TWINLADDER
TwinLadder
TWINLADDER
Abonēt
Back to Case Studies

Twin Ladder Casebook

5,88 miljardi sodu — nekompetentai MI ieviešanai ir atbilstības cena

February 28, 2026|regulator guidance

Atbilstības speciālists vidējā Eiropas loģistikas uzņēmumā atver vēstuli no nacionālās datu aizsardzības iestādes. Vēstule ir formāla, procedurāla un postoša.

TwinLadder

Klausīties šo rakstu

0:000:00

"5,88 miljardi sodu" --- nekompetentai MI ieviešanai ir atbilstības cena

Twin Ladder Casebook sērija | Twin Ladder | 2026. gada februāris

Ievads

Atbilstības speciālists vidējā Eiropas loģistikas uzņēmumā atver vēstuli no nacionālās datu aizsardzības iestādes. Vēstule ir formāla, procedurāla un postoša. Iestāde ir sākusi izmeklēšanu par uzņēmuma MI darbinātu maršrutu optimizācijas sistēmu --- to, kas darbojas jau astoņpadsmit mēnešus, to, ko iepirkumu nodaļa iegādājās no piegādātāja tirdzniecības izstādē, to, kuru IT nodaļa pieslēdza klientu datubāzei, jo šķita, ka tā uzlabo piegādes precizitāti.

Neviens organizācijā nespēj izskaidrot, kādus datus sistēma uzņem. Neviens nezina, no kurienes nāk apmācības dati, vai tie ietver personas informāciju, kas iegūta no publiskiem avotiem, vai arī piegādātājs ir saņēmis piekrišanu kādam no tā. Neviens nav dokumentējis lēmumu par ieviešanu. Nav veikts ietekmes novērtējums datu aizsardzībai. Nav ieraksta par to, kurš apstiprināja pieslēgumu klientu datubāzei. Sistēma ir apstrādājusi četrdesmit tūkstošu klientu personas datus trīs ES dalībvalstīs, un uzņēmums nespēj uzrādīt nevienu dokumentu, kas apliecina, ka kāds ir izvērtējis šīs apstrādes juridisko pamatu.

Atbilstības speciālists noliek vēstuli. Sods, ja tas nāks, var sasniegt miljonus. Bet sods nav sliktākais. Sliktākais ir tas, ka neviens ēkā nespēj atbildēt uz iestādes pirmo jautājumu: kādas MI sistēmas jūsu organizācija ekspluatē, un ko tās dara?

Stāsts

Izpildes ainava

Jautājums, uz kuru atbilstības speciālists nespēj atbildēt, ir tas pats jautājums, ko Eiropas datu aizsardzības iestādes uzdod ar pieaugošām sekām jau gandrīz astoņus gadus. Atbildes, kad tās nāk regulatīvu lēmumu formā, nes arvien bargākus cenu zīmogus.

  1. gada janvārī DLA Piper publicēja septīto izdevumu savas ikgadējās VDAR sodu un datu aizsardzības pārkāpumu aptaujas. Galvenais skaitlis bija skaudrs: kumulatīvie VDAR sodi kopš regulas stāšanās spēkā 2018. gada maijā bija sasnieguši 5,88 miljardus eiro. Tikai 2024. gadā Eiropas datu aizsardzības iestādes piemēroja 1,2 miljardus eiro kopējos sodos trīsdesmit vienā aptaujātā valstī. Izpildes aparāts, ko daudzas organizācijas kādreiz norakstīja kā lēnu un bezzobu, pēc jebkuriem finanšu rādītājiem bija kļuvis par vienu no nozīmīgākajiem regulatīvajiem režīmiem pasaulē.

Sodi vairs neaprobežojas ar datu pārkāpumu paziņojumiem vai sīkdatņu piekrišanas pārkāpumiem. Tie ir iesoļojuši mākslīgā intelekta teritorijā, un 2024. gadā nonākušās lietas signalizē regulatīvu nostāju, kas jāsaprot katrai organizācijai, kura izvieto MI.

