Juridiskā uzraudzība Nr. 87 — 2025. gada septembris. 

 

Pieci gadi pēc Brexit: ieskats situācijā Apvienotajā Karalistē.

Kopš Apvienotās Karalistes izstāšanās no Eiropas Savienības, Lielbritānijas datu aizsardzības tiesību akti lēnām, bet noteikti attālinās no Eiropas tiesiskā regulējuma.

Lai gan abās Lamanša pusēs vērojama tendence vienkāršot standartus, Apvienotā Karaliste ir soli priekšā Eiropas Savienībai.

Pēc Brexit 2018. gada Datu aizsardzības likums (DPA) tika grozīts, lai tas arī turpmāk papildinātu "Apvienotās Karalistes GDPR" — GDPR britu versiju, kas stājās spēkā 2021. gada 1. janvārī.

Apvienotā Karaliste ir pieņēmusi arī Privātuma un elektronisko komunikāciju noteikumus (PECR), kas īsteno Eiropas ePrivātuma direktīvu.

Datu izmantošanas un piekļuves likums (DUAA), kas tika pieņemts 2025. gada 19. jūnijā, ir būtiska Apvienotās Karalistes personas datu režīma reforma.

Tas groza un papildina gan Apvienotās Karalistes GDPR, gan DPA, gan PECR, un ir stratēģisks pagrieziena punkts, kurā Apvienotā Karaliste attālinās no pamattiesībās centrētas vīzijas un pieņem pragmatiskāku un inovācijas veicinošāku pieeju.

Tās galvenie mērķi ir:

• Ierosināt plašāku juridisko pamatu “atzītām leģitīmām interesēm” noteiktām apstrādes darbībām, tostarp arhivēšanai sabiedrības interesēs, sabiedrības drošībā vai nodokļu jomā;
• Dodot uzņēmumiem iespēju apturēt piekļuves pieprasījumu atbildes laiku,
• Vienkāršot sīkfailu noteikumus;
• Starptautiskas datu pārsūtīšanas veicināšana;
• Veicināt inovācijas digitālo pakalpojumu un mākslīgā intelekta jomā, atvieglojot automatizētu lēmumu pieņemšanas regulējumu;
• Ieviest "privātuma aizsardzību pēc noklusējuma" digitālajos pakalpojumos, kas paredzēti bērniem,
• Lai nodrošinātu digitālās identitātes ieviešanu,
• Vienkāršot noteikumus attiecībā uz policiju un izlūkdienestiem.

Tomēr daži norāda uz šo reformu riskiem un jo īpaši uz individuālo tiesību vājināšanos.

Automatizētas lēmumu pieņemšanas jomā viņi norāda, piemēram, uz 2020. gada "A līmeņa" eksāmena rezultātu fiasko, kur algoritms piešķīra neatbilstošas atzīmes, un kļūdām Nodarbinātības un pensiju departamenta (DWP) krāpšanas atklāšanas rīkos, kas radīja daudzus zaudējumus iesaistītajām personām.

Digitālās identitātes projekts, ko valdība izziņoja oktobra sākumā, ir izraisījis protestu vētru, miljoniem Lielbritānijas pilsoņu parakstot petīciju, pieprasot projekta atsaukšanu.

Jau vairākus gadus Lielbritānijas valdība ir arī centusies ieviest mehānismus, kas ļauj piekļūt šifrētam saziņas saturam: sabiedriskās diskusijas koncentrējas uz pretrunīgām tehniskām pieejām, piemēram, "klienta puses skenēšanu".

Jāatzīmē, ka Eiropas Savienība pašlaik apspriež saistītu tēmu: CSAR priekšlikums, kura mērķis ir novērst un apkarot seksuālu vardarbību pret bērniem, atkal ir Eiropadomes darba kārtībā 14. oktobrī.

Šo priekšlikumu, kas paredz iespēju skenēt saziņu lietotāja terminālī pirms tās nosūtīšanas, daudzi zinātnieki un pilsoniskā sabiedrība uzskata par gan neefektīvu, gan īpaši bīstamu pamattiesībām un pašai šifrēšanai.

