Jauns gads gaidīšanas zīmē

Juridiskā uzraudzība Nr. 42 — 202. gada decembris1

Jauns gads gaidīšanas zīmē

Datu aizsardzības ziņā šis gads neievieš nekādas būtiskas jaunas norises, bet gan evolūciju un, iespējams, stratēģiskus lēmumus attiecībā uz dažiem aktuāliem jautājumiem.

Pievērsīsimies trim no tiem: GDPR ieviešana uzraudzības iestādēs, veselības jautājumi un digitālo gigantu regulēšana.

Viena no atkārtotajām tēmām kopš GDPR stāšanās spēkā ir par to, cik nopietni valsts datu aizsardzības iestādes izturas pret tās īstenošanu. un lielā atšķirība starp pieņemto sankciju skaitu un smagumu atkarībā no tā, vai atbildīgā persona atrodas, piemēram, Īrijā vai Spānijā.

Šķiet, ka pēdējā valsts ir viena no tām, kas noteikusi vislielāko sankciju skaitu, savukārt Luksemburga un CNIL var pieprasīt vislielākos sodus pret GAFAM (atcerieties 746 miljonu eiro sodu, ko Luksemburga uzlika uzņēmumam Amazon).

Spektra otrā galā ir Īrijas datu aizsardzības iestāde, kuru daži tās kolēģi, kā arī Eiropas Komisijas viceprezidents atklāti kritizē par tās paviršību pret lielākajiem tīmekļa dalībniekiem.

Lai stiprinātu kontroles procedūru kohēziju un efektivitāti Eiropā, daži runā par Eiropas Datu aizsardzības kolēģijas (EDAK) pilnvaru stiprināšanu.

Šis jautājums tiks risināts Eiropas Datu aizsardzības uzraudzītāja rīkotajā konferencē, kas notiks 16. un 17. jūnijā Briselē.

Pēc veselības krīzes veselības datu apstrāde ir vēl viens būtisks bažu temats..

Ir noraizējušies

• Jautājumi, kas saistīti ar medicīnisko pētījumu apstākļiem,
• Ģenētisko datu apstrāde un riski, kas saistīti ar to, ka atsevišķas laboratorijas tālāk pārdod datus, kas savākti skrīninga testu ietvaros, kā to apliecina nesenā Lielbritānijas uzņēmuma Signpost Diagnostics lieta,
• Personu izsekošana, izmantojot lietotnes un citas veselības kartes, 

• Visbeidzot, ar datu drošību saistītie riski: mēs jo īpaši domājam par datu noplūdi saistībā ar uzņēmuma FranceTest Covid testa rezultātiem, kuram CNIL pagājušā gada oktobrī oficiāli lika nodrošināt datu drošību, vai datu noplūdi saistībā ar Assistance Publique-Hôpitaux de Paris.

Lai gan CNIL regulāri publicē savu nostāju šajā jautājumā, mēs atzīmējam, ka savā 30. novembra apspriedē parlamentam tā norādīja, ka gaida, kad valdība sniegs elementus, kas paredzēti, lai pamatotu ieviesto dokumentu un kontroles līdzekļu efektivitāti.

Trešais aktuālais jautājums attiecas uz Eiropas Savienības regulatīvajām iniciatīvām attiecībā uz digitālajiem pakalpojumiem un mākslīgo intelektu.

Papildus sīkfailu pārvaldībai, kas joprojām ir valstu iestāžu uzmanības centrā, Eiropas likumdevēju satrauc tīmekļa gigantu pieaugošā ietekme – šie dominējošā stāvoklī esošie starpnieki sniedz ziņojumapmaiņas un sociālo tīklu pakalpojumus.

Tāpat tiek apspriesta biometrijas un mākslīgā intelekta izmantošana arvien uzmācīgākiem profilēšanas mērķiem, kā arī interneta lietotāju manipulēšana bez viņu ziņas (tumši raksti), piedāvājot mērķtiecīgu saturu.

Eiropas līmenī pašlaik tiek pieņemti vairāki teksti, tostarp divi Eiropas Komisijas priekšlikumi par digitālajiem tirgiem un digitālajiem pakalpojumiem, kā arī priekšlikums par mākslīgo intelektu. 

Eiropas Parlaments savu nostāju attiecībā uz priekšlikumu par digitālajiem tirgiem pieņēma 5. decembrī.

Starp tekstā veiktajām izmaiņām ir pievienota prasība par sadarbspēju starp galveno tūlītējās ziņojumapmaiņas un sociālo tīklu platformu pakalpojumiem, kuras mērķis ir ļaut lietotājiem viegli mainīt pakalpojumu sniedzējus un cīnīties pret dominējošu stāvokli.

Francijas Eiropas Savienības Padomes prezidentūras sākumā Eiropas Datu aizsardzības uzraudzītājs tikko izteica Francijas valdībai veiksmes vēlējumus, vienlaikus uzsverot šo trīs galveno ar digitālajām tehnoloģijām un mākslīgo intelektu saistīto jautājumu nozīmi un norādot, ka viņš rūpīgi sekos līdzi attīstībai šajās jomās.

Lai gan dažas prioritātes jau šķiet labi noteiktas, cerēsim, ka šis jaunais gads mums visiem beidzot nesīs patīkamus pārsteigumus, kā arī lielas svaiga gaisa malkas.

Un arī

Francija:

CNIL uzņēmumam piemēroja sankcijas 6. janvārī. Google 150 miljonu eiro apmērā, un uzņēmums Facebook līdz 60 miljoniem eiro par sīkdatņu tiesību aktu neievērošanu.

