Õiguslik jälgimine nr 70 – aprill 2024.

Andmete edastamine väljaspool ELi: praegune olukord.

Rahvusvahelise andmeedastuse maastik muutub selgemaks, kuna institutsioonilised otsused ja seisukohad muutuvad. 

Seega oleme märganud mitmeid hiljutisi algatusi nii Euroopa kui ka riikide tasandil, mille eesmärk on hõlbustada andmevoogusid, austades samal ajal põhiõigusi.

4. märtsil toimunud kohtumisel viieteistkümne juba adekvaatseks tunnistatud riigi esindajatega näitas Euroopa Komisjon seega oma valmisolekut laiendada ELi rahvusvahelise koostöö vorme.

Kuigi varem on komisjon eelistanud inimõigustele keskenduvat koostööd Euroopa Nõukoguga, mainis Euroopa õigusküsimuste volinik märtsis ka tihedamat koostööd OECD-ga, mille väljavaated keskenduvad majandusarengule.

 Asjaomastel riikidel Ameerikas ja Aasias on privaatsuse kaitse lähenemisviisid, mis erinevad oluliselt Euroopa Liidu omadest.

Tasub meenutada, et jaanuaris uuendas Euroopa Komisjon kõigi nende riikide kaitse piisavusotsuseid, kelle kohta oli juba tehtud positiivne otsus.

See on tekitanud reaktsioone ka praeguses poliitilises kontekstis, kusjuures 11 kodanikuühiskonna organisatsiooni toetasid 22. aprillil avalikku kirja, milles paluti Euroopa Komisjoni õigusvolinikul selgitada oma otsust uuendada Iisraeli kaitse piisavuse otsust.

 Kirjas seatakse kahtluse alla eelkõige vastavus piisavuskriteeriumidele seoses andmete töötlemisega riigi julgeoleku eesmärgil, inimõiguste austamine, õigusriigi põhimõte ja õiguskaitse kättesaadavus.

Loomulikult on andmeedastus endiselt võimalik riikidesse, mille suhtes ei ole tehtud piisavusotsust, tingimusel et näiteks on vastu võetud lepingu tüüptingimused või et kontserni sees on kehtestatud andmeedastuse reguleerimiseks siduvad eeskirjad.

Selle protsessi rühmade toetamiseks avaldas CNIL äsja enesehindamise tööriista.

See on küsimustik, mis võimaldab meil kontrollida projekti küpsusastet seoses Euroopa Andmekaitsenõukogu (EDPB) vastuvõetud siduvate ärieeskirjade standardite nõuetega.

CNIL soovitab enne BCR-ide kinnitamiseks esitamist projekti testida.

Tööriist võimaldab kontrollida järgmiste kohustuste tõhusat rakendamist:

• Vastutuskord, mis põhineb Euroopa peakorteril või Euroopa tütarettevõttel, kes vastutab andmekaitse eest delegeerimise alusel;
• Personali koolituse protseduur;
• Auditiprotseduur GCR-ide järgimise tagamiseks;
• Sisemine kaebuste lahendamise kord;
• Andmekaitseametnike või kvalifitseeritud töötajate võrgustik eeskirjade järgimise jälgimiseks;
• Privaatsusele avaldatava mõju hindamise (PIA) läbiviimise asjakohasuse kindlakstegemise protseduur;
• Siduvate kontsernisiseste eeskirjade puhul „alltöövõtja” tähendab alltöövõtja kohustusi vastutava töötleja ees;
• Andmekaitsepõhimõtete järgimise tagamiseks vajalikud tehnilised ja korralduslikud meetmed.

CNIL pakub interaktiivset maailmakaarti, et teha kindlaks iga riigi andmekaitse staatus, ning piisavusotsusest kasu saavate riikide loetelu on kättesaadav Euroopa Komisjoni veebisaidil.

 

CNIL määras HUBSIDE.STORE'ile 4. aprillil 525 000 euro suuruse trahvi. isikuandmete otsimise kampaaniate läbiviimise eest, kasutades petlikult kujundatud vormide kaudu saadud isikuandmeid, mis ei võimaldanud andmetöötlejal saada kehtivat nõusolekut.

