Õiguslik jälgimine nr 81 – märts 2025. 

Andmelekked: millised õiguskaitseorganid ja millised sanktsioonid?

Kes poleks hiljuti saanud oma telekommunikatsiooniteenuse pakkujalt või vabaühenduselt, kellele ta igakuiselt annetuse teeb, e-kirja, milles teatatakse tema kontaktandmete, identifikaatorite ja mõnikord ka pangarekvisiitide ohtu sattumisest?

Ajal, mil andmelekked sagenevad, on IT-süsteemide kaitsmine ettevõtete jaoks muutumas oluliseks probleemiks.

Alates isikuandmete kaitse üldmääruse ja NIS2 direktiivi jõustumisest on andmetöötluse turvalisus rangelt reguleeritud ning rikkumiste eest karistatakse andmetöötlejaid karmilt.

Kohustuste hulgas peaksime mainima kohustust teavitada CNIL-i ja asjaomaseid isikuid rikkumisest teatud tingimustel, kõrvaldada rikkumine ja võtta kõik kasulikud meetmed selle tagajärgede leevendamiseks.

CNIL-il on ulatuslikud uurimisvolitused ning selle missiooniks on andmetöötlejate toetamine, aga ka nende karistamine, kui andmetega seotud rikkumise põhjuseks on turvarikkumine.

Komisjon on viimastel aastatel kehtestanud mitu sanktsiooni:

• Bouygues Telecomile määrati 2017. aastal 250 000 euro suurune trahv ebapiisava turvalisuse eest oma B&You kliendiveebisaidil, mis võimaldas URL-i muutmise kaudu juurdepääsu 2 miljoni kliendi lepingutele.
• 2016. aastal trahviti Uberit 400 000 euroga turvarikkumise eest, mis kahjustas 57 miljonit kontot, ja CNIL-i seadusjärgsete tähtaegade jooksul teavitamata jätmise eest.
• Hiljuti avalikustas Dedalus Biologie alltöövõtja serveri vale seadistamise tõttu 500 000 patsiendi terviseandmed ning CNIL määras ettevõttele 1,5 miljoni euro suuruse trahvi.
• Lõpuks, eelmise aasta oktoobris, trahviti krüptovaluutade turvafirmat Ledgerit 750 000 euroga klientide andmete ebapiisava kaitsmise eest. Ettevõte oli 2020. aastal kannatanud mitme isikuandmete rikkumise all – ja vaikinud neist –, mis mõjutasid arvukalt kliente ja potentsiaalseid kliente.

Komisjon näib aga praegu eelistavat sanktsioonidele toetust.ja avaldab oma veebisaidil arvukalt soovitusi andmetöötlejatele.

Aasta alguses reageeris see 2024. aastal miljoneid inimesi mõjutanud ulatuslikele andmeleketele ja pakkus välja turvalisuse tugevdamise meetmed rünnakuriskide maandamiseks.

CNIL nõuab ettevõttesiseseid protseduure ja ettevaatusabinõusid alltöövõtu korral.

Mujal Euroopas, Paljudele ettevõtetele määratakse mõnest tuhandest kuni mitmesaja tuhande euroni trahve näiteks endiste töötajate arvutisüsteemi ligipääsuõiguste "unustamise" eest, pangarakenduse kujunduse või veebisaidi konfiguratsiooni rikutuse eest, SIM-kaardi kogemata valele kliendile saatmise, kliendifaili Whatsappi allalaadimise või alltöövõtja tegevuse ebapiisava kontrolli eest.

Riigiülesel tasandilSamuti annab Euroopa Liidu Kohus selgitusi, eelkõige ohvritele hüvitise maksmise kohta.

Kui isikult nõutakse andmetega seotud rikkumisest tingitud kahju olemasolu tõendamist, ei tohi see kahju ulatuda teatud raskusastmeni (kohtuasi C-300/21, kohtuasi C-590/22).

Seega võib isiku hirm, et tema isikuandmed on avalikustatud kolmandatele isikutele, anda õiguse hüvitisele, tingimusel et isik esitab tõendid oma hirmu kohta koos selle negatiivsete tagajärgedega (kohtuasi C-340/21, kohtuasi C-687/21, kohtuasi C-590/22).

Euroopa Kohus otsustas ka, et isikuandmete vargusega tekitatud moraalse kahju hüvitamine ei piirdu juhtudega, kus on tõendatud, et see tegelikult tõi kaasa identiteedivarguse.

Seega võib hüvitatav kahju esineda ka ilma identiteedivarguse tuvastamiseta. (Kohtuasjad C-182/22 ja C-189/22).

