR.

Vairākas iestādes, tostarp ANSSI un CNIL, ir publicējušas ieteikumus, kuru mērķis ir palielināt profesionālo lietotāju informētību. Šeit ir galvenie punkti:

Mākslīgā intelekta hartas ieviešana uzņēmuma ietvaros, lai

• Uzskaitiet atļautos rīkus;
• Kartēt šos rīkus atbilstoši riskiem, ievērojot mākslīgā intelekta regulu;
• Augsta riska sistēmu regulēšana (piemēram, profesionālā apmācība un personāla atlase, kur mākslīgā intelekta izmantošana rada "diskriminācijas automatizācijas" risku).

Organizēt sociālo dialogu, konsultēties ar CSE un grozīt iekšējos darba noteikumus, lai šie noteikumi būtu piemērojami iekšēji.

Datu drošības nodrošināšana Personas datu (piemēram, klientu vai darbinieku datu) vai sensitīvas vai stratēģiskas dokumentācijas sniegšanai mākslīgā intelekta sistēmai var būt būtiskas sekas konfidencialitātes ziņā.

Turklāt šādas sistēmas izmantošana var ietekmēt tās informācijas sistēmas integritāti, ar kuru tā ir savienota.

CNIL iesaka prioritāti piešķirt "uz vietas" pieejamu risinājumu ieviešanai, kas ierobežo datu ieguves riskus no trešās puses.

Lai gan varētu būt ekonomiskāk izmantot mākonī mitinātu sistēmu, būs nepieciešams apakšuzņēmuma līgums, kurā norādītas dažādas atbildības jomas un pilnvarotā piekļuve apstrādātajiem datiem. 

Šajā gadījumā ieteicams ierobežot personas datu sniegšanu mākslīgā intelekta sistēmai.

Apmācīt un vairot informētību gala lietotājiem jāievēro šī labākā prakse:

• Sniedziet tikai tos datus, kurus jums ir atļauts kopīgot, principā izslēdzot jebkādus konfidenciālus datus;
• Pārbaudīt sistēmas ģenerēto datu precizitāti un kvalitāti, plaģiāta neesamību un diskriminācijas risku;
• Lai saglabātu kritisku perspektīvu, neatveidojiet sistēmas izvades tieši tādas, kādas tās ir.

Apstrādes pārredzamības nodrošināšana, jo īpaši tās, kas ģenerē automatizētus lēmumus attiecībā uz darbiniekiem un trešajām personām ārpus uzņēmuma.

Izveidot pārvaldību : norīkot datu aizsardzības speciālistu, komiteju vai referentu (iesaistot arī informācijas drošības vadītāju), lai nodrošinātu gala lietotājiem kontaktpunktu ētikas jautājumu vai grūtību izvirzīšanai un noteikumu ievērošanas pārbaudei.

Papildus sankcijām, ko paredz GDPR un mākslīgā intelekta regula, skaidra regulējuma pieņemšana ir arī sociāls un ētisks jautājums, kas ir gan uzņēmuma iekšējo, gan ārējo personu interesēs.

 

        

CNIL publicē rīcības plānu, lai atbalstītu Sudraba ekonomikas dalībniekus, kas ir nozare, kas veltīta aktivitātēm senioriem.

Viņa norāda, ka līdz 2060. gadam seniori Francijā pārstāvēs aptuveni 24 miljonus cilvēku un ka "apstrādāto datu raksturs un mērķauditorijas atlasīšana, pamatojoties uz vecumu, rada būtiskus jautājumus par datu aizsardzību".

Tā plāno atjaunināt savu atbilstības paketi (faktu lapas, ieteikumus utt.) un ierosina jaunu "smilškasti", lai atbalstītu trīs inovatīvus projektus šajā nozarē.

18. novembrī CNIL un DGCCRF paziņoja par jauna sadarbības protokola parakstīšanu, ar kuru tiek atjaunināts 2011. gada nolīgums.

