WhatsAppi otsus: GAFAMi karistamatuse lõpp Euroopas?

Õiguslik valve nr 38 – August 2021

WhatsAppi otsus: GAFAMi karistamatuse lõpp Euroopas? Eelmises uudises kirjutasime raskustest Euroopa tasandil kokkuleppele jõudmisel isikuandmete kaitse üldmääruse rakendamise osas. 

Iiri regulaatori hiljutine otsus WhatsAppi kohta näitab edasisi edusamme GDPR-iga loodud järelevalveasutuste koostöös.

WhatsAppile määrati 2. septembril 225 miljoni euro suurune haldustrahv. Iirimaa otsus järgneb mitmele Euroopa Andmekaitsenõukogu (EDPB) sisesele keerdkäigule.

Isikuandmete kaitse üldmääruse artiklis 65 sätestatud vaidluste lahendamise menetluse kohaselt sundis komitee Iirimaad oma järeldusi läbi vaatama Seega pidi ta laiendama süüteo koosseisu, suurendama oluliselt trahvi summat ja lühendama Whatsappile otsuse täitmiseks antud tähtaegu.

Trahvi arvutamisel leidis komitee, et arvesse tuleks võtta mitte ainult WhatsAppi, vaid ka selle emaettevõtte Facebooki käivet.

Samuti leidis ta, et sama andmetöötluse puhul mitme rikkumise korral tuleks rikkumised liita – jäädes seejuures allapoole isikuandmete kaitse üldmääruses sätestatud 4% käibe ülemmäära.

Tuleb märkida, et trahv, olgugi kui märkimisväärne see ka ei tundu, moodustab Facebooki käibest vaid 0,081 TP3T.

Mis on mõtlemapanev, kui arvestada, et Iiri võimud plaanisid algselt 50 miljoni euro suurust trahvi.

Pidagem meeles, et Luksemburgi andmekaitseamet trahvis Amazoni augusti alguses 746 miljoni euroga., mis on GDPRi alusel kunagi määratud suurim trahv.

Uurimise peamine küsimus oli, kas WhatsApp täitis oma teabekohustusi nii oma kasutajate kui ka mittekasutajate ees, kelle andmeid samuti kogutakse.

Teadeteateid peeti keerukaks, mistõttu oli võimatu korralikult mõista ettevõtte õigustatud huve.

Kasutajate poolt funktsiooni „juurdepääs kontaktidele” kasutamine on nimetatud kontaktide jaoks täiesti läbipaistmatu ning nende andmeid töödeldakse isegi siis, kui nad ise rakendust tingimata ei kasuta.

Lisaks isikuandmete kaitse üldmääruse artiklite 12, 13 ja 14 rikkumisele seoses teavitamiskohustustega järeldab komitee seega, et rikkumised on piisavalt tõsised, et kujutada endast isikuandmete kaitse üldmääruse artikli 5 lõike 1 punkti a rikkumist seoses läbipaistvuse üldpõhimõttega.

Iiri ametiasutuse otsus, mida komitee toetas, on andmetöötlejatele kasulik verstapost seoses isikuandmete kaitse üldmääruse teabekohustustega.

Järgitakse järgmisi juhiseid:

–           Vältige teabe hajutamist erinevatel lehtedel, mis nõuavad kasutajalt mitme lingi klõpsamist, samuti lõpututes rippmenüüdes ja teabe koondamisel ühte kohta.

–           Kirjeldage töötlemistoiminguid, kogutud andmed ja iga kindlaksmääratud eesmärgi õiguslik alus.

Samuti täpsustage see teave iga kolmanda osapoole kohta, kellel on andmetele juurdepääs.

Nende erinevate elementide tabelina kuvamine aitab neid paremini mõista.

–           Tee teave kättesaadavaksn mittekasutajate kohta eraldi ja kergesti ligipääsetaval viisil.

–           Täpsustage asjaolud, mille korral andmeid säilitatakse / kustutatud, konkreetsete illustratsioonidega.

–           Märkige õiguslik alus mis lubab andmete edastamist väljaspool Euroopa Liitu, täpsustades alternatiivse õigusliku aluse juhul, kui kaitse piisavuse otsus puudub.

Üldine viide Euroopa Komisjoni veebilehele ei ole piisav.

.

Ja ka

Prantsusmaa:

CNIL jätkab küpsistega seotud vastavusmeetmete rakendamist.

Ta käsitles teist seeriat ametlikud teated suvel mitmete veebimüügiettevõtete, suurte digitaalmajanduse platvormide, kohalike omavalitsuste ja pangandussektori vastu.