25. märtsil esitles digitaalküsimuste riigisekretär Prantsusmaa digitaalse kümnendi strateegilist tegevuskava. Euroopa Komisjoni sidevõrkude, sisu ja tehnoloogia peadirektori (DG Connect) juuresolekul.

„Tegevuskava on üles ehitatud nelja töövaldkonna ümber, mille eesmärk on saavutada „digitaalse kümnendi“ eesmärgid:“

• Digitaalsed oskused,
• Digitaalne infrastruktuur,
• Ettevõtete digitaalne transformatsioon ja
• Avalike teenuste digitaliseerimine.

La Quadrature du Net esitas 2. mail CNIL-ile kaebuse algoritmilise videovalve (VSA) kasutuselevõtu kohta. mida ta peab ebaseaduslikuks.

Projekt Prevent PCP, mis ühendab SNCF-i ja RATP-i ettevõtete paneeliga, kuhu kuuluvad Atos grupp ja ChapsVision, on avaliku hanke vormis, mis võimaldab ettevõtetel juurutada oma VSA-süsteeme Euroopa suuremates jaamades, et tuvastada "mahajäetud pagasit" meetodi abil, mis põhineb pagasiomanike tuvastamisel ja jälgimisel.

Prantsusmaal on neid VSA-süsteeme juba kuid kasutatud Pariisi Gare du Nordi ja Gare de Lyoni jaamades või hiljuti ka Gare de Marseille-Saint-Charles'i jaamas.

 

Euroopa institutsioonid ja organid

Euroopa Andmekaitsenõukogu (EDPB) võttis oma tööprogrammi aastateks 2024–2027 vastu aprilli keskel.

Järgmise nelja aasta jooksul jätkab Euroopa Andmekaitsenõukogu isikuandmete kaitse üldmääruse järgimise edendamist, töötades välja praktilisi juhiseid ja materjale laiemale publikule.

Samuti on prioriteediks koostöö õigusaktide kohaldamisel. 

Strateegia uus aspekt on rõhk uue digitaalse regulatiivse raamistikuga suhtlemisel.

Euroopa Andmekaitsenõukogu pöörab jätkuvalt erilist tähelepanu uute tehnoloogiate, näiteks tehisintellekti, tekitatud väljakutsetele.

Samuti võttis Euroopa Andmekaitsenõukogu 17. aprillil seisukoha suuremate veebiplatvormide kasutajatele kehtestatud „maksa või nõustu küpsistega” mudeli kohta.

2023. aasta novembris kehtestas Meta kuutasu kasutajatele, kes keeldusid isikupärastatud reklaami eesmärgil jälgimisest.

Kodanikuõiguste organisatsioonid olid reageerinud, esitades mitu kaebust pädevatele andmekaitseasutustele, kes palusid Euroopa Andmekaitsenõukogult (EDPB) küsimuses siduvat arvamust.

See arvamus seab kahtluse alla Meta ja sarnaste platvormide pealesurutud mudeli: komitee arvates "ei ole suurtel veebiplatvormidel enamikul juhtudel võimalik kehtiva nõusoleku nõudeid täita, kui nad seavad kasutajad vaid kahetise valiku ette: nõusoleku andmise isikuandmete töötlemiseks käitumispõhise reklaami eesmärgil ja tasu maksmise vahel".

Komitee kordab, et nõusolek peab olema antud vabatahtlikult ning et alternatiivne hoiatava tasu kehtestamine välistaks vabatahtliku nõusoleku andmise.

See kutsub platvorme üles rakendama alternatiivset reklaamimudelit, mis põhineb piiratumal isikuandmete kogumisel.

Euroopa Komisjoni algatus julgustada suurtehnoloogiaettevõtteid vabatahtlikult pühenduma nn küpsiste lubadusele, mis vähendaks internetikasutajate jälgimist ja tugevdaks nende nõusolekut, ei ole hoogu kogunud.

