Õiguslik jälgimine nr 63 – september 2023.

Brexit: andmekaitse ülevaade.

Pärast Ühendkuningriigi lahkumist Euroopa Liidust 31. jaanuaril 2020 on La Manche'i väina mõlema poole andmekaitseraamistike vahel tekkinud üha suuremaid erinevusi.

Riik kohaldab endiselt seadust, millega GDPR riiklikul tasandil üle võeti, mida nimetatakse "UK GDPR-iks", ning alates 28. juunist 2021 on Ühendkuningriigil olnud piisav kaitsetase, mis lubab andmevahetust ELiga.

Piisavuse otsus kehtib kuni 27. juunini 2025, kuid seda võidakse varem muuta, kui Ühendkuningriigi õigusraamistik peaks enne seda kuupäeva oluliselt muutuma.

Euroopa Komisjonile võib kulmu kergitada Ühendkuningriigi ambitsioon saada "andmekeskuseks", mis hõlbustaks rahvusvahelist andmevahetust, ja praegune "Ühendkuningriigi isikuandmete kaitse üldmääruse" (GDPR) läbivaatamise eelnõu, mille eesmärk on leevendada Briti ettevõtete kohustusi.

21. septembril vormistas Ühendkuningriik juunis Ameerika Ühendriikidega sõlmitud "andmesilla".

Leping jõustub 12. oktoobril.

Ühendkuningriik on sõlminud lepingud ka mitme riigiga, mida EL juba peab piisavaks: Kanada, Iisrael, Jaapan, Uus-Meremaa, Šveits ja Uruguay.

Tema prioriteetide nimekirjas on ka Austraalia, Colombia, Dubai, Korea Vabariik ja Singapur.

See rahvusvahelise andmevahetuse hõlbustamine tõstatab küsimuse Euroopa andmete edasisest edastamisest, mis pärast Ühendkuningriigi läbimist jõuaksid hiljem riiki, mida EL ei pea samaväärse andmekaitse tagajaks.

Ühendkuningriik liigub tõepoolest kolmandate riikide pakutavate tagatiste pragmaatilisema hindamise suunas, mis põhineb rohkem riskil.

Paralleelselt nende andmeedastust puudutavate algatustega valmistab Ühendkuningriik ette andmekaitse ja digitaalse teabe seaduseelnõu („Andmekaitse ja digitaalse teabe (nr 2) seaduseelnõu“), mille eesmärk on asendada kehtiv Ühendkuningriigi isikuandmete kaitse üldmäärus (GDPR).

See tekst on eelmisel kevadel parlamendis juba kaks korda läbi loetud ja vajab veel kolmandat lugemist.

Projekt järgib küll eesmärgi piiramise põhimõtet, kuid muudab selle ulatust: see lubab edasist töötlemist, kui andmeid on kogutud ilma nõusolekuta, näiteks avaliku huvi alusel kasutamise juhtudel.

Selle reegli mõju küpsiste kasutamisele pole veel selge, kuigi valitsus väidab, et tahab piirata soovimatuid hüpikaknaid, mis küsivad kasutaja nõusolekut.

Teadusuuringute määratlust on ajakohastatud ja laiendatud ning selle teostamise tingimusi on leevendatud.

See võimaldaks ettevõtetel andmeid ärilistel eesmärkidel hõlpsamini töödelda, väites, et need äritavad koosnevad tehnoloogilisest uurimis- ja arendustegevusest. 

Projekt vähendab ka ettevõtetele esitatavaid nõudeid seoses andmete töötlemise tegevuse arvestuse pidamise ja ennetava kontrolliga, välja arvatud nende puhul, kelle töötlemine kujutab endast suurt ohtu üksikisikute õigustele.

Tekstis tutvustatakse ka raamistikku „usaldusväärsete ja turvaliste digitaalsete kontrolliteenuste” kasutamiseks, mis näib vastavat Euroopa Liidu digitaalse identiteedi projektile.

Kogu ELis tegutsevate ettevõtete jaoks on halduskoormuse vähendamisele suunatud reformi eelised piiratud: nad peavad näiteks ikkagi määrama andmekaitseametniku ja ei saa kasu teatud andmete säilitamisega seotud eeskirjade leevendamisest.

Plaan hõlmab ka olemasoleva reguleeriva organi ICO asendamist nõukoguga ning riigisekretärile volituste andmist institutsiooni teatud tegevuste suunamiseks strateegiliste prioriteetide määramise kaudu.

Sõltumatu andmekaitse regulaatori olemasolu on üks põhielemente, mida EL arvestab, kui ta hindab uuesti Ühendkuningriigi „sisulist samaväärsust“ oma andmekaitse-eeskirjadega.

See teema on juba Euroopa Parlamendis küsimusi tekitanud.

