Personas datu pārsūtīšana uz Amerikas Savienotajām Valstīm: progresa ziņojums

Juridiskā uzraudzība Nr. 55 — 2023. gada janvāris

Personas datu pārsūtīšana uz Amerikas Savienotajām Valstīm: progresa ziņojumsJuridiskā nenoteiktība, kas pašlaik ietekmē datu apmaiņu starp Eiropu un Amerikas Savienotajām Valstīm, ietekmē tādas konkrētas jomas kā cīņa pret mājokļu trūkumu Francijā vai tiešsaistes bibliotēku izmantošana Somijā.

Uzņēmums “Abritel” ir atteicies sniegt savus īres datus Parīzes pilsētai, jo pēdējā šai datu vākšanai izmanto pakalpojumu sniedzēju, kas pārsūta datus uz Amerikas Savienotajām Valstīm.

Parīzes tiesa savā 2022. gada 30. novembra spriedumā lēma par labu Abritelam.

Pagājušā gada decembrī Somijas Datu aizsardzības iestāde konstatēja, ka četras pilsētas cita starpā ir nelikumīgi pārsūtījušas personas datus uz Amerikas Savienotajām Valstīm, izmantojot Google Analytics un Google Tag Manager savu publisko bibliotēku tiešsaistes pakalpojumos.

Mūsdienu pārskaitījumu sarežģītība galvenokārt ir Eiropas Savienības Tiesas 2015. gada oktobra un 2020. gada jūlija nolēmumu “Schrems I” un “Schrems II” sekas.

Šie nolēmumi anulēja secīgus nolīgumus, kas noslēgti starp ES un Amerikas Savienotajām Valstīm ar nosaukumiem "Drošās zonas principi" un "Privātuma vairogs".

Savā 2020. gada spriedumā Tiesa lēma, ka Privātuma vairogs, lai gan principā nodrošina aizsardzības līmeni, kas būtībā ir līdzvērtīgs Eiropas Savienības aizsardzības līmenim, praksē to padara neefektīvu konkrētu prasību dēļ, kas saistītas ar valsts drošību, sabiedrības interesēm un atbilstību ASV tiesību aktiem.

Tā konstatēja, ka ASV iestāžu novērošanas pilnvaru apjoms ir pārmērīgs saskaņā ar Eiropas tiesību aktiem un ka nav garantētas personu, kas nav ASV pilsoņi, tiesības vērsties neatkarīgās tiesās.

Kopš šī lēmuma publicēšanas datu pārziņiem, uz kuriem attiecas GDPR, pirms jebkādas datu pārsūtīšanas uz Amerikas Savienotajām Valstīm ir jāveic īpaši piesardzības pasākumi.

Līgumu klauzulu, kas garantē datu aizsardzību, izmantošana joprojām ir iespēja, ja tiek veiktas īpašas pārbaudes attiecībā uz klauzulu saturu, pārsūtīšanas kontekstu un trešajā valstī piemērojamo tiesisko regulējumu (jo īpaši attiecībā uz valsts drošību).

Ja situācija rada īpašus riskus, datu pārzinim ir jāveic papildu pasākumi.

Pagājušajā gadā Komisija pieņēma modernizētas "standarta līguma klauzulas", lai atvieglotu to izmantošanu, un publicēja praktiskus padomus uzņēmumiem.

Arī Eiropas Datu aizsardzības kolēģija savos 2021. gada 18. jūnija ieteikumos paskaidroja pārbaudes, kas jāveic datu pārsūtīšanas ietekmes analīzes ietvaros.

Tomēr šādas prasības var būt grūti īstenot, ja datu saņēmējs ieņem dominējošu stāvokli.

Vienkāršāks risinājums šādos gadījumos ir izmantot datu apstrādes risinājumus, kas atrodas Eiropas Savienībā.

Pēc vairāku mēnešu ilgām sarunām ar Amerikas Savienotajām Valstīm Eiropas Komisija 13. decembrī publicēja ilgi gaidīto atbilstības lēmuma projektu attiecībā uz datu aizsardzības līmeni pāri Atlantijas okeānam.

Starp tiesībām, no kurām ES pilsoņi gūs labumu saskaņā ar jauno tiesisko regulējumu, Eiropas Komisija min tiesiskās aizsardzības līdzekļu garantiju, tostarp brīvu piekļuvi neatkarīgiem strīdu izšķiršanas mehānismiem un arbitrāžas kolēģijai.

Tajā tālāk minēti vairāki ierobežojumi un drošības pasākumi attiecībā uz ASV valsts iestāžu piekļuvi datiem, jo īpaši tiesībaizsardzības un valsts drošības nolūkos.

Šīs garantijas izriet no jauniem noteikumiem, kas ieviesti ar ASV 2022. gada 7. oktobra dekrētu un kas atbildētu uz jautājumiem, ko ES Tiesa uzdeva spriedumā Schrems II lietā.

