Õiguslik jälgimine nr 75 – september 2024.  

Anonüümimine või pseudonüümiseerimine: kvalifikatsioonid, mis aja jooksul arenevad?

5. septembril 2024 trahvis CNIL Cegedim Santé't 800 000 euroga terviseandmete loata töötlemise eest.

Järelevalveasutus märgib, et need andmed jäid tuvastatavaks isegi siis, kui need esitati anonüümsetena.

See sanktsioon annab meile võimaluse vaadata üle GDPR-i peensused seoses andmete anonüümimise ja pseudonümiseerimisega.

Cegedim annab välja ja müüb haldustarkvara erapraksistes ja tervisekeskustes töötavatele perearstidele.

Need tarkvaraprogrammid võimaldavad arstidel hallata oma ajakavasid, patsientide faile ja retsepte.

Klientidel on juurdepääs ka andmebaasile, mis võimaldab tervisevaldkonnas uuringute ja statistika koostamist.

CNIL-i 2021. aastal läbi viidud kontrollid näitasid eelkõige, et ettevõtte poolt – ilma eelneva loata – töödeldud andmed olid pseudonüümitud terviseandmed ja seega tuvastatavad.

Ainult täiesti anonüümsed andmed on GDPR-i kohustustest vabastatud.

Anonümiseerimisprotsess on aga eriti nõudlik.

Antud juhul oli Cegedim kehtestanud identifikaatorite kustutamise protseduuri ning 2012. aasta varasemate järelduste kontekstis oli ka CNIL leidnud, et töödeldud andmed olid tõepoolest anonüümsed.

Komisjon vaatas täna need järeldused uuesti läbi, täpsustades, et andmete võimaliku taasidentifitseerimise hindamisel tuleb arvesse võtta praegust doktriini ja kohtupraktika konteksti.

Seega ei pruugi kümme aastat tagasi anonüümsed andmed seda enam olla: „Selleks, et teha kindlaks, kas füüsilise isiku tuvastamiseks kasutatakse vahendeid mõistliku tõenäosusega, on vaja arvesse võtta kõiki objektiivseid tegureid, nagu tuvastamise maksumus ja selleks kuluv aeg, võttes arvesse töötlemise ajal saadaolevaid tehnoloogiaid ja nende arengut.“

Täpsemalt öeldes on CNIL – nagu ka tema Euroopa kolleegid alates 2014. aastast – määranud kindlaks nõuded, mida tuleb anonüümimisprotseduuri raames järgida.

Ta selgitab peamisi anonüümimistehnikaid:

• randomiseerimine (mille eesmärk on muuta andmestikus olevaid atribuute nii, et need oleksid vähem täpsed, säilitades samal ajal üldise jaotuse) ja
• üldistamine (mis seisneb andmekogumite atribuutide skaala ehk suurusjärgu muutmises).

CNIL annab nõu:

• Säilitatava teabe kindlakstegemiseks vastavalt selle asjakohasusele.
• Eemaldada otsesed identifitseerimiselemendid ja haruldased väärtused, mis võiksid võimaldada isikute hõlpsat taastuvastamist;
• Olulise teabe eristamiseks teisejärgulisest või kasutust teabest;
• Ideaalse ja vastuvõetava detailsuse taseme määratlemiseks iga salvestatud teabe jaoks.

Andmestiku tõelise anonüümsuse tagamiseks saab kasutada kolme kriteeriumi:

1. Individualiseerimine: isiku isoleerimine andmestikus ei tohi olla võimalik;
2. Korrelatsioon: sama isiku kohta käivaid erinevaid andmekogumeid ei tohiks olla võimalik omavahel siduda;
3. Järeldus: ei tohiks olla võimalik peaaegu kindlalt tuletada isiku kohta uut teavet.

Cegedimi puhul ei järgitud individualiseerimise kriteeriumi: teenus võimaldas inimesi unikaalse identifikaatori abil aja jooksul pidevalt jälgida ja nende kohta käivate andmete hulka suurendada.

See võimaldas isiku andmestikus isoleerida ja suurendas seega pseudonüümi tühistamise ohtu.