Seadus võiks vastu võtta järgmisel kevadel.

 

• 18. septembril 2023 trahvis CNIL õhutranspordiettevõtet SAF LOGISTICS 200 000 euroga liiga suure hulga andmete, sealhulgas tundlike andmete ja karistusregistri väljavõtete kogumise eest oma töötajatelt.

Teda karistatakse ka ebapiisava koostöö eest CNIL-i teenistustega.

• Septembri lõpus toimus Euroopa säästva arengu nädal, mis andis CNIL-ile võimaluse tutvustada oma teemale pühendatud brošüüri: see uurib andmekaitse, vabaduste ja keskkonna kokkupuutepunkte: „Kas andmete kaitsmine kaitseb planeeti? Kas meie vabadused on muutumas? Kas peaksime keskkonna kaitsmiseks andmeid jagama?“

Dokument püüab neile küsimustele vastata ja pakub välja soovitusi kahe eesmärgi ühitamiseks.

• CNIL avaldas sel suvel avalike andmete taaskasutamise juhendi mustandi.

Juhend sisaldab CNILi ja selle partnerite seisukohti ning Prantsuse ja Euroopa kohtulahendeid, mida rikastavad mitmed konsultatsioonid erinevate osapooltega, kes on otseselt seotud avalikult kättesaadavate andmete avamise, jagamise ja taaskasutamise lähenemisviiside väljatöötamisega (institutsionaalsed partnerid, ühendused ja ettevõtted, juristid, teadlased).

• 29. augustil käskis CNIL (Prantsuse andmekaitseamet) Boursoramal järgida isikuandmete kaitse üldmääruse (GDPR) sätteid, "eelkõige lõpetades veebisaidi impots.gouv.fr sisselogimisandmete töötlemise": Boursorama küsis tõepoolest juurdepääsu veebisaidi impots.gouv.fr kasutajanimele ja paroolile neilt, kes soovisid laenu saada või aktsiasäästuplaani avada.

CNIL-i andmetel on ettevõttel nõuete täitmiseks aega kaks kuud.

• Mozilla algatab avaliku üleskutse reageerida tulevasele SREN-seadusele, mis näeb ette internetis "pettusevastase filtri" rakendamise.

Sihtasutus väidab oma petitsiooni pealkirjas, et Prantsusmaa sunnib veebibrausereid "veebisaite tsenseerima".

Kohustuslik mehhanism nõuaks vahendajatelt kõigi asjakohaste meetmete rakendamist, et takistada internetikasutajatel juurdepääsu kahjulikuks peetavatele aadressidele vähemalt seitsme päeva jooksul.

Põhimõtteliselt peab sihtasutus kiiduväärseks püüdlust võidelda internetipettuste vastu.

Siiski vaidlustab ta selle eesmärgi saavutamiseks valitud meetodid, mis loovad pretsedendi, kuna filtreerimisstrateegiat saaks pärast selle kehtestamist laiendada ka teistele küsimustele.

 

 

Euroopa institutsioonid ja organid

• Euroopa Komisjon avaldab suunised uue Euroopa küberturvalisuse direktiivi NIS2 kohta.

See direktiiv kehtestab turvalisuse, intsidentidest teatamise ja juhtimisega seotud kohustused erinevate kriitiliste sektorite, sealhulgas energeetika, transpordi, rahanduse, tervishoiu ja digitaalse taristu üksustele.

Need kaks juhenddokumenti aitavad kindlaks teha, kas kohaldatakse NIS2 nõudeid või sektoripõhiseid nõudeid, ning nende eesmärk on tagada registreerimisnõuete järjepidevus kogu liidus.

• Oktoobris alustab Euroopa Parlamendi kodanikuvabaduste komisjon laste internetis kaitsmist käsitleva määruse (CSAM) läbivaatamist.

See tekst on üha teravama kriitika objektiks, eriti seoses meetmega, mille eesmärk on kohustada suuri platvorme ennetavalt skannima nende teenustega vahetatavat privaatset sisu, et tuvastada lastepornot.

Paljud kodanikuühiskonna osalejad, kõik Euroopa andmekaitseasutused ja ka Euroopa Liidu Nõukogu juristid usuvad, et määrus seaks "eriti olulisi piiranguid õigusele privaatsusele" ja et on "tõsine oht", et see on vastuolus ELi põhitekstidega.

• Küberturvalisuse kuu annab ENISA-le ehk Euroopa Liidu Infoturbeametile (ENISA) võimaluse avaldada lunavara käsitlevaid soovitusi.

Saadaval olevate dokumentide hulgas on näpunäiteid elektrienergia sektori operaatoritele, mis on häkkerite peamine sihtmärk.