Abas iestādes stiprina sadarbību un izstrādā jaunus informācijas apmaiņas veidus, lai pielāgotos likumdošanas izmaiņām un digitālā laikmeta ekonomiskajām problēmām.

19. novembra publikācijā CNIL arī atkārtoti uzsver datu aizsardzības principus, kas piemērojami paplašinātu kameru izmantošanai kravas automašīnu pasažieru nodalījumā, un uzstāj, ka darba devējam pirms šādu kameru uzstādīšanas jāveic visi nepieciešamie pasākumi, lai nodrošinātu to atbilstību prasībām.

25. novembrī CNIL publicēja virkni padomu par datu aizsardzību, mijiedarbojoties ar balss asistentu.

Darbinieks, kurš izpilda rīkojumus, kas pārkāpj GDPR, ir pakļauts kriminālatbildībai, pat ja viņš rīkojas saskaņā ar darba devēja norādījumiem.

Nantes krimināltiesā prokurors tikko pieprasīja 6000 eiro naudas sodu, no kuriem 3000 eiro ir nosacīti, IT apakšuzņēmuma uzņēmuma darbiniekam par spiegošanas ierīces uzstādīšanu savu klientu telpās pēc sava priekšnieka pavēles.

Prokurors pieprasa priekšniekam piespriest 9 mēnešu nosacītu cietumsodu un 30 000 eiro naudas sodu.

Ar 2024. gada 21. novembra lēmumu Parīzes Apelācijas tiesa atstāja spēkā Mo Darba tribunāla 2021. gada 23. jūlija spriedumu: privāta saruna pakalpojumā Messenger, kas sākotnēji nebija paredzēta publiskošanai, nevar tikt uzskatīta par darbinieka līgumsaistību pārkāpumu, un disciplināra atlaišana, pamatojoties uz šādu iemeslu, nevar būt likumīgi pamatota.

Tiesa atsaucas uz Kasācijas tiesas 2023. gada 22. decembra nolēmumu par to pašu jautājumu.

Šis pamatojums ir piemērojams pat tad, ja, kā šajā gadījumā, darba devējs nebija centies piekļūt šai informācijai: darbinieces prombūtnes laikā viņš bija lūdzis viņai pārsūtīt savus identifikatorus, lai viņas kolēģi varētu piekļūt viņas profesionālajiem dokumentiem, un ziņojumi bija parādījušies, kad saruna automātiski atvērās ekrānā.

 

Eiropas iestādes un struktūras

Eiropas Datu aizsardzības kolēģija (EDAK) izsludina aicinājumu sniegt komentārus par tās vadlīnijām saistībā ar GDPR 48. pantu.

Vadlīnijas attiecas uz tiešas sadarbības pieprasījumiem starp trešās valsts publisko iestādi (piemēram, banku regulatoriem, nodokļu iestādēm, tiesībaizsardzības vai valsts drošības iestādēm) un Eiropas Savienības (ES) privātu struktūru.

Komentārus var iesniegt līdz 2025. gada 27. janvārim.

EDAK decembra sākumā arī pieņēma paziņojumu par Eiropas Komisijas otro ziņojumu par GDPR piemērošanu, kurā tā uzsver digitālo tiesību aktu un GDPR saskaņotības nozīmi.

EDAK pastiprinās satura veidošanu neekspertiem, tostarp maziem un vidējiem uzņēmumiem, un uzsver nepieciešamību pēc papildu finanšu un cilvēkresursiem, lai palīdzētu datu aizsardzības iestādēm (DAI) tikt galā ar arvien sarežģītākiem izaicinājumiem un papildu prasmēm, tostarp mākslīgā intelekta jomā.

ES pretestīgā opozīcijas kandidāta uzvarai Rumānijas prezidenta vēlēšanu pirmajā kārtā 24. novembrī ir sekas Eiropas līmenī.