Kollektiivhagide arenguga seavad ettevõtted, kes ei võta andmetega seotud rikkumiste riske tõsiselt, end ohtu mitte ainult CNIL-i sanktsioonidele, vaid ka üksikisikute õiguslikele meetmetele.

 

 

Rahvusassamblee hääletas neljapäeva, 20. märtsi õhtul krüpteeritud sõnumsideteenuste konfidentsiaalsuse säilitamise poolt..

Meede nägi ette võimaluse nõuda neilt sõnumsideplatvormidelt (Signal, WhatsApp jne) inimkaubitsejate suhtluse edastamist luureteenistustele.

"Parlamendiliikmed eemaldasid eelmisel nädalal õiguskomisjonis selle meetme, mis on ühendanud paljud küberturvalisuse valdkonna osalejad ja eksperdid selle vastu. Nende arvates on liiga suur oht luua haavatavus, mis ohustaks kõigi nende platvormide kasutajate vestlusi."

Selleks, et asjaomased spetsialistid "saaksid valmistuda eelseisvateks konsultatsioonideks või aruteludeks", esitas CNIL 27. märtsil tööprogrammi ja suunised, mida ta soovib 2025. aastal vastu võtta.

Käsitletavate teemade hulgas on tehisintellekti käsitlevad praktilised juhendid, alltöövõtjaid, tervishoidu, pangandussektorit, turunduse ja personalijuhtimise valdkonna andmete säilitamise tähtaegu käsitlevate viitedokumentide kavandid, kolm soovituse kavandit mitme seadme nõusoleku, e-kirjades olevate pikslite ja seenioride majanduse kohta; lõpuks jätkab CNIL tööd videoregistraatorite ja poliitilise agitatsiooni alal.

CNIL-i otsus, millega lubatakse Euroopa Ravimiametile teatud tingimustel juurdepääsu SNDS-i andmeväljavõtetele DARWIN-projekti raames (Andmeanalüüsi ja reaalse maailma ülekuulamisvõrgustiku) EL, avaldati Légifrance'is.

Komisjon kritiseerib eksterritoriaalse õiguse alusel tegutseva majutusteenuse pakkuja valikut, mis seab ta ohtu tundlike andmete edastamiseks välisriikidele, kuid lubab siiski töötlemist ajavahemikul, mis on piiratud kolme aastaga andmevalimi puhul ja ühe aastaga pärast uuringu avaldamist.

Prantsuse konkurentsiamet määras 28. märtsi otsusega Apple'ile 150 miljoni euro suuruse trahvi. "iOS-i ja iPadOS-i seadmete mobiilirakenduste levitamise sektoris domineeriva seisundi kuritarvitamise eest."

See meede on suunatud konkreetselt Apple'i rakenduste jälgimise läbipaistvusele (ATT), mis võimaldab kasutajatel hõlpsalt valida, kas nad soovivad lubada kolmanda osapoole jälgimise või mitte.

Ametiasutus leiab, et raamistik ise "ei ole põhimõtteliselt problemaatiline", kuid juhib tähelepanu sellele, et ATT muudab kolmandate osapoolte rakenduste kasutamise iOS-i keskkonnas ülemäära keeruliseks, nõudes mitut nõusoleku hüpikakent.

See taotlus karistaks eriti väiksemaid kirjastajaid, "kes oma äri rahastamiseks sõltuvad suuresti kolmandate osapoolte andmete kogumisest".

1. aprilli otsuses Riiginõukogu tegi otsuse TikToki blokeerimise kohta Uus-Kaledoonias eelmise aasta kevadiste rahutuste ajal.

Kuigi see leiab, et antud juhul ei olnud kehtivuse tingimused täidetud, sätestab see siiski tingimused, mille alusel selline sotsiaalvõrgustiku blokeerimine võiks olla seaduslik, leides, et haldusorgan "võib (...) erandjuhtudel sellist [blokeerimis]meedet kasutada, kui see on hetkevajaduste rahuldamiseks hädavajalik".

Mõõt peaks olema:

• Asendamatu eriti tõsiste sündmustega tegelemiseks;
• Ilma igasuguste tehniliste vahenditeta, mis võimaldaksid alternatiivsete meetmete viivitamatut rakendamist;
• Ja võetud "piiratud aja jooksul, mis on vajalik nende alternatiivsete meetmete uurimiseks ja rakendamiseks".

 

Kassatsioonikohtu sotsiaalkoda kinnitas 26. märtsi otsuses töötaja õigust saada osa koopia mõne oma kolleegi palgatõenditest, et näidata ebaõiglast kohtlemist. tema karjääri edenemises.

