Juridiskā uzraudzība Nr. 93 — 2026. gada marts. 

 

Piekļuve personas datiem: tiesību ļaunprātīgas izmantošanas atzīšana?

Nesen pieņemts Eiropas Savienības Tiesas (EST) lēmums precizē nosacījumus attiecībā uz personu tiesībām piekļūt saviem personas datiem un jo īpaši apstākļus, kādos datu pārzinis piekļuves pieprasījumu var uzskatīt par ļaunprātīgu.

Lai gan VDAR 12. pants saista pieprasījumu ļaunprātīgo raksturu ar to atkārtoto aspektu, EST 19. martā lietā C-526/24 – Brillen Rottler precizēja, ka šis atkārtošanās kritērijs ir ilustratīvs: pieprasījumu skaits nav izšķirošs, un sākotnēju piekļuves pieprasījumu var uzskatīt par ļaunprātīgu, ja datu subjekts izmanto šīs tiesības, lai gūtu priekšrocības, piemēram, ja tas cenšas mākslīgi radīt tiesības uz kompensāciju pret datu pārzini. Šādā gadījumā tas ir tiesību ļaunprātīga izmantošana.

Tomēr atteikumam atbildēt uz piekļuves pieprasījumu saskaņā ar VDAR ir jāpaliek izņēmuma kārtā, un datu pārzinim ir jāspēj pierādīt pieprasītāja ļaunprātīgo nodomu.

Šajā konkrētajā gadījumā atbildīgajai personai, pamatojoties uz konkrētiem pierādījumiem, bija jāpierāda, ka pieprasījums nebija paredzēts datu apstrādes pārbaudei, bet gan mākslīgai apstākļu radīšanai zaudējumu atlīdzības prasībai.

Bija zināms, ka pieteikuma iesniedzējs pēc tam, kad bija sniedzis tiem savus datus, bija iesniedzis vairākus pieprasījumus daudziem datu pārziņiem, lai saņemtu kompensāciju.

Tiesa atkārtoti uzsver, ka kompensācijas piešķiršanai ir jāizpilda trīs nosacījumi:

• GDPR pārkāpums,
• Bojājumi
• Un cēloņsakarība starp abiem.

Nemateriāls kaitējums var rasties kontroles zaudēšanas vai nenoteiktības dēļ attiecībā uz datu apstrādi, taču kaitējums ir jāpierāda prasītājam, un to nevar būt izraisījusi prasītāja rīcība.

Šajā konkrētajā gadījumā cēloņsakarība tika pārrauta attiecīgās personas rīcības dēļ, kuras mērķis bija mākslīgi radīt apstākļus kaitējuma rašanās gadījumam.

Ja ir izpildīti trīs iepriekš minētie nosacījumi, piekļuves tiesību pārkāpums var radīt tiesības uz tiesisko aizsardzību, pat ja šis pārkāpums nav tieši saistīts ar datu apstrādi stingrā nozīmē.

Atteikšanās atbildēt uz piekļuves pieprasījumu var pakļaut atbildīgo personu kompensācijas prasībai no labticīga pieprasītāja.

Tāpēc datu pārzinim, kuram ir aizdomas par ļaunprātīgu pieprasījumu, pirms piekļuves atteikšanas ir jāievēro īpaša piesardzība un jāsaglabā pierādījumi par šo ļaunprātīgo raksturu. 

EST sniegtie skaidrojumi atbilst Eiropas Datu aizsardzības kolēģijas (EDAK) 2022. gadā publicētajām vadlīnijām par šo tēmu, kurās sniegti papildu norādījumi.

Tādējādi pieprasījumu pārmērīgais raksturs var būt atkarīgs no nozares, kurā darbojas datu pārzinis, īpašajām iezīmēm.

"Jo biežāk tiek veiktas izmaiņas datu pārziņa datubāzē, jo lielāka iespēja, ka datu subjektam tiks atļauts pieprasīt piekļuvi saviem datiem, neuzskatot to par pārmērīgu."

Atkārtotu pieprasījumu gadījumā datu pārzinis piekļuves atteikuma vietā var nolemt iekasēt no attiecīgās personas maksu, kas atbilst pieprasījumu izraisīto administratīvo procedūru izmaksām.

Visbeidzot, jāatzīmē, ka Eiropas Komisija savā digitālā Omnibusa priekšlikumā ir arī paredzējusi nodrošināt lielāku juridisko noteiktību datu pārziņiem gadījumos, kad tie saskaras ar datu subjektu tiesību pārkāpumiem.

