Õiguslik jälgimine nr 62 – august 2023.

DMA, DSA: tehnoloogiahiiglaste uued kohustused.

Septembri alguses laieneb veebikasutajate õiguste kaitse, kuna digiteenuste seadust kohaldatakse suurematele platvormidele ja avaldatakse nimekiri ettevõtetest, kelle suhtes kohaldatakse digiturgude seadust.

• Alates 25. augustist kohaldatakse Euroopa digitaalteenuste määrust (DSA) väga suurtele veebiplatvormidele (VLOP) ja väga suurtele veebipõhistele otsingumootoritele (VLOSE).

Määrust kohaldatakse alates 17. veebruarist 2024 ka kõigile vahendajatele, kes pakuvad oma teenuseid ELis asuvatele kasutajatele, sealhulgas veebiplatvormidele, nagu rakenduste poed, jagamismajanduse platvormid ja sotsiaalmeedia platvormid, kusjuures nende kohustused on piiratumad.

VKEdele ja mikroettevõtetele on ette nähtud täiendavad erandid.

Euroopa Komisjoni 25. aprilli otsuse kohaselt kuulub VLOPS-i ja VLOSES-i kategooriasse üheksateist ettevõtet, sealhulgas TikTok, Facebook, X, Snapchat, YouTube ja Google Search, mõjukad veebimüüjad nagu Amazon ja Zalando ning kaks suurt veebiotsingumootorit Bing ja Google Search.

Need ettevõtted peavad täitma läbipaistvuse, alaealiste kaitse, sisu modereerimise ja privaatsuse austamise osas kehtestatud kohustusi.

Eelkõige peavad nad tuvastama ja hindama oma teenustest, sealhulgas algoritmilistest süsteemidest, tulenevaid süsteemseid riske, näiteks:

• Ebaseadusliku sisu levitamine
• Negatiivsed mõjud põhiõiguste teostamisele
• Negatiivne mõju kodanikudiskursusele ja valimisprotsessidele;
• Negatiivne mõju soolisele vägivallale, rahvatervise kaitsele ja alaealistele;
• Tõsised negatiivsed tagajärjed inimese füüsilisele ja vaimsele heaolule.

Mitmed DSA kohustused kattuvad isikuandmete kaitse üldmääruse omadega. Need on loetletud hiljutises artiklis „Future of Privacy Forum”.

Näiteks on olemas sarnased või täiendavad kohustused seoses nn tumedate mustrite, tundlikel andmetel põhineva või alaealisi puudutava suunatud reklaami, läbipaistvuse, profiilianalüüsi, riskianalüüsi ja ebaseadusliku sisu eemaldamisega.

Kontrolliprotseduurid on keerulised ja võivad olla vastuolus isikuandmete kaitse üldmääruse (GDPR) omadega: erinevalt viimasest, mis tagab reguleerimise peamiselt riiklikul tasandil, mida piiriüleste juhtumite korral koordineerib Euroopa Andmekaitsenõukogu, tsentraliseerib andmekaitseseadus kontrolli ELi tasandil VLOPide ja VLOSEde osas, andes samal ajal liikmesriikidele vastutuse teiste vahendusteenuse pakkujate eest.

Loodame, et nende erinevate asutuste vahel luuakse koordineerimine, et suunata nii asjaomaseid ettevõtteid kui ka üksikisikuid, kes soovivad kohtusse kaevata.

• Kuigi digitaalsete turgude seadus on jõus olnud maist, avaldas komisjon alles 6. septembril nimekirja kuuest tehnoloogiahiiglasest ehk „väravavahist“, kes peavad seaduse põhimõtteid järgima. Need on Alphabet, Amazon, Apple, ByteDance, Meta ja Microsoft.

Komisjoni andmetel on mõjutatud kokku 22 nende kuue eestkostja hallatavat põhiplatvormiteenust.

Peamine eesmärk on takistada neil ettevõtetel oma turgu valitsevat seisundit ära kasutamast.

Seega keelab tekst iseendale viitamise või kohustab professionaalseid kasutajaid kasutama ainult kõnealuse ettevõtte teenuseid või tooteid.

Samuti ei saa väravavalvurid keelata ärikasutajatel konkureerivate teenuste pakkumist ja reklaamimist ning neil on kohustus jagada nendega oma platvormi kasutamise käigus loodud teavet.

Samuti on kavandatud spetsiifilised koostalitlusnõuded veebisõnumiteenustele ning operatsioonisüsteemide, brauserite, otsingumootorite ja virtuaalassistentide valikutele.

