Juridiskā uzraudzība Nr. 84 — 2025. gada jūnijs. 

Papildinātās kameras: CNIL nosaka jaunas vadlīnijas.

11. jūlijā CNIL atzina, ka "paplašināto" kameru izmantošana tabakas veikalu klientu vecuma novērtēšanai, lai kontrolētu aizliegto produktu pārdošanu nepilngadīgajiem, nav ne nepieciešama, ne samērīga.

Šīs kameras tiek pasniegtas kā lēmumu pieņemšanas rīks. Tās balstās uz mākslīgā intelekta algoritmu, kas tiek aktivizēts pēc noklusējuma un skenē visu to redzeslaukā esošo cilvēku seju, lai noteiktu, vai viņi ir nepilngadīgi vai pieaugušie.

CNIL (Francijas Datu aizsardzības iestāde) norāda, ka, tā kā "paplašinātā" kamera veic tikai novērtējumu, tabakas izstrādājumu ražotājiem sistemātiski jāpieprasa no saviem klientiem vecuma apliecinājums, lai izpildītu savus pienākumus. "Līdz ar to iepriekšēja sejas analīze ar kameru vecuma noteikšanai nešķiet nepieciešama: tā tikai papildinātu likumā noteiktās pārbaudes."

CNIL norāda uz nesamērīgu izmantošanu attiecībā pret sasniedzamo mērķi, kas noved pie visu cilvēku, pat to, kuri nepārprotami ir pieaugušie, filmēšanas un liedz cilvēkiem īstenot savas tiesības iebilst.

Viņa arī uzskata, ka kameru izvietošana dzīvojamās telpās, piemēram, tabakas veikalos, palielina trivializācijas un pieraduma risku pie novērošanas veida, ko pastiprina šādu rīku pavairošana.

Šī nav pirmā reize, kad regulējošā iestāde ir ieņēmusi nostāju šajā jautājumā. Maija beigās tā izpelnījās Nicas mēra sašutumu, aizliedzot paplašinātās realitātes kameru izvietošanu pilsētas skolu priekšā, uzsverot personas datu vākšanu un atkārtoti uzsverot nepieciešamību līdz minimumam samazināt cilvēku novērošanu sabiedriskās vietās.

Tomēr dažos gadījumos CNIL uzskata par piemērotu paplašinātu kameru izmantošanu: tā ir uzskatījusi, ka šo kameru izvietošana lielveikalu automātiskajās kasēs varētu būt leģitīma interese par mērķi ierobežot ieņēmumu zaudējumus, ko rada kļūdas vai zādzības kasēs, bet ar noteiktiem nosacījumiem: sistēma ir nepieciešama izvirzītā mērķa sasniegšanai un nesamērīgi neierobežo personu tiesības, un to nevar sasniegt mazāk ierobežojošā veidā.

Jāievieš datu minimizēšanas pasākumi, piemēram, ierobežojot uztveršanas zonu līdz pašapkalpošanās kasēm un ierobežojot uztveršanas ilgumu, izšķirtspēju un biežumu. Turklāt lietotāji ir jāinformē par sistēmu un jānodrošina alternatīva bez kameras.

CNIL plāno regulēt šo sistēmu izmantošanu, nodrošinot to nepieciešamību un samērīgumu katrā gadījumā atsevišķi. Tā arī iesaka piemērot integrētas privātuma aizsardzības principu.

Ir vērts atcerēties, ka algoritmiskās videonovērošanas regulējums ir mainīga tēma, uz kuru attiecas sarežģīts regulējums.

Šī sistēma atšķiras no biometrisko kameru sistēmas, kas sistemātiski apstrādā datus, kas attiecas uz cilvēku fiziskajām īpašībām, lai tos unikāli identificētu vai autentificētu.

Šīs apstrādes darbības, kas ietver sensitīvus datus, ir aizliegtas, izņemot ārkārtas gadījumus.

Attiecībā uz "paplašinātajām" kamerām pašlaik nav konkrēta teksta, izņemot eksperimentālo sistēmu, kas paredzēta 2023. gada 19. maija likumā par Olimpiskajām un Paralimpiskajām spēlēm.

CNIL atgādina, ka "mehānismus, kas varētu ietekmēt pilsoņiem sniegtās pamatgarantijas sabiedrisko brīvību īstenošanai, var izmantot tikai tad, ja likums tos atļauj un īpaši regulē".

