Õiguslik jälgimine nr 85 – juuli 2025. 

 

GDPR-i järgimine: millised on majanduslikud eelised?

Täiskasvanute Kutseõppe Assotsiatsiooni (AFPA) ja CNIL-i läbiviidud uuringud kinnitavad nüüd ettevõtetes andmekaitseametniku (DPO) kohalolekuga seotud majanduslikku kasu.

AFPE poolt 2024. aasta jaanuaris läbi viidud statistilist uuringut, mis põhines enam kui 3600 andmekaitseametniku vastusel, täiendasid CNIL-i põhjalikud intervjuud kümne Prantsuse andmekaitsekorrespondentide ühingu (AFCDP) välja pakutud andmekaitseametnikuga.

Nende analüüside tulemused, mille CNIL esitas juuli lõpus, toovad välja neli peamist eelist ettevõtetele, kellel on andmekaitseametnik: konkurentsivõime, sanktsioonide vältimine, andmete lekete vältimine ja andmehalduse ratsionaliseerimine.

Neid eeliseid tajuvad igas suuruses ettevõtted, eriti aga teadus-, IT- ja konsultatsioonisektoris ning panganduse, kindlustuse ja vastastikuste ühingute sektoris.

• Konkurentsi seisukohast näib isikuandmete kaitse üldmääruse järgimine seega olevat hankete võitmise hoob, eriti kui need on seotud andmetega.

Selles kontekstis on andmekaitseametnik ostjate jaoks peamine kontakt.

• Kuigi andmekaitseametnik aitab sanktsioonide riske piirata, ei laiene see kasu mitte ainult trahvide summale, vaid ka maineaspektidele.

Lisaks ettevõtete tuludele avalduvale mõjule võivad sanktsioonid mõjutada ka ettevõtete finantsreitinguid ja seega ka nende rahastamisvõimet.

• Turvalisuse osas mängib andmekaitseametnik koos infoturbejuhiga (CISO) keskset rolli töötajate teadlikkuse tõstmisel ning sisemiste andmekaitse- ja intsidentide haldamise poliitikate rakendamisel.

Sellega seoses juhib CNIL tähelepanu sellele, et andmetega seotud rikkumise keskmine maksumus on IBM-i 2024. aasta uuringu kohaselt 5 miljonit dollarit.

• Lõpuks võimaldab andmehalduse sujuvamaks muutmine meil serverite pealt kokku hoida, potentsiaalselt mitu sada tuhat eurot, ja parandada otsuste tegemise tõhusust.

Sellega seoses märgiti ka 2023. aasta digitaalse privaatsuse majanduslike aspektide aastaülevaate uuringus, et "liigne andmemaht võib vähendada ettevõtte turuvõimu".

CNIL-i aruandes võetakse arvesse seda, kuidas andmetöötleja regulatsioone tajub. 

Mida enam on andmekaitseametnik ja ettevõte veendunud isikuandmete kaitse üldmääruse järgimise eelistes ning integreerivad selle põhimõtted sisemistesse protsessidesse, seda enam on tunda positiivset mõju, erinevalt ettevõtetest, kes tajuvad vastavust piiranguna.

Seega tekiks määruse põhimõtete arvessevõtmisel positiivne motivatsiooni- ja kasuring.

Prantsusmaal läbi viidud uuring pole ainus, mis tuvastab andmekaitsealase regulatsiooni majanduslikku kasu. 

Samuti toob esile täiendavaid aspekte, näiteks Euroopa Andmekaitsenõukogu (EDPB), kes rõhutab usaldust, mida nähtava andmekaitsepoliitika rakendamine tekitab üksikisikute seas väljaspool pakkumismenetluste konteksti.

OECD avaldas selle aasta alguses ka rahvusvaheliste andmevoogude analüüsi, milles öeldi, et "kaitsemeetmeid pakkuvad režiimid loovad tasakaalu andmekaitsega seotud kaubanduskulude ja usalduse osas andmekaitsemeetmete pakutava kasu vahel".

Kontekstis, kus andmevargus sageneb ja tehisintellekti areng tekitab üha rohkem eetilisi küsimusi, on üksikisikute usalduse võitmine – ja hoidmine – avalikkuse jaoks märkimisväärne eelis.

 

        

8. augusti 2025. aasta otsusega kuulutas Konstitutsiooninõukogu põhiseadusevastaseks CNILi piiratud koosseisu tava mitte teavitada vaikimisõigusest isikuid, keda soovitakse ärakuulamiste või vaatlustaotluste ajal üle kuulata.

See otsus põhineb õigusel mitte ennast süüdistada, mis tuleneb Inimese ja kodaniku õiguste deklaratsiooni artiklist 9.

