Õiguslik järelevalve nr 69 – märts 2024.

Andmeturve, küberohud: hetkeseis ja juhised.

Mitmed organisatsioonid avaldavad selle aasta alguses oma aruanded küberturvalisuse ohu olukorra kohta: see on võimalus hinnata riske ja anda nõuandeid isikuandmete kaitsmiseks.

Euroopa Liidu Küberturvalisuse Amet (ENISA) avaldas oma aruande küberturvalisuse ohtude kohta aastani 2030.

Aruandes tuuakse eriti murettekitavatena välja tarkvarasõltuvuste ja väärinfo levitamise kampaaniatega seotud ohud, aga ka inimlike eksimustega seotud ohud.

Pikaajaliste ohtude hulgas toob amet välja oskuste puuduse ja teenusepakkujate ebaõnnestumised, samuti tehisintellektiga seotud ohtude sagenemise.

Küberkuritegevuse vastase võitluse algatuse raames jagatakse oma iga-aastase tegevusaruande avaldamise puhul ka oma analüüsi Prantsusmaa ohuolukorra kohta. 

Andmepüük on endiselt peamine oht: see mitmekesistub ja muutub üha keerukamaks. Andmepüügi peamised vormid hõlmavad liiklusrikkumisi, lastepornot või võltsitud tehnilist tuge.

Lisaks püsivad võltspangandusnõustajatega seotud pettused pidevalt kõrgel tasemel.

Kontode häkkimine on veel üks suur oht, mille tagajärjed võivad viia identiteedivarguse ja rahalise kahjuni.

Lõpuks on lunavararünnakud ja pahavara (viirused) ohvrite abipalvete olulised ja üha sagenevad põhjused.

27. märtsil avaldas CNIL aruande viimase viie aasta turvarikkumiste kohta.

Ta märgib, et erasektor vastutab ligikaudu kahe kolmandiku CNIL-ile esitatud rikkumiste deklaratsioonidest, sealhulgas 39 VKEde % juhtumi eest.

Samal ajal moodustab avalik sektor 22 % teavitust.

Tegevusalade kaupa jaotuse osas moodustavad avaliku sektori asutused 18 % teavitustest.

Erasektoris on enim esindatud spetsialiseeritud, teaduslikud ja tehnilised tegevused, millele järgnevad finants- ja kindlustustegevused.

Inimeste tervisega seotud tegevused moodustavad samuti 12 % teadet.

Selles kontekstis ja uute andmetega seotud riskide arvessevõtmiseks ajakohastas CNIL märtsi lõpus oma andmeturbe juhendit.

See uus versioon jagab juhendi viieks osaks: kasutajad, seadmed, andmekontroll, intsidentideks valmisolek ja lõpuks keskendumine eriti aktuaalsetele probleemidele.

CNIL tutvustab uusi teabelehti, eelkõige tehisintellekti (AI), mobiilirakenduste, pilvandmetöötluse ja rakendusliideste (API-de) kohta.

Juhend sisaldab ka teabelehti riskianalüüsi ja krüpteerimise kohta.

Dokumendi lõpus olev kontrollnimekiri võimaldab teil üle vaadata vastutava isiku võetud meetmed ja hinnata tema turvalisuse taset.

Soovitatavate kaitsemeetmete hulgas nimetatakse sageli mitmefaktorilist autentimist (MFA) ja seda soovitatakse üha enam andmebaaside kaitsmiseks petturlike juurdepääsukatsete eest.

CNIL avas äsja avaliku konsultatsiooni AMF-i kasutavate lahenduste vastavuse kohta GDPR-ile.

Hiljutine näide kinnitab vajadust selgitada AMF-i kasutamise konteksti: Hispaanias mõisteti ettevõte kohtus süüdi AMF-i pealesurumises oma töötajatele nende eratelefonides, kuigi seadus kohustas ettevõtet andma neile selleks otstarbeks ettevõtte mobiiltelefonid.

Oma soovituses käsitleb CNIL õigusliku aluse kindlaksmääramist, kogutavate andmete minimeerimist, säilitusaegu ja asjaomaste isikute õiguste teostamise austamist.

See pakub praktilisi näiteid privaatsust austava mitmefaktorilise autentimise rakendamisest.