Kohus kordab andmete minimeerimise põhimõtet ja täpsustab, et esimese astme kohtuniku kohustus on „tagada, et teave, mille ta määrab nähtavaks jäävaks, on piisav, asjakohane ja rangelt piiratud sellega, mis on töötajate võrdlemiseks hädavajalik, võttes arvesse väidetavat diskrimineerimise alust/aluseid”.

 

Euroopa institutsioonid ja organid

Politico teatas 3. aprilli artiklis, et Euroopa Komisjon plaanib lähikuudel esitada ettepaneku isikuandmete kaitse üldmääruse (GDPR) lihtsustamiseks..

Väljaande andmetel on see "ELi täidesaatva võimu presidendi Ursula von der Leyeni üks prioriteete, kes püüab muuta Vana Mandri ettevõtted konkurentsivõimelisemaks võrreldes konkurentidega Ameerika Ühendriikides, Hiinas ja mujal".

1. aprillil avalikustas komisjon oma tegevuskava „uue Euroopa sisejulgeoleku strateegia” kohta nimega ProtectEU, mille eesmärk on eelkõige laiendada Europoli ja Frontexi volitusi.

Komisjon viib läbi andmete säilitamise eeskirjade mõju hindamise ELi tasandil ja koostab krüpteerimist käsitleva tehnoloogilise tegevuskava, „et teha kindlaks ja hinnata tehnoloogilisi lahendusi, mis võimaldaksid õiguskaitseasutustel krüpteeritud andmetele seaduslikult juurde pääseda, kaitstes samal ajal küberturvalisust ja põhiõigusi”.

Euroopa Liidu Kohtu (CJEU) kohtujurist leiab oma 27. märtsi järeldustes, et WhatsApp, kuna teda puudutab otseselt asi, saab Euroopa Andmekaitsenõukogu siduva otsuse vaidlustada Euroopa Kohtus vastavalt Euroopa Liidu toimimise lepingu artiklile 263.

Meeldetuletuseks, pärast seda, kui Euroopa Andmekaitsenõukogu (EDPB) tegi 28. juulil 2021 otsuse isikuandmete kaitse üldmääruse järjepidevuse mehhanismi raames, võttis Iirimaa andmekaitsekomisjon vastu otsuse, millega tuvastati rikkumised, määrati parandusmeetmed ja haldustrahvid kokku 225 miljoni euro ulatuses.

WhatsApp vaidlustas Euroopa Andmekaitsenõukogu otsuse Euroopa Kohtus ja paralleelselt Iirimaa APD lõpliku täitmisele pööramise otsuse Iirimaa kohtus.

Samal päeval leidis Üldkogu ka, et igapäevase uudiskirja saatmine kujutab endast „sarnaste toodete või teenuste” otseturundust e-privaatsuse direktiivi tähenduses ning leidis, et kui isikuandmete töötlemine on selle sätte alusel seaduslik, ei ole isikuandmete kaitse üldmääruse artikkel 6 kohaldatav: kui e-privaatsuse direktiivis on konkreetne säte, mis toob kaasa sama eesmärgiga kohustused kui isikuandmete kaitse üldmääruse vastavad sätted, tuleb kohaldada e-privaatsuse sätet.

20. märtsil otsustas kohus lõpuks, et isikuandmete kaitse üldmäärus annab andmesubjektidele õiguse nõuda ebaseadusliku töötlemise korral ettekirjutust. See ennetav võimalus nõuda ettekirjutust ei leevenda sellisest ebaseaduslikust töötlemisest tulenevat kompenseerivat mittemateriaalset kahju.

Euroopa Kohus otsustas 13. märtsil, et isikuandmete kaitse üldmääruse artikkel 16 nõuab avalikus registris ebatäpselt registreeritud transsoolise isiku soo parandamist.

Kuigi pädev asutus võib nõuda ebatäpsuse tõendamist, kujutab asjaomase isiku nõudmine tõendada, et ta on läbinud soovahetusoperatsiooni, endast tema inimõiguste rikkumist.

 

Uudised Euroopa Liidu liikmesriikidest.

Saksamaal kinnitas Liidukohus hagejale tema maine kahjustamise eest 500 euro suuruse moraalse kahju hüvitise määramise. vastavalt isikuandmete kaitse üldmääruse artiklile 82.

Lisaks leidis ta, et kohus ei saa kahju suuruse määramisel arvesse võtta ei GDPR-i rikkumise raskusastet ega süü küsimust.