Arī Eiropas Savienība pašlaik cenšas vienkāršot datu tiesisko regulējumu, izmantojot savu "digitālo omnibusa paketi".

Komisija ir izsludinājusi aicinājumu iesniegt priekšlikumus, kas noslēdzas 14. oktobrī, aptverot datu tiesību aktu jomas, tostarp noteikumus par sīkdatnēm un citām izsekošanas tehnoloģijām, kiberdrošības incidentu ziņošanu un atsevišķus mākslīgā intelekta tiesību aktu aspektus.

Konkrētāk, attiecībā uz GDPR, aktuālie jautājumi ietver, piemēram, pienākuma uzturēt reģistru ierobežošanu organizācijām ar vairāk nekā 500 darbiniekiem, salīdzinot ar pašreizējo ierobežojumu - 250. Eiropas Savienība pašlaik neapstrīd regulas pamatprincipus.

Abās Lamanša pusēs paziņotie ieguvumi nozarei ir saistīti ar atbilstības izmaksu samazināšanu.

Tomēr mazāk labi izprotamas ir pašas reformas ieviešanas izmaksas, kļūdu vai strīdu izmaksas un patērētāju uzticības zaudēšanas izmaksas. Šis arguments tika izvirzīts arī Eiropas Komisijas jūlija vidū organizētajā "īstenošanas dialogā". Privātais sektors norādīja, ka tas ir "ieguldījis atbilstības nodrošināšanā un ka vispārēja atkārtota atvēršana varētu radīt nenoteiktību, jo īpaši starptautiskās datu pārsūtīšanas kontekstā".

Šodien Lielbritānijas reformu ieguvumu un risku attiecība un to ietekme uz starptautiskajām partnerībām un, vēl jo vairāk, uz Apvienotās Karalistes atbilstības lēmuma saglabāšanu attiecībās ar ES joprojām ir neskaidra.

Eiropas Komisijas atbilstības lēmuma projekts tomēr ir par labu Apvienotās Karalistes aizsardzības līmeņa atzīšanai.

Tomēr tas ir jāiesniedz Eiropas Datu aizsardzības kolēģijai atzinuma sniegšanai un jāapspriež Padomē.

Cerēsim, ka galīgais lēmums būs īpaši pārredzams attiecībā uz vērā ņemtajiem kritērijiem, ņemot vērā sekojošās izmaiņas Lielbritānijas tiesību aktos.

Šķiet, ka tas ir būtiski, lai nākotnē nodrošinātu pietiekamu juridisko noteiktību gan Eiropas uzņēmumiem, gan tiem, kas dibināti ārpus ES.

 

      

2025. gada 18. septembrī CNIL piesprieda uzņēmumam Samaritaine SAS 100 000 eiro sodu par kameru slēpšanu veikala noliktavas zonā.

Šīs kameras bija maskētas kā dūmu detektori un spēja ierakstīt skaņu.

CNIL ir atgādinājusi, ka darba devējs var uzstādīt slēptās kameras ārkārtas apstākļos un ar nosacījumu, ka tiek panākts taisnīgs līdzsvars starp sasniedzamo mērķi (īpašuma un personu aizsardzība) un darbinieku privātuma aizsardzību.

Šādu sistēmu varētu atļaut, piemēram, ar nosacījumu, ka tā ir pagaidu un tiek ieviesta pēc dokumentētas tās saderības ar GDPR analīzes un ņemot vērā ārkārtas apstākļus.

Šajā gadījumā uzņēmums ziņoja par zādzībām, kas veiktas rezervātos, un paskaidroja, ka sistēma ir pagaidu, taču tas neveica nekādu iepriekšēju GDPR atbilstības analīzi, kā arī nedokumentēja uzstādīšanas pagaidu raksturu.

CNIL ir publicējusi arī vairākus satura elementus par audiovizuālo un videospēļu speciālistu neaktīvo kontu pārvaldību, videoierīcēs skolās un bērnu ģeolokāciju.

Nacionālā asambleja 9. septembrī īpašā komitejā pieņēma kiberdrošības noturības likumprojektu. 