  1. gada oktobrī Īrijas Datu aizsardzības komisija piemēroja LinkedIn 310 miljonu eiro sodu. Izmeklēšana, ko 2018. gadā ierosināja Francijas digitālo tiesību organizācija La Quadrature Du Net, konstatēja, ka LinkedIn bija apstrādājis personas datus uzvedības analīzei un mērķētai reklāmai bez derīga juridiska pamata. Uzņēmums bija balstījies uz piekrišanu, kuru DPC atzina par brīvi nesniegtu, pietiekami informētu vai nepārprotamu. Tas bija atsaucies uz leģitīmām interesēm un līgumiskas nepieciešamības kā juridiskiem pamatiem pirmās puses datu apstrādei --- argumenti, ko regulators noraidīja. Sods netika piemērots par datu noplūdi vai tehnisku kļūmi. Tas tika piemērots tāpēc, ka organizācija nespēja pierādīt likumīgu pamatu tam, ko tās MI darbinātā reklāmas sistēma darīja ar personas datiem.

  2. gada septembrī Nīderlandes Datu aizsardzības iestāde piemēroja Clearview AI 30,5 miljonu eiro sodu par nelegālas datubāzes veidošanu ar miljardiem sejas attēlu, tostarp Nīderlandes pilsoņu, bez juridiska pamata. Clearview bija savācis fotogrāfijas no publiskā interneta, pārvērtis tās biometriskos datos --- sejas atpazīšanas veidnēs, kas ir tikpat unikālas kā pirkstu nospiedumi --- un piedāvājis rezultējošo datubāzi tiesībaizsardzības iestādēm. Nīderlandes iestāde konstatēja VDAR aizlieguma pārkāpumu attiecībā uz biometrisko datu apstrādi bez juridiska pamata, caurskatāmības pienākumu neizpildi un atteikumu atbildēt uz datu piekļuves pieprasījumiem. Papildus sodam iestāde izdeva izpildes rīkojumus, kas faktiski prasīja Clearview pārtraukt darbību Eiropas Savienībā, ar papildu sodiem vairāk nekā 5 miljonu eiro apmērā par neizpildi.

  3. gada decembrī Itālijas datu aizsardzības iestāde, Garante, piemēroja OpenAI 15 miljonu eiro sodu par ChatGPT personas datu apstrādi. Garante konstatēja, ka OpenAI bija apstrādājis personas informāciju ChatGPT apmācībai bez adekvāta juridiska pamata, nebija izpildījis caurskatāmības un informēšanas pienākumus pret lietotājiem un nebija ieviesis vecuma verifikācijas mehānismus, kas neļautu bērniem līdz trīspadsmit gadu vecumam mijiedarboties ar sistēmu. Garante turklāt uzdeva OpenAI veikt sešu mēnešu sabiedrības informēšanas kampaņu Itālijas medijos, informējot lietotājus un nelietotājus par to, kā uzņēmums vāc personas datus un kā personas var iebilst pret savu datu izmantošanu MI apmācībai. OpenAI nosauca lēmumu par "nesamērīgu" un paziņoja, ka pārsūdzēs. Itālijas iestāde palika nesatricināma.

Šīm trim lietām --- LinkedIn, Clearview AI, OpenAI --- ir kopīgs pavediens. Neviena no tām neietvēra tradicionālu datu noplūdi. Neviens hakeris nezaga ierakstus. Neviena datubāze netika atstāta atklāta publiskā serverī. Katrā gadījumā pārkāpums bija strukturāls: organizācija bija izveidojusi vai ekspluatējusi MI sistēmu, kas apstrādāja personas datus, neizveidojot likumīgu apstrādes pamatu, bez adekvātas caurskatāmības un bez pārvaldības mehānismiem, kas spētu izturēt regulatīvu pārbaudi.

