Õiguslik jälgimine nr 89 – november 2025. 

 

Euroopa digitaalreeglite lihtsustamine: mida me võime oodata?

Kui kaugele kavatseb Euroopa Komisjon oma soovis Euroopa õigusraamistikku lihtsustada minna?

Pärast Draghi aruande avaldamist 2024. aasta septembris ja turbulentses rahvusvahelises majanduskeskkonnas on Euroopa valitsus mitmekordistanud tööstuse toetuseks võetud meetmeid.

Hiljuti avaldatud digitaalse omnibussi paketi eesmärk on rahustada erasektorit digitaalsektoris kehtivate õiguslike piirangute osas, mis on kodanikuühiskonna suureks meelehärmiks, kuna see kardab enneolematut põhiõiguste kahjustamist.

Komisjon avaldas 19. novembril ametlikult kaks ettepanekut – „Digital Omnibus“ ja „Digital Omnibus on AI“ – ning käivitas digioskuste hindamise.

Digitehnoloogiat käsitlev ettepanek toob sisse muudatusi nii isikuandmete kaitse üldmääruses kui ka tehisintellekti määruses ja e-privaatsuse direktiivis. Tekst on tihe; siin on mõned põhipunktid.

• • E-privaatsuse direktiivi osas

Komisjon teeb eelkõige ettepaneku küpsiste kasutamise eeskirjade muutmiseks. Eesmärk on vähendada ribareklaamide kuvamise kordade arvu ja võimaldada kasutajatel anda oma nõusolek ühe klõpsuga ning salvestada oma eelistused brauserite ja operatsioonisüsteemide kesksete seadete kaudu. See säte on üks kõige vähem vaidlustatud.

Tekstis nähakse ette ka ühtne aruandlusliides, mis võimaldab ettevõtetel täita kõiki oma intsidentidest teatamise kohustusi ühe turvalise portaali kaudu, eesmärgiga lihtsustada NIS2 direktiivi, isikuandmete kaitse üldmääruse ja digitaalse operatiivse vastupidavuse määruse konkureerivaid kohustusi.

VKEde ning väikeste ja keskmise suurusega ettevõtete jaoks on kavas leevendada juriidilisi kohustusi seoses dokumentatsiooni, sanktsioonide ja pilveteenuste vahetamise eeskirjadega.

• • GDPR-i osas

Ettepanek piirab isikuandmete määratlust, kehtestades andmete tuvastatavuse subjektiivse lähenemisviisi, mis võib teatud pseudonüümitud andmed või identifitseerimisnumbrid määruse kohaldamisalast välja jätta.

Tundlike andmete määratlust muudetaks nii, et see hõlmaks ainult neid andmeid, mis „otseselt” paljastavad teavet tervise, rassilise päritolu jms kohta, riskides välistada näiteks need andmed, mida saab tuletada algoritmi abil.

Samuti püütakse ettepanekuga piirata üksikisikute õigust taotleda juurdepääsu oma andmetele üksnes „andmekaitse eesmärgil“.

Uus „teadusuuringute” määratlus võiks kaasa tuua ka laiaulatuslikke erandeid isikuandmete kaitse üldmäärusest, mis tooks kasu erasektorile: „kõik uuringud, mis tõenäoliselt toetavad innovatsiooni, näiteks tehnoloogiaarendus ja demonstratsioon”, võiksid seega olla vabastatud teabe ja eesmärgi piiramise kohustustest.

Ettepanek sisaldab muudatusi, mis hõlbustavad automatiseeritud otsuste tegemist ja lubavad isikuandmeid kasutada tehisintellekti süsteemide koolitamiseks ja käitamiseks õigustatud huvi alusel.

Tekst näeb ette ka kuuekuulise üleminekuperioodi tehisintellekti määruse artikli 50 lõike 2 (läbipaistvuskohustused) jaoks.

Digitaalse koondpaketi kohta saab kommentaare esitada kaheksa nädalat, mida pikendatakse iga päevaga, kuni ettepanek on kõigis ELi keeltes kättesaadav, praegu kuni 29. jaanuarini 2026.

Seejärel menetletakse ettepanekut Euroopa Parlamendis ja nõukogus tavapärase ELi seadusandliku menetluse kohaselt, kus see on kindlasti elava arutelu teemaks.

