Õiguslik jälgimine nr 92 – veebruar 2026. 

 

Allhankija nõrga lüli ja strateegilise mängija vahel.

9. veebruaril esitles CNIL oma 2025. aasta aruannet sanktsioonide ja parandusmeetmete kohta: küpsised, töötajate jälgimine ja andmeturve olid 2025. aastal kehtestatud sanktsioonide peamised teemad, mille trahvide kogusumma moodustab 486 839 500 eurot.

Sanktsioonide hulgas on märkimisväärne arv juhtumeid, mis on seotud alltöövõtjatega, kes ei täida neile usaldatud andmetega seotud kohustusi.

CNIL tuletab meile meelde, et alltöövõtja peab:

• Töödelda andmeid ainult andmetöötleja juhiste kohaselt;
• Rakendada asjakohaseid tehnilisi ja korralduslikke meetmeid piisava turvalisuse taseme tagamiseks;
• Ja kustutada andmed andmetöötlejaga sõlmitud lepingulise suhte lõppedes.

Alltöövõtja peab vastutavat töötlejat abistama ka määruse teatud kohustuste rakendamisel: privaatsusmõju hindamine, andmetega seotud rikkumisest teatamine, turvalisus, audititele kaasaaitamine.

Samuti peab ta pidama arvestust töötlemistoimingute üle ja teatud juhtudel määrama andmekaitseametniku.

Isikuandmete kaitse üldmääruse artikkel 28, mis käsitleb vastutava ja volitatud töötleja vahelise erilepingu sõlmimist, täpsustab lepingusse lisatavad kohustuslikud sätted.

See võib täielikult või osaliselt põhineda tüüptingimustel, näiteks Euroopa Komisjoni või ühe ELi liikmesriigi poolt heaks kiidetud tingimustel.

Nendes klauslites on soovitatav selgelt määratleda töövõtja ja alltöövõtja vastavad kohustused. Need üksikasjad võivad osutuda kasulikuks ühe poole lepingu rikkumise korral.

Tasub meeles pidada, et paljud hiljutised nii avalikku kui ka erasektorit mõjutavad andmelekked on põhjustatud alltöövõtja turvaveast.

Tihti on põhjuseks inimlik eksimus ja täpsemalt töötaja volituste vargus.

Kahefaktoriline autentimine ja keerukate paroolide kasutamine on endiselt olulised viisid selliste rünnakute vastu kaitsmiseks, nagu me kordasime oma kommentaaris CNIL-i hiljutise „Prantsusmaa töö” sanktsiooni kohta.

Alltöövõtjatel on tõepoolest konkreetsed kohustused turvalisuse, konfidentsiaalsuse ja dokumenteerimise osas.

Tõhusa ja riskidele vastava andmekaitse tagamiseks peavad nad kehtestama kõik kasulikud meetmed alates teenuse või toote kavandamisest kuni vaikimisi säteteni („privacy by design & by default“).

Lisaks tuleb igast andmetega seotud rikkumisest andmetöötlejat teavitada seaduses sätestatud tähtaegade jooksul.

Lõpuks, andmete kustutamine lepingu lõppedes ei ole mitte ainult kohustus, vaid ka parim viis kaitsta end andmetega seotud rikkumiste eest pärast lepingulise suhte lõppemist, nagu meenutab detsembri lõpus CNIL-i poolt ettevõttele Mobius Solutions määratud miljoni euro suurune trahv.

Ettevõte oli pärast lepingulise suhte lõppu säilitanud koopia enam kui 46 miljoni Deezeri kasutaja andmetest, hoolimata kohustusest kõik need andmed lepingu lõppedes kustutada, mis tegi võimalikuks suure andmelekke.

 

CNIL avaldas oma andmekaitsetabelite ajakohastatud versiooni 2. märtsil. 

Need tabelid koondavad ja korraldavad isikuandmete kaitsega seotud olulist kohtupraktikat ja otsustuspraktikat riiklikul ja Euroopa tasandil.

Veebruari lõpus hoiatas France 2 raport meditsiiniliste andmete rikkumise eest ja täpsemalt Cegedimi poolt "MonLogicielMedical" tarkvara häkkimise eest.