Tal on ka sanktsioneeritud 27. juulil maksis Figaro ettevõte 50 000 eurot reklaamiküpsiste salvestamiseks ilma internetikasutajate nõusolekuta.

Ta kasutab seda võimalust, et tuletada meelde vastutuse jaotust saidi avaldajate ja nende äripartnerite vahel.

Arvutis on viga ligipääsetavaks tehtud umbes 700 000 inimese isikuandmed, kes tegid Covid-testi.

See turvarikkumine toob esile apteekrite poolt valitsuse SI-DEP platvormi toitmiseks kasutatavate edastusteenuste varieeruva usaldusväärsuse.

Kuigi SI-DEP platvorm ise on turvaline, ei ole seda kogu vahetarkvara.

Tervishoiu peadirektoraat (DGS) saatis apteekritele e-kirja, et tuletada neile meelde SI-DEP-iga heakskiidetud ja ühilduvat tarkvara.

Francetesti oma, mis tuvastati 31. augustil avalikustatud veas, ei olnud selle osa.

CNIL mäleta Praeguses kooliaasta alguse kontekstis nõuded, mida tuleb täita biomeetria kasutamise kontekstis koolides.

See uurib käe kontuuri tuvastamist koolisööklatesse pääsemiseks ning kirjeldab teabe, nõusoleku ja andmeturbe nõudeid.

Ta lisab, et biomeetriliste andmete töötlemisest ja seega sööklasse muul viisil pääsemisest keeldumine ei tohi asjaomasele õpilasele kahju tekitada.

Euroopa:

Tarbijakrediit: Euroopa andmekaitseinspektor avaldas 26. augustil arvamuse Euroopa Komisjoni kavandatava direktiivi kohta.

Põhjuseks on uued krediidihindamise meetodid, mis kasutavad digitaaltehnoloogiaid.

Kui sellised hinnangud on tarbijale krediidi andmiseks hädavajalikud, palub Euroopa Andmekaitseinspektor teatud andmete hindamismenetlustest välja jätta.

Lisaks tervise- ja sotsiaalmeediaandmetele soovib Euroopa andmekaitseinspektor, et keeldu laiendataks kõigile tundlikele andmetele (näiteks usu ja poliitiliste vaadete kohta) ning internetikasutajate sirvimisandmetele.

Kontrolör juhib tähelepanu ka vajadusele reguleerida paremini krediidianalüüsi teenuseid pakkuvate kolmandate isikute rolli ja tehisintellekti süsteemide sertifitseerimist selles sektoris.

Näotuvastus: Euroopa Nõukogu avaldab suunised, mille eesmärk on pakkuda võrdlusmeetmete kogumit valitsustele, näotuvastustehnoloogiaid kasutavatele arendajatele, tootjatele, teenusepakkujatele ja üksustele.

Eesmärk on tagada, et nende lähetamisel ei rikuta inimväärikust, inimõigusi ja põhivabadusi, sealhulgas õigust isikuandmete kaitsele.

Itaalia: Andmekaitseamet (Garante) trahvis Deliverood 2,5 miljoni eurogaalgoritmi läbipaistmatu kasutamise eest oma kohaletoimetamise draiverite haldamiseks ning nende isikuandmete ebaproportsionaalse kogumise eest, rikkudes GDPR-i seaduslikkuse, läbipaistvuse, minimeerimise ja piiramise põhimõtteid.

Rahvusvaheline:

Hiina Rahvavabariik võttis 20. augustil vastu seadus isikuandmete kaitse kohta (PIPL).

See seadus jõustub 1. novembril 2021. 

Selle eesmärk on kaitsta mitte ainult isikuandmeid, vaid ka riigi julgeolekut ja riigi majandushuve seoses GAFAMiga.

Seadus sisaldab rangeid kohustusi andmete kohaliku salvestamise ja rahvusvahelise edastuse piirangute osas.

Talibani võimuletulekul Afganistanis on tagajärjed ka andmekaitse valdkonnas.

Mitu faili, sealhulgas sise- ja kaitseministeeriumi hallatav, sisaldaks eriti tundlikku teavet.

Asjaomaste andmete hulka kuuluvad poole miljoni inimese politsei ja armee andmed: perekonnanimi, eesnimi, aga ka biomeetrilise profiiliga seotud isikukood, karjääriandmed ja perekondlikud suhted, samuti kahe hõimude „vanema” isikuandmed, kes tegutsevad värbamisel käendajatena.

Kogu see teave aitab omanikku vahetades kaardistada kohalike kogukondade ja etniliste rühmade vahelisi seoseid.