Õiguslik jälgimine nr 68 – veebruar 2024.

CNIL-i kontroll: millised on 2024. aasta prioriteedid? ?

Nagu igal aastal, avaldas CNIL 2024. aasta alguses oma varasema tegevuse ülevaate ja prioriteedid lähikuudeks.

See näitab pidevalt suurenevat kontrolli, mida on teatud juhtudel lihtsustatud menetluse rakendamine tõhustanud.

Eelmisel aastal mõjutasid kontrollid mitmesuguseid sektoreid, nagu reklaam ja e-kaubandus, turvalisus, sõidukite geolokatsioon, töötajate õigused ja terviseandmete töötlemine.

CNIL on sanktsioneerinud nii rahvusvahelisi ettevõtteid kui ka VKEsid, aga ka avaliku ja erasektori osalejaid.

Siiski näib komisjon olevat teadlik lisapingutustest, mida väikeste organisatsioonide juhid peavad GDPR-i järgimiseks tegema.

Ta märgib 1. märtsil avaldatud GDPR-i majandusliku mõju uuringus, et "GDPR on proportsionaalselt soodsam suurtele majandustegelastele, kellel on rohkem ressursse vastavusse viimiseks".

Ta teeb sellest järeldused, märkides, et „regulaator peab seda suundumust aktiivselt kompenseerima nõudliku poliitikaga suurte ja veelgi enam väga suurte osalejate suhtes, proportsionaalselt nende kujutatavate riskide ja nende käsutuses olevate ressurssidega“.

Seega, nagu on täpsustatud ka CNIL-i ja konkurentsiameti 2023. aasta detsembri ühisavalduses, eeldab CNIL juba praegu ja eeldab tulevikus veelgi enam oma digitaalsete turgude reguleerimismeetmete asümmeetrilist mõõdet.koos ärimudelite täieliku mõistmisega üksikisikute hüvanguks ja nende põhiõiguste kaitsmiseks.

Sel aastal väljakuulutatud meetmete hulgas on ootuspäraselt 2024. aasta olümpia- ja paraolümpiamängudega seotud failid ning üksikisikute õigus oma andmetele juurde pääseda.

Olümpiamängude kohtaCNIL kavatseb kontrollida turvaseadmete kasutamist, eelkõige täiustatud kaamerate, piiratud juurdepääsuga alade QR-koodide ja juurdepääsulubade kasutamist.

Andmete maht ja üritusega seotud partnerite arv ajendavad komisjoni samuti piletiandmete kasutamist kontrollima, et vältida asjaomaste isikute andmete petturlikku taaskasutamist.

Pange tähele, et näotuvastuse kasutamise küsimus õiguskaitseorganites on lisatud ka Euroopa Andmekaitsenõukogu (EDPB) 2023.–2024. aasta tööprogrammi prioriteetide hulka.

Üksikisikute õigus oma andmetele juurde pääseda on Euroopa Andmekaitsenõukogu 2024. aasta koordineeritud tegevuse teema (vt ka allpool).

Euroopa Andmekaitsenõukogu võttis sellel teemal 2023. aastal vastu suunised, et aidata andmetöötlejatel rakendada juurdepääsuprotseduure, mis täiendavad CNIL-i avaldatud suuniseid.

CNIL keskendub ka alaealistelt veebis kogutud andmetele. : see kontrollib, kas vanusekontrolli mehhanismid on rakendatud, millised turvameetmed on kavandatud ja kas andmete minimeerimise põhimõtet järgitakse.

Lõpuks uuritakse kassatšekkide dematerialiseerimise ja lojaalsusprogrammide kasutamise mõju üksikisikute õigustele..

Näiteks paberkviitungite asendamine SMS-i või e-kirjaga hõlmab täiendavate andmete kogumist.

CNIL täpsustab, et neid andmeid, nagu ka teavet üksikisikute ostude kohta, võib reklaami sihtimise eesmärgil kasutada ainult asjaomaste isikute eelneval nõusolekul.

Lõpuks tuleb märkida, et CNIL võib juhtumit menetleda kindlaksmääratud prioriteetidest sõltumatult kaebuse, ajakirjanduses avaldatud artikli või teise Euroopa riigi andmekaitseasutuse aruande alusel.

