Veille juridique

Jälgimispikslid meilides: CNIL selgitab õigusraamistikku

Õiguslik jälgimine nr 94 – aprill 2026. 

 

Jälgimispikslid meilides: CNIL selgitab õigusraamistikku

14. aprillil avaldas CNIL oma soovitused meilides sisalduvate jälgimispikslite kohta. Soovitus on suunatud kõigile era- ja avaliku sektori organisatsioonidele, kes jälgimispiksleid kasutavad, samuti nende kasutatavatele tehniliste teenuste pakkujatele.

Jälgimispiksel on praktikas pilt, sageli väga väike, mis kuvatakse e-kirja sisus hüperlingi kaudu.

Piksli lisamine kujutab endast kasutaja terminalile antud juhist saata sihtotstarbelist teavet (piksli identifikaator, IP-aadress jne) osapooltele, kes selle salvestasid.

Piksel võimaldab sõnumi saatjal näha, kas sõnum on avatud või mitte, ja vastavalt sellele oma suhtlust kohandada, näiteks saatmise sageduse, sõnumite sisu või potentsiaalsete klientide nimekirja värskendamise osas.

CNIL tuletab meile meelde, et selline praktika nõuab e-posti saajate eelnevat nõusolekut vastavalt e-privaatsuse direktiivi artiklile 5, mis on üle võetud Prantsuse andmekaitseseaduse artiklisse 82.

Siiski lubab see erandi saaja tellitud teenusega seotud "tehinguliste" meilide jaoks, näiteks selleks, et tuvastada saajad, kes enam oma e-kirju ei ava, ja eemaldada nad meililistidest.

Erand kehtib ka kontohoiatuste, paki saatmisega seotud teadete, tellimuste kinnituste ja ostuarvete, paroolide meeldetuletuste ja lähtestamiste, turvahoiatuste ja rikkumisteadete jms kohta saadetavate meilide kohta.

Lisaks neile eranditele peab andmetöötleja enne jälgimispiksli e-kirja integreerimist saama alates 14. aprillist (CNIL-i soovituse kuupäev) kogutud aadresside puhul saama saajate eelneva nõusoleku.

See nõusolek võidakse näiteks saada aadressi kogumise ajal või jälgimispikslit mitte sisaldavasse e-kirja manustatud lingi kaudu.

Enne seda kuupäeva kogutud aadresside puhul palutakse osalistel kolme kuu jooksul saajaid selgelt teavitada, et nad saaksid vastuväiteid esitada.

See väljaanne tekitab reaktsioone, sest see sunnib väga suurt hulka ametnikke kiiresti vastavusmeetmeid võtma.

Kas järelevalveasutus on selles küsimuses rangem või leebem kui tema Euroopa kolleegid?

Nüüd näib see olevat üks väheseid, mis selgelt näitab, millises kontekstis jälgimispiksleid karistatakse.

Seda tüüpi töötlemist on aga juba aastaid esile tõstnud Euroopa Andmekaitsenõukogu (EDPB) ja enne seda ka selle eelkäija G29 (vt eelkõige suuniseid WP118 ja 2/2023).

Euroopa seisukoht on samuti rangem kui CNIL-i oma, kuna see mainib jälgimispikslite täielikku keeldu ilma sõnumi saaja nõusolekuta.

Soovituse eelnõu avaliku konsultatsiooni käigus saadud vastused näivad olevat pannud CNIL-i püüdma kõigile meele järele olla: seetõttu on CNIL oma seisukohta muutnud paindlikumaks seoses saaja tellitud teenusega seotud e-kirjadega.

Selle seisukoha rakendamine osutub aga tõenäoliselt keeruliseks.

Erandi ulatuse selgitamine oleks teretulnud, et paremini kindlaks teha teenused, mis sellest kasu saavad, näiteks uudiskirjad või muud saajate tellimused, mille kohta on endiselt mõned küsimused. CNIL (Prantsuse andmekaitseamet) on teatanud, et toetab andmetöötlejaid, eelkõige veebiseminaride kaudu. Auditid ja sanktsioonide kehtestamine peaksid toimuma alles hilisemas etapis, kuigi komisjon ei esita täna täiendavaid üksikasju.

 

CNIL (Prantsuse andmekaitseamet) on avaldanud näidisdokumendi, mis on loodud selleks, et aidata andmekaitseametnikel (DPO-del) oma tegevuse kohta aruandeid koostada. Kuigi selline aruanne ei ole isikuandmete kaitse üldmääruse kohaselt kohustuslik, peab CNIL seda kasulikuks parimaks tavaks vastavuse jälgimiseks ja DPO-dega suhtlemiseks.