 

      

20. märtsil määras Prantsuse konkurentsiamet Google'ile 250 miljoni euro suuruse trahvi oma kohustuste täitmata jätmise ja oma tehisintellekti süsteemi (Bard/Gemini) treenimiseks ajakirjanduses ilmunud artiklite kasutamise eest. 

See otsus, mis on neljas selles asjas nelja aasta jooksul tehtud otsus, on osa 24. juulil 2019. aastal vastu võetud autoriõigusega kaasnevate õiguste seaduse kontekstist, mille eesmärk on luua tingimused tasakaalustatud läbirääkimisteks kirjastajate, uudisteagentuuride ja digitaalplatvormide vahel.

8. aprillil avaldas CNIL soovitused tehisintellekti kasutamiseks isikuandmeid austaval viisil.

Nende eesmärk on anda konkreetseid ja näidetega illustreeritud vastuseid GDPR-i tehisintellektile kohaldamisega seotud õiguslikele ja tehnilistele väljakutsetele.

Nendes esialgsetes soovitustes käsitletud punktid võimaldavad eelkõige kindlaks määrata kohaldatava õiguskorra, osalejate õigusliku kvalifikatsiooni, vajaduse korral läbi viia mõjuanalüüsi ning integreerida andmekaitse süsteemi kavandamisetapist alates (privacy by design).

 

Euroopa institutsioonid ja organid

11. märtsil leidis Euroopa Andmekaitseinspektor (EDPS), et Euroopa Komisjon oli Microsoft 365 kasutamisel rikkunud mitmeid olulisi andmekaitse-eeskirju.

Eelkõige ei ole komisjon ette näinud asjakohaseid kaitsemeetmeid, et tagada EList/EMP-st väljapoole edastatavate isikuandmete kaitse tase, mis on sisuliselt samaväärne ELis/EMP-s tagatud kaitsetasemega.

Lisaks ei täpsustanud komisjon oma lepingus Microsoftiga piisavalt, milliseid isikuandmeid tuleks Microsoft 365 kasutamisel koguda ja millistel selgesõnalistel ja täpsetel eesmärkidel seda teha tuleks (...).

Euroopa Andmekaitsenõukogu kehtestas komisjonile parandusmeetmed, sealhulgas peatas alates 9. detsembrist 2024 kõik andmevood, mis tulenevad Microsoft 365 kasutamisest Microsoftile ja tema sidusettevõtetele ja alltöövõtjatele väljaspool ELi/EMP-d asuvates riikides, mille suhtes ei kehti piisavusotsus.

Kuigi see otsus puudutab Euroopa institutsioone, on Euroopa Andmekaitseinspektori põhjendusel palju laiem ulatus ja see võib mõjutada Microsoft 365 kasutamist ELi liikmesriikides.

15. märtsil kirjutas Euroopa Ombudsman Euroopa Komisjonile, et küsida, kuidas komisjon oma otsustusprotsessis tehisintellekti kasutab.

Ombudsman märkis, et „kuigi tehisintellekti kiire areng võib parandada töö kvaliteeti ja tõhusust, tekitab see suuri väljakutseid täpsuse, võimaliku eelarvamuse, selgitatavuse ja inimliku kontrolli osas.“

Ta rõhutas ka, et avaliku sektori asutused peavad tagama, et tehisintellekt ainult abistab inimeste otsustusprotsessi, mitte ei asenda seda.

Küsimused keskenduvad tehisintellekti kasutamisele kolmes konkreetses valdkonnas: avaliku tagasiside analüüsimine, ELi konkurentsieeskirjade võimalike rikkumiste avastamine ja kaebuste menetlemine.

Kuigi Euroopa Parlament hääletas just tehisintellekti määruse üle, on digitaalseid turge (DMA) ja digitaalteenuseid (DSA) puudutavad määrused jõustunud ning komisjon on nende kahe teksti alusel juba algatanud mitu menetlust.

25. märtsil algatas see DMA-põhise menetluse Alphabeti, Apple'i ja Meta vastu.

