Õiguslik järelevalve nr 67 – jaanuar 2024.

Andmekaitseametnike roll ja ressursid: aasta auditite tulemused

17. jaanuaril avaldasid CNIL ja selle Euroopa kolleegid oma uurimiste tulemused andmekaitseametnike (DPO-de) rolli ja ressursside kohta GDPR-i kohaldamise kontekstis.

See teema oli 2023. aastal Euroopa Andmekaitsenõukogu (EDPB) koordineeritud Euroopa meetmete objekt.

Andmekaitseametniku peamised ülesanded, nagu on sätestatud isikuandmete kaitse üldmääruse artiklites 37–39, hõlmavad vastutava töötleja teavitamist ja nõustamist andmekaitseküsimustes (sealhulgas mõjuhinnangute tegemist), töötajate teadlikkuse tõstmist ja koolitamist ning andmetega seotud rikkumiste jälgimist.

Andmekaitseametnik teeb koostööd järelevalveasutusega ja on kontaktpunkt isikutele, kelle andmeid töödeldakse.

Andmekaitseasutuste uurimised põhinesid küsimustikul, mille töötasid ühiselt välja kõik sellesse kuuluvad asutused.

Prantsusmaal auditeeris CNIL 14 andmetöötlejat ja täiendas küsimustiku saatmist mitme kohapealse kontrolliga.

Kontrollid hõlmasid avaliku sektori osalejaid, nagu haiglad, ülikoolid, omavalitsused, juhtimiskeskused ja erasektori ettevõtted luksuskaupade ja transpordisektoris.

Tähelepanuväärne on auditeeritud ametnike eriti väike arv.

Nagu mitmed Euroopa ametiasutused, on ka CNIL otsustanud läbi viia piiratud arvu põhjalikke uurimisi, samas kui teised ametiasutused on võtnud ühendust kümnete tuhandete juhtidega, ilma selliseid põhjalikke kontrolle läbi viimata.

Euroopa Andmekaitsenõukogu aruandes võetakse neid lähenemisviiside erinevusi oma analüüsis arvesse.

CNIL annab andmekaitseametniku rollile ja talle eraldatud ressurssidele üldiselt positiivse hinnangu.

Ta märgib, et neil on üldiselt piisavalt ressursse.

Siiski toob ta esile suuri erinevusi avalikes struktuurides tegutsevatele andmekaitseametnikele eraldatud ressursside vahel, kes töötavad sageli üksi, eriti väikestes kogukondades, samas kui erasektori andmekaitseametnikel on üldiselt meeskond.

See tähelepanek on kinnitust leidnud ka Euroopa tasandil.

Märgitud puuduste hulgas on huvide konflikti oht andmekaitseametniku kohustuste ja talle määratud muude ülesannete vahel, samuti andmekaitseametniku vähene kaasatus andmekaitset puudutavate otsuste tegemisse.

CNIL märgib sellega seoses, et on (käesoleva uurimise väliselt) määranud sotsiaalsektori organisatsioonile 10 000 euro suuruse trahvi, kuna volitatud isik ei suutnud oma ülesandeid nõuetekohaselt täita: ta ei olnud piisavalt kaasatud isikuandmete kaitsega seotud küsimustesse ja tema ülesanded ei olnud organisatsiooni töötajatele nähtavad.

Euroopa aruanne lõpetab selle analüüsi, märkides, et andmekaitseametnikud võtavad lisaks oma rollile seoses isikuandmete kaitse üldmäärusega üha enam võtmerolli ka uute Euroopa regulatsioonide kontekstis, näiteks tehisintellekti, digiteenuste, digitaalse turu või andmete osas. 

Neile antakse ka uusi rolle, mis on seotud eetika, andmehalduse ja andmeruumidega.

Seda suundumust arvestades hoiatab komitee huvide konfliktide suurenenud ohu või andmekaitseametnikele kättesaadavate ressursside ebapiisavuse eest.

