Õiguslik jälgimine nr 82 – aprill 2025. 

Andmekaitse ja standardite lihtsustamine: mida me peaksime ootama?

Standardite lihtsustamise küsimus, mis on Euroopas korduv aruteluteema, on pärast Valge Maja juhtkonna vahetust muutunud eriti oluliseks.

Eelmise aasta veebruaris Pariisis toimunud tehisintellekti (AI) tippkohtumisel sai konkurentsivõimest seega Ameerika Ühendriikide dereguleerimise valguses deklareeritud prioriteet.

Euroopa Komisjoni 2025. aasta tööprogramm on samuti otseselt suunatud majanduskasvu edendamisele innovatsiooni toetamise kaudu.

Milline on selle poliitika mõju Euroopa andmekaitsestandarditele?

Tehisintellekti valdkonnas on Euroopa esiteks võtnud endale kohustuse saavutada määruse peamised eesmärgid, uurides samal ajal ettevõtete halduskoormust.

Komisjon küsib tööstusharu panust juhtudel, kui regulatiivne ebakindlus takistab tehisintellekti arendamist, ning kaasab selle laiemasse püüdlusse vaadata läbi ja võimalusel aasta lõpuks digitaaleeskirjad kaotada.

Tehisintellekti vastutuse direktiiv, mille eesmärk oli ajakohastada ELi tooteohutuseeskirju, et hõlmata tehisintellekti ja automatiseerimist, on juba tagasi võetud.

CCIA, Brüsselis asuv peamine USA suurte tehnoloogiaettevõtete lobigrupp, tervitas seda lähenemisviisi, kutsudes samal ajal üles regulatsiooni "otsesele rünnakule".

Euroopa Komisjon teavitas liikmesriike aprilli lõpus ka oma suuniste eelnõust, mis käsitleb tehisintellekti määruse ja teiste määruste, sealhulgas isikuandmete kaitse üldmääruse (GDPR) vahelist seost.

Ta töötab tehisintellekti määrusega nõutava põhiõiguste mõjuhinnangute (FRIA) mudeli väljatöötamise kallal, et vältida dubleerimist isikuandmete kaitse üldmääruse (GDPR) andmekaitse mõjuhinnangutega.

Omalt poolt rõhutavad liikmesriigid vajadust tõhustatud koostöö järele teiste ametiasutustega, et vältida olukorda, kus kaks lipulaevseadust toovad kaasa vastuolulisi otsuseid või kattuvaid uurimisi.

Euroopa Andmekaitsenõukogu (EDPB) koostab ka suuniseid isikuandmete kaitse üldmääruse ja tehisintellekti määruse koostoime kohta ning uurib koos komisjoniga sünergiavõimalusi, et tagada tõlgendamise järjepidevus, õiguskindlus ja selgus operaatoritele.

Aga kuidas on lood isikuandmete kaitse üldmäärusega? Eelmise aasta juulis avaldas komisjon teemakohase hindamisaruande, mis tõi esile VKEde märkimisväärse frustratsiooni mitmes aspektis:

• Liigsed dokumentatsiooninõuded,
• Andmekaitseametniku palkamise või ametisse nimetamise kulud,
• Raskused õigusliku aluse valimisel (õigustatud huvi / nõusolek),
• Uute tehnoloogiate ja idufirmade piirangud.

See kriitika kajastab endise Itaalia peaministri Mario Draghi arvamust, kelle eelmise aasta septembri majandusaruanne osutab keerukatele Euroopa seadustele, mis takistavad Itaalia majandusel Ameerika Ühendriikidele ja Hiinale järele jõudmast, ning mainib eraldi tehisintellekti määrust ja isikuandmete kaitse üldmäärust.

Komisjon kavatseb mai lõpus esitada väikestele ja keskmise suurusega ettevõtetele mõeldud „lihtsustuspaketi“, kuigi kuupäev on esitatud soovituslikuna: privaatsusnormide lihtsustamise ettepanek esitatakse igal juhul juuniks.

Kohandused võivad hõlmata andmetöötlustoimingute arvestuse pidamise nõuete piiramist või andmekaitse mõjuhinnangute reformimist – kahte eeskirja, mida peetakse VKEde jaoks eriti koormavaks.