Täpsemalt isikuandmete kaitse üldmääruse osas on mõned riigid avatud komisjoni ettepanekute läbivaatamisele, samas kui teised, sealhulgas Sloveenia, Eesti ja Austria, on juba märkinud, et nende arvates ei vaja isikuandmete kaitse üldmäärus "praegu edasisi muudatusi".

Protsess hõlmab ka Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektori seisukohti – kahte seisukohta, mis küll ei ole siduvad, kuid eeldatavasti mõjutavad edasisi arutelusid.

 

Pärast esialgset aruannet, milles hinnati prantslaste valmisolekut maksta suunatud reklaamita veebiteenuste eest, avaldas CNIL 17. novembril teise osa, mis käsitles prantslaste suhtumist oma andmete monetiseerimisse.

65% vastanutest (%) märkis, et nad on valmis oma andmeid müüma. Kõige sagedasem hinnang oli 10–30 eurot kuus, mida eelistas 28% neist vastanutest (%).

Teisest küljest ei soovi 35% inimestest oma andmeid iga hinna eest müüa, väljendades põhimõttelist vastuseisu isikuandmete monetiseerimisele.

Sellega seoses juhib CNIL tähelepanu sellele, et kuigi oma andmete kasutusõiguse üleandmine on võimalik, ei ole „kehtiva õigusraamistiku kohaselt võimalik oma isikuandmete „raha teenimise” tava omandiõiguse üleandmise mõttes, kuna isik ei saa loobuda oma õigustest oma andmete üle“.

20. novembril 2025 trahvis CNIL Prantsuse ettevõtet Conde Nast publications 750 000 euroga veebisaidi "vanityfair.fr" külastajate terminalidesse paigutatud küpsiste osas kehtivate eeskirjade eiramise eest.

Ettevõttele oli juba 2019. aastal Noybi ühingu kaebuse järel saadetud ametlik teade, kuid ettevõte ei vastanud sellele.

Trahvi määramisel võetakse arvesse ettevõtte reageerimisvõimetust, asjaosaliste arvu ja mitmesuguseid puudujääke: nõusoleku saamata jätmist, kasutajate teavitamata jätmist ning nõusoleku andmisest keeldumise ja tagasivõtmise mehhanismide ebaõnnestumist.

27. novembril 2025 määras CNIL ettevõttele American Express Carte France ka 1,5 miljoni euro suuruse trahvi küpsiseid puudutavate eeskirjade eiramise eest.

26. novembril avaldas ANSSI aruande mobiiltelefonide ohu olukorra kohta.

Aruandes tuuakse esile ründajate poolt ärakasutamist haavatavuste osas, mis võivad olla suunatud võrkudele, operatsioonisüsteemile või rakendustele, ning tuuakse välja konkreetne oht: riiklike osalejate spionaaž ja jälitusoperatsioonid.

Mobiiltelefonid on ka küberkurjategijate peamine sihtmärk, kelle abil õnnestub ohvritelt raha varastada.

Mobiiltelefone kasutatakse ka eraviisiliseks jälgimiseks või destabiliseerivateks operatsioonideks.

Aruandes antakse ka kasutajatele turvasoovitusi.

Nende hulka kuuluvad telefoni regulaarne välja- ja uuesti sisselülitamine ilma taaskäivitusfunktsiooni kasutamata, soovimatutes sõnumites linkidele klõpsamata jätmine ja failide avamata jätmine, QR-koodide kaudu edastatud linkide avamisel valvas olemine, operatsioonisüsteemi värskenduste installimine, WiFi ja Bluetooth-liideste keelamine, kui neid ei kasutata, ning avalike WiFi-võrkudega ühenduse loomise vältimine.

 

Euroopa institutsioonid ja organid

26. novembril leppisid ELi liikmesriikide esindajad kokku nõukogu seisukohas laste seksuaalse väärkohtlemise ennetamise ja selle vastu võitlemise määruse osas.

Teksti eesmärk on kehtestada digitaalsektori ettevõtetele kohustus ennetada lastepornograafia levitamist ja laste ahvatlemist.

Pädevatel riiklikel asutustel on õigus kohustada ettevõtteid eemaldama teatud sisu ja blokeerima juurdepääsu sellele või otsingumootorite puhul eemaldama teatud otsingutulemusi.

