Õiguslik järelevalve nr 90 – detsember 2025. 

 

Andmed, tehisintellekt, küberturvalisus: kes on kes 2026. aastal järgitavatest suunistest ja määrustest.

Paljud viimastel aastatel vastu võetud määrused jõustuvad nüüd täielikult või jõuavad oma rakendamise otsustavasse etappi.

Samal ajal kuulutavad Euroopa Komisjoni uued algatused, eelkõige digitaalne omnibuss ja digitaalse õigluse eelnõu, välja uusi regulatiivseid kohandusi, mille eesmärk on täiendada või muuta olemasolevaid eeskirju.

Alates 2018. aastast kehtiv isikuandmete kaitse üldmäärus (GDPR) on tänaseni andmekaitseraamistiku nurgakivi koos e-privaatsuse direktiiviga, mille läbivaatamisest praegu loobutakse.

Komisjon kavatseb oma ettepanekuga lihtsustada Omnibus mitu tehisintellekti (AI) arendamisega seotud GDPR-i aspekti: kavas on tunnustada tehisintellekti süsteemide arendamist ja käitamist GDPR-i tähenduses „õigustatud huvina“ ning kehtestada uus õiguslik alus tehisintellekti mudelite treenimiseks mõeldud tundlike andmete töötlemiseks.

Laiemalt öeldes Digitaalne omnibuss vähendaks ettevõtete nõuete täitmise koormust, näiteks leevendades künnist, millest alates tuleb andmetega seotud rikkumisest teatada, ja laiendades olukordi, kus andmeid võib pidada anonüümseteks.

Digipaketi määrused, täpsemalt digitaalsete turgude määrus (DMA) ja digitaalteenuste määrus (DSA), selgitavad digitaalmajandusele kohaldatavaid eeskirju ja platvormide vastutust.

Need on jõus olnud alates 2024. aastast ja komisjon hakkas sanktsioone kehtestama 2025. aastal.

DSA kehtib väga suurte veebiplatvormide (VLOP) ja väga suurte veebipõhiste otsingumootorite (VLOSE) ning kõigi vahendajate kohta, kes pakuvad oma teenuseid ELis asuvatele kasutajatele.

Mitmed DSA kohustused kattuvad isikuandmete kaitse üldmääruse kohustustega.

Näiteks on olemas sarnased või täiendavad kohustused seoses nn tumedate mustrite, tundlikel andmetel põhineva või alaealisi puudutava suunatud reklaami, läbipaistvuse, profiilianalüüsi, riskianalüüsi ja ebaseadusliku sisu eemaldamisega.

2025. aastal avaldas Euroopa Andmekaitsenõukogu (EDPB) nende kattuvate küsimuste kohta suunised.

Peamine eesmärk DMA-st eesmärk on takistada tehnoloogiahiiglastel või "väravavalvuritel" oma domineerivat seisundit ära kasutamast.

Mõned neist kohustustest tugevdavad digitaalsete teenuste seadusega ette nähtud kohustusi kasutajakaitse osas, eriti seoses profiilianalüüsiga.

ELi andmestrateegia eesmärk on luua ühtne andmeturg, soodustada innovatsiooni ning tagada turvaline ja tõhus andmete jagamine kogu Euroopa Liidus.

Järgmistel tekstidel on mõju isikuandmetele: andmehalduse määrus (DGA), andmemäärus (DA), elektrooniliste tehingute määrus (eIDAS) ja Euroopa terviseandmete ruumi määrus (EHDS). 

Komisjoni koondettepaneku eesmärk on lihtsustada selle valdkonna õigusraamistikku.

Tekstis on eelkõige sätestatud järgmise kehtetuks tunnistamine: DGA ja 2019. aasta avatud andmete direktiiv.

THE DA jääks keskseks viiteks ja hõlmaks teistest tekstidest säilitatud olulisi elemente.

Lisaks definitsioonide ühtlustamisele vabastataks väikesed ja keskmise suurusega ettevõtted (kuni 750 töötajat) teatud kohustustest.

Alates 12. septembrist 2025 kehtiva delegeeritud õigusakti (DA) oluline osa selle kohustustest jõustub 12. septembril 2026: määrus sätestab kohustuse kujundada ühendatud tooted ja nendega seotud teenused nii, et toodete ja nendega seotud teenustega seotud andmed oleksid kasutajatele vaikimisi kättesaadavad, ning alates septembrist peavad tootjad tagama, et juurdepääs andmetele on tehniliselt tagatud juba tootearenduse ja disaini etapis.