Cilvēciskā cena

Finansiālie sodi ir nozīmīgi. Cilvēciskās sekas ir smagākas.

  1. gada jūlijā Amnesty International publicēja sešdesmit septiņu lappušu ziņojumu ar nosaukumu "Too Much Technology, Not Enough Empathy", dokumentējot Apvienotās Karalistes Darba un pensiju departamenta (DWP) MI darbinātu labklājības sistēmu ietekmi uz neaizsargātām iedzīvotāju grupām. Izmeklēšana, kas ietvēra intervijas ar 783 cilvēkiem no 2024. gada oktobra līdz 2025. gada janvārim, atklāja, ka DWP pastāvīgā MI un digitālo sistēmu testēšanas, ieviešanas un izņemšanas cikla ietekme uz Universal Credit izraisīja izmērāmu kaitējumu cilvēkiem ar invaliditāti, ierobežotām digitālajām prasmēm un nopietniem veselības traucējumiem.

Attiecīgās sistēmas ietvēra automatizētas tiesību pārbaudes, riska profilēšanas algoritmus, kas atzīmēja pieprasītājus krāpšanas izmeklēšanām, un datu salīdzināšanas rīkus, kas verificēja personas datus pret citām valdības datubāzēm. Amnesty konstatēja, ka šīs sistēmas radīja dziļi nepieejamu vidi tiem, kuriem labklājības atbalsts bija visvairāk nepieciešams. Pieprasītāji tika iedzīti birokrātiskā limbo stāvoklī, pakļauti milzīgam stresam un dažos gadījumos nepareizi atzīmēti krāpšanai ar algoritmiem, kurus viņi nevarēja redzēt, apstrīdēt vai saprast. Gan Amnesty International, gan Big Brother Watch uzsvēra skaidrus tehnoloģijā iestrādātus aizspriedumu riskus --- aizspriedumus, kas pastiprināja jau esošos diskriminējošos iznākumus pabalstu sistēmā.

DWP lieta nav VDAR izpildes darbība. Tā ir kaut kas fundamentālāks. Tā ir demonstrācija tam, kas notiek, kad organizācija izvieto MI sistēmas bez kompetences saprast to ietekmi uz cilvēkiem, kurus šīs sistēmas skar. Algoritmi nebija ļaunprātīgi. Tie bija nepārvaldīti. Un pārvaldības neesamībā sistēmas darīja to, ko nepārvaldītas sistēmas vienmēr dara: tās reproducēja un pastiprināja apmācības datos un dizaina pieņēmumos esošos aizspriedumus, ar sekām, ko neproporcionāli nesa tie, kam bija vismazākās iespējas tām iebilst.

Caur Twin Ladder prizmu

Iepriekš aprakstītie gadījumi --- LinkedIn, Clearview, OpenAI, DWP --- primāri nav tehnoloģiskas neveiksmes. Tās ir pārvaldības neveiksmes. Un pārvaldība Twin Ladder ietvarā nav papildinājums. Tā ir pamats.

Twin Ladder Twin Ladder definē četrus progresīvus MI kompetences līmeņus. 0. līmenis ir MI lietpratības pamats --- bāzes spēja kritiski izvērtēt MI radīto, izprast juridiskos un ētiskos ierobežojumus, kas regulē tā izmantošanu, un inventarizēt, klasificēt un dokumentēt MI sistēmas, ko organizācija ekspluatē. 1. līmenis ir profesionālais dvīnis. 2. līmenis ir operatīvais dvīnis. 3. līmenis ir ekosistēmas dvīnis. Katrs līmenis balstās uz zemāko. Kāpnes kāpj, nevis izlaiž.

Organizācijas, kas saņēma šajā rakstā aprakstītos sodus, nav uz kāpnēm. Tās ir zem tām.

