Õiguslik jälgimine nr 93 – märts 2026. 

 

Juurdepääs isikuandmetele: õiguste kuritarvitamise tunnustamine?

Euroopa Liidu Kohtu hiljutine otsus selgitab üksikisikute õiguse tutvuda oma isikuandmetega tingimusi ja eelkõige asjaolusid, mille korral andmetöötleja võib juurdepääsutaotlust pidada kuritahtlikuks.

Kuigi isikuandmete kaitse üldmääruse artikkel 12 seob taotluste kuritahtliku iseloomu nende korduva aspektiga, selgitas Euroopa Kohus 19. märtsil kohtuasjas C-526/24 – Brillen Rottler, et see korduvuse kriteerium on illustratiivne: taotluste arv ei ole määrav ja esialgset juurdepääsutaotlust võib pidada kuritahtlikuks, kui andmesubjekt kasutab seda õigust eelise saamiseks, näiteks kui ta püüab kunstlikult luua õiguse saada hüvitist andmetöötleja vastu. Sellisel juhul on tegemist õiguste kuritarvitamisega.

Juurdepääsutaotlusele vastamisest keeldumine peab siiski isikuandmete kaitse üldmääruse kohaselt jääma erandiks ning andmetöötleja peab suutma tõendada taotleja kuritahtlikku kavatsust.

Antud juhul pidi vastutav isik konkreetsete tõendite põhjal tõendama, et päringu eesmärk ei olnud andmete töötlemise kontrollimine, vaid kunstlikult kahju hüvitamise nõude tingimuste loomine.

Oli tõepoolest teada, et taotleja esitas pärast oma andmete esitamist arvukatele andmetöötlejatele mitu taotlust hüvitise saamiseks.

Kohus kordab, et hüvitise määramiseks peavad olema täidetud kolm tingimust:

• GDPR-i rikkumine
• Kahju
• Ja põhjuslik seos nende kahe vahel.

Immateriaalne kahju võib tuleneda kontrolli kaotamisest või andmetöötlusega seotud ebakindlusest, kuid kahju peab tõendama hageja ning see ei tohi olla põhjustatud hageja käitumisest.

Käesoleval konkreetsel juhul katkes põhjuslik seos asjaomase isiku käitumise tõttu, kelle eesmärk oli kunstlikult luua kahju tekkimise tingimused.

Kui kolm ülaltoodud tingimust on täidetud, võib juurdepääsuõiguse rikkumine seega anda aluse õiguskaitsevahendile isegi siis, kui see rikkumine ei tulene otseselt andmetöötlusest kitsamas tähenduses.

Juurdepääsutaotlusele vastamata jätmine võib vastutavale isikule seada ohtu nõuda heauskse taotleja poolt hüvitist.

Seetõttu peab andmetöötleja, kes kahtlustab kuritahtlikku taotlust, enne juurdepääsu keelamist olema eriti ettevaatlik ja säilitama tõendeid selle kuritahtliku olemuse kohta. 

Euroopa Kohtu selgitused on kooskõlas Euroopa Andmekaitsenõukogu (EDPB) 2022. aastal avaldatud suunistega samal teemal, mis pakuvad lisajuhiseid.

Seega võib taotluste ülemäärane iseloom sõltuda andmetöötleja tegutsemisvaldkonna eripäradest.

"Mida sagedamini andmetöötleja andmebaasis muudatusi tehakse, seda tõenäolisemalt lubatakse andmesubjektil taotleda juurdepääsu oma andmetele ilma, et seda peetaks liigseks."

Korduvate taotluste korral võib vastutav töötleja juurdepääsu andmisest keeldumise asemel otsustada nõuda asjaomaselt isikult tasu, mis vastab taotlustega seotud haldusmenetluste kuludele.

Lõpuks tuleb märkida, et Euroopa Komisjon kavatseb oma digitaalse omnibusi ettepanekus pakkuda andmetöötlejatele suuremat õiguskindlust juhuks, kui nad seisavad silmitsi andmesubjektide õiguste kuritarvitamisega.