Määruste osas eIDASAlates 2026. aastast on liikmesriigid kohustatud varustama oma kodanikke ja ettevõtteid vähemalt ühe ELi standarditele vastava digitaalse identiteedi rahakotiga, mis võimaldab kasutajatel turvaliselt säilitada oma identiteediandmeid, identifikaatoreid ja atribuute (isikutunnistus, juhiluba, makseteave jne) ning edastada neid valikuliselt avaliku sektori asutustele ja erasektori teenusepakkujatele.

Ettevõtted, veebiplatvormid ja haldusteenused peavad samuti kohanema nende uute digitaalse identifitseerimise ja autentimise vormidega.

LEHDS jõustus 26. märtsil 2025, kuid selle põhisätted kehtivad täielikult alates märtsist 2029.

Tehisintellekti määrus, mis jõustus 2024. aasta augustis, saab ettevõtete jaoks määravaks alates 2. augustist 2026.

Mõned kohustused kehtivad juba praegu, näiteks läbipaistvus vestlusrobotitega suhtlemisel või tehisintellekti loodud sisu märgistamine ning piisava tehisintellekti-alase pädevuse tagamine tehisintellekti süsteemidega töötavate töötajate seas.

Kuid alates augustist peaksid tundlikes valdkondades, nagu personalijuhtimine, tulemuslikkuse hindamine või juurdepääs olulistele teenustele, kasutatavatele kõrge riskiga tehisintellekti süsteemidele kehtima põhjalikumad nõuded.

Komisjon kavatseb oma koondettepanekus siiski nende eeskirjade kohaldamise edasi lükata 2027. aasta detsembrini.

Ka siin lihtsustataks mõningaid kohustusi kuni 750 töötajaga väikeste ja keskmise suurusega ettevõtete jaoks.

Turvalisuse osas mainime, võrkude ja infosüsteemide turvalisuse direktiiv (NIS2) kehtis alates 2024. aasta oktoobrist digitaalse operatiivse vastupidavuse määrus (DORA) kehtivad alates jaanuarist 2025, samuti Kübervastupidavusvõime määrus (CRA)).

Viimase osas jõustuvad digitaalseid elemente sisaldavate toodete tootjate peamised kohustused 11. septembril 2026, sealhulgas kohustus teatada aktiivselt ärakasutatud haavatavustest ja tõsistest turvaintsidentidest.

Seetõttu peavad tootjad väga lühikese aja jooksul teatama tuvastatud haavatavustest ja turvaintsidentidest, mis oluliselt kahjustavad tooteohutust, asjaomastele turujärelevalveasutustele.

Selle määruste loendi lõpetamiseks mainigem lõpuks veel ettepanek digitaalse õigluse määruse kohta mis eeldatavasti suurendab veelgi veebiteenuste pakkujate õigusraamistiku keerukust.

2025. aasta juulis algatas komisjon selle projekti kohta avaliku konsultatsiooni, mille eesmärk on võidelda ebaausate kaubandustavade, näiteks tumedate mustrite, sõltuvust tekitavate funktsioonide ja kuritarvitava isikupärastamise vastu, sealhulgas tehisintellekti agentidega seotud tavade vastu.

Milline on nende ettepanekute tulevik? Lähikuud peaksid olema otsustavad: eesistujariik Küpros püüab saada märtsi lõpuks või aprilli alguseks mandaadi Omnibuse üle läbirääkimiste pidamiseks Euroopa Parlamendiga, kajastades soovi see vastu võtta enne, kui tehisintellekti määruse kõrge riskiga nõuded augustis jõustuvad.

 

Märgime ära mitu olulist CNIL-i sanktsiooni, mis võeti vastu vahetult enne ja pärast 2026. aastasse üleminekut ning mis kõik on seotud andmeturbega.

13. jaanuaril 2026 trahvis CNIL (Prantsuse andmekaitseamet) ettevõtteid Free Mobile ja Free vastavalt 27 miljoni ja 15 miljoni euroga. arvestades oma abonentide andmete turvalisuse tagamiseks võetud meetmete ebapiisavust.

2024. aasta oktoobris õnnestus ründajal tungida ettevõtete infosüsteemidesse ja pääseda ligi 24 miljoni abonendilepinguga seotud isikuandmetele, sealhulgas IBAN-numbritele.

22. detsembril 2025 trahvis see ettevõtet Nexpublica France 1 700 000 euroga.s ebapiisavate turvameetmete rakendamise eest oma PCRM-tarkvarale, mis on sotsiaalse tegevuse valdkonnas kasutajasuhete haldamise tööriist.

