Isikuandmed: kas põhiõiguse kasutamist saab kaubelda?

Õiguslik valve nr 54 – Detsember 2022

Isikuandmed: kas põhiõiguse kasutamist saab kaubelda? Facebooki, WhatsAppi ja Instagrami emaettevõtte Meta vastu algatatud menetluse kommenteerimine võib muutuda tüütuks, kuna see äratab andmekaitseasutuste viha. 

Tegelikult on ettevõte olnud GAFAM-i ettevõtetest GDPR-i jõustumisest saadik kõige karmimalt karistatud ning talle määrati äsja veel 390 miljoni euro suurune trahv.

Euroopa Andmekaitsenõukogu (EDPB) hiljutised otsused, mille Iirimaa andmekaitseasutus selle aasta alguses rakendas, väärivad aga meie tähelepanu mitmel põhjusel.

Ühelt poolt seetõttu, et need moodustavad Iirimaa andmekaitseasutuse ja tema Euroopa kolleegide vahelise sõnasõja epiloogi, ja teiselt poolt seetõttu, et need selgitavad reklaamiprofiilide õigusraamistikku kontekstis, mis ulatub kaugemale Meta konkreetsest juhtumist.

Euroopa Andmekaitsenõukogu 6. detsembril vastu võetud otsused võeti vastu Euroopa vaidluste lahendamise menetluse raames (GDPR artikkel 65). riiklike andmekaitseasutuste vahel.

Sellele järgnes Iiri ametiasutuse lõpliku seisukoha avaldamine 4. jaanuaril, mis on kooskõlas Euroopa Andmekaitsenõukogu järeldustega.

Selle küsimuse liidrina sattus Iirimaa oma kolleegidega lahkarvamusele mitmete Facebooki, WhatsAppi ja Instagrami andmetöötlustoimingute küsimustes.

Euroopa Andmekaitsenõukogu otsused lahendavad vaidluse kolmes peamises punktis: töötlemise õiguslik alus (isikuandmete kaitse üldmääruse artikkel 6), andmekaitse põhimõtted (isikuandmete kaitse üldmääruse artikkel 5) ja parandusmeetmete, sealhulgas trahvide kasutamine.

Meie jaoks on eriti huvitav küsimus ettevõtte töötlemise õigusliku aluse kohta, kusjuures Meta kaalub – Iirimaa ametiasutuse toetusel –, et kasutajaandmeid võidakse koguda käitumusliku reklaami (või WhatsAppi puhul teenuse täiustamise) eesmärgil, kasutades lepingu täitmise õiguslikku alust.

Tuleb märkida, et kuni GDPR-i jõustumiseni legaliseeris Meta käitumusliku reklaami kasutaja nõusoleku saamise teel.

Ettevõte muutis oma üldtingimusi 25. mail 2018, et lisada see reklaami sihtimise eesmärk, mida nüüd peetakse pakutava teenuse lahutamatuks osaks ja mis piirab sisuliselt kasutajate kontrolli oma andmete kasutamise üle.

Ettevõte väitis, et ta ei pea nõusolekut saama, kuna see veebipõhine sihtimine on osa teenusest, mida ta kasutajatele pakub.

Tuletagem meelde, et nõusolek, nagu ka andmete vajalikkus lepingu täitmise kontekstis, on üks kuuest GDPR-i artikli 6(1) õiguslikust alusest, mis võimaldavad põhjendada töötlemise seaduslikkust.

Kas need õiguslikud alused on omavahel asendatavad?

Euroopa doktriin selles küsimuses on selge ja äsja kinnitust leidnud: lepingulist vajadust tuleb tõlgendada kitsalt ja kogutavad andmed peavad olema rangelt vajalikud osutatava teenuse jaoks, nagu see on näiteks krediitkaardiandmete kogumisel internetimaksete jaoks.

Oma 8. oktoobri 2019. aasta arvamuses veebiteenuste kohta leidis Euroopa Andmekaitsenõukogu juba, et käitumispõhine reklaam ei ole veebiteenuste vajalik element.

Näiteks veebimüüja, kes soovib luua oma veebisaidi külastuste põhjal kasutaja maitse- ja elustiilivalikute profiile, ei saa nende profiilide loomiseks loota ostu-müügilepingu täitmisele.

Isegi kui profiilianalüüs on lepingus otseselt mainitud, ei muuda see asjaolu üksi seda lepingu täitmiseks „vajalikuks“.

Kui veebimüüja soovib seda profileerimist läbi viia, peab ta toetuma muule õiguslikule alusele.

Euroopa Andmekaitsenõukogu kinnitas seda seisukohta oma 13. aprilli 2021. aasta suunistes sotsiaalmeedia kasutajate sihtimise kohta.