Lai gan valsts Konstitucionālā tiesa tikko atcēla šo pirmo kārtu pēc tam, kad tika deklasificēti valsts izlūkošanas dokumenti, kas atklāja plaša mēroga operāciju TikTok platformā par labu šim kandidātam, Eiropas Komisija 29. novembrī saskaņā ar Digitālo pakalpojumu likumu (DSA) iesniedza oficiālu informācijas pieprasījumu uzņēmumam.

28. novembrī Eiropas Padomes Mākslīgā intelekta komiteja pieņēma metodoloģiju (HUDERIA) mākslīgā intelekta sistēmu risku un ietekmes novērtēšanai no cilvēktiesību, demokrātijas un tiesiskuma viedokļa.

Šo metodoloģiju var izmantot gan publiskie, gan privātie dalībnieki, lai palīdzētu identificēt un novērst šos riskus un ietekmi visā mākslīgā intelekta sistēmu dzīves ciklā.

Novembra vidū Digitālās brīvības fonds digiRISE projekta ietvaros publicēja visaptverošu datubāzi par kolektīvo tiesisko aizsardzību Eiropā, kas paredzēta, lai veicinātu kolektīvu rīcību digitālo tiesību aizstāvībā saskaņā ar ES Pamattiesību hartu.

Dokumentā ir iekļauti resursi par to, kā desmit ES dalībvalstis ir ieviesušas kolektīvās tiesiskās aizsardzības mehānismus: ir pieejami valstu ziņojumi, salīdzinošs ziņojums un salīdzinošs rīks, lai atklātu konverģences un atšķirības starp pētītajām jurisdikcijām.

Arī kolektīvās tiesiskās aizsardzības jomā NVO NOyB norāda, ka tagad tā ir apstiprināta kā “kvalificēta iestāde”, lai celtu kolektīvās tiesiskās aizsardzības prasības ES tiesās.

Šāda rīcība saskaņā ar Direktīvu (ES) 2020/1828 var būt “aizliegums” vai “korektīvs” pasākums.

Šie likumi ļauj tūkstošiem lietotāju tikt pārstāvētiem un pieprasīt, piemēram, atlīdzību par nemateriāliem zaudējumiem, ja viņu personas dati ir apstrādāti nelikumīgi.

Atšķirībā no kolektīvajām prasībām Amerikā, Eiropas tiesību akti nosaka, ka šīs prasības jāceļ bezpeļņas nolūkos.

Meta atkal pārskata savus plānus attiecībā uz personalizētu reklāmu izplatīšanu Eiropas Savienībā.

Šīs izmaiņas izriet no ES regulatoru nostājas, kuri uzskatīja, ka Eiropas Facebook un Instagram lietotājiem piedāvātā reklāmas sistēma “piekrišana vai maksājums” pārkāpj GDPR un Digitālā tirgus regulu (DMA).

Jaunais piedāvājums ietver abonementu bez reklāmām par samazinātu cenu, kā arī ievieš bezmaksas modeli, kam raksturīga "mazāk personalizētu reklāmu" piegāde ar piekrišanu.

Makss Šrems, kurš ierosināja vairākas darbības pret Meta, paziņoja, ka "kopumā tas izskatās pēc vēl viena mēģinājuma ignorēt Eiropas tiesību aktus (...) lietotājiem ir jābūt reālai izvēlei starp reklāmām, kas izmanto viņu personas datus, un tām, kas tos neizmanto".

 

Ziņas no Eiropas Savienības dalībvalstīm.

Vācijā Federālā tiesa (Bundesgerichtshof, BGH) daļēji atcēla Ķelnes Augstākās reģionālās tiesas lēmumu, kurā prasība par morālo kaitējumu tika uzskatīta par nepietiekami pamatotu.

Lieta bija saistīta ar datu noplūdi: 2021. gada aprīlī internetā tika publiskoti aptuveni 533 miljonu Facebook lietotāju dati.