Rünnak võimaldas häkkeril koguda 11–15 miljoni prantslase meditsiinilisi andmeid, millele oli ligipääs pimeveebis.

CNIL oli ettevõtet juba 2024. aasta septembris 800 000 euro suuruse trahviga karistanud, eelkõige terviseandmete loata töötlemise eest.

18. veebruaril 2026 teatas riigi rahanduse peadirektoraat (DGFiP) pressiteates, et volitatud esindaja tunnuste omastamise järel tuvastati riiklikule pangakontode toimikule (FICOBA) ebaseaduslik juurdepääs.

Häkker oli konto andmed hankinud enne küberrünnakut: majandusministeerium ei olnud kaheastmelist autentimist rakendanud.

Kõnealused andmed puudutavad ligikaudu 1,2 miljonit kontot ja hõlmavad eelkõige kontoomanike isikut, aadressi, panka ja IBAN-numbrit.

01net annab teada ettevõtte Surfshark läbiviidud hindamisest seoses andmeleketega Prantsusmaal.

„2025. aastaks on kogu maailmas häkitud 425,7 miljonit kontot. Kõige enam on mõjutatud Ameerika Ühendriigid, kus on toimunud 34 miljonit ülemaailmset andmeleket. Teisel kohal on Prantsusmaa, millele järgnevad India, Saksamaa ja Venemaa. 2025. aastaks on Prantsuse internetikasutajad kogenud keskmiselt peaaegu ühte konto häkkimist sekundis.“

Prantsusmaa paistab silma ka sellega, et "rikkumiste tihedus on 12 korda suurem kui maailma keskmine". Eraldi tuuakse välja investeeringute puudumist turvalisusse, olgu siis ettevõtete või avalik-õiguslike asutuste poolt.

Häkkerite peamine sihtmärk on ka andmemaaklerid, kes kammivad veebi kogutud isikuandmeid edasi.

 

Euroopa institutsioonid ja organid

Euroopa Komisjoni nn omnibus-ettepanek isikuandmete kaitse üldmääruse lihtsustamiseks saab Euroopa Liidu Nõukogus tagasilöögi.

20. veebruari dokumendis kavatseb nõukogu eemaldada ettepaneku muuta isikuandmete määratlust.

Lisaks soovib nõukogu Euractivi andmetel eemaldada komisjoni ettepaneku laiendada oma volitusi, mis võimaldaks tal ise otsustada, millised andmed on piisavalt pseudonüümsed.

Nõukogu eesistujariigi Küprose koostatud kompromisstekst on aluseks riikide valitsuste vaheliste läbirääkimiste pidamisele.

Nõukogu peaks teksti läbi vaatama 27. veebruaril.

11. veebruaril olid Euroopa Andmekaitsenõukogu (EDPB) ja Euroopa Andmekaitseinspektor (EDPS) juba vastu võtnud kauaoodatud ühisarvamuse selle koondettepaneku andmekaitseaspektide kohta.

Oma pressiteates rõhutavad regulaatorid, et lihtsustamine ei tohi toimuda inimeste kaitsmise arvelt.

Nad kutsuvad kaasseadusandjaid üles mitte vastu võtma isikuandmete määratluse kavandatud muudatusi, kuna need vähendaksid oluliselt selle ulatust ja oleksid vastuolus Euroopa Kohtu praktikaga.

„Peame tagama, et kõik isikuandmete kaitse üldmääruse ja Euroopa isikuandmete kaitse üldmääruse muudatused selgitaksid tõepoolest kohustusi ja pakuksid õiguskindlust, säilitades samal ajal usalduse ja üksikisiku õiguste ja vabaduste kõrgetasemelise kaitse.“

Ühisarvamuses rõhutatakse ka vajadust andmekaitseasutuste selge kontrolli järele küpsiste ribareklaamide ja avaliku sektori andmete taaskasutamise üle.

Euroopa Andmekaitsenõukogu (EDPB) on avaldanud aruande oma koordineeritud tegevuse kohta seoses õiguse olla unustatud kohaldamisega.

See õigus on üks enimkasutatavaid.