Ta rõhutab, et andmekaitseasutustel ja andmetöötlejatel on andmekaitseametniku täielikuks täitmiseks oluline roll.

 

     

• CNIL on viimastel nädalatel kehtestanud mitu olulist sanktsiooni.
• 29. detsembril 2023 trahvis ettevõte Yahoo'd 10 miljoni euroga, kuna ettevõte ei austanud nende internetikasutajate valikut, kes keeldusid küpsistest ettevõtte veebisaidil, ega lubanud oma sõnumsideteenuse kasutajatel küpsistega seotud nõusolekut vabalt tagasi võtta.
• Pärast Amazon France Logistique'i ladudes kohapealseid kontrolle leidis Prantsuse andmekaitseamet (CNIL) 27. detsembril samuti mitu isikuandmete kaitse üldmääruse (GDPR) rikkumist, mis puudutasid töökohtade ulatuslikku jälgimist, ning trahvis rahvusvahelist ettevõtet 32 miljoni euroga. CNIL-i andmetel on Amazon rakendanud "liiga pealetükkivat" jälgimissüsteemi, mis toimib teavet andmata ja ei ole piisavalt turvaline.
• 29. detsembril määras CNIL e-raha levitajale NS Cards France'ile ka 105 000 euro suuruse trahvi isikuandmete liigse säilitamise, mittetäielike privaatsuspoliitikate, ebapiisavate turvameetmete ja mittevajalike küpsiste osas kasutaja nõusoleku puudumise eest.
• Lõpuks algatab komisjon avaliku konsultatsiooni Euroopa Majanduspiirkonnast väljaspool toimuva andmeedastuse mõjuhinnangu juhendi eelnõu kohta: enne mis tahes edastamist riiki, mille kohta puudub piisavusotsus, tuleb hinnata vastuvõtjariigi andmekaitse taset, samuti hinnata selle edastamise puhul tagatavaid kaitsemeetmeid. Kavandeid saab esitada kuni 12. veebruarini 2024.
• Prantsuse riiklik küberturvalisuse amet (ANSSI) on teatanud Hackropole'i käivitamisest, mis on uus platvorm, mille eesmärk on tutvustada inimestele küberturvalisuse karjäärivõimalusi. Platvorm pakub enam kui 300 kõigile avatud väljakutset, mis hõlmavad kõiki küberturvalisuse valdkondi krüptograafiast häkkimiseni.

 

Euroopa institutsioonid ja organid 

• Belgia võttis jaanuari alguses kuueks kuuks üle Euroopa Liidu Nõukogu eesistumise loosungiga "Kaitsta, tugevdada ja valmistuda".

2024. aastal käsitletavate teemade hulka kuuluvad ühendatud toodete kübervastupidavus, digitaalne identiteet, andmeruumid, isikuandmete kaitse üldmääruse piiriülene kohaldamine ja tehisintellekt.

 2024. aasta on ka paljude eelmisel aastal lõpule viidud seaduste rakendusaasta, sealhulgas digitaalteenuste seadus, seal digitaalsete turgude seadus ja andmehalduse seadus.

• 2. veebruaril kiitsid Euroopa Liidu 27 riigi suursaadikud ühehäälselt, kuid mitte ilma raskusteta, heaks tehisintellekti regulatsioonid, kinnitades seega valitsuse tasandil detsembris saavutatud poliitilist kokkulepet.

Pärast Euroopa Parlamendi komisjonide hääletust veebruari keskel on täiskogu istungjärgul vastuvõtmine esialgsetel kuupäevadel kavandatud 10. ja 11. aprillile.

Määrus jõustub 20 päeva pärast selle avaldamist ametlikus väljaandes.

Keelatud tavade keelud hakkavad kehtima kuus kuud hiljem ja tehisintellekti mudelitega seotud kohustused aasta jooksul.

• Paralleelselt teatas Euroopa Komisjon 24. jaanuaril Euroopa tehisintellekti büroo loomisest, et aidata kaasa tulevase määruse rakendamisele ja kohaldamisele.