Lai gan EDAK un EDAU (Eiropas Datu aizsardzības uzraudzītājs) savā 10. februāra atzinumā atbalsta šo vēlmi pēc precizējuma, tie uzskata, ka piekļuves tiesību izmantošana citiem mērķiem, kas nav personas datu aizsardzība, nedrīkstētu būt noteicošais elements tam, kas tiek uzskatīts par ļaunprātīgu izmantošanu… ja vien netiek apšaubīta pieteikuma iesniedzēja labticība.

 

SREN likuma īstenošanas dekrēts, kas publicēts 24. martā, ievieš papildu prasības. veselības datu (HDS) mitināšanai tikai ES vai EEZ teritorijā, prasības, ko CNIL atzinīgi vērtē, jo to mērķis ir palielināt pārredzamību attiecībā pret attiecīgajām personām, kā arī stiprināt veselības datu kontroli, ko veic mitināšanas līguma puses attiecībā uz piekļuves risku no ārpus Eiropas.

Vispārīgāk runājot, visa valsts IT sistēma ir paredzēta migrācijai uz suverēniem risinājumiem.

Tādējādi nedēļu pēc paziņojuma par LaSuite sadarbības platformas ieviešanu 80 000 Veselības apdrošināšanas aģentiem, starpministriju digitālā direktorāta (DINUM) 9. aprīlī oficiāli paziņoja par savu nodomu līdz gada beigām atteikties no Windows par labu Linux un pāriet uz suverēnu risinājumu.

Šie mērķi ir kļuvuši konkrētāki kopš 8. aprīļa semināra, kurā pirmo reizi pulcējās ministrijas, valsts un privātā sektora pārstāvji, lai noteiktu, no kādas ārvalstu programmatūras un pakalpojumiem valsts ir atkarīga šodien, lai rīt varētu iztikt bez tiem.

"Sākot ar šo rudeni, katrai ministrijai (un no tās atkarīgajām valsts iestādēm) būs jāiesniedz savs ceļvedis ārvalstu digitālās atkarības mazināšanai."

Valsts digitālās drošības ceļvedis 2026.–2027. gadam tika publicēts aprīļa sākumā.

Tā ir daļa no centieniem panākt, lai valsts pārvaldes iestādes atbilstu NIS2 direktīvai, un iesaista tās pārejā uz postkvantu kriptogrāfiju. 

"Augsta apdraudējuma un pasliktinošas ģeopolitiskās situācijas kontekstā tajā ir noteikti prioritārie centieni, kas ministrijām jāveic digitālās drošības jomā: pārvaldības konsolidācija, piekļuves pārvaldības stiprināšana, informācijas sistēmu vides kontrole utt."

CNIL 3. aprīlī publicēja savas prioritārās kontroles tēmas 2026. gadam.  Viņa koncentrēsies uz

• Personāla atlase,
• Vienotais vēlētāju reģistrs
• Sporta federācijas.

Papildu paziņojumi par kiberdrošību tiks sniegti, kad maijā tiks publicēts gada pārskats.

Viņa arī publicēja savu darba programmu speciālistu atbalstam.kas uzsvērs

• Mākslīgā intelekta izmantošana,
• Veselības dati,
• Piekļuves tiesību nosacījumi
• Kiberdrošība.

Tās tīmekļa vietnē ir arī jauns ceļvedis par personāla datu glabāšanas periodiem. Visbeidzot, 20. marta publikācijā CNIL atkārtoti uzsver ļoti ierobežojošos nosacījumus skaņas ierakstīšanai ar videonovērošanas kamerām.

Lai gan Reģionālo veselības aģentūru (ARS) uzlaušana tika oficiāli apstiprināta 2025. gada septembrī, šodien situācija iegūst satraucošāku pavērsienu. savukārt hakeru grupa DumpSec uzņemas atbildību par uzbrukumu un tagad pārdod milzīgu Francijas veselības aprūpes sistēmas datubāzi.

Tas skartu vairāk nekā 35 miljonus pacientu, un dati ietvertu sensitīvu informāciju par aprūpes ceļiem.

Datu noplūde izriet no ārstu akreditācijas datu zādzības GRADeS (reģionālās e-veselības atbalsta grupas) serveros.

EST 19. martā pieņēma nolēmumu, kas ietekmē Francijas policijas biometrisko datu vākšanas nosacījumus.

Lietā C-371/24 – Comdribus tā lēma, ka valsts tiesību akti nav saderīgi ar Eiropas direktīvu “Policijas tieslietu sistēma”, ja tie atļauj tiesībaizsardzības dienestam sistemātiski apstrādāt aizdomās turēto biometriskos datus, neprasot kompetentajai iestādei pamatot šīs apstrādes absolūto nepieciešamību un samērīgumu.

