Õiguslik jälgimine nr 83 – mai 2025. 

Euroopa andmesuveräänsus: soovmõtlemine?

Microsofti poolt Rahvusvahelise Kriminaalkohtu (ICC) peaprokuröri Karim Khani e-posti konto blokeerimine tõstatab Prantsusmaa ja üldiselt Euroopa digitaalse suveräänsuse olulise küsimuse suurte tehnoloogiaettevõtete ees.

AP andmetel blokeeriti Khani e-posti konto ette hoiatamata, sundides teda kasutama Šveitsi internetipakkuja Protoni teenuseid.

Kuna kohus sõltub suuresti teenusepakkujatest, näiteks Microsoftist, on selle töö märkimisväärselt aeglustunud.

See Microsofti otsus on otsene tagajärg meetmetele, mille USA president Donald Trump võttis Haagi kohtu vastu veebruaris pärast seda, kui Rahvusvahelise Kriminaalkohtu kohtunike paneel andis välja Iisraeli peaministri Benjamin Netanyahu ja tema endise kaitseministri Yoav Gallanti vahistamismäärused Gaza sektoris toime pandud sõjakuritegude eest.

Presidendi dekreet keelab konkreetselt rahaliste vahendite, kaupade või teenuste pakkumise Rahvusvahelise Kriminaalkohtu peaprokurörile ning kõik tehingud, mis võiksid neid keelde eirata, põhjendusel, et Rahvusvahelise Kriminaalkohtu tegevus kujutab endast ebatavalist ja erakorralist ohtu Ameerika Ühendriikide riigi julgeolekule ja välispoliitikale.

Hollandi väljaanne märgib 31. mai kuupäevaga selles kontekstis, et arvestades avaliku sektori poolt kasutatavate Ameerika serverite arvu, "suudab USA valitsus nupuvajutusega blokeerida või manipuleerida enam kui 650 Hollandi valitsuse ja kriitilise tähtsusega ettevõtete veebisaiti, sealhulgas De Nederlandsche Banki ja politsei veebisaite, aga ka välisministeeriumi veebisaiti (...). Täpselt nagu veebisait Crisis.nl, mis on hollandlastele katastroofi korral abiks".

Teine näide meie tehnoloogilise sõltuvuse võimalikest tagajärgedest on hiljutine OpenAI ja USA õigussüsteemi vaheline kohtuasi: ettevõte võitleb praegu otsuse vastu, mis kohustab teda säilitama kõiki ChatGPT kasutajalogisid – sealhulgas kustutatud ja tundlikke vestlusi –, mis on salvestatud ettevõtte kommerts-API pakkumise kaudu.

Otsus sai alguse autoriõigusega seotud väiteid esitanud ajakirjandusorganisatsioonidelt, kes süüdistasid OpenAI-d tõendite hävitamises.

Oma vastuses väidab ettevõte, et kohus tugineb üksnes New York Timesi ja teiste meediakaebuste esitajate väitele ning et see "ilma igasuguse mõjuva põhjuseta takistab OpenAI-l oma kasutajate privaatsusotsuseid austamast".

Ilma autoriõiguse austamise õigustatud küsimuses seisukohta võtmata paneb see juhtum meid kahtlema kontrollis, mis välisvõimudel, antud juhul Ameerika Ühendriikidel, võib olla meie igapäevaste töövahendite üle alates hetkest, mil nad üksinda otsustavad sellise kontrolli õigustavate riikliku huvi motivatsioonide üle.

See tundub eriti murettekitav maailmas, kus õigusriik on üha suurema rünnaku all ja kus poliitilised liidud kõiguvad iga päev.

Selles sünges kontekstis, kus Euroopat sageli mahajäämises süüdistatakse, on julgustavaid uudiseid: turvalisest andmepääsukeskusest (CASD) sai mai keskel esimene andmemajutusteenus Euroopas, mis sai ametliku isikuandmete kaitse üldmääruse artikli 42 ja Europrivacy standardi alusel väljastatud isikuandmete kaitse üldmääruse sertifikaadi.

Seda sertifikaati tunnustavad ametlikult 30 riigi – kõigi EL-i ja EMP liikmesriikide – andmekaitseasutused.

CASD-l on juba palju sertifikaate (ISO 27001, ISO 2770) ja see on ka terviseandmete host (HDS).

