Nutikad kaamerad ja privaatsus: õige tasakaal?

Õiguslik valve nr 33 – Märts 2021

Nutikad kaamerad ja privaatsus: õige tasakaal?Alates märtsist ühistranspordis paigaldatud kaamerad on mõeldud kontrollima, kas kasutajad järgivad maski kandmise nõuet. Need meetmed on osa meetmetest, mida kasutatakse Covid-19 epideemia leviku peatamiseks.

Viimastel kuudel vastu võetud arvukad jälitusmeetmed (koroonavastased rakendused, töötajate testimine, droonid, vaktsiinipassid jne) on tekitanud arutelusid ja reaktsioone nii CNIL-is kui ka parlamendiorganites ja kohtutes.

Siin mainitud kontrollsüsteem seevastu läbis andmekaitsekomisjoni ikke viperusteta ja põhjused on lihtsad: Erinevalt 2020. aastal välja töötatud videovalvesüsteemidest, mis kogusid palju isikuandmeid ja mille töö katkestati, töötlevad need rangelt minimaalselt andmeid, mis on vajalikud maskide kandmise kontrollimiseks.

Täpsemalt öeldes ei töötle süsteem biomeetrilisi andmeid ega rakenda näotuvastust ning andmeid ei kasutata süütegude kohtu alla andmiseks.

Peamine eesmärk on toota statistilist teavet ja kohandada avalikkuse teadlikkust.

Need tagatised on veelgi olulisemad, kuna iga videovalveseade kujutab endast põhiõiguste rikkumist ja asjaomased isikud saavad harva töötlemisele vastu vaielda.

Sellega seoses on CNIL varem leidnud, et kaamera ees pea "ei" raputamist ei saa pidada realistlikuks ja piisavaks vastuväite väljendamise viisiks.

Nende rikkumiste tõttu tuleb nutikaamerasüsteeme seadusega reguleerida, nagu tehti 10. märtsil avaldatud määrusega, mis käsitleb maskide kandmist ühistranspordis.

Dekreediga ette nähtud tagatised ning rahvatervise ja üksikisikute kaitse eesmärgid tunduvad CNIL-ile piisavad, et õigustada privaatsusõiguse piiramist ja eelkõige tühistada vastuväidete esitamise õigus.

Komisjon rõhutab siiski, et sõltuvuse oht üksikisikutele, arvestades praeguste järelevalvemeetmete suurenemist.

Seetõttu nõuab ta, etüksikasjalik teave inimesi ja seadme kasutamise aja jooksul, mis on ajaliselt piiratud ja otseselt seotud epideemia kontekstiga.

Ja ka

Prantsusmaa:

• Isikuandmete hävitamine CNIL tuletab 10. märtsil OVH andmekeskuse hävitanud tulekahju puhul meelde samme, mida andmetöötleja peab asjaomaste isikutega võtma.

See täpsustab, et andmete kättesaamatus ja hävimine kujutavad endast andmerikkumist GDPR-i tähenduses, millest tuleb teatud tingimustel teavitada.

CNIL viitab ka veebisaidile cybermalveillance.gouv.fr, mis annab nõu selliste intsidentide haldamiseks.

• CNIL on samuti avaldanud oma 2021. aasta kontrolliprioriteedidNende hulka kuuluvad veebisaidi küberturvalisuse, terviseandmete turvalisuse ja küpsiste kasutamise küsimused, mis kõik on väga aktuaalsed teemad.

Tuletagem meelde, et CNIL on oma küpsiste suuniseid ajakohastanud ning aprillis alustab ulatuslikku auditit nende kogumistingimuste kohta.

• Andmete edastamine väljaspool Euroopa Liitu: Riiginõukogu otsustas 12. märtsil mitte peatada tervishoiuministeeriumi ja ... vahelist partnerlust. Doktolib Käimasoleva vaktsineerimiskampaania kontekstis, hoolimata Ameerika ametivõimude nimetatud andmetele juurdepääsu ohtudest, on Doctolibil osaliselt õigus andmete majutamiseks pöörduda Amazoni Ameerika tütarettevõtte poole.

Riiginõukogu on eelkõige Ameerika ametiasutuse juurdepääsutaotluste puhul veendunud, et on olemas konkreetne menetlus, mis näeb ette üldise või Euroopa määrustega mittevastava taotluse vaidlustamise.

Majutatud andmeid turvatakse täiendavalt Prantsusmaal asuva usaldusväärse kolmanda osapoole krüpteerimisprotseduuriga, et vältida andmete lugemist kolmandate isikute poolt.

• Professionaalsed andmed 9. märtsil keeldus Pariisi kohus rahuldamast hambaarsti taotlust eemaldada tema profiil ja arvustused Google My Businessist.

Kohus kinnitab nende andmete isikulist olemust, kuid leiab, et õiguste tasakaal pooldab Google'i ja internetikasutajate sõna- ja teabevabadust, pakkudes teavet hambaarsti elukutse praktiseerimise ja asjaomaste patsientide kogemuste kohta.