Austria andmekaitseamet (APD) on andnud korralduse hävitada fotograafi tehtud pildid, kuna need ei vasta isikuandmete kaitse üldmäärusele..

Fotograaf oli avaldanud avalikul veebisaidil tänaval tehtud pilte tuvastatavatest inimestest, eriti lastest ja naistest, tundlikus kontekstis ilma kehtiva õigusliku aluse või piisavate tagatisteta (teave, õigus vastuväidetele).

Noybi ühing sai just Brüsseli apellatsioonikohtus tagasilöögi..

19. märtsi otsuses leidis kohus, et...Ühingu edastatud kaebused peavad tõendama asjaomase isiku isiklikku huvi..

Käesoleval konkreetsel juhul märgib turukohus, et ta ei ole leidnud hagejate sellisele huvile küpsistega seotud eeskirjade rikkumise osas mingit õigustust.

Ta mainib muuhulgas, et Noyb ei väida menetluse üheski etapis, et hagejad olid kõnealuste veebisaitide/ajalehtede regulaarsed või isegi juhuslikud külastajad.

Ka Belgias sai erootiline saun APD kohtuvaidluste kojalt hoiatuse, eelkõige veebipõhise külalisteraamatu pidamise eest, mis võimaldas klientide kohta käivate tundlike andmete avalikku levitamist.

APD märkis privaatsuspoliitika läbipaistmatust, andmetöötluse õigusliku aluse puudumist ja töötlemistoimingute registriga seotud kohustuste mittetäitmist.

Hispaanias trahvis APD panka 3 500 000 euroga pangarakenduse tõsise disainivea eest, mis võimaldas klientidel juurde pääseda kontodele, milleks neil polnud volitust.

Kindlustusseltsile määrati ka 1 000 000 euro suurune trahv kodeerimisvea eest, mille tulemusel saadeti 3395 inimese isikuandmeid, sealhulgas tundlikke andmeid, e-posti teel 354 vastuvõtvale ettevõttele.

Kreekas trahvis APD panka 3000 euroga asjakohaste turvameetmete rakendamise puudumise eest pärast sisemist andmetega seotud rikkumist.

Töötaja oli pärast ettevõttest lahkumist ebaseaduslikult säilitanud administraatori õigused ja pääses ilma loata juurde enam kui 6000 teise töötaja andmetele.

Sarnase otsuse on teinud ka Itaalia andmekaitseamet (APD).

SMS-rämpsposti juhtumis palus Kreeka andmekaitseamet (APD) riiklikul domeeninimede ametil peatada asjaomase ettevõtte domeeninimi, kuna seda domeeninime kasutati pahauskselt või avaliku korra vastaselt.

Märkus et ICANNi tasandil on registripidajad "peatanud 2528 domeeninime ja keelanud 328 andmepüügiks kasutatud veebisaiti" osana vastavusmeetmete rakendamise jõupingutustest.

Itaalia andmekaitseamet (APD) määras energiaettevõttele 300 000 euro suuruse trahvi isikuandmete ebaseadusliku töötlemise eest otseturunduse eesmärgil, andmekaitsepõhimõtete nõuetekohase rakendamise puudumise ja tööle kandideerijate ebapiisava teavitamise eest nende andmete töötlemisest.

Luksemburgi halduskohus kinnitas 746 000 000 euro suuruse trahvi, mille APD määras 2021. aastal Amazoni tütarettevõttele veebisaidi külastajate andmete ebaseadusliku töötlemise eest huvipõhise reklaami eesmärgil, läbipaistva teabe esitamata jätmise ja andmesubjektide mitmete õiguste rikkumise eest.

Kuigi Amazon kaalub väidetavalt apellatsiooni esitamist, teatas APD, et ei avalda apellatsiooniperioodi jooksul ega võimalike menetluste kohta oma otsuse üksikasju.

Poola andmekaitseamet (APD) määras postiteenistusele 6,3 miljoni euro suuruse trahvi valitsuse andmetöötlusnõude täitmise eest, mis puudutas 30 miljonit kodanikku Covid-19 pandeemia ajal toimunud valimiste kontekstis, kontrollimata taotluse õiguslikku alust. 

La Poste oleks pidanud ootama, kuni kõik selle otsuse edasikaebamise võimalused on ammendatud, kuid kohtud tühistasid selle otsuse lõpuks.

 

17. märtsil jõustus Ühendkuningriigis veebiturvalisuse seadus, mis nõuab veebiplatvormidelt rea meetmete rakendamist, mille eesmärk on vähendada lastele ähvardavaid riske ja üldisemalt kahjulikku sisu eemaldada.