Selle põhiseadusevastase tegevuse lõpetamiseks alates otsuse avaldamise kuupäevast otsustas Konstitutsiooninõukogu, et kuni uue seaduse jõustumiseni või süüdistatavate sätete kehtetuks tunnistamise kuupäevani tuleks piiratud koosseisus menetluses olevat isikut teavitada tema õigusest vaikida.

Pärast Euroopa Liidu Kohtu (CJEU) otsust avaldas riiginõukogu (CE) 31. juulil oma otsuse Mousse'i kohtuasjas, mis sai nime SNCF-i vastu kaebuse algatanud ühingu järgi.

Ta usub, et SNCF Connect "ei saa oma kliente sundida viisakalt käituma".

See andmetöötlus ei ole kooskõlas isikuandmete kaitse üldmäärusega, mis nõuab ainult rangelt vajalike isikuandmete kogumist.

Euroopa Komisjon leiab, et viisakuse kogumine ei ole piletite müügil ega isikusamasuse kontrollimisel reisi ajal hädavajalik ning peaks olema vabatahtlik, välja arvatud teatud teenuste puhul, näiteks vallalistele naistele reserveeritud magamisvagunites.

Seetõttu tühistab see CNIL-i 23. märtsi 2021. aasta otsuse, millega tuleb Mousse'i ühingu kaebus uuesti läbi vaadata.

6. augustil 2025 kinnitas Bouygues Telecom, et ettevõttesse oli sisse tungitud arvuti abil, mis võimaldas küberkurjategijatel pääseda ligi enam kui kuue miljoni kliendi isikuandmetele.

Paroole ja pangakaardi numbreid ei mõjutatud, kuid häkkerid said ligipääsu paljudele andmetele, sealhulgas nimedele, posti- ja e-posti aadressidele, sünnikuupäevale, lepingu numbrile ja IBAN-ile. 

Juuli keskel tabas France Travail järjekordset isikuandmete rikkumist, mis mõjutas 340 000 tööotsija faili, sealhulgas isikuandmeid, aadressi, sünnikuupäeva ja telefoninumbrit. Seistes silmitsi üha suureneva andmerikkumiste arvuga, on CNIL (Prantsuse andmekaitseamet) oma üksikisikutele suunatud nõuandeid ajakohastanud.

 

Euroopa institutsioonid ja organid

Euroopa Komisjon avaldas 7. augustil oma hea tava koodeksi ettevõtetele, kes haldavad üldotstarbelisi tehisintellekti (GPAI) süsteeme.

See dokument koostati koostöös tööstuse ja kodanikuühiskonnaga ning selle eesmärk on hõlbustada tehisintellekti määruse järgimist.

Allakirjutanute täielik nimekiri sisaldab 26 ettevõtet, sealhulgas Amazon, Anthropic, Google, Microsoft, Mistral ja OpenAI.

Elon Muski ettevõte xAI on allkirjastanud ainult ohutus- ja turvaküsimustele pühendatud koodiosa. Seetõttu peab xAI tõendama oma vastavust eeskirjade läbipaistvuse ja autoriõiguse kohustustele sobivate alternatiivsete vahendite abil.

Olles hiljuti Euroopa Liidu Nõukogu eesistujariigiks saanud, on Taani privilegeeritud positsioonil kujundada ELi poliitikat järgmise kuue kuu jooksul.

4. juulil mainis Taani valitsus mitteametlikus dokumendis oma kavatsust teha ettepanek isikuandmete kaitse üldmääruse ja e-privaatsuse direktiivi sihipäraseks muutmiseks, et vähendada ettevõtete vastavuskoormust ja tagada nende konkurentsivõime.

Samuti peaks Euroopa Komisjon lähikuudel avaldama ELi digitaalvaldkonna õigusaktide kvaliteedihinnangu ja digitaalse koondpaketi.

GDPR-i läbivaatamine ei tundu olevat kindel, kui uskuda komisjoni juuli keskel korraldatud „rakendusdialoogi“ kokkuvõtet, mille järeldused avaldati augusti alguses.

Erasektor märkis, et on "investeerinud vastavusse nõuetega ja et üldine taasavamine võib tekitada ebakindlust, eriti rahvusvahelise andmeedastuse kontekstis".

Rootsi ühistransporti puudutavas kohtuasjas selgitas Euroopa Kohtu kohtujurist 1. augustil isikuandmete kaitse üldmääruse artiklite 13 ja 14 ulatust andmesubjektide teavitamise osas.

Konkreetne juhtum puudutas lennujuhtide pardakaamerate piltide kogumist.

Administratiivkontroll leiab, et artiklit 13 kohaldatakse alati, kui andmesubjekt on andmete allikas („andmesubjektilt kogutud“), olenemata viimase osalemisest andmete kogumises ja hetkest, mil andmesubjekti ja vastutava töötleja vahel puudub vahendaja.

