Metaverse'i moenädal Decentralandis, mis on üks populaarsemaid virtuaalmaailmu.

Õiguslik valve nr 48 – Juuni 2022

Vapper uus maailm2022. aasta märtsis toimus Decentralandis, ühes populaarseimas virtuaalmaailmas, Metaverse'i moenädala üritus.

Fortnite'i mänguplatvormil voogedastatud veebikontsert meelitas hiljuti ligi 12 miljonit vaatajat.

Tänapäeval areneb virtuaalmaailm, mille inimlikke, majanduslikke ja sotsiaalseid tagajärgi pole veel täielikult mõistetud.

Euroopa Parlamendi hiljuti avaldatud raportis sellel teemal on öeldud, et 2026. aastaks veedab 25% inimestest metaversumis vähemalt ühe tunni päevas töö, ostlemise, hariduse, sotsiaalsete tegevuste ja/või meelelahutuse eesmärgil.

Paljud äriettevõtted on hakanud seal oma platvorme arendama, isegi kui nende tegevusel on digitehnoloogiaga vaid väga kauge seos.

Metaversumit võib kirjeldada kui haaravat, pidevat 3D-virtuaalmaailma, kus inimesed suhtlevad avatari kaudu, et nautida meelelahutust, teha oste ja tehinguid või töötada kodust lahkumata.

Majanduslik metaversumi ökosüsteem kasutab digitaalses keskkonnas tehingute monetiseerimiseks plokiahela ja krüptovaluuta tehnoloogiaid, näiteks mitte-vahetatavaid märke (NFT-sid).

See veebi areng tekitab palju küsimusi, eriti seoses õiguse kohaldamisega.

Kuidas me saame praktiliselt reguleerida veebipõhiseid ühinemisi ja omandamisi, ahistamist, krüptovaluutadega teostatavaid enam-vähem seaduslikke tehinguid, massilist andmete kogumist üksikisikute käitumise kohta nende avataride kaudu või isegi üksikisikute jälgimist veebis õiguskaitseorganite poolt?

Nagu rõhutati 20. mail ajalehes Le Monde avaldatud artiklis ja nagu Euroopa Parlament märgib, on GDPR-i puhul panused kõrged, arvestades kogutud andmete enneolematut kvaliteeti ja kvantiteeti.

Nende hulka võivad kuuluda näoilmed, žestid või muud tüüpi füüsilised või emotsionaalsed reaktsioonid, mida avatar võib reaalajas ja sellest teadlikuna interaktsioonide ajal esile kutsuda.

Seega saab koguda tundlikke andmeid, näiteks biomeetrilisi andmeid.

See teave võimaldab ettevõtetel näiteks paremini mõista kasutajate käitumist ja kohandada reklaamikampaaniaid sihipäraselt.

Kas olemasolevad reeglid on kohandatud sellele uuele universumile?

Kuidas saada üksikisikute nõusoleku selliseks andmete kogumiseks ja kes vastutab kogumise eest keskkonnas, kus rolle on mitu ja andmetöötlejat on veelgi raskem tuvastada?

Kuidas hallata tehisintellektiga suhtlemist, mis on metaversumi toimimisele omane, ja sellest tulenevaid automatiseeritud otsuseid?

Uuritakse mitmeid võimalusi, mis põhinevad mitte ainult isikuandmete kaitse üldmäärusel, vaid ka kavandatud Euroopa määrustel tehisintellekti ja andmehalduse kohta.

Mainige näiteks andmevahendajate rolli, kes saaksid tsentraliseerida kasutajate volitused oma andmete kasutamiseks.

Kavandatav andmehalduse määrus näeb ette isikuandmete ruumide ehk andmeportfellide kaitse, reguleerides andmete jagamist ja kontrollides üksikisikute nõusolekut.

Kuivõrd vahendajad kasutavad andmehalduses tehisintellekti, on omastamise ja kuritarvitamise vältimiseks vaja kaitsemeetmeid.

Tuleks meenutada, et nende kahe kavandatud määruse kohta on esitanud märkusi Euroopa Andmekaitseinspektor ja Euroopa Andmekaitsenõukogu, kes nõuavad andmete kasutamisel eesmärgipõhimõtte austamist ning nõuavad meetmeid, mis pakuvad andmesubjektile rohkem kontrolli ja tagatisi, näiteks käitumisjuhendid või sertifitseerimismehhanismid.

Samuti on ametivõimudel kahtlusi sotsiaalse punktisüsteemi suhtes sotsiaalvõrgustike kontekstis üldiselt ja veelgi enam Metaversumis.

Erilist tähelepanu tuleks pöörata ka haavatavate rühmade, eriti laste kaitsele, et kontrollida nende vanust ja takistada neil oma isikuandmeid esitamast.

Mõned pooldavad lisaks avatud ja detsentraliseeritud metaversumit, mida kontrollivad kasutajad ise detsentraliseeritud autonoomsete organisatsioonide (DAO-de) kujul.