Määrusega nähakse ette ka uue Euroopa asutuse, Euroopa Lapsporno Keskuse, loomine, mille ülesanne on aidata liikmesriikidel ja veebiteenuste pakkujatel seadust rakendada.

Nõukogu soovib muuta ka praegu ajutise meetme, mis võimaldab ettevõtetel oma teenuseid vabatahtlikult laste seksuaalse väärkohtlemise suhtes skannida, alaliseks.

Kuigi tekst on eelmisest versioonist vähem pealetükkiv, peavad selle kriitikud seda siiski rünnakuks otsast lõpuni krüptimise ja side konfidentsiaalsuse vastu.

Projekti tuleb veel arutada kolmepoolsetel läbirääkimistel komisjoni ja Euroopa Parlamendiga.

5. detsembril trahvis Euroopa Komisjon X-i 120 miljoni euroga digiteenuste seaduse (DSA) kohaste läbipaistvuskohustuste täitmata jätmise eest.

Puuduste hulka kuuluvad kinnitatud kontode "sinise valideerimise" eksitav ülesehitus, reklaamikataloogi läbipaistvuse puudumine ja teadlastele avalikele andmetele juurdepääsu andmata jätmine.

Euroopa Liidu Kohus otsustas oma 2. detsembri Vene meedia otsuses, et turuplatsi avaldaja vastutab oma platvormil avaldatud reklaamide töötlemise eest ning peab enne avaldamist kontrollima, kas need sisaldavad tundlikke andmeid ja kas nende töötlemine on kooskõlas isikuandmete kaitse üldmäärusega.

1/ Turuplatsi operaator vastutab avaldatud reklaamide töötlemise eest: Euroopa Kohtu hinnangul õigustavad seda liigitust mitmed elemendid:

• Kuulutus on platvormi pakutava teenuse tõttu kättesaadav ainult veebis.
• Kirjastaja tegutseb omal eesmärgil, eelkõige äri- ja reklaami eesmärgil, ning ei piirdu tehnilise teenuse osutamisega.
• See määrab kindlaks olulised vahendid: esitusviisi, veebis postitamise kestuse, jaotised, liigituse, levitamismeetodid.
• Seega vastutavad operaator ja reklaamija reklaamidega seotud töötlemise eest ühiselt.

2/ Andmehaldurina peab andmetöötleja tuvastama andmetöötlusega kaasnevad võimalikud riskid ning rakendama tuvastatud riskile vastavaid meetmeid ja kaitsemeetmeid: Euroopa Kohus märgib, et haldur peab eelneval etapil:

• Tuvastage, kas reklaam sisaldab tundlikke andmeid.
• Kontrollige, kas need andmed on seotud reklaamijaga või kas reklaamijal on erand, eelkõige asjaomase isiku selgesõnaline nõusolek.
• Keelduda avaldamisest, kui need tingimused ei ole täidetud.

Osana oma turvakohustustest peab operaator rakendama ka meetmeid tundlikke andmeid sisaldavate reklaamide ebaseadusliku kopeerimise ja paljundamise piiramiseks.

20. novembril tegi Euroopa Kohus otsuse Policejní prezidium kohtuasjas, mis käsitles Tšehhi politsei tava koguda ja tähtajatult säilitada kõigi tahtlike kuritegude toimepanemises kahtlustatavate isikute biomeetrilisi ja geneetilisi andmeid.

Eesmärk oli kindlaks teha, kas Euroopa politseidirektiiv nõuab säilitamise vajaduse hindamist igal üksikjuhul eraldi, kas määramata säilitusajad on lubatud ja millised õiguslikud kaitsemeetmed peaksid nende tundlike andmete töötlemist reguleerima.

Kohus ei leia põhimõttelist keeldu, vaid kehtestab rea tingimusi: andmetöötleja peab järgima kõiki tundlike andmete töötlemisele kohaldatavaid põhimõtteid ja erinõudeid ning siseriiklikud õigusaktid peavad kehtestama asjakohased tähtajad nende andmete säilitamise range vajaduse perioodiliseks läbivaatamiseks.

Euroopa Liidu Põhiõiguste Amet avaldas 4. detsembril aruande, milles käsitletakse põhiõiguste kaitset tehisintellekti kasutamisel kõrge riskiga piirkondades. See toob esile teadlikkuse puudumise nendest õigustest.

 

Uudised Euroopa Liidu liikmesriikidest.