Artiklit 14 kohaldatakse alati, kui andmeid kogutakse muust allikast kui andmesubjektilt.

Seega juhul, kui pardakaameratega on pilte kogutud, peab asjaomaste isikute teavitamise kohustus olema viivitamatu ega kuulu artikli 14 erandite alla.

28. juulil lõpetas Euroopa Andmekaitseinspektor (EDPS) positiivselt uurimise Euroopa Komisjoni Microsoft 365 kasutamise kohta.

Avalduses märgitakse komisjoni Microsoft 365 kasutamise andmekaitsenõuetele vastavuse märkimisväärset paranemist ning tunnustatakse ja hinnatakse ka „Microsofti pingutusi komisjoni nõuete täitmiseks, mis tulenevad Euroopa Andmekaitseinspektori 2024. aasta märtsi otsusest”.

Euroopa Liidu Küberturvalisuse Ameti (ENISA) 26. juunil avaldatud aruandes antakse tehnilisi juhiseid NIS2 direktiivi rakendamise toetamiseks mitut tüüpi üksustele NIS2 digitaalse taristu, IKT-teenuste haldamise ja digitaalsete pakkujate sektorites.

See koostab loetelu asjakohastest Euroopa ja rahvusvahelistest standarditest ja raamistikest (ISO 27001, NIST, ETSI või CEN).

 

Uudised Euroopa Liidu liikmesriikidest.

Saksamaal mõistis Düsseldorfi kohus isikule 200 eurot mittevaralise kahju hüvitist pärast andmetega seotud rikkumist, mille põhjustas andmetöötleja suutmatus tagada oma alltöövõtja töödeldud isikuandmete kustutamist seaduses nõutud tähtaegade jooksul.

Eespool mainitud Mousse'i kohtuasja eeskujul otsustas Frankfurdi kohus, et Saksamaa riiklik raudtee-ettevõte oli ebaseaduslikult nõudnud oma klientidelt piletite ostmiseks oma e-posti aadressi või mobiiltelefoninumbri esitamist.

Ta leidis, et see ei olnud lepingu täitmiseks vajalik ning et antud nõusolek ei olnud siiras ja vabatahtlik.

Horvaatia andmekaitseamet (APD) määras kommunaalteenuste ettevõttele 320 000 euro suuruse trahvi nõutavate turvameetmete rakendamise ja koostöö puudumise eest oma kasutajatele uute paroolide väljastamisel.

Hispaania andmekaitseamet (APD) määras spordikeskusi käitavale ettevõttele 96 000 euro suuruse trahvi kohustusliku näotuvastussüsteemi rakendamise eest sisenemisel ja väljumisel ilma oma liikmeid eelnevalt teavitamata või neilt nõusolekut saamata.

Samuti Hispaanias trahvis APD energiatarnijat 1 380 000 euroga gaasitarnelepingu eksliku sõlmimise ja sellelt kliendilt tasu võtmise eest, rikkudes andmete täpsuse ja töötlemise turvalisuse põhimõtteid.

Iiri ülemkohus otsustas, et nõuded emotsionaalse stressi, vapustuse või ärevusega seotud hüvitise saamiseks võivad kuuluda otse isikukahju hüvitamise määruse alla ning et siseriiklikud sätted, mis nõuavad enne isikukahju hüvitamise nõudmist sõltumatu organi luba, ei ole kohaldatavad.

Itaalia konkurentsiamet algatas 22. juulil uurimise Meta Platformsi suhtes seoses tehisintellekti teenuste lisamisega WhatsAppi ilma kasutaja nõusolekuta.

Meeldetuletuseks, 23. mail 2025 lükkas Kölni kõrgem ringkonnakohus tagasi Meta vastu esitatud ettekirjutuse, mis puudutas Meta tehisintellekti treenimist.

Kohus leidis, et Facebooki ja Instagrami anonüümsete andmete kombineerimine treeningandmekogumis ei kujuta endast digitaalsete turgude määruse (DMA) artikli 5 lõike 2 tähenduses ebaseaduslikku andmete „liitmist“.

Leedu andmekaitseamet (DPA) leidis kahe naabriga seotud juhtumis, et isikuandmete aeg-ajalt kogumine õhust drooni abil kohtumenetluse tõendite kogumise eesmärgil kuulub isikuandmete kaitse üldmääruses sätestatud siseriikliku erandi alla.

APD märgib, et viitas selles küsimuses Euroopa Andmekaitsenõukogu 2020. aasta suunistele.

Poolas asus föderaalne halduskohus ombudsmani poolele ja otsustas, et Poola õigusaktid, mis kohustavad kohtunikke ja prokuröre avalikustama oma seotuse usuliste, ametiühingute ja poliitiliste organisatsioonidega, on vastuolus nende õigustega, mis tulenevad Euroopa Liidu põhiõiguste hartast ja Euroopa inimõiguste konventsioonist.

