Juridiskā uzraudzība Nr. 86 — 2025. gada augusts. 

 

Sīkfaili un interneta lietotāju mērķauditorijas atlase: pašreizējā situācija.

1. septembrī CNIL uzlika Google 325 miljonu eiro sodu un Shein grupas Īrijas meitasuzņēmumam 150 miljonu eiro sodu, un šīs divas summas ievērojami palielinās CNIL pēdējo mēnešu laikā noteikto sankciju vidējo rādītāju.

Google tika sodīts par reklāmu rādīšanu starp Gmail lietotāju e-pastiem un sīkfailu ievietošanu, veidojot Google kontus, bez derīgas Francijas lietotāju piekrišanas.

CNIL arī pieprasa Google sešu mēnešu laikā noņemt šo reklāmu rādīšanu un iegūt derīgu lietotāju piekrišanu reklāmas sīkfailu ievietošanai, izveidojot Google kontu, pretējā gadījumā piemērojot naudas sodu 100 000 eiro apmērā dienā. 

Uzņēmumam "Shein" uzliktais naudas sods attiecas arī uz sīkfailu noteikumu neievērošanu, kas tiek ievietoti to lietotāju ierīcēs, kuri apmeklē vietni "shein.com".

Šie ievērojamie naudas sodi ir daļa no dažādajiem pasākumiem, ko Komisija veikusi, lai regulētu interneta lietotāju izsekošanu un mērķtiecīgu atlasi, un kas publicēti tās tīmekļa vietnē 2019. gadā.

CNIL jau 2021. gada decembrī bija piespriedusi Google 150 miljonu eiro sodu par sīkfailu noteikumu pārkāpšanu un 50 miljonu eiro sodu par privātuma politikas necaurredzamību un skaidrību, kā arī personalizētas reklāmas juridiskā pamata trūkumu.

Nesen tā arī sodīja uzņēmumu Orange par līdzīgu praksi, sūtot reklāmas e-pasta veidā.

Šie lēmumi dod mums iespēju pārskatīt interneta lietotāju mērķauditorijas atlases praksi un tiesisko regulējumu.

Konkrētiem gadījumiem piemērojamie noteikumi ir specifiski: Komisija atgādina, ka darbības, kas saistītas ar izsekotāju izmantošanu un elektronisko izpēti, neietilpst GDPR, bet gan citu noteikumu darbības jomā: "ePrivātuma" direktīva, kas attiecībā uz izsekotājiem ir transponēta Datu aizsardzības likuma 82. pantā, un CPCE 34-5. pants attiecībā uz komerciālu izpēti, izmantojot elektroniskos līdzekļus.

Prakse, kas tiek uzskatīta par neatbilstošu, galvenokārt attiecas uz izsekotāju izvietošanu bez lietotāja piekrišanas, bet arī uz pieaugošo praksi izmantot "sīkfailu sienas", kas lietotāja piekļuvi pakalpojumam paredz ar nosacījumu, ka viņš piekrīt izsekotāju izvietošanai savā terminālī.

CNIL, atšķirībā no dažām citām Eiropas iestādēm, neuzskata šo praksi par nelikumīgu.

Tomēr viņa uzsver, ka piekrišanai ir jābūt sniegtai brīvprātīgi un lietotājam piedāvātajām alternatīvām ir jābūt attēlotām līdzsvarotā veidā, neveicinot vienas iespējas izmantošanu, nevis citas (piemēram, padarot vienu izvēli sarežģītāku par otru).

Ir arī nepieciešams, lai piekrišana būtu informēta, kas nozīmē, ka cilvēkiem ir pilnīga un skaidra izpratne par savu izvēļu sekām.

Šie CNIL lēmumi ir arī kulminācija sūdzībām, ko NVO noyb iesniedza pirms vairāk nekā diviem gadiem daudzām datu aizsardzības iestādēm (DAI) Eiropā, galvenokārt attiecībā uz sīkfailu sienu jeb “pay or okay” fenomenu un datu vākšanas pārredzamības jautājumu.