Citām sistēmām ir jāievieš stingri drošības pasākumi.

Olimpisko spēļu likuma izmēģinājuma periods nesen tika pagarināts līdz 2027. gadam, neskatoties uz vērtējumu, kas tika pasniegts kā pretrunīgs.

Šis likums atļauj eksperimentāli izmantot paplašinātās kameras, lai nodrošinātu noteiktu lielu sporta, atpūtas un kultūras pasākumu drošību, ievērojot ļoti specifiskus nosacījumus: atklāšana var tikt veikta tikai likumā noteiktos pasākumos, un sejas atpazīšana nedrīkst tikt veikta.

No politiskāka viedokļa CNIL aicina valsts iestādes novilkt robežu starp to, kas demokrātiskā sabiedrībā būtu vai nebūtu pieļaujams: ne viss, kas ir tehniski iespējams, ir obligāti vēlams no ētikas un sociālā viedokļa.

 

 

Pieaugot izpratnei par cīņu pret diskrimināciju, CNIL publicē ieteikumu par daudzveidības mērīšanu darba vietā.

Viņa uzsver, ka šāds pasākums ir delikāts process, kas nozīmē, ka darba devējiem stingri jāievēro Konstitucionālās padomes 2007. gada 15. novembra lēmums, kas regulāri un nepareizi tiek interpretēts kā absolūts aizliegums attiecībā uz statistiku, kas saistīta ar izcelsmi.

Komisija jo īpaši uzsver, ka izmeklēšanai jāpaliek neobligātai un darbinieki vai pārstāvji ir pienācīgi jāinformē, kā arī jāievēro viņu tiesības.

Tāpat ieteicams prioritizēt anonīmās aptaujas un ierobežot datus, kas tiek apkopoti, izmantojot slēgtus jautājumus.

CNIL publicēja arī divus bieži uzdotos jautājumus par mākslīgā intelekta izmantošanu skolās un mangu, kuras mērķis ir palielināt jauniešu izpratni par viņu personas datu aizsardzību.

Tā ir arī publicējusi ieteikumus par interneta auditorijas mērīšanas rīkiem un pašnovērtējuma rīku, lai novērtētu to atbilstību tiesiskajam regulējumam.

Tā ir publicējusi ieteikumus par mākslīgā intelekta sistēmu izstrādi, kuros norādīti nosacījumi likumīgu interešu izmantošanai, jo īpaši datu vākšanas (tīmekļa datu apkopošanas) gadījumā, un 12. jūnijā uzsāka sabiedrisko apspriešanu par savu ieteikuma projektu attiecībā uz izsekošanas pikseļu izmantošanu e-pastos.

Mērķis ir palīdzēt dalībniekiem, kuri izmanto šos izsekotājus, labāk izprast savus pienākumus, jo īpaši attiecībā uz lietotāja piekrišanas iegūšanu.

Saskaņā ar kiberdrošības mediju vietnes Cybernews 30. jūnija publikāciju, tiešsaistē pašlaik ir pieejami 16 miljardi nozagtu lietotājvārdu un paroļu.

Apdraudētā informācija ietver identifikatorus, piemēram, lietotājvārdus un e-pasta adreses, kā arī paroles.

Katalogos ir arī piekļuves žetoni, pieteikšanās sīkfaili un metadati.

 Tā nebūtu jauna datu noplūde, bet gan dažādu iepriekšējo datu noplūžu apkopojums, kas varētu palielināt datu zādzības riskus, atvieglojot ļaunprātīgu personu darbu.

Google draud rekordliels sods 525 miljonu eiro apmērā par sīkfailu un reklāmu apstrādi Gmail iesūtnēs.

Savā lēmuma projektā CNIL apsūdz Google par Eiropas direktīvas "Privātums un elektroniskā komunikācija" īstenošanas principu pārkāpšanu, neiegūstot lietotāja piekrišanu sīkfailu lejupielādei, izveidojot Gmail kontu, un tādu reklāmu rādīšanai Gmail iesūtnē, kas izskatās pēc e-pastiem.

Ja CNIL ierobežotā komiteja apstiprinās sodu, tas būs lielākais sods CNIL vēsturē un lielākais sods, kas jebkad uzlikts par ePrivātuma direktīvas pārkāpumu. Galīgais lēmums tiks paziņots pēc dažām nedēļām.