Ka Poolas määrati McDonald's Polska Sp. z oo-le 3 955 000 euro suurune trahv andmetöötluse üldpõhimõtete eiramise, eelkõige isikuandmete kaitsmiseks ebapiisavate meetmete võtmise eest.

 

Suurbritannias võib valitsus USA surve all loobuda oma korraldusest, mis on suunatud Apple'i täiustatud andmekaitsefunktsiooni vastu.

Siseministeeriumi taotlus esitati uurimisvolituste seaduse (IPA) alusel, mis annab Ühendkuningriigi valitsusele õiguse "välja anda salajasi korraldusi, mis nõuavad tarnijatelt krüpteerimisest möödahiilimist, lisades oma tarkvaratoodetesse tagauksi".

Ars Technica andmetel avaldavad USA ametnikud, sealhulgas asepresident J. D. Vance, Ühendkuningriiki survet oma otsuse muutmiseks. „See ärritab asepresidenti väga ja vajab lahendamist,“ ütles väidetavalt üks Briti ministeeriumi ametnik.

Wetransfer, mida paljud spetsialistid ja eraisikud dokumentide jagamiseks kasutavad, muutis juuli keskel oma tingimusi: ettevõte oli andnud mõista, et alates augustist hakkab ta oma tehisintellekti süsteemi treenimiseks kasutama oma kasutajate andmete sisu.

Selle teabe esile kutsutud reaktsioonide ja andmete konfidentsiaalsusega seotud küsimuste tõttu võttis ettevõte järgmistel päevadel väidetavalt oma seisukoha tagasi.

ChatGPT kasutamine võib viia andmete avalikustamiseni ilma kasutajate teadmata: seda näitab Digital Diggingi 31. juuli artikkel.

Juurdluse käigus teatati 512 ChatGPT vestlusest, mis avalikustati sihitud märksõnaotsinguid kasutades, paljastades kompromiteerivat teavet ja konfidentsiaalseid andmeid.

Tänu jagamisfunktsioonile tegid kasutajad teadmatult oma suhtluse ChatGPT-ga avalikuks ja otsingumootorite poolt indekseeritavaks.

Jagatud vestlused käsitleksid siseringitehingute juhtumeid, ettevõtete üksikasjalikku finantsteavet, pettuste ülestunnistusi ja tõendeid regulatiivsete rikkumiste kohta, mida kõiki hoitakse alaliselt ligipääsetavates avalikes arhiivides.

Indias geopoliitika mõju digitaaltehnoloogiale IAPP teatab, et juuli lõpus keelas Microsoft India suuruselt kolmandal rafineerimistehasel Nayara Energyl, millel on 6000 teenindusjaama, juurdepääsu oma andmetele ilma ette teatamata, kuigi ettevõte oli oma litsentside eest täielikult tasunud.

Venemaa ettevõte Rosneft omab Nayara Energys 49,13% suurust osalust %-s. Arvatakse, et see samm on tingitud Venemaale Ukraina sõja kontekstis kehtestatud sanktsioonidest.

Teine intsident puudutab India Riikliku Kosmose Edendamise ja Autoriseerimise Keskuse poolt Asia Satellite Telecommunications Company kahele satelliidile antud teenindusloa tühistamist pärast 31. märtsi 2026.

AsiaSati peamine aktsionär on Hiina valitsusele kuuluv üksus.

Sellel otsusel on tagajärjed mõnele India suurimale meelelahutusringhäälinguorganisatsioonile, näiteks Zee ja Jiostar, kes peavad nüüd otsima alternatiive.

Need sündmused kajastavad Microsofti poolt eelmisel kevadel Rahvusvahelise Kriminaalkohtu (ICC) peaprokuröri e-posti konto blokeerimist.

See blokeerimine oli otsene tagajärg meetmetele, mille USA president Donald Trump võttis Haagi kohtu vastu veebruaris, pärast seda, kui Rahvusvahelise Kriminaalkohtu kohtunike paneel andis välja vahistamismäärused Iisraeli peaministri Benjamin Netanyahu ja tema endise kaitseministri Yoav Gallanti vastu Gaza sektoris toime pandud sõjakuritegude eest.

PL&B International Reporti augustikuu numbris avaldatakse artikkel Maria Tzanou'lt, kes on õigusteaduse õppejõud Sheffieldi Briti Ülikoolis ja FemTechi seireprojekti juht.

Ta tõstatab küsimusi naiste jälgimise kohta selliste toodete ja teenuste kaudu nagu viljakuse ja menstruatsiooni jälgimise rakendused, väites, et esineb "problemaatilisi ja sageli ebaseaduslikke andmekogumise tavasid".