Õiguslik järelevalve nr 66 – detsember 2023.

GDPR-i kohtupraktika: peamised trendid 2023. aastaks

Nii Prantsusmaal kui ka Euroopa tasandil tegid andmekaitseasutused ja kohtuorganid 2023. aastal arvukalt otsuseid, milles selgitati isikuandmete kaitse üldmääruse kohaldamise tingimusi.

Euroopa tasandil puudutavad andmekaitseasutuste kehtestatud kõige olulisemad sanktsioonid nii rahvusvahelisi tehnoloogiahiiglasi kui ka mõnda riiklikku ettevõtet.

Nad suunavad reklaamid konkreetselt ilma kasutaja nõusolekuta ja kasutajate teavitamata jätmise tõttu.

• 4. jaanuaril 2023 trahvis Iirimaa andmekaitsekomisjon ettevõttet Meta Platforms Ireland Ltd. 390 miljoni euroga isikuandmete ebaseadusliku kasutamise eest reklaami eesmärgil Facebookis ja Instagramis.

Samuti määras see Metale 2023. aasta mais ajaloolise 1,2 miljardi euro suuruse trahvi andmete ebaseadusliku edastamise eest Ameerika Ühendriikidesse.

• Iirimaa andmekaitseamet (DPA) määras WhatsAppile 2023. aasta jaanuaris ka 5,5 miljoni euro suuruse trahvi kasutajate sundimise eest andma nõusolekut isikuandmete kasutamiseks "teenuste ja turvalisuse parandamise" eesmärgil.
• 15. juunil 2023 määras CNIL internetireklaamile spetsialiseerunud ettevõttele CRITEO 40 miljoni euro suuruse trahvi, eelkõige selle eest, et ettevõte ei kontrollinud, kas isikud, kelle andmeid ta töötles, olid andnud oma nõusoleku.
• Itaalia andmekaitseamet trahvis eelmise aasta juunis telemarketingifirmat TIM SpA 7,6 miljoni euroga ebapiisava järelevalve eest kõnekeskuste üle, kus esines kuritarvitusi.

Prantsusmaal on CNIL kehtestanud mitu muud mainimist väärivat sanktsiooni. Komisjon on keskendunud eelkõige järgmisele:

• Kuna ettevõttel Clearview puudub biomeetriliste andmete kogumisel õiguslik alus;
• Kogutud andmete minimeerimise põhimõtte järgimise küsimuses, antud juhul geograafilise asukoha andmete osas Cityscooti kohtuasjas 16. märtsil 2023;
• Seoses andmete säilitamise tähtaegadega KG COMi 8. juuni 2023. aasta kohtuasjas ja Doctissimo 11. mai 2023. aasta kohtuasjas;
• Üksikisikute õiguste austamise kohta Canal + (12. oktoober), Free (20. märts) ja Criteo (15. juuni) kohtuasjades.

Viimase punkti osas rõhutab CNIL, et andmed tuleb taotlejale edastada arusaadaval kujul.

Ta märgib ka, et juurdepääsutaotlusele vastamise ühekuulise tähtaja mittetäitmine on sagedane rikkumine.

Tasub meenutada, et üksikisikute õiguste teostamine on Euroopa andmekaitseasutuste 2024. aasta koordineeritud uurimiste teema.

Mainigem Prantsuse kohtute ja tribunalide praktika osas ka mitmeid hiljutisi videovalvega seotud otsuseid.

• Nice'i ja Lille'i halduskohtud langetasid 23. ja 29. novembril otsused algoritmilisel näotuvastusel põhinevate videovalvesüsteemide paigaldanud omavalitsuste kasuks, kuna neid süsteeme ei olnud (veel) täielikult aktiveeritud ega kasutusele võetud laiendatud videovalve eesmärgil.
• Caeni halduskohus seevastu leidis 22. novembri vaheotsuses otsustavamalt, et Briefcami algoritmiline videovalvesüsteem kujutab endast tõsist ja ilmselgelt ebaseaduslikku privaatsusõiguse rikkumist.

Kambrikohtunik märkis, et kasutamine oli väljaspool igasugust õiguslikku või regulatiivset raamistikku ning leidis, et "pole tõendatud ega isegi väidetud, et avaliku korra säilitamiseks ei oleks saanud rakendada muid, privaatsust vähem riivavaid vahendeid".

Algoritmilise videovalve kasutamise õigusliku aluse küsimus peaks muutuma veelgi pakilisemaks seoses Euroopa tehisintellekti määruse vastuvõtmisega, mis reguleerib näotuvastust avalikes kohtades eriti rangelt (vt allpool olevaid lühiülevaateid).