Tādējādi augusta vidū Austrijas Federālā Administratīvā tiesa sekoja Austrijas Datu aizsardzības iestādes atzinumam un uzskatīja, ka vairāku sīkfailu izvietošanas mērķu esamība prasa atsevišķu piekrišanu.

Pēc tiesas domām, dažādu apstrādes mērķu grupēšana pārkāptu lēmumu pieņemšanas brīvību un padarītu piekrišanu par spēkā neesošu.

“Šī detalizācija ir cieši saistīta ar prasību, ka piekrišana ir jādod konkrētam mērķim,” teikts sprieduma paskaidrojuma rakstā.

Šīs jaunākās norises apstiprina uzraudzības iestāžu nostāju, ka tiesiskais regulējums un jo īpaši ePrivātuma direktīva attiecas tikai uz piekrišanu, īpaši attiecībā uz nebūtiskām sīkdatnēm.

Varas iestādes vairs nepieļauj “noklusējuma” piekrišanas vai neskaidras informācijas saskarnes.

       

Šovasar viņu pratināja Senāts, Microsoft France sabiedrisko un juridisko lietu direktors Antons Karņo atzina, ka nevar "garantēt", ka Eiropā mitinātie Francijas pilsoņu dati nekad netiks nosūtīti Amerikas valdībai. saskaņā ar Mākoņu likumu, lai gan "tas nekad nav noticis".

Šajā atkarības no amerikāņu gigantiem kontekstā Dānijas valdība ir paziņojusi par oficiālu iniciatīvas uzsākšanu, lai novērtētu atvērtā pirmkoda risinājumu integrāciju tās publiskajos pakalpojumos.

9. septembrī DGE un DGCCRF publicēja to valsts iestāžu iecelšanas projektu, kas būs atbildīgas par Eiropas mākslīgā intelekta regulas īstenošanu.

Dokumentā ir iekļauta diagramma, kurā attēlotas daudzas kompetentās iestādes saskaņā ar attiecīgajiem regulas pantiem un mākslīgā intelekta apstrādes mērķiem.

Pateicoties DINUM juridiskās misijas vadītāja vietnieka darbam, tagad ir iespējams iepazīties ar CNIL kontroļu karti pa gadiem un darbības nozarēm.

Kartēšana koncentrējas uz šīm kontrolēm un neietver visas CNIL darbības, piemēram, izpratnes veicināšana uz vietas, oficiāli paziņojumi, sankcijas utt.

Tas ir balstīts uz datiem, ko CNIL publicē vietnē data.gouv.

 

Eiropas iestādes un struktūras

Šajā gada laikā Eiropas ziņas ir rosīgas iestāžu un jo īpaši Eiropas Savienības Tiesas (EST) darbības dēļ.

Priekšlikums regulai par saziņas kontroli (“tērzēšanas kontrole”), kuras mērķis ir novērst un apkarot seksuālu vardarbību pret bērniem, atkal ir iekļauts Eiropadomes 2025. gada 12. septembra sanāksmes darba kārtībā Dānijas prezidentūras laikā.

Pārskatītajā priekšlikumā ir paredzēta iespēja skenēt saziņu lietotāja terminālī pirms tās nosūtīšanas, un daudzu zinātnieku un pilsoniskās sabiedrības acīs tas ir solis atpakaļ salīdzinājumā ar Polijas prezidentūras tekstu.

8. septembrī tika publicēta jauna atklāta vēstule (ceturtā par šo tēmu), ko parakstījuši vairāk nekā 600 zinātnieki no 34 valstīm.

Viņa uzsver šī priekšlikuma neefektivitāti un riskus šifrēšanas ziņā un min iespējamās alternatīvas.

4. septembrī Eiropas Komisija uzsāka procesu, lai ar Brazīliju pieņemtu lēmumu par datu aizsardzības pietiekamību.

Pēc pieņemšanas šis lēmums būs pirmais lēmums par aizsardzības līmeņa atbilstību attiecībā uz Latīņamerikai kopš 2003. gada 3. jūnija lēmumiem par Argentīnu un 2012. gada 21. augusta lēmumiem par Urugvaju.