Personai, kura atsakās no biometrisko datu vākšanas, var piemērot sankcijas tikai tad, ja plānotā datu vākšana atbilst šiem nosacījumiem, kas izvērtēti, ņemot vērā apstākļus brīdī, kad kompetentās iestādes pieņem lēmumu par šo datu vākšanu.

Datu vākšanas motivācija ir nepieciešama, lai attiecīgā persona varētu īstenot savas tiesības uz efektīvu tiesiskās aizsardzības līdzekli.

Šajā konkrētajā gadījumā klimata aktīvistu 2020. gada maijā Parīzē īstenotas akcijas laikā vairāki dalībnieki, tostarp sūdzības iesniedzējs, tika arestēti tiesībaizsardzības iestāžu par nedeklarētas demonstrācijas organizēšanu.

Novietots policijas uzraudzībā, sūdzības iesniedzējs atteicās no pirkstu nospiedumu noņemšanas un fotografēšanas.

Iekšlietu ministrs 3. aprīlī Senātā jautājumu laikā valdībai paziņoja, ka tiesībaizsardzības iestāžu sejas atpazīšanas programmatūras izmantošana savās Neo identitātes kontroles ierīcēs nav likumīga, izņemot izmeklēšanas ietvaros tiesneša vadībā.

Ministrs norādīja, ka CNIL pašlaik izskata šo jautājumu.

Francijas Tech 2030 programmā uzvarējušā kiberdrošības uzņēmuma vadītājs tika arestēts marta beigās kā daļa no plaša mēroga Eiropas mēroga represijām pret bērnu pornogrāfijas platformu.

Inženieris, kurš vada jaunuzņēmumu, kas specializējas kiberdraudu paredzēšanā un kura klientu vidū ir FBI un Eiropas Komisija, tiek turēts aizdomās par bērnu pornogrāfijas attēlu un video iegādi, izmantojot tumšā tīkla bērnu pornogrāfijas platformu.

Pateicoties izmeklētāju izsekotajiem un deanonimizētajiem kriptovalūtas maksājumiem, tiesībaizsardzības iestādes visā Eiropā koordinētas operācijas ietvaros ir veikušas vairāk nekā 200 arestus.

 

Eiropas iestādes un struktūras

11. martā Eiropas Parlaments vienojās pagarināt (izņēmuma) noteikumus, kas ļauj kontrolēt elektronisko saziņu ("tērzēšanas kontrole"). vienlaikus ierobežojot to darbības jomu.

Tā vietā, lai piešķirtu vispārēju atļauju skenēšanas tehnoloģijām, Parlaments pieprasīja, lai šie rīki tiktu izmantoti tikai pret zināmiem aizdomās turētajiem un tikai zināmas bērnu pornogrāfijas atklāšanai.

Tikmēr Google, Meta, Microsoft un Snap (Chat) kopīgā paziņojumā presei tomēr atkārtoti apstiprināja, ka "tie turpinās veikt brīvprātīgas darbības attiecībā uz ietekmētajiem starppersonu komunikācijas pakalpojumiem".

Joprojām turpinās iestāžu sarunas: Padomes prezidentvalsts Kipra plāno pabeigt projektu līdz 2026. gada jūlijam, un pašlaik šis jautājums tiek apspriests trialoga ietvaros starp Parlamentu, Padomi un Komisiju.

26. martā Eiropas Parlamenta deputāti plenārsēdē pauda nostāju par digitālā omnibusa paketes mākslīgā intelekta komponentu.

Viņi nobalsoja par vairāku mākslīgā intelekta regulas noteikumu spēkā stāšanās atlikšanu.

Tādējādi mākslīgā intelekta sistēmas, kas ietver biometriju, un tās, ko izmanto kritiskajā infrastruktūrā, izglītībā, nodarbinātībā, būtiskos pakalpojumos, tiesībaizsardzībā, tiesu sistēmās un robežu pārvaldībā, tiktu pārceltas no 2026. gada augusta uz 2027. gada 2. decembri.

Parlamentārieši ierosina atlikt citu nozaru regulējumam (drošība un tirgus uzraudzība) pakļauto sistēmu atbilstības pārbaudi līdz 2028. gada 2. augustam.

Trialogu starp Eiropas Komisiju, Parlamentu un Padomi mērķis ir panākt provizorisku vienošanos par tekstu līdz 28. aprīlim.

Ir vērts atgādināt, ka regulas pamatprincipi jau ir stājušies spēkā un tos kontrolē CNIL (Francijas Datu aizsardzības iestāde).