11. detsembril 2025 määras see sanktsioonid Mobius Solutions Ltd-le, mis on alltöövõtja, kes vastutab Deezeri kasutajaid mõjutanud andmetega seotud rikkumise eest.Ettevõttele määrati miljoni euro suurune trahv kohaldatavate alltöövõtu eeskirjade eiramise eest: andmete säilitamine pärast lepingu lõppemist, volitamata töötlemine ja töötlemise üle arvestuse pidamise suutmatus.

Ettevõtte kolm töötajat olid pärast lepingulise suhte lõppu säilitanud koopia enam kui 46 miljoni Deezeri kasutaja andmetest, mis paljastas nad turvaaukude ohtudele, mis viisid andmete postitamiseni tumeveebi.

Versailles' haldusapellatsioonikohus otsustas 11. detsembril, et patsient ei saa haiglalt paluda meditsiinilise hinnangu parandamist, kuna see kujutab endast subjektiivset arvamust.

See põhimõte kehtib ka siis, kui ravi eest vastutava isiku diagnoos erineb hilisematest diagnoosidest.

Kohtunikud tajuvad juristide järeldustes esinevaid tehisintellekti hallutsinatsioone mõnikord leebelt, vähemalt selline on Périgueux'i kohtu 18. detsembri otsuses väljendatud seisukoht.

Viimane märgib, et "(...) hageja poolt viidatud, kuid tema dokumentides esitamata kohtupraktika viited ei tundu vastavat avaldatud otsustele. (...)."

Seetõttu palub kohus taotlejal ja tema esindajal tulevikus kontrollida, et otsingumootoritest või tehisintellekti abil leitud viited ei oleks "hallutsinatsioonid".

See seisukoht on vastuolus hiljutise Belgia otsusega, mida mainitakse allpool.

Siseministeerium kannatas detsembri keskel ulatusliku küberrünnaku all.

Siseminister kinnitas kolmapäeval, 17. detsembril, et "siseministeeriumi teenistused olid ulatusliku küberrünnaku sihtmärgiks, kirjeldades seda kui väga tõsist tegu, mille tulemusel avaldati toimikuid, sealhulgas karistusregistreid" ja tagaotsitavaid isikuid. Kübersissetung toimus ministeeriumi töötajate e-posti kontode kaudu.

Küberrünnakute valdkonnas tuleb samuti märkida, et CNIL taotles oma piiratud koosseisus 18. detsembril 2025 France Travaili vastu 5 miljoni euro suurust sanktsiooni turvalisuse puudumise eest, mille tagajärjel tekkis 36,8 miljonit inimest mõjutanud andmete rikkumine.

 

Euroopa institutsioonid ja organid

ELi määrus, millega kehtestatakse GDPR-i kohaldamisega seotud täiendavad menetlusnormid, avaldati 12. detsembril ja seda kohaldatakse alates 2. aprillist 2027.

Selle teksti eesmärk on sujuvamaks muuta riiklike andmekaitseasutuste (DPA-de) poolt isikuandmete kaitse üldmääruse alusel piiriüleste juhtumite menetluslikku menetlemist, parandada DPA-de koostööd struktureeritud menetluste, selgemate rollide ja määratletud tähtaegade kaudu ning tugevdada kaebuse esitajate ja uurimisaluste isikute menetluslikke kaitsemeetmeid ja õiguskindlust, sealhulgas õigust olla ära kuulatud, juurdepääsu toimikutele ja õiguskaitsevahendite tõhusust.

Euroopa Komisjon avaldas 17. detsembril oma esimese hea tava eeskirja eelnõu tehisintellekti loodud sisu märgistamise ja sildistamise kohta.

Projekt koosneb kahest osast.

Esimene osa käsitleb tehisintellekti loodud sisu märgistamise ja tuvastamisega seotud eeskirju, mida kohaldatakse generatiivsete tehisintellekti süsteemide pakkujate suhtes.

• Teine hõlmab süvavõltsinguid ja teatud tehisintellekti loodud või manipuleeritud tekstide märgistamist avalikku huvi pakkuvates küsimustes ning kehtib generatiivsete tehisintellekti süsteemide juurutajate kohta.

Komisjon kogub kommentaare 23. jaanuarini, eesmärgiga viia koodeks juuniks lõpule.

19. detsembril 2025 teatas Euroopa Komisjon kahe Ühendkuningriigiga seotud piisavusotsuse uuendamisest mis võeti algselt vastu 2021. aastal, kinnitades veel kord, et isikuandmed võivad Euroopa Majanduspiirkonna ja Ühendkuningriigi vahel vabalt liikuda.

18. detsembri otsuses Storstockholms Lokaltrafik (C-422/24) selgitas Euroopa Liidu Kohus isikuandmete otsese kogumise mõistet.