Brazīlijas iestādes ir arī uzsākušas procesu, kura mērķis ir pieņemt līdzvērtīgu lēmumu, lai nodrošinātu Brazīlijas datu brīvu plūsmu uz ES.

Nākamie soļi ietvers lēmuma projekta iesniegšanu pārskatīšanai Eiropas Datu aizsardzības kolēģijai (EDAK) un ES dalībvalstu pārstāvju Ministru padomei.

Priekšlikumu izskatīs arī Eiropas Parlaments.

5. septembrī Eiropas Komisija paziņojusi, ka Google piemēros 2,95 miljardu eiro sodu. par ES pretmonopola noteikumu pārkāpšanu, kropļojot konkurenci reklāmas tehnoloģiju nozarē (“adtech”).

Google, iespējams, deva priekšroku saviem tiešsaistes reklāmas tehnoloģiju pakalpojumiem uz konkurējošu reklāmas tehnoloģiju pakalpojumu sniedzēju, reklāmdevēju un tiešsaistes izdevēju rēķina.

Komisija lika uzņēmumam Google izbeigt šo pašpreferences praksi un īstenot pasākumus, lai novērstu interešu konfliktus, kas raksturīgi tā reklāmas tehnoloģiju piegādes ķēdei.

Google tagad ir 60 dienas, lai informētu Komisiju par to, kā tā plāno rīkoties tālāk.

Šī sankcija izraisīja tūlītēju Amerikas Savienoto Valstu reakciju, Donaldam Trampam norādot uz nodomu veikt atbildes pasākumus pret ES.

3. septembrī savā lēmumā T-553/23 | Latombe pret Komisiju Eiropas Savienības Tiesa ir noraidījusi Eiropas Parlamenta deputāta Filipa Latombe prasību atcelt trešo versiju nolīgumam par datu nosūtīšanu starp ES un Amerikas Savienotajām Valstīm. Datu aizsardzības regulējumu (DPF), ņemot vērā, ka Amerikas Savienotās Valstis "garantē atbilstošu personas datu aizsardzības līmeni".

kungs īpaši uzsvēra, ka Amerikas apelācijas iestāde "Datu aizsardzības pārskatīšanas tiesa" (DPRC) nav objektīva un ir atkarīga no izpildvaras.

Viņš arī norādīja uz izlūkdienestu praksi, kas vāc milzīgu daudzumu personas datu tranzītā no Eiropas Savienības bez iepriekšējas tiesneša vai neatkarīgas administratīvas iestādes atļaujas un tādējādi bez pietiekami skaidrām un precīzām vadlīnijām.

Tiesa noraida prasību par atcelšanu.

Viņš uzsver, ka KTDR darbība ir pakļauta virknei drošības pasākumu, ka Eiropas Komisija uzrauga DPF piemērošanu, un uzskata par pietiekamu, ka KTDR veic ex post tiesas pārbaudi uz Amerikas aģentūru veiktajām izlūkošanas darbībām.

ES Tiesas lēmumu var pārsūdzēt EST, un parlamenta deputāts Filips Latombe jau ir paudis nodomu iesniegt šādu apelāciju.

4. septembrī svarīgā spriedumā (Lieta C-413/23 P | EDPB/CRU) EST atcēla ES tiesas lēmumu attiecībā uz personas datu jēdzienu.

Tā lemj par Eiropas Datu aizsardzības uzraudzītāja (EDAU) apelāciju attiecībā uz ES tiesas nolēmumu, ar kuru tika atcelts tās 2020. gada lēmums.

Šajā lēmumā EDAU secināja, ka Eiropas Vienotā noregulējuma valde (VNV) ir pārkāpusi Eiropas iestāžu GDPR, paziņojot grāmatvedības firmai kreditoru un akcionāru komentārus par Spānijas bankas bankrota procedūru.