Komitejas priekšsēdētājs Filips Latombe panāca grozījuma pieņemšanu, kura mērķis ir nostiprināt pilnīgu šifrēšanu 16. bis pantā: "Šifrēšanas pakalpojumu sniedzējiem, tostarp kvalificētiem uzticamības pakalpojumu sniedzējiem, nevar uzlikt par pienākumu integrēt tehniskas ierīces, kuru mērķis ir apzināti vājināt informācijas sistēmu un elektronisko sakaru drošību, piemēram, galvenās atšifrēšanas atslēgas vai jebkuru citu mehānismu, kas ļauj bez piekrišanas piekļūt aizsargātiem datiem."

Šim tekstam, kas Francijas tiesību aktos transponē Eiropas direktīvas NIS2, DORA un REC, vajadzētu ievērojami paaugstināt vispārējo kiberdrošības līmeni.

 

Eiropas iestādes un struktūras

10. septembrī Urzula fon der Leiena uzstājās ar runu par Savienības stāvokli, kurā viņa atkārtoti apstiprināja, ka Eiropa saglabās suverēnu savu noteikumu un standartu noteikšanā, tādējādi noraidot transatlantisko kritiku.

Tajā pašā dienā 39 Eiropas rūpniecības līderi un asociācijas parakstīja Eiropas deklarāciju par mākslīgo intelektu un tehnoloģijām, apņemoties ieguldīt Eiropas tehnoloģiskajā suverenitātē.

Fon der Leienas kundze atkārtoti uzsvēra ES mākslīgā intelekta stratēģijas galvenās prioritātes, tostarp turpmāko regulējumu par mākoņdatošanas un mākslīgā intelekta izstrādi, "Kvantu smilškastes" iniciatīvu un ievērojamas investīcijas Eiropas mākslīgā intelekta "gigafabrikās".

Nākotnes regulējumā par mākoņdatošanas un mākslīgā intelekta izstrādi varētu iekļaut datu suverenitātes un lokalizācijas pasākumus, kas ir saskaņoti ar Savienības turpmāko datu stratēģiju.

Komisijas priekšsēdētājs arī uzsvēra Eiropas regulējuma vienkāršošanas mērķus, uzsverot nesenos reformu priekšlikumus, kas varētu ietekmēt datu aizsardzību, piemēram, datu reģistra pienākumu samazināšanu un incidentu ziņošanas prasību racionalizēšanu digitālajos tiesību aktos.

Visbeidzot, viņa pievērsās bērnu drošības tiešsaistē jautājumam, paziņojot, ka Komisija līdz gada beigām lūgs ekspertu padomu, iespējams, iedvesmojoties no Austrālijas pieejas sociālo mediju ierobežojumiem.

Datu regula (Datu likums) stājās spēkā 2025. gada 12. septembrī.

Šis teksts nodrošina savienoto produktu lietotājiem (uzņēmumiem vai privātpersonām, kurām pieder, kuras nomā vai līzingā izmanto šādu produktu) lielāku kontroli pār to ģenerētajiem datiem, vienlaikus saglabājot stimulus tiem, kas iegulda datu tehnoloģijās.

Tajā ir arī definēti vispārīgie nosacījumi, kas piemērojami situācijām, kurās uzņēmumam ir juridisks pienākums koplietot datus ar citu uzņēmumu.

Eiropas Datu aizsardzības kolēģija ir publicējusi vadlīnijas par Digitālo pakalpojumu regulas un GDPR mijiedarbību, kas ir atvērtas sabiedriskai apspriešanai līdz oktobra beigām.

ES Tiesa ir likusi Eiropas Komisijai izmaksāt 50 000 eiro kompensāciju personai, kas ir iesaistīta Eiropas Krāpšanas apkarošanas biroja (OLAF) preses relīzē.

Lai gan preses relīzē netika minēts vārds, kontekstuālās norādes ļāva identificēt pētnieku. Attiecīgā lieta, OC pret Komisiju [C-479/22 P], tika citēts nesenajā EDPS pret VNV lietā, kas tagad izraisa spēcīgu reakciju attiecībā uz personas datu identificējamības tvērumu.

 

Ziņas no Eiropas Savienības dalībvalstīm.