Lõpuks on Euroopa Liidu Kohus Euroopa tasandil vastu võtnud mitu otsust, mis selgitavad eelkõige automatiseeritud töötlemisele kohaldatavaid põhimõtteid ja kahju arvessevõtmist isikuandmete kaitse üldmääruse rikkumiste korral:

• Seega võttis Euroopa Kohus 7. detsembril vastu kaks olulist otsust, mis puudutavad Saksamaal domineerivat krediiditeabe teenuste pakkujat („Schufa“).

Kohus märkis eelkõige, et krediidivõimelisuse automatiseeritud töötlemine („skoor“) on isikuandmete kaitse üldmääruse artikli 22 alusel üldiselt keelatud.

Ta lisab, et ettevõte, mis koostab krediidiskoori automaatselt, jääb artikli 22 reguleerimisalasse, isegi kui tegemist on teise ettevõttega, mis tugineb sellele skoorile otsuste tegemisel, millel on (negatiivne) mõju asjaomasele isikule, ning see põhjendus võib mõjutada tehisintellektiga toetatavaid süsteeme.

• Kahju hüvitamise osas leidis kohus 4. mai 2023. aasta Osterreichische Post AG otsuses, et isikuandmete kaitse üldmääruse sätete rikkumine ei ole piisav, et anda ebaseaduslikust töötlemisest mõjutatud andmesubjektile õigus hüvitisele: andmesubjekt peab ka kahju tõendama. See kahju tuleb aga hüvitada isegi siis, kui see ei saavuta teatud raskusastet.
• Oma 14. detsembri 2023. aasta otsuses annab Euroopa Kohus moraalse kahju mõistele laia tõlgenduse.

Kohus täpsustab eelkõige, et hirm, mida isik tunneb kolmandate isikute poolt tema isikuandmete võimaliku väärkasutamise ees pärast isikuandmete kaitse üldmääruse rikkumist, võib iseenesest kujutada endast moraalset kahju.

Koos Österreichische Post AG otsusega, mis sätestab, et mittevaralise kahju miinimumkünnist ei ole, võiks see otsus edendada kollektiivhagide arengut Euroopas.

Tasub meenutada, et Prantsusmaa, nagu ka tema Euroopa partnerid, on praegu siseriiklikku õigusesse üle võtmas 25. novembri 2020. aasta direktiivi tarbijate kollektiivsete huvide kaitsmiseks esitatavate esindushagide kohta.

 

   

• Detsembri keskel avaldas CNIL andmekaitsespetsialistidele mõeldud "Andmetöötluse ja vabaduste tabelid".

Need tabelid rühmitavad ja liigitavad arvukate Prantsuse ja Euroopa kohtute, sealhulgas Euroopa Inimõiguste Kohtu, Euroopa Liidu Kohtu, põhiseadusnõukogu, riiginõukogu ja kassatsioonikohtu otsuste kokkuvõtteid.

Tabelites on ka teatud Euroopa Andmekaitsenõukogu ja CNIL-i otsused, mis keskenduvad neile, millega kehtestatakse uus doktriin või põhimõtted.

• Detsembri keskel avaldas CNIL ka juhendi GDPR-i teadlikkuse tõstmiseks, et toetada töötervishoiu ja tööohutuse teenuseid (SPST) nende vastavusnõuetele.
• Pärast Euroopa Andmekaitsenõukogu on nüüd konkurentsi, tarbijakaitse ja pettuste vastase võitluse peadirektoraadi kord avaldada leht, mille eesmärk on teavitada tarbijaid nn tumedatest mustritest – tehnikatest või protsessidest, mille eesmärk on mõjutada internetikasutajate valikuid, et panna neid tellima tooteid või teenuseid, mida nad muidu täielikult ei valiks.
• Siseministeerium on just lõpetanud oma küberkuritegevuse vastaste teenistuste ümberkorraldamise.
• Uus siseministeeriumi küberruumi juhtimine (Comcyber-MI) loodi 23. novembri 2023. aasta määrusega ja see koordineerib kõiki ministeeriumi ressursse.
• Teine dekreet vormistab uue küberkuritegevuse vastase büroo (OFAC) loomise, mis ühendab politseis küberturvalisuse vastase võitluse alldirektoraadi ja endise büroo, info- ja kommunikatsioonitehnoloogiaga seotud kuritegevuse vastase võitluse keskbüroo (OCLCTIC).
• Lõpuks vormistab kolmas dekreet riikliku küberüksuse loomise, mis on seotud riikliku sandarmi peadirektoraadiga.

Iliad, CMA CGM ja Schmidt Futures Groups on loonud mittetulundusliku tehisintellekti uurimislabori "Kyutai", mille eesmärk on lahendada tehisintellekti peamisi väljakutseid, nagu suurte multimodaalsete mudelite väljatöötamine ja uute algoritmide leiutamine.