28. decembrī CNIL uzņēmumam piesprieda 300 000 eiro lielu naudas sodu. BEZMAKSAS MOBILAIS, jo īpaši par to, ka nav ievērojusi personu tiesības un lietotāju datu drošību.

Tajā pašā dienā tā arī noteica uzņēmumam sankcijas. SLIMPAY, kas saviem klientiem piedāvā maksājumu risinājumus, tika sodīts ar 180 000 eiro lielu naudas sodu par lietotāju personas datu nepietiekamu aizsardzību un neinformēšanu par datu noplūdi.

CNIL prezidents oficiāli paziņoja uzņēmumam 26. novembrī CLEARVIEW mākslīgais intelekts pārtraukt tiešsaistē pieejamo fotoattēlu un videoierakstu apkopošanu un dzēst datus 2 mēnešu laikā.

Uzņēmums ir izstrādājis sejas atpazīšanas programmatūru, kuras datubāze ir balstīta uz internetā publiski pieejamu fotoattēlu un video iegūšanu.

A CNIL izstrādātāja rokasgrāmatas jaunā versija tikko ir publicēts. Šajā rokasgrāmatā ir sniegts jauns saturs, kas izstrādāts, lai atbalstītu tīmekļa un lietojumprogrammu izstrādes speciālistus, nodrošinot viņu darba atbilstību prasībām.

Tur SNCF Decembrī tā pārvietoja savus 7000 serverus un 250 lietojumprogrammas uz Amazon mākoni, konkrētāk, uz trim datu centriem Parīzes reģionā.

Uzņēmuma mērķis ir arī paplašināt mākslīgā intelekta izmantošanu.

Eiropa

THE Eiropas Datu aizsardzības kolēģija 14. decembrī publicēja vadlīnijas, lai palīdzētu datu pārziņiem pārvaldīt drošības pārkāpumus.

Tekstā ir iekļauts liels skaits piemēru un izstrādāti pasākumi, kas jāveic atkarībā no pārkāpuma veida.

Eiropas Savienības Pamattiesību aģentūra (FRA) sadarbībā ar datu aizsardzības iestādēm publicē rokasgrāmatu, kuras mērķis ir labāk informēt patvēruma meklētājus un migrantus par viņu pirkstu nospiedumu izmantošanu.

Apturot personas uz Eiropas Savienības ārējās robežas, ir jānodod pirkstu nospiedumi, kas tiek glabāti Eurodac failā.

Vīsbādenes Administratīvā tiesa 1. decembrī kāds Vācijas uzņēmums lika Reinas-Mainas Lietišķo zinātņu universitātei pārtraukt visu piekrišanas pārvaldnieka “Cookiebot” izmantošanu. Iemesls tam bija nelikumīga vietnes apmeklētāju datu pārsūtīšana uz Amerikas Savienotajām Valstīm.

Somijas Datu aizsardzības iestāde 7. decembrī psihoterapijas uzņēmumam piesprieda vairāk nekā 600 000 eiro lielu naudas sodu par to, ka tas pienācīgi nenodrošināja pacientu datu drošību un neinformēja viņus par diviem drošības pārkāpumiem, kas noveda pie šantāžas pret attiecīgajiem pacientiem un pašu uzņēmumu.

Norvēģijas Datu aizsardzības iestāde uzlika naudas sodu 6 300 000 eiro apmērā. Grindr kopīgot savu lietotāju datus ar trešajām personām profilēšanas un reklāmas nolūkos bez viņu piekrišanas.

Nīderlandes Nodokļu administrācija tika sodīts ar 2 750 000 eiro naudas sodu par datu apstrādi bez juridiska pamata un pretrunā ar taisnīguma principu (VDAR 5. panta 1. punkta a) apakšpunkts un 6. panta 1. punkta e) apakšpunkts).

Beļģijas Aizsardzības ministrija 20. decembrī kļuva par nopietna kiberuzbrukuma upuri, ko izraisīja ļaunprogrammatūra Log4Shell, kas vairākas dienas ietekmēja administrācijas darbību. 

Beļģijas Datu aizsardzības iestāde sodīja uzņēmumu ar 10 000 eiro par datubāzes iegādi tiešā mārketinga nolūkos, nepārbaudot, vai dati ir apkopoti likumīgi.

Uzņēmums arī neinformēja attiecīgās personas par šo netiešo vākšanu, kā arī neatbildēja uz personas pieprasījumu par piekļuvi datiem.

Starptautiskās:

Amazon ir iesniegusi vairākus patentu pieteikumus biometriskajām tehnoloģijām, kas paredzētas, lai videotelefonu kameras varētu atklāt aizdomīgas personas, pamatojoties uz dažādiem kritērijiem: smaržu, ādas tekstūru, pirkstu nospiedumiem, acīm, balsi un gaitu.

Tur Dienvidkoreja kopš 17. decembra tiek uzskatīts par atbilstošu aizsardzības līmeni. Eiropas Komisijas lēmums tiek pieņemts dažus mēnešus pēc brīvās tirdzniecības nolīguma noslēgšanas starp Eiropas Savienību un Koreju, kas stājās spēkā 2021. gada jūlijā.

Sākot ar 15. februāri, Ķīnas valdība pakļaus Ķīnas uzņēmumus, kas veic starptautisku uzņēmējdarbību, virknei kiberdrošības kontroles pasākumu.

Pārbaužu mērķis ir ierobežot stratēģiski svarīgu datu pārsūtīšanu ārpus valsts.