Vācijā Federālā darba tiesa lēma, ka uzņēmums nelikumīgi nosūtījis sava darbinieka personas datus mātesuzņēmumam, lai pārbaudītu cilvēkresursu pārvaldības programmatūru.

Šo pārsūtīšanu nevarēja pamatot ar leģitīmām interesēm, jo būtu pieticis ar fiktīviem datiem. Tiesa piesprieda darbiniekam 200 eiro kompensāciju par emocionālām ciešanām.

Austrijā tiesa lēma, ka datu subjekta piekļuves tiesības izbeidzas pēc viņa nāves un netiek nodotas tiesību pārņēmējam. Tādējādi tiesa apelācijas procesa laikā atcēla datu aizsardzības iestādes lēmumu par piekļuves tiesību pārkāpumu pēc datu subjekta nāves.

Austrijas patērētāju tiesību organizācija VSV ir iesniegusi kolektīvu prasību pret Meta Austrijā un Vācijā, pieprasot līdz pat 5000 eiro kompensāciju par kaitējumu personām, kas vecākas par 18 gadiem. Prasība attiecas uz Meta profesionālajiem rīkiem, kurus VSV apgalvo, ka tie tiek izmantoti lietotāju privātās dzīves "nelikumīgai novērošanai".

Beļģijas datu aizsardzības iestāde ir sodījusi studentu mājas īpašnieka ar 9700 eiro sodu par videonovērošanas sistēmas nelikumīgu ekspluatāciju, kas nebija nepieciešama īpašuma aizsardzībai vai mājas noteikumu ievērošanas uzraudzībai un ko nevarēja pamatot ar likumīgām interesēm vai īres līguma izpildi.

Spānijas Datu aizsardzības aģentūra (APD) ir uzlikusi 1 800 000 eiro sodu uzņēmumam, kas bez juridiska pamata apstrādāja pašnodarbināto personu personas datus, ko apkopojusi valsts iestāde.

Viņa uzskatīja, ka, lai gan Spānijas Nodokļu aģentūrai (AEAT) bija likumīgas tiesības nodot noteiktus datus Tirdzniecības palātai, sekojošai datu nodošanai uzņēmumam Camerdata un šo datu izmantošanai komerciāliem un mārketinga mērķiem nebija derīga juridiska pamata.

Uzņēmuma norādītās leģitīmās intereses neatsvēra riskus to darbinieku tiesībām un brīvībām, kuru dati bija izpausti.

Igaunijā farmācijas uzņēmumam Allium UPI tika piemērots 3 000 000 eiro sods par atbilstošu tehnisko un organizatorisko pasākumu, piemēram, daudzfaktoru autentifikācijas, neieviešanu, kā rezultātā notika datu noplūde, kas skāra 750 000 cilvēku, tostarp bērnus un neaizsargātas grupas.

Somijā APD piesprieda bankai (S-Pankki Oyj) 1 800 000 eiro sodu par to, ka tā nebija ieviesusi pietiekamus tehniskos un organizatoriskos pasākumus attiecībā uz jauno pieteikšanās funkciju savā lietotnē, kā rezultātā tās klienti nesankcionēti piekļuva citu klientu kontiem.

Itālijas Datu aizsardzības iestāde (APD) lēma, ka uzņēmuma klientam ir tiesības atsaukt savu piekrišanu sava attēla izmantošanai uzņēmuma reklāmās. Tā precizēja, ka piekrišanu var atsaukt neatkarīgi no jebkādām negatīvām ekonomiskām sekām datu pārzinim.

Ar Senāta balsojumu 17. septembrī Itālija kļūst par pirmo Eiropas valsti, kas pieņem likumu par mākslīgo intelektu.

Pēc vispārējo principu sistēmas definēšanas likumā īpaša uzmanība tiek pievērsta tādām svarīgām nozarēm kā darbs, veselība un tiesiskums.

Tā arī regulē mākslīgā intelekta izmantošanu nepilngadīgo vidū un ietver kriminālsodu noteikumus.

Nīderlandes Datu aizsardzības iestāde (DPA) pašlaik veic izmeklēšanu sadarbībā ar Itālijas, Luksemburgas un Ungārijas DPA par to, kā viedtelevizori apstrādā personas datus.

