Juridiskā uzraudzība Nr. 88 — 2025. gada oktobris. 

 

Videonovērošana — CNIL sankciju galvenais mērķis.

CNIL ir paveicis būtība oktobrī par vienkāršoto sankciju procedūru.

Kopš pagājušā gada maija noteiktās 16 sankcijas ir papildinātas ar naudas sodiem 108 000 eiro apmērā papildus 104 000 eiro, kas noteikti 10 lēmumos. izteikts kopš janvāra.

Papildus videonovērošanai sankcijas attiecas arī uz komerciālas izpētes praksi, kas tiek veikta bez attiecīgo personu piekrišanas, un nesadarbošanos, pieprasot GDPR paredzēto tiesību (piekļuves, labošanas vai iebildumu tiesības) īstenošanu.

Videonovērošana joprojām ir galvenā sankciju tēma, īpaši, ja tā notiek darba vietā.

CNIL sistemātiski norāda uz datu pārziņu nespēju ievērot datu minimizēšanas principu.

Farmācijas uzņēmumam un slimnīcai ir piemērotas sankcijas par arodbiedrības telpu un to tiešas piekļuves filmēšanu, pārkāpjot GDPR 5.1.c. pantu, kurā noteikts, ka datiem jābūt adekvātiem, atbilstošiem un ierobežotiem līdz tam, kas nepieciešams īstenojamā mērķa sasniegšanai.

CNIL atgādina, ka darba vietās uzstādītajām videonovērošanas kamerām neatkarīgi no tā, vai tās ir pieejamas sabiedrībai vai nē, ir jārespektē darbinieku privātums.

"Kameras nekādā gadījumā nedrīkst filmēt arodbiedrības telpas vai to tiešās piekļuves punktus."

Tādējādi jebkāds pārmērīgs filmēto personu privātuma aizskārums ir pretrunā ar šo minimizēšanas principu, kā CNIL atzīmēja arī internātskolā, kuras videonovērošanas sistēma filmēja skolēnus brokastu laikā un pagalmā.

Darba vietā nedrīkst uzstādīt kameras.

• Tikai tad, ja tie īsteno leģitīmu mērķi, piemēram, īpašuma un cilvēku drošību.
• Norobežotās un neuzbāzīgās zonās, piemēram, ēku ieejās un izejās, ejās vai noliktavās.

Ir jāievēro arī drošības un pārredzamības saistības:

• Piekļuvei attēliem jābūt drošai un pieejamai tikai pilnvarotām personām, un dati jāglabā ierobežotu laiku, principā no dažām dienām līdz mēnesim.
• Atbildīgajai personai iepriekš jāinformē un jāapspriežas ar darbinieku pārstāvjiem, kā arī jānodrošina paziņojuma izvietošana darbiniekiem un sabiedrībai.

Attiecībā uz pārredzamības pienākumiem joprojām ir iespējami izņēmumi: ārkārtas apstākļos un noteiktos apstākļos datu pārzinis var īslaicīgi uzstādīt kameras, kas nav redzamas darbiniekiem, ar nosacījumu, ka tiek analizēta ierīces saderība ar GDPR un ka tas var tikt pamatots.

Tieši šādas ietekmes analīzes trūkuma un DAI neiesaistīšanās slēptas videonovērošanas sistēmas ieviešanā dēļ CNIL pagājušā gada septembrī noteica sankcijas La Samaritaine.

Uzņēmums bija ziņojis par zādzībām, kas pastrādātas rezervātos, un paskaidrojis, ka sistēma ir pagaidu, taču nebija veicis nekādu iepriekšēju analīzi un nebija dokumentējis iekārtas pagaidu raksturu.

Šī nespēja saglabāt līdzsvaru starp sasniedzamo mērķi un darbinieku privātuma aizsardzību noveda pie tā, ka uzņēmumam tika piemērots 100 000 eiro naudas sods.

Visbeidzot, jāatzīmē, ka publiski pieejamās vietās ierīcei ir jābūt apstiprinātai no departamenta prefekta vai policijas prefekta Parīzē.

 

      

Revīzijas palāta 31. oktobrī publicēja ziņojumu par "valsts civilo informācijas sistēmu suverenitātes jautājumiem".

Viņa izsaka vairākus novērojumus:

• Dažas ministrijas izmanto neeiropeiskus IT risinājumus, dažreiz sensitīvu datu apstrādei, tādējādi kaitējot digitālajai suverenitātei.