Lisaks on „väravavalvuritel” keelatud kasutajaid jälgida ja profileerida reklaami sihtimise eesmärgil, välja arvatud juhul, kui nad saavad selleks nende nõusoleku, ning takistada neil eelinstallitud rakenduste desinstallimist.

Seega tugevdavad mõned neist kohustustest DSA-s ette nähtud kohustusi kasutajakaitse osas, eelkõige profiilianalüüsi osas.

Mitmed ettevõtted, näiteks TikTok, Meta ja Google, on oma teenusetingimusi juba muutnud.

DSA ja DMA ette nähtud trahvid võivad ulatuda vastavalt 61 000 000 ja 400 0 ...

DMA korduvate rikkumiste korral võib karistus ulatuda 20% käibeni…

Summad, mis ületavad isikuandmete kaitse üldmääruses sätestatud 4% piirmäära, mida seadusandja oli määruse vastuvõtmise ajal juba hoiatava mõjuna esitanud.

 

Ja ka

• CNIL koostab soovituse eelnõu süsteemide kohta, mis on turvaintsidendi korral suure riskiga, ja algatab avaliku konsultatsiooni.

Selle eesmärk on koondada kõik täiustatud turvapraktikad ühte dokumenti, mis on suunatud nn kriitilisele töötlemisele, mida määratlevad järgmised kaks kumulatiivset kriteeriumi:

• Töötlemine on ulatuslik GDPR-i tähenduses;
• Isikuandmete rikkumisel võivad olla väga olulised tagajärjed asjaomastele üksikisikutele, riigi julgeolekule või ühiskonnale tervikuna.

Konsultatsioonis on võimalik osaleda kuni 8. oktoobrini 2023.

• 8. augustil avaldas CNIL teavituskirja ühendatud majakate kohta, et aidata kõigil, kes on langenud väärkasutuse või ebaseadusliku kasutamise ohvriks, end kaitsta.

Neid silte, mis võimaldavad esemeid leida (näiteks võtmeid või rahakotti), kasutatakse mõnikord inimeste asukoha kindlakstegemiseks ilma nende teadmata.

• Pôle emploi teatas 23. augustil, et umbes kümne miljoni inimese isikuandmed, mis olid registreeritud nende toimikutes, varastati "küberpahatahtlikkuse akti" tagajärjel.

Need andmed telliti ettevõttelt Majorel, mis vastutab tööotsijate saadetud dokumentide digiteerimise eest.

See võib mõjutada ees- ja perekonnanime, praegust või endist tööotsija staatust ning sotsiaalkindlustusnumbrit.

Siiski ei sattunud ohtu "e-posti aadressid, telefoninumbrid, paroolid ja pangarekvisiidid".

 

Euroopa institutsioonid ja organid

• 11. oktoobril korraldab Euroopa Liidu Küberturvalisuse Amet (ENISA) koostöös Euroopa Komisjoniga usaldusteenuste ja eID foorumi, et jälgida õiguskeskkonna, Euroopa digitaalse rahakoti ja kodanike veebitegevuse kaitse arenguid kogu ELis.

ENISA avaldab ka nutitelefonide suuniseid: „SMASHING – Smartphone Secure development Guidelines”.

Tööriist pakub nutitelefonirakenduste arendajatele meetmete kaarti, mille eesmärk on tagada turvaliste mobiilirakenduste arendamine.

• Euroopa Telekommunikatsioonistandardite Instituut (ETSI) on avaldanud aruande teemal "Tehisintellekti (SAI) turvamine; multimeedia identiteedi esituste automatiseeritud manipuleerimine".

Dokument käsitleb tehisintellektil põhinevaid tehnikaid olemasolevate identiteediandmete automaatseks manipuleerimiseks või võltsitud identiteediandmete loomiseks erinevates meediavormingutes, näiteks heli, video ja tekstina (süvavõltsingud).

See kirjeldab erinevaid tehnilisi lähenemisviise ja analüüsib süvavõltsinguid kujutavaid ohte erinevates rünnakustsenaariumides.

Seejärel pakub ta välja tehnilisi ja organisatsioonilisi meetmeid nende ohtude leevendamiseks ning uurib nende tõhusust ja piiranguid.

• Oma 2023. aasta auditiprogrammi kontekstis keskendub Euroopa Andmekaitsenõukogu andmekaitseametnike rollile.

IAPP-i 31. juulil avaldatud artiklis on loetletud Euroopa andmekaitseasutuste viiteotsused andmekaitseametnike määramise ja oskuste kohta.