24. martā Eiropas Komisija atklāja kiberuzbrukumu, kas skāra mākoņinfrastruktūru, kurā atrodas tās tīmekļa vietne Europa.eu platformā, un izrādījās nopietnāks, nekā sākotnēji norādīts tās paziņojumā presei.

Dati ietekmē 71 Europa mitināšanas pakalpojuma klientu. CERT-EU, ES datu drošības dienests, apstiprina vārdu, lietotājvārdu, e-pasta adrešu un e-pasta satura esamību noplūdē.

Tumšajā tīmeklī tika publicēti 340 GB datu un gandrīz 52 000 e-pasta failu.

Divi svarīgi EST nolēmumi, kas datēti ar 19. martu, Brillen Rottler un Comdribus lietās, ir apspriesti iepriekš redakcijas slejā un ziņās Francijā.

Eiropas digitālās infrastruktūras konsorcijs “Digital Commons” (EDIC) iegūst formu līdz ar jaunu valstu pievienošanos un pirmo projektu uzsākšanu, tostarp Eiropas suverēnā tehnoloģiju fonda pilotprojektu.

Konsorcija mērķis ir palīdzēt Eiropas Savienības dalībvalstīm attīstīt atvērtas digitālās infrastruktūras un stiprināt Eiropas digitālo suverenitāti.

 

Ziņas no Eiropas Savienības dalībvalstīm.

Vācijas tiesa ir lēmusi, ka Facebook Facebook lietotājs Meta nelikumīgi apstrādāja nereģistrētu personu personas datus, izmantojot savu Facebook funkciju “Atrast draugus”.

Turklāt uzņēmumam nebūtu juridiska pamata apstrādāt lietotāju personas datus no savas platformas reklāmas nolūkos.

Nesenā lietā Austrijas tiesa lēma, ka datu aizsardzības iestāde rīkojās pareizi, atsakoties izskatīt sūdzību saskaņā ar VDAR 57. panta 4. punktu pēc tam, kad persona bija mēģinājusi ļaunprātīgi izmantot sūdzību izskatīšanas mehānismu, lai kavētu parāda piedziņu.

Beļģijas Datu aizsardzības iestāde (APD) uzskatīja, ka darba devējs ir pietiekami apmierinājis darbinieka piekļuves pieprasījumu, sniedzot darbiniekam viņa datus reprodukcijas veidā, nevis pilnībā izvelkot attiecīgās e-pasta vēstules.

Somijā Datu aizsardzības iestāde (DPA) izteica brīdinājumu kredītreitingu aģentūrai par datu piekļuves pieprasījumu nepareizu apstrādi.

Datu pārzinis novirzīja datu subjektus uz savu datu piekļuves portālu, neveicot turpmāku saziņu, un norādīja, ka par jebkuru pieprasījumu, kas iesniegts vairāk nekā vienu reizi divpadsmit mēnešu laikā, tiks iekasēta maksa.

Spānijas Datu aizsardzības aģentūra (APD) ir sodījusi digitālās identifikācijas un vecuma pārbaudes pakalpojumu sniedzēju (YOTI) ar 950 000 eiro sodu par biometrisko datu vākšanu bez derīgas piekrišanas (nepietiekama detalizācijas un drošības pasākumu trūkums attiecībā uz datiem, kas attiecas uz nepilngadīgajiem) un datu glabāšanas perioda neierobežošanu.

Beļģijas Datu aizsardzības iestāde (APD) arī piesprieda Hyundai 2 000 000 eiro sodu pēc tam, kad kiberuzbrukuma rezultātā tika atklāti vairāk nekā miljona cilvēku dati, tostarp viņu vārdi, kontaktinformācija un transportlīdzekļu identifikācijas numuri. Tā konstatēja, ka datu pārzinis nav nodrošinājis atbilstošu drošības līmeni, jo īpaši tāpēc, ka attiecīgie dati nebija šifrēti.

Visbeidzot, Beļģijas Datu aizsardzības iestāde (APD) uzlika īpaši lielu naudas sodu (10 miljonus eiro) lidostas operatoram Aena par veidu, kā tas ieviesa savu sejas atpazīšanas iekāpšanas sistēmu. Sistēma ļauj pasažieriem iekāpt, vienkārši skatoties kamerā. Iestāde konstatēja, ka šī biometriskā sistēma tika ieviesta bez iepriekšēja datu aizsardzības ietekmes novērtējuma.

Itālijas Datu aizsardzības iestāde (APD) ir sodījusi banku ar 31 800 000 eiro sodu par pietiekamu drošības pasākumu neieviešanu, lai liegtu darbiniekam piekļūt vairāk nekā 3500 cilvēku finanšu datiem mērķiem, kas nav saistīti ar viņa pienākumiem.