Briti teenusepakkujatel on oma teenuste riskianalüüside tegemiseks aega 16. märtsini.

Ühendkuningriigi reguleeriv asutus (Ofcom) on välja töötanud hea tava koodeksi ja rakenduskava.

Selle seaduse kriitikud kritiseerivad eriti selle ulatust hallide alade, näiteks ahistamise või käitumise kontrollimise osas ning sellest tulenevat tsensuuriohtu.

See seadus lisandub kahele teisele Briti määrusele, mis võivad õõnestada Ühendkuningriigi piisavusotsuse uuendamist juunis: Euroopa Parlamendi uurimisteenistuse avaldatud märkus viitab andmekaitseseadusele ja uurimisvolituste seaduse muudatusele, mille mõlema eesmärk on laiendada valitsuse ja õiguskaitseasutuste juurdepääsu kasutajaandmetele.

Austraalia infokomissari büroo avaldas 19. märtsil uuringu Austraalia avaliku sektori asutuste poliitika ja tavade kohta seoses sõnumsiderakenduste kasutamisega.

Aruandes leitakse, et sõnumsiderakendusi kasutatakse Austraalia avalikus teenistuses sageli ilma piisava järelevalve või protseduurideta. Uuringus esitatakse soovituste loetelu selle probleemi lahendamiseks.

Kanada andmekaitsevolinik avaldas just tööriista, mille abil saab hinnata, kas isikuandmete rikkumine kujutab endast reaalset olulise kahju ohtu üksikisikutele.

Hiinas avaldas "Riiklik Internetiteabe Amet" 13. märtsil biomeetriliste tehnoloogiate rakendamise turvameetmed, mis nõuavad näotuvastustegevuse vastavust kehtivatele seadustele, turvameetmete võtmist ja mõju minimeerimist inimõigustele.

Saksa ajaleht Der Spiegel teatas 26. märtsil, et neil oli õnnestunud pääseda ligi mõnede Ameerika tippjulgeolekuametnike, sealhulgas kaitseministri ja endise Fox Newsi saatejuhi Pete Hegsethi isikuandmetele ja veebipõhistele kontaktandmetele ning isegi paroolidele.

Ajakirjanikud kasutasid avalikke otsingumootoreid ja ka veebis avaldatud "häkitud kliendiandmeid".

Arvatakse, et ka riikliku julgeoleku nõunik Mike Waltz ja riikliku luure direktor Tulsi Gabbard on nende seas, kelle teave internetti lekitati.

Ka Ameerika Ühendriikides on tehisintellekti regulatsioon märkimisväärselt suurenemas: 2024. aastal tuvastati üle 600 tehisintellektiga seotud seaduseelnõu, millest ligi 100 on vastu võetud.

Kaitse tase on aga osariigiti väga erinev.

Veebisaidi "Multistate" pakutav jälgimisvahend võimaldab teil visualiseerida regulatsioonide olukorda 2025. aastal.

Samal ajal, 18. märtsil, vallandas president Trump kaks föderaalse kaubanduskomisjoni (FTC) demokraadist liiget, suurendades praegust ebakindlust tarbijakaitse ja kontrollimehhanismide tõhususe osas Ameerika Ühendriikides ning nõrgestades veelgi Atlandi-ülese andmekaitselepingu stabiilsust.

Vietnamis võidakse andmekaitseseadus vastu võtta kevadel.

Valitsus võttis hiljuti vastu resolutsiooni seadusandliku protsessi kiirendamiseks ning avaliku julgeoleku ministeeriumile tehti ülesandeks esitada seaduseelnõu Rahvusassambleele ametlikuks vastuvõtmiseks 2025. aasta mais.

Täiustatud tehisintellekti pildigeneraatoritel on andmekaitse seisukohast oluline mõju, nagu näitab L. Jarosvky artikkel.

• „Ghibli“ efekt, mis võimaldab luua pilte kuulsate Myasaki multifilmide stiilis, on viimastel päevadel pannud tuhandeid inimesi vabatahtlikult oma nägusid ja isiklikke fotosid ChatGPT-sse üles laadima, andes OpenAI-le otsese ja tasuta juurdepääsu mitmele tuhandele uuele näole oma tehisintellekti mudelite treenimiseks.
• Pildigeneraatorid muudavad võltsitud tõendite loomise äärmiselt lihtsaks, odavaks ja kättesaadavaks. Seega saab igaüks pahatahtlike kavatsustega luua võltsitud arveid, isikut tõendavaid dokumente, aadressitõendeid või isegi pangadokumente minutitega ja praktiliselt ilma lisakuludeta, millega kaasneb identiteedivarguse oht.