EST uzskata, ka indivīdu personīgie viedokļi ir personiska informācija un ka Tiesai tie bija jāuzskata par tādiem.

Tā arī uzskata, ka atkārtotas identifikācijas risks, kas saistīts ar personas datu apstrādi un pārsūtīšanu, ir jāizvērtē katrā gadījumā atsevišķi datu vākšanas laikā, un ka Tiesa kļūdījās, atceļot EDAK sākotnējo lēmumu, daļēji tāpēc, ka tā nebija noteikusi, vai pseidonimizēto komentāru saturs faktiski saturēja personas informāciju.

Tomēr EST nostājās CRU pusē jautājumā par to, kādos apstākļos pseidonimizētus datus var uzskatīt arī par personas datiem, savā lēmumā norādot, ka "Pseidonimizēti dati nebūtu jāuzskata par personas datiem visos gadījumos un attiecībā uz katru personu (VDAR) piemērošanas nolūkos." ciktāl pseidonimizācija atkarībā no lietas apstākļiem var efektīvi liegt personām, kas nav pārzinis, identificēt datu subjektu tādā veidā, ka šīm personām datu subjekts nav vai vairs nav identificējams.

Citā spriedumā, kas arī datēts ar 4. septembri (Spriedums C 655/23, IP pret Quirin Privatbank AG), Tiesa lēma par preventīva aizlieguma tiesību esamību atturēties no apstrādes pret pārzini un par morālā kaitējuma apmēru.

Tiesa uzskata, ka GDPR neparedz preventīvu tiesiskās aizsardzības līdzekli pret turpmāku nelikumīgu apstrādi, bet dalībvalstis var to paredzēt.

Viņa arī paskaidroja, ka tādas sajūtas kā pazemojums vai raizes var būt pietiekamas, lai konstatētu morālu kaitējumu, ja vien tiek sniegti pierādījumi.

Viņa piebilst, ka datu pārziņa vainas nopietnībai vai aizlieguma iegūšanai nevajadzētu ietekmēt kompensācijas apmēru, kas joprojām ir tikai kompensējošs.

 

Ziņas no Eiropas Savienības dalībvalstīm.

Vācijā Federālā darba tiesa lēma, ka darba devējs ir nelikumīgi apstrādājis darbinieka veselības datus, uzraugot viņu, lai pārbaudītu, vai viņš neizliekas par savu darbnespēju.

Viņa arī piesprieda darbiniekam 1500 eiro kompensāciju par morālo kaitējumu.

Beļģijas Datu aizsardzības iestāde (APD) ir izteikusi rājienu politiķim, kurš no publiska avota savāca kādas personas e-pasta adresi un nosūtīja tai politiskus ziņojumus, pārkāpjot GDPR principus par likumību, mērķa ierobežošanu un pārredzamību.

Spānijā uzņēmumam Loro Parque, kas pārvalda zoodārzu un akvaparku, APD piesprieda 250 000 eiro lielu naudas sodu par pirkstu nospiedumu vākšanu bez iepriekšējas informācijas vai piekrišanas: attiecīgajām personām bija jāsniedz pirkstu nospiedumi, ja viņām bija akcijas biļetes, kas ļāva ar vienu biļeti iekļūt abos parkos.

Turklāt APD sodīja Spānijas Tirdzniecības palātu ar 500 000 eiro sodu par pašnodarbināto personu nodokļu maksātāja identifikācijas numuru nodošanu privātiem uzņēmumiem bez juridiska pamata.

Itālijā APD sodīja autobūves uzņēmumu ar 50 000 eiro sodu.

Pēdējais bija organizējis "atgriešanās darbā" intervijas ar saviem darbiniekiem pēc viņu prombūtnes, kā rezultātā tika savākts pārmērīgs datu apjoms, tostarp sensitīvi dati.

APD norāda arī uz darbinieku piekrišanas pārredzamības un derīguma principu pārkāpumu.

Lietuvas Datu aizsardzības iestāde (DPA) ir likusi Vinted pārtraukt klientu tālruņu numuru vākšanu kontu verifikācijas nolūkos.