Siiski tuleb märkida, et üha rohkem veebiteenuseid esitleb end tasuta teenustena, kuigi tegelikkuses makstakse nende eest kasutajaandmete abil, mis moodustavad veebiteenuse vaste.

Kas me saame seega "oma andmetega maksta"?

See andmete lepingulise vormistamise küsimus ei ole uus, kuid see kerkib tänapäeval esile teatud teravusega.

Isegi kui reklaamid toetavad teenust, loetakse otseturunduse eesmärgil töötlemist põhimõtteliselt erinevaks andmesubjekti ja teenusepakkuja vahelise lepingu objektiivsest eesmärgist, mis tähendab, et kasutajal peab olema vabadus reklaami sihtimisega nõustuda või mitte.

2017. aastal hoiatas Euroopa andmekaitseinspektor digitaalsete teenuste osutamise lepinguid käsitlevas arvamuses „igasuguse uue sätte eest, mis tooks sisse idee, et inimesed saavad oma andmetega maksta samamoodi nagu rahaga”.

Tõepoolest, põhiõigusi, näiteks õigust isikuandmete kaitsele, ei saa taandada üksnes tarbijate huvidele ning isikuandmeid ei saa pidada lihtsalt kaubaks.

Mõned arvavad, et oma andmetega maksmine ei tähenda põhiõigustest loobumist.

Samuti peaksime märkima CNIL-i ebamäärast seisukohta nn tasuliste süsteemide ("tasuliste müüride") küsimuses, mis seavad veebisaidile juurdepääsu tingimuseks tasu eest kasutajatele, kes keelduvad küpsiste kasutamisest, kusjuures komisjon on oma veebisaidil märkinud, et ta uurib neid küsimusi iga juhtumi puhul eraldi.

Kas peaksime seetõttu eeldama, et Meta hakkab tasu võtma kasutajatelt, kes keelduvad reklaamiprofiilide koostamisest?

Nagu Meta vastu kaebuse esitanud vabaühendus NOYB õigesti märgib, puudutab Euroopa Andmekaitsenõukogu lahendatud vaidlus ainult seda profiilianalüüsi ega mõjuta muid reklaamivorme, näiteks lehe sisul põhinevat kontekstuaalset reklaami.

Euroopa Andmekaitsenõukogu seisukohal on kindlasti mõju Meta rahandusele, kuid see ei välista reklaami täielikult.

Vastupidi, see peaks taastama terve konkurentsi Meta ja teiste veebiteenuste pakkujate vahel, samuti Iirimaa õigusele alluvate ettevõtete ja mujal Euroopas asutatud ettevõtete vahel.

Ja ka

Prantsusmaa:

19. detsembril 2022 määras CNIL ettevõttele sanktsioonid. MICROSOFT IRELAND OPERATIONS LIMITED 60 miljoni euro ulatuses trahvi küpsiste ebaseadusliku kasutamise eest oma otsingumootoris „bing.com”.

Ettevõtet süüdistatakse mehhanismi puudumises, mis võimaldaks inimestel küpsistest sama lihtsalt keelduda kui neid vastu võtta.

CNIL põhjendab seda summat töötlemise ulatuse, asjaomaste inimeste arvu ja kasumiga, mida ettevõte teenib küpsiste abil kogutud andmetest kaudselt genereeritud reklaamitulust.

30. novembril 2022 määras CNIL ettevõttele FREE 300 000 euro suuruse trahvi.

Kontrollide käigus avastati mitu rikkumist, eelkõige asjaomaste isikute õiguste (juurdepääsuõigus ja õigus kustutamisele) ja andmeturbe valdkonnas: komisjon tõi esile paroolide nõrga tugevuse, paroolide salvestamise ja edastamise selge tekstina ning umbes 4100 halvasti taastatud „Freebox” kasti taasringlusse laskmise.

Lisaks lükkas see tagasi argumendi, et vastutava töötleja isikuandmete allikaid tuleks pidada ärisaladusteks.

5. detsembri 2022. aasta väljaandes tuletab CNIL meelde reegleid, mida tuleb järgida kliendifailide ärilistel eesmärkidel müümisel: fail peab sisaldama ainult aktiivsete klientide andmeid ning maksimaalselt kolme aasta jooksul pärast ärisuhte lõppu võib müüa ainult nende klientide andmeid, kes ei ole oma andmete edastamise vastu või on selleks nõusoleku andnud, ning ostja peab tagama üksikisikute õiguste austamise (eelkõige selge teabe ja elektroonilise päringu esitamise nõusoleku).

CNIL andis lõpuks loa 4. jaanuaril APPLE'I RAHVUSVAHELINE TURUSTAMINE kuni 8 miljonit eurot selle eest, et nad ei küsinud iOS 14.6 vana versiooni kasutavate Prantsuse iPhone'i kasutajate nõusolekut enne reklaami eesmärgil kasutatavate identifikaatorite seadmetesse salvestamist ja/või kirjutamist.