See on andnud alust arvukatele kaebustele ja andmekaitseasutuste otsuste arvu suurenemisele.

Aruandes tuuakse välja seitse organisatsioonide ees seisvat peamist väljakutset, sealhulgas sisemiste protseduuride puudumine. Samuti antakse praktilisi soovitusi, mis aitavad organisatsioonidel nende väljakutsetega toime tulla.

Komitee avaldas ka aruande 12. detsembril 2025 toimunud ürituse kohta, mis käsitles anonüümimist ja pseudonüümimist.

Aruandes võetakse kokku tagasiside umbes sajalt osalejalt, kes kogunesid arutama isikuandmete kaitse üldmääruse kohaldamist nende tehnikate suhtes pärast Euroopa Kohtu otsust Euroopa Andmekaitseinspektori ja Ühtse Kriisireguleerimisnõukogu kohtuasjas.

Ta toob esile praktilise ebakindluse selle kindlaksmääramisel, millal andmed jäävad „tuvastatavaks“, olenevalt osalejatest ja kontekstist, ning küsimuse „vahenditest, mida on mõistlikult tõenäoline“ isiku uuesti tuvastamiseks kasutada.

Dokument ei anna lõplikke suuniseid, kuid selles tuuakse välja põhiküsimused, mis suunavad Euroopa Andmekaitsenõukogu edasisi suundi anonüümimise ja pseudonümiseerimise osas oma tööprogrammis.

Euroopa Andmekaitsenõukogu on vastu võtnud oma tööprogrammi aastateks 2026–2027.

Ta töötab mitme mudeli kallal, mille eesmärk on hõlbustada isikuandmete kaitse üldmääruse (GDPR) järgimist: andmetega seotud rikkumiste teavitused, andmekaitse mõjuhinnangud, õigustatud huvi hindamine, töötlemisregister ja privaatsusteatis/-poliitika.

Euroopa Kohus otsustas 10. veebruaril kohtuasjas C-97/23 P | WhatsApp Ireland vs. Euroopa Andmekaitsenõukogu, et Whatsappi esitatud hagi Euroopa Andmekaitsenõukogu otsuse peale on vastuvõetav.

Kuna Euroopa Liidu Kohus ei ole veel kohtuasja sisulist poolt läbi vaadanud, tühistab kohus vaidlustatud määruse ja saadab asja Euroopa Kohtule tagasi.

Euroopa Inimõiguste Kohus otsustas 17. veebruaril kohtuasjas Green alliance vs. Bulgaaria – 6580/22, et Bulgaaria määrused, mis lubavad riiklikul julgeolekuasutusel kasutada "salajasi agente", rikuvad Euroopa inimõiguste konventsiooni artiklit 8, kuna need lubasid organisatsioonide salajast jälgimist ilma piisavate kaitsemeetmete või kontrollita.

 

Uudised Euroopa Liidu liikmesriikidest.

Heise.de ja Table.Media andmetel töötab Saksamaal Bundestag intensiivselt oma digitaalse arhitektuuri põhjaliku ümberkorraldamise kallal. Parlament soovib vabaneda Ameerika ettevõtete, näiteks Microsofti, tehnoloogilisest haardest, et kriisi ajal vastupidavamalt ja ennekõike kolmandatest riikidest sõltumatult tegutseda.

Austria andmekaitseamet (DPA) määras andmetöötlejale 1500 euro suuruse trahvi avaliku kõnnitee ebaseadusliku videovalvekaameraga filmimise ja kahtlustatava varga piltide sotsiaalmeedias avaldamise eest, rikkudes sellega andmete minimeerimise ja läbipaistvuse põhimõtteid ning kohtuandmete töötlemist reguleerivaid eeskirju.

Taani andmekaitseamet (DPA) tegi 51 omavalitsusele noomituse ja hoiatas neid samaaegselt Google'i toodete kasutamise eest alg- ja põhikoolides. Täpsemalt leidis amet, et omavalitsused ei olnud piisavalt tõendanud, et nad tagavad väljaspool ELi töödeldavate isikuandmete asjakohase kaitsetaseme.