Samuti teame, et Euroopa investeerib praegu tehisintellekti, nii rahaliselt kui ka regulatsioonide lihtsustamise eesmärgil (vt allpool olevaid uudiseid). IMA (Innovation Makers Alliance) manifest, mida toetasid sellised tegijad nagu OVHcloud, Hexatrust ja Mistral AI, esitas märtsis samuti 33 ettepanekut, mis olid suunatud tehisintellektile, pilvandmetöötlusele, küberturvalisusele ja riigihangetele, eesmärgiga kiiresti tasakaalustada... Samal ajal pakkus Microsoft Euroopa valitsustele tasuta küberturvalisuse programmi.

Euroopa algatused saavutavad oma täieliku potentsiaali ainult siis, kui meie refleksid arenevad, olgu siis tegemist strateegiliste valikutega tehisintellekti tööriistade, majutusteenuste või ka digitaalse hügieeni osas: enne andmete edastamist või salvestamist on oluline esmalt töödelda ainult rangelt olulisi andmeid ning rakendada nii avalikus kui ka erasektoris tavasid ja hartasid, mis piiravad nende andmete üle kontrolli kaotamise ohtu.

 

15. mail 2025 trahvis CNIL ettevõtet Solocal Marketing Services 900 000 euroga potentsiaalsete klientide hankimise eest ilma nende nõusolekuta ja nende andmete edastamise eest partneritele ilma kehtiva õigusliku aluseta.

Samal päeval trahvis see ettevõtet Caloga 80 000 euroga potentsiaalsete klientide otsimise eest ilma nende nõusolekuta ja nende andmete edastamise eest partneritele ilma kehtiva õigusliku aluseta.

Mai lõpus esitas parlamendiliige ja CNIL-i liige Philippe Latombe parlamendiküsimuse kaudu majandus-, rahandus- ning tööstus- ja digitaalse suveräänsuse ministrile ALANi vastastikuse kindlustusseltsi valiku kohta, mida paljud avalik-õiguslikud asutused on oma töötajatele täiendava tervisekindlustuse pakkumiseks valinud.

Ta juhib tähelepanu sellele, et "see Prantsuse ükssarvik (...) majutab oma andmeid Amazon Web Services'is (AWS) ja seetõttu kehtib sellele Ameerika õiguse ekstraterritoriaalsus."

Parlamendiliige küsib valitsuselt, kas valitsus kaalub "oma agentide tundlike andmete kaitsmiseks ja oma direktiivide järgimiseks ALAN-ilt suveräänsele pilvele ülemineku palumist".

5. mai otsusega esitas riiginõukogu Euroopa Liidu Kohtule (CJEU) eelotsuse küsimuse nõusoleku ulatuse kohta: juhtum puudutab ettevõtet Canal+, millele CNIL määras 2023. aasta oktoobris sanktsioonid oma internetiteenuse pakkujate partnerite kogutud andmete kasutamise eest elektroonilise turunduse eesmärgil, kuigi partnereid nõusoleku andmisel otseselt ei identifitseeritud.

Riiginõukogu küsib Euroopa Kohtult sisuliselt, kas peamisele andmetöötlejale (näiteks internetiteenuse pakkujale) tema partnerite poolt töötlemiseks antud nõusolekut saab pidada piisavaks, et anda igale neist partneritest luba turunduskampaaniate läbiviimiseks, isegi kui neid kogumise ajal ei tuvastata.

25. aprillil keeldus riiginõukogu (CE) peatamast CNIL-i otsust, millega volitati Euroopa Ravimiametit (EMA) rakendama andmetöötlust haiguste esinemissageduse ja levimuse uuringu jaoks „DARWIN EU” projekti raames.

Taotleja väitis, et meede oli kiireloomuline, kuna kavandatav töötlemine puudutas 10 miljoni prantslase terviseandmeid, mida majutaks Microsoft, mistõttu need tuleks edastada Ameerika Ühendriikidesse, kus kaitsemeetmed oleksid ebapiisavad.

