Õiguslik jälgimine nr 84 – juuni 2025. 

Täiustatud kaamerad: CNIL kehtestab uued suunised.

11. juulil leidis CNIL, et tubakapoodides klientide vanuse hindamiseks "laiendatud" kaamerate kasutamine alaealistele keelatud toodete müügi kontrollimiseks ei ole vajalik ega proportsionaalne.

Neid kaameraid esitletakse otsustusvahendina. Need tuginevad vaikimisi aktiveeritud tehisintellekti algoritmile, mis skannib kõigi nende vaateväljas olevate inimeste nägusid, et hinnata, kas tegemist on alaealiste või täiskasvanutega.

CNIL (Prantsuse andmekaitseamet) märgib, et kuna „täiustatud” kaamera teeb ainult hinnangu, peavad tubakamüüjad oma kohustuste täitmiseks klientidelt süstemaatiliselt vanuse tõendamist nõudma. „Järelikult ei tundu vanuse hindamiseks vajalik eelnev näoanalüüs kaameraga: see ainult lisaks seadusega nõutavatele kontrollidele.”

CNIL osutab ebaproportsionaalsele kasutamisele taotletava eesmärgiga võrreldes, mis viib kõigi inimeste, isegi selgelt täiskasvanute filmimiseni ja takistab inimestel oma vastuväidete esitamise õigust teostamast.

Ta usub ka, et kaamerate paigutamine eluruumidesse, näiteks tubakapoodidesse, suurendab selliste vahendite mitmekordistumise tõttu tugevdatud jälgimisvormi trivialiseerimise ja sellega harjumise ohtu.

See pole esimene kord, kui reguleeriv asutus on selles küsimuses seisukoha võtnud. Mai lõpus pälvis see Nice'i linnapea pahameele, keelates liitreaalsuse kaamerate paigaldamise linna koolide ette, tuues esile isikuandmete kogumise ja korrates vajadust vähendada inimeste jälgimist avalikes kohtades miinimumini.

Teatud kontekstides on CNIL-i silmis siiski täiustatud kaamerate kasutamine soodne: seetõttu on CNIL leidnud, et nende kaamerate paigaldamine supermarketite automaatsetesse kassadesse võib kujutada endast õigustatud huvi eesmärgi vastu piirata kassas tehtud vigadest või vargustest tingitud tulude kaotust, kuid teatud tingimustel: süsteem on taotletava eesmärgi saavutamiseks vajalik, see ei riku ebaproportsionaalselt isikute õigusi ja seda ei saa saavutada vähem sekkuval viisil.

Rakendada tuleb andmete minimeerimise meetmeid, näiteks piirata jäädvustamisala iseteeninduskassadega ning piirata jäädvustamise kestust, eraldusvõimet ja sagedust. Lisaks tuleb kasutajaid süsteemist teavitada ja pakkuda neile kaameravaba alternatiivi.

CNIL kavatseb nende süsteemide kasutamist reguleerida, tagades iga juhtumi puhul eraldi nende vajalikkuse ja proportsionaalsuse. Samuti soovitab ta kohaldada privaatsuse sisseprojekteerimise põhimõtet.

Tasub meeles pidada, et algoritmilise videovalve regulatiivne raamistik on pidevalt arenev teema, millele kohaldatakse keerukat regulatiivset raamistikku.

See raamistik erineb biomeetriliste kaamerate omast, mis töötlevad süstemaatiliselt inimeste füüsiliste omadustega seotud andmeid eesmärgiga neid üheselt tuvastada või autentida.

Need töötlemistoimingud, mis hõlmavad tundlikke andmeid, on keelatud, välja arvatud erandjuhtudel.

„Lisatud” kaamerate kohta pole praegu konkreetset teksti, välja arvatud 19. mai 2023. aasta olümpia- ja paraolümpiamängude seadusega ette nähtud eksperimentaalne raamistik.

CNIL tuletab meile meelde, et "mehhanisme, mis võivad mõjutada kodanikele avalike vabaduste teostamiseks antud põhilisi tagatisi, saab kasutada ainult siis, kui seadus need konkreetselt lubab ja reguleerib".