Apple'i ja Alphabeti puhul kavatseb komisjon kindlaks teha, kas nende rakenduste poodidega seotud kohustustega seoses rakendatud meetmed on vastuolus riigihangete seadusega, mis nõuab, et juurdepääsuväravad lubaksid rakenduste arendajatel tarbijaid tasuta suunata pakkumistele, mida nende rakenduste poodides ei ole loetletud.

Seoses Metaga on komisjon algatanud menetluse, et teha kindlaks, kas hiljuti ELi kasutajatele kehtestatud „maksa või nõusoleku” mudel on kooskõlas andmekaitseseadusega, mis nõuab haldajatelt kasutajate nõusoleku saamist, kui nad kavatsevad nende isikuandmeid kombineerida või ristkasutada.

See viimane menetlus lisandub Euroopa Andmekaitsenõukogu samal teemal algatatud menetlusele.

Samuti algatas komisjon 14. märtsil digitaalteenuste seaduse alusel ametliku menetluse, et teha kindlaks, kas AliExpress on rikkunud digitaalteenuste seadust valdkondades, mis on seotud riskide juhtimise ja leevendamise, sisu modereerimise ja sisemise kaebuste menetlemise mehhanismi, reklaami ja soovitussüsteemide läbipaistvuse, kauplejate jälgitavuse ning teadlaste juurdepääsuga andmetele.

Samal kuupäeval saatis ta LinkedInile ka teabenõude potentsiaalselt tundlikel andmetel põhineva suunatud reklaami kohta.

4. märtsil korraldas Euroopa Komisjon esimese kõrgetasemelise kohtumise piiriüleste andmevoogude teemal.

Kohtumisel osalesid õigusküsimuste volinik, Euroopa Andmekaitsenõukogu esimees ning ministrid ja andmekaitseasutuste juhid 15 riigist ja territooriumilt, mille kohta EL on vastu võtnud piisavusotsuse.

Eesmärk on edendada nende osalejate vahelist tihedamat koostööd andmekaitse valdkonnas.

7. märtsi otsuses kinnitas Euroopa Liidu Kohus (CJEU), et reklaamijate poolt kasutajaeelistuste kodeerimiseks kasutatav TC-string („TC-string“) „sisaldab teavet tuvastatava kasutaja kohta ja kujutab endast seega isikuandmeid GDPR-i tähenduses“.

Kui TC-stringis sisalduv teave on seotud identifikaatoriga, näiteks muu hulgas kasutaja seadme IP-aadressiga, saab seda teavet kasutada kasutaja profiili loomiseks ja tema tuvastamiseks. 

Lisaks tuleb IAB Europe'i pidada isikuandmete kaitse üldmääruse tähenduses „kaasvastutavaks töötlejaks“. (...)

Näib, et ühing avaldab mõju andmetöötlustoimingutele, kui kasutaja nõusoleku eelistused salvestatakse TC-stringis, ning määrab koos oma liikmetega kindlaks nii nende toimingute eesmärgid kui ka nende aluseks olevad vahendid. 

Euroopa Kohus tegi 7. märtsil otsuse apellatsioonkaebuse kohta Euroopa Kohtu otsuse kohta, mis käsitles isikuandmete mõistet.

 Kohus leidis, et tuvastatavus ei ole seotud asjaoluga, et „keskmine lugeja“ suudab isiku tuvastada, vaid sõltub sellest, kas on olemas „tuvastamiseks vajalikud täiendavad tegurid... [need tegurid] võivad olla kättesaadavad ka muule isikule peale vastutava töötleja (vt C-582/14, punktid 39 ja 41)“.

Samuti eksis tribunal väites, et asjaomase isiku tuvastamiseks kasutatavad "mõistlikult tõenäoliselt" vahendid olid piiratud.

Kohus oleks pidanud hageja isiku tuvastamiseks vajalikke kulusid ja aega arvestama, et teha kindlaks, kas viimast oli võimalik tuvastada „mõistlike vahenditega”.

See otsus puudutas Euroopa institutsioonide suhtes kohaldatava andmekaitsemääruse kohaldamist, mille määratlused on identsed isikuandmete kaitse üldmääruse omadega.

Kaizeneri veebisaidilt leiate rea tabeleid, kus on loetletud paljud Euroopa regulatiivsed algatused digitaalsektoris ja nende rakendamise seis. 

 

Uudised Euroopa liikmesriikidest.