• 7. septembril vaidlustas CNIL-i liige ja parlamendiliige Philippe Latombe Euroopa Liidu Kohtus andmekaitseraamistiku, mis on alates sellest suvest lubanud andmevahetust ELi ja Ameerika Ühendriikide vahel.
• Latombe esitas kaks apellatsiooni, ühe lepingu viivitamatuks peatamiseks ja teise teksti sisu kohta.

Ta palub kohtul leping kiiresti peatada, viidates 1958. aasta Euroopa määrusele, mis nõuab üldise ulatusega Euroopa tekstide kirjutamist neljas ametlikus keeles, samas kui alates 10. juulist on DPF eksisteerinud ainult inglise keeles.

• Videokonverentsivahendite kasutamine tekitab andmekaitsega seotud küsimusi, eriti kuna andmeid edastatakse väga sageli väljaspool ELi.

Euroopa Liidu Kohus viis seoses Cisco Webexi kasutamisega läbi edastuse mõjuhinnangu (TIA) ja allutas töötlemise Euroopa Andmekaitseinspektori (EDPS) loale.

Euroopa Andmekaitseinspektori otsus ja Euroopa Kohtu mõjuhinnang on kasulikud viited igale andmetöötlejale, kes neid vahendeid professionaalses kontekstis kasutab.

 

Uudised Euroopa liikmesriikidest.

• Belgia andmekaitseamet (APD) lükkas 16. augustil kaebuse tagasi, hoolimata isikuandmete kaitse üldmääruse rikkumiste olemasolust.

Ta leidis, et rikkumistel ei olnud „olulist sotsiaalset ja/või isiklikku mõju“ ning et kaebuse läbivaatamiseks vajalikud ressursid oleksid seetõttu ebaproportsionaalsed.

• Pärast Euroopa Andmekaitsenõukogu siduvat vaidluste lahendamise otsust avaldas Iirimaa andmekaitsekomisjon 1. septembril oma lõpliku otsuse, milles leiti eelkõige, et TikTok rikkus 13–17-aastaste laste isikuandmete töötlemisel isikuandmete kaitse üldmääruse õigluse põhimõtet.

Registreerumise hüpikaknas julgustati lapsi valima avalik konto.

APD lõplikus otsuses leitakse, et avalikud vaikeseaded olid vastuolus ka lõimitud ja vaikimisi andmekaitse, andmete minimeerimise ja läbipaistvuse põhimõtetega.

Lisaks noomitusele ja vastavuskorraldusele määras Iirimaa andmekaitseamet 345 miljoni euro suuruse trahvi.

• Alam-Saksi andmekaitseamet on koostöös kuue teise andmekaitseasutusega koostanud juhendi Microsoft 365 kasutamiseks professionaalsel eesmärgil.

Ametivõimud soovitavad sõlmida vastutava isiku ja Microsofti vahel täiendava lepingu, mis on ülimuslik kõigi vastuoluliste lepinguliste tekstide suhtes.

See leping peaks eelkõige reguleerima andmetöötleja vajadustele kohandatud kustutusperioode, alltöövõtjate kasutamisega seotud teabenõudeid ning Microsofti poolt andmete töötlemist oma ärilistel eesmärkidel.

• Itaalia andmekaitseamet (APD) tuletab juuli keskpaigas turunduslikel eesmärkidel andmete töötlemist käsitlevas korralduses meelde, et andmete säilitamise piiramise põhimõtet arvestades ei ole andmete säilitamine nõusoleku tagasivõtmise kuupäevani õigustatud.

See meeldetuletus on juba lisatud Euroopa Andmekaitsenõukogu suunistesse 5/2020, mille kohaselt tuleb arvesse võtta konteksti ja üksikisikute õiguspäraseid ootusi: hea tava on nõuda regulaarselt uuendatud nõusolekut.

• Itaalia ülemkohus kinnitas Itaalia panga töötaja vallandamise ebaseaduslikkust seoses töötaja e-kirjade ebaseadusliku jälgimise ja jälitustegevusega.

Ülemkohus märkis, et on vaja tagada õiglane tasakaal ettevõtte huvide ja vara kaitsmise nõuete vahel, mis on seotud majandusliku algatuse vabadusega, ning töötaja väärikuse ja privaatsuse kaitse vahel, olenevalt asjaoludest.

Kostja ettevõtte sülearvuti kogu side jälgimine oli põhjendamatu, kuna see oli valimatu ja piiramatu ning kuna hageja ei olnud kostjat teavitanud oma sülearvuti side võimalikust jälgimisest ega ka jälgimise olemusest ja ulatusest.

• 21. augustil avaldatud otsuses määras Hispaania andmekaitseamet (APD) andmetöötlejale sanktsioonid isikuandmete kaitse üldmääruse artiklite 28(2) ja 28(3) rikkumise eest.

