Õiguslik jälgimine nr 79 – jaanuar 2025. 

Professionaalsete andmete majutamine: olge ettevaatlik tarbijaplatvormidega.

Andmemajutusteenuse pakkujate kohustused lastepornograafia vastases võitluses mõjutavad väga laialdaselt nende dokumentide konfidentsiaalsust, mida me neile usaldame.

Seda avastas hiljuti omal kulul üks Pariisi advokaat, kui ta kriminaalasja kontekstis Google Drive'i äärmiselt tundlikku konfidentsiaalset teavet salvestas.

Pariisi apellatsioonikohtu 24. jaanuari otsus tuletab juristidele – ja kõigile tundlike andmetega tegelevatele spetsialistidele – meelde, et andmete konfidentsiaalsus ei ole hostimisteenustes, näiteks Google Drive'is, tagatud.

Tõepoolest, Google'il, nagu igal teisel USA seadustele alluval ettevõttel, on laste seksuaalse väärkohtlemise vastase võitluse kontekstis õigus kustutada veebimajutuskonto või e-posti konto, kui kahtlustatakse andmete ebaseaduslikkust.

Sel konkreetsel juhul kustutati advokaadi Drive'i konto, kes oli salvestanud Google Drive'i mitukümmend lastepornograafiat sisaldavat pilti, mida töödeldi kriminaalasja õigustatud kontekstis, ja tema Gmaili konto.

Temast teatati ka NCMEC-ile (kadunud ja ärakasutatud laste riiklik keskus).

Kohtus advokaadiga, kes nõudis Google'ilt oma andmete tagastamist ja kahjutasu, kinnitas kohus, et failide omamine isegi professionaalses kontekstis ei õigusta nende säilitamist ning et konto peatamine ja aruande esitamine olid õiguspärased vastavalt veebimajutusteenuse pakkujale pandud juriidilistele kohustustele.

Tasub meeles pidada, et tuvastusalgoritmid, mis pidevalt salvestatud faile ja e-kirju skannivad, ei tee vahet seaduslikult hoitavate tundlike failide ja ebaseadusliku sisu vahel ega isiklike või tööalaste tegevuste vahel.

Konto saab ette teatamata ja ilma õiguskaitsevahenditeta peatada, mis tähendab, et advokaat võib kaotada kohese juurdepääsu oma failidele ja suhtlusele isegi seadusliku äritegevuse käigus.

Lisaks, lastepornograafia teemal, on Ameerika veebimajutusteenuse pakkujad, kes juba skaneerivad oma serverites talletatud sisu, kohustatud kasutajast teatama Prantsusmaa pädevale politseiteenistusele, nimelt OFMIN-ile.

Turvaliste teenuste kasutamine on reguleeritud kutsealal tegutsedes veelgi olulisem.

Sellega seoses tuletagem meelde ANSSI 2023. aastal avaldatud aruannet advokaadibüroode küberohu olukorra kohta.

Kuigi juristidel on üldiselt spetsiaalne ja turvaline süsteem (e-Drive) ja aadress (avocat.fr), nagu ka arstidel, ei kehti see tingimata kõigi elukutsete puhul, eriti nende puhul, mis ei ole reguleeritud.

Tänapäeval ei näe Euroopa eeskirjad ja eelkõige Prantsusmaa LCEN (21. juuni 2004. aasta digitaalmajanduse usalduse seadus) ette kohustust, et majutusteenuse pakkujad süstemaatiliselt skanniksid salvestatud andmeid, vaid kohustust teha kontrolli rikkumise teatamise ja kahtluse korral.

Õigusraamistik võiks Euroopa tasandil siiski areneda tulevase laste seksuaalse väärkohtlemise ennetamise ja selle vastu võitlemise eesmärgil vastu võetud CSAR-i määruse vastuvõtmisega.

Kuigi keegi ei vaidlusta eesmärkide kehtivust, tekitab privaatsõnumite süstemaatilise skaneerimise lubamise plaan ägedaid vaidlusi.

