Tundlikud andmed: eriti lai kohaldamisala

Õiguslik jälgimine nr 50 – august 2022.

Võib olla keeruline hinnata, kas kogutavad andmed on tundlikud või mitte, ja otsustada, kas need andmed vajavad GDPR-i alusel erilist kaitset.

Me kordasime neid tõlgendamisraskusi oma eelmise aasta veebruari juhtkirjas.

Euroopa Liidu Kohus selgitas just 1. augusti 2022. aasta otsuse ulatust tundlike andmete mõistest või täpsemalt andmete erikategooriatest.

Ja kohtu hinnangul on see ulatus eriti lai.

Tuleb meeles pidada, et isikuandmete kaitse üldmääruse artikkel 9 kohaldub andmetele, mis paljastavad väidetava rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumise, samuti geneetiliste andmete, biomeetriliste andmete töötlemisele füüsilise isiku unikaalseks tuvastamiseks, terviseandmete või füüsilise isiku seksuaalelu või seksuaalset sättumust käsitlevate andmete töötlemisele.

Kõnealune otsus puudutab Leedu korruptsioonivastase seaduse sätteid, mis nõuavad teatud avaliku sektori töötajatelt oma erahuvide ning abikaasa ja perekonna kohta käiva teabe deklareerimist, millest peaaegu kõik avalikustatakse internetis.

Pärast seda, kui selle kohustusega seotud isik on esitanud vastuväite, on kohus kohustatud otsustama

• Abikaasaga seotud andmete veebis avalikustamise vajaduse kohta
• Küsimusele, kas abikaasa kohta käivaid andmeid tuleks pidada tundlikeks andmeteks isikuandmete kaitse üldmääruse artikli 9 tähenduses, kuna need võimaldavad tuletada teavet asjaomaste isikute seksuaalse sättumuse kohta, vastab kohus esiteks, et nende andmete levitamine veebis ei tundu olevat korruptsioonivastase võitluse eesmärgi saavutamiseks vajalik, ning täpsustab seejärel, et tundlike andmete mõistet tuleb tõlgendada laialt.

Seni on püsinud küsimusi artikli 9 sõnastuses kasutatud terminite erinevuste kohta andmete reguleerimisel, mis ühelt poolt "paljastavad" poliitilisi vaateid, ametiühingu liikmelisust jne või mis teiselt poolt "puudutavad" tervist või seksuaalset sättumust.

Kohus leiab, et kõiki eriliiki andmeid tuleb tõlgendada laialdaselt, võttes arvesse konteksti ja muid isikuandmete kaitse üldmääruse sätteid.

Seega hõlmab see käesoleval juhul andmeid, mis võivad intellektuaalse võrdluse või deduktsiooni abil paljastada füüsilise isiku seksuaalse sättumuse.

See otsus võib oluliselt mõjutada „potentsiaalselt” tundlike andmete töötlemise eest vastutavate isikute kohustuste ulatust.

CNIL näib olevat seni neid kohustusi kitsamalt tõlgendanud: eelmise aasta jaanuaris märkis ta, et "pelgalt pildi pildistamine või filmimine, millelt on võimalik teatud elemente tuletada isikuandmeid" See, et tegemist on tundlike andmetega, ei kujuta endast iseenesest tundlike andmete töötlemist (…). See Ainult siis, kui neid kujutisi töödeldakse nimetatud tundlike andmete eraldamiseks, tõlgendamiseks või kasutamiseks, loetakse töötlemine tundlike andmete töötlemise korra alla kuuluvaks.

Kohtu arutluskäigu määravaks elemendiks näib olevat asjaolu, et andmed on avalikult kättesaadavad: sellest hetkest alates saab igaüks andmeid koguda, neist tundlikku teavet tuletada ja seda töödelda eesmärgil, mis ei ole üldse seotud algse eesmärgiga, millega kaasnevad tagajärjed asjaomastele isikutele.

Samuti tuleks meeles pidada, et olemasolevatest andmetest tehtud järeldused ei pea olema õiged, et need vastaksid isikuandmete kaitse üldmääruse nõuetele: oluline ei ole tegelikult see, kas järeldused on kehtivad või mitte: ekslikel järeldustel võivad olla andmesubjektidele veelgi kahjulikumad tagajärjed.

See otsus peaks mõjutama andmetöötlejaid, kes töötlevad andmeid suures mahus ja profiilivad internetikasutajaid, eriti sotsiaalvõrgustike kontekstis, muutes selgesõnalise nõusoleku vajalikuks.

Lõpetuseks lisame, et tulevased digitaalsete teenuste ja digitaalsete turgude regulatsioonid keelustavad tundlike andmete kasutamise reklaami sihtimiseks.

Koos Euroopa Kohtu laia tõlgendusega tundlike andmete kohta võime ette kujutada käitumispõhise reklaami piiramist Euroopa tasandil, mis on oodatust rangem.