Šajā sakarā ziņojumā ir minēta veselības datu platforma, kuru vairāk nekā piecus gadus uztur kāds amerikāņu uzņēmums.

Viņš arī norāda, ka privātie operatori piedāvā sabiedrisko pakalpojumu lietojumprogrammas, neuzliekot tiem tādas pašas saistības kā valstij.

• Nav administrācijas veiktas sensitīvu datu kartēšanas, kas veidotu atsauces sistēmu, kas ļautu identificēt tos, kuru suverenitāte ir jāsaglabā prioritārā kārtā.
• Suverēnu mākoņdatošanas ieviešana valdības iestādēs joprojām ir ierobežota, iekšējiem stāvokļu mākoņiem ir grūti sasniegt pietiekamu mērogu, un suverenitātes prasību saskaņošana ar veiktspējas imperatīviem izrādās sarežģīta.
• DINUM pārvalda divas suverēnas infrastruktūras: valsts starpministriju tīklu (RIE) un digitālās identitātes sistēmu (FranceConnect), kas tiek uzskatītas par panākumiem, pat ja joprojām ir nepieciešams progress, jo īpaši noturības ziņā.
• Papildus sensitīvu datu kontrolei valsts netiecas pēc pilnīgas suverenitātes, bet gan cenšas panākt pietiekami augstu uzticības līmeni, izmantojot publisko iepirkumu, iepirkumu apvienošanu un ANSSI validāciju, lai ierobežotu riskus.

15. oktobrī Valsts padome atstāja spēkā 8 000 000 eiro sodu, ko CNIL bija uzlikusi Apple par Francijas lietotāju datu apstrādi personalizētas reklāmas nolūkos bez viņu piekrišanas.

• Valsts padome uzskatīja, ka sankcija nav nesamērīga, ņemot vērā attiecīgo cilvēku skaitu — gandrīz 27,5 miljoni lietotāju laikā no 2020. gada jūlija līdz 2021. gada jūlijam — un grupas ekonomisko nozīmi.
• Viņš arī apstiprināja CNIL jurisdikciju lemt par tās darbību Francijā, tādējādi noraidot uzņēmuma argumentu, ka tikai tā Īrijas struktūrvienība ietilpst Eiropas regulatora jurisdikcijā.

Darba un solidaritātes ministrija, CNIL un AFCDP ir uzticējušas Afpa veikt jaunu DPO profesijas observatorijas aptauju par mākslīgā intelekta ietekmi uz šo profesiju.

Aptaujā tiek pētīti mākslīgā intelekta pārvaldības modeļi organizācijās, datu aizsardzības speciālista (DPO) loma, galvenie izaicinājumi, ar kuriem saskaras DPO, un viņu vajadzības attiecībā uz rīkiem un apmācību. Rezultāti tiks publicēti 2026. gada pirmajā pusē.

28. oktobrī CNIL publicēja ziņojumu par savu 20. maija pasākumu "VDAR: kāda ir ekonomiskā ietekme?". 

Pasākumā piedalījās ekonomisti, kā arī Francijas (CNIL) un Eiropas (Apvienotās Karalistes datu aizsardzības iestāde, Eiropas Komisija) regulatori, kas sniedza savu ieguldījumu GDPR ieviešanas ex post novērtējumā.

Izplatīšanas nozares dalībniekiem radot bažas par lojalitātes programmu datu pārnesamību, oktobra vidū tā arī precizēja, kāda informācija ir jānosūta, jo īpaši attiecībā uz svītrkodu un datiem, kas saistīti ar akcijām, kurām klientiem ir bijusi piekļuve.

 

Eiropas iestādes un struktūras

Saskaņā ar presē izplatīto neformālo dokumenta versiju, Digitālā kopīgā likuma plānotie GDPR grozījumi varētu būt plašāki nekā sākotnēji paziņots.

Priekšlikums, kura oficiālā publicēšana paredzēta 19. novembrī, precizētu (vienlaikus ierobežojot) dažas galvenās definīcijas, atvieglotu dažus konfidencialitātes noteikumus un atļautu personas datu izmantošanu mākslīgā intelekta apmācībai.

Pilsoniskā sabiedrība jau ir reaģējusi, uzsverot šādas vienkāršošanas radītos draudus pamattiesībām.

