Õiguslik jälgimine nr 80 – veebruar 2025. 

Andmete edastamine Ameerika Ühendriikidesse: nõrgenenud õigusraamistik.

5. veebruaril palusid 19 erineva poliitilise taustaga Euroopa parlamendiliiget Euroopa Komisjonil uurida, kas Atlandi-ülest andmeedastust reguleeriv andmekaitseraamistik on endiselt elujõuline.

6. veebruaril esitas kodanikuvabaduste, justiits- ja siseasjade komisjoni esimees talle sarnase küsimuse.

Need küsimused tõstatas Donald Trumpi otsus lõpetada kolme Demokraatliku Partei liikme ametiajad. Privaatsuse ja kodanikuvabaduste järelevalve nõukogu (PCLOB), millel ei ole enam tegutsemiseks vajalikku kvoorumit.

PCLOB-d peeti transatlantilise lepingu kontekstis oluliseks vahendiks üksikisiku õiguste austamiseks massilise jälgimise küsimustes.

Sellest ajast alates tunduvad Ameerika andmekaitsealased garantiid üha hapramad.

Euractivi 3. märtsil avaldatud artikli kohaselt on veebilehe kohtunike nimekirjast kadunud üks PCLOB apellatsioonikogu, andmekaitse läbivaatamise kohtu kohtunikest ning üks eriadvokaat on tagasi astunud.

Lisaks, „kui Donald Trump ei vallandanud luureagentuuride järelevalve eest vastutavaid peainspektoreid, vallandas ta vähemalt 17 teist“ ning väidetavalt vallandati ka „personalijuhtimise büroo“ privaatsuskaitseüksuse liikmed.

Lõpuks usub Trumpi administratsiooniga seotud poliitiline programm "Projekt 2025", et ametisseastuv president peaks uurima DPF-i puudutavat "Bideni" täidesaatvat korraldust ja "lähtestama Euroopa ootused".

See projekt plaanib peatada ka sätted, mis takistavad põhjendamatult teabe kogumist.

Tasub meenutada, et Ameerika luureagentuuride sõltumatute kontrolli- ja kaebuste esitamise mehhanismide puudumine oli eelmise lepingu, Privaatsuskilbi, tühistamise põhjuseks. 

Need mitmed tegurid ei tõota Atlandi-ülese lepingu elujõulisuse seisukohast head. Lahtine küsimus on, millal olukord ametlikult selgitatakse.

Euroopa Komisjon vaikib esialgu, kuid peaks parlamendi küsimustele vastama enne kuu lõppu.

Euroopa Liidu Kohus, kes on asjaga juba tegelenud, võiks teha otsuse kooskõlas oma kahe varasema otsusega, mis vastavalt tühistasid „Safe Harbori põhimõtted” ja „Privacy Shieldi”, kuid selle otsuse kuupäev on veel teadmata.

Aga kuidas on lood andmekaitseasutustega?

Norra andmekaitseamet (Datatilsynet) avaldas 26. veebruaril selle kohta avalduse. Avalduses rõhutati veel kord, et Euroopa Komisjoni piisavusotsus, mis kinnitab transatlantilist kaubanduslepingut, jääb jõusse seni, kuni Euroopa Komisjon või Euroopa Liidu Kohus selle potentsiaalselt tühistab.

Andmekaitseasutused on nende otsustega seotud ja ei saa keelata andmeedastusi, mis toimuvad vastavalt piisavusotsusele.

Praegust konteksti arvestades APD soovitab siiski andmetöötlejatel töötada välja väljumisstrateegia juhuks, kui praegune raamistik muutub kehtetuks. sest muutus võiks toimuda ilma üleminekuperioodita.

Esimene soovitus andmetöötlejatele on tänapäeval koostada põhjalik inventuur kõigist nende ettevõtte poolt teostatud andmeedastustest.

See ülesanne on keeruline, sest Ameerika Ühendriigid on nüüd meie digitaalses maailmas kõikjal kohal ja nagu härra Jourdain, edastame andmeid iga päev seda teadmata.

Arvesse tuleb võtta selgelt identifitseeritud vastuvõtjaid Ameerika Ühendriikides, aga ka näiteks Ameerika pilveteenuste kasutamist Euroopa pinnal ning mitmeid kuvamis- või ühendusteenuseid, nagu Google'i fondid, analüütika või kaardid või isegi Facebook: Euroopa Liidu Kohus mõistis oma otsuses T-354/22 Euroopa Komisjoni hukka isikuandmete kaitse üldmääruse rikkumise eest seoses komisjoni korraldatava ürituse veebipõhise registreerimisega.