 

    

• CNIL määras 31. jaanuaril kinnisvarateenuste pakkujale PAP 100 000 euro suuruse trahvi.

CNIL (Prantsuse andmekaitseamet) tuvastas puudusi andmete säilitamise tähtaegade, üksikisikute teavitamise, PAP-i (isikliku juurdepääsupunkti) ja alltöövõtja vaheliste suhete haldamise ning andmeturbe (paroolide salvestamine lihttekstina) osas. Tuvastatud turvavead seadisid andmed küberrünnakute ja lekete ohtu.

• 31. jaanuaril trahvis see FORIOU-d ka 310 000 euroga andmevahendajate esitatud andmete kasutamise eest ärilistel eesmärkidel, veendumata, et asjaomased isikud olid ühenduse võtmiseks kehtiva nõusoleku andnud.

CNIL tuletab meile meelde, et andmeid kasutava ettevõtte kohustus on tagada, et asjaomased isikud on andmete kogumise ajal eelnevalt andnud kehtiva nõusoleku.

Komisjon märkis, et kuigi ettevõte kehtestas oma andmepakkujatele teatud lepingulised nõuded, ei teostatud nende nõuete üle alljärgnevas etapis tõhusat kontrolli.

• 30. jaanuaril leidis riiginõukogu, et maksuandmete automaatne edastamine Prantsusmaa ja Ameerika Ühendriikide vahel FATCA lepingu alusel ei riku isikuandmete kaitse üldmääruse artikleid 5 ja 46, kuna piisavusotsuse puudumine ei takista andmeedastust, mis on "vajalik avaliku huvi olulistel põhjustel".

Juhuslike ameeriklaste ühing oli palunud riiginõukogul tühistada CNILi otsuse, millega oli nende kaebus tagasi lükatud.

Riiginõukogu leidis, et CNIL oli oma otsust piisavalt põhjendanud.

Pange tähele, et samal teemal jõudis Belgia andmekaitseamet teistsugusele järeldusele ja keelas juhuslike Belgia ameeriklaste maksuandmete edastamise Ameerika Ühendriikidesse.

• Prantsuse idufirma Mistral, mis on spetsialiseerunud tehisintellekti arendamisele, teatas 26. veebruaril strateegilisest partnerlusest Microsoftiga.

Ajalehe Le Monde andmetel tekitab see teadaanne Brüsselis pingeid pärast intensiivset lobitööd, eriti Prantsusmaa poolt, et eelistada Euroopa idufirmasid ja piirata neile tulevases tehisintellekti regulatsioonis seatud kohustusi.

Roheliste fraktsiooni parlamendiliikmed on saatnud Euroopa Komisjonile kirja, milles tõstatavad küsimuse Mistrali võimalike huvide konfliktide ja läbipaistvusprobleemide kohta seoses selle määrusega seotud lobitööga.

• Jaanuari keskel avaldas ANSSI kolm juhendit, mille eesmärk on "küberintsidendi tagajärgede likvideerimise juhtimine".

Need juhendid koosnevad kolmest osast: strateegilisest, operatiivsest ja tehnilisest.

Agentuur juhib tähelepanu sellele, et "kui suurintsident on osaliselt või halvasti kõrvaldatud, võivad selle mõjud aja jooksul ulatuda".

„See suur destabiliseerimise potentsiaal nõuab (...) oskusteavet nende küberrünnakute ohjeldamiseks, ohustatud infosüsteemi üle kontrolli taastamiseks ja piisava toimimisseisundi taastamiseks.“

Parandusmeetmed on küberintsidentidele reageerimise oluline mõõde koos uurimise ja kriisiohjega.

• Pärast kaheksakuulist katsetamist on digitaalne juhiluba alates 14. veebruarist saadaval kõigile, kes seda taotlevad.

Prantsusmaa identiteedirakenduse abil on võimalik ka oma isikutunnistus digitaliseerida ja seda teatud protseduuride jaoks kasutada, näiteks volikirja andmiseks.

 

Euroopa institutsioonid ja organid

• 28. veebruaril käivitas Euroopa Andmekaitsenõukogu oma 2024. aasta „koordineeritud uurimisraamistiku“ (CFE).