Praegu on igal juhul tungivalt soovitatav:

• Kasutada spetsialistidele mõeldud pilvelahendusi, mis on vajaduse korral loodud reguleeritud kutsealade jaoks ja tagavad ametisaladuse austamise;
• Isikliku ja professionaalse kasutuse rangelt eraldamiseks;
• Andmete otsast lõpuni krüptimiseks;
• Valida Prantsusmaal või vähemalt Euroopas asuv suveräänne hostingupakkuja.

 

10. ja 11. veebruaril võõrustab Prantsusmaa Tehisintellekti (AI) tegevuste tippkohtumine mis toob Grand Palais'sse kokku riigipead ja valitsusjuhid, rahvusvaheliste organisatsioonide juhid, väikeste ja suurte ettevõtete tegevjuhid, akadeemiliste ringkondade ja valitsusväliste organisatsioonide esindajad, kunstnikud ja kodanikuühiskonna liikmed.

CNIL avaldab oma 2025.–2028. aasta strateegilise plaaniViimane koosneb neljast põhiteljest:

• tehisintellekt,
• Alaealiste õigused,
• Küberturvalisus
• Igapäevane digitaalne kasutus.

See keskendub kahele neist kasutusviisidest: mobiilirakendused ja digitaalne identiteet.

CNIL avaldab selle aasta alguses ka mitu suunist andmetöötlejatele.

Ta avaldas oma lõpliku versiooni 31. jaanuaril Euroopa Liidust väljapoole edastatavate andmete mõjuhinnangute juhend.

23. jaanuari postituses tuletab ta meile meelde kontrollid, mida tuleb teha internetis vabalt kättesaadavate andmebaaside kasutamisel või kolmanda osapoole poolt pakutav.

Samuti reageeritakse ulatuslikele andmeleketele, mis mõjutasid 2024. aastal miljoneid inimesi, ning pakutakse välja meetmeid turvalisuse tugevdamiseks rünnakuriskide maandamiseks.

Need on seotud ettevõtte sisemiste protseduuride ja alltöövõtu korral võetavate ettevaatusabinõudega.

Ta mäletab teda ikka veel soovitused SDK-de (tarkvaraarenduskomplektide) mobiilirakendustesse integreerimiseksja märgib, et viib läbi kontrolle, et tagada nende vastavus isikuandmete kaitse üldmäärusele.

Lõpuks avaldas ta selle 20. jaanuaril. oma kontrollimeetmete läbivaatamine kooskõlastatud Euroopa meetmete raames, mis käsitlevad juurdepääsuõiguse austamistning märgib, et andmetöötlejate rakendatud meetmed on mõnikord ebapiisavad: näiteks kui üksikisikud kasutavad oma õigust tutvuda kõigi oma andmetega, annavad mõned organisatsioonid vaid osalise või mittetäieliku vastuse.

Tarbijate ühendus UFC-Que Choisir kaotas Google'i vastu kohtuasja.

2019. aasta juunis algatas ta ettevõtte vastu kollektiivhagi, milles mõistis hukka GDPR-iga vastuolus olevad tavad: pealetükkiva geograafilise asukoha määramise, liikumise jälgimise ilma nõusolekuta ja soovimatu suunatud reklaami.

Grupihagi aluseks oli CNIL-i otsus, millega Google'ile määrati rekordiline 50 miljoni euro suurune trahv.

Ühing nõudis iga mõjutatud kasutaja kohta 1000 eurot, kokku 27 miljardit eurot.

Pariisi kohus lükkas taotluse tagasi, viidates piisavate tõendite puudumisele, ja kohustas ühingut maksma Google'ile 10 000 eurot kohtukulusid.

 

Euroopa institutsioonid ja organid

16. jaanuaril Euroopa Andmekaitsenõukogu on vastu võtnud pseudonümiseerimise suunised.

Need täpsustavad pseudonümiseerimise määratlust ja rakendustingimusi ning selle eeliseid.

Nad toovad ka hulga näiteid.

Kuigi pseudonüümiseerimine ei vabasta andmeid isikuandmete kaitse üldmääruse kohaldamisalast, vähendab see siiski töötlemisega seotud riske (näiteks lunavara puhul).

Juhised on kommenteerimiseks avatud kuni 28. veebruarini.