Selle büroo eesmärk on avaldada suunised ühtlustatud eeskirjade kehtestamiseks kogu ELis ning julgustada ja hõlbustada tegevusjuhendite ja käitumisjuhendite väljatöötamist liidu tasandil.

• Seadusandlik protsess, mis on seotud CSAR-i eeskirjad Kuna („vestluse kontroll“) pole kaugeltki lõpule viidud, on Euroopa Liit teinud ettepaneku pikendada ajutist lahendust, mis võimaldab tehnoloogiahiiglastel vabatahtlikult oma klientide seadmeid lastepornograafia suhtes skannida.

See meede on pälvinud kriitikat, eelkõige Euroopa Andmekaitseinspektori (EDPS) poolt. 29. jaanuaril avaldatud arvamuses väljendas Euroopa Andmekaitseinspektor muret selle määruse eesmärkide pärast, mis piiraksid üksikisikute õigust oma suhtluse konfidentsiaalsusele.

• 31. jaanuaril avaldas Euroopa Komisjon digiteenuste seaduse (DSA) läbipaistvuse tulemustabeli. See annab ülevaate suurimate veebiplatvormide sisu modereerimise otsustest.
• Euroopa andmekaitsemäärus jõustus jaanuaris 2024.

Selle eesmärkide hulka kuuluvad andmete õiglase jagamise edendamine, avaliku sektori asutustele erasektori valduses olevate andmete kasutamise võimaldamine avaliku huvi konkreetsetel eesmärkidel ning klientidel andmetöötlusteenuse pakkuja hõlpsa vahetamise võimaldamine Euroopa pilveteenuste turu edendamiseks.

• Euroopa Komisjon uurib asja Microsofti ja OpenAI partnerlus, mille raames MS plaanib integreerida oma toodetesse tehisintellekti tööriistade komplekti.

9. jaanuari pressiteates kutsub komisjon kõiki huvitatud isikuid üles jagama oma kogemusi ja kommentaare virtuaalsete maailmade ja generatiivse tehisintellekti kontekstis valitseva konkurentsi taseme kohta ning ideid selle kohta, kuidas konkurentsiõigus aitab tagada nende uute turgude konkurentsivõime säilimise.

• Euroopa Komisjon avaldas oma aruande 15. jaanuaril. 11 sobivusotsuse hindamine vastu võetud 1995. aasta andmekaitsedirektiivi alusel.

Selles märgitakse, et Euroopa Liidust Andorrasse, Argentinasse, Kanadasse, Fääri saartele, Guernseyle, Mani saarele, Iisraeli, Jerseysse, Uus-Meremaale, Šveitsi ja Uruguaysse edastatud isikuandmete suhtes kohaldatakse jätkuvalt isikuandmete kaitse üldmääruse kohase piisavusotsuse sätteid.

• Euroopa Andmekaitsenõukogu (EDPB) on avaldanud veebisaidi auditeerimise tööriist ELi isikuandmete kaitse üldmääruse järgimiseks.

Tööriista töötas välja Euroopa Andmekaitsenõukogu ekspertide rühm ning seda saavad kasutada nii andmekaitseasutused kui ka andmetöötlejad ja -töötlejad auditite ettevalmistamise, läbiviimise ja hindamise sujuvamaks muutmiseks. See on tasuta ja avatud lähtekoodiga tarkvara, mis on litsentseeritud EUPL 1.2 litsentsi alusel ja mille saab alla laadida aadressilt code.europa.eu.

• Euroopa Andmekaitsenõukogu avaldas 18. jaanuaril ka andmetöötluse turvalisuse ja andmetega seotud rikkumisest teatamise fail.

Dokumendis analüüsitakse järelevalveasutuste otsuseid, mis on vastu võetud vastavalt isikuandmete kaitse üldmääruse artiklile 60 andmetöötluse turvalisuse ja isikuandmetega seotud rikkumiste valdkonnas ühtse kontaktpunkti mehhanismi raames.