Ziņojumā jo īpaši norādīts, ka viedtelevizori nosūta ievērojamu datu apjomu to uzstādīšanas, ikdienas lietošanas laikā, gaidīšanas režīmā un pat izslēgtā stāvoklī, un ka tie darbojas necaurredzamā interneta ekosistēmā, kurā iesaistītas dažādas puses: ražotāji, operētājsistēmu nodrošinātāji, lietojumprogrammu izstrādātāji utt.

Viņš norāda, ka lietotājiem bieži vien nav citas izvēles kā vien pieņemt privātuma politikas, un viņiem ir grūtības identificēt personas, kas ir atbildīgas par datu apstrādi.

Iepriekš instalētas lietojumprogrammas (dažreiz tās nav iespējams noņemt) rada jautājumus par datu minimizēšanu un lietotāju tiesībām.

Pēc Šveices atvērtā pirmkoda tērzēšanas platformas Apertus AI palaišanas ir parādījies vēl viens nozīmīgs atvērtā pirmkoda mašīnmācīšanās modelis, ko atbalsta publiska iestāde Eiropā: TildeOpen LLM.

Šis ir fundamentāls lingvistiskais modelis, kas izstrādāts, lai kompensētu esošo tiesību zinātņu (LLM) vājās vietas attiecībā uz Ziemeļvalstu un Austrumeiropas valodām, kuras pašlaik ir nepietiekami pārstāvētas.

Šis 30 miljardu parametru modelis tika izstrādāts ar Eiropas Komisijas finansējumu un apmācīts LUMI superdatorā.

Šie divi modeļi ir paziņojuši, ka tie atbilst Eiropas mākslīgā intelekta regulai.

 

 

47. Ģenerālā asambleja par privātuma aizsardzību, kas notika pagājušā gada septembrī Seulā, atkārtoti apstiprināja, ka datu privātums un drošība ir būtiski jautājumi, ar kuriem saskaras mūsdienu pasaule.

Ikgadējais pasākums pulcē gan regulatorus, gan uzņēmumus un organizācijas no visas pasaules.

Šajā reizē divdesmit datu aizsardzības iestādes pieņēma kopīgu deklarāciju, lai izveidotu uzticamu pārvaldības sistēmu uzticamam mākslīgajam intelektam.

Viņi atbalsta datu aizsardzības principu integrēšanu jau no izstrādes posma, stabilas datu pārvaldības izveidi un risku pārvaldības paredzēšanu.

Paziņojumā ir uzsvērta arī datu apstrādes pieaugošā sarežģītība šajā kontekstā un uzsvērta iesaistīto dalībnieku daudzveidība, kā arī nepieciešamība pēc tehnoloģiskajam progresam pielāgota tiesiskā regulējuma.

Amerikas Savienotajās Valstīs "slēgšanai" ir būtiskas sekas datu aizsardzības ziņā.

Dažas federālās aģentūras ir gandrīz pilnībā slēgtas, tostarp Federālā tirdzniecības komisija (FTC), galvenā iestāde, kas atbild par datu privātuma nodrošināšanu.

FTC ietvaros piespiedu atlaišanas visvairāk skar Patērētāju tiesību aizsardzības biroju.

Izņemot gadījumus, kad kaitējums tiek uzskatīts par ārkārtīgi nopietnu, patērētāju tiesību aizsardzības lietas tiks apturētas neatkarīgi no tā, vai tās ietver iepriekšēju izmeklēšanu, administratīvo procesu vai tiesas prāvas federālajās tiesās.

ASV ChatGPT Plus, Pro un Free lietotāji tagad var iepirkties tieši no Etsy pārdošanas platformas, un drīzumā būs pieejami arī daudzi citi pārdevēji.

Tas nozīmē, ka gan ChatGPT, gan citu aģentūru mākslīgā intelekta sistēmu gadījumā lietotājs sniedz trešajām personām piekļuvi savai personiskajai informācijai, jo īpaši bankas informācijai, ar visām ar to saistītajām datu ievainojamības problēmām.