 

Euroopa institutsioonid ja organid

• EL saavutas 9. detsembril poliitilise kokkuleppe tehisintellekti määruse osas, mis peaks ametlikult vastu võetama 2024. aasta alguses.

Ajutine leping keelaks näiteks käitumise kognitiivse manipuleerimise, näokujutiste mittesihipärase kogumise internetist või turvakaamera salvestistest, emotsioonide tuvastamise töökohal ja haridusasutustes, sotsiaalse hindamise, biomeetrilise kategoriseerimise tundlike andmete, näiteks seksuaalse sättumuse või usuliste veendumuste, tuletamiseks ning teatud juhtudel ennustava politseitöö üksikisikute puhul.

Lepingus on sätestatud mitu erandit õiguskaitseasutustele ja migratsioonile.

• Euroopa Andmekaitsenõukogu võttis oma viimasel plenaaristungil vastu kirja, milles vastati Euroopa Komisjoni algatusele küpsiste vabatahtliku kasutamise lubaduse kohta.

Komitee toetab üldiselt dokumenti ja soovitab ettevõtetel oodata aasta enne nõusolekutaotluste uuendamist, kui kasutaja on keeldunud oma andmete kogumisest, et vähendada kasutajate väsimust („küpsiste väsimus“), mis korduvate pakkumiste tõttu paneb kasutajad oma õiguste teostamise asemel suvaliselt klõpsama.

• Euroopa Kohus selgitas 7. detsembri 2023. aasta otsuses, et isikuandmete kaitse üldmääruse rikkumise eest trahvi määramine eeldab tahtlikku või hooletusest toime pandud rikkumist.

See arendab edasi andmetöötleja vastutuse ulatust ja kvalifikatsiooni: see määratlus võib seega olla suunatud üksusele, kes on ettevõttelt tellinud mobiilse arvutirakenduse väljatöötamise ja kes on selles kontekstis osalenud töötlemise eesmärkide ja vahendite kindlaksmääramises, isegi kui see üksus ei ole ise töötlemistoiminguid läbi viinud, ei ole andnud sõnaselget nõusolekut nende toimingute tegemiseks ega rakenduse avalikkusele kättesaadavaks tegemiseks.

Ta juhib tähelepanu sellele, et kahe üksuse kvalifitseerimine töötlemise kaasvastutavateks töötlejateks ei eelda ei nende üksuste vahelise kokkuleppe olemasolu töötlemise eesmärkide ja vahendite kindlaksmääramise kohta ega ka sellise kokkuleppe olemasolu, mis sätestab nende vastutusega seotud tingimused.

• 21. detsembril otsustas Euroopa Kohus, et isikuandmete kaitse üldmääruse artikli 82 alusel makstav õigus hüvitisele täidab kompenseerivat funktsiooni, „selles mõttes, et sellel sättes põhinev rahaline hüvitis peab võimaldama täielikult hüvitada nimetatud määruse rikkumise tagajärjel tekkinud tegeliku kahju“, mitte aga hoiatavat ega karistuslikku funktsiooni.

Seega ei tohiks kõnealuse kahju põhjustanud rikkumise raskusaste kahjutasu suurust mõjutada.

• Microsoft on välja andnud uue Outlooki versiooni, mis peaks 2024. aastal asendama Windowsi integreeritud e-posti ja kalendriprogrammi, mis tekitab Euroopa andmekaitseasutustes muret.

Microsoft pääseb ligi meilidele ja manustele, kui kasutaja lisab rakendusse mitte-Microsofti meilikonto selle konto IMAP- ja SMTP-mandaatide kaudu.

 

Uudised Euroopa liikmesriikidest.

• Kuigi novembri lõpus avaldatud Élysée avalduse kohaselt peaks Marie-Laure Denis CNIL-i presidendiks uuesti ametisse nimetama, teatas Iirimaa andmekaitsekomisjoni president Helen Dixon 15. novembril 2023 LinkedInis oma lahkumisest 2024. aasta veebruaris pärast 10-aastast ametiaega.
• Itaalia andmekaitseamet (APD) määras andmetöötlejale 40 000 euro suuruse trahvi kolme endise töötaja e-posti kontodele juurdepääsu eest, rikkudes isikuandmete kaitse üldmääruse artikli 5 lõiget 1 ja artiklit 13.

Samuti leidis ametiasutus, et korteriühistu valitseja oli rikkunud isikuandmete kaitse üldmääruse artikli 5 lõike 1 punkti a ja artiklit 6, paigaldades ebaseaduslikult videovalvesüsteemi ilma eelneva korteriühistu otsuse vastuvõtmiseta.