Aplūkosim atbilstības speciālistu no ievada scenārija. Organizācija ieviesa MI sistēmu, nedokumentējot tās datu avotus, neveicot ietekmes novērtējumu datu aizsardzībai, neizveidojot juridisko pamatu apstrādei un neuzturot MI sistēmu reģistru. Tā nav 1. vai 2. līmeņa problēma. Tā ir 0. līmeņa problēma --- viselementārākā neveiksme ietvarā. Organizācijai trūkst lietpratības zināt, kas tai ir, ko tas dara un vai tas ir likumīgi.

  1. līmenis Twin Ladder tieši kartējas uz ES MI regulas 4. pantu, kas stājās spēkā 2025. gada 2. februārī. 4. pants prasa, lai MI sistēmu nodrošinātāji un ieviesēji veic pasākumus, lai nodrošinātu "pietiekamu MI lietpratības līmeni" savam personālam un ikvienam, kas iesaistīts MI sistēmu darbībā un izmantošanā viņu vārdā. Pienākums ir plašs, aptverot ne tikai tehniskos operatorus, bet katru personu, kas iesaistīta MI sistēmu ieviešanā un lietošanā. Eiropas Komisija ir pieņēmusi elastīgu, samērīgu pieeju atbilstībai --- nav noteiktas obligātas apmācību programmas vai sertifikācijas shēmas. Bet pienākums pastāv, un tā neizpilde tiek uzskatīta par atbildību pastiprinošu apstākli, aprēķinot sodus par citiem, nopietnākiem MI regulas pārkāpumiem.

Šī ir kritiskā saikne. Organizācija, kas nespēj inventarizēt savas MI sistēmas, nespēj novērtēt to risku. Organizācija, kas nespēj novērtēt risku, nespēj veikt ietekmes novērtējumus datu aizsardzībai, ko prasa VDAR 35. pants. Organizācija, kas nespēj veikt ietekmes novērtējumus, nespēj izveidot likumīgus apstrādes pamatus. Un organizācija, kas nespēj izveidot likumīgus pamatus, ir tieši tāda organizācija, kas saņem vēstuli no datu aizsardzības iestādes.

Twin Ladder ietvars uzskata pārvaldību nevis par atbilstības atzīmi, bet par kompetenci. Pārvaldības kompetence nozīmē spēju identificēt katru MI sistēmu organizācijā, klasificēt to pēc riska līmeņa, dokumentēt tās datu avotus un apstrādes mērķus, noteikt atbildību par tās darbību un uzturēt šo dokumentāciju sistēmu attīstības gaitā. Tas nozīmē zināt atbildi, kad regulators jautā: kāds MI jums ir, un ko tas dara?

Bez 0. līmeņa pārējās kāpnes nepastāv. Organizācija, kas nespēj izvērtēt MI rezultātu, nevar veidot profesionālo dvīni 1. līmenī. Organizācija, kas nespēj dokumentēt savas MI operācijas, nevar konstruēt operatīvo dvīni 2. līmenī. Organizācija, kas nespēj pārvaldīt savu MI ieviešanu, nevar modelēt tās ekosistēmas ietekmi 3. līmenī. Pārvaldība nav griesti. Tā ir grīda.

Likumsakarība

Izpildes likumsakarība paātrinās, un regulatīvais aparāts paplašinās.

  1. gada 2. augustā stājas spēkā ES MI regulas visnozīmīgākās normas. Augsta riska MI sistēmām --- tām, kas tiek izmantotas biometrijā, kritiskajā infrastruktūrā, izglītībā, nodarbinātībā, tiesībaizsardzībā, migrācijā, tiesvedībā un demokrātiskajos procesos --- jāatbilst obligātajām prasībām, tostarp kvalitātes vadības sistēmām, risku pārvaldības ietvariem, tehniskajai dokumentācijai, atbilstības novērtējumiem un reģistrācijai ES datubāzē. Caurskatāmības pienākumi kļūst izpildāmi: MI tērzēšanas robotiem jāatklāj sava mākslīgā daba, emociju atpazīšanas sistēmām jāinformē lietotāji, dziļviltojumu saturam jāsatur mašīnlasāmi ūdenszīmes un biometriskās kategorizācijas sistēmām jāpiemēro atklāšanas mandāti.