Avalehel kuvatud hüperlingi „Loo ühendus Facebookiga“ abil lõi ta „tingimused, mis võimaldasid hageja IP-aadressi edastamist Facebookile“ ja sellest tulenevalt ka Ameerika Ühendriikidele ajal, mil Privaatsuskilp oli kehtetuks tunnistatud.

Kui Euroopa alternatiivid on olemas, võivad need pakkuda huvitavat lahendust.Näiteks peame silmas Euroopa pilve või sertifitseeritud Prantsuse pilve.

Jälgijate osas on CNIL avaldanud anonüümsete publiku mõõtmise tööriistade nimekirja.

Juhtudel, kui andmeedastus on endiselt hädavajalik, peab eksportija toetuma sellistele vahenditele nagu standardsed lepingutingimused või siduvad kontsernisiseste eeskirjade eeskirjad ning tegema mõjuanalüüsi, dokumenteerides täpselt Atlandi-ülese andmete pealtkuulamise riskid ametiasutuste poolt ja pakutavad kaitsemeetmed, mis on eriti keeruline ülesanne.

31. jaanuaril avaldas CNIL oma Euroopa Liidust väljapoole suunatud andmeedastuse mõjuhinnangute juhendi lõpliku versiooni.

Nagu tema Norra kolleeg, avaldab see tõenäoliselt soovitusi eelseisvate rahvusvaheliste arengute kohta.

 

  

Äsja on kavandatud uimastikaubanduse vastasesse seaduseelnõusse lisatud muudatus, mille eesmärk on sundida platvorme rakendama meetmeid, mis võimaldavad õiguskaitseorganitel juurde pääseda andmetele, eriti krüpteeritud sõnumsideteenuste andmetele.

Valitsusele ja parlamendiliikmetele saadetud kommentaarides olid mitmed ettevõtted, sealhulgas Apple, Amazon, Google ja Microsoft, selle muudatusettepaneku vastu, viidates Euroopa Andmekaitsenõukogu (EDPB) ja Euroopa Andmekaitseinspektori (EDPS) seisukohtadele otsast lõpuni krüptimise nõrgestamise vastu.

Ettepanekut arutatakse täiskogu istungjärgul, mis algab 17. märtsil.

Need arengud kajastavad sarnaseid valitsuse algatusi mitmes Euroopa riigis ja ka Ameerika Ühendriikides (vt allpool riiklikke arenguid).

CNIL tuletas Qwanti otsingumootorile meelde tema kohustusi GDPR-i alusel seoses andmete anonüümimisega.

Qwant esitas anonüümsetena andmeid, mida ettevõte kasutas seoses MICROSOFTI hallatava otsingumootori reklaamipinna müügiga. 

CNIL märgib, et „vaatamata 2019. aastal isikute taasidentifitseerimise vältimiseks võetud rangetele ettevaatusabinõudele viis edastatud andmekogum isikuandmete kaitse üldmääruse ja eelkõige selle artiklite 12 ja 13 kohaldamiseni“.

Komisjon leiab, et tegemist on edastatud andmete klassifitseerimise esialgse analüüsiveaga, mille eesmärk ei olnud isikuandmete kaitse üldmääruse sätete eiramine, ning seetõttu karistust ei määra.

Samuti trahvis komisjon kinnisvarabürood 40 000 euroga oma töötajate liigse jälgimise eest tarkvara (Time Doctor) abil, mis salvestas väidetavaid tegevusetuse perioode ja tegid regulaarselt oma arvutist ekraanipilte.

Lisaks registreeriti töötajaid pidevalt.

CNIL kritiseerib vastutavat isikut eelkõige mõjuhinnangu puudumise, töötlemise õigusliku aluse puudumise ja andmete minimeerimise põhimõtte eiramise pärast.

Samuti on see avaldanud oma andmekaitsetabelite ajakohastatud versiooni ja 2024. aasta kokkuvõtlikud märkmikud, mis koondavad olulisi uusi otsuseid ning andmekaitsealase riikliku ja Euroopa kohtupraktika põhialuseid.

 

Euroopa institutsioonid ja organid

Pärast 3. oktoobril 2024 avaldatud digitaalse õigluse toimivuskontrolli aruannet kaalub Euroopa Komisjon digitaalse õigluse määruse („digitaalse õigluse seadus“) väljatöötamist, et lahendada tarbijakaitse küsimusi veebikeskkonnas, näiteks tellimuste automaatne lõpetamine või uuendamine ning tasuta prooviperioodide tasulisteks tellimusteks muutmine.