Ja ka

Prantsusmaa:

ACCORile määrati äsja 600 000 euro suurune trahv. ärilise luureandmete otsimise eest ilma asjaomaste isikute nõusolekuta ning klientide ja potentsiaalsete klientide õiguste mitteaustamise eest.

Broneerimisvormidel oli vaikimisi eelmärgitud valik, mis nägi ette klientidele automaatselt uudiskirja saatmist partnerite äripakkumistega.

CNIL märkis ka korduvaid tehnilisi anomaaliaid, mis takistasid paljudel inimestel sõnumite vastuvõtmisest keelduda.

CNIL-i otsus tehti koostöömenetluse raames teiste ELi riikide ametiasutustega, kus ACCOR kontsern andmeid töötleb, mille lõpus kohustas Euroopa Andmekaitsekomitee CNIL-i suurendama trahvi summat, et võetud meede oleks hoiatavam.

Arvesse võetavate elementide hulgas on rikkumiste arv, asjaolu, et need rikkumised on seotud mitme isikuandmete kaitse aluspõhimõttega ja kujutavad endast olulist isikute õiguste rikkumist, samuti asjaomaste isikute arv ja ettevõtte finantsseisund.

Augustis muutus võimatuks oma Ameli sisselogimisandmetega France Connectiga ühenduse loomine., Bercy on ühenduse nupu deaktiveerinud.

Põhjuseks on nende sisselogimisandmete abil sagenenud andmepüügirünnakud. Avaliku sektori rahanduse peadirektoraat töötab väidetavalt France Connecti turvamise nimel ja plaanib järk-järgult üle minna kõige tundlikumatele protseduuridele, eriti neile, mis võimaldavad juurdepääsu finantsmaksetele, turvalisematele identifitseerimisteenustele.

25. augustil valitsusväline organisatsioon noyb.eu on esitanud CNIL-ile Google'i vastu kaebuse..

Google'it süüdistatakse Euroopa Kohtu (ECJ) otseturundusmeilide otsuse ignoreerimises ja oma Gmaili e-posti platvormi kasutamises soovimatute reklaammeilide saatmiseks ilma kasutajate kehtiva nõusolekuta.

Prantsuse reklaamitehnoloogia hiiglane Criteo võib saada 60 miljoni euro suuruse trahvi

osana CNIL-i algatatud uurimisest.

See on selles etapis esialgne otsus, mille avalikustas 5. augustil kaebuse esitanud organisatsioon Privacy International.

Euroopa:

ELi nuhkvara uurimise volitusi kritiseeritakse teisipäeval, 30. augustil toimunud parlamendiistungil, mille käigus Europoli esindaja ütles, et agentuuri volitused piirduvad uurimise algatamise otsustanud liikmesriikide toetamisega.

Praeguseks on teadaolevalt vähemalt 14 Euroopa valitsust ostnud nuhkvara NSO Groupilt, kes lõi nuhkvara Pegasus, ning eksperdid usuvad, et EL-is tegutseb palju teisi müüjaid.

Endine Twitteri turvajuht Peiter "Mudge" Zatko esitas ettevõtte vastu kohtusse kaebamise, mis hiljuti avalikustati.

Dokumendis kirjeldatakse rida hukkamõistvaid süüdistusi turvalisuse, privaatsuse ja andmekaitse küsimustes (muuhulgas) ning väiteid, et Twitter oli eksitanud või kavatses eksitada piirkondlikke järelevalveasutusi kohalike seaduste järgimise osas.

Juhtumi on üles võtnud Iirimaa ja Prantsuse järelevalveasutused.

Iiri andmekaitsekomisjon määras sotsiaalmeediaplatvormile Instagramile 405 miljoni euro suuruse trahvi., mis kuulub Metale, GDPR-i rikkumise eest.

Trahv on suuruselt teine GDPR-i alusel pärast Amazonile määratud 746 miljoni euro suurust trahvi ning kolmas Iirimaa regulaatori poolt Meta omanduses olevale ettevõttele määratud trahv.

Otsus puudutab Instagrami laste privaatsuse rikkumist, sealhulgas laste e-posti aadresside ja telefoninumbrite avaldamist.

Kölni kõrgem ringkonnakohus (OLG Köln) mõistis eraisikule 500 eurot, kuna viivituse kohta, mille andmetöötleja on võtnud nõutud teabe esitamisel vastavalt GDPR-i artikli 15 lõikele 1 (GDPRhubi kaudu).

Sarnases juhtumis trahvis Itaalia andmekaitseamet Deutsche Banki 20 000 euroga andmesubjekti juurdepääsutaotlusele (GDPRhubi kaudu) õigeaegselt vastamata jätmise eest.

Kreeka andmekaitseamet on määranud meditsiinilise diagnostika keskusele 30 000 euro suuruse trahvi rikkus andmete terviklikkuse ja konfidentsiaalsuse põhimõtet Juhataja mammograafia pildid olid ebapiisavate tehniliste ja korralduslike meetmete tõttu kaduma läinud.