Viini tsiviilasjade ringkonnakohus otsustas, et ELis mitteasutatud andmetöötleja vastu esitatud hagi tuleb kätte toimetada vastutavale töötlejale, mitte tema esindajale ELis.

Esindaja teavitamine isikuandmete kaitse üldmääruse artikli 27 alusel ei ole piisav, välja arvatud juhul, kui siseriiklik menetlusõigus seda võimalust ette näeb.

14. novembril määras Horvaatia andmekaitseamet (APD) telekommunikatsioonioperaatorile andmetöötlejana haldustrahvi kogusummas 4 500 000,00 eurot isikuandmete edastamise eest kolmandasse riiki isikuandmete kaitse üldmäärust rikkudes.

Üleminek Serbia alltöövõtjale viidi läbi ilma kehtiva õigusliku aluseta ja ilma asjaomastele isikutele läbipaistva teabe andmiseta, töötajate isikutunnistuste ja karistusregistri tõendi koopiate töötlemisel ilma õigusliku aluseta ning ilma alltöövõtja asjakohaste eelkontrollideta.

Hispaanias asuvale Valencia rahvusvahelisele ülikoolile määrati 750 000 euro suurune trahv näotuvastuse ja tehisintellekti kasutamise eest eksamil osalejate tuvastamiseks ilma nõuetekohase õigusliku aluseta.

Ka Hispaanias trahvis APD meditsiinikliinikut 30 000 euroga isikuandmete kaitse üldmääruse artikli 5(1)(f) rikkumise eest, kuna see avalikustas umbes 90 Whatsappi grupi kliendi telefoninumbrid ja terviseandmed ilma eelneva nõusolekuta ja piisavate konfidentsiaalsusmeetmeteta.

Kohus mõistis 87 Hispaania meediaväljaandele üle 480 000 000 euro kahjutasu pärast seda, kui jõudis järeldusele, et Meta oli ebaseaduslikult kasutanud oma sotsiaalvõrgustikes kogutud isikuandmeid üksikasjalike kasutajaprofiilide loomiseks ja konkurentidest tõhusama personaalse reklaami pakkumiseks, saavutades seeläbi ebaõiglase konkurentsieelise.

Kohus leidis, et isikuandmete töötlemine on digitaalmajanduses peamine konkurentsitegur ning et isikuandmete kaitse üldmääruse rikkumised võivad kujutada endast ebaausat konkurentsi, kui need annavad olulise eelise.

Itaalia andmekaitseamet (APD) määras Bolzano provintsile 32 000 euro suuruse trahvi liiklusjälgimiskaamerate võrgustiku ebaseadusliku käitamise eest. Provintsil puudus kehtiv õiguslik alus isikuandmete, eelkõige numbrimärkide töötlemiseks.

 

Ühendkuningriigis on 73 akadeemikut, juristi, andmekaitseeksperti ja valitsusvälist organisatsiooni saatnud alamkojale kirja, milles kutsusid üles algatama uurimist Briti andmekaitseasutuse (ICO) tegevuse kohta pärast seda, mida nad kirjeldavad kui "jõustamismeetmete kokkuvarisemist" eelkõige Afganistani andmetega seotud rikkumise skandaali järel.

Nad hoiatavad "sügavamate struktuuriliste rikete" eest, mis ulatuvad kaugemale sellest andmete rikkumisest.

See kujutas endast eriti tõsist infoleket afgaanide kohta, kes olid enne Talibani võimuletulekut 2021. aasta augustis Briti vägedega koostööd teinud, seades ohtu 100 000 inimese elu, kelle nimed kaitseministeerium oli avalikustanud.

ICO-d kritiseeritakse selle eest, et ta ei ole ministeeriumi vastu algatanud ametlikku kohtumenetlust vaatamata korduvatele puudustele. 

Argentinas on mõned kohtud viimastel kuudel teinud otsuseid tehisintellekti kasutamise kohta advokaatide hagides ja lühikokkuvõtetes.

Juhtumid hõlmasid juriste, kes lisasid kohtupraktika tsitaate, mis osutusid tehisintellekti hallutsinatsioonide tõttu valedeks või ebatäpseteks.