Komisjoni pressiesindaja sõnul Euronewsile leidis enamik ettevõtteid, et vabatahtliku lähenemisviisi kehtestamine digitaalsele reklaamile oli "ennatlik, arvestades hiljuti jõustunud uusi õigusakte selles valdkonnas, näiteks digitaalteenuste määrust (DSA) ja digitaalsete turgude määrust (DMA)".

11. aprillil otsustas Euroopa Kohus, et andmetöötleja ei ole isikuandmete kaitse üldmääruse kohasest kahjude hüvitamise vastutusest vabastatud ainuüksi seetõttu, et tema alluvuses tegutsev isik ei järginud tema juhiseid.

Hüvitise suuruse hindamisel ei tohiks arvesse võtta haldustrahvide määramiseks kehtestatud kriteeriume.

Euroopa Kohtu kohtujurist esitas oma arvamuse 25. aprillil kohtuasjas, mis käsitles kaebuse esitaja avalikustatud andmete kasutamist Meta poolt.

Administratiivkontrolli eksperdi sõnul piirab „andmete minimeerimise põhimõtte” kohaldamine isikuandmete kasutamist reklaami eesmärgil isegi siis, kui kasutajad on reklaamiga nõustunud.

See põhimõte kehtib olenemata töötlemiseks kasutatavast õiguslikust alusest: isegi kasutaja, kes on andnud nõusoleku isikupärastatud reklaamide saamiseks, ei saa oma isikuandmeid tähtajatult kasutada.

Lisaks jääb GDPRi artikli 5 lõikes 1 sätestatud eesmärgi piiramise põhimõte kehtima ka veebikaapimise kontekstis: avalikult kättesaadavat teavet (antud juhul tundlikku) ei tohi koguda ega töödelda muudel eesmärkidel, näiteks suunatud reklaami eesmärgil.

Valitsusväline organisatsioon noyb on esitanud Austria andmekaitseametile (APD) kaebuse ChatGPT "hallutsinatsioonide" kohta, mis rikub isikuandmete kaitse üldmääruse (GDPR) põhimõtteid.

Noybi direktor Max Schrems ütles, et tema kaebuse põhjustas see, et ChatGPT ei esitanud tema täpset sünnikuupäeva ja asendas selle ebatõenäolise oletusega, samas kui vestlusrobot ei teavita kasutajaid, et tal pole päringule vastamiseks õigeid andmeid.

Väidetavalt keeldus tehisintellekti ettevõte ebaõigeid vastuseid parandamast või kustutamast ning ei avalda mingit teavet töödeldud andmete, nende allikate või saajate kohta.

Alates DSA jõustumisest 2023. aasta augustis on suured veebiplatvormid ja otsingumootorid („VLOP” ja „VLOSE”) kohustatud pakkuma avalikult ligipääsetavaid ja läbipaistvaid reklaamihoidlaid.

Mozilla ja CheckFirsti koostöös valminud uues aruandes uuritakse seda probleemi 11 ettevõtte, sealhulgas AliExpressi, Apple'i App Store'i, Bingi, Booking.comi, Alphabeti (Google'i otsing ja YouTube), LinkedIni või Meta (Facebook ja Instagram) pakutavate teenuste kontekstis.

Aruandes märgitakse „platvormide vahel suuri erinevusi“ ja öeldakse, et ühelgi neist pole „täielikult toimivat reklaamihoidlat ning ükski ei paku teadlastele ja kodanikuühiskonna rühmitustele tööriistu ja andmeid, mida nad vajavad VLOP-ide reklaamide mõju tõhusaks jälgimiseks eelseisvatel Euroopa valimistel“ (GDPRtoday vahendusel).

  

Uudised Euroopa liikmesriikidest.

Belgia andmekaitseamet (APD) leidis 2. aprillil, et kasutaja terminali digitaalse sõrmejälje kogumine („veebis sõrmejälgede võtmine“) peaks põhimõtteliselt põhinema asjaomase isiku nõusolekul.