Sodu struktūra ir veidota, lai piesaistītu uzmanību. Par pārkāpumiem, kas ietver aizliegtas MI prakses --- tostarp sociālās punktēšanas sistēmas, manipulatīvu MI un noteiktas biometriskās uzraudzības formas --- sods ir līdz 35 miljoniem eiro vai 7 procentiem no globālā gada apgrozījuma, atkarībā no tā, kurš ir lielāks. Citiem pārkāpumiem sodi sasniedz 15 miljonus eiro vai 3 procentus no apgrozījuma. Pat nepatiesas informācijas sniegšana iestādēm var novest pie 7,5 miljonu eiro sodiem vai 1 procenta no apgrozījuma.

Plaisa starp šīm prasībām un organizāciju gatavību ir satraucoša. Pacific AI 2025. gada MI pārvaldības aptauja atklāja, ka, lai gan 75 procentiem organizāciju ir izveidotas pamata MI lietošanas politikas, tikai 36 procentiem ir pieņemts formāls pārvaldības ietvars. Saskaņā ar 2025. gada 4. ceturkšņa Biznesa riska indeksu tikai 29 procentiem organizāciju ir visaptveroši MI pārvaldības plāni. Salīdzinoši zemā MI inventarizācijas un klasifikācijas rīku ieviešana liecina, ka fundamentālie pārvaldības elementi --- zināt, kāds MI jums ir, kur tas darbojas un kādus datus apstrādā --- joprojām ir nepietiekami attīstīti lielākajā daļā organizāciju.

Tā ir likumsakarība: regulatīvās prasības paātrinās, kamēr organizāciju kompetence atpaliek. VDAR stājās spēkā 2018. gadā, un bija nepieciešami vairāki gadi, pirms izpilde sasniedza pašreizējo intensitāti. ES MI regulai nebūs tāda pati labvēlības perioda. Eiropas regulatori astoņus gadus ir veidojuši izpildes infrastruktūru, juridiskos precedentus un institucionālo ekspertīzi. Viņi piemēros šo pieredzi MI pārvaldībai no brīža, kad pienāks 2026. gada augusta termiņš.

Visneaizsargātākās nav tehnoloģiju kompānijas, kas nonāk virsrakstos. LinkedIn, Clearview un OpenAI rīcībā ir juridiskās nodaļas, atbilstības komandas un resursi, lai absorbētu nozīmīgus sodus. Vislielākajam riskam pakļauti ir vidējie uzņēmumi --- loģistikas uzņēmumi, veselības aprūpes sniedzēji un finanšu pakalpojumu firmas, kas ir pieņēmušas MI rīkus bez pārvaldības infrastruktūras to pārvaldīšanai --- organizācijas, kur neviens nespēj atbildēt uz regulatora pirmo jautājumu.

Mācība

Pārvaldības kompetence nav izvēles. Tā ir juridiski obligāta un finansiāli nozīmīga.

5,88 miljardi eiro kumulatīvajos VDAR sodos atspoguļo regulatīvā režīma cenu, ko organizācijas gadiem novērtēja par zemu. ES MI regula ar sodiem, kas sasniedz 35 miljonus eiro vai 7 procentus no globālā apgrozījuma, atspoguļo režīmu, ko organizācijas nevar atļauties novērtēt par zemu vēlreiz. 2026. gada augusta termiņš nav tāls horizonts. Līdz tam ir pieci mēneši.