• Euroopa Liidu Kohus otsustas 30. jaanuari otsuses, et kriminaalkuritegudes süüdi mõistetud isikute biomeetriliste ja geneetiliste andmete üldine ja valimatu säilitamine kuni surmani on vastuolus ELi õigusega ja eelkõige õigusega olla unustatud.
• Euroopa Kohus otsustas 16. jaanuaril ka, et GDPR kehtib riikide parlamendikomisjonidele.

Kohus selgitas riigi julgeoleku mõistet ja märkis, et kui riigi julgeoleku eesmärgi kohta puuduvad tõendid, peavad siseriiklikud kohtud kindlaks tegema, kas isikuandmete kaitse üldmääruse kohaldamisala käsitlev artikli 2 lõike 2 punkt a on kohaldatav.

• Tehnoloogiahiiglastel on Euroopa digitaalsete turgude määruse sätete järgimiseks aega 6. märtsini ning eelkõige peavad nad lubama oma kasutajatel registreeruda ühe teenuse jaoks ilma seda automaatselt teisega sidumata.

Just selles kontekstis teatas Meta 22. jaanuaril, et Instagrami ja Facebooki kasutajad saavad oma kontosid eraldi hallata, nii et nende teavet enam kahe konto vahel ei jagata.

Google mainis oma abikeskuse lehel ka võimalust, et Euroopa kasutajad saavad valida teenused, mida nad soovivad andmete jagamise osas seotuna hoida.

 

Uudised Euroopa liikmesriikidest

• 11. detsembril 2023 andis Hollandi andmekaitseamet (APD) koostöös CNIL-iga ettevõtete vastu otsuse. Uber BV ja Uber Technologies

Inc.-ile määrati kümne miljoni euro suurune trahv mitme autojuhtidele teabe edastamata jätmise eest. 

Need puudujäägid on seotud eelkõige andmetele juurdepääsu õiguse, ELi-välise edastamise, säilitusaegade ja andmete ülekandmise õigusega seotud menetlustega.

• Hollandi andmekaitseamet trahvis krediitkaardifirmat ICS 150 000 euroga mõjuhinnangu tegemata jätmise eest.

Oma kaalutlustes rõhutas APD, et andmekaitsealase mõjuhinnangu puudumine kujutab endast iseenesest isikuandmete kaitse üldmääruse rikkumist, kuid see suurendab ka muude määruse rikkumiste tõenäosust, kuna enne töötlemise rakendamist ei arvestata riske.

• Belgia andmekaitseamet (APD) trahvis andmevahendajat 174 640 euroga.

Muude rikkumiste hulgas ei saanud andmetöötleja tugineda õigustatud huvile koguda andmeid kolmandatelt isikutelt.

Samuti ei teavitanud ta juurdepääsutaotluse kontekstis taotlejat andmete allikatest ja saajatest. 

• Belgia ametiasutus uuris ka andmekontrolöri tegevust pärast ligi 90 000 inimest mõjutanud andmetega seotud rikkumist.

Ta ei rakendanud mingeid sanktsioone, arvestades, et andmetega seotud rikkumine oli üksikjuhtum ja et andmetöötleja oli järginud isikuandmete kaitse üldmääruse artiklit 33.

• Austria andmekaitseamet (APD) määras andmetöötlejale 10 000 euro suuruse trahvi kaebusmenetluses koostöö tegemata jätmise eest, rikkudes seega isikuandmete kaitse üldmääruse artiklit 31.
• Saksamaal trahviti turvauurijat 17. jaanuaril 3000 euroga e-kaubanduse andmebaasis turvavea avastamise ja sellest teatamise eest, mis avalikustas ligi 700 000 kliendikirjet.

Parooli leidmist lihttekstist ja selle loata kasutamist otsingus on peetud kuriteoks.

Seda otsust, mis kaevatakse edasi, kritiseerib turvaekspert selle jahutava mõju pärast süsteemi haavatavuste õiguspärasele uurimisele.