Samuti tasub meenutada, et parlamendiliige Axel Voss ja vabaühenduse Noyb president Max Schrems – kaks isikut, kelle seisukohad selles küsimuses on ajalooliselt olnud vastandlikud – ühendasid eelmise aasta märtsis jõud, et teha ettepanek isikuandmete kaitse üldmääruse (GDPR) oluliseks muutmiseks, mille eesmärk on

• Nõuetele vastavuse lihtsustamine VKEdele ja mittetulundusühingutele,
• Kehtestada suurtele organisatsioonidele selgemad ja hõlpsamini hallatavad reeglid,
• Tugevdada kontrollivõimekust, et tagada tõhusam andmekaitse.

Kuigi see ettepanek peegeldab nihet pragmaatiliste lahenduste poole, mis ühildavad privaatsuse kaitse äritegevuse reaalsusega, osutavad teised teksti taasavamise ohtudele, mis võivad lobitöö surve all kokku kukkuda, nagu on rõhutanud digitaalsete õiguste eest seismise rühmitus EDRi.

Tasub meeles pidada, et GDPR-i väljatöötamise läbirääkimised vallandasid ühe suurima lobitöö, mida Brüssel eales näinud on.

Tehnoloogiaettevõtted kulutasid miljoneid dollareid eeskirjade mõjutamisele eelnõude koostamise käigus ning Euroopa Parlamendis tehti ettepanekule rekordiline enam kui 3000 muudatusettepanekut.

Praegune töö isikuandmete kaitse üldmääruse menetlusmäärusega, mille eesmärk on tugevdada andmekaitseasutuste (DPA-de) koostööd ja kiirendada otsuste langetamist piiriüleste juhtumite korral, võib kinnitada, et põrgutee on sillutatud heade kavatsustega.

Komisjoni, Euroopa Parlamendi ja nõukogu vaheliste arutelude (kolmepoolsete kohtumiste) jätkudes hoiatavad mõned kompromissi saavutamise ohu eest, mis mitte ainult ei võimalda vajalikke reforme ellu viia, vaid võib tekitada ka uusi haavatavusi.

17. aprillil teatas vabaühendus Noyb, et kolmepoolne kohtumine on viinud seadusandliku kaoseni, mis muudab menetlused tõenäoliselt keerukamaks, aeglasemaks ja õiguslikult vaidlustatavamaks.

 

    

CNIL avaldas oma 2024. aasta aruande 29. aprillil.

Peamised teemad hõlmavad küberturvalisust, millest on saamas lähiaastate strateegiline prioriteet koos andmelekete märkimisväärse suurenemisega (+20 %), ja repressiivsete meetmete tugevnemist.

Aruandes rõhutatakse ka alaealiste õiguste austamise, ärilise otsingutegevuse kontrollimise ja videovalve reguleerimise olulisust.

Paralleelselt tugevdab CNIL oma Euroopa koostööd suurte digiplatvormide paremaks reguleerimiseks ja jätkab tööd tehisintellektiga.

Samuti avaldas komisjon 30. aprillil oma suunised suurte andmebaaside turvalisuse tugevdamiseks.

Need meetmed laiendavad ja tugevdavad põhilisi ohutusabinõusid.

Nagu ANSSI prioriteetsed kübermeetmed või andmelekete ennetamise meetmed, ei ole ka nende eesmärk loetleda kõiki piisavaid meetmeid, vaid juhtida andmetöötlejate tähelepanu turvameetmetele, mida CNIL peab vajalikuks suurte andmebaaside puhul, eriti seoses massilise andmete lekke ohtudega.

Kakssada Prantsuse meediaväljaannet esitavad Meta vastu kaebuse "ebaseadusliku tegevuse" pärast: Le Monde'i andmetel "süüdistavad mitmed pressigrupid (Prisma, Les Echos-Le Parisien, CMI), riiklikud ja piirkondlikud päevalehed ning era- ja avalik-õiguslikud ringhäälingud (TF1, RMC-BFM, France Télévisions ja Radio France) Metat selles, et nad kasutasid ära perioodi, mil nad ise rakendasid kasutajate nõusolekut nende isikuandmete kogumiseks, et tegeleda suunatud reklaamiga".