Neatbilstība GDPR ir pamats līguma izbeigšanai, jo īpaši digitālās komunikācijas izstrādes pakalpojumu jomā: pēc iepriekšējiem lēmumiem Bordo Apelācijas tiesa savā 2025. gada 11. jūnija spriedumā apstiprināja reCAPTCHA aizsardzības ierīces klātbūtni, kas saistīta ar vairākām sīkdatnēm, kas izvietotas bez gala lietotāja piekrišanas.

Ņemot vērā pakalpojuma sniedzēja pastāvīgos līguma pārkāpumus, klientam ir tiesības pieprasīt līguma izbeigšanu saskaņā ar Civilkodeksa 1610., 1217. un 1224. pantu.

 

Eiropas iestādes un struktūras

Eiropas mākslīgā intelekta regulas ieviešanas grafiks tika publicēts jūnija vidū.

Pēc baumām par iespējamu labvēlības periodu Komisija precizēja, ka teksts tiks piemērots saskaņā ar noteiktajiem termiņiem.

Regula attiecas uz mākslīgā intelekta sistēmām, pamatojoties uz to radītajiem riskiem, un regulē vispārējas nozīmes mākslīgā intelekta modeļus (GPAI), pamatojoties uz to iespējām.

Noteikumi par GPAI stāsies spēkā 2026. gada 2. augustā; esošajām sistēmām piemērošana sāksies 2027. gada 2. augustā.

Turklāt 10. jūlijā tika publicēts Labas prakses kodekss vispārējas nozīmes mākslīgajam intelektam.

Tas sastāv no 3 nodaļām.

Nodaļas par pārredzamību un autortiesībām sniedz visiem vispārējas nozīmes mākslīgā intelekta modeļu nodrošinātājiem līdzekli, lai pierādītu, ka tie ievēro savas saistības saskaņā ar Mākslīgā intelekta likuma 53. pantu.

Nodaļa par drošību un aizsardzību attiecas tikai uz nelielu skaitu ļoti progresīvu modeļu piegādātāju, ievērojot saistības, kas noteiktas vispārējas nozīmes mākslīgā intelekta modeļu piegādātājiem, kuri rada sistēmisku risku saskaņā ar Mākslīgā intelekta likuma 55. pantu.

Saskaņā ar iekšējo dokumentu, ar kuru nonācis MLex, Eiropas Komisijas priekšlikums par "digitālo omnibusu" pašlaik tiek gaidīts līdz 10. decembrim.

Tā būs daļa no pasākumu kopuma, kas ietver Digitālo tīklu regulu, pārskatīto kiberdrošības regulu un Eiropas elektronisko maku.

Noteikumi par mākoņpakalpojumu un mākslīgā intelekta izstrādi provizoriski ir paredzēti nākamajai nedēļai.

Jūnija beigās Eiropas iestādes pieņēma kopēju nostāju par papildu procedūras noteikumiem saistībā ar GDPR īstenošanu. Tagad teksts ir oficiāli jāapstiprina ar Eiropas Parlamenta balsojumu.

Divu dienu sanāksmē Helsinkos 1. un 2. jūlijā Eiropas Datu aizsardzības kolēģija (EDKP) paziņoja, ka tā palīdzēs organizācijām labāk izprast savas GDPR saistības, publicējot vienkāršotas vadlīnijas. Savā paziņojumā kolēģijas priekšsēdētāja norādīja, ka "ar kodolīgām un savlaicīgām vadlīnijām un gataviem lietošanas rīkiem, piemēram, kopēju datu pārkāpuma paziņojuma veidni, kontrolsarakstiem, praktiskām rokasgrāmatām un bieži uzdotajiem jautājumiem, mēs turpināsim padarīt GDPR atbilstību sasniedzamu un pieejamu ikvienam".

Transatlantiskās datu plūsmas pagaidām joprojām ir spēkā saskaņā ar "Datu aizsardzības regulējumu", neskatoties uz Trampa administrācijas veiktajiem pasākumiem, kas vājina datu aizsardzības regulējumu Amerikas Savienotajās Valstīs.