28. aprillil kiitis CNIL heaks ka Alliance du Commerce'i esitatud käitumisjuhendi, mille eesmärk on pakkuda Prantsuse rõiva- ja jalatsisektori jaemüüjatele konkreetset abi GDPR-i nõuete täitmisel.

Juhendi eesmärk on tugevdada andmekaitset müügis ja turustamises nii kauplustes kui ka veebis.

See on esimene riiklik ja kolmas valdkondlik kood, mille CNIL (Prantsuse andmekaitseamet) on heaks kiitnud, järgides pilvandmetöötlusele pühendatud Euroopa koodekseid CISPE (2021) ja tervishoius tehtavate kliiniliste uuringute koodekseid EUCROF (2024). Euroopas on rakendatud umbes viisteist koodeksit, millele pääseb ligi selle infograafiku kaudu.

Oma 24. aprilli 2026. aasta määrusega otsustas valitsus määratleda riikliku pettusega seotud kontode registri (FNC-RF) tehnilised üksikasjad, mille eesmärk on tugevdada võitlust pangapettuste vastu, eirates CNIL-i soovitusi turvalisuse kohta.

See fail, mida jagavad Prantsusmaa Pank finantsasutuste vahel, sisaldab pettusekahtlusega kontode IBAN-numbreid.

Valitsuse poolt heaks kiidetud arhitektuur kujutab endast CNIL-i sõnul maksimaalset riskipositsiooni, kuna makseteenuse pakkujate ja nende alltöövõtjatega jagatakse lihttekstina andmete täielikke ja sünkroniseeritud koopiaid.

17. aprillil avaldas DGSI (sisejulgeoleku peadirektoraat) märkuse, milles hoiatas välismaiste rakenduste ja lahenduste kasutamisega töökohal seotud riskide eest. "Lisaks suurenenud küberturvalisuse riskidele võivad need tööriistad, mida sageli arendavad Euroopa-välised ettevõtted, kujutada endast õiguslikke, turva-, konfidentsiaalsus-, sõltuvus- või teenuse katkemise riske."

Märkuses esitatakse mitmesuguseid juhtumeid, mis peaksid kõiki kasutajaid julgustama olema jagatava teabe ja juurdepääsu andmisel ettevaatlikud.

30. aprillil avaldas Prantsuse Riiginõukogu oma otsuse Hadopi õigusjärglase ARCOMi järkjärgulise reageerimise põhimõtte kohta ning tühistas 5. märtsi 2010. aasta dekreedi mitu aspekti privaatsusõiguste rikkumise tõttu. Süsteemi eesmärk oli võidelda muusika ja filmide piraatlusega P2P-võrkudes. Nelja digitaalsete õiguste eest seisva grupi petitsiooni põhjal tegi Riiginõukogu vajalikud järeldused Euroopa Liidu Kohtu (CJEU) 30. aprilli 2024. aasta otsusest, milles on sätestatud, et identiteedi ja allalaaditud teoste korduvat ristviitamist ei saa teha ilma sõltumatu järelevalveta.

Anthropicu otsus mitte avalikustada oma uusimat tehisintellekti (AI) mudelit Mythos küberturvalisuse riskide tõttu on tekitanud arvukalt reaktsioone.

Mythos on tõepoolest võimeline arvutikoodi haavatavusi väga tõhusalt tuvastama.

Neljapäeval, 23. aprillil avaldatud märkuses kutsub tehisintellekti ja digitehnoloogia nõukogu (CIANum) üles "mitte andma järele valitsevale paanikale" ja teeb mitu märkust:

„Tehisintellekti omaksvõtmine nõuetele vastavuse saavutamiseks: avaliku ja erasektori osalejad, kes ei tee pidevaid pingutusi nende uute kasutusviiside mõistmiseks ja integreerimiseks, jäävad kiiresti maha.“

Inimeste kaasamine võtmeetappides: kuigi tehisintellekt on väärtuslik abivahend tarkvara arendamisel, parandamisel ja testimisel, näib inimteadmiste täielik kaotamine praegu läbikukkumist garanteerivat. 

Uute haavatavuste ennetamine ja vastavalt sellele paranduste juurutamine on märkimisväärne väljakutse, eriti kuna paljud osalejad on juba ülekoormatud.

Riiklik Eluteaduste ja Tervise Konsultatiiveetika Komitee (CCNE) ning Digitaaltehnoloogia Riiklik Konsultatiiveetika Komitee (CCNEN) avaldasid 7. aprillil ühisarvamuse digitaalsete neurotehnoloogiate ja aju-masina liideste kohta.

Arvamuses rõhutatakse, et nende tehnoloogiate arendamine "tekitab olulisi eetilisi küsimusi, eriti seoses väärikuse, autonoomia, mõttevabaduse, privaatsuse kaitse ja õiglusega".