 

Euroopa institutsioonid ja organid

23. aprillil määras Euroopa Komisjon oma esimesed kaks trahvi digitaalsete turgude määruse (DMA) alusel.

Täpsemalt öeldes määrati Apple'ile ja Metale vastavalt 500 miljoni ja 200 miljoni euro suurune trahv.

Komisjon usub, et Apple ei ole täitnud oma kohustusi seoses rakenduste kättesaadavusega App Store'is.

Mis puutub Metasse, siis ettevõttele on määratud 200 miljoni euro suurune trahv oma „nõusoleku või maksmise” süsteemi tõttu.

Komisjon leidis, et see mudel ei andnud kasutajatele konkreetset valikut samaväärse teenuse kasuks, mis kasutaks vähem isikuandmeid.

Pange tähele, et pärast seda uurimist on Meta kasutusele võtnud kolmanda võimaluse, nimelt "vähem isikupärastatud reklaamid", mida komisjon pole veel hinnanud.

Komisjon on digitaalse Euroopa (DIGITAL) programmi raames avaldanud neli uut pakkumiskutset koguväärtusega 140 miljonit eurot, et edendada tehisintellekti kasutuselevõttu, edendada edasijõudnud digioskusi, laiendada Euroopa digitaalse innovatsiooni keskuste (EDIH) võrgustikku ja võidelda väärinfo vastu.

Sellega seoses avaldas ta 9. aprillil üleskutse esitada kaastööd tulevaste pilve- ja tehisintellekti käsitlevate õigusaktide (pilve- ja tehisintellekti arendamise seadus – CAIDA) kohta.

Eesmärk oleks tegeleda konkurentsivõimeliste Euroopa pilveteenuste pakkumise puudumisega piisavas ulatuses väga kriitiliste kasutusviiside jaoks, millega kaasnevad eriti kõrged turvanõuded.

Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektor esitasid oma 2024. aasta aruanded aprilli lõpus.

Euroopa Andmekaitseinspektor rõhutas oma rolli arengut Euroopa tehisintellekti määruse valguses, mis volitab teda olema ELi institutsioonide järelevalve- ja teavitusasutus.

Euroopa Andmekaitsenõukogu aruandes antakse ülevaade 2024. aastal tehtud tööst, sealhulgas 2024.–2027. aasta strateegia vastuvõtmisest, artikli 64 lõike 2 kohase järjepidevuse mehhanismi alusel esitatud arvamuste arvu suurenemisest ning jätkuvatest jõupingutustest suuniste ja õigusnõustamise pakkumiseks, eelkõige VKEdele.

Euroopa Andmekaitsenõukogu võttis oma 2025. aasta aprilli plenaaristungil vastu suunised isikuandmete töötlemise kohta plokiahela tehnoloogiate abil.

Dokumendis rõhutatakse tehniliste ja korralduslike meetmete rakendamise olulisust töötlemise kavandamise varaseimast etapist alates ning samal ajal erinevate töötlemises osalejate rollide ja vastutuse määratlemise olulisust.

See rõhutab veel kord andmekaitsealase mõjuhinnangu olulisust ning toob näiteid andmete minimeerimise tehnikate, samuti isikuandmete töötlemise ja säilitamise kohta. Suunised on konsultatsiooniks avatud kuni 9. juunini.

Haldusdokumentidele juurdepääsu osas on Euroopa Liidu Kohus teinud otsuse, mis käsitleb tasakaalu leidmist selle õiguse ja nendes dokumentides mainitud isikute andmete kaitse vahel.

Ta leidis, et isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktid c ja e ei välista täiendavat teavitamiskohustust ja andmesubjektiga konsulteerimist enne teda puudutavate isikuandmete avalikustamist.

Need lisakohustused ei tohi aga ebaproportsionaalselt piirata avalikkuse juurdepääsu nimetatud dokumentidele.

Euroopa Kohus avaldab oma andmekaitse valdkonna olulisemate otsuste temaatilise lehe värskenduse.

Dokument hõlmab üldise andmekaitsealase regulatsiooni ja valdkonnapõhiste regulatsioonide (elektrooniline side ja kriminaalõigus) kohtupraktikat. Samuti esitatakse valik kohtuotsuseid valdkondadevaheliste regulatsioonide kohta, rõhutades samal ajal harta rolli kohtupraktika arengus.