See seadus „ei nõua asjaomaselt isikult teadlikult andmete esitamist ega konkreetsete toimingute tegemist. Seetõttu loetakse andmeid, mis on saadud andmete allikaks oleva isiku vaatluse teel, otse sellelt isikult kogutuks.“

Need selgitused mõjutavad teabe esitamise kohustuse ajastust ja ulatust, mis peab olema viivitamatu ja põhjalikum.

Konkreetne juhtum hõlmas transpordipileti kontrollimist kehakaameraga varustatud agendi poolt.

Kohus soovitab, et kõige olulisem teave oleks märgitud hoiatussildil ja muu teave kergesti ligipääsetavas kohas.

23. detsembril kehtestas Trumpi administratsioon sanktsioonid viiele Euroopa kodanikule. Vastuseks hiljutisele Euroopa Komisjoni poolt ettevõttele X digitaalteenuste seaduse (DSA) alusel määratud trahvile keelati endisel Euroopa Komisjoni digitaalmajanduse volinikul Thierry Bretonil ja mitmel kodanikuühiskonna liikmel, kes töötavad vabaühendustes HateAid, Center for Countering Digital Hate ja The Global Disinformation Index, siseneda Ameerika Ühendriikidesse.

Washington mõistab hukka DSA-ga ette nähtud platvormide modereerimis-, aruandlus- ja vastutuskohustused, mida siin käsitletakse ekstraterritoriaalsete tsensuurimeetmetena.

5. detsembril trahvis Euroopa Komisjon X-i 120 miljoni euroga DSA-st tulenevate läbipaistvuskohustuste täitmata jätmise eest.

Puuduste hulka kuuluvad kinnitatud kontode "sinise valideerimise" eksitav ülesehitus, reklaamikataloogi läbipaistvuse puudumine ja teadlastele avalikele andmetele juurdepääsu andmata jätmine.

 

Uudised Euroopa Liidu liikmesriikidest.

10. novembri otsusega vähendas Saksamaa Darmstadti ringkonnakohus 0 euroni eksperdi tasu, kes oli kohtuliku aruande koostamiseks tehisintellekti ulatuslikult kasutanud seda avaldamata.

Kohus tõi tasude vähendamisel välja järgmised tegurid:

1. Tehisintellekti kasutamise deklareerimata jätmine ja tegeliku autori puudumine kujutas endast menetluslike kohustuste rikkumist.
2. Aruannet peeti kasutuskõlbmatuks: isikliku arvustuse puudumine, faktivead ja ilmsed tehisintellekti loodud teksti tunnused.
3. Ekspertarvamuste puhul on läbipaistvus ja vastutus olulised.

Saksamaa Lübecki kohus mõistis hagejale Meta vastu 5000 eurot mittevaralise kahju hüvitamiseks isikuandmete töötlemise eest ilma eelneva nõusolekuta Meta Business Toolsi abil.

Andmete edastamine kolmandate osapoolte veebisaitidelt Metale toimub sõltumatult kasutaja Meta rakenduste aktiveerimisest ja tema nõusoleku saamisest.

Kohus leidis, et Meta oli rikkunud isikuandmete kaitse üldmääruse artikli 6 lõiget 1, mille tulemuseks oli andmesubjektile piisavalt konkreetne oht, kuna tal oli põhjendatud hirm oma isikuandmete väärkasutamise ees kontrolli kaotamise näol.

Austrias otsustas ülemkohus 26. novembril, et Meta peab andma oma kasutajatele täieliku juurdepääsu kõigile nende isikuandmetele, sealhulgas nende allikatele, saajatele ja eesmärkidele.

Lihtne soovituslik loetelu ei ole piisav.

Kohus leidis ka, et isikupärastatud reklaami ja (tundlike) isikuandmete töötlemiseks kolmandate isikute veebisaitidelt on vaja asjaomase isiku nõusolekut.

Hiljutine Belgia otsus määras hagejatele enam kui 25 000 euro suuruse trahvi apellatsioonkaebuste koostamiseks generatiivsete tehisintellekti tööriistade kasutamise, menetluse ilmse kuritarvitamise, põhjendamatu apellatsiooni ja õiguskaitsevahendite kuritarvitamise eest.

Antwerpeni apellatsioonikohus märgib "ebajärjekindlate ja täiesti mõttetute" argumentide esitamist, mida toetavad olematu kohtupraktika ja väljamõeldud õigusallikad.

Ka Belgias tegi APD ettevõttele noomituse endise töötaja kohta käiva teabe ebaseadusliku edastamise eest teise ettevõttega peetud telefonivestluse käigus värbamisprotsessi osana.