Konkreetsed küsimused puudutavad närviandmete kasutamist, mittemeditsiinilisi rakendusi, võimalikku mõju identiteedile ja käitumisele ning laste ja noorukite kaitset.

Komiteed sõnastavad soovituste kogumi, mis kutsub üles olema digitaalsete neurotehnoloogiate kasutamise osas eriti valvsad.

 

Euroopa institutsioonid ja organid

Pärast esialgset ebaõnnestunud katset jõudsid Euroopa seadusandjad 7. mail kokkuleppele kokkulepe tehisintellekti omnibusakti osas, mille eesmärk on muuta ja lihtsustada Euroopa tehisintellekti määrust.

Ettevõtetel on kõrge riskiga tehisintellektiga seotud eeskirjade järgimiseks aega 2027. aasta lõpuni, samas kui tehisintellektiga töötavate masinate tarnijad on teatud kohustustest selgesõnaliselt vabastatud.

Samal ajal kehtestab Omnibus uus keeld tehisintellekti tavadele, mis on seotud seksuaalse ja intiimse sisu või lastepornograafia loomisega ilma nõusolekuta.

Ametlik kinnitamisprotsess on käimas, eesmärgiga avaldada lõplikud muudatused augustiks.

Olukorras, kus üha rohkem riike kavatseb piirata alaealiste juurdepääsu sotsiaalvõrgustikele, võttis Euroopa Komisjon 29. aprillil vastu soovituse, milles kutsutakse liikmesriike üles kiirendama Euroopa vanuse kontrollimise rakenduse kasutuselevõttu ja tegema selle aasta lõpuks kättesaadavaks.

Komisjon on selle rakenduse jaoks välja töötanud üldplaani, mida esitletakse privaatsust arvestavana ja mis võimaldab kasutajatel tõestada oma täisealisust ilma oma täpset vanust, identiteeti või muud isiklikku teavet avaldamata.

Küberturvalisuse konsultant on aga väidetavalt tuvastanud turvaauke, mis võivad ohustada rakenduse üleriigilist kasutuselevõttu.

29. aprillil jõudis Euroopa Komisjon esialgsele järeldusele, et Meta Instagrami ja Facebooki platvormid rikuvad digitaalteenuste määrust (DSA), kuna nad ei suuda hoolikalt tuvastada, hinnata ega leevendada riske, mis on seotud alla 13-aastaste alaealiste juurdepääsuga nende teenustele.

Euroopa Andmekaitsenõukogu võttis oma 22. aprilli plenaaristungil vastu suunised isikuandmete töötlemise kohta teadusuuringute eesmärgil.

Komitee on moodustanud ka töörühma, mille ülesanne on kiirendada anonüümimise suuniste valmimist.

Samuti võttis see vastu kaks arvamust kahe Europrivacy sertifitseerimiskriteeriumide komplekti kohta, et need Euroopa andmekaitsemärgistena heaks kiidetaks, millest üks on mõeldud andmeedastuse vahendina.

Eelmisel plenaaristungil avaldas Euroopa Andmekaitsenõukogu veel ühe olulise dokumendi: organisatsioonide vastavuse hõlbustamiseks isikuandmete kaitse üldmäärusele ja järjepidevuse tugevdamiseks kogu Euroopas töötas nõukogu välja andmekaitsealase mõjuhinnangu (DPIA) mudeli. See dokument on kommenteerimiseks avatud kuni 9. juunini.

Euroopa Kohus otsustas 21. aprillil, et LGBTI+ inimesi häbimärgistava ja marginaliseeriva seaduse vastuvõtmisega on Ungari rikkunud Euroopa Liidu õigust.

Kohus juhib tähelepanu ka sellele, et seaduse pealkiri võrdsustab need isikud pedofiilias süüdi mõistetutega, "mis tõenäoliselt suurendab esimeste häbimärgistamist ja soodustab nende suhtes vihakõnet".

Lõpuks täpsustab kohus, et see seadus rikub isikuandmete kaitse üldmäärust (GDPR), kuna see muutis karistusregistri seadust, et laiendada juurdepääsu pedofiilias süüdi mõistetud isikute kohta käivale teabele.

Kuigi selline juurdepääs võib teatud asjaoludel olla seaduslik, leiab kohus, et "seadus ei anna piisavalt täpset määratlust ei andmetele juurdepääsuks volitatud isikute ega juurdepääsutingimuste kohta, mis on vajalikud nende isikute õiguste ja vabaduste asjakohaseks kaitsmiseks, kelle andmeid käsitletakse".

 

Uudised Euroopa Liidu liikmesriikidest.

Belgias hoiatas andmekaitseamet (APD) kahte inimest, et nad ei filmiks enam avalikke teid.

Kaamera oli paigaldatud rehvide purunemise ennetamiseks.