Lõpuks tuleb märkida, et terviseandmete lao loomise eest vastutav isik saab selle rakendada alles pärast CNIL-ilt loa saamist või tingimusel, et see vastab standardile.

Allhanke korral peab vastutav töötleja lisama allhankelepingusse kõik nõuded, mis on vajalikud määruste järgimise tagamiseks, eelkõige andmeturbe osas.

Enamikus tänapäeval pealkirjadesse jõudnud andmetega seotud rikkumisjuhtumites (vt allpool) oli rikkumise algpõhjuseks nõrk lüli alltöövõtja.

 

 

Uue valitsuse koosseis on teada alates 21. septembrist, kusjuures on toimunud mõningaid uusi arenguid digitaalvaldkonnas.

Majandus- ja rahandusministeeriumi nimetusest kaob „digitaalne suveräänsus“ ning digitaalküsimused allutatakse kõrgharidus- ja teadusministrile.

Lõpuks on vastutava sekretariaadi nimetus nüüd: tehisintellekt ja digitehnoloogia.

Cigrefi (digitaalsektori ettevõtteid ja valitsusasutusi esindava ühenduse) peadelegaat Henri d'Agraini sõnul "ei suuda see pealkiri tabada pilve, andmete ja tehisintellekti järjepidevuse olulisust, mida iga tõsine avalik poliitika selles valdkonnas peab omaks võtma". Ta lisab, et "rõhuasetust tehisintellektile selles pealkirjas tuleks vaadelda Élysée palee ambitsioonide valguses tehisintellekti tippkohtumisel, mis toimub Pariisis 2025. aasta veebruaris".

Pärast avalikku konsultatsiooni avaldas CNIL 24. septembril oma soovituste lõpliku versiooni, mis aitavad spetsialistidel kujundada privaatsust austavaid mobiilirakendusi..

See tagab alates 2025. aastast, et neid võetakse nõuetekohaselt arvesse spetsiaalse kontrollkampaania abil.

CNIL kavatseb selgitada ja reguleerida spetsialistide rolli ning tagada mobiilirakenduste kasutajate teabe kvaliteedi ja nõusoleku.

Pärast eelmise kuu SFR-i on nüüd Free'i kord hoiatada oma kliente andmete lekke eest.

Ründaja ligipääsetud andmete hulgas olid vähemalt klientide ees- ja perekonnanimi, telefoninumber ja postiaadress.

Lisaks neile kahele operaatorile langesid septembri keskel paljude Prantsuse jaemüüjate, sealhulgas Boulanger, Cultura, Truffaut ja Grosbil, tarneandmete häkkimise ohvriks. Sama häkker avaldas ja müüs andmed edasi tumeveebis.

Üksikisikute riskid on üldiselt seotud identiteedivarguse ja nende aadressiga seotud andmete hankimisega.

Mis puutub kultuuritoodete müügile spetsialiseerunud Culturasse, siis on lekkinud ka ostukorvide sisu, mis annab täpset teavet ostjate lugemisharjumuste kohta, millel võivad olla väga pealetükkivad tagajärjed.

Enamikus neist rünnakutest oli häkker sihikule võtnud asjaomaste ettevõtete teenusepakkuja.

25. septembril andis kassatsioonikohtu sotsiaalkoda välja otsuse, millega tunnistati kehtetuks töötaja vallandamine, mis põhines tema tööaadressilt saadetud e-kirjade pealtkuulamisel.

Kohus tuletab meelde, et „töötajal on õigus oma eraelu puutumatusele isegi töö ajal ja kohas.

See hõlmab eelkõige kirjavahetuse konfidentsiaalsust.

Seega ei saa tööandja seda põhivabadust rikkumata kasutada töötaja distsiplinaarkaristuseks tema poolt töö eesmärgil antud arvutivahendi abil saadetud või vastuvõetud isiklike sõnumite sisu.

 

Euroopa institutsioonid ja organid

25. septembril tõi komisjon Brüsselis kokku tehisintellekti sektori võtmeisikud, et tähistada tehisintellekti pakti kohustuste esimest 100 allkirja saamist.