See meetod võimaldab andmetöötlejal pakkuda teenuseid, mis tuvastavad veebisaidi külastaja isegi inkognito režiimis sirvides või VPN-i kasutades, määrates neile unikaalse identifikaatori.

Koos kasutaja asukohaga võimaldab see identifikaator jälgida muuhulgas kasutaja külastuste arvu.

APD andis hoiatuse spetsiaalselt teabe esitamata jätmise ja asjaomase isiku kontaktandmete kasutamise eest turundusmeilide saatmiseks.

Tšehhi andmekaitseamet (APD) määras küberturbe- ja viirusetõrjeettevõttele Avast apellatsioonikaebuse peale 13,7 miljoni euro suuruse trahvi, mis on APD poolt eales määratud suurim trahv.

Ettevõte ei anonüüminud enam kui 100 miljoni kasutaja sirvimisandmeid enne nende jagamist kolmandate osapooltega turuanalüüsi eesmärgil.

Tasub meenutada, et Avastile kehtestas veebruaris ka Ameerika Ühendriikides föderaalne kaubanduskomisjon (FTC) sanktsioonid ning ettevõte oli sunnitud maksma üle 18 miljoni dollari suuruse summa.

Tema vastu on samade süütegude pärast esitatud ka kollektiivne kaebus Hollandis.

Soomes mõistis Uusimaa Lääne ringkonnakohus Vastaamo psühhoteraapiakeskuse patsientide andmetesse sissemurdmise eest vastutava häkkeri, kes nõudis varastatud andmete eest 400 000 euro suurust lunaraha, kuueks aastaks ja kolmeks kuuks vangi. 

Häkkimine hõlmab ligikaudu 33 000 patsiendi andmeid, mis on Soome õigusajaloos enneolematu arv ohvreid. 

Sel ajal määras APD Vastaamole 608 000 euro suuruse haldustrahvi GDPR-i rikkumise, isikuandmete turvalise töötlemise kohustuste eiramise ja andmetega seotud rikkumisest teatamisega viivitamise eest.

Ettevõtte endine tegevjuht mõisteti eelmisel aastal tundlike isikuandmete kaitsmata jätmise eest kolmeks kuuks tingimisi vangi.

Pärast seda on ettevõte esitanud pankrotiavalduse.

Hollandis trahviti telekommunikatsioonikontserni Odido, endise nimega T-Mobile Nederland, 175 000 euroga. digitaalse taristu inspektsiooni poolt liiklusandmete valesti töötlemise eest osana ühisprojektist riikliku statistikaametiga.

Projekti eesmärk oli töötada välja algoritm, mis oleks võimeline andma teavet suurte inimrühmade liikumise kohta, kuid Odido protsessid rikkusid privaatsusseadusi: Odido oli hoolitsenud töödeldud andmete pseudonümiseerimise eest, kuid ilma et ühtegi klienti uuringust teavitataks.

Kreeka andmekaitseamet (APD) määras Kreeka postkontorile 2 995 140 euro suuruse trahvi. asjakohaste turvameetmete rakendamata jätmise eest, mille tagajärjel tekkis andmete rikkumine, mis mõjutas üle nelja miljoni inimese.

Hispaania andmekaitseamet (AEPD) otsustas määrata pangale 2 000 000 euro suuruse trahvi. isikuandmete töötlemiseks asjaomaste isikute nõusoleku saamata jätmise eest.

Andmetöötleja, olles oma süü üles tunnistanud, maksis lõpuks vähendatud trahvi 1 200 000 eurot. 

Tõepoolest, Hispaania haldusmenetlusi käsitlev seadus (39/2015) lubab vastutaval töötlejal tunnistada vastutust väidetava rikkumise eest ja/või maksta uurimise etapis AEPD poolt välja pakutud trahvi vastutasuks trahvisumma vähendamise eest 40 % võrra.

Samuti määras AEPD andmetöötlejale 3 500 000 euro suuruse trahvi piisava riskianalüüsi tegemata jätmise eest. ja mis oli eiranud välditavaid turvanõrkusi, mille tagajärjel tekkis 1,3 miljonit inimest mõjutanud andmete rikkumine.