Kolmapäeval, 29. jaanuaril, otsustas Euroopa Liidu Üldkohus (GC) vaidluses Iirimaa andmekaitseasutusega (DPA) Euroopa Andmekaitsenõukogu (EDPB) kasuks.

Iirimaa vaidlustatud komisjoni otsuses paluti andmekaitseametil laiendada oma uurimist Meta isikuandmete kaitse üldmääruse rikkumiste kohta.

Kohus märgib, et „uurimise laiendamine, mida tingimata taotlevad vähemalt pooled järelevalveasutused (...), ei ole vastupidiselt taotleja väidetele mõeldud kaebuse esitanud isiku või kaebuse sihtmärgiks oleva vastutava töötleja ülesande keerulisemaks muutmiseks, vaid kujutab endast meedet nende vastavate õiguste kaitsmiseks“ (§56).

Oma otsuses T-354/22 mõistis Euroopa Liidu Üldkohus Euroopa Komisjoni hukka isikuandmete kaitse üldmääruse rikkumise eest seoses komisjoni korraldatud üritusele veebipõhise registreerimisega.

Avalehel kuvatud hüperlingi „Loo ühendus Facebookiga” abil lõi komisjon „tingimused, mis võimaldasid hageja IP-aadressi edastamist Facebookile” ja sellest tulenevalt ka Ameerika Ühendriikidele.

Sel ajal oli Privacy Shield kehtetuks tunnistatud ja seetõttu peeti edastamist määruse 2018/1725 artikliga 46 vastuolus olevaks.

Kohus leidis, et „taotleja väidetud moraalset kahju tuleb pidada reaalseks ja kindlaks“, kuna edastamine „pani taotleja ebakindlasse olukorda seoses tema isikuandmete, eelkõige IP-aadressi töötlemisega“.

Sellel otsusel võivad olla tagajärjed, kui „andmekaitseraamistik” tühistatakse, kuna see tunnistab, et pelgalt internetikasutaja ühendamine USA teenusega kujutab endast isikuandmete edastamist Ameerika Ühendriikidesse.

9. jaanuari 2025. aasta otsuses kohtuasjas „Mousse“ (C-394/23) leiab Euroopa Liidu Kohus, et rongipileti ostjatelt ei ole vaja küsida, kas neid tuleks kutsuda härraks või prouaks.

Kohus tuletab meelde, et „selleks, et isikuandmete töötlemist saaks pidada lepingu täitmiseks vajalikuks käesoleva sätte tähenduses, peab see olema objektiivselt hädavajalik eesmärgi saavutamiseks, mis on lahutamatu osa andmesubjektile mõeldud lepingujärgsest teenusest“.

Käesoleval juhul märgib kohus, et näib olevat olemas praktiline ja vähem pealetükkiv lahendus: asjaomane ettevõte võiks valida suhtluse, mis põhineb üldistel, kaasavatel viisakusvormelitel, mis ei ole seotud eeldatava sooidentiteediga.

9. jaanuari otsuses selgitas Euroopa Kohus ka kriteeriume, mille alusel määratleda „ülemäärased” taotlused isikuandmete kaitse üldmääruse artikli 57 lõike 4 tähenduses, rõhutades, et oluline ei ole mitte ainult andmesubjekti esitatud taotluste arv, vaid pigem nende taotluste taga peituv kuritahtlik kavatsus.

See otsus puudutab APD-sid, kuid põhjendus on andmetöötlejate jaoks huvitav.

Euroopa Kohus on seisukohal, et järelevalveasutustel lasub tõendamiskohustus ja nad peavad tõendama taotluse esitanud isiku kuritahtlikku kavatsust.

Euroopa Kohtu 19. detsembri 2024. aasta otsus (kohtuasi C-65/23) selgitab, et kuigi ettevõtete lepingud võivad olla konkreetseks õiguslikuks aluseks, peavad tööandjad tagama, et seda tüüpi lepingud on kooskõlas isikuandmete kaitse üldmäärusega.

Antud juhul olid Saksa ettevõte ja selle töönõukogu sõlminud töötajate andmete töötlemise lepingud.

Vaidlus puudutas uue pilvepõhise tarkvara kasutamist, mille kaudu edastati isikuandmeid Ameerika Ühendriikide serveritesse.