Väidetavalt valmistatakse ette avalikku konsultatsiooni ja esialgset mõjuanalüüsi.

Komisjon on lõpuks otsustanud tagasi võtta oma e-privaatsuse määruse ettepaneku, mille eesmärk oli ajakohastada ja selgitada kehtiva direktiivi kohustusi, ühtlustades neid samal ajal isikuandmete kaitse üldmääruse põhimõtetega.

Tekst tekitas poleemikat, eriti seoses side konfidentsiaalsuse põhimõtete erandite ulatusega.

Laual on uued seadusandlikud ettepanekud, mille eesmärk on lahendada privaatsusküsimusi, eraldades samal ajal ärilise jälgimise riiklikust jälgimisest.

Tagasivõetud seadusandlike ettepanekute nimekirjas on ka tehisintellekti vastutuse direktiiv, mille eesmärk oli ajakohastada ELi tooteohutuse eeskirju, et hõlmata tehisintellekti ja automatiseerimist.

Eelmise aasta veebruari Pariisi tehisintellekti tippkohtumise järeldusi korrates rõhutab Euroopa Komisjoni 2025. aasta tööprogramm konkurentsivõimet, mille selge eesmärk on edendada majanduskasvu innovatsiooni toetamise kaudu.

2. veebruaril jõustusid tehisintellekti määruse esimesed sätted, sealhulgas artikkel 5, mis käsitleb tehisintellekti keelatud tavasid.

Kaks päeva hiljem avaldas Euroopa Komisjon suunised tehisintellekti tavade kohta, mida peetakse vastuvõetamatuks ohtude tõttu, mida need kujutavad endast Euroopa väärtustele ja põhiõigustele.

Mitmed tehisintellekti tippkohtumisel osalenud andmekaitseasutused avaldasid pärast ümarlauaarutelu ühisavalduse, milles rõhutati vajadust integreerida privaatsuspõhimõtted tehisintellekti süsteemide kavandamise etapist alates ja rakendada tugevaid sisemisi andmehaldusraamistikke.

Samal ajal teatas Euroopa Andmekaitsenõukogu 12. veebruaril, et laiendab oma ChatGPT töörühma ulatust tehisintellekti rakendamisele ja moodustab „kiirreageerimisrühma andmekaitseasutuste tegevuse koordineerimiseks“ tehisintellektiga seotud kiireloomuliste tundlike küsimuste osas.

Euroopa Andmekaitsenõukogu teatas märtsi alguses oma 2025. aasta koordineeritud kontrollimeetmete käivitamisest kustutamisõiguse osas.

See meede järgneb kooskõlastatud meetmetele, mis käsitlevad pilveteenuste kasutamist avalikus sektoris (2022), andmekaitseametnike määramist ja rolli (2023) ning juurdepääsuõigust (2024).

Euroopa Parlamendi uuringuteenistus avaldas 26. veebruaril teatise algoritmilise diskrimineerimise ennetamise ja erikategooriate andmete käsitlemise vahelise pinge kohta.

Dokumendis tuvastatakse tehisintellekti määruse ja isikuandmete kaitse üldmääruse (GDPR) ühise kohaldamisega seotud ebakindlused, mis võivad vajada seadusandlikku reformi või lisajuhiseid.

27. veebruaril tegi Euroopa Kohus olulise otsuse automatiseeritud otsuste mõju all olevate üksikisikute õiguste ulatuse kohta.

Kohtuasjas C-203/22 Dun & Bradstreet Austria selgitab kohus, et isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkt h „annab andmesubjektile tegeliku õiguse saada selgitust automatiseeritud otsustusprotsessi aluseks oleva mehhanismi toimimise kohta, millele see isik on allutatud, ja tulemuse kohta, milleni see otsus on viinud“ (punkt 57).

Kaitstud kolmandate isikute andmed või ärisaladused ei vabasta vastutavat töötlejat konkreetsete selgituste esitamisest: viimane on „kohustuslik edastama selle väidetavalt kaitstud teabe pädevale järelevalveasutusele või kohtule, kes vastutab asjaomaste õiguste ja huvide kaalumise eest, et määrata kindlaks andmesubjekti isikuandmete kaitse üldmääruse artiklis 15 sätestatud juurdepääsuõiguse ulatus“ (punkt 67).