Belgia andmekaitseamet avaldas 15. märtsil otsuse, mis käsitleb tehisintellekti mudelite treenimiseks kasutatavate andmete töötlemise õiguslikku alust ja nende mudelite edasist eraldi kasutamist ärilistel eesmärkidel. 

APD leidis, et vastutav töötleja ei saa väita, et kasutusviis on ühilduv (GDPR artikli 6 lõige 4), kuna koolituse eesmärki ei olnud algusest peale selgelt kindlaks määratud.

Edasine kasutamine nõudis ka omaette õiguslikku alust.

Andmetöötleja peab andma oma klientidele ka õiguse esitada vastuväiteid andmete kasutamisele modellikoolituseks.

Belgia andmekaitseamet leidis samuti, et andmetöötleja oli rikkunud isikuandmete kaitse üldmääruse artikli 5 lõiget 1, kuna ta ei kustutanud õigeaegselt endise töötaja e-posti kontot.

APD teatas, et postkast tuleks deaktiveerida viimasel tööpäeval ja automaatne vastus tuleks deaktiveerida ühe kuu või teatud erandjuhtudel kolme kuu jooksul.

Sarnases kontekstis leidis Itaalia andmekaitseamet (APD), et andmetöötleja rikkus andmete minimeerimise põhimõtet, kuna ta ei deaktiveerinud endise töötaja e-posti kontot, viidates vajadusele suunata kliendid teisele kontole.

Andmetöötlejale määrati 15 000 euro suurune trahv.

Itaalia andmekaitseamet (APD) trahvis alltöövõtjat 800 000 euroga teisese alltöövõtja kaasamise eest ilma andmetöötleja eelneva loata ja andmetöötleja hilinenud teavitamise eest andmetega seotud rikkumisest.

Samuti trahviti viit ettevõtet, kes kasutasid töökohal kohaloleku jälgimiseks näotuvastust.

Amet leidis, et andmekaitsemeetmed olid ebapiisavad, inimesed ei olnud saanud vajalikku teavet ja et oleks saanud kasutada vähem pealetükkivat süsteemi.

Itaalia andmekaitseamet (APD) algatas 8. märtsil samuti uurimise OpenAI vastu, mis teatas uue tehisintellekti mudeli nimega "Sora" turuletoomisest.

See mudel suudaks luua dünaamilisi, realistlikke ja kujutlusvõimelisi stseene mõne tekstijuhise põhjal.

APD on palunud OpenAi-l esitada mitmeid selgitusi seoses tagajärgedega, mida „Sora” võib avaldada kasutajate isikuandmete töötlemisele Euroopa Liidus ja eelkõige Itaalias.

25. märtsil otsustas Portugali andmekaitseamet (APD) anda Worldcoin Foundationile korralduse ajutiselt piirata biomeetriliste andmete kogumist "Orbi" poolt riigi territooriumil, et kaitsta kodanike, eriti alaealiste õigusi.

Otsusega kehtestatakse Worldcoin Foundationile kui andmetöötlejale kiireloomuline ajutine meede kuni uurimisprotsessi lõpuni.

Hispaania on langetanud sarnase otsuse.

Soome andmekaitseamet (APD) trahvis IT-jaemüüjat 856 000 euroga, kuna too ei määranud oma klientide andmete säilitusaega.

APD leidis ka, et Üksiku veebiostuga seotud isikuandmete töötlemine ei nõua kliendikonto loomist.

Saksamaal otsustas Berliini kohus, et andmetöötleja ei saa juurdepääsutaotlusele vastates piirduda töötlemise abstraktse ülevaate andmisega.

Ametnik viitas ebaproportsionaalsetele pingutustele.

Kohtu hinnangul saab neid kasutada vaid väga erandlikel juhtudel.

Islandi andmekaitseamet (APD) määras Stjörnuna ehfile 10 059,92 euro (1 500 000 Islandi krooni) suuruse trahvi. Islandi Subway operaator oma töötajate ebaseadusliku jälgimise eest ilma neid piisavalt teavitamata.