Meta platvormide Euroopa kasutajad said aprillis teate, milles neid teavitati Facebooki ja Instagrami poolt nende andmete kasutamisest tehisintellekti treenimise eesmärgil, koos lingiga vastuväitevormile.

Norra andmekaitseamet (APD) avaldas ajaveebipostituse, milles selgitas selle otsuse tagajärgi ja üksikisikutele kättesaadavaid õiguskaitsevahendeid. Samuti teatas amet, et oli koos teiste APD-dega küsinud Metalt, kas nad on uurinud tehisintellekti treenimise ühilduvust algse eesmärgiga koguda kasutajate sõnumeid ja pilte.

Rahvusvaheline Privaatsusspetsialistide Assotsiatsioon (IAPP) avaldab tabeli, mis annab ülevaate digitaalse turvaintsidentidest teatamise ja teabe jagamise nõuetest mitmes Euroopa õigusaktis.

See võtab arvesse isikuandmete kaitse üldmäärust, politseidirektiivi, e-privaatsuse direktiivi, andmete haldamise määrust, andmemäärust, NIS2 direktiivi, digitaalse operatiivse vastupidavuse määrust, makseteenuste direktiivi 2, küberturvalisuse määrust ja tehisintellekti määrust.

Microsoft on ametlikult rakendanud pilveteenuste jaoks Euroopa andmepiiri põhimõtet, kohustudes säilitama ja töötlema oma klientide isikuandmeid ainult ELis ja EFTA-s.

Teatud Azure'i teenuste andmeid võidakse siiski edastada väljaspool EL-i, kui Microsoft peab seda küberturvalisuse uurimiseks vajalikuks.

Lisaks tuleb märkida, et pilveseadus lubab USA ametivõimudel juurde pääseda Ameerika ettevõtete andmetele olenemata sellest, kus neid hoitakse.

 

Uudised Euroopa Liidu liikmesriikidest.

Saksamaa Liidukohus leidis, et pädevatel üksustel (näiteks tarbijaorganisatsioonidel) on õigus esitada tarbijakaitseseaduste kohase isikuandmete kaitse üldmääruse teabekohustuse rikkumise korral kohtusse hagi, olenemata konkreetsest rikkumisest ja ilma andmesubjektide volituseta.

Juhtum puudutas Meta Platforms Ireland Ltd (Meta) suutmatust täita kasutaja nõusoleku saamisega seotud seadusest tulenevaid nõudeid.

BelgiasOtsuses tuletatakse meelde, et isikuandmete kaitse üldmääruse (GDPR) ulatus laieneb ka professionaalsetele andmetele: APD määras ettevõtetevahelise andmemaaklerile 20 000 euro suuruse trahvi ettevõtte juhtivpartneri e-posti aadressi kogumise ja avalikustamise eest.

APD tuletas meelde ka, et andmetöötleja ei saa sundida üksikisikut looma veebikontot, kui see pole vajalik, antud juhul kaebuse esitamiseks.

Ettevõte on siin rikkunud andmete minimeerimise ning vaikimisi ja lõimitud andmekaitse põhimõtteid.

Hispaanias Valencia autonoomse valitsuse nimel haiglaandmeid haldav ettevõte (Marina Salud) sai 500 000 euro suuruse trahvi pärast seda, kui ta määras andmetöötleja loata alltöövõtjaid, rikkudes isikuandmete kaitse üldmääruse artikli 28 lõiget 2.

Samuti Hispaanias määrati pangale 120 000 euro suurune trahv kliendi isikuandmete ebaseadusliku töötlemise eest, mis rikkus isikuandmete kaitse üldmääruse artikli 6 lõiget 1, pärast seda, kui töötaja jäljendas andmekaitselepingul kliendi allkirja.

TikToki mõistis 2. mail hukka Iirimaa andmekaitseamet 530 miljoni euro suuruse trahvi eurooplaste isikuandmete ebaseadusliku Hiinasse saatmise ja nende kasutajate eest varjamise eest.

TikTokil on kuus kuud aega, et oma tegevused GDPR-iga kooskõlla viia.

Iiri kohus kinnitas andmekaitseameti (DPA) otsuse, millega otsustati, et tööandja ei ole andmetöötleja ühe oma töötaja töötelefonis sisalduvate mitteprofessionaalsete andmete osas.