Allakirjutanud on rahvusvahelised korporatsioonid ning väikesed ja keskmise suurusega Euroopa ettevõtted erinevatest sektoritest. Seni pole Meta ja Apple sellele paktile alla kirjutanud.

Dokumendis sisalduvad vabatahtlikud kohustused kutsuvad osalevaid ettevõtteid üles võtma kohustusi vähemalt kolme põhilise tegevuse elluviimiseks:

• Võtta vastu tehisintellekti juhtimisstrateegia, et edendada tehisintellekti kasutuselevõttu organisatsioonis ja töötada tulevikus tehisintellekti regulatsioonide järgimise nimel.
• Tuvastage ja kaardistage tehisintellekti süsteemid, mida võib tehisintellekti määruse kohaselt liigitada kõrge riskiga süsteemideks.
• Edendada töötajate teadlikkust tehisintellektist.

Ettevõtteid julgustatakse võtma ka muid oma tegevusega kohandatud kohustusi, sealhulgas tagama inimjärelevalve, maandama riske ja märgistama läbipaistvalt teatud tüüpi tehisintellekti loodud sisu, näiteks „süvavõltsinguid”.

Euroopa Liidu Kohus (CJEU) otsustas 4. oktoobri otsuses (C 621/22), et ärihuvi võib olla isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti f tähenduses „õigustatud huvi“, kui see ei ole seadusega vastuolus.

Kuigi see seisukoht võib tunduda ilmselge, ei olnud see Hollandis juba mõnda aastat nii: Hollandi andmekaitseasutuse (DPA) andmetel pidi õigustatud huvi põhinema õiguslikul alusel.

Kohus kordab, et selline nõue on liigne ning piisab sellest, kui eesmärk ei ole seadusega vastuolus. Tuleb märkida, et see otsus ei anna kõigile turundustavadele vaba voli: alati tuleb kaaluda kaalul olevaid huve ja õigusi.

Samuti 4. oktoobril tegi Euroopa Kohus otsuse kohtuasjas C-446/21, milles toetab Meta vastu esitatud hagi seoses ettevõtte Facebooki teenusega.

Küsimused puudutasid isikuandmete kasutamise piiramist veebireklaami eesmärgil ja avalikult kättesaadavate isikuandmete kasutamise piiramist algselt avaldamiseks ette nähtud eesmärkidega.

Samal päeval kinnitas Euroopa Kohus kohtuasjas C-21/23 ka ettevõtte konkurendi võimalust esitada tsiviilkohtule hagi ebaausate kaubandustavade keelu alusel, et peatada konkurendi poolt isikuandmete kaitse üldmääruse sisuliste sätete rikkumine.

Tuleb märkida, et selline kohtupraktika on Prantsuse õiguses juba olemas.

Euroopa Kohus otsustas 26. septembril (kohtuasi C 768/21), et kui andmetega seotud rikkumine on tuvastatud, ei ole andmekaitseasutused kohustatud teostama isikuandmete kaitse üldmääruse artikli 58 lõike 2 kohaseid parandusvolitusi, kui see ei ole tuvastatud puuduse kõrvaldamiseks asjakohane, vajalik või proportsionaalne.

Kohtu sõnul võivad andmekaitseasutused pärast kõigi juhtumi asjaolude analüüsimist sellise parandusvolituse teostamisest hoiduda, näiteks kui vastutav töötleja on rakendanud asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada rikkumise lõppemine ja selle kordumise vältimine.

Kohus otsustas lõpuks 12. septembri otsuses (liidetud kohtuasjad C 17/22 ja C 18/22), et mitte ainult seadusandlik akt, vaid ka siseriiklik kohtupraktika võivad sätestada isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti c kohase juriidilise kohustuse avaldada aktsionärile kõigi teiste asjaomaste aktsionäride identiteet.

Pärast Prantsusmaal, Taanis, Hispaanias ja Saksamaal tehtud algatusi veebipõhise vanuse kontrollimise valdkonnas avaldasid Euroopa vabaühendus EDRi ja 63 organisatsiooni, akadeemikut ja privaatsuse, krüpteerimise, laste turvalisuse, seksitöötajate õiguste ja tarbijaõiguste eksperti 16. septembril ühisavalduse.