CE leiab, et „kuigi ei saa täielikult välistada, et töötlemisel saadud andmetele (...) võivad Ameerika Ühendriikide ametiasutused esitada juurdepääsutaotlusi hosti emaettevõtte kaudu ja et viimane ei pruugi sellele vastu seista, jääb see oht uurimise praeguses etapis hüpoteetiliseks.“

Teiseks, lisaks sellele, et Microsoft Irelandil on "Health Data Hosting" (HDS) sertifikaat (...), on projekti elluviimist ümbritsetud garantiide ja turvameetmetega, eelkõige seetõttu, et andmeid pseudonüümiseeritakse mitu korda ja need ei ole otseselt tuvastatavad, mistõttu CNIL leidis, et see risk on vähendatud tasemeni, mis ei õigusta taotletud loa andmisest keeldumist, mille kestust piirati samuti kolme aastaga.

Bordeaux' apellatsioonikohus tühistas 13. mail veebisaidi arendamise lepingu isikuandmete kaitse eeskirjade rikkumise tõttu, eelkõige seoses küpsistega seotud teabe ja nõusolekuga seotud kohustustega.

Krüptovaluutade sektor on pärast mitmeid inimröövikatseid segaduses.

Hiljutise rünnaku sihtmärgiks oleva Paymiumi platvormi direktor osutab regulatiivsetele arengutele, mille eesmärk on kohaldada krüptovaluutasektorile mitmeid anonüümsuse kaotamisele suunatud reegleid, mis on juba kohaldatavad pangandussektorile rahapesu või narkokaubanduse vastase võitluse küsimustes.

Eriti sihikule võetakse riiklikke ja Euroopa mehhanisme, mille eesmärk on muuta rahaliste vahendite jälgimatuks.

Neid muresid jagavad mõned küberturvalisuse eksperdid, kes väidavad, et anonüümsust saab kasutada õiguspärases kontekstis, kuid neid seavad perspektiivi ka teised, kes osutavad kõigile finantssektoris juba kohaldatavatele andmekaitse tagatistele.

 

Euroopa institutsioonid ja organid

21. mail avaldas Euroopa Komisjon ettepaneku muuta isikuandmete kaitse üldmäärust (GDPR), mille eesmärk on leevendada VKEde kohustusi ja laiendada neid keskmise suurusega ettevõtetele, kus töötab alla 750 inimese.

Kõige olulisemad muudatused puudutavad töötlemistoimingute registreerimisega seotud nõudeid.

Paragrahvi 30(5) praegune erand laieneks kõigile sellistele ettevõtjatele.

See uus erand kehtiks juhul, kui töötlemine tõenäoliselt kujutab endast „suurt ohtu“ asjaomaste isikute õigustele ja vabadustele (erinevalt praegusest „riskist“).

Tekstiga lisaks ka põhjenduse, milles täpsustatakse, et töö- ja sotsiaalkindlustusõiguse kohaldamiseks artikli 9 lõike 2 punkti b alusel vajalike teatud andmekategooriate töötlemine iseenesest ei too kaasa RAT-i pidamise kohustust.

Ettepanekutega muudetaks ka käitumisjuhendite (artikkel 40) ja sertifitseerimissüsteemide (artikkel 42) sätteid, et laiendada neid ettevõtetele, kus töötab vähem kui 750 inimest.

Need artiklid nõuavad praegu liikmesriikidelt, andmekaitseasutustelt, komisjonilt ja Euroopa Andmekaitsenõukogult selliste koodeksite ja sertifikaatide väljatöötamise „julgustust“, mis võtavad arvesse VKEde „erivajadusi“.

ELi tulevase andmestrateegia kujundamiseks avab Euroopa Komisjon konsultatsiooni andmete kasutamise kohta tehisintellektis, andmeeeskirjade lihtsustamise ja rahvusvaheliste andmevoogude kohta.

Eesmärk on võimaldada tehisintellekti jaoks vajalike kvaliteetsete, koostalitlusvõimeliste ja mitmekesiste andmekogumite loomist, tagades samal ajal andmealase poliitika, taristu ja õigusaktide vahelise kooskõla.

Konsultatsioon on avatud kuni 18. juulini.

Komisjon avaldab ka konsultatsiooni digiteenuste õigusakti (DSA) suunise eelnõu kohta, mis on avatud 10. juunini.

Tekst sisaldab suuniseid alaealiste kaitsmiseks internetis. Komisjon kavatseb avaldada lõplikud suunised sel suvel. Samuti töötab ta vanuse kontrollimise rakenduse kallal.