Iiri andmekaitseamet (DPA) teatas 17. veebruaril, et on algatanud uurimise Elon Muski ettevõtte X suhtes. Uurimine puudutab X platvormil "potentsiaalselt kahjulike, intiimsete ja/või seksuaalselt ilmse sisuga piltide" loomist ja avaldamist ilma nõusolekuta, mis sisaldavad või hõlmavad EL/EMP andmesubjektide, sealhulgas laste isikuandmete töötlemist, kasutades Groki keelemudeliga seotud genereerivat tehisintellekti funktsiooni. Mitmed riigid on juba otsustanud Elon Muski tehisintellektil põhineva vestlusroboti täielikult keelata ja Euroopa Komisjon algatas uurimise 26. jaanuaril.

Hollandis otsustas kohus, et Hollandi andmekaitseamet (APD) ei olnud piisavalt põhjendanud kino vastu esitatud kaebuse tagasilükkamist, kuna kino ei aktsepteerinud enam sularahamakseid. Kohtu sõnul ei olnud APD hinnanud, kas kaardimaksete nõue taotles GDPR-i alusel piisavalt konkreetset ja põhjendatud eesmärki.

Slovakkias tühistas konstitutsioonikohus seaduse, mis kohustas vabaühendusi avaldama oma kaastööliste andmeid, leides, et see rikub privaatsust, informatsioonilist enesemääramist ja ühinemisvabadust ning kehtestab samal ajal liigse koormuse.

 

Suurbritannia andmekaitseamet (ICO) määras Redditile 14,47 miljoni naela (umbes 16,6 miljoni euro) suuruse trahvi laste andmete privaatsusega seotud kohustuste täitmata jätmise eest.

ICO usub, et Redditi vanusekontroll on ebapiisav ja et platvormil "seega puudus õiguslik alus alla 13-aastaste laste isikuandmete töötlemiseks".

Lisaks ei teinud Reddit enne 2025. aasta jaanuari lastega seotud riskide hindamiseks ja leevendamiseks andmekaitsealast mõjuhinnangut.

ICO teatas 5. veebruaril ka 247 590 naela suuruse trahvi määramisest ettevõttele MediaLab.AI, Inc., mis on pildijagamisplatvormi Imgur taga olev ettevõte.

MediaLab lubas lastel Imgurit kasutada ilma Ühendkuningriigi andmekaitsealaste õigusaktidega nõutavaid põhilisi kaitsemeetmeid rakendamata.

India otsustas 2026. aasta veebruaris laiendada maailma suurima digitaalse identiteedisüsteemi Aadhaari kasutamist igapäevase privaatsuse tagamiseks uue rakenduse ja võrguühenduseta tuvastamissüsteemi kaudu.

Muudatused peaksid võimaldama üksikisikutel oma isikut tõendada ilma reaalajas andmebaasis kinnitamata, integreerides privaatseid kinnitusteenuseid, nagu Google Wallet ja Apple Wallet.

Kodanikuühiskonna kampaania väidab, et võrguühenduseta kontrollisüsteem võib taaskehtestada Aadhaari kasutamise erasektoris, mille Ülemkohus on juba hukka mõistnud. 

Süsteem võimaldab ka "India osariikidel ja politseil siduda Aadhaari numbriga igasugust isiklikku teavet: GPS-koordinaadid, telefoninumbrid, sotsiaalvõrgustikud, valija registreerimiskaart, pass, laenud, sotsiaaltoetused, mõnikord isegi sugulaste nimed või isegi partnerite nimed teatud politseivormidel".

CNBC 19. veebruari aruande kohaselt seob Accenture oma tippjuhtide edutamise tehisintellekti tööriistade regulaarse kasutamisega.

Väidetavalt teavitati asedirektoreid ja tippjuhte, et juhtivatele kohtadele pääsemiseks on vaja tehisintellekti "regulaarset kasutamist".

Ettevõtte tehisintellekti strateegia "nõuab uusimate tööriistade ja tehnoloogiate kasutuselevõttu, et teenindada oma kliente võimalikult tõhusal viisil," ütles pressiesindaja CNBC-le.