Datu pārzinis arī savlaicīgi neinformēja APD un datu subjektus par šo datu pārkāpumu.

Citai bankai tika piemērots 17 628 000 eiro sods par 275 000 klientu kontu pārsūtīšanu uz savu meitasuzņēmumu bez viņu piekrišanas. Banka bija izmantojusi profilēšanu, lai atlasītu personas, kas tiek uzskatītas par "galvenokārt digitāliem" klientiem.

Luksemburgā Augstākā Administratīvā tiesa atcēla Amazon piespriesto 746 miljonu eiro sodu. Lēmums neapšauba personas datu nelikumīgu apstrādi mērķtiecīgas reklāmas nolūkos, taču pieprasa Datu aizsardzības iestādei (APD) atkārtoti izvērtēt pārkāpumu un samērīgumu, pirms piemērot jebkādas jaunas sankcijas.

Īsumā izskatāmā procesā Nīderlandes tiesa aizliedza sociālo mediju platformai X, izmantojot Grok, radīt un izplatīt nepiekrišanas ceļā iegūtu intīmu saturu un bērnu pornogrāfiju. Tiesa arī aizliedza X piedāvāt Grok funkcijas, kamēr šie pārkāpumi turpinās.

Rumānijas Datu aizsardzības iestāde (APD) ir piemērojusi uzņēmumam Renault Romania 637 262,50 RON (125 000 eiro) lielu naudas sodu par atbilstošu drošības pasākumu neieviešanu pēc datu noplūdes, kas saistīta ar apakšuzņēmēja pārvaldītu lietojumprogrammu, kā rezultātā tiešsaistes platformā tika publicēti personas dati.

 

Brazīlijas likums par nepilngadīgo aizsardzību tiešsaistē ir oficiāli stājies spēkā, un līdz ar to ir stājies spēkā tieslietu ministra dekrēts, kas tieši vērsts pret dizaina izvēlēm, ko tehnoloģiju giganti izmanto, lai piesaistītu jauniešu uzmanību.

Regula maina bērnu drošību tiešsaistē no reaktīvas satura moderācijas uz platformas arhitektūras ex ante regulēšanu, tostarp ierobežojumiem attiecībā uz bezgalīgu ritināšanu, automātisko atskaņošanu, manipulatīviem paziņojumiem, mērķtiecīgu reklāmu, izmantojot nepilngadīgajiem paredzētu profilēšanu, un stingrākām vecuma pārbaudes prasībām.

Aprīļa sākumā Ķīnas Rūpniecības un informācijas tehnoloģiju ministrija kopā ar astoņām citām ministrijām publicēja "Eksperimentālus pasākumus saistībā ar mākslīgā intelekta tehnoloģiju ētisko novērtēšanu un nodrošināšanu".

Dokumentā sniegts pārskats par to, ko Ķīna saprot ar "ētisku mākslīgā intelekta pārvaldību", un politikas un tehnisko pasākumu veidus, ko tā uzskata par nepieciešamiem, lai cīnītos pret ētikas trivializēšanu, izmantojot mārketinga stratēģijas, kas sola cieņpilnus pakalpojumus, bet patiesībā neatbilst mākslīgā intelekta noteikumiem.

24. aprīlī ASV Ņūmeksikas štata zvērināto tiesa piesprieda uzņēmumam Meta samaksāt 375 miljonus ASV dolāru civiltiesiskā soda naudā, konstatējot, ka uzņēmums nav pienācīgi aizsargājis bērnus savās platformās. Šis sods bija saistīts ar negodīgas komercprakses likuma pārkāpumiem.

8. aprīlī federālā apelācijas tiesa Vašingtonā atteicās bloķēt mākslīgā intelekta uzņēmuma Anthropic iekļaušanu Pentagona nacionālās drošības melnajā sarakstā, kas ir Trampa administrācijas uzvara.

Tomēr cita apelācijas tiesa atsevišķā tiesvedībā, ko ierosināja uzņēmums “Anthropic”, pieņēma pretēju lēmumu.

Uzņēmums, kas izstrādāja mākslīgā intelekta asistentu Claude, apgalvo, ka aizsardzības ministrs pārsniedza savas pilnvaras, nosakot uzņēmumu par valsts drošības piegādes ķēdes risku.

Uzņēmums “Anthropic” atteicās atcelt noteiktus ierobežojumus savu produktu lietošanai, ņemot vērā to izmantošanu ASV aizsardzības jomā.