• Jaanuari lõpus leidis Taani andmekaitseamet (APD), et üks omavalitsus oli rikkunud isikuandmete kaitse üldmääruse (GDPR) turvareegleid, jättes oma arvutite kõvakettad krüpteerimata.

Töötaja kodust oli varastatud tööarvuti, mis sisaldas tundlikke isikuandmeid, sotsiaalkindlustusandmeid ja alaealiste kohta käivaid andmeid.

Kõvaketas polnud krüpteeritud.

Juurdluse käigus selgus, et ligi 1200 omavalitsuse sülearvutit polnud samuti krüpteeritud.

• 24. jaanuaril avaldas Ühendkuningriigi riiklik küberjulgeolekukeskus murettekitava aruande tehisintellekti lühiajalise mõju kohta küberohtudele.

Aruandes märgitakse eelkõige, et Tehisintellekt suurendab olemasolevate taktikate, tehnikate ja protseduuride täiustumisega järgmise kahe aasta jooksul peaaegu kindlasti küberrünnakute mahtu ja mõju.

Ta märgib ka, et tehisintellekt piirab amatöör-küberkurjategijate raskusi, kuna nad saavad peagi käivitada keerukaid andmepüügirünnakuid, mida adressaatidel on raske tuvastada.

 

• Jaanuari lõpus arutasid siseturu volinik Thierry Breton ja USA sisejulgeolekuminister Alejandro N. Mayorkas teemat ELi ja USA ühine tegevuskava küberturvaliste toodete kohtapärast ELi ja USA tippkohtumist 2023. aasta oktoobris.

Komisjoni ja asjaomaste USA reguleerivate asutuste vahelise koostöö eesmärk on uurida asjade interneti tarbijariist- ja tarkvaratoodete küberturvalisuse nõuete võimalikku vastastikust tunnustamist.

Tegevuskava põhineb kübervastupidavusvõimet käsitleva ELi õiguse raamistikul ja Ameerika Ühendriikide pakutud küberturvalisuse märgistamise programmil (Cyber Trust Mark Act).

• Bideni-Harrise administratsioon teatas tehisintellekti peamistest meetmetest 29. jaanuaril pärast president Bideni täidesaatva korralduse vastuvõtmist kolm kuud tagasi.

Määrus näeb eelkõige ette oluliste avalikustamisnõuete kehtestamise kõige võimsamate süsteemide arendajatele, tehisintellekti riskide hindamise kriitilisele infrastruktuurile ja "välisriikide osalejate püüdluste takistamise tehisintellekti arendamisel kahjulikel eesmärkidel".

Asjaomased föderaalagentuurid ja -osakonnad teatasid, et nad olid kõik dekreedis sätestatud meetmed 90 päeva jooksul lõpule viinud, ning andsid teada pikemaajaliselt kavandatud meetmete edenemisest.

• Kanada valitsus on loonud isikuandmete ja privaatsuse sõnastiku, mis sisaldab enam kui 300 mõiste ingliskeelseid ja prantsuskeelseid termineid.

See sisaldab ka muud terminoloogilist teavet (mis võib kirjete lõikes erineda), sh muid nimetusi, definitsioone, märkusi ja kasutusnäiteid.

• Kaks Carnegie rahvusvahelise rahu sihtasutuse teadlast on kutsunud Lõuna-Aafrika valitsust üles seadma küberturvalisusele kõrgeima prioriteedi ja võtma selles valdkonnas rahvusvahelisel areenil tugevama juhtrolli.

Vaatamata digitaalsele sõltuvusele näitavad teadlased, et riigi küberstrateegial on rahastus väga puudulik ja valitsusel puudub kübervalitsemise aruteludes selge seisukoht.

Lõuna-Aafrika Teadus- ja Tööstusuuringute Nõukogu andmetel on Lõuna-Aafrika Vabariik Aafrika riik, mida need küberrünnakud enim sihtivad, ja on maailmas kaheksandal kohal.