11. veebruaril 2026 teatas California peaprokurör rekordilisest 2,75 miljoni dollari suurusest kokkuleppest Walt Disney Companyga. et lahendada väiteid, et ettevõte ei austanud piisavalt tarbijate vastuväiteid nende andmete töötlemisele vastavalt California tarbijate privaatsusseadusele.

13. veebruari artiklis teatab New York Times, et Facebooki emaettevõte Meta plaanib juba sel aastal lisada näotuvastusfunktsiooni oma nutikatele prillidele, mida ta toodab koostöös Ray-Bani ja Oakleysi omanikuga.

See funktsioon, mida sisemiselt nimetatakse "Name Tagiks", võimaldaks nutikate prillide kasutajatel inimesi tuvastada ja nende kohta teavet hankida Meta tehisintellekti assistendi kaudu. Eelmisel aastal avaldatud sisemises memos teatas Meta väidetavalt, et poliitilised rahutused Ameerika Ühendriikides juhivad tähelepanu kõrvale funktsiooni avaldamise kriitikutelt.

23. veebruaril 2026 avaldasid 61 andmekaitseasutust ühisavalduse tehisintellekti loodud piltide kohta.

See ühisavaldus käsitleb muret tehisintellekti süsteemide pärast, mis on võimelised genereerima realistlikke pilte ja videoid, mis kujutavad tuvastatavaid isikuid ilma nende teadmata või nõusolekuta.

19. veebruaril 2026 avaldas Majanduskoostöö ja Arengu Organisatsioon (OECD) uued suunised, mis aitavad organisatsioonidel rakendada OECD suuniseid rahvusvahelistele ettevõtetele ja OECD tehisintellekti põhimõtteid.

Need juhised on mõeldud selleks, et aidata organisatsioonidel hallata tehisintellektiga seotud riske ja järgida rahvusvahelisi vastutustundliku ärikäitumise standardeid.

Kuigi tehisintellekti agentide arendamine on mõeldud paljude haldusülesannete hõlbustamiseks, tekitab see ka tõsiseid turvaküsimusi.

OpenClaw, uusim, on avatud lähtekoodiga projekt, mis keerleb autonoomse tehisintellekti agendi ümber, mis on võimeline kasutaja asemel arvutit juhtima.

Hiljuti OpenAI poolt omandatud OpenClaw on nüüd tõsiste turvarünnakute sihtmärgiks.

Küberkurjategijad rikkusid mõne nädala jooksul üle 30 000 OpenClawi eksemplari, kasutades võltsitud skripte, mis võimaldasid installida viirusi ja pahavara, mis suutsid salvestada kõike, mida Windowsi arvutites klaviatuuril sisestatakse. 

„Üha enam idufirmade juhte keelab autonoomsed agendid ettevõtte seadmetes, kartes konfidentsiaalsete andmete lekkeid. Turvaeksperdid väljendavad tõsist muret tehisintellekti ümbritseva auditeerimise, perspektiivi, reaalsete kaitsemeetmete ja läbipaistvuse puudumise pärast, samal ajal kui üha rohkem töötajaid integreerib seda juba oma igapäevastesse ülesannetesse tootlikkuse poole püüdlemisel.“

Need hoiatused edastas 12. veebruaril Hollandi andmekaitseamet (APD), mis hoiatab kasutajaid ja organisatsioone OpenClawi ja sarnaste eksperimentaalsete süsteemide kasutamise eest kriitiliste turvaaukude tõttu.

Rahvusvaheline Privaatsusspetsialistide Assotsiatsioon (IAPP) avaldas 5. veebruaril oma privaatsusseaduste ja andmekaitseasutuste ülemaailmse kataloogi ajakohastatud versiooni.

IAPP märgib, et andmekaitserežiimid arenevad ja küpsevad pidevalt kogu maailmas. „Viimase 12 kuu jooksul on India kehtestanud uued digitaalsete isikuandmete kaitse seaduse rakendamise jõustamiseeskirjad, Bangladesh ja Gambia on vastu võtnud või kaaluvad uute terviklike seaduste vastuvõtmist ning teised riigid, sealhulgas Ecuador ja Indoneesia, on loonud uusi asutusi olemasolevate privaatsusseaduste tõlgendamiseks ja jõustamiseks.“