Ceturtdien, 9. oktobrī, Eiropas Komisija paziņoja par sabiedriskās apspriešanas sākšanu par tās vadlīniju projektu attiecībā uz Digitālo tirgu regulas (DTI) un GDPR mijiedarbību.

Šis projekts tika izstrādāts sadarbībā ar Eiropas Datu aizsardzības kolēģiju (EDPB).

Šo vadlīniju pamatā ir 5. panta 2. punkts: DMA pieprasa, lai “vārtu sargi” saņemtu lietotāja piekrišanu savu datu koplietošanai starp dažādiem pakalpojumiem, taču tajā nav definēti precīzi šīs piekrišanas nosacījumi.

Tekstā tagad ir precizēts, ka šai piekrišanai ir jābūt derīgai GDPR izpratnē, bet galvenokārt tā ir jāpieprasa atsevišķi katram atsevišķam apstrādes mērķim (satura personalizācijai un mērķtiecīgai reklāmai).

Apspriešana notiek līdz 4. decembrim.

24. oktobrī Eiropas Komisija provizoriski secināja, ka Meta un TikTok pārkāpj Digitālo pakalpojumu likumu (DSA).

Uzņēmumi nenodrošina pētniekiem pienācīgu piekļuvi publiski pieejamiem datiem.

Komisija arī provizoriski secina, ka Facebook un Instagram nav izpildījuši savus pienākumus (1) nodrošināt lietotājiem vienkāršus mehānismus nelegāla satura, piemēram, bērnu pornogrāfijas vai teroristiska satura, ziņošanai un (2) ļaut lietotājiem efektīvi apstrīdēt Meta pieņemtos satura moderācijas lēmumus.

TikTok un Meta var piekļūt izmeklēšanas failiem un atbildēt uz tiem.

Eiropas Komisija ir publicējusi savu regulējumu par suverēnu mākoņdatošanas sistēmu publiskā iepirkuma iestādēm.

Dokumentā ir ņemtas vērā vairākas Eiropas iniciatīvas, tostarp Eiropas kiberdrošības sertifikācijas sistēma (ENISA, NIS2, DORA).

Tas attiecas arī uz valstu politiku, piemēram, "mākoni centrā" Francijā ar Anssi SecNumCloud un Vācijas Sovereign Cloud.

Komisija ierosina mākoņpakalpojumu suverenitātes vērtējumu, kas balstīts uz dažādiem kritērijiem, un tas izraisa dažādas reakcijas.

Šī metode īpaši neapmierina Eiropas mākoņpakalpojumu sniedzējus, kas apvienojušies Cispe asociācijā, kuri to uzskata par necaurspīdīgu un pašreizējā veidā dod priekšroku ārvalstu dalībniekiem.

Eiropas Parlamenta deputāti aicina veikt DSA izmeklēšanu par Shein, Temu un AliExpress.

Pēc tam, kad Parīzes prokuratūra sāka izmeklēšanu pret šiem četriem uzņēmumiem par "bērniem līdzīgu seksa leļļu" pārdošanu, vairāk nekā 40 Eiropas Parlamenta deputāti ir mudinājuši Komisiju sākt izmeklēšanu, teikts Euractiv ziņojumā.

CSAM priekšlikums regulai, kuras mērķis ir novērst un apkarot bērnu seksuālu izmantošanu, atkal bija Eiropadomes sanāksmes darba kārtībā 14. oktobrī.

Vācijai, kas iepriekš bija bijusi stingra likumprojekta atbalstītāja, atsaucot savu atbalstu noteikumu projektam, balsojums tika atlikts.

Pretrunīgi vērtētajā priekšlikumā bija paredzēta saziņas skenēšana lietotāja terminālī pirms tās nosūtīšanas, un šo elementu Padomes prezidentvalsts Dānija svītroja, lai iegūtu pietiekamu dalībvalstu atbalstu.

Dānija tomēr plānotu uz nenoteiktu laiku pagarināt pašreizējo pagaidu atļauju veikt seksuālas vardarbības materiālu (CSAM) “brīvprātīgas” analīzes, un “augsta riska pakalpojumu sniedzējiem […] joprojām varētu tikt pieprasīts veikt pasākumus, lai izstrādātu atbilstošas tehnoloģijas, lai mazinātu seksuālas vardarbības risku pret bērniem, kas identificēti viņu pakalpojumos”.