27. mail teatas Euroopa Komisjon, et on alustanud uurimisi alaealiste kaitsmiseks pornograafilise sisu eest digitaalteenuste seaduse (DSA) alusel.

Pornhubi, Stripchati, XNXXi ja XVideosi uurimised keskenduvad riskidele, mis on seotud tõhusate vanuse kontrollimise meetmete puudumisega.

Paralleelselt võtavad Euroopa Digiteenuste Nõukogus kohtuvad liikmesriigid koordineeritud meetmeid väikeste pornograafiliste platvormide vastu.

Euroopa Andmekaitseinspektor avaldas 28. mail arvamuse määruse ettepaneku kohta, millega luuakse ühine süsteem ELis ebaseaduslikult elavate kolmandate riikide kodanike tagasisaatmiseks.

Tunnistades vajadust kehtivate rände- ja varjupaigaalaste õigusaktide tõhusama jõustamise järele, rõhutab ta, et „andmekaitse – kui hartas sätestatud põhiõigus – on üks viimaseid kaitseliine haavatavate inimeste, näiteks ELi välispiiridele lähenevate migrantide ja varjupaigataotlejate jaoks“.

Valitsusväline organisatsioon noyb saatis Metale 14. mail kirja, milles ta on Euroopa uue kollektiivse õiguskaitse direktiivi kohaselt kvalifitseeritud üksus ja mis puudutab Meta tehisintellekti treenimist ilma kasutaja nõusolekuta.

Saksamaal oli Verbraucherzentrale NRW esitanud ka esialgse ettekirjutuse, mille kohus mai lõpus tagasi lükkas (vt allpool).

 

Uudised Euroopa Liidu liikmesriikidest.

Saksamaa föderaalne andmekaitseamet (BfDI) on avaldanud tehisintellekti nõuetele vastavuse küsimustiku, mis on loodud selleks, et aidata organisatsioonidel oma tehisintellekti algatusi valideerida ja tagada nende vastavus isikuandmete kaitse üldmäärusele (GDPR).

Kölni piirkondlik kõrgem kohus otsustas 23. mail, et Meta ei ole rikkunud isikuandmete kaitse üldmäärust ega Euroopa digitaalsete turgude määrust, kasutades oma tehisintellekti süsteemi täiustamiseks kasutajaprofiilide andmeid, märkides, et see hinnang on kooskõlas Iirimaa andmekaitsekomisjoni (DPC) hinnanguga, mis on Meta osas Euroopas pädev.

TikTok seisab silmitsi Saksamaal kollektiivhagiga. Hollandi vabaühendus Stichting Onderzoek Marktinformatie (Somi), mis esitas Berliini kohtule kahjunõude, väidab, et "TikTok kogub ja analüüsib oma kasutajate väga isiklikke ja intiimseid andmeid ulatuses, mis läheb kaugemale vajalikust".

Organisatsioon väidab, et platvormi algoritm loob "manipulatsiooni- ja sõltuvussüsteemi", eriti laste jaoks. Valitsusväline organisatsioon nõuab kuni 2000 euro suurust kahjutasu inimese kohta.

Belgia andmekaitseamet (APD) on läbi viinud Belgia riigi ja Ameerika Ühendriikide vahel sõlmitud FATCA lepingu hindamise ning leidnud, et see ei ole isikuandmete kaitse üldmäärusega kooskõlas.

Kaebused puudutasid kaebuse esitajate, sealhulgas Belgia „juhuslike ameeriklaste” isikuandmete edastamist Ameerika maksuhalduritele.

APD noomis föderaalset avaliku sektori finantsteenistust isikuandmete kaitse üldmääruse (GDPR) rikkumiste eest ning leidis eesmärgi piiramise, andmete minimeerimise ja andmeedastuse eeskirjade rikkumise. 

Sellel otsusel on tagajärjed, mis ulatuvad Belgiast kaugemale, kuna Ameerika Ühendriigid on sõlminud sarnaseid lepinguid teiste Euroopa Liidu riikidega.

Hispaania andmekaitseamet (APD) määras Andaluusia ettevõttele 1200 euro suuruse trahvi, kuna see palus oma kaugtöötajatel anda oma isikliku telefoninumbri, et lisada nad ettevõtte WhatsAppi gruppi.

Töötajad võisid teoreetiliselt nõustuda e-posti alternatiiviga või selle ise valida, kuid ettevõte julgustas neid sujuva suhtluse tagamiseks kasutama WhatsAppi.