• Google'ile kuuluv Fitbit seisab silmitsi privaatsuskaebustega Euroopa Liidus, väites, et ettevõte ekspordib ebaseaduslikult kasutajaandmeid, rikkudes EL-i andmekaitse-eeskirju.

Kaebused on suunatud Fitbiti väite vastu, et kasutajad on andnud nõusoleku oma andmete rahvusvaheliseks edastamiseks – Ameerika Ühendriikidesse ja mujale –, samas kui vabaühenduse NOYB andmetel sunnib ettevõte kasutajaid oma nõusolekut andma.

 

Uudised Euroopa liikmesriikidest.

• Hollandis nõutakse andmekaitseameti (DPA) 1. septembri esialgses aruandes täiendavaid meetmeid algoritmide ja tehisintellektiga seotud riskide kontrollimiseks, pidades silmas eelseisvat Euroopa õigusakti.

Nende paremaks kontrollimiseks peavad avaliku sektori asutused ja ettevõtted silmitsi seisma kahe väljakutsega.

Esiteks riskid, mis on seotud tehisintellekti innovatsioonide, näiteks intelligentsete vestlusrobotite kiire integreerimisega ühiskonda.

Teiseks rõhutab aruanne vajadust, et kõik suuremad avaliku ja erasektori asutused Hollandis mõistaksid oma kõrge riskiga algoritmide – algoritmide, millel on oluline mõju üksikisikute elule – kasutamist. Aruandes loetletakse rakendatavad meetmed.

• Hispaania andmekaitseamet (APD) määras meediaettevõttele 20 000 euro suuruse trahvi isiku privaatselt Instagrami profiililt tehtud foto avaldamise ja selle blogisse postitamise eest koos isiku nime ja vanusega, rikkudes GDPR-i artikli 6 lõiget 1.

Samuti määras see Fourth Party Logistics SL-ile 120 000 euro suuruse trahvi (mida vähendati 72 000 euroni) ebaseadusliku alltöövõtu eest, mis oli tingitud lepingute vormistamata jätmisest ja eelnevate vormistamislubade puudumisest.

• Horvaatias postitati avalikus Facebooki grupis jagatud politseioperatsiooni video kommentaarina foto, millel oli näha politseinikku.

APD tuvastas isikuandmete kaitse üldmääruse artikli 5(1)(b) ja artikli 6(1) rikkumise ning andis korralduse foto eemaldada.

• Sarnases kontekstis trahvis Küprose andmekaitseamet kohalikku ajalehte 7000 euroga isikuandmete kaitse üldmääruse artikli 5(1)(c) ja artikli 6 rikkumise eest: ajaleht oli avaldanud teenistuskohustusi täitvate politseiametnike nimed ja fotod.
• Ühise uurimise osana auditeerisid ja sanktsioneerisid Balti riikide andmekaitseasutused autorendifirmat.

Trahvi arvutamisel tõi Läti andmekaitseamet raskendava asjaoluna esile andmetöötleja täieliku koostöö puudumise.

Algselt pidas ta sobivaks 15 000 euro suurust trahvi. Arvestades andmetöötleja rahalisi raskusi ja suurt maksejõuetuse riski, vähendas ta trahvi lõpuks 1000 euroni.

• Šveitsi uus föderaalne andmekaitseseadus jõustus 1. septembril.

GDPR-ist inspireeritud uute sätete hulgas on tundlike andmete töötlemise mõjuhindamine, töötlemistegevuste registreerimine, andmekaitseametnik ja andmetega seotud rikkumistest teatamine. Nüüd on selgesõnaliselt mainitud ka „privaatsuse kavandatud kaitse” kontseptsiooni.

 

• 24. augustil teatasid kaksteist rahvusvahelist andmekaitse ja privaatsuse regulaatorit Ameerikast, Euroopast, Aafrikast ja Aasia ja Vaikse ookeani piirkonnast, et nad ootavad sotsiaalmeedia platvormidelt ja muudelt saitidelt kaitset ebaseadusliku andmete hankimise („veebikraapimine“) eest.

See teadaanne kordab nõuandeid, mida on varem andnud sellised reguleerivad asutused nagu Austraalia Infokomisjon, CNIL ja Ühendkuningriigi Infokomissari büroo pärast Clearview AI, Inc. isikuandmete käitlemise tavade ja andmetega seotud rikkumistest teatamise kohustuste uurimisi.