Kuigi Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektor toetavad seda selgitussoovi oma 10. veebruari arvamuses, usuvad nad, et juurdepääsuõiguse teostamine muudel eesmärkidel kui isikuandmete kaitse ei tohiks olla kuritarvituse määravaks elemendiks ... seni, kuni taotleja heausksus ei ole kahtluse all.

 

SREN-seaduse rakendusmäärus, mis avaldati 24. märtsil, kehtestab täiendavaid nõudeid. terviseandmete (HDS) majutamiseks ainult ELi või EMP territooriumilCNIL kiidab heaks nõuded, kuna nende eesmärk on suurendada läbipaistvust asjaomaste isikute suhtes ning tugevdada terviseandmete kontrolli majutamislepingu poolte poolt seoses Euroopa-välise juurdepääsu riskiga.

Üldisemalt kavatseb kogu riigi IT-süsteem minna üle suveräänsetele lahendustele.

Seega, nädal pärast LaSuite'i koostööplatvormi juurutamise väljakuulutamist 80 000 tervisekindlustuse agendile, teatas ministeeriumidevaheline digitaaldirektoraat (DINUM) 9. aprillil ametlikult oma kavatsusest loobuda Windowsist Linuxi kasuks ja minna enne aasta lõppu üle suveräänsele lahendusele.

Need eesmärgid on muutunud konkreetsemaks pärast 8. aprilli seminari, mis tõi esmakordselt kokku ministeeriumid, avaliku sektori ettevõtjad ja erasektori osalejad, et teha kindlaks, millisest välismaisest tarkvarast ja teenustest riik täna sõltub, et homme ilma nendeta hakkama saada.

"Alates sellest sügisest peab iga ministeerium (ja sellest sõltuvad avalik-õiguslikud asutused) esitama oma tegevuskava välismaise digitaalse sõltuvuse vähendamiseks."

Riigi digitaalse turvalisuse tegevuskava aastateks 2026–2027 avaldati aprilli alguses.

See on osa jõupingutustest viia valitsusasutused vastavusse NIS2 direktiiviga ja kaasab neid üleminekusse postkvantkrüptograafiale. 

"Suure ohu ja halveneva geopoliitilise olukorra kontekstis sätestab see prioriteetsed jõupingutused, mida ministeeriumid peavad digitaalse turvalisuse valdkonnas tegema: juhtimise konsolideerimine, juurdepääsuhalduse tugevdamine, infosüsteemide keskkonna kontrollimine jne."

CNIL avaldas oma prioriteetsed kontrolliteemad 2026. aastaks 3. aprillil.  Ta keskendub

• Värbamine,
• Ühtne valijaregister
• Spordiliidud.

Edasised küberturvalisusega seotud teadaanded tehakse siis, kui aastaaruanne avaldatakse mais.

Samuti avaldas ta oma tugispetsialistide tööprogrammi.mis rõhutab

• Tehisintellekti kasutamine
• Terviseandmed,
• Juurdepääsuõiguse tingimused
• Küberturvalisus.

Selle veebisaidil on ka uus juhend personaliandmete säilitamistähtaegade kohta. Lõpuks kordab CNIL 20. märtsi väljaandes videovalvekaamerate heli salvestamise väga piiravaid tingimusi.

Kuigi piirkondlike tervishoiuagentuuride (ARS) häkkimine kinnitati ametlikult 2025. aasta septembris, võtab olukord täna murettekitavama pöörde. samal ajal kui häkkerirühmitus DumpSec võtab rünnaku eest vastutuse ja müüb nüüd Prantsuse tervishoiusüsteemi tohutut andmebaasi.

See mõjutaks enam kui 35 miljonit patsienti ja andmed sisaldaksid tundlikku teavet ravivõimaluste kohta.

Andmeleke tuleneb arstide volituste vargusest GRADeS-i (regionaalse e-tervise tugigrupi) serverites.

Euroopa Kohus tegi 19. märtsil otsuse, mis mõjutas Prantsuse politsei poolt biomeetriliste andmete kogumise tingimusi.

Kohtuasjas C-371/24 – Comdribus leidis kohus, et siseriiklikud õigusaktid on Euroopa politseiõiguse direktiiviga vastuolus, kui need lubavad õiguskaitseasutusel süstemaatiliselt töödelda kahtlusaluste biomeetrilisi andmeid ilma, et pädev asutus peaks põhjendama sellise töötlemise absoluutset vajalikkust ja proportsionaalsust.