Malta APD avaldab rea KKK-sid töötajate e-posti kontode haldamise kohta pärast nende lahkumist organisatsioonist.

Juhend julgustab tööandjaid võtma nii töösuhte ajal kui ka pärast töötaja lahkumist kontohalduses ennetavat ja struktureeritud lähenemisviisi ning käsitlema olulisi küsimusi seoses levinud tavadega, nagu automaatne meilide edastamine ja automaatsed vastused.

Rumeenias 4. ja 18. mail toimunud presidendivalimiste kontekstis teatas TikTok uutest meetmetest, mille eesmärk on takistada desinformatsioonikampaaniat, mis on võrreldav sellega, mis väidetavalt aitas kandidaat Călin Georgescul eelmise aasta novembris esimese vooru tippu jõuda.

Rakendus on käivitanud ka „valimiskeskuse“, mis pakub teavet oluliste kuupäevade ja linkide kohta alalise valimisameti veebisaidile ning avaldanud teadlikkuse tõstmise vahendeid väärinfo kohta.

Neid meetmeid võetakse ajal, mil Euroopa Komisjon on digiteenuste seaduse (DSA) alusel algatanud uurimise, et novembrisündmustele valgust heita.

 

Hiinas teatas küberruumi administratsioon äsja kolmekuulise kampaania käivitamisest tehisintellekti tehnoloogiate väärkasutamise vastu võitlemiseks. Interneti reguleerimise eest vastutavad osakonnad peavad juhendama veebiplatvorme kampaania nõuete täitmisel, tugevdades tehisintellekti loodud sisu läbivaatamise mehhanisme, parandades avastamisvõimet ja tagades parandusmeetmete nõuetekohase rakendamise.

Ameerika Ühendriikides on Esindajatekoja energeetika- ja kaubanduskomisjoni liikmed algatanud uurimise Deepseeki sidemete kohta Hiina Kommunistliku Parteiga. Vestlusrobotit väidetakse mitte ainult andmete saatmises Hiinasse, vaid ka kasutajate isikuandmete jagamises teiste parteiga seotud üksustega, sealhulgas ByteDance Ltd.-ga. Tehisintellekti rakendust kahtlustatakse ka kasutajate pulsisageduse andmete kogumises.

Privaatsuse Tuleviku Foorum (FPF) on Trumpi administratsiooni kriitika all. Senati kaubanduskomisjoni esimees Ted Cruz (R-Texas) nõuab FPF-ilt vastuseid väidetavalt föderaalsete toetuste abil osariikide survestamiseks "vasakpoolsete" tehisintellekti seaduste vastuvõtmiseks. Senaator Cruz on mures, et rühmitus propageerib avalikult tehisintellekti regulatsioone, mis on kooskõlas Bideni administratsiooni poliitilise tegevuskavaga. Samuti uurib ta organisatsioonile antud föderaalseid toetusi.

Euractivi andmetel, mis viitab Financial Timesi teabele, varustab Euroopa Komisjon oma töötajaid Ameerika Ühendriikidesse saadetuna jälitustegevusega seotud murede tõttu ühekordselt kasutatavate telefonidega. "ELi täidesaatva võimu välja antud uued suunised, mis soovitavad ka USA-sse reisides kasutada lihtsaid sülearvuteid, on sarnased Ukrainasse või Hiinasse reisimise suunistega. Kõigil töötajatel soovitatakse riiki sisenemisel oma seadmed välja lülitada ja panna need spetsiaalsesse spioonivastasesse kotti."

CNN teatab, et Trumpi administratsioon loob Palantiri abiga "üldise andmebaasi, et kiirendada immigratsiooni jõustamist ja väljasaatmist, ühendades tundlikke andmeid kogu föderaalvalitsusest", luues "sihtmärkide nimekirju" ja arreteerides sihtrühmi. Wired teatas varem, et "DOGE koondab immigratsiooniandmebaase kogu Sisejulgeolekuministeeriumist (DHS) ja laadib alla andmeid välistelt asutustelt, sealhulgas sotsiaalkindlustusametilt (SSA), samuti hääletusprotokolle", mis väidetavalt majutatakse Palantiri arendatud tarkvaras.