APD kordas, et nõusolek ei ole töötaja ja tööandja suhetes kehtiv õiguslik alus.

Samuti Hispaanias trahvis APD ettevõtet Carrefour 3,2 miljoni euroga, kuna see ei kaitsnud juurdepääsu oma klientide kontodele.

Ettevõte mõisteti süüdi, kuigi häkkimisel kasutatud volitusi ei varastatud otse temalt, vaid seetõttu, et ta ei täitnud oma hoolsuskohustust ja tema turvasüsteemid ei võimaldanud tal tuvastada massilisi rünnakuid väga suurelt hulgalt IP-aadressidelt.

Itaalia andmekaitseamet (APD) trahvis Ameerika ettevõtet Luka Inc, mis pakub virtuaalset kaaslast "Replika AI", 5 miljoni euroga isikuandmete ebaseadusliku töötlemise, läbipaistvuseeskirjade rikkumise ja kasutajate vanuse kontrollimise tõhusate mehhanismide rakendamata jätmise eest.

Poola andmekaitseamet (APD) määras Poola digitaliseerimisministrile 100 000 zloti (23 448,50 euro) ja Poola postiametile 27 124 816 zloti (6 444 174 euro) trahvi ligikaudu 30 miljoni kodaniku isikuandmete ebaseadusliku töötlemise eest, et hõlbustada üldvalimistel posti teel hääletamist.

 

Austraalia valitsus on avaldanud tehisintellektiga seotud standardklauslid.

Need klauslid kehtivad tehisintellekti süsteemide ostutingimuste kohta, tagades, et neid ostetakse ja rakendatakse vastutustundlikult, eetiliselt ja ohutult. Nende eesmärk on maandada riske ning edendada läbipaistvust ja vastutust tehisintellekti juurutamisel.

5. juunil Privacy Laws and Businessi avaldatud aruandest selgub, et paljud Aafrika riigid võtavad vastu isikuandmete kaitse seadusi sotsiaalmajanduslikus keskkonnas, mis erineb Euroopa või Põhja-Ameerika omast täiesti.

„Aafrika on mobiilse raha kasutamise juhtiv kontinent, kus on üle 1,1 miljardi registreeritud konto, mis moodustab enam kui poole kogu maailma kontodest. Seetõttu erinevad privaatsuspoliitika prioriteedid Aafrika riikides paratamatult Euroopa riikide omadest.“

Autori jaoks tähendab see erinev sotsiaal-majanduslik kontekst seda, et EL peaks Keenia ja teiste Aafrika, Aasia ja Ladina-Ameerika riikide „sobivuse” hindamisel teatud määral arvestama riiklike oludega.

Ameerika Ühendriikide president allkirjastas 19. mail seaduseelnõu „Take It Down Act”, mille eesmärk on blokeerida intiimsed pildid ilma nõusolekuta ja mis hõlmab ka tehisintellekti loodud süvavõltinguid.

„Take It Down” on lühend ingliskeelsest väljendist „Tools to Address Known Exploitation by Immobilizing Technological Deepfakes On Websites and Networks Act” (Tööriistad teadaoleva ärakasutamise lahendamiseks veebisaitidel ja võrgustikes tehtavate tehnoloogiliste süvavõltsingutega).

Google on nõustunud maksma Texase osariigile 1,375 miljardit dollarit, et lahendada kaks kohtuasja, milles süüdistatakse ettevõtet kasutajate asukoha jälgimises, "inkognito" otsingutes ning hääle- ja näoandmete kasutamises ilma nende loata.

Väidetavalt teatas ettevõte, et lahendab kohtumenetluse süüd või vastutust tunnistamata ja oma tooteid muutmata ning et tema tavad on sündmustest saadik muutunud.

Samal ajal näitavad 3. juunil avaldatud uuringu tulemused, et Meta ja Venemaa ettevõte Yandex jälgivad Androidi kasutajate veebibrauserit isegi inkognito režiimis või VPN-i abil, kasutades ära kohalikku porti, et siduda sirvimistegevus ühendatud identiteediga.

Google'i sõnul uurib see kuritarvitus, mis võimaldab Metal ja Yandexil teisendada ajutised veebiidentifikaatorid mobiilirakenduste kasutajate püsivateks identiteetideks.