Isikut, kes keeldub oma biomeetriliste andmete kogumisest, saab karistada ainult siis, kui kavandatud kogumine vastab neile tingimustele, mida hinnatakse pädevate asutuste poolt kogumise otsuse tegemise ajal valitsevate asjaolude valguses.

Kogumise põhjendus on vajalik, et asjaomane isik saaks kasutada oma õigust tõhusale õiguskaitsevahendile.

Antud juhul arreteerisid õiguskaitseorganid 2020. aasta mais Pariisis kliimaaktivistide poolt läbi viidud aktsiooni käigus mitu osalejat, sealhulgas kaebaja, deklareerimata meeleavalduse korraldamise eest.

Politsei vahi alla võtmisel keeldus kaebaja sõrmejälgede võtmisest ja pildistamisest.

Siseminister teatas 3. aprillil Senatis valitsusele esitatud küsimuste ajal, et näotuvastustarkvara kasutamine õiguskaitseorganite poolt nende Neo identiteedikontrolliseadmetes ei ole seaduslik, välja arvatud kohtuniku juhtimisel toimuva uurimise raames.

Minister märkis, et CNIL uurib praegu seda küsimust.

Prantsuse Tech 2030 programmi võitnud küberturbeettevõtte juht arreteeriti märtsi lõpus osana ulatuslikust Euroopa tasandi lastepornograafia platvormi vastasest mahasurumisest.

Inseneri, kes juhib küberohtude ennetamisele spetsialiseerunud idufirmat – mille klientide hulka kuuluvad FBI ja Euroopa Komisjon – kahtlustatakse lastepornograafia piltide ja videote ostmises darkneti lastepornograafia platvormi kaudu.

Tänu uurijate poolt jälgitud ja anonümiseeritud krüptovaluutamaksetele on õiguskaitseorganid üle Euroopa koordineeritud operatsiooni käigus vahistanud üle 200 inimese.

 

Euroopa institutsioonid ja organid

11. märtsil nõustus Euroopa Parlament pikendama (erandlikke) reegleid, mis võimaldavad kontrollida elektroonilist sidet („vestluse kontroll“). piirates samal ajal nende ulatust.

Skaneerimistehnoloogiate üldise loa andmise asemel nõudis parlament, et neid vahendeid kasutataks ainult teadaolevate kahtlusaluste vastu ja üksnes teadaoleva lapsporno avastamiseks.

Samal ajal kinnitasid Google, Meta, Microsoft ja Snap (Chat) ühises pressiteates siiski, et "nad jätkavad vabatahtlike meetmete võtmist seoses oma mõjutatud inimestevahelise suhtluse teenustega".

Institutsioonidevahelised läbirääkimised on veel käimas: nõukogu eesistujariik Küpros seab eesmärgiks projekti lõpule viia 2026. aasta juuliks ning küsimust arutatakse praegu parlamendi, nõukogu ja komisjoni kolmepoolsete läbirääkimiste raames.

26. märtsil võtsid Euroopa Parlamendi liikmed täiskogu istungil seisukoha digitaalse omnibuspaketi tehisintellekti komponendi kohta.

Nad hääletasid tehisintellekti määruse mitme sätte jõustumise edasilükkamise poolt.

Seega lükatakse biomeetriat hõlmavad tehisintellekti süsteemid ja kriitilise taristu, hariduse, tööhõive, oluliste teenuste, õiguskaitse, õigusemõistmise ja piirihalduse valdkonna süsteemid edasi 2026. aasta augustilt 2027. aasta 2. detsembrile.

Parlamendiliikmed teevad ettepaneku lükata teiste valdkondliku regulatsiooni (turvalisus ja turujärelevalve) alla kuuluvate süsteemide vastavusse viimine edasi 2. augustini 2028.

Euroopa Komisjoni, parlamendi ja nõukogu kolmepoolsete kohtumiste eesmärk on saavutada teksti osas esialgne kokkulepe 28. aprilliks.