APD määras 1000 euro suuruse trahvi ja töötlemiskeelu.

• Norra andmekaitseamet (APD) määras Norra töö- ja sotsiaalametile (NAV) 1 754 678 euro (20 miljoni Norra krooni) suuruse trahvi ja andis välja mitu korraldust 12 rikkumise eest, mida seostati administratsiooni infoturbe- ja IT-süsteemide "pikaajalise raske hooletusega".
• Taani andmekaitseamet (DPA) on noominud digitaalse valitsuse ametit JavaScripti kasutamise eest seoses Taani digitaalse identifikaatoriga MitID.

Kuigi selle programmeerimiskeele kasutamisega seotud riskid on teada, kasutas amet seda ilma eelneva riskihindamise tegemata, rikkudes sellega muuhulgas isikuandmete kaitse üldmääruse artikli 32 lõiget 1.

• 18. detsembril ajakirjas New Scientist avaldatud artiklis mainitakse, et kuue miljoni taanlase isikuandmete (meditsiinilised, tööalased ja finantsdokumendid) põhjal treenitud tehisintellekt suutis ennustada surmariske suurema täpsusega kui olemasolevad mudelid, sealhulgas kindlustussektoris kasutatavad.

Selle tehnoloogia taga olevad teadlased ütlevad, et sellel võib olla positiivne mõju sotsiaalsete ja terviseprobleemide varajasele ennustamisele, kuid see peab jääma suurkorporatsioonide kätte.

• Pärast eelmise aasta oktoobris vastu võetud veebiturvalisuse seaduseelnõu, mida kodanikuühiskond kritiseeris side otsast lõpuni krüptimise kahjustamise pärast, valmistab Ühendkuningriik ette uut vastuolulist seadust uurimisvolituste kohta.

Politico raporti kohaselt on selle projekti peamine mure seotud nn teavitusrežiimiga: see võimaldaks siseministeeriumil nõuda ettevõtetelt teavitamist kõigist plaanidest muuta oma teenuste tooteid või süsteeme, mis tähendaks ettevõtete võimalikku kontrolli kaotamist oma toodete üle ja takistaks neil näiteks koodi haavatavuste parandamist, mida valitsus või selle partnerid sooviksid ära kasutada.

Seaduseelnõu on praegu arutamise etapis, järgmine istung on kavandatud 23. jaanuarile.

 

• 18 riigi küberjulgeolekuagentuurid leppisid 26. novembril 2023 avaldatud dokumendis kokku luua tehisintellekti jaoks „turvalised disainilahenduse järgi” mudelid: ettevõtted, kes kujundavad ja kasutavad tehisintellekti, peavad seda arendama ja juurutama viisil, mis kaitseb nende kliente ja üldsust väärkasutuse eest.

Selle mittesiduva lepingu võtsid vastu Ameerika Ühendriigid, Kanada, Jaapan ja seitse ELi riiki (Saksamaa, Eesti, Prantsusmaa, Itaalia, Poola, Tšehhi Vabariik) ning Norra ja Ühendkuningriik.

• Ameerika Ühendriikides nõustus Google vahetult enne aasta lõppu lahendama 5 miljardi dollari suuruse kollektiivhagi, mis puudutas tema Chrome'i brauseri inkognito režiimi. Google'it süüdistati kasutajate sirvimisandmete jälgimise, kogumise ja tuvastamise jätkamises reaalajas isegi pärast uue inkognito akna avamist.

Euractivi andmetel ei ole lepingu täpsed tingimused veel avalikud, kuid ametlik leping peaks kohtule esitatama 24. veebruariks.

• California privaatsusamet (CCPA) on toetanud seadusandlikku ettepanekut, mis kohustaks veebibrauserite müüjaid lisama funktsiooni, mis võimaldab inimestel oma õigusi kasutada loobumissignaalide kaudu.

CCPA märgib, et paljud brauserid nõuavad praegu tarbijatelt signaali edastamiseks võimelise kolmanda osapoole pistikprogrammi installimist. 

Loobumissignaalide natiivset tuge pakkuvad brauserid moodustavad praegu vähem kui 10% ülemaailmsest veebibrauserite turust.

• Föderaalne Kaubanduskomisjon (FTC) pakkus detsembri lõpus laste privaatsuse kaitse seaduse (COPPA) uuenduse osana välja uued piirangud ettevõtetele, kes koguvad alla 13-aastaste laste andmeid, ja rangemad standardid selle teabe säilitamiseks.
• Samuti süüdistatakse Ameerika Ühendriikides kollektiivhagis Ameerika tervisekindlustusfirmat Humana tehisintellekti mudeli vääras kasutamises, et keelata eakatele inimestele olulise taastusravi osutamine.