Euroopa:

ELi Nõukogu eesistujariik Rootsi avaldas oma järgmise kuue kuu prioriteedid 14. detsembril: digitehnoloogia ei ole päevakorras esikohal., arvestades praeguseid arutelusid majandusliku ja energiajulgeoleku ning vastupanuvõime üle Venemaa-Ukraina konflikti kontekstis.

Rootsi täpsustab siiski, et jätkab alustatud tööd andmekaitsemääruse (andmeseadus), privaatsuse ja elektroonilise side määruse ning Euroopa terviseandmete ruumi käsitleva määruse ettepanekuga.

Euroopa Komisjon avaldas 13. detsembril 2022 oma kauaoodatud piisavusotsuse eelnõu Ameerika Ühendriikide andmekaitse taseme kohta.

Selle otsuse eesmärk on luua püsiv õiguslik alus ELi ja USA vaheliseks andmeedastuseks pärast Euroopa Kohtu 2020. aasta juuli otsust „Schrems II“, millega tunnistati kehtetuks andmekaitseraamistik „Privacy Shield“.

Enne lõpliku otsuse vastuvõtmist peab eelnõu veel läbi vaatama Euroopa Andmekaitsenõukogu (EDPB) ja selle peab heaks kiitma ELi liikmesriikide esindajatest koosnev komitee.

Euroopa Parlamendil on samuti õigus piisavusotsuseid läbi vaadata.

Euroopa Komisjon avaldas 15. detsembril 2022 deklaratsiooni digitaalsete õiguste ja põhimõtete kohta digitaalkümnendil.

Deklaratsiooni eesmärk on suunata poliitikakujundajaid nende digitaalse transformatsiooni visioonis järgmistes suundades: kodanikukeskne digitaalne transformatsioon, mis toetab solidaarsust ja kaasatust, tuletab meelde valikuvabaduse olulisust algoritmide ja tehisintellekti süsteemidega suhtlemisel ning suurendab ohutust, turvalisust ja mõjuvõimu, eriti laste ja noorte jaoks, tagades samal ajal üksikisikute õiguse privaatsusele ja kontrollile oma andmete üle.

Pärast aasta kestnud uurimist avaldas Euroopa Ombudsman oma 19. detsembri 2022. aasta otsuse, mis käsitleb Iirimaa Kodanikuvabaduste Nõukogu (ICCL) kaebust Euroopa Komisjoni vastu, kuna komisjon ei ole piisavalt jälginud GDPR-i kohaldamist Iirimaal.

See otsus rõhutab vajadust, et Euroopa Komisjon jälgiks paremini iga Iirimaa andmekaitsekomisjonile esitatud suurtehnoloogiaettevõtte juhtumi edenemist.

Euroopa Liidu Kohus selgitas 8. detsembri otsuses tingimusi, mille alusel saavad Euroopa kodanikud Google'ilt neid puudutavate otsingutulemuste eemaldamise nõuda.

Juhtum hõlmas kahte investeerimishaldurit, kes palusid Google'il eemaldada nende nimedega tehtud otsingu tulemused, mis sisaldasid linke teatud artiklitele, mis kritiseerisid nende investeerimismudelit.

Kohus otsustas, et "sõna- ja teabevabadust ei saa arvesse võtta, kui vähemalt osa – mis ei ole vähetähtis – viidatud sisus leiduvast teabest osutub ebatäpseks." Inimesed, kes soovivad otsingumootoritest ebatäpseid tulemusi eemaldada, peavad esitama piisavalt (ja mõistlikke) tõendeid selle kohta, et nende kohta väidetav on vale.

Hollandi andmekaitseamet avaldas 22. detsembril avalduse oma volituste kohta teostada algoritmide järelevalvet läbipaistvuse, diskrimineerimise ja meelevaldsuse küsimustes.

Samuti Hollandis näitab Hollandi privaatsusgrupi Incogni uuring, et et paljudel populaarsetel osturakendustel, sealhulgas Amazoni omadel, on reklaamikogudega juurdepääsuõiguste jagamisel küsitavad tavad, mis võimaldavad reklaamivõrkudel seadmele kaudselt juurde pääseda. 

Kreeka võimuesindaja Andmekaitseamet määras Vodafone PANAFON SA-le 150 000 euro suuruse trahvi, kuna ettevõte ei võtnud oma elektrooniliste sideteenuste turvalisuse kaitsmiseks asjakohaseid tehnilisi ja korralduslikke meetmeid.

Islandi ametivõimu Andmekaitseamet andis autoremonditöökojale korralduse täita isikuandmete kaitse üldmääruse artikli 15 kohane juurdepääsutaotlus ja esitada andmesubjektile andmed kõigi tema autol tehtud remondi- ja hooldustööde kohta ajal, mil see oli tema valduses.