Pirms galīgā lēmuma pieņemšanas projekts ir jāpārskata Eiropas Datu aizsardzības kolēģijā (EDAK).

Šī pārskatīšana varētu novest pie lēmuma aptuveni divu mēnešu laikā.

Pēc tam lēmuma projekts būs jāapstiprina ES dalībvalstu pārstāvju komitejai.

Arī Eiropas Parlamentam ir tiesības pārskatīt lēmumus par atbilstību.

Vai nākamajā pavasarī gaidāmais galīgais lēmums sniegs cerētās garantijas datu aizsardzības jomā, kur iepriekšējās vienošanās nav bijušas veiksmīgas?

Eiropas Datu aizsardzības uzraudzītājs (EDAU) nesen optimistiski komentēja projektu: "Tas atšķiras no tā, ko mēs redzējām ar Safe Harbor. Tas nav tas, ko mēs redzējām ar Privacy Shield. Tas ir kaut kas jauns un ļoti daudzsološs."

Savukārt Makss Šrems jau ir paziņojis, ka ir gatavs veikt trešo tiesvedību, ja teksts efektīvi neaizsargās eiropiešu pamattiesības.

Un arī

Francija:

Saskaņā ar CNIL ierobežotās darbības komiteju, kas ir atbildīga par sankciju noteikšanu, jaunuzņēmums Lusha, kas tiek apsūdzēts 1,5 miljonu franču profesionālo tālruņu numuru un e-pasta adrešu piesavināšanā, neietilpst GDPR darbības jomā.

Debatēs galvenā uzmanība tika pievērsta Regulas 3. panta 2. punkta b) apakšpunkta interpretācijai, kas paredz Eiropas tiesību aktu piemērošanu uzņēmumiem, kas neatrodas ES, kad tie veic datu subjektu “uzvedības uzraudzību”: CNIL 2022. gada 20. decembra apspriedē, distancējoties no referenta secinājumiem, “neuzskata, ka personas datu vākšana vai analīze tiešsaistē, kas attiecas uz personām Savienībā, automātiski tiktu uzskatīta par “uzraudzību””, un uzskata, ka ir jāņem vērā datu apstrādes mērķis un jo īpaši jebkādas turpmākas uzvedības analīzes vai profilēšanas metodes, kas saistītas ar šiem datiem.

29. decembrī CNIL uzlika TikTok 5 000 000 eiro sodu. par reklāmas identifikatoru ievietošanu lietotāju ierīcēs bez viņu iepriekšējas piekrišanas.

TikTok sīkfailu reklāmkarogs arī tika atzīts par nepietiekami informatīvu.

Tajā pašā dienā tā arī noteica sankcijas uzņēmumam VOODOO., viedtālruņu spēļu izdevējs, tika sodīts ar 3 miljonu eiro naudas sodu par galvenokārt tehniska identifikatora izmantošanu reklāmai bez lietotāju piekrišanas.

Pretēji pašreizējai tendencei, Monpeljē pilsētas dome 16. decembrī pēc prezentācijas par sejas atpazīšanu videonovērošanas un sabiedrisko brīvību kontekstā nolēma aizliegt "automatizētas attēlu analīzes apstrādes izmantošanu, kuras pamatā ir personas vai individuāli dati" savā publiskajā telpā.

Likumprojekts par mākslīgā intelekta izmantošanu 2024. gada Olimpisko spēļu kontekstā tika apstiprināts Senātā 24. janvārī.

CNIL bija sniegusi novērojumus par šo tekstu, vienlaikus norādot, ka vairāki pasākumi atbilst tās ieteikumiem: eksperimentāla ieviešana, ierobežota laikā un telpā, paredzēta noteiktiem konkrētiem mērķiem un atbilstoša nopietnam riskam personām, biometrisko datu apstrādes un saskaņošanas ar citiem failiem neesamība, kā arī lēmumi, kuriem iepriekš nepieciešama cilvēka iejaukšanās.

CNIL arī uzsvēra noteikumu, kas paredz ģenētisko datu apstrādi antidopinga analīzēm, uzmācīgo raksturu.

Eiropa:

Pēc Īrijas Pilsoņu brīvību padomes (ICCL) sūdzības un ES Ombuda 2022. gada 19. decembra lēmuma Eiropas Komisija ir apņēmusies pārskatīt datu aizsardzības iestāžu rīcību saistībā ar GDPR pārkāpumiem, kas saistīti ar lielajiem tehnoloģiju uzņēmumiem.

Tā mērīs katra procedūras posma ilgumu un tā progresu, un šo pārskatīšanu veiks sešas reizes gadā.