Eiropas Komisija jūnija vidū, atbildot uz parlamenta jautājumu, apstiprināja, ka PCLOB (Privātuma un pilsonisko brīvību uzraudzības komitejas) locekļu atlaišana neietekmē datu aizsardzības regulējuma spēkā esamību starp ES un Amerikas Savienotajām Valstīm, jo PCLOB joprojām spēj darboties.

 

Ziņas no Eiropas Savienības dalībvalstīm.

Berlīnes federālās zemes datu aizsardzības iestāde (DPA) 27. jūnija lēmumā secināja, ka DeepSeek datu pārsūtīšana uz Ķīnu ir nelikumīga, un lūdza Google un Apple bloķēt lietojumprogrammu.

Ziņots, ka DeepSeek nespēja sniegt DPA pārliecinošus pierādījumus tam, ka vācu lietotāju dati Ķīnā tiek aizsargāti tādā pašā līmenī kā Eiropas Savienībā.

"Ķīnas varas iestādēm ir plašas piekļuves tiesības Ķīnas uzņēmumu glabātajiem personas datiem. Turklāt DeepSeek lietotājiem Ķīnā nav īstenojamu tiesību un efektīvu tiesiskās aizsardzības līdzekļu, kādi tiek garantēti Eiropas Savienībā."

Beļģijas APD 26. jūnijā noraidīja 16 NVO Noyb iesniegtās sūdzības 5 dažādās lietās, pamatojoties uz to, ka nebija reāla (nevis fiktīva) pilnvarojuma no attiecīgajām personām.

Savā preses relīzē APD uzsver atšķirību starp GDPR 80. panta 1. punktu un 2. punktu, kā arī to, ka Beļģijas likumdevējs izvēlējās neļaut patērētāju tiesību organizācijām iesniegt sūdzības bez pilnvarojuma.

Viņa noslēgumā norādīja, ka, "ņemot vērā šo organizāciju nozīmi, (viņa) atbalsta likumdošanas grozījumu, kas atļautu šo iespēju arī Beļģijā".

DānijāAutortiesību likuma grozījums piešķirs pilsoņiem tiesības uz savu balsi, seju un ķermeni, pat ja tos digitāli reproducē ģeneratīvais mākslīgais intelekts.

Dānijas kultūras ministrs šajā sakarā paziņoja, ka "cilvēki riskē tikt pārvērsti par digitālajiem fotokopētājiem un izmantoti visādiem ļaunprātīgiem mērķiem, un es neesmu gatavs to pieņemt".

SpānijāAPD ir piespriedusi Carrefour 3 200 000 eiro sodu pēc virknes datu noplūžu.

Viņa konstatēja, ka Carrefour nebija ieviesis atbilstošus drošības pasākumus un nebija ziņojis par pārkāpumu attiecīgajām personām.

APD arī uzlika apakšuzņēmējam 12 000 eiro naudas sodu par līguma slēgšanu ar sekundāro apakšuzņēmēju bez pārziņa atļaujas, pārkāpjot GDPR 28. panta 2. punktu.

Microsoft saskaras ar pirmo kolektīvo prasību Īrijā Īrijas Pilsoņu brīvību padome (ICCL) maija beigās ierosināja tiesvedību Dublinas Augstākajā tiesā. Šī tiesvedība, kas celta saskaņā ar jauno Eiropas direktīvu par kolektīvo tiesisko aizsardzību, apgalvo, ka Microsoft izmantotā reāllaika solīšanas (RTB) sistēma mērķtiecīgas tiešsaistes reklāmas rādīšanai nav saderīga ar GDPR.

Ar piekļuves pieprasījumiem saistītos dokumentus nevar glabāt bezgalīgi: pēc lietotāja uzsāktas izmeklēšanas, Lietuvas oficiālā attīstības palīdzība (OAP) lika medicīnas pakalpojumu sniedzējam noteikt piekļuves pieprasījumu apstrādes dokumentu glabāšanas termiņus.

Uzmanieties no izsekošanas pikseļiem: Norvēģijas ODA uzlika Kristiansandas pašvaldībai 250 000 NOK (21 600 eiro) naudas sodu par bērnu personas datu nelikumīgu apstrādi, izmantojot Snap un Meta pikseļus tās bērnu vardarbības apkarošanas palīdzības tālruņa tīmekļa vietnē.