See kutsub Euroopa Komisjoni üles seadma esikohale tõhusad laste turvalisuse meetmed, väljendades samal ajal tõsist muret praeguste ettepanekute piisavuse, proportsionaalsuse ja negatiivse mõju pärast põhiõigustele.

 

Uudised Euroopa Liidu liikmesriikidest.

Saksamaa Sõltumatute Andmekaitseasutuste Konverentsi (DSK) 11. septembril avaldatud resolutsioon annab praktilisi soovitusi isikuandmete edastamise raamistik varadehingute kontekstis ettevõtete valduses olevate isikuandmete kohta: ettevõtte klientide ja potentsiaalsete klientide, töötajate, äripartnerite jne andmed.

Saksamaal võttis Hamburgi andmekaitseamet vastu vastuolulise dokumendi suurte keelemudelite (LLM) kohta.

Seega jõudis ametiasutus järeldusele, et õigusteaduse üliõpilased ei säilita isikuandmeid ja et see järeldus on kooskõlas Euroopa Kohtu arvamusega.

Erinevalt koolitusfaasist võivad tehisintellekti süsteemi sisend- ja väljundandmed siiski olla isikuandmed, millel on tagajärjed: juurdepääsu-, kustutamis- või parandamistaotlused võivad seega olla seotud nende andmetega.

Belgias distantseerub Flandria föderaalvalitsusest privaatsuse kaitse küsimustes.

Ajaleht Le Soir teatas 1. septembril, et Flaami peaminister Jan Jambon andis 20. septembril, paar päeva enne ametist lahkumist, oma ministritele korralduse mitte esitada dekreetide ja otsuste eelnõusid enam föderaalsele andmekaitseametile (APD), vaid selle piirkondlikule organile, Vlaamse Toezichtcommissie'le (VTC).

Tegelikult oli Flaami valitsus alates 2019. aastast juba süstemaatiliselt APD-st mööda hiilinud, võttes oma dekreedid vastu VTC kaudu, hoolimata konstitutsioonikohtu 2023. aasta märtsi otsusest, mis tuletas meelde, et Flaami valitsus pidi oma tekstide vastuvõtmiseks läbima APD.

Täna soovib peaminister Flaami pädevuse vormistada: ta on saatnud Euroopa Komisjonile kirja, milles taotleb virtuaalse kaubanduse pädevuse tunnustamist seoses GDPR-iga.

Belgia andmekaitseamet (APD) trahvis andmetöötlejat 100 000 euroga, kuna ta ei vastanud andmesubjekti juurdepääsutaotlusele õigeaegselt.

APD lükkas siiski tagasi asjaomase isiku taotluse saada teavet konkreetsete töötajate kohta, kellel oli juurdepääs tema andmetele.

Samuti Belgias lükkas APD vaidluste koda 6. septembril tagasi Noybi esitatud esindusvolituse kehtivuse kohtuasjas, mis puudutas Google Analyticsi skriptide integreerimist veebisaidile ajal, mil Euroopa Kohus oli Privaatsuskilbi kehtetuks tunnistanud.

Vaidluste koda leidis, et mandaat kujutas endast Noybi poolt õiguste kuritarvitamist.

Eraldi juhtumis rahuldas Belgia andmekaitseamet (APD) siiski mitu Noybi 2023. aastal esitatud kaebust ja käskis neljal suurel Belgia uudiste saidil oma küpsiste ribareklaamid isikuandmete kaitse üldmäärusega kooskõlla viia.

Hispaania andmekaitseamet avaldas 2. oktoobril aruande isikuandmete töötlemise ja laste vanuse kontrollimise kohta digitaalses keskkonnas.

Dokumendis propageeritakse infoühiskonna teenuste ennetava kaitsepoliitika väljatöötamist.