• Ameerika Ühendriikides avaldasid küberjulgeoleku ja infrastruktuuri turvalisuse amet („CISA“), riiklik julgeolekuagentuur („NSA“) ja riiklik standardite ja tehnoloogia instituut („NIST“) 21. augustil ühise teabelehe kvantarvutuseks valmisoleku kohta, et hoiatada organisatsioone – eriti neid, kes toetavad infrastruktuurisektoreid

kriitika – kvantarvutusega kaasnevate ohtude kohta – ja julgustada neid organisatsioone hakkama planeerima tulevast üleminekut postkvantkrüptograafilistele standarditele („PQC“).

• USA valitsus käivitab Cyber Trust Marki, mis on asjade interneti turvalisuse märgistamise programm.
• Ameerika Ühendriikides mõjutab andmeleke ka Teslat: see mõjutab 75 000 inimest.

Kaks endist Tesla töötajat andsid ajalehele Handelsblatt teiste töötajate isikuandmeid ja kontaktandmeid.

Ettevõte teavitas turvaintsidendist Maine'i peaprokuröri ja pakkus kannatanutele identiteedivarguste kaitseteenuseid.

2023. aasta aprillis vaatasid ja jagasid töötajad klientide Teslade poolt salvestatud privaatseid videoid, mis olid tehtud sõidukite Sentry Mode turvasüsteemidest.

Tesla pole ainus ettevõte, mis privaatsusprobleeme tõstatab.

Mozilla Fondi 5. septembril avaldatud uuringus kirjeldatakse 25 autotootja autosid kui "andmete privaatsuse seisukohast õudusunenägusid ratastel".

Sihtasutus hindas 25 autotootja poliitikat ja tavasid ning hoiatas, et nad võivad koguda ja ärilistel eesmärkidel ära kasutada palju enamat kui asukohaajalugu, sõiduharjumusi, auto navigatsiooniajalugu ja kasutajate muusikaeelistusi.

Mõned tootjad võivad töödelda sügavalt isikuandmeid, näiteks – olenevalt privaatsuspoliitikast – seksuaalne aktiivsus, immigratsioonistaatus, rass, näoilmed, kaal, tervis ja isegi geneetiline teave.

Lisaks müüb enam kui pool tootjatest andmeid kolmandatele osapooltele.

• Hiinas avaldati 25. augustil 2023 uued juhised tehisintellekti loodud sisu märgistamise kohta: Hiina riiklik infoturbe standardimise tehniline komitee („TC260“) avaldas dokumendi „Küberturvalisuse standardite praktilised juhised – meetod sisu märgistamiseks genereerivate tehisintellekti teenustes“ lõpliku versiooni.
• Kanada avaldab ka generatiivse tehisintellekti tegevusjuhendi ja julgustab selle dokumendi koostamisele panustama.
• Indias avaldati ametlikus väljaandes 12. augustil digitaalsete isikuandmete kaitse seadus 2023.

Kuigi seda seadust tervitatakse, kuna see kaitseb 760 miljoni internetikasutaja andmeid, tekitab see ka kriitikat pakutava kaitse taseme osas, eriti arvestades Puttaswamy kohtuasja olulist otsust, mis kehtestas Indias viis aastat tagasi õiguse privaatsusele.

• 31. augustil teatas Apple oma iCloudi skannimisfunktsiooni arendamisest loobumisest, et tuvastada lastepornograafiat (CSAM).

Ettevõte keskendub nüüd kasutajate seadmetes kasutatavatele tööriistadele ja ressurssidele, mida tuntakse kui "kommunikatsiooniturvalisuse funktsioone".

Pärast koostööd paljude turvalisuse ja privaatsuse uurijate, digitaalsete õiguste rühmituste ja laste turvalisuse eestkõnelejatega jõudis ettevõte järeldusele, et ta ei saa pilveskaneerimise mehhanismi väljatöötamist jätkata, isegi kui see oleks loodud spetsiaalselt privaatsuse kaitsmiseks. 

"Iga kasutaja privaatsete iCloudi andmete analüüsimine looks uusi ohuvektoreid, mida andmevargad saaksid leida ja ära kasutada. See tekitaks ka ettenägematute tagajärgede riski. Näiteks ühte tüüpi sisu otsimine avab ukse massijälgimisele ja võib tekitada soovi otsida igat tüüpi sisu jaoks teisi krüptitud sõnumsidesüsteeme."

See avalik seisukoht on praeguses kontekstis oluline, kuna Ühendkuningriik, EL ja USA valmistavad ette õigusakte, mille eesmärk on kehtestada veebiosalejate laialdane taustakontroll küberkuritegevuse vastase võitluse ja eelkõige laste kaitsmise kontekstis.