See sanktsioon määrati isegi siis, kui andmetöötleja ja alltöövõtjate vahel puudus leping ning andmetöötlejat ei olnud teavitatud alltöövõtjate osalemisest andmetöötlustegevustes.

• Hispaania andmekaitseamet (APD) avaldab digitaalsete valuutade kohta ajaveebi, milles käsitletakse krüptovaluutadega kaasnevaid suurimaid riske: volatiilsus, spekulatsioonid, vale kättesaadavuse tunne, turvalisus ja anonüümsus.
• Ühendkuningriigi valimiskomisjon teatas 8. augustil, et on langenud andmetega seotud rikkumise ohvriks.

Küberrünnak pärineb 2021. aasta augustist ja avastati 2022. aasta oktoobris.

Häkkerid, kelle isik on siiani tuvastamata, said aastatel 2014–2022 ligipääsu 40 miljoni registreeritud valija andmetele.

• Briti valitsus on peatanud oma plaanid veebipõhise krüpteeringu nõrgestamiseks veebiturvalisuse seaduseelnõu rakendamise kaudu.

Selle seaduseelnõu eesmärk oli kohustada sõnumsiderakendusi, näiteks WhatsAppi, analüüsima oma kasutajate vestlusi lastepornograafia suhtes. Vastuolulised klauslid jääksid seaduseelnõusse, kuid Briti valitsus on öelnud, et ei sunni tehnoloogiaettevõtteid neid rakendama.

• Briti uurimisrühm avaldas 2023. aasta augustis artikli tehisintellekti (AI) väljatöötamise kohta, mis suudab parooli dešifreerida lihtsalt klaviatuuriklahvide tekitatud helisid kuulates.

Tehisintellekti treeniti enam kui 100 000 klahvivajutuse andmestiku põhjal ja seda testiti edukalt mitmesugustes seadmetes, sealhulgas sülearvutites, nutitelefonides ja nutikõlarites.

 

• Rahvusvaheline Standardiorganisatsioon avaldas hiljuti standardi ISO 22989:2022 – tehisintellekti kontseptsioonid ja terminoloogia, mis kehtestab terminoloogia ja kirjeldab tehisintellekti valdkonna kontseptsioone.

Seda dokumenti saab kasutada teiste standardite väljatöötamiseks ja erinevate huvitatud osapoolte või sidusrühmade vahelise suhtluse toetamiseks. See on kohaldatav igat tüüpi organisatsioonidele (äriettevõtted, valitsusasutused, mittetulundusühingud).

• Väidetavalt valmistub Meta oma sotsiaalmeedia platvormidele Instagram ja Facebook tasulise tellimuse rakendamiseks.

Wall Street Journali andmetel peaksid kasutajad, kes ei soovi, et neid isikupärastatud reklaami eesmärgil jälgitaks, maksma 10–15 eurot kuus, olenevalt kasutatavast seadmest (nutitelefon, arvuti).

• Biomeetrilise tuvastusega videovalve on Argentina skandaali keskmes: vead, manipuleerimisele vastuvõtlik süsteem, volitamata juurdepääs, läbipaistvusmeetmete puudumine…

75 protsenti pealinnast on videovalve all, kuid näotuvastussüsteemi kritiseeritakse pärast seda, kui alates 2019. aastast on vähemalt 140 viga viinud politseikontrollide või vahistamisteni.

Aktivistid otsustasid linnavalitsuse kohtusse kaevata ja saavutasid 2022. aasta aprillis süsteemi deaktiveerimise.

Sellest ajast alates on Buenos Airese linn võidelnud selle taas kasutuselevõtu eest.

• Indoneesia turvauurija avalikustas Twitteris, et häkker on 10 000 dollari eest müüki pannud faili, mis sisaldab ligi 35 miljoni passiomaniku andmeid.

Häkker on juba teadaolevalt varastanud ja müünud 2022. aastal Indoneesia kommunikatsiooni- ja infotehnoloogiaministeeriumi serveritest 1,3 miljardi SIM-kaardi andmed ning teda kahtlustatakse ka Indoneesia elektriettevõtte 17 miljoni kliendi isikuandmete varguses 2022. aastal (AFCDP vahendusel).

• Saudi Araabia avaldas septembri keskel oma eeskirjad isikuandmete kaitse seaduse rakendamiseks ning eeskirjad isikuandmete edastamiseks väljaspool kuningriiki.
• 15. oktoobril 2021 võttis Rwanda valitsus vastu isikuandmete ja privaatsuse kaitse seaduse.

Valitsus on andnud kaheaastase üleminekuperioodi, et võimaldada üksikisikutel ja organisatsioonidel oma andmetöötlustegevuse seadusega kooskõlla viia. See periood lõpeb 15. oktoobril 2023.