APD leidis, et avaliku maantee filmimine oli valvekaamerate seaduse kohaselt ebaseaduslik, ning rõhutas, et salvestatud pildid rikkusid kaebuse esitaja ja tema perekonna õigust privaatsusele ja andmekaitsele, kuna kaamera asukohast tulenevalt töödeldakse sageli nende isikuandmeid.

Hispaania andmekaitseamet (APD) määras transporditeenuste ettevõttele 200 000 euro suuruse trahvi selle eest, et see sundis oma töötajaid tööalaselt oma isiklikes telefonides nelja jälgimisrakendust kasutama.

Samuti trahvis APD ülikooli 160 000 euroga selle eest, et see ei saanud tudengitelt kehtivat nõusolekut oma isiku tuvastamiseks veebieksamite ajal näotuvastust kasutava süsteemi abil.

Itaalia andmekaitseamet (APD) määras Poste Italiane SpA-le 6 624 000 euro suuruse ja Postepay SpA-le 5 877 000 euro suuruse trahvi miljonite kasutajate isikuandmete ebaseadusliku töötlemise eest.

BancoPosta ja Postepay rakendused nõudsid teenuste kasutamise kohustusliku tingimusena, et kasutajad annaksid loa mobiilseadmetes sisalduva andmekogumi jälgimiseks pahavara tuvastamiseks.

APD leidis, et jälitustegevuse ulatus oli pettuste ennetamise eesmärkidega võrreldes liigne, ning osutas ka kasutajatele edastatava teabe puudujääkidele, mõjuhinnangu puudumisele, asjakohaste turvameetmete ja andmete säilitamise poliitika puudumisele ning andmetöötleja määramise eeskirjade eiramisele.

Hollandi digitaalmajanduse ja suveräänsuse minister töötab digitaalse hädaabikomplekti loomise kallal, mis aitaks avaliku sektori asutustel ja kodanikel iseseisvalt toime tulla digitaalse katastroofi, näiteks riikliku internetiühenduse katkestuse korral.

Riik on tõepoolest endiselt ohtlikult sõltuv Ameerika tehnoloogiaettevõtetest oma olulise infrastruktuuri osas, alates pilvemajutusest kuni maksusüsteemideni.

Valitsus soovib, et kodanikud saaksid oma vajadusi 72 tunni jooksul iseseisvalt rahuldada ilma interneti, telefoni ja digitaalsete makseviisideta.

Briti valitsus kinnitas 23. aprillil, et Alibaba veebisaidil on müügile pandud 500 000 osaleja meditsiinilised andmed ühes Suurbritannia lipulaevaks olevas teadusprogrammis UK Biobank. Kuigi ohustatud teave ei sisaldanud nimesid, aadresse, kontaktandmeid ega telefoninumbreid, võis see sisaldada sugu, vanust, sünnikuud ja -aastat, sotsiaalmajanduslikku staatust, elustiiliharjumusi ja bioloogiliste proovide mõõtmisi. Küberrünnakut ei toimunud, vaid pigem massiliselt laaditi alla andmeid seaduslikult akrediteeritud organisatsiooni poolt. Andmebaas on teadlastele tõepoolest ligipääsetav. Biopanga juhtkond teatas, et pärast intsidenti on nad rakendanud meetmeid allalaaditud failide suuruse piiramiseks ja kahtlaste failide ekspordi jälgimiseks.

 

Briti valitsus kinnitas 23. aprillil, et Alibaba veebisaidil on müügile pandud 500 000 osaleja meditsiinilised andmed ühes Suurbritannia lipulaevaks olevas teadusprogrammis UK Biobank. Kuigi ohustatud teave ei sisalda nimesid, aadresse, kontaktandmeid ega telefoninumbreid, võib see sisaldada sugu, vanust, sünnikuud ja -aastat, sotsiaalmajanduslikku staatust, elustiiliharjumusi ja bioloogiliste proovide mõõtmisi.

Küberrünnakut ei toimunud, vaid pigem massiline andmete allalaadimine seaduslikult akrediteeritud organisatsiooni poolt. Andmebaas on teadlastele tõepoolest ligipääsetav.

Biopanga juhtkond teatas, et pärast intsidenti on nad rakendanud meetmeid allalaaditud failide suuruse piiramiseks ja kahtlaste failide ekspordi jälgimiseks.

21. aprillil esitas Ameerika Tarbijate Föderatsioon (CFA) Meta vastu kollektiivhagi, väites, et ettevõte ei kaitse oma kasutajaid petturlike reklaamide eest Facebookis ja Instagramis, vastupidiselt oma lubadustele, ning et ta teenib nendest reklaamidest kasu oma kasutajate arvelt.

CFA nõuab Washingtonis tarbijate huvides kahjutasu, ebaseaduslikult