Twin Ladder pirmā instrukcija ir vienkārša: sāciet ar 0. līmeni. Izveidojiet MI inventāru. Dokumentējiet katru MI sistēmu, ko organizācija ekspluatē --- iegādātu, pašveidotu, iestrādātu trešo pušu rīkos vai neformāli pieņemtu darbinieku, kas izmanto komerciālos MI pakalpojumus. Klasificējiet katru sistēmu pēc apstrādātajiem datiem, lēmumiem, kurus tā ietekmē, un personām, kuras tā skar. Nosakiet atbildību. Veiciet ietekmes novērtējumus datu aizsardzībai, kur tas nepieciešams. Izveidojiet likumīgus apstrādes pamatus. Sagatavojiet dokumentāciju, kas ļaus organizācijai skaidri un pilnīgi atbildēt uz jautājumu, ko tagad ir apmācīts uzdot katrs Eiropas regulators.

Tas nav tehnoloģiju projekts. Tas ir kompetences projekts. Inventārs nav izklājlapa, ko aizpilda vienreiz un noliek mapē. Tā ir pārvaldības disciplīna, kas jāuztur nepārtraukti, MI sistēmām vairojoties, attīstoties un mijiedarbojoties. Organizācijas, kas šo kompetenci izveidos, ne tikai izvairīsies no sodiem. Tās izveidos pamatu, uz kura balstās katrs nākamais Twin Ladder līmenis --- spēju izvērtēt, pārvaldīt un virzīt MI sistēmas ar izpratni un mērķtiecību.

Organizācijas, kas to nedarīs, pievienosies augošajam gadījumu izpētes sarakstam par to, kas notiek, kad mākslīgā intelekta ieviešana apsteidz kompetenci to pārvaldīt.

Pirmdienas rīta jautājums: Vai jūsu organizācija spēj līdz šodienas darba dienas beigām uzrādīt pilnu reģistru ar katru MI sistēmu, ko tā ekspluatē --- ieskaitot to, kādus datus katra sistēma apstrādā, no kurienes šie dati nāk un kurš apstiprināja to izmantošanu?

Avoti

  1. DLA Piper --- "GDPR Fines and Data Breach Survey: January 2025" (kumulatīvie sodi 5,88 miljardu eiro apmērā, 1,2 miljardi eiro 2024. gadā): https://www.dlapiper.com/en/insights/publications/2025/01/dla-piper-gdpr-fines-and-data-breach-survey-january-2025

  2. Irish Data Protection Commission --- "Irish Data Protection Commission Fines LinkedIn Ireland 310 Million Euros" (2024. gada oktobris): https://www.dataprotection.ie/en/news-media/press-releases/irish-data-protection-commission-fines-linkedin-ireland-eu310-million

  3. Dutch Data Protection Authority --- "Dutch DPA Imposes a Fine on Clearview Because of Illegal Data Collection for Facial Recognition" (30,5 miljoni eiro, 2024. gada septembris): https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-dpa-imposes-a-fine-on-clearview-because-of-illegal-data-collection-for-facial-recognition

  4. Italian Data Protection Authority (Garante) --- OpenAI sods 15 miljonu eiro apmērā par ChatGPT VDAR pārkāpumiem (2024. gada decembris), atsauce caur Euronews: https://www.euronews.com/next/2024/12/20/italys-privacy-watchdog-fines-openai-15-million-after-probe-into-chatgpt-data-collection

  5. ES MI regula --- 4. pants, MI lietpratības prasība un ieviešanas termiņi: https://artificialintelligenceact.eu/article/4/

  6. Amnesty International --- "Too Much Technology, Not Enough Empathy: UK DWP AI and Welfare Discrimination" (2025. gada jūlijs): https://www.amnesty.org.uk/press-releases/uk-dwps-unhealthy-obsession-ai-discriminates-against-people-disabilities

  7. Pacific AI --- "2025 AI Governance Survey" (75 procentiem ir MI politikas, 36 procentiem formāli pārvaldības ietvari): https://pacific.ai/2025-ai-governance-survey/

  8. CMS Law --- "GDPR Enforcement Tracker Report: Numbers and Figures" (izpildes tendences un valstu dalījums): https://cms.law/en/int/publication/gdpr-enforcement-tracker-report/numbers-and-figures