Euroopa andmekaitseasutused osalevad selles juurdepääsuõiguse rakendamise algatuses terve aasta jooksul.

Oma 2023. aasta oktoobri plenaaristungil valis Euroopa Andmekaitsenõukogu oma kolmandaks koordineeritud rakendusmeetmeks juurdepääsuõiguse, „kuna see on andmekaitse keskmes ja üks enimkasutatavaid andmekaitseõigusi ning üks neist, mille kohta andmekaitseasutused saavad palju kaebusi“.

• Euroopa Andmekaitsenõukogu avaldab peagi otsustava arvamuse „nõustu või maksa” ärimudeli kohta, mis nõuab küpsistest keelduvate külastajate veebisaidi sisule juurdepääsu eest tasu.

Meta võttis selle lähenemisviisi kasutusele 2023. aasta novembris, mille tulemusel palusid Hollandi, Norra ja Hamburgi andmekaitseasutused Euroopa Andmekaitsenõukogul võtta vastu siduv arvamus selle tava seaduslikkuse kohta.

Kodanikuühiskond kardab, et kui see majandusmudel legitimeeritakse, järgivad ettevõtted kõigis tööstussektorites Meta eeskuju, mis võib tähistada andmete kasutamiseks vajaliku tegeliku nõusoleku lõppu.

28 valitsusvälist organisatsiooni on saatnud Euroopa Andmekaitsenõukogule kirja, milles kutsutakse üles avaldama arvamust, mis kaitseb põhiõigust andmekaitsele.

• Veebruari keskel toimunud plenaaristungil võttis Euroopa Andmekaitsenõukogu vastu arvamuse, milles selgitatakse peamise tegevuskoha mõistet nn ühtse kontaktpunkti kontekstis.

Ettevõtted ei saa luua peamist tegevuskohta lihtsalt "uksele sildi panemisega": tegevuskoht peab olema koht, kus tehakse töötlemisotsuseid, ja kui need otsused tehakse välismaal, ei saa peamist tegevuskohta olla: ühtse kontaktpunkti põhimõtet ei kohaldata. Euroopa Andmekaitsenõukogu võttis vastu ka avalduse, milles kutsutakse ELi seadusandjaid üles tagama, et laste õiguste kaitsmisele internetis suunatud laste seksuaalse sättumuse materjale käsitlev määrus austaks privaatsuse ja andmekaitse õigust. 

• Euroopa Parlament ja täpsemalt kaitse allkomisjon olid veebruari lõpus kõrgendatud valmisolekus pärast seda, kui kahe parlamendiliikme telefonides avastati häkkimise jälgi, mis tekitas hirmu küberrünnakute ja välismaise sekkumise ees enne juunis toimuvaid Euroopa Parlamendi valimisi.

Eelmise aasta detsembris teatas Politico, et institutsiooni küberturvalisus "ei ole veel saavutanud tööstusstandardeid" ja ei ole "täielikult kooskõlas häkkerite tekitatava ohu tasemega".

Need uued paljastused järgnevad varasematele juhtumitele, kus nuhkvara Pegasus ja Predator sihikule võtsid ka teisi Euroopa Parlamendi liikmeid.

• 19. veebruaril algatas Euroopa Komisjon uurimise laste õiguste kohta TikTokis.

Eelkõige kahtlustab ta läbipaistvuse ja alaealiste kaitsmise kohustustega seotud rikkumisi digitaalteenuste määruse (DSA) alusel, sealhulgas sõltuvust tekitavat disaini, ebapiisavat vanuse kontrollimist ja ebapiisavaid privaatsusseadeid. DSA on ELis jõus olnud alates 17. veebruarist.

• ELi liikmesriigid avaldasid Euroopa Komisjoni ja Euroopa Liidu Küberturvalisuse Ameti (ENISA) toel 21. veebruaril aruande küberturvalisuse ja Euroopa sidetaristute ja -võrkude vastupidavuse kohta.

Käesolev aruanne järgneb liikmesriikide hinnangule nende taristute ja võrkudega seotud riskide kohta.

Hinnangus tuvastati mitmeid ohte, näiteks klaasipuhastid, lunavararünnakud, tarneahelarünnakud, füüsilised rünnakud ja sabotaaž.