Euroopa Kohus rõhutab, et siseriiklikud kohtud on kohustatud kontrollima kõigi isikuandmete kaitse üldmääruse põhimõtete järgimist, isegi kui andmetöötlus põhineb kollektiivlepingul.

 

Uudised Euroopa Liidu liikmesriikidest.

Belgias noomis Belgia andmekaitseamet (APD) 7. jaanuaril tööandjat ühe töötaja poolt alaealise ründamise süüdistuste ebaseadusliku käsitlemise eest.

Tööandja turvajuht oli palunud Prantsuse riiklikul julgeolekuasutusel pikendada ühe töötaja julgeolekukontrolli luba, kuid amet lükkas taotluse tagasi põhjendatud otsusega, mis edastati juhtkonnale ja töötajale.

Juhtkond edastas selle info aga isiku otsesele ülemusele, kes algatas tema vastu distsiplinaarmenetluse.

APD osutab mitmele rikkumisele, sealhulgas õigusliku aluse puudumisele, andmete edastamisele ilma ühilduva eesmärgita, tundlike andmete ebaseaduslikule töötlemisele ja läbipaistvuse puudumisele asjaomase isiku suhtes.

Taanis rahuldas APD FC Kopenhaageni taotluse kasutada jalgpallimatšide ajal siseriikliku õiguse alusel näotuvastustehnoloogiat põhjusel, et kavandatav karistuste kohaldamine kujutab endast olulist avalikku huvi.

Muude ürituste peale jalgpallimatšide korraldamiseks luba antud ei ole.

Taani ühing „Danes je nov dan” on käivitanud tööriista, mille eesmärk on testida kasutajate võimet tuvastada tehisintellekti loodud sisu, teavitades neid samal ajal selle väärkasutamisega seotud riskidest.

Interaktiivse viktoriini vormis esitletud tööriist hõlmab mitmesuguseid valdkondi, näiteks sünteetiliste piltide, tekstide ja videote tuvastamist.

Erinevalt Taani ametist leidis Hispaania andmekaitseamet (APD), et jalgpallistaadionile juurdepääsu haldamiseks kasutatava valikulise näotuvastussüsteemi rakendamine rikub andmete minimeerimise põhimõtet, kuna eksisteerivad vähem invasiivsed alternatiivid, ning määras selle alusel vastutavatele isikutele 200 000 euro suuruse trahvi.

Hispaania andmekaitseamet (APD) määras operaatorile CI Postal 200 000 euro suuruse trahvi selle eest, et ta oli 2022. aasta septembrist oktoobrini avalikes kohtades hüljanud umbes 8000 kirja, mille mitmed ettevõtted talle usaldasid.

APD märgib isikuandmete kaitse üldmääruse artikli 5 lõike 1 punkti f ja artikli 32 rikkumist konfidentsiaalsuse ja turvalisuse osas ning osutab posti jälgitavussüsteemi puudumisele ja töötajate ebapiisavale koolitusele andmekaitse-eeskirjade osas.

Samuti määras ettevõte Generali Españale 4 000 000 euro suuruse trahvi pärast seda, kui leidis ettevõtte andmeturbe lähenemisviisis olulisi puudujääke., mis võimaldas volitamata kolmandal osapoolel pääseda ligi enam kui 25 000 endise kliendi andmetele.

Andmekaitseamet (APD) määras Asper Biogenele 85 000 euro suuruse trahvi (10% käibest) tundlike andmete ebapiisava kaitsmise eest lunavararünnaku ajal..

Ettevõte teeb geneetilisi teste, näiteks isadusteste ja pärilike haiguste sõeluuringuid.

Häkkerid suutsid alla laadida üle 33 GB PDF-faile, mis olid anonüümsed või pseudonüümiseerimata ja puudutasid ligikaudu 100 000 eestlast.

Kreekas määras andmekaitseamet (DPA) kliimakriisi ja kodanikukaitse ministeeriumile 50 000 euro suuruse trahvi andmekaitseametniku määramata jätmise eest.rikkudes sellega muu hulgas isikuandmete kaitse üldmääruse artiklit 37.