Teiste süsteemide puhul tuleb kehtestada tugevad kaitsemeetmed.

Olümpiamängude seaduse katseperioodi pikendati hiljuti 2027. aastani, vaatamata vastuoluliseks peetud hinnangule.

See seadus lubab laiendatud kaameraseadmete eksperimentaalset kasutamist teatud oluliste spordi-, meelelahutus- ja kultuuriürituste turvalisuse tagamiseks väga rangetel tingimustel: tuvastamine on lubatud ainult seaduses nimetatud üritustel ja näotuvastust ei tohi teostada.

Poliitilisemast vaatenurgast kutsub CNIL avaliku sektori võimu üles tõmbama piiri selle vahel, mis peaks demokraatlikus ühiskonnas olema lubatud ja mis mitte: kõik, mis on tehniliselt teostatav, ei ole tingimata eetilisest ja sotsiaalsest vaatepunktist soovitav.

 

 

Diskrimineerimisvastase võitluse teadlikkuse suurenemise kontekstis avaldab CNIL soovituse mitmekesisuse mõõtmiseks töökohal.

Ta rõhutab, et selline meede on delikaatne ettevõtmine, mis eeldab, et tööandjad peavad rangelt järgima põhiseadusnõukogu 15. novembri 2007. aasta otsust, mida on regulaarselt ja ekslikult tõlgendatud päritolustatistika täieliku keeluna.

Komisjon rõhutab eelkõige, et uurimised peavad jääma vabatahtlikuks ning töötajaid või esindajaid tuleb nõuetekohaselt teavitada ja nende õigusi austada.

Samuti soovitab see eelistada anonüümseid küsitlusi ja piirata suletud küsimuste kaudu kogutavaid andmeid.

CNIL avaldas ka kaks KKK-d tehisintellekti kasutamise kohta koolides ja manga, mille eesmärk on tõsta noorte teadlikkust isikuandmete kaitsest.

Samuti on see avaldanud soovitused interneti publiku mõõtmise vahendite ja enesehindamise vahendi kohta, et hinnata nende vastavust õigusraamistikule.

See on avaldanud tehisintellekti süsteemide arendamise soovitused, milles täpsustatakse õigustatud huvi kasutamise tingimusi, eriti andmete kogumise (veebi kraapimise) korral, ning avas 12. juunil avaliku konsultatsiooni oma soovituse eelnõu kohta, mis käsitleb jälgimispikslite kasutamist e-kirjades.

Eesmärk on aidata neid jälgimisseadmeid kasutavatel osapooltel paremini mõista oma kohustusi, eriti seoses kasutaja nõusoleku saamisega.

Küberjulgeolekumeedia Cybernewsi 30. juuni väljaande kohaselt on praegu veebis ligipääsetav 16 miljardile varastatud kasutajanimele ja paroolile.

Ohustatud teave sisaldab identifikaatoreid, nagu kasutajanimed ja e-posti aadressid, aga ka paroole.

Kataloogid sisaldavad ka juurdepääsutokeneid, sisselogimisküpsiseid ja metaandmeid.

 See ei oleks uus andmeleke, vaid erinevate varasemate andmelekete kogunemine, mis võib suurendada andmevarguste riske, hõlbustades pahatahtlike osalejate tööd.

Google'ile ähvardab rekordiline 525 miljoni euro suurune trahv küpsiste ja reklaamide käitlemise eest Gmaili postkastides.

Oma otsuse eelnõus süüdistab CNIL Google'it Euroopa privaatsuse ja elektroonilise side direktiivi rakendamise põhimõtete rikkumises, kuna Google ei küsinud Gmaili konto loomisel küpsiste allalaadimiseks ja Gmaili postkastides e-kirjade moodi reklaamide kuvamiseks kasutaja nõusolekut.