Seda tüüpi mudelis, mis erineb tsentraliseeritud ärimudelist, oleks kasutajatel suurem kontroll oma andmete ja nende jagamise üle.

Lisaks regulatiivsetele suunistele aitaksid ka siin kaasa suuremale õiguskindlusele käitumisjuhendid ja sertifitseerimismehhanismid.

Paljudele küsimustele paar vastust...

Igal juhul ei saavutata seaduse kohaldamist ilma asjaomaste osapoolte suurema vastutuseta.

Ja ka

Prantsusmaa:

7. juunil avaldas CNIL küsimused ja vastused Google Analyticsi kasutamise kohta.

Komisjon on andnud mitmele organisatsioonile korralduse isikuandmete kaitse üldmääruse (GDPR) järgimiseks, kuna ükski talle esitatud täiendavatest kaitsemeetmetest ei ole olnud piisav, et takistada USA luureteenistustel juurdepääsu Euroopa kasutajate isikuandmetele.

Tema sõnul võiks lahendus, mis võimaldaks kasutada puhverserverit, et vältida otsest kontakti internetikasutaja terminali ja mõõtmisvahendi serverite vahel, olla võimalik, kui see server vastab kriteeriumidele, mis on kooskõlas Euroopa Andmekaitsenõukogu (EDPB) 18. juunil 2021 avaldatud soovitustega.

Riiginõukogu kinnitas, et CNIL on pädev kehtestama sanktsioone väljaspool Euroopa ühtse liidese mehhanismi.

Käesolev juhtum puudutab ettevõtet Amazon online France, millel on Prantsusmaal tegevuskoht ja mis töötleb Prantsusmaal elavate isikute andmeid.

Seega on kinnitust leidnud 35 miljoni euro suurune trahv, mis määrati 2020. aastal küpsiste kasutamise eest ilma kasutaja nõusolekuta.

CNIL määras 30. juunil ettevõttele Total Energies Electricité et Gaz de France 1 miljoni euro suuruse karistuse. eelkõige ärilise geoloogilise uurimistöö ja üksikisikute õiguste osas kohustuste mittetäitmise eest.

13. juunil algatas CNIL uuringu mobiilirakenduste kogutud geograafilise asukoha andmete kohta.

Nagu CNIL oma 2022.–2024. aasta strateegilises plaanis välja kuulutas, soovib ta tõsta avalikkuse ja spetsialistide teadlikkust mobiilirakenduste poolt geolokatsiooniandmete kogumisega seotud probleemidest.

See on ka küsimus ärilise luuresektori spetsialistide vastavuse kontrollimises isikuandmete kaitse üldmäärusele.

Euroopa:

Euroopa Andmekaitseinspektor (EDPS) väljendab muret Europoli määruse muudatuste pärast, mis jõustusid 28. juunil 2022.

Euroopa Andmekaitseinspektor rõhutab, et need nõrgendavad andmekaitse põhiõigust, ei taga ameti asjakohast järelevalvet ning laiendavad oluliselt Europoli volitusi seoses isikuandmete vahetamisega eraisikutega, tehisintellekti kasutamise ja suurte andmekogumite töötlemisega.

14. juunil teatas Euroopa Andmekaitsenõukogu (Euroopa Andmekaitsenõukogu) avaldas oma vastuse Euroopa Komisjoni konsultatsioon digitaalse euro loomise kohta.

16. juunilEuroopa Andmekaitsenõukogu võttis vastu suunised sertifitseerimine kui isikuandmete edastamise vahend kolmandatesse riikidesse, mis ei paku piisavat kaitsetaset.

Juunis korraldatud konverentsilEuroopa Andmekaitseinspektor, mida jälgis veebis ja isiklikult enam kui 2000 inimest, lõppes kriitiliste tähelepanekutega Euroopa koostöö uurimistes.

Euroopa Andmekaitseinspektori arvates peaks iga hea mudel hõlmama tugevaid kollegiaalsusmehhanisme ning strateegilisi uurimisi saaks läbi viia tsentraalselt, mis aitaks ületada „probleeme, mis tulenevad kokkusobimatutest siseriiklikest õigusaktidest või erinevatest ühtlustamiskatsetest”.

THE Euroopa Nõukogu avaldab uuringu teemal Pegasuse nuhkvara ja selle mõju põhiõigustele. Tuleb meeles pidada, et see nuhkvara on ka Euroopa Parlamendi uurimise objektiks.

THE Tarbijakaitse koostöövõrgustik (CPC) on koostöös andmekaitseasutustega heaks kiitnud 5 peamist põhimõtet lastele suunatud õiglane reklaams.