Hiina idufirma Deepseek käivitas jaanuari lõpus vestlusroboti, mis sarnaneb OpenAI ChatGPT ja Microsofti Co-Pilotiga.

Lisaks Ameerika hiiglaste süüdistustele, et Deepseek kasutas nende endi süsteemide genereeritud andmeid, on Hiina vestlusrobot juba pälvinud Itaalia andmekaitseameti (APD) tähelepanu: 30. jaanuaril blokeeris APD vestlusroboti Itaalias ja algatas uurimise pärast seda, kui Deepseekilt sai vastuseid, mida peeti oma küsimustele täiesti ebapiisavateks.

Ka Iirimaa, Belgia ja Prantsuse APD-d andsid märku, et nad on teemaga tegelema hakanud.

Küpsiste "tumedate mustrite" kohta langetatakse üha rohkem otsuseid.ent: Rootsis noomis APD hasartmängufirmat küpsiste reklaamibänneri kehva kujunduse pärast.

Nõusoleku valiku graafiline esiletõstmine ja küpsistest keeldumiseks vajalikud täiendavad sammud muutsid nõusoleku GDPR-i artikli 6 alusel kehtetuks.

APD tegi ka kolm noomitusotsust ettevõtete vastu, kes olid mõnest kuust kuni mitme aastani integreerinud oma veebilehtedele Meta publiku mõõtmise teenuse (Meta Pixel).

Sellel integratsioonil oli mõju, et liiklus suunati Metasse nähtamatult kasutajatele ümber.

 

Ühendkuningriigi andmekaitseamet (DPA) teatas 23. jaanuaril pressiteates, et tegeleb küpsiste nõuetele vastavuse probleemiga Ühendkuningriigi 1000 suurima veebisaidi puhul.

ICO avaldab ka „strateegia“, mille eesmärk on tagada, et veebipõhine jälgimine annaks inimestele „selged valikud ja kindlustunde selle kohta, kuidas nende teavet kasutatakse“, ning uued juhised „nõusoleku või tasu“ mudelite kohta.

Ameerika Ühendriikides vallandati 27. jaanuaril kolm privaatsuse ja kodanikuvabaduste järelevalve nõukogu (PCLOB) demokraadist liiget. PCLOB on nõukogu, mille ülesandeks on riiklike julgeolekujärelevalveprogrammide privaatsuse seisukohast läbivaatamine. PCLOB keeldus Valge Maja palvel tagasi astumast.

PCLOB-d peeti Euroopa ja Ameerika Ühendriikide vahelise andmekaitseraamistiku kontekstis oluliseks vahendiks üksikisikute õiguste austamiseks massilise jälgimise küsimustes.

Selle meetme mõju Atlandi-ülese lepingu elujõulisusele on tänaseni teadmata.

Pärast endise presidendi Joe Bideni tehisintellekti käsitleva täidesaatva korralduse tühistamist allkirjastas Donald Trump uue, mis "tühistab teatud olemasolevad tehisintellekti poliitikad ja suunised, mis takistavad Ameerika innovatsiooni tehisintellekti valdkonnas, sillutades teed Ameerika Ühendriikidele otsustavaks tegutsemiseks, et säilitada oma positsioon tehisintellekti maailmas juhtiva riigina".

23. jaanuaril avalikustas OpenAI oma "Operaatori" agendi, mida kirjeldatakse kui "agenti, kes saab veebis teie eest ülesandeid täita".

Kuigi generatiivsed tehisintellekti rakendused saavad näiteks vastata küsimustele, kokku võtta tekste ning luua sünteetilisi pilte ja videoid, saavad agentlikud tehisintellekti rakendused täita keerukamaid ülesandeid, mis hõlmavad mitte ainult sisu loomist, vaid ka rakendamist.

Seega on operaator loodud automatiseerima selliseid ülesandeid nagu puhkuste planeerimine, vormide täitmine või toidukaupade tellimine.

See on treenitud suhtlema veebi tavapäraste nuppude, menüüde ja tekstiväljadega ning saab esitada ka lisaküsimusi nende ülesannete isikupärastamiseks.

Avatud tehisintellekt selgitab, et kasutajad saavad ekraani igal ajal kontrollida.