Lisaks trahvile kohustas andmekaitseamet keskust teavitama rikkumisest andmesubjekte (GDPRhubi kaudu).

Hispaania ülemkohus on otsustanud, et üksikisiku õiguste teostamine andmetöötleja suhtes (GDPR artiklid 15–22) ei ole kaebuse esitamise eeltingimus. andmekaitseasutusega: viimane saab tegutseda isegi siis, kui andmesubjekt ei ole eelnevalt vastutava töötlejaga (GDPRhubi kaudu) ühendust võtnud.

Šveitsis jõustub uus andmekaitseseadus 1. septembril 2023.

Mõned kommentaatorid märgivad, et mitmed põhimõtted oleksid vähem piiravad kui isikuandmete kaitse üldmääruse põhimõtted, eelkõige need, mis puudutavad nõusolekut ja andmekaitseametnikku.

Turvanõuded on seevastu eriti detailsed.

Rahvusvaheline:

Euroopa üksused võivad kuuluda pilvandmetöötluse seaduse reguleerimisalasse isegi siis, kui nad asuvad väljaspool Ameerika Ühendriikidest otsustab uuringu, mille advokaadibüroo viis läbi tema nimel Hollandi justiits- ja julgeolekuministeerium ning avalikustati 26. juulil.

Euroopa ettevõtetel on võimalik seda riski minimeerida, luues Ameerika Ühendriikidega nn Hiina müüri, eelkõige mitte palkades ühtegi ameeriklast ega omades ühtegi Ameerika klienti, mis võiks õigustada USA sekkumist Cloud Acti alusel.

Isegi see kaitse oleks ebapiisav, kui üksus kasutab USA tehnoloogiaid, kuna pilveseadus lubab andmetele juurdepääsu alltöövõtjate/riist- ja tarkvaratarnijate kaudu pilveteenuse pakkujatele/pilveteenuse pakkujatelt.

Need leiud on tekitanud arutelu selliste pakkumiste üle nagu Bleu "Trusted Cloud" (Microsofti tehnoloogiad, mida pakuvad Orange ja Capgemini) ja S3ns (Google'i oma koos Thalesiga).

Ameerika Ühendriikides on Facebook nõustunud saavutama kokkuleppe Cambridge Analytica skandaali osas, mis puudutab ettevõtte juurdepääsu kümnete miljonite Facebooki kasutajate privaatsetele andmetele valimiskampaania ajal. Skandaal puhkes pärast seda, kui Cambridge Analytica vilepuhuja avaldas 2018. aastal ajalehele Observer avalikustatud teabe, mis oli juba toonud Facebookile kaasa miljardite eurode suuruse trahvi maksmise.

Kuubas on isikuandmete kaitse seadus avaldati Euroopa Liidu Teatajas 25. augustil. See jõustub 180 päeva pärast avaldamist.

Venemaa muutis oma andmekaitseseadust pärast Euroopa Nõukogu konventsiooni 108+ allkirjastamist.

Uus 14. juuli 2022. aasta föderaalseadus nr 266 muudab oluliselt mõningaid Venemaal isikuandmete töötlemist reguleerivaid õigusakte ning sisaldab nüüd kohustust teatada andmetega seotud rikkumistest.

Kasvavad poliitilised ja julgeolekualased pinged Pekingi ja lääneriikide vahel on toonud kaasa üleskutseid Ühendkuningriigis geneetiliste andmete Hiinale edastamise läbivaatamine biomeditsiinilise andmebaasi põhjal, mis sisaldab poole miljoni Briti kodaniku DNA-d.

Parimad turvameetmed ei kaitse alltöövõtjate haavatavuste eest.

24. augustil teatas Twilio, et häkkerid olid selle süsteemidesse sisse murdnud.

Twilio pakub oma klientidele verifitseerimisteenuseid, sealhulgas krüpteeritud sõnumsideettevõttele Signal.

Kui kasutaja registreerib oma telefoninumbri, saadab Twilio talle SMS-i, mis sisaldab kinnituskoodi, mille ta seejärel Signali sisestab.

Kuigi teenuse ülesehituse tõttu on mõju Signalile ja selle kasutajatele piiratud, on see hoiatus igale platvormile või teenusele, mida saaks manipuleerida ründajale volituste edastamiseks.

Google LLC trahviti Austraalias 60 miljoni dollariga dollarit tarbijate eksitamise eest nende isikuandmete kogumise ja kasutamise kohta Android-telefonides.

Anne Christine Lacoste

Olivier Weberi advokaadibüroo partner Anne Christine Lacoste on andmeõigusele spetsialiseerunud jurist; ta oli Euroopa Andmekaitseinspektori rahvusvaheliste suhete juht ja töötas GDPR-i rakendamise nimel Euroopa Liidus.