BGH uzsvēra, ka saskaņā ar ES Tiesas judikatūru pat vienreizējs un īslaicīgs kontroles zaudējums pār datiem var tikt uzskatīts par morālu kaitējumu saskaņā ar VDAR 82. panta 1. punktu.

Attiecīgajai personai nav jāpierāda konkrēta savu personas datu ļaunprātīga izmantošana.

Austrijas tiesa lēma, ka šķiršanās lietu advokāts var pamatot video materiāla, kurā redzamas personas ārlaulības attiecības, nosūtīšanu pretējās puses advokātam pa e-pastu, pamatojoties uz leģitīmām interesēm saskaņā ar GDPR 6. panta 1. punkta f) apakšpunktu un 9. panta 2. punkta f) apakšpunktu.

Tomēr cita tiesa uzskatīja, ka viena laulātā intereses netikt ierakstītiem laulības strīdu laikā viņu mājās ir svarīgākas par otra laulātā interesēm izmantot šos ierakstus laulības šķiršanas procesā.

Beļģijā APD 28. novembrī sankcionēja personas apliecību izmantošanu kā lojalitātes kartes: tā konstatēja, ka uzņēmums Freedelity, kas specializējas datu vākšanā, izmantojot elektroniskās personas apliecības (eID), ir pārkāpis vairākus GDPR pantus par piekrišanas derīgumu, vākšanas samazināšanu līdz minimumam un datu saglabāšanas ilgumu.

Freedelity vāc eID datus, jo īpaši izmantojot termināļus, kas izvietoti partneru veikalos.

Pēc tam atjauninājuma gadījumā šie dati tiek koplietoti un sinhronizēti ar veikaliem, kas izmanto tā pakalpojumus.

Spānijā APD piesprieda uzņēmumam The Phone House SL 6 500 000 eiro lielu naudas sodu par nepietiekamu drošības pasākumu veikšanu, kas ļāva veikt izspiedējvīrusa uzbrukumu.

Uzbrukums skāra aptuveni 13 miljonus klientu, atklājot adreses, tālruņu numurus, personu apliecinošus dokumentus un bankas datus.

Somijas pasta dienestam Posti 13. novembrī tika piespriests 2 400 000 eiro sods par e-pasta kontu piešķiršanu saviem klientiem bez viņu nepārprotamas piekrišanas.

Klientiem, kas pieprasīja tādus pakalpojumus kā pasta pāradresācija, automātiski tika piešķirts e-pasta konts bez iespējas atteikties.

Itālijas Datu aizsardzības iestāde (APD) 27. novembrī pieņēma lēmumu par licences līgumu starp OpenAI un izdevniecību GEDI.

APD iebilst pret leģitīmu interešu izmantošanu kā juridisko pamatu personas datu apstrādei mākslīgā intelekta apmācības nolūkos neatkarīgi no tā, vai apstrāde ietver sensitīvus datus.

Saskaņā ar APD licencēšanas līgumiem attiecībā uz redakcionālo saturu, ko izmanto mākslīgā intelekta apmācībā, būtu jāgarantē visu izmantoto personas datu dzēšana vai anonimizācija, ja nav saņemta piekrišana.

Šis lēmums tiek pieņemts dažas nedēļas pirms EDAK atzinuma par šo jautājumu, kas paredzēts decembra beigās.

Itālijas Datu aizsardzības iestāde (APD) arī piesprieda 5 000 000 eiro sodu pārtikas piegādes uzņēmumam Foodinho, kas ir Glovo grupas meitasuzņēmums, par daudzkārtējiem GDPR pārkāpumiem saistībā ar tā darbinieku datu apstrādi, tostarp nepārtrauktu viņu ģeogrāfiskās atrašanās vietas izsekošanu un automatizētu maiņu sadali.

11. novembrī Nīderlandes Datu aizsardzības iestāde (DPA) publicēja ziņojumu, kurā konstatēts, ka Izglītības izpildaģentūras izmantotais algoritms krāpšanas apkarošanai ir diskriminējošs un nelikumīgs.