Sākotnēji viņa uzskatīja, ka Vinted minētie iemesli, proti, lietotāju kontu verifikācija un platformas drošības garantēšana, nav būtisks datu pārziņa un datu subjekta līguma aspekts.

Viņa arī norādīja, ka lietošanas noteikumos bija minēti citi iespējamie lietotāja identitātes pārbaudes līdzekļi, un tāpēc personas datu apstrāde neatbilst GDPR 6. panta 1. punkta b) apakšpunktā noteiktajam nepieciešamības kritērijam.

Nīderlandes Augstākā Administratīvā tiesa lēma, ka garīgās veselības aprūpes iestādei nav pienākuma izpildīt pieprasījumu dzēst datus.

Datu saglabāšana bija nepieciešama saskaņā ar medicīniskās aprūpes līgumu un iestādes pakalpojumu pārvaldībai.

Polijā bankai ING Bank Śląski tika piemērots 4 300 000 eiro naudas sods par personu apliecinošu dokumentu skenēšanu bez pamatota iemesla vai riska novērtējuma..

APD konstatēja, ka banka nevajadzīgi apstrādāja sensitīvus datus, tostarp PESEL numurus un dokumentu informāciju, tādējādi pārkāpjot uz risku balstīto pieeju, ko paredz noziedzīgi iegūtu līdzekļu legalizācijas novēršanas noteikumi.

 

Ķīna pastiprina savus noteikumus par datu pārsūtīšanu uz ārzemēm.

Ķīnas sabiedriskās drošības iestādes apsūdz Dior Šanhajas filiāli klientu datu nelikumīgā pārsūtīšanā uz galveno mītni Francijā, neievērojot obligātos drošības novērtējumus, lietotāju informēšanu un šifrēšanas noteikumus.

Filiālei tika piemērots administratīvs sods.

Amerikas Savienotajās Valstīs 44 ģenerālprokurori nosūtīja vēstuli 13 mākslīgā intelekta uzņēmumiem, tostarp OpenAI, CharacterAI, Replika un Meta, informējot tos, ka tie tiks saukti pie atbildības, ja tie nodarīs kaitējumu bērniem.

Vēstulē ir uzsvērti nesen atklātie fakti par Meta tehniskajām vadlīnijām attiecībā uz Meta AI un Facebook, WhatsApp un Instagram tērzēšanas robotiem.

Šis dokuments, ko apstiprināja uzņēmuma juridiskā, politiskā un tehniskā komanda, pilnvaroja tērzēšanas robotus aicināt bērnus uz romantisku vai pavedinošu sarunu ar tērzēšanas robotu, tostarp komentāriem par bērnu izskatu, kā arī lomu spēļu scenārijiem.

Microsoft emuārs "Tech Community" augusta beigās paziņoja, ka jaunākais MS Word atjauninājums operētājsistēmai Windows pēc noklusējuma automātiski saglabā lietotāju Word failus mākonī (OneDrive).

Microsoft šo atjauninājumu prezentē kā drošības, piekļuves, komandas darba un mākslīgā intelekta izmantošanas uzlabojumu.

Lai gan šos iestatījumus ir iespējams mainīt Word preferencēs, dokumentu noklusējuma augšupielāde amerikāņu mākonī rada jautājumus saistībā ar GDPR, attiecībā uz datu konfidencialitāti un šo datu pieejamības problēmu ASV valsts iestādēm.

"Halo" viedās brilles rada bažas mākslīgā intelekta ekspertu vidū.

L. Jarosvskis ziņo, ka šīs jaunās brilles vienmēr ir uzvilktas, visu ieraksta un tām nav indikatora, kas brīdinātu cilvēkus, ka tās tiek ierakstītas.

Intervijā ar TechCrunch Halo dibinātāji esot noraidījuši atbildību, norādot, ka ASV štatos, kur ir nelikumīgi slepeni ierakstīt sarunas bez otras personas piekrišanas, lietotājam ir jāsaņem šī piekrišana pirms briļļu lietošanas.