THE Šveitsi föderaalne andmekaitse- ja teabevolinik (FDPIC) soovitas Suval (Šveitsi riiklik õnnetusjuhtumikindlustusfond, mis pakub oma töötajatele tervisekindlustust) kaaluma uuesti oma otsust tellida oma isikuandmete töötlemine Ameerika Ühendriikidests – täpsemalt Microsofti pilveteenuses, kuigi andmed asuvad Šveitsis asuvas MS-i serveris.

Hiljutise otsuse keskmes on ka ülekanded väljaspool Euroopat. Belgia Riiginõukogu, mis peatas otsuse valida Ameerika töövõtja riigihankemenetluse raames põhjusel, et see asutus ei kontrollinud piisavalt, kas töövõtja järgis isikuandmete kaitse üldmääruse nõudeid, eelkõige ülekandeid käsitlevaid sätteid.

Otsus seab kahtluse alla ka edasise töötlemise teise Venemaal asuva ettevõtte, Smart Analyticsi poolt (GDPRhubi vahendusel).

Kümme tarbijaühendust koordineerides Euroopa Tarbijate Organisatsioon (BEUC)teatas 30. juunil, et nad astuvad samme tagamaks, et Google järgib seadust: tehnoloogiahiiglane suunab tarbijad Google'i konto registreerimisel oma jälgimissüsteemi, selle asemel, et pakkuda nende andmetele vaikimisi ja lõimitud kaitset, nagu nõuab GDPR.

Brexiti-järgne Ühendkuningriigi andmekaitsealaste õigusaktide reform jõudis 17. juunil uude verstapostini, kui valitsus avaldas avalikule konsultatsioonile lõpliku vastuse.

Dokument sisaldab mitmeid reforme, näiteks andmekaitseametniku määramise nõude kaotamist, nõusoleku nõude asendamist õigusega esitada vastuväiteid internetikasutajate jälgimisele ning muudatusi infokomissari büroo töös.

Soome ametlik arenguabi käskis haiglal kustutada töötajate ajaloo, asukohalogid ja muud isikuandmed, mis on loodud Windows 10 vaikesätete asukoha salvestamise funktsiooni abil.

See säte rikkus GDPR-i artikli 25(2) põhimõtet „vaikimisi andmekaitse” (GDPRhubi vahendusel). 

Itaalia andmekaitseamet määras haiglale 70 000 euro suuruse trahvi kahe meditsiinilise uudiskirja saajate koopiate tegemise eest. CCI asemel avaldavad nad oma isikuandmeid (sh terviseandmeid) kõigile vastuvõtjatele ilma õigusliku aluseta (GDPRhubi kaudu).

Samal teemal, Rumeenia ametlik arenguabi Samuti trahvis ettevõte turunduskampaania läbiviimise eest vastutavat alltöövõtjat 1000 euroga turundusmeili saatmise eest 27 inimesele ilma nende e-posti aadresse varjamata.

Pidagem meeles, et Belgia otsustas 29. aprillil sarnases kohtuasjas, et sellise e-kirja saatmine ei kujuta endast turvarikkumist, kui asjaga oli seotud vähem kui 16 inimest.

Rahvusvaheline:

Venemaa: Moskva kohus määras Google'ile 15 miljoni rubla suuruse trahvi andmete lokaliseerimise eeskirja korduva eiramise eest.

Google'ile määrati 2021. aastal halduskaristus sama Venemaa isikuandmete seaduse põhimõtte rikkumise eest, mis kohustab ettevõtteid säilitama Venemaa kodanike isikuandmeid Venemaa Föderatsiooni territooriumil..

USA: Ülemkohtu Roe vs. Wade'i otsuse tagajärjed laienevad ka andmekaitse küsimustele. 

Küsimus puudutab tehnoloogiahiiglaste suhtumist ametivõimude juurdepääsule viljakusandmetele.

Neid andmeid saab avaldada selliste allikate kaudu nagu brauseriajalugu, otsingud, e-posti ja tekstisõnumite logid, viljakusrakenduste kasutamine ja muud kommertstooted, millega paljud kasutajad iga päev suhtlevad.

Nagu The Register teatab, on õiguskaitseorganid seda tüüpi teavet juba abordiga seotud juhtumite tõendina kasutanud.

Hiina: New York Times avaldab uurimise, mis viitab sadadele dokumentidele, milles kirjeldatakse Hiina ostetud tarkvara, mille abil analüüsitakse riigi ulatuslikke jälitusandmebaase, et ennustada, kellest saab kahtlusalune või potentsiaalne pahategija.

Kanadas Alates 16. juunist on digitaalsete õiguste harta kaitsnud tarbijate õigusi ja isikuandmeid ning reguleerib tehisintellekti..

Anne Christine Lacoste

Olivier Weber Avocati partner Anne Christine Lacoste on andmeõigusele spetsialiseerunud jurist; ta oli Euroopa Andmekaitseinspektori rahvusvaheliste suhete juht ja tegeles GDPR-i rakendamisega Euroopa Liidus.