Austrias otsustas Ülemhalduskohus, et algoritm Tööotsijate töölevõtmise tõenäosuse kindlaksmääramine kujutab endast automatiseeritud otsuste tegemist GDPR-i artikli 22 tähenduses isegi siis, kui tulemust kasutab ainult avalik-õiguslik asutus tööotsijatele suunatud tööalase nõustamise pakkumiseks.

 

Briti valitsus avaldas märtsis juhendi tehisintellekti vastutustundliku omandamise ja kasutuselevõtu kohta personalijuhtimise ja värbamise sektoris.

21. märtsil võttis ÜRO vastu tehisintellekti käsitleva põhjaliku resolutsiooni.

Organisatsioon tunnistab, et tehisintellekt aitab kiirendada 17 säästva arengu eesmärgi saavutamist ning rõhutab pakilisust "jõuda ülemaailmsele konsensusele ohutute, turvaliste ja usaldusväärsete tehisintellekti süsteemide osas".

Resolutsioon julgustab liikmesriike võtma vastu tehisintellekti eeskirju ja poliitikat erinevatel teemadel, sealhulgas privaatsuse kaitse osas.

Assamblee kutsus kõiki liikmesriike ja sidusrühmi üles "hoiduma või lõpetama selliste tehisintellekti süsteemide kasutamise, mida ei saa käitada kooskõlas rahvusvahelise inimõigustealase õigusega või mis kujutavad endast ülemäärast ohtu inimõiguste teostamisele".

Techcrunchi 26. märtsi artikli kohaselt avaldas California föderaalkohus mitu dokumenti osana tarbijate esitatud kollektiivhagist Meta vastu.

2016. aastal käivitas Facebook väidetavalt salajase projekti, mille eesmärk oli pealt kuulata ja dekrüpteerida võrguliiklust Snapchati rakendust ja selle servereid kasutavate inimeste vahel.

Eesmärk oli mõista kasutajate käitumist ja aidata Facebookil Snapchatiga konkureerida.

Justiitsministeerium ja FBI teatasid 25. märtsil, et miljonid ameeriklaste internetikontod jäid Hiina häkkimisplaani ohvriks.

Seitset Hiina kodanikku süüdistatakse ulatusliku küberrünnaku kampaania läbiviimises.

Justiitsministeeriumi teatel võtsid häkkerid sihikule Ameerika ja välismaised Hiina kriitikud, ettevõtted ja poliitikud.

25. märtsil allkirjastas Florida vabariiklasest kuberner seaduseelnõu, mis keelab alla 14-aastaste laste juurdepääsu sotsiaalmeediale.

14- või 15-aastased alaealised peavad konto loomiseks saama vanemate selgesõnalise nõusoleku.

Kui reeglid 1. juulil 2024 jõustuvad, on sellised ettevõtted nagu Facebook, Instagram ja TikTok põhimõtteliselt kohustatud sulgema olemasolevad kontod, mis neile nõuetele ei vasta, ja kustutama kõik vastavad isikuandmed.

Seda meedet on kritiseeritud ja eeldatavasti vaidlustatakse see kohtus põhiseaduslike sõnavabaduse õiguste alusel.

Samal ajal kaalub Ameerika Ühendriigid TikToki keelustamist üleriigiliselt.

13. märtsil võttis Esindajatekoda vastu niinimetatud seaduse "Ameerikalaste kaitsmine välismaiste vastaste kontrollitud taotluste eest".

Kui senat selle vastu võtab ja jõustub, peab TikTok videoplatvormi oma Hiina emaettevõttest ByteDance eraldama või ameeriklaste juurdepääsu rakendusele ära võtma.

18. märtsil Soulis toimunud kolmandal demokraatia tippkohtumisel ühinesid Lõuna-Korea, Soome, Saksamaa, Iirimaa, Jaapan, Poola ja Korea Vabariik Ameerika Ühendriikidega ühisavalduses, milles käsitletakse jõupingutusi kommertsnuhkvara leviku ja väärkasutamise vastu võitlemiseks.

Riigid kohustuvad oma riiklike süsteemide raames tegema koostööd, et luua tugevad kaitsemeetmed selle jälgimistehnoloogia leviku ja väärkasutamise vastu võitlemiseks.

Kuveidis avaldas info- ja kommunikatsioonitehnoloogia regulatiivamet (CITRA) uue isikuandmete kaitse seaduse.