Kui CNIL-i piiratud komisjon trahvi kinnitab, on see CNIL-i ajaloo suurim trahv ja suurim trahv, mis kunagi e-privaatsuse direktiivi rikkumise eest määratud on. Lõplik otsus tehakse teatavaks mõne nädala pärast.

GDPR-i mittetäitmine on lepingu lõpetamise aluseks, eriti digitaalse kommunikatsiooni arendusteenuste valdkonnas: varasemate otsuste järel kinnitas Bordeaux' apellatsioonikohus oma 11. juuni 2025. aasta otsusega reCAPTCHA kaitseseadme olemasolu, mis on seotud mitme küpsisega, mis paigutati ilma lõppkasutaja nõusolekuta.

Teenusepakkuja jätkuvate lepinguliste rikkumiste tõttu on kliendil õigus nõuda lepingu lõpetamist vastavalt tsiviilseadustiku artiklitele 1610, 1217 ja 1224.

 

Euroopa institutsioonid ja organid

Euroopa tehisintellekti käsitleva määruse rakendamise ajakava avaldati juuni keskel.

Pärast kuulujutte võimalikust armuajast selgitas komisjon, et teksti hakatakse kohaldama ettenähtud tähtaegade kohaselt.

Määrust kohaldatakse tehisintellekti süsteemidele nende tekitatavate riskide alusel ja üldotstarbelistele tehisintellekti mudelitele (GPAI) nende võimete alusel.

GPAI-d puudutavad reeglid jõustuvad 2. augustil 2026; olemasolevate süsteemide puhul algab rakendamine 2. augustil 2027.

Lisaks avaldati 10. juulil üldotstarbelise tehisintellekti heade tavade koodeks.

See koosneb 3 peatükist.

Läbipaistvust ja autoriõigust käsitlevad peatükid pakuvad kõigile üldotstarbeliste tehisintellekti mudelite pakkujatele vahendeid, et näidata, et nad täidavad tehisintellekti seaduse paragrahvist 53 tulenevaid kohustusi.

Ohutuse ja turvalisuse peatükk puudutab vaid väikest hulka ülitäpsete mudelite tarnijaid, kelle suhtes kehtivad tehisintellekti seaduse § 55 kohaselt süsteemset riski kujutavate üldotstarbeliste tehisintellekti mudelite tarnijatele sätestatud kohustused.

MLexi nähtud sisedokumendi kohaselt oodatakse Euroopa Komisjoni ettepanekut "digitaalse omnibusi" kohta praegu 10. detsembriks.

See on osa paketist, mis hõlmab digitaalvõrkude määrust, küberturvalisuse määruse läbivaatamist ja Euroopa e-rahakotti.

Pilve- ja tehisintellekti arendamist puudutavad regulatsioonid on esialgu kavandatud järgmiseks nädalaks.

Juuni lõpus võtsid Euroopa institutsioonid vastu ühise seisukoha GDPR-i rakendamisega seotud täiendavate menetlusnormide kohta. Teksti peab nüüd ametlikult heaks kiitma Euroopa Parlament hääletusega.

Kahepäevasel kohtumisel Helsingis 1. ja 2. juulil teatas Euroopa Andmekaitsenõukogu (EDPB), et aitab organisatsioonidel oma GDPR-i kohustusi paremini mõista, avaldades lihtsustatud suunised. Oma avalduses märkis nõukogu esinaine, et "lühikeste ja õigeaegsete suuniste ning kasutusvalmis tööriistade, näiteks ühtse andmete rikkumise teavitusmalli, kontroll-lehtede, praktiliste juhendite ja KKK abil muudame GDPR-i nõuetele vastavuse jätkuvalt kõigile kättesaadavaks ja kättesaadavaks".

Transatlantilised andmevood kehtivad esialgu endiselt andmekaitseraamistiku alusel, hoolimata Trumpi administratsiooni meetmetest, mis nõrgestavad Ameerika Ühendriikide andmekaitseraamistikku.