Portugali ametiasutus Andmekaitseamet on Setubali omavalitsusele määranud noomituse ja 170 000 euro suuruse trahvi terviklikkuse ja konfidentsiaalsuse põhimõtte, säilitamise piiramise põhimõtte, isikuandmete kaitse üldmääruse artiklis 13 sätestatud teabekohustuste rikkumise ning andmekaitseametniku määramata jätmise eest seoses Ukraina pagulaste isikuandmete kogumisega, kes kasutasid Portugalis telefoni teel abitelefoniliini.

Portugali andmekaitseamet määras riiklikule statistikainstituudile ka sanktsioonid isikuandmete kaitse üldmääruse (GDPR) rikkumise eest, sealhulgas 2021. aasta rahvaloenduse isikuandmete saatmise eest Ameerika Ühendriikidesse ja andmekaitsealase mõjuhinnangu tegemata jätmise eest.

Itaalia ametivõim Andmekaitseamet määras Alpha Explorationile 2 000 000 euro suuruse trahvi sotsiaalvõrgustiku Clubhouse käitamise eest, rikkudes isikuandmete kaitse üldmääruse seaduslikkuse ja läbipaistvuse sätteid, töötlemisest tulenevate riskide hindamata jätmise ning ELi esindaja määramise eest ilma vajaliku volituseta vastutava töötleja nimel tegutsemiseks.

Itaalia andmekaitseamet trahvis telekommunikatsioonioperaatorit Vodafone Italia 500 000 euroga isikuandmete töötlemise eest otseturunduse eesmärgil ilma õigusliku aluseta, üldise nõusoleku saamise eest eraldi andmetöötlustoimingute jaoks ja teabe esitamise eest isikuandmete töötlemise kohta arusaadaval viisil.

Hispaania ametivõim Andmekaitseamet määras 16-aastasele teismelisele 5000 euro suuruse trahvi WhatsAppi kaudu saadud videote ja fotode kasutamise eest 13-aastase alaealise šantažeerimiseks, kes ei suutnud anda kehtivat nõusolekut. Andmekaitseamet käskis teismelisel ka kustutada kõik muud asjaomase isiku kohta käivad isikuandmed ja anda aru selleks võetud meetmetest. 

Rahvusvaheline

USA: Videomängu Fortnite looja Epic Games peab maksma üle poole miljardi dollari. laste privaatsuse kaitse seaduse (COPPA) rikkumise, privaatsusseadete vaikesätete muutmise ja kasutajate petmise eest soovimatute ostude sooritamiseks.

Föderaalne Kaubanduskomisjon avalikustas Epic Gamesiga sõlmitud kokkulepped 15. detsembril.

29. detsembri väljaandes The Guardian teatab, et Hiina valvekaamerate tootja Hikvision on välja töötanud politsei abistamiseks tarkvaraplatvormi. meeleavaldajate tegevust jälgida.

Hiina politsei saaks seega seadistada hoiatusi erinevat tüüpi meeleavalduste kohta, näiteks "rahvahulkade kogunemine, mis häirib korda avalikes kohtades", "ebaseaduslik kogunemine, rongkäik, meeleavaldus" ja "petitsiooniga" ähvardamine.

OECD riigid võtsid esimese valitsustevahelise privaatsuslepingu vastu 14. detsembril 2022. isikuandmetele juurdepääsu korral riigi julgeoleku ja õiguskaitse eesmärgil.

Põhimõtted määratlevad, kuidas õigusraamistikud reguleerivad valitsuse juurdepääsu, juurdepääsu taotlemisel kohaldatavaid õigusstandardeid, juurdepääsu kinnitamise viisi ja saadud andmete töötlemise viisi ning avalikkuse jaoks läbipaistvuse tagamise jõupingutusi.

Sellest tehnilised lahendused arendatakse selleks, et nii kasutajad saaksid oma andmete kasutamist kontrollida kui ka andmetöötlejad saaksid veebiandmeid andmekaitsepõhimõtete kohaselt hallata.

Lisaks globaalsele privaatsuskontrollile, mille kasutamine veebipõhise nõusoleku haldamise kontekstis laieneb, pakub CookieFirst nõusoleku haldamise platvorm kasutajatele täiustatud kontrolli kolmandate osapoolte teenuste ja nende määratud küpsiste üle ning kasutab andmete salvestamiseks EL-is asuvaid alltöövõtjaid.

Anne Christine Lacoste

Olivier Weber Avocati partner Anne Christine Lacoste on andmeõigusele spetsialiseerunud jurist; ta oli Euroopa Andmekaitseinspektori rahvusvaheliste suhete juht ja tegeles GDPR-i rakendamisega Euroopa Liidus.