Eiropas Datu aizsardzības kolēģija (EDPB) ir izveidojusi darba grupu, lai detalizēti izskatītu ar sīkdatnēm saistītus jautājumus..

17. janvāra ziņojuma projektā EDAK precizē konkrētās nelikumīgās prakses, tostarp:

• Atteikšanās iespējas trūkums sākumlapā
• Iepriekš atzīmētās izvēles rūtiņas
• Saites uz atteikšanās opciju ar mazajiem burtiem ir drukātas atsevišķā tekstā
• Saites uz atteikšanās iespēju ārpus sīkfailu banera
• Likumīgu interešu apgalvošana nebūtisku sīkfailu instalēšanā
• Pastāvīgas iespējas atsaukt piekrišanu neesamība.

EDAK precizē, ka šie secinājumi atspoguļo sīkfailu izvērtēšanas minimālo slieksni.

Tie būtu jāapvieno ar E-privātuma direktīvas prasībām un jālasa, ņemot vērā EDAK citu darbu par tumšajiem modeļiem.

Eiropas Parlamenta īpašā komiteja (PEGA) izmeklēs Pegasus izmantošanu. un cita spiegprogrammatūras uzraudzības programmatūra turpina darbu, veicot pētījumus, ekspertu uzklausīšanas un faktu vākšanas vizītes Izraēlā, Polijā un Grieķijā. Ieteikumu projekts tiks iesniegts parlamentam 10. jūnijā.

NVO EDRi 25. janvārī organizēja savu ikgadējo konferenci “Privātuma nometne”. kas apvieno digitālo tiesību aizstāvjus, aktīvistus, akadēmiķus un politikas veidotājus aktuālu cilvēktiesību jautājumu risināšanai.

Prezentācijas ir pieejamas tiešsaistē pasākuma tīmekļa vietnē.

Svarīgā 2023. gada 12. janvāra spriedumā (lieta C-154/21) Eiropas Savienības Tiesa apstiprināja, ka datu pārzinim ir pienākums paziņot ikvienai personai, kas to pieprasa, sarakstu ar precīzi adresāti viņu personas datus, kad tie ir kopīgoti ar trešajām personām, nevis tikai saņēmēju kategorijām.

EST citā 12. janvāra spriedumā (lieta C-132/21) precizē, ka GDPR paredzētos administratīvos un civilos tiesību aizsardzības līdzekļus var izmantot vienlaicīgi un neatkarīgi viens no otra.

Tādējādi par vienu un to pašu jautājumu var uzsākt paralēlas sūdzību procedūras datu aizsardzības iestādēs (DAI) un tiesvedību.

Dalībvalstu pienākums ir nodrošināt, lai šo tiesiskās aizsardzības līdzekļu vienlaicīga izmantošana neapdraudētu regulas konsekventu un vienotu piemērošanu.

Apvienotās Karalistes parlamentā pašlaik tiek apspriests tiešsaistes drošības likumprojekts.

Tekstā, kura mērķis ir aizsargāt bērnus, riskants saturs, jo īpaši paškaitējuma saturs, “dziļviltojums” un intīmu attēlu koplietošana bez piekrišanas, tiks definēti kā jauni kriminālpārkāpumi.

Kritiķi norāda uz teksta definīciju vai precizitātes trūkumu, kas ļautu pārmērīgi dzēst saturu un ieviest plašu uzraudzību.

Tīmekļa vietne "enforcementtracker" sniegts uzraudzības iestāžu, piemērojot GDPR, noteikto finansiālo sodu saraksts: 2022. gada beigās kopumā tika piemēroti vairāk nekā 830 miljoni eiro par 448 sodiem, salīdzinot ar 1,3 miljardiem eiro 2021. gadā.

Nav pārsteidzoši, ka Īrija, kurā atrodas lielākie tehnoloģiju uzņēmumi, ieņem pirmo vietu ar vairāk nekā 80 000 sodu.

Īrijas datu aizsardzības iestāde (DPA) ceturtdien, 19. janvārī, paziņoja par 5,5 miljonu eiro sodu pret WhatsApp, papildus līdzīgiem lēmumiem pret Facebook un Instagram.

Ir atzīts, ka WhatsApp izmantotais juridiskais pamats personas datu apstrādei (pakalpojumu uzlabošana un drošība) ir pretrunā ar Eiropas tiesību aktiem.

Šo lēmumu ir kritizējusi pilsoniskā sabiedrība, kas norāda, ka Īrijas iestāde nav risinājusi centrālo jautājumu par datu izmantošanu uzvedības reklāmai, mārketingam, metrisko datu sniegšanai trešajām personām un datu apmaiņai ar saistītajiem uzņēmumiem, neskatoties uz 24. janvārī publicēto EDAK lēmumu.