Nii nagu eriti Ameerika Ühendriikides, on ka Argentina kohtud hakanud hindama advokaatide ametialase vastutuse ulatust: isegi kui nad tegutsevad heas usus, õõnestab olematule kohtupraktikale viitavate kohtulahendite esitamine kutseala põhiprintsiipe, sealhulgas ausust, lojaalsust ja siirust, nagu need on sätestatud Argentina eri jurisdiktsioonide eetikakoodeksites.

Konkreetsetel uuritud juhtudel otsustasid kohtud advokaatidele otseseid sanktsioone mitte määrata.

Sellest hoolimata pidasid nad asjakohaseks teavitada kohalikke advokatuure, et tõsta teadlikkust tehisintellekti kasutamisega seotud riskidest ja vastutusest ning edendada laiemat arutelu tehisintellekti vastutustundliku kasutamise üle õiguspraktikas.

Austraalia valitsus on viimane, kes avalikustas tehisintellekti tegevuskava.

Pärast julgeolekule keskendunud strateegia kaalumist otsustas valitsus lõpuks rõhutada investeeringuid ja majandust.

Kõrge riskiga keskkondades kohustuslike kaitsemeetmete kehtestamise asemel tugineb Austraalia "olemasolevatele tugevatele õiguslikele ja regulatiivsetele raamistikele".

2. detsembril väljakuulutatud riikliku plaani eesmärk on tugevdada Austraalia mainet tehisintellekti investeerimispiirkonnana ning edendada tehisintellekti laialdase kasutamise eesmärke kogu riigis ja eriti avalikes teenustes.

Samuti kirjeldatakse tehisintellekti turvainstituudi rolli tehisintellekti võimete, riskide ja ohtude testimisel ja teabe jagamisel.

Ka Austraalias ei ole alla 16-aastastel lastel ja teismelistel alates 10. detsembrist enam lubatud sotsiaalmeediat kasutada.

Platvormid on kohustatud rakendama vanuse kontrollimise meetmeid.

Nõuete eiramine võib kaasa tuua kuni 28 miljoni euro suuruse trahvi.

Sellele keelule võivad järgneda teised: 26. novembril nõudis Euroopa Parlament, et sotsiaalvõrgustike, videojagamisplatvormide ja tehisintellektiga assistentide kasutamise vanuse alammäär oleks kogu Euroopa Liidus 16 aastat, lubades samal ajal juurdepääsu 13–16-aastastele vanemate nõusolekul.

Avaldades komisjonile toetust Euroopa vanuse kontrollimise rakenduse ja Euroopa digitaalse identiteedi rahakoti (eID) osas, rõhutavad parlamendiliikmed, et vanuse kontrollimise süsteemid peavad kaitsma alaealiste privaatsust.

Ameerika Ühendriikides on föderaalses kaubanduskomisjonis (FTC) alles vaid kaks viiest volinikust.

Kolmandast tagasiastumisest, Melissa Holyoaki omast, teatas FTC tõepoolest 17. novembril 2025.

See tagasiastumine järgneb president Trumpi otsusele vallandada kaks demokraadist volinikku, jättes ametisse vaid kaks vabariiklasest volinikku.

Asjaga on tegelema haardunud Ülemkohus ja selle otsusel võib olla laiem mõju presidendi võimule sõltumatute asutuste üle.           

USA tolli- ja piirivalveameti (CBP) 9. detsembril esitatud ettepaneku kohaselt peavad reisijad sellistest riikidest nagu Suurbritannia, Prantsusmaa või Lõuna-Korea – riigid, mis on USA viisavabadusprogrammi abikõlblikud – peagi esitama oma sotsiaalmeedia tegevuse ülevaate kuni viie aasta jooksul.

CBP kavatseb taotlejatelt küsida ka pikka nimekirja isikuandmetest, sealhulgas nende e-posti aadresse viimase kümne aasta kohta, samuti nende vanemate, abikaasade, vendade, õdede ja laste nimesid, sünniaegu, elukohti ja sünnikohti.

13. novembril 2025 kuulutas India elektroonika- ja infotehnoloogiaministeerium välja 2023. aasta digitaalsete isikuandmete kaitse seaduse rakenduseeskirjad.

Nishith Desai Associates'i ettevõtte sõnul täpsustavad nad läbipaistvuse, nõusoleku ja registreerimise nõudeid, andmetega seotud rikkumise korral teavitamise kohustust, asjaomaste isikute õigusi ja üksikasju India andmekaitsenõukogu kohta.