APD arī uzskatīja, ka informācija par apmeklējumiem tīmekļa vietnes lapās, kurās ir saturs par konkrētiem medicīniskiem jautājumiem, ir sensitīvi dati, un izteica aizrādījumu uzņēmumam par šīs sensitīvās informācijas nelikumīgu apstrādi, izmantojot Meta pikseļu.

 

Apvienotajā Karalistē Datu izmantošanas un piekļuves likums (DUAA) saņēma karalisko piekrišanu 19. jūnijā. Šajā likumā ir iekļauti noteikumi, kuru mērķis ir veicināt digitālo verifikācijas pakalpojumu, jaunu vieddatu programmu, piemēram, Open Banking, un jauna pazemes aktīvu valsts reģistra attīstību.

Tas ietver arī būtiskas izmaiņas Apvienotās Karalistes datu aizsardzības tiesību aktos.

DUAA neaizstās Apvienotās Karalistes GDPR, taču tas veiks dažas izmaiņas, "lai vienkāršotu noteikumus organizācijām, veicinātu inovācijas, palīdzētu tiesībaizsardzības iestādēm cīnīties pret noziedzību un nodrošinātu atbildīgu datu apmaiņu, vienlaikus saglabājot augstus datu aizsardzības standartus".

Amerikas Savienotajās Valstīs nesen pieņemtais Augstākās tiesas lēmums lietā Free Speech Coalition pret Pakstonu ir izraisījis satricinājumu digitālajā vidē.IAPP rakstā paustas bažas par vecuma pārbaudes, vārda brīvības un privātuma aizsardzības jēdzienu apšaubīšanu.

27. jūnija lēmums atstāj spēkā Teksasas likumu, kas pieprasa tīmekļa vietnēm, kas piedāvā pieaugušajiem paredzētu saturu, pārbaudīt apmeklētāju vecumu, izmantojot potenciāli uzmācīgas metodes, piemēram, biometriju. Lai gan šī lēmuma mērķis ir aizsargāt nepilngadīgos no nepiedienīga satura, tas rada arī jautājumus par riskiem, kas saistīti ar sensitīvas personas informācijas vākšanu.

Arī Amerikas Savienotajās Valstīs Kongress jūlija sākumā nobalsoja par "One Big Beautiful Bill Act" pieņemšanu.kodificējot prezidenta Trampa nacionālo programmu, izņemot vienu būtisku izņēmumu: mākslīgā intelekta regulējuma moratoriju, kas sākotnēji bija iekļauts likumprojektā. Šis moratorijs būtu apturējis vairāk nekā 1000 mākslīgā intelekta regulējuma likumprojektu, kas kopš janvāra bija virzījušies likumdošanas procesos štatu galvaspilsētās.

WhatsApp īpašnieks Meta 16. jūnijā paziņoja par jaunu funkciju ieviešanu WhatsApp cilnē “Atjauninājumi”, tostarp mērķtiecīgu reklāmu un abonēšanas modeli.Uzņēmums paziņoja, ka šīs funkcijas tiks pakāpeniski ieviestas lietotājiem "nākamo mēnešu laikā". Šim nolūkam Meta izmantos "reklāmas preferences un informāciju" no lietotāju Facebook un Instagram kontiem, kas ir saistīti ar WhatsApp.

Īrijas Datu aizsardzības komisija (DPC) paziņoja, ka WhatsApp to ir informējis, ka tā reklāmas modelis ES netiks ieviests līdz 2026. gadam un ka tas tiks apspriests ar citām datu aizsardzības iestādēm, lai tās kā Eiropas regulatori varētu paust bažas.

Saskaņā ar laikraksta L'Express 26. maija informāciju Krievija plāno, sākot ar 2025. gada 1. septembri, ieviest eksperimentālu projektu, kas paredz, ka ārzemniekiem, kuri īslaicīgi uzturas Maskavā un tās reģionā, jāizmanto mobilā ģeolokācijas lietojumprogramma un jāveic biometriskās pārbaudes.Lietotājiem būs jāreģistrējas lietotnē, "jāpiekrīt savu personas datu, tostarp ģeogrāfiskās atrašanās vietas, vākšanai, jānorāda Iekšlietu ministrijai sava dzīvesvieta un jāatjaunina tā trīs dienu laikā, ja viņi pārceļas".