ES iekšlietu ministriem paredzēta atkārtota sanāksme decembra sākumā.

Oktobra plenārsēdē EDAK izvēlējās tēmu savai piektajai koordinētajai rīcībai kontroles jomā, kas būs vērsta uz atbilstību GDPR noteiktajām pārredzamības un informēšanas saistībām.

Regula nodrošina, ka attiecīgās personas tiek informētas, kad tiek apstrādāti viņu dati (saskaņā ar 12., 13. un 14. pantu).

EDAK atkārtoti uzsver, ka šīs tiesības uz informāciju ir pārredzamības centrālais elements un garantē indivīdiem labāku kontroli pār saviem datiem.

Iesaistītās datu aizsardzības iestādes brīvprātīgi pievienosies šai rīcībai turpmākajās nedēļās, un pati rīcība tiks uzsākta 2026. gada laikā.

Beļģijas dienas laikraksta L'Echo, Vācijas specializētā izdevuma Netzpolitik.org, Nīderlandes radiostacijas BNR, Vācijas radiostacijas BR un Le Monde veiktā izmeklēšana par personas datu brokeriem atklāj ģeolokācijas reklāmas datu sniegtās novērošanas apmēru.

Šie dati, ko ieguva "Le Monde" un tās partneri, ļāva identificēt un izsekot vairākus Eiropas Savienības augstus amatpersonu pārstāvjus, dažkārt pat līdz viņu mājām.

 

Ziņas no Eiropas Savienības dalībvalstīm.

Vācijas Šlēsvigas-Holšteinas federālā zeme ir atteikusies no valdības e-pasta un kalendāra sistēmām par labu atvērtā pirmkoda programmatūrai.

Migrācija, kas ilga sešus mēnešus, aizstāja Microsoft Exchange un Outlook ar Open-Xchange un Mozilla Thunderbird.

Pārsūtījums ietvēra vairāk nekā 40 000 e-pasta kontu un vairāk nekā 100 miljonus ziņojumu un kalendāra ierakstu.

Austrijā nevalstiskā organizācija Noyb ziņo, ka datu aizsardzības iestāde ir pieņēmusi lēmumu, kurā secināts, ka Microsoft 365 Education nelikumīgi izseko skolēnus un izmanto viņu datus savām vajadzībām.

Programmatūras gigants arī neatbildēja uz piekļuves pieprasījumu saistībā ar Microsoft 365 Education, kas tiek plaši izmantots Eiropas skolās.

Austrijas tiesa ir atstājusi spēkā 1 500 000 eiro sodu, kas piespriests IKEA par nelikumīgu un pārmērīgu videonovērošanu vienā no tās filiālēm un ap to, cita starpā ierakstot klientu PIN kodu ievadīšanu.

Tādējādi viņš atcēla APD lēmumu, kurā par pirkuma laikā pieļautajiem pārkāpumiem atbildēja tikai pārdevējs.

Beļģijā Beļģijas Datu aizsardzības iestāde (APD) arī izteica aizrādījumu uzņēmumam par bijušā darbinieka e-pasta adreses un tālruņa numura nelikumīgu saglabāšanu pēc darba līguma beigām. APD konstatēja, ka datu pārzinis ir pārkāpis vairākus GDPR noteikumus, tostarp mērķa ierobežojuma principu, datu minimizēšanas un glabāšanas ierobežošanas principus, datu subjekta informēšanas principus un tiesības uz datu dzēšanu.

Visbeidzot, vairs nebija nekāda juridiska pamata turpināt šo datu apstrādi.

Spānijā APD piesprieda finanšu pakalpojumu uzņēmumam (Servicios Financieros Carrefour) 1 500 000 eiro sodu par datu apstrādes drošības un konfidencialitātes nenodrošināšanu datu noplūdes kontekstā, kuras rezultātā tika nosūtīti daudzi pikšķerēšanas e-pasti.

Īrijā nesen atkal uzmanību ir piesaistījusi bijušās Meta lobistes Niamh Sweeney iecelšana par Īrijas datu aizsardzības iestādes komisāri.

Īrijas Pilsoņu brīvību padome (ICCL) 25. oktobrī iesniedza sūdzību pret Īriju Eiropas Komisijā, apgalvojot, ka Īrija nav sniegusi pietiekamas garantijas attiecībā uz tās nominācijas procesa neatkarību un objektivitāti.