APD noomis kahte ettevõtet ka isiku juurdepääsutaotlustele vastamata jätmise eest.

Horvaatias määrati AZOP pangale 1 500 000 euro suurune trahv mitmete isikuandmete kaitse üldmääruse rikkumiste eest.

Pank töötles 433 922 kasutaja isikuandmeid ilma õigusliku aluseta, andmata kasutajatele vajalikku teavet ning ei olnud rakendanud asjakohaseid tehnilisi ja korralduslikke meetmeid.

 

Suurbritannia andmekaitseamet (DPA) määras paroolihaldusteenuse pakkujale LastPass UK Ltd 1,2 miljoni naelsterlingi suuruse trahvi pärast 2022. aastal toimunud andmete rikkumist, mis kahjustas ligi 1,6 miljoni ettevõtte Ühendkuningriigi kasutaja isikuandmeid.

ICO leidis, et LastPass ei olnud rakendanud piisavalt tugevaid tehnilisi ja turvameetmeid, mis võimaldas häkkeril lõpuks saada volitamata juurdepääsu ettevõtte varundusandmebaasile.

Ameerika Ühendriigid on uuendanud oma nõudmist juurdepääsuks viisavabadusprogrammis (VWP) osalevate ELi riikide riiklikele biomeetrilistele andmebaasidele ning kavatseb sõlmida selles küsimuses lepingu enne 2026. aasta lõppu.

Washington on seda juurdepääsu taotlenud alates 2022. aastast osana Ameerika Ühendriikide "Tõhustatud piirivalve partnerluste" (EBSP) programmist ning ähvardab viisavabaduse tühistada, kui see keeldutakse.

Juurdepääsu ulatus on endiselt ebaselge.

Euroopa seisukoht näib selles etapis soovivat piirata seda inimestega, kes reisivad Ameerika Ühendriikidesse.

Juurdepääs hõlmaks biomeetrilisi andmeid, nagu sõrmejäljed ja näopildid, aga ka muid tundlikke andmeid, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused, ametiühingu liikmelisuse või tervist või seksuaalelu puudutavad andmed, kui see on vajalik ja proportsionaalne „kuritegude ja terroriaktide ennetamiseks või tõkestamiseks”.

Euroopa pealinnad leppisid detsembris kokku anda Euroopa Komisjonile mandaadi pidada läbirääkimisi selle lepingu raamistiku üle, mille üksikasjad otsustavad liikmesriigid.

Ameerika Ühendriikides on tehisintellekti kasutamine politsei kehakaamerate aruannete transkribeerimiseks Heber Citys Utah' osariigis toonud kaasa vastuolulisi tagajärgi.

Open AI LLM-il põhinev tarkvara Draft One teatas, et agent oli muutunud konnaks.

Tarkvara oli tegelikult tuvastanud taustal mängiva filmi, milleks oli juhtumisi "Printsess ja konn".

Lisaks olukorra irooniale tekitab see konkreetne juhtum küsimusi, mille on esile tõstnud Cybernews. „Kuigi eesmärk on vähendada paberimajanduse hulka, riskivad agendid selliste vigade korral nagu Heber Citys tehtud viga aruannete läbivaatamisele veelgi rohkem aega kulutada.“ Eelmisel aastal Electronic Frontier Foundationi (EFF) läbi viidud uurimine näitas, et esimene mustand „näib olevat tahtlikult kavandatud selleks, et vältida auditeid, mis võiksid avalikku vastutust tagada“.

"Sageli on võimatu teada, millised politseiraporti osad on tehisintellekti loodud ja millised on politseiniku kirjutatud."

Lõpuks näitab Privacy Laws & Businessi aruanne, et privaatsuse reguleerimine Ameerika Ühendriikides siiski tugevneb, kus 19 osariiki on nüüdseks California eeskujul privaatsusseadused vastu võtnud, mis sageli keskenduvad lastega seotud küsimustele.

Vähesed osariigid on huvitatud biomeetriliste andmete kogumisest ja kasutamisest.

Illinois on pikka aega olnud juhtpositsioonil, millele järgnevad nüüd Texas ja Washingtoni osariik.

Uute föderaalsete privaatsusmääruste osas puudub endiselt üksmeel, "kuid FTC on võtnud jõustamismeetmeid, mis hõlmavad sadu miljoneid dollareid kahjutasu ja rahalisi trahve kokkulepetes suurte veebifirmadega Epic Games, Amazon ja Microsoft" või hiljuti Disney Worldwide Servicesiga, millega sõlmiti 10 miljoni dollari suurune kokkulepe laste internetikaitse seaduse (COPPA) rikkumise eest.