Tasub meenutada, et määruse olulised põhimõtted on juba jõustunud ja kuuluvad CNIL-i (Prantsuse andmekaitseamet) kontrolli alla.

24. märtsil avastas Euroopa Komisjon küberrünnaku, mis mõjutas tema veebisaiti Europa.eu platvormil majutavat pilveinfrastruktuuri. Rünnak osutus tõsisemaks, kui pressiteates esialgu väideti.

Andmed mõjutavad 71 Europa hostimisteenuse klienti. ELi andmeturbeteenistus CERT-EU kinnitab nimede, kasutajanimede, e-posti aadresside ja e-posti sisu olemasolu lekkes.

Pimeveebis avaldati 340 GB andmeid ja ligi 52 000 e-posti faili.

Kahte olulist Euroopa Kohtu 19. märtsi otsust – Brillen Rottler ja Comdribus – on käsitletud eespool juhtkirjas ja Prantsusmaa uudistes.

Euroopa digitaalse taristu konsortsium „Digital Commons” (EDIC) võtab kuju uute riikide ühinemise ja esimeste projektide käivitamisega, sealhulgas Euroopa riikliku tehnoloogiafondi pilootprojektiga.

Konsortsiumi eesmärk on aidata Euroopa Liidu liikmesriikidel arendada avatud digitaalseid infrastruktuure ja tugevdada Euroopa digitaalset suveräänsust.

 

Uudised Euroopa Liidu liikmesriikidest.

Saksa kohus otsustas, et Meta töötles Facebooki "Leia sõpru" funktsiooni kaudu ebaseaduslikult registreerimata isikute isikuandmeid.

Lisaks puudub ettevõttel õiguslik alus oma platvormilt pärit kasutajate isikuandmete töötlemiseks reklaami eesmärgil.

Hiljutises kohtuasjas otsustas Austria kohus, et andmekaitseasutusel oli õigus keelduda isikuandmete kaitse üldmääruse artikli 57 lõike 4 alusel esitatud kaebuse menetlemisest pärast seda, kui üksikisik oli püüdnud kaebuste esitamise mehhanismi kuritarvitada võla sissenõudmise edasilükkamiseks.

Belgia andmekaitseamet (APD) leidis, et tööandja oli töötaja juurdepääsutaotluse piisavalt rahuldanud, andes töötajale tema andmed pigem reprodutseerimise teel kui kõnealuste e-kirjade täieliku väljavõtmise teel.

Soomes andis andmekaitseamet (DPA) krediidireitinguagentuurile hoiatuse andmetele juurdepääsu taotluste ebaõige menetlemise eest.

Andmetöötleja suunas andmesubjektid oma andmetele juurdepääsu portaali ilma järelpärimist tegemata ning märkis, et iga taotluse eest, mis esitatakse rohkem kui üks kord kaheteistkümne kuu jooksul, võetakse tasu.

Hispaania andmekaitseamet (APD) trahvis digitaalse tuvastamise ja vanuse kontrollimise teenusepakkujat (YOTI) 950 000 euroga biomeetriliste andmete kogumise eest ilma kehtiva nõusolekuta (alaealiste andmete puhul puudus piisav detailsus ja kaitsemeetmed) ning andmete säilitamisperioodi piiramata jätmise eest.

Belgia andmekaitseamet (APD) määras Hyundaile ka 2 000 000 euro suuruse trahvi pärast seda, kui küberrünnaku käigus paljastati enam kui miljoni inimese andmed, sealhulgas nende nimed, kontaktandmed ja sõidukite identifitseerimisnumbrid. Amet leidis, et andmetöötleja ei olnud taganud piisavat turvalisuse taset, eelkõige seetõttu, et kõnealused andmed ei olnud krüpteeritud.

Lõpuks määras Belgia andmekaitseamet (APD) lennujaama operaatorile Aena eriti suure trahvi (10 miljonit eurot) selle eest, kuidas see rakendas oma näotuvastussüsteemi pardale. Süsteem võimaldab reisijatel pardale minna lihtsalt kaamerat vaadates. Amet leidis, et see biomeetriline süsteem rakendati ilma eelneva andmekaitsealase mõjuhinnanguta.