Euroopa Komisjon kinnitas juuni keskel vastuseks parlamendi küsimusele, et PCLOB (privaatsuse ja kodanikuvabaduste järelevalvekomitee) liikmete vallandamine ei mõjuta ELi ja Ameerika Ühendriikide vahelise andmekaitseraamistiku kehtivust, kuna PCLOB on endiselt võimeline tegutsema.

 

Uudised Euroopa Liidu liikmesriikidest.

Berliini liidumaa andmekaitseamet (DPA) jõudis 27. juuni otsuses järeldusele, et DeepSeeki andmeedastus Hiinasse on ebaseaduslik ning palus Google'il ja Apple'il rakendus blokeerida.

Väidetavalt ei suutnud DeepSeek esitada andmekaitseasutusele (DPA) veenvaid tõendeid selle kohta, et Saksa kasutajate andmeid kaitstakse Hiinas Euroopa Liidu omaga samaväärsel tasemel.

"Hiina ametivõimudel on ulatuslikud juurdepääsuõigused Hiina ettevõtete valduses olevatele isikuandmetele. Lisaks ei ole DeepSeeki kasutajatel Hiinas Euroopa Liidus tagatud kohtulikult kaitstavaid õigusi ja tõhusaid õiguskaitsevahendeid."

Belgia APD lükkas 26. juunil tagasi 16 valitsusvälise organisatsiooni Noyb esitatud kaebust viies erinevas kohtuasjas põhjendusel, et asjaomastelt isikutelt puudus tegelik (mitte fiktiivne) volitus.

Oma pressiteates toob APD esile erinevuse GDPR-i artiklite 80(1) ja 80(2) vahel ning asjaolu, et Belgia seadusandja otsustas mitte lubada tarbijaõiguste organisatsioonidel esitada kaebusi ilma volituseta.

Ta lõpetas, öeldes, et "arvestades nende organisatsioonide olulisust, pooldab ta seadusemuudatust, mis võimaldaks seda võimalust ka Belgias."

TaanisAutoriõiguse seaduse muudatus annab kodanikele õiguse oma häälele, näole ja kehale isegi siis, kui need on digitaalselt reprodutseeritud genereeriva tehisintellekti abil.

Taani kultuuriminister teatas sellega seoses, et "inimesi ähvardab muutumine digitaalseteks koopiamasinateks ja nende kasutamine igasugustel kuritahtlikel eesmärkidel ning ma ei ole valmis seda aktsepteerima".

HispaaniasAPD määras Carrefourile 3 200 000 euro suuruse trahvi pärast mitmeid andmelekkeid.

Ta leidis, et Carrefour ei olnud rakendanud piisavaid turvameetmeid ega olnud rikkumisest asjaomastele isikutele teatanud.

Samuti määras APD alltöövõtjale 12 000 euro suuruse trahvi, kuna see sõlmis lepingu teisese alltöövõtjaga ilma vastutava töötleja loata, rikkudes GDPR-i artikli 28(2).

Microsoft seisab silmitsi esimese kollektiivhagiga Iirimaal Iirimaa kodanikuvabaduste nõukogu (ICCL) algatas mai lõpus Dublini kõrgemas kohtus menetluse. See kohtuasi, mis esitati uue Euroopa kollektiivse õiguskaitse direktiivi alusel, väidab, et Microsofti poolt suunatud veebireklaamide edastamiseks kasutatav reaalajas pakkumissüsteem (RTB) on isikuandmete kaitse üldmäärusega vastuolus.

Juurdepääsutaotlustega seotud dokumente ei saa säilitada lõputult: pärast kasutaja algatatud uurimist Leedu ametlik arenguabi andis meditsiiniteenuste osutajale korralduse kehtestada juurdepääsutaotluste menetlemisega seotud dokumentide säilitustähtajad.

Jälgimispikslite suhtes ettevaatlikkus: Norra ametlik arenguabi määras Kristiansandi omavalitsusele 250 000 Norra krooni (21 600 euro) suuruse trahvi laste isikuandmete ebaseadusliku töötlemise eest Snapi ja Meta pikslite kaudu oma laste väärkohtlemise abiliini veebisaidil.