Eiropas Komisija, kā ziņots, atbildēja, norādot, ka tai nav kompetences attiecībā uz valstu iecelšanu amatā saistībā ar oficiālo attīstības palīdzību (OAP).

Nīderlandes Datu aizsardzības iestāde (APD) ir piespriedusi uzņēmumam Experian Nederland 2,7 miljonu eiro sodu par vairākiem GDPR pārkāpumiem.

Līdz 2025. gada 1. janvārim Experian saviem klientiem sniedza kredītspējas novērtējumus, kuru veikšanai tā vāca datus, piemēram, par negatīvu maksājumu paradumiem, nesamaksātiem parādiem vai bankrotiem.

APD norādīja uz derīga juridiskā pamata trūkumu informācijas vākšanai un attiecīgo personu neinformēšanu.

Uzņēmumam bija jāpārtrauc darbība valstī, un tas apņēmās līdz gada beigām izdzēst visu savu personīgo datubāzi.

 

 

Apvienotās Karalistes Datu aizsardzības iestāde (DPA) ir sodījusi uzņēmējdarbības pakalpojumu sniedzēju, kas specializējas pensiju administrēšanā, un tā apakšuzņēmēju attiecīgi ar 8 000 000 un 6 000 000 mārciņu sodu pēc kiberuzbrukuma, kas ļāva neatļautām trešajām personām piekļūt vairāk nekā 6 miljonu cilvēku datiem.

APD norādīja uz atbilstošu drošības pasākumu trūkumu.

IAPP ziņo, ka Starptautiskā standartizācijas organizācija pirmo reizi kopš 2019. gada ir atjauninājusi savu starptautisko standartu privātuma atbilstības programmu pārvaldībai — ISO 27701.

Standarts tagad ir patstāvīga vadības sistēma, kas nozīmē, ka organizācijām vairs nebūs nepieciešama ISO 27001 sertificēta informācijas drošības vadības sistēma.

Tomēr tie, kuriem ir SGSI, varēs integrēt abas vadības sistēmas.

Standarts detalizēti apraksta augsta līmeņa prasības PIMS ieviešanai, kas jāizpilda un jāievieš jebkurai organizācijai, kura vēlas iegūt sertifikātu.

Lai gan to nevar uzskatīt par tiesību aktu aizstājēju, tas joprojām ir cieši saistīts ar ES un Apvienotās Karalistes GDPR.

Amerikas Savienotajās Valstīs imigrācijas policija uz ielas skenē cilvēku sejas, lai pārbaudītu viņu pilsonību.

Saskaņā ar amerikāņu plašsaziņas līdzekļu 404 sniegto informāciju sociālajos tīklos cirkulējošos video redzams, kā ICE (Imigrācijas un muitas dienesta) un CBP (Muitas un robežapsardzības dienesta) aģenti izmanto sejas atpazīšanas tehnoloģiju, analizējot garāmgājēju sejas.

Izmantotā lietojumprogramma Mobile Fortify saistītu sejas ar 200 miljonu attēlu datubāzi no FBI, Valsts departamenta un citu aģentūru datubāzēm.

Lietotne varētu veikt arī savstarpēju meklēšanu transportlīdzekļos, tālruņos, adresēs un šaujamieročos.

Lai gan Iekšzemes drošības departaments atsakās apstiprināt vai noliegt “Mobile Fortify” iespējas, CBP, kā ziņots, atzīst, ka paļaujas uz “dažādiem tehnoloģiskiem rīkiem, lai uzlabotu aģentu efektivitāti”.

Pieaug konkurence par mākslīgā intelekta integrēšanu interneta pārlūkprogrammās un izaicinājumu tagad jau klasiskā Google Chrome dominējošajam stāvoklim.

Tādējādi Microsoft ir integrējis savu Copilot AI rīku Edge pārlūkprogrammā.

Piedāvātās “darbības” ļauj Copilot aizpildīt veidlapas vai rezervēt viesnīcas, un “Ceļojumi” ļauj Copilot izsekot saitēm starp lietotāja atvērtajām cilnēm.

Microsoft paziņojums tika sniegts divas dienas pēc līdzīgas OpenAI prezentācijas, kas atklāja savu jauno Atlas pārlūkprogrammu, vizuāli ļoti līdzīgu Microsoft pārlūkprogrammai.