Itaalia andmekaitseamet (APD) määras pangale 31 800 000 euro suuruse trahvi, kuna pank ei rakendanud piisavaid turvameetmeid, et takistada töötajal juurdepääsu enam kui 3500 inimese finantsandmetele eesmärkidel, mis ei ole seotud tema tööülesannetega.

Samuti ei teavitanud andmetöötleja APD-d ja andmesubjekte sellest andmetega seotud rikkumisest õigeaegselt.

Teisele pangale määrati 17 628 000 euro suurune trahv 275 000 kliendi kontode ülekandmise eest oma tütarettevõttele ilma nende nõusolekuta. Pank oli kasutanud profiilianalüüsi, et valida välja isikuid, keda peeti "peamiselt digitaalseteks" klientideks.

Luksemburgis tühistas kõrgem halduskohus Amazonile määratud 746 miljoni euro suuruse trahvi. Otsus ei sea kahtluse alla isikuandmete ebaseaduslikku töötlemist suunatud reklaami eesmärgil, kuid nõuab andmekaitseasutuselt (APD) enne uute sanktsioonide määramist süüteo ja proportsionaalsuse uuesti hindamist.

Lühimenetluses keelas Hollandi kohus sotsiaalmeediaplatvormil X toota ja levitada Groki kaudu lastepornot ja -konsensuslikku intiimsisu. Kohus keelas X-il ka Groki funktsioonide pakkumise seni, kuni need rikkumised kestavad.

Rumeenia andmekaitseamet (APD) määras Renault Rumeeniale 637 262,50 Rumeenia leu (125 000 euro) suuruse trahvi asjakohaste turvameetmete rakendamata jätmise eest pärast alltöövõtja hallatava rakendusega seotud andmetega seotud rikkumist, mille tulemusel avaldati veebiplatvormil isikuandmeid.

 

Brasiilias on ametlikult jõustunud alaealiste kaitse seadus internetis ja koos sellega justiitsministri määrus, mis on otseselt suunatud tehnoloogiahiiglaste disainivalikutele, mida nad noorte tähelepanu köitmiseks kasutavad.

Määrus nihutab laste internetiturvalisuse reaktiivselt sisu modereerimiselt platvormi arhitektuuri eelnevale reguleerimisele, sealhulgas piirates lõputut kerimist, automaatset esitamist, manipuleerivaid teavitusi, alaealistele suunatud profiilianalüüsi abil suunatud reklaami ja rangemaid vanuse kontrollimise nõudeid.

Aprilli alguses avaldas Hiina tööstus- ja infotehnoloogiaministeerium koos kaheksa teise ministeeriumiga dokumendi "Eksperimentaalsed meetmed tehisintellekti tehnoloogiate eetilise hindamise ja pakkumisega".

Dokument annab ülevaate sellest, mida Hiina mõtleb "eetilise tehisintellekti juhtimise" all ning milliseid poliitikaid ja tehnilisi meetmeid ta peab vajalikuks, et võidelda eetika trivialiseerimise vastu turundusstrateegiate kaudu, mis lubavad lugupidavaid teenuseid, kuid tegelikkuses ei vasta tehisintellekti regulatsioonidele.

24. aprillil mõistis USA New Mexico osariigi vandekohus Meta ettevõttele 375 miljonit dollarit tsiviiltrahvi, kuna leidis, et ettevõte ei olnud oma platvormidel lapsi piisavalt kaitsnud. See trahv tulenes ebaausate äritavade seaduse rikkumisest.

8. aprillil keeldus Washingtonis asuv föderaalne apellatsioonikohus blokeerimast tehisintellektiettevõtte Anthropic lisamist Pentagoni riikliku julgeoleku musta nimekirja, mis oli Trumpi administratsiooni võit.

Teine apellatsioonikohus tegi aga Anthropicu algatatud eraldi kohtumenetluses vastupidise otsuse.

Tehisintellekti assistendi Claude'i arendaja ettevõte väidab, et kaitseminister ületas oma volitusi, määrates ettevõtte riikliku julgeoleku tarneahela riskiks.

Anthropic keeldus kaotamast teatud piiranguid oma toodete kasutamisele, arvestades nende kasutamist USA kaitseministeeriumis.