APD leidis ka, et teave konkreetseid meditsiinilisi küsimusi sisaldava veebisaidi lehtede külastuste kohta kujutab endast tundlikke andmeid ning noomis ettevõtet selle tundliku teabe ebaseadusliku töötlemise eest Metapiksli kaudu.

 

Ühendkuningriigis sai andmete kasutamise ja juurdepääsu seadus (DUAA) kuningliku heakskiidu 19. juunil. See seadus sisaldab sätteid, mille eesmärk on edendada digitaalsete kontrolliteenuste, uute nutikate andmeprogrammide (nt avatud pangandus) ja uue riikliku maa-aluste varade registri arendamist.

See hõlmab ka olulisi muudatusi Ühendkuningriigi andmekaitsealastes õigusaktides.

DUAA ei asenda Ühendkuningriigi isikuandmete kaitse üldmäärust (GDPR), kuid see teeb mõned muudatused, et "lihtsustada organisatsioonide reegleid, soodustada innovatsiooni, aidata õiguskaitseasutustel võidelda kuritegevusega ja võimaldada vastutustundlikku andmete jagamist, säilitades samal ajal kõrged andmekaitsestandardid".

Ameerika Ühendriikides on hiljutine Ülemkohtu otsus Free Speech Coalitioni ja Paxtoni kohtuasjas saatnud digimaastikule vapustavaid laineid.IAPP-i artikkel väljendab muret vanuse kontrollimise, sõnavabaduse ja privaatsusele avalduvate mõjude kahtluse alla seadmise pärast.

27. juuni otsus kinnitas Texase seaduse, mis nõuab täiskasvanutele mõeldud sisu pakkuvatelt veebisaitidelt külastajate vanuse kontrollimist potentsiaalselt pealetükkivate tehnikate, näiteks biomeetria abil. Kuigi selle otsuse eesmärk on kaitsta alaealisi selgesõnalise sisu eest, tekitab see ka küsimusi tundlike isikuandmete kogumisega seotud riskide kohta.

Ka Ameerika Ühendriikides hääletas Kongress juuli alguses "One Big Beautiful Bill Acti" vastuvõtmise poolt.President Trumpi riikliku tegevuskava kodifitseerimine ühe olulise erandiga: tehisintellekti reguleerimise moratoorium, mis algselt eelnõusse lisati. See moratoorium oleks peatanud enam kui 1000 tehisintellekti reguleerimise seaduseelnõu, mis olid jaanuarist saadik osariikide pealinnades seadusandlikes protsessides menetluses olnud.

WhatsAppi omanik Meta teatas 16. juunil WhatsAppi vahekaardil „Uuendused” uute funktsioonide, sealhulgas suunatud reklaami ja tellimismudeli, käivitamisest.Ettevõte teatas, et need funktsioonid võetakse kasutajatele järk-järgult kasutusele "järgmise paari kuu jooksul". Sel eesmärgil kasutab Meta kasutajate Facebooki ja Instagrami kontodelt WhatsAppiga lingitud "reklaamieelistusi ja -teavet".

Iirimaa andmekaitsekomisjon (DPC) teatas, et WhatsApp teavitas neid, et nende reklaamimudelit ei hakata EL-is kasutusele võtma enne 2026. aastat ning et seda arutatakse teiste andmekaitseasutustega, et nad saaksid Euroopa regulaatoritena mureküsimusi tõstatada.

Ajalehe L'Express 26. mai numbri andmetel kavatseb Venemaa alates 1. septembrist 2025 rakendada eksperimentaalset projekti, mis nõuab Moskvas ja selle piirkonnas ajutiselt viibivatelt välismaalastelt mobiilse geograafilise asukoha rakenduse kasutamist ja biomeetriliste kontrollide läbimist.Kasutajad peavad rakenduses registreeruma, "nõustuma oma isikuandmete, sealhulgas geograafilise asukoha kogumisega, teatama siseministeeriumile oma elukoha ja ajakohastama seda kolme päeva jooksul, kui nad kolivad".