Euroopa Kohus leidis 13. veebruaril ka, et järelevalveasutused ja kohtud peavad trahvide suuruse määramisel arvestama asjaoluga, et andmetöötleja on osa ettevõtjast Euroopa Liidu toimimise lepingu (ELTL) artiklite 101 ja 102 tähenduses.

Lisaks peavad nad trahvide maksimaalse summa määramisel lähtuma ettevõtte käibest, mitte andmetöötleja käibest.

Euroopa Kohtu kohtujurist jagas oma järeldusi kohtuasjas EDPS vs. SRB (C-413/23 P) 6. veebruaril.

Juhtum puudutab seda, kas ELi asutuse, Ühtse Kriisilahendusnõukogu, poolt oma konsultatsioonifirmale Deloitte edastatud pseudonüümidega andmed kujutavad endast Deloitte'i seisukohast isikuandmeid.

Üldkogu keskendub vastuvõtjale kättesaadavatele mõistlikele vahenditele asjaomaste isikute tuvastamiseks, tõlgendades isikuandmete mõistet oluliselt kitsamalt kui Euroopa Andmekaitseinspektor ja Euroopa Andmekaitsenõukogu. Lõplikku otsust oodatakse enne suve.

 

Uudised Euroopa Liidu liikmesriikidest.

Saksa kohtu otsus (OLG Dresden/Saksamaa (Az.: 4 U 940/24) kinnitab, et andmetöötlejad vastutavad mitte ainult oma tegude, vaid ka alltöövõtjate tegude eest.

Kohus rõhutas, et alltöövõtja usaldamisest ei piisa ilma kontrollimata, nagu käesoleval juhul, et ta on lepingu lõppedes alltöövõtu korras saadud andmed tegelikult kustutanud.

Ebapiisava kontrolli tagajärjed võivad püsida kaua pärast esialgset intsidenti, nagu see oli käesoleval juhul pärast häkkimist, mis põhjustas andmete lekke, millele järgnesid kohtumenetlused ja andmetöötleja maine kahjustamine.

Hispaanias trahvis APD mobiilsideoperaatorit Orange 1,2 miljoni euroga, kuna see ei takistanud duplikaadi SIM-kaardi väljastamist kolmandale osapoolele, kes kasutas seda asjaomase isiku pangakontole juurdepääsuks.

APD leidis, et operaator ei olnud rakendanud asjakohaseid kaitsemeetmeid.

Samuti Hispaanias määras APD ühistupanganduse grupile Caja Rural mitu trahvi isikuandmete kaitse üldmääruse rikkumise eest pärast andmetega seotud rikkumist, mis oli tingitud ebapiisavatest turvameetmetest ja IT-süsteemi haavatavusest.

Sellisel juhul pidas APD iga ühistulise grupi pangaliiget individuaalselt vastutavaks, kuigi kõik kasutasid sama IT-teenuse pakkujat, ning määras sanktsioonid vahemikus 6200 eurot kuni 400 000 eurot, olenevalt klientide arvust ja pankade reageerimiskiirusest.

Kreeka andmekaitseamet (APD) on teinud otsuse, mille eesmärk on hõlbustada üksikisiku õiguste teostamist Google'i suhtes.

Ta käskis ettevõttel eemaldada otsingutulemustes isiku nimele ilmuvad lingid ja käskis Google'il muuta oma eemaldamistaotluste protseduuri, lubades manuseid, pakkudes otsest kontaktteavet ja lõpetades automaatsete vastuste saatmise.

Hollandis näitas küberjulgeolekueksperdi (ja tsiviilluureteenistuse endise juhi) Bluesky platvormil jagatud ekraanipilt, et Google Analytics kogub andmeid riigi tsiviil- ja sõjaväeluureteenistuste tööle kandideerijate kohta.

See teave ajendas üht parlamendiliiget siseministrilt selgitust küsima.

Poola andmekaitseamet (APD) määras veebisaidi operaatorile 350 000 euro (1 527 855 zlotti) ja tema alltöövõtjale 4590 euro (20 037 zlotti) trahvi andmeturbe rikkumise eest pärast seda, kui veebisaidi vale konfiguratsioon viis andmetega seotud lekkeni, mis mõjutas 21 453 inimest.

Rumeenias trahviti ettevõtet Unicredit 15 000 euroga (74 652 lei) kahe sisemiste rakendustega seotud andmelekke eest.

Neid ei olnud enne juurutamist testitud ja APD karistab isikuandmete kaitse üldmääruse artikli 25(1) rikkumise eest, mis nõuab andmekaitset alates lõimitud põhimõttest („privacy by design“).