Aģentūra izmantoja šo algoritmu, lai pārbaudītu, vai studenti ļaunprātīgi izmanto nerezidentu stipendiju.

Studentiem tika piešķirts "riska rādītājs", ņemot vērā izglītības veidu, vecumu un attālumu starp studenta adresi un viņa vecāku adresi.

Šiem kritērijiem nebija objektīva pamatojuma, un par aģentūru atbildīgais izglītības, kultūras un zinātnes ministrs galu galā atzina, ka algoritms netieši diskriminē studentus no imigrantu ģimenēm.

Polijā APD sodīja datu pārzini ar 353 589 PLN (82 000 eiro) sodu par nepietiekamiem drošības pasākumiem, kas ļāva veikt izspiedējvīrusa uzbrukumu.

Hakeri bija šifrējuši un padarījuši nepieejamus aptuveni 200 klientu un darbinieku datus. Iesaistītajam apakšuzņēmējam tika uzlikts 9822 PLN (2200 eiro) sods.

 

Novembra beigās Austrālijas Senāts pieņēma likumprojektu, ar kuru groza privātuma tiesību aktus un kurā ir ietvertas vairākas būtiskas izmaiņas:

• Civiltiesiska pārkāpuma ieviešana par nopietniem privātuma pārkāpumiem.
• APD pieejamo izpildes un izmeklēšanas pilnvaru paplašināšana.
• Šīs pilnvaras ir izstrādāt bērnu tiešsaistes privātuma kodeksu.
• Jauna iespēja ģenerālgubernatoram izveidot "balto sarakstu" ar valstīm, kas piedāvā atbilstošu datu aizsardzību.
• Pienākums datu aizsardzības politikās detalizēti aprakstīt automatizētas lēmumu pieņemšanas sistēmas, kas var ietekmēt personas tiesības vai intereses.

Arī Austrālijā parlaments 29. novembrī pieņēma pretrunīgi vērtētu likumu, kas aizliedz bērniem un pusaudžiem, kas jaunāki par 16 gadiem, piekļuvi sociālajiem tīkliem.

Likums nenosaka, kā platformām būs jāpārbauda apmeklētāju vecums.

Brazīlijas Datu aizsardzības aģentūra (APD) publicē ziņojumu par ģeneratīvo mākslīgo intelektu un datu aizsardzību.

Sākotnēji izstrādāts APD komandu iekšējam atbalstam, dokuments aplūko mākslīgā intelekta koncepcijas, tā saistību ar datu aizsardzību, Brazīlijas kontekstu un mākslīgā intelekta perspektīvas.

3. decembrī Amerikas Savienoto Valstu Federālā tirdzniecības komisija (FTC) paziņoja par līgumu projektu noslēgšanu, kuru mērķis ir aizliegt diviem galvenajiem datu brokeriem — Mobilewalla un Gravy Analytics — pārdot sensitīvus atrašanās vietas datus, tostarp, piemēram, par baznīcu, militāro bāzu, medicīnas iestāžu vai LGBTQ bāru apmeklējumu.

Šis pasākums seko darbībām, kas šogad tika veiktas pret datu brokeriem, kuri iesaistās līdzīgā praksē.

Pēc Deputātu palātas Meksikas Senāts novembra beigās apstiprināja konstitucionālā likuma projektu, kas paredz septiņu kontroles iestāžu, tostarp Datu aizsardzības un piekļuves administratīvajiem dokumentiem iestādes (INAI), likvidēšanu.

Šo iestāžu pilnvaras pārņemtu dažādas ministrijas.

INAI pārstāvjus pārņemtu Korupcijas apkarošanas un labas pārvaldības ministrija.

Komentētāji uzskata, ka likumprojekta ratifikācijai ar Meksikas štatu likumdošanas asambleju balsu vairākumu vajadzētu notikt ātri, tāpat kā tas ir noticis ar citiem reformu priekšlikumiem pēdējos mēnešos.