Hispaania andmekaitseamet (APD) määras finantstehnoloogiaettevõttele 72 000 euro suuruse trahvi ebapiisavate kliendi isikusamasuse tuvastamise meetmete rakendamise eest, mis võimaldasid petturitel võtta ohvri nimel laenu ilma tema teadmata.

27. septembril trahvis Iirimaa andmekaitsekomisjon (DPC) Metat 91 miljoni euroga.

Otsus on seotud ettevõtte võetud meetmetega, et tagada paroolide töötlemisega seotud riskidele vastav turvalisuse tase, ning kohustusega dokumenteerida andmetega seotud rikkumisi ja teavitada neist andmekaitseasutust.

Amet tuletab andmetöötlejatele meelde, et nad peavad hindama kasutajate paroolide talletamisega kaasnevaid riske ja rakendama meetmeid nende riskide maandamiseks.

12. septembril teatas APD ka uurimise alustamisest Google'i vastu seoses Euroopa kasutajate isikuandmete kasutamisega tehisintellekti mudeli väljatöötamiseks tõlgete valdkonnas.

Uurimine puudutab tehisintellekti mudelit "Pathways Language Model 2" (PaLM 2), mille Google käivitas 2023. aastal ilma andmekaitsealase mõjuanalüüsita.

Itaalias trahvis APD energiatarnijat 5 000 000 euroga, kuna too ei rakendanud piisavaid meetmeid, et tagada alltöövõtjate vastavus isikuandmete kaitse üldmäärusele.

See võimaldas neil sõlmida lepinguid asjaomaste inimestega ilma nende teadmata.

Portugali andmekaitseamet (APD) määras andmetöötlejale 107 000 euro suuruse trahvi soovimatute äriteadete korduva saatmise eest.

Andmetöötlejat peeti vastutavaks, kuigi saadetised oli teostanud alltöövõtja, kes kasutas oma andmebaasi.

 

USA föderaalse kaubanduskomisjoni (FTC) 19. septembril avaldatud aruandest selgub, et suured sotsiaalmeedia ja video voogedastusettevõtted on tegelenud laialdase kasutajate jälgimisega, pakkudes lastele ja teismelistele leebe privaatsuskontrolli ja ebapiisavat kaitset.

Aruandes soovitatakse piirata andmete säilitamist ja jagamist, piirata suunatud reklaami ning tugevdada teismeliste kaitset.

Hiina valitsus avaldas 30. septembril "Võrguandmete turvalisuse haldamise eeskirjad", mis jõustuvad 1. jaanuaril 2025. 

Teksti eesmärk on reguleerida võrguandmete töötlemise tegevusi, kaitsta üksikisikute ja organisatsioonide õigusi ja õigustatud huve ning riigi julgeolekut ja avalikke huve.

Samuti Hiinas on riiklik infoturbe standardimise tehniline komitee (TC260) avaldanud tehisintellekti käsitleva infoturbe juhtimise raamistiku.

Dokument sisaldab mitmeid põhimõtteid ja annab kasuliku klassifikatsiooni tehisintellektiga seotud riskidest ning tehnoloogilistest meetmetest nende maandamiseks.

IBM avaldas aruande andmelekete maksumuse kohta 2024. aastal.

Aruande järelduste hulgas väärib märkimist, et:

• Andmelekke keskmine kogumaksumus on 4,88 miljonit dollarit ja andmelekked on kõige kallimad Ameerika Ühendriikides.
• Küberturvalisuse oskuste puudus on süvenenud,
• Ligi pooled rikkumistest puudutavad isikuandmeid (46 %) või intellektuaalomandi dokumente (43 %).
• Õiguskaitseorganite sekkumine vähendab lunavaraga seotud kulusid keskmiselt miljoni dollari võrra.
• Varastatud volitustega seotud rikkumiste tuvastamiseks ja ohjeldamiseks on vaja 292 päeva.

Instagram pakub nüüd teismeliste kontodele rangemaid turvaseadeid, mis võimaldavad vanematel rakenduste kasutamist piirata.

Teismelise kontod on spetsiaalselt loodud alaealiste kaitsmiseks kahjuliku sisu ja soovimatute kontaktide eest, vähendades samal ajal rakenduses veedetud aega.