Pärast Briti valitsuse korraldust iCloudi krüptimine murda eemaldas Apple just kogu oma täiustatud turvafunktsiooni Ühendkuningriigist.

Käskkiri puudutas konkreetselt 2023. aastal kasutusele võetud funktsiooni, mis võimaldab iCloudi kasutajatel valida kõigi ettevõtte pilves talletatud andmete otsast lõpuni krüptimise ning tagab, et ükski kolmas osapool, sealhulgas Apple, ei pääse andmetele ligi.

Ettevõttel oli valida krüpteerimisfunktsiooni eemaldamise või tagaukse loomise vahel, mis oleks kahjustanud krüpteerimist kõigi kasutajate jaoks kogu maailmas, kusjuures teine võimalus oli Apple'i jaoks välistatud.

Samal ajal vajab Rootsi ka tagauksi, mis ajendas Signali hoiatama, et sellise õigusakti vastuvõtmise korral lahkuks ettevõte riigist.

Lisagem veel, et Ameerika Ühendriigid taotlevad 24. veebruari Forbesi artikli kohaselt sama eesmärki – juurdepääsu krüpteeritud andmetele.

 

Lõuna-Korea võttis äsja vastu tehisintellekti seaduse, mis jõustub 2026. aasta jaanuaris.

Seadus on kooskõlas Euroopa tehisintellekti käsitleva määrusega: see kehtestab tehisintellekti ettevõtetele kohustused, eriti suure mõjuga tehisintellekti ja generatiivse tehisintellekti puhul, rõhuasetusega riskijuhtimisel, kasutajate kaitsel ja läbipaistvusel.

IAPP teatab, et grupp USA senaatoreid, kes kuuluvad "Senati luurekomisjoni", saatis 5. veebruaril Valgele Majale kirja, milles "väljendati muret hiljuti loodud valitsuse efektiivsuse ministeeriumi (DOGE) privaatsusele ja riigi julgeolekule kujutavate ohtude pärast".

Kirjas väidetakse, et DOGE tegevus võib paljastada salastatud ja muud tundlikku teavet, ohustada riigi julgeolekut ja rikkuda ameeriklaste privaatsust.

Praegu on käimas mitu kohtuasja, mis puudutavad ebaseaduslikku juurdepääsu nende asutuste töödeldud andmetele.

GAFAMi valduses olevate andmete saamiseks luureteenistuste päringute arv on viimastel aastatel plahvatuslikult kasvanud.

See selgub ettevõtte Proton avaldatud uuringust, mis põhineb Apple'i, Meta ja Google'i läbipaistvusaruannetel aastatel 2014–2024.

Nagu 01net välja toob, on need ettevõtted USA seaduste (FISA, Cloud Act) kohaselt kohustatud vastama ametivõimude taotlustele, kes soovivad juurdepääsu telefonikõnede salvestistele, tekstisõnumitele, e-kirjadele või pilve varukoopiatele.

„Google'i, Apple'i ja Meta poolt USA ametivõimudele esitatud kasutajaandmete (mis tahes rahvusest) (nt e-kirjad või sõnumid) juurdepääsutaotluste arv on viimase kümne aasta jooksul nende kolme ettevõtte puhul (...) suurenenud keskmiselt... 600 % võrra.“

Malaisia isikuandmete kaitse seadust on tugevdatud, et oluliselt suurendada reguleeriva asutuse volitusi ja tugevdada üksikisikute õigusi.

See rakendatakse kolmes etapis 2025. aasta esimesel poolel, nimelt 1. jaanuaril, seejärel 1. aprillil ja 1. juunil.

Mitme rahvusvahelise meediaväljaande, sealhulgas Le Monde'i, France Info ja Prantsusmaal kell 20.00 uudisteprogrammi poolt läbi viidud „jälgimisfailide” uurimine paljastab jälgimise ulatuse ja andmevahendajate töödeldud isikuandmete üksikasjad.

Miljonite kasutajate geograafiliselt määratud isikuandmeid koondatakse tingimustes, mis ei ole sageli väga läbipaistvad: näiteks nutitelefonis veebis rakenduse abil mängides võidakse edastada andmeid, nagu ühenduse ajad, nutitelefoni mudel või geograafiline asukoht, mis on kogutud hiiglaslikesse failidesse, mida müüvad maaklerid, näiteks American Datastream Group.

Sellesse viimasesse faili on kaasatud üle 47 miljoni inimese.

Mõjutatud võivad olla igaühe andmed, aga ka diplomaatide, sõjaväelaste või ajakirjanike omad.