Rootsis tegi andmekaitseamet (APD) andmetöötlejale noomituse, kuna too palus andmesubjektidel esitada oma isikut tõendava dokumendi koopia. samuti posti teel allkirjastatud dokumendid andmete kustutamise taotluse kontekstis, kui puudus mõistlik põhjus kahelda asjaomaste isikute isikusamasuses.

 

Grindri vastu on Ühendkuningriigis esitatud kollektiivhagi. väites, et LGBTQ tutvumisrakendus jagas reklaamijatega oma kasutajate kohta tundlikku teavet, näiteks nende HIV-staatust ja seksuaalset sättumust.

BBC aruande kohaselt kasutas rakendus väidetavalt "salajast jälgimistehnoloogiat" nende andmete ebaseaduslikuks kogumiseks ja jagamiseks kolmandate osapooltega (GDPRtoday vahendusel).

3. mail võttis OECD nõukogu vastu tehisintellekti põhimõtete muudatused.

Vastuseks tehisintellekti tehnoloogiate hiljutistele arengutele, sealhulgas generalistliku ja generatiivse tehisintellekti esilekerkimisele, käsitlevad ajakohastatud põhimõtted otsesemalt tehisintellektiga seotud väljakutseid privaatsuse, intellektuaalomandi õiguste, turvalisuse ja teabe terviklikkuse osas.

Ameerika Ühendriikides pikendati hiljuti USA välisluure jälitustegevuse seaduse (FISA) paragrahvi 702 kehtivust kaheks aastaks.

Seda paragrahvi, mis lubab teatud side piiratud ulatuses ja ilma loata jälgimist, peab Kongress regulaarselt uuendama.

Väidetavalt oli hääletus vastuoluline, kuna Kongress kaalus mitmeid seaduse teksti ajakohastamise ettepanekuid: Associated Pressi andmetel oli lahkarvamusi selle üle, kas FBI-d tuleks ameeriklaste järel luuramiseks seaduse kasutamisel piirata.

Senat võttis seaduseelnõu lõpuks 20. aprillil vastu, tehes tekstis väga vähe muudatusi.

23. aprillil võttis senat vastu seaduseelnõu „Ameeriklaste kaitsmine välismaiste vaenlaste kontrollitud rakenduste eest“, mida on laialdaselt kirjeldatud kui TikToki keelustamist.

USA president Joe Biden allkirjastas just seaduse, mis sunnib Hiina platvormi eraldama oma USA tegevuse emaettevõtte ByteDance'i omast või aktsepteerima, et USA kodanikud ei saa enam teenust kasutada. TikTok on juba teatanud kohtuasjast.

USA föderaalse kaubanduskomisjoni (FTC) 15. aprillil esitatud korralduse eelnõu süüdistab vaimse tervise telemeditsiiniettevõtet oma privaatsuspoliitika rikkumises ja klientide eksitamises teenuste tühistamise poliitika osas.

FTC kavatseb Cerebralile ja selle tegevjuhile määrata 7 miljoni dollari suuruse trahvi klientide kohta isikut tuvastava teabe kogumise ja seejärel kolmandatele isikutele müümise eest.

Euroopa Inimõiguste Kohus menetleb praegu mitut tuhandet kohtuasja, mis puudutavad Türgis relvastatud terroriorganisatsiooni kuulumise eest süüdimõistvaid kohtuotsuseid, mis põhinevad väidetaval krüpteeritud sõnumsiderakenduse "Bylock" kasutamisel.

Hagejad väidavad, et nende süüdimõistvad kohtuotsused põhinesid selle rakenduse väidetaval kasutamisel, mis Türgi kohtute sõnul oli mõeldud ainult FETÖ/PDY liikmetele globaalse rakenduse varjus.

Nende sõnul võiks igaüks, kes oli Bylocki kasutanud, ainuüksi selle alusel süüdi mõista relvastatud terroriorganisatsiooni kuulumise eest.