• Sarnases kontekstis rõhutas kassatsioonikohus 17. veebruari otsuses vajadust kaalul olevate õiguste ja huvide tasakaalustamise järele seoses kriminaalkaristuse avaldamine internetis seotud kaebuse esitaja kutsetegevusega.

Asjaolu, et see teave on avalik ja professionaalse iseloomuga, ei tähenda, et seda võib internetis avaldada ilma kaebuse esitaja privaatsuse rikkumise eelneva kontrollimiseta.

Kaalul olevate õiguste ja huvide kaalumisel tuleb arvesse võtta inkrimineeritud väljaande võimalikku panust üldist huvi pakkuvasse arutellu, asjaomase isiku tuntust, teate teemat, asjaomase isiku varasemat käitumist, nimetatud väljaande sisu, vormi ja tagajärgi.

Käesoleval juhul leiab kohus, et seda tasakaalustamist ei tehtud ja suunab pooled edasi apellatsioonikohtusse.

Euroopa:

• GDPR kaks aastat hiljem: 

25. märtsil võttis Euroopa Parlament vastu resolutsiooni Euroopa Komisjoni hindamisaruande kohta isikuandmete kaitse üldmääruse (GDPR) rakendamise kohta.

See toetab vajadust jätkata selle rakendamise tõhusamat elluviimist, eelkõige Euroopa järelevalveasutuste koordineeritud tegevuse kontekstis.

Sellega seoses märgime hiljutisi tülisid Saksamaa ametiasutuse ja Iiri andmekaitseasutuse vahel, kusjuures viimast süüdistatakse oma territooriumil asuvate "suurtehnoloogiaettevõtete" ebapiisavas kontrollimises.

Euroopa Parlament peab prioriteetideks peamiste platvormide ja digiteenuste andmetöötlusega seotud küsimusi, eelkõige veebireklaami, mikrosihtimise, algoritmidel põhineva profiilimise ning võrgustikes teabe levitamise ja võimendamisega seotud riskide valdkonnas.

Samuti näib olevat oluline töötada välja vahendid laiemale publikule, eelkõige väga väikestele ja keskmise suurusega ettevõtetele ning VKEdele, nagu rõhutas Euroopa Andmekaitsenõukogu (EDPB) oma 2021.–2022. aasta tööprogrammis. Tuleb märkida, et Belgia avaldas just selleks rea praktilisi vahendeid väikestele ja keskmise suurusega ettevõtetele.

• Euroopa: Euroopa Andmekaitsenõukogu võttis vastu kaks dokumenti:

Mis puudutab ühelt poolt andmekaitse küsimusi, mis puudutavad ühendatud autod, ja teisest küljest hääleassistendid.

• Belgia:  

Uue väljaande osana korraldab Brüsseli Vaba Ülikool 22. aprillil veebisündmuse teemal " algoritmide ühiskond „Tehnoloogia, võim ja teadmised”. Registreerimine on avatud ülikooli veebisaidil.

Rahvusvaheline:

• USA:

Lisaks mitmes osariigis praegu vastuvõtmisel olevatele seaduseelnõudele esitati Ameerika parlamendile just föderaalsel tasandil tekst nimega "Teabe läbipaistvuse ja isikuandmete kontrolli seadus (ITPDCA)".

See seadus sätestab eelkõige tingimused, mille kohaselt tarbijatel peab olema võimalik oma andmete töötlemisega nõustuda või sellele vastu vaielda, kolmandatele isikutele edastamise läbipaistvuse ning kohustuse esitada oma töötlemine regulaarselt audititele.

Seaduse järgimise järelevalve eest vastutaks föderaalne kaubanduskomisjon.

• Korea:

Lõpule on jõudmas andmekaitse piisavuse menetlus, mis hõlbustab andmevahetust Korea ja Euroopa Liidu vahel. Komisjoni järeldused esitatakse peagi arvamuse saamiseks Euroopa Andmekaitsenõukogule.

• ÜRO:

ÜRO privaatsuse eriraportöör Joseph Cannataci – kelle mandaat on lõppemas – avaldas äsja aruande tehisintellekti ja laste privaatsuse kohta.

• GAFA:

Google teatab, et lõpetab küpsiste kasutamise uue andmekogumismudeli – Federated Learning of Cohorts (FLoC) – puhul, mis on suunatud pigem rühmadele kui üksikisikutele ühiste huvide alusel.

See teadaanne on tekitanud mitmesuguseid reaktsioone, kusjuures mõned on välja toonud, et uus kogumissüsteem, kuigi muudab kasutatavaid meetodeid, ei takista internetikasutajatele suunatud reklaami.

Andmed enam kui 500 miljoni konto kohta Facebook, sealhulgas paljude kasutajate telefoninumbrid, pandi lihavõtte nädalavahetusel veebis müüki. Arvatakse, et andmed pärinevad 2019. aastal avastatud ja parandatud turvaveast. 

Anne Christine Lacoste

Olivier Weber Avocati partner Anne Christine Lacoste on andmeõigusele spetsialiseerunud jurist; ta oli Euroopa Andmekaitseinspektori rahvusvaheliste suhete juht ja tegeles GDPR-i rakendamisega Euroopa Liidus.