Norvēģijas ODA konstatēja, ka kurjeru un loģistikas uzņēmums ir pārkāpis GDPR 32. pantu nepietiekama riska novērtējuma un atbilstošu drošības pasākumu trūkuma dēļ.

Lietotne izmantoja tālruņa numurus kā vienīgo autentifikācijas līdzekli, lai piekļūtu klienta profilam.

Spānijas iestāde uzskatīja, ka Nacionālā komisija pret vardarbību, rasismu, ksenofobiju un neiecietību sportā nevar atsaukties uz VDAR 9. panta 2. punkta g) apakšpunktā noteikto sabiedrības interešu izņēmumu, lai apstrādātu stadionos ienākošo futbola fanu biometriskos datus.

Itālijas oficiālā attīstības palīdzība (OAP) piesprieda sporta klubam 20 000 eiro lielu naudas sodu par pirkstu nospiedumu sistēmas nelikumīgu izmantošanu, lai reģistrētu darbinieku klātbūtni darbā.

Tā arī piesprieda enerģijas piegādātājam Areti 1 miljona eiro sodu par dažu savu klientu kļūdainu nosaukšanu par krāpniekiem, tādējādi neļaujot tiem mainīt enerģijas piegādātājus.

Igaunijas oficiālā attīstības palīdzība (OAP) uzskatīja, ka videonovērošanas kameru izmantošana darbinieku uzraudzībai nevar tikt balstīta uz piekrišanu, bet tikai uz leģitīmām interesēm VDAR 6. panta 1. punkta f) apakšpunkta izpratnē, ar nosacījumu, ka ir veikta derīga šo interešu izvērtēšana.

Starptautiskā

“Privātums pēc konstrukcijas” kļūst par starptautisku standartu8. februārī Starptautiskā standartizācijas organizācija (ISO) pieņems standartu ISO 31700.

Tas ietver 30 prasības un norādījumus par privātuma aizsardzības principiem pēc noklusējuma.

ASV: Papildus tehnisko standartu (NIST riska pārvaldības ietvara) izstrādei mākslīgā intelekta politikas jomā, Baltais nams ir publicējis mākslīgā intelekta tiesību bilža projektu.

Vairāki ASV štati arī strādā pie likumdošanas šajā jomā.

Prezidents Baidens nesen atkārtoja šos ieteikumus slejā laikrakstam Wall Street Journal, uzsverot savas administrācijas centienus apkarot algoritmisko diskrimināciju, veicināt algoritmisko pārredzamību un īstenot tiesību aktus mākslīgā intelekta pārvaldībai.

Arī mākslīgā intelekta jomā 27. janvārī Eiropas Komisija un ASV administrācija parakstīja "administratīvu vienošanos par mākslīgo intelektu sabiedrības labā".

Nolīgums tika parakstīts ES un ASV Tirdzniecības un tehnoloģiju padomes (TTC) ietvaros.

Microsoft decembra vidū savā emuārā paziņoja, ka pārvieto savu Eiropas klientu datu glabāšanu Eiropas Savienības ietvaros.

Tomēr šī programma neatrisina visas problēmas, kas saistītas ar Amerikas Savienoto Valstu piekļuvi Eiropas datiem.

Mākoņdatošanas likums ļauj ASV krimināltiesību iestādēm piekļūt datiem no ASV mākoņpakalpojumu sniedzējiem neatkarīgi no tā, kur dati tiek glabāti, un bez nepieciešamības uzsākt tiesvedību, izmantojot starptautisko savstarpējo tiesisko palīdzību.

Austrālija vairākus mēnešus ir cietusi no kiberuzbrukumiem, kas vērsti pret tās valdības aģentūrām un privāto sektoru.

Valsts tur aizdomās par Krievijas un Ķīnas izcelsmes uzbrukumiem, kuru mērķis ir paralizēt valsts iestādes un uzņēmumus un tieši ietekmēt iedzīvotāju dzīvi, masveidā izplatot personas datus.

Dažiem tas ir priekšnojauta par to, kas sagaida Rietumvalstis, jo, piemēram, vairākās Vācijas dzelzceļa sistēmās nesen ir novēroti dīvaini darbības traucējumi.

Pēc tam, kad tas tika paziņots pagājušā gada martā, Krievijas valdība oficiāli izstājas no Eiropas Padomes Konvencijas Nr. 108 par datu aizsardzību kā arī visus citus Eiropas Padomes starptautiskos līgumus.

Pēc šī paziņojuma Padome savukārt ieviesa oficiālu mehānismu un vienpusēji izbeidza Krievijas dalību.

Anna Kristīna Lakoste

Olivier Weber Avocat partnere Anna Kristīne Lakosta ir juriste, kas specializējas datu tiesībās; viņa bija Eiropas Datu aizsardzības uzraudzītāja starptautisko attiecību vadītāja un strādāja pie GDPR ieviešanas Eiropas Savienībā.