• 13. veebruaril tegi Euroopa Inimõiguste Kohus (EIK) otsuse Podtšasovi kohtuasjas, mis käsitles Venemaa kodanike privaatsete sõnumite kogumist ja neile juurdepääsu.

Krüpteeritud side väidetavate ohtude üle peetud arutelu käigus märkis kohus selgelt, et side krüptimise nõrgendamine kõigi kodanike jaoks ei ole õigustatud.

E. Tuchtfeldi sõnul „saadab see otsus olulise sõnumi mitte ainult Venemaa riigile, vaid ka teistele Euroopa valitsustele, kes kaaluvad krüpteeritud sõnumsideteenustele nagu Telegram, Signal või WhatsApp „tagauste” paigaldamist“.

• Samuti leidis EIK 15. veebruari otsuses, et Sloveenias endise kohtuniku vastu tema kohtuprotsessi ajal kasutatud telekommunikatsiooniandmete süstemaatilist ja valimatut säilitamist tuleks pidada tema privaatsusõiguse rikkumiseks.

Hageja süüdimõistmise ajal olid sideteenuste pakkujad kohustatud säilitama telekommunikatsiooniandmeid süstemaatiliselt ja valimatult 14 kuu jooksul.

Kohus leidis, et selline kaitse ei jää demokraatlikus ühiskonnas vajaliku piiridesse.

Seega rikkus andmete säilitamine, neile juurdepääs ja nende töötlemine kaebaja vastu algatatud kriminaalmenetluse kontekstis tema õigust eraelu austamisele.

 

Uudised Euroopa liikmesriikidest.

• Belgias on Belgia andmekaitseamet (APD) oma veebisaidil avaldanud jaotise pealkirjaga „Dokumendid andmekaitseametnikule“.

See hõlmab eelkõige kohtu- ja APD otsuseid, mis on seotud andmekaitseametnikega, näiteks sellistel teemadel nagu huvide konflikt ja kaitse vallandamise eest.

• Belgia andmekaitseamet leidis samuti, et olenemata kaebuse tagasivõtmisest on tal endiselt õigus tuvastada asjaomase isiku õiguste rikkumine ja määrata trahv GDPR-i rikkumise tõttu.
• Itaalia andmekaitseamet (APD) teatas 29. veebruaril, et määras Enel Energiale enam kui 79 miljoni euro suuruse trahvi tõsiste rikkumiste eest elektri- ja gaasisektori arvukate kasutajate isikuandmete töötlemisel, mis viidi läbi telemarketingi eesmärgil.
• Samuti trahvis APD Syracuse'i omavalitsust 5000 euroga andmekaitseametniku kontaktandmete esitamata jätmise eest vastavalt GDPR-i artiklile 37.
• Kreeka andmekaitseamet (DPA) määras andmetöötlejale 5000 euro suuruse trahvi, kuna andmekaitseametnik ei vastanud vaatamata mitmetele meeldetuletustele küsimustikule, mille amet talle 2023. aastal andmekaitseasutuste koordineeritud Euroopa tegevuse raames saatis.
• Hispaanias keeldus APD lubamast rahapesuvastaste hoolsuskohustuste kasutamist pangale ettekäändena, et sundida kaebuse esitajat esitama üksikasju oma raha päritolu kohta krüpteerimata e-kirjade kaudu.

See määras andmetöötlejale 2 500 000 euro suuruse trahvi.

• Taani andmekaitseamet leidis oma viiendas Chromebookiga seotud otsuses, et 53 omavalitsust olid ebaseaduslikult jaganud õpilaste isikuandmeid Google'iga Google'i enda arenduseesmärkidel, rikkudes GDPR-i artikli 6(1)(e) sätet.
• Ühendkuningriigis trahvis DPA Suurbritannia kaitseministeeriumi 409 080 euroga (350 000 naela). Ministerling oli avalikustanud 265 inimese e-posti aadressi, kes soovisid pärast Talibani võimuletulekut 2021. aastal Afganistanist lahkuda.
• Ajakiri Republik seob Šveitsi föderaalse luureteenistuse (FIS) tegevusega. Ajakiri avaldas jaanuari keskel uurimise, milles väideti, et FIS-il on juurdepääs kõigi Šveitsi kodanike e-kirjadele ja et ta jälgib massiliselt nende suhtlust 2016. aasta seaduse alusel.

Andmeid kogutaks otse sidekaablitest internetiteenuse pakkujate infrastruktuuri paigaldatud seadmete kaudu. SRC eitab neid süüdistusi (AFCDP kirja vahendusel).

• Ameerika ettevõtte vastu suunatud küberrünnak viis Šveitsi õhujõudude kohta käiva tundliku teabe avalikustamiseni tumeveebis.

Häkkerirühmitus ALPHV võttis vastutuse rünnaku eest, mille tulemusel avalikustati salastatud dokumente, sealhulgas 5 miljoni dollari suurune leping Šveitsi ja Ultra Intelligence & Communicationsi vahel, mis on kaitsesektorile krüpteerimis- ja kommunikatsioonitehnoloogiate pakkuja.

2023. aasta juulis tabas sarnane rünnak Šveitsi ettevõtet Xplain, millele järgnes novembris häkkimine tarkvarafirmasse Concevis, mis töötab samuti kaitsesektoris ja maksuameti heaks.

 

• Bideni administratsioon võttis 28. veebruaril vastu täidesaatva korralduse, mille eesmärk on kaitsta ameeriklaste tundlikke isikuandmeid teatud kolmandate riikide ("murettekitavate riikide") poolse ärakasutamise eest.

See dekreet volitab justiitsministrit takistama ameeriklaste isikuandmete ulatuslikku edastamist probleemsetele riikidele ja pakub kaitsemeetmeid muude tegevuste jaoks, mis võiksid anda neile riikidele juurdepääsu ameeriklaste tundlikele andmetele.

Need andmed hõlmavad eelkõige genoomseid, biomeetrilisi, tervise-, geograafilise asukoha ja finantsandmeid.

• USA Riiklik Standardite ja Tehnoloogia Instituut (NIST) avaldas veebruaris konkreetsed meetmed turvalisuse integreerimiseks tarkvaraarendustsükli igasse etappi.

Juhendis soovitatakse tootjatel seada esikohale rida konkreetseid meetmeid, sealhulgas avatud lähtekoodiga tarkvara integreerimise põhiliste turvanõuete kehtestamine ja "päritoluandmete" seire laiendamine.

• Samuti Ameerika Ühendriikides keelas föderaalne kaubanduskomisjon (FTC) Avastil äsja oma klientide sirvimisandmete müümise reklaami eesmärgil.

FTC uuris väiteid, et Avast müüs sirvimisandmeid, väites, et tema tooted blokeerivad veebijälgimise. Avast trahviti 16,5 miljoni dollariga.

Pange tähele, et Tšehhi andmekaitseamet määras ettevõttele 2023. aasta aprillis samadel põhjustel sanktsioonid.

• Gruusia andmekaitseseaduse muudatused jõustusid 1. märtsil.

Nende muudatuste eesmärk on tagada isikuandmete kaitse üldmäärusega sarnasem kaitse. 

Mobiiltelefonioperaatoritel ja nende SMS-teenuse pakkujatel on nüüd keelatud kasutada kodanike isikuandmeid otseturunduse eesmärgil ilma nende eelneva nõusolekuta.

Lisaks on nüüd avalik-õiguslikel asutustel ja teatud eraettevõtetel kohustuslik määrata andmekaitseametnik.

• Hongkongi isikuandmete kaitse volinik (PDPC) viis 2023. aasta augustist kuni 2024. aasta veebruarini 28 kohalikus organisatsioonis läbi vastavuskontrolle seoses isikuandmete töötlemisega tehisintellekti kasutamise kontekstis.

Test hõlmas erinevaid sektoreid, sealhulgas telekommunikatsiooni, rahandust ja kindlustust, iluteenuseid, jaemüüki, transporti, haridust ja valitsusministeeriume.

PCPD ei leidnud ühtegi rikkumist, kuigi märkis, et üha rohkem nii avaliku kui ka erasektori organisatsioone kasutab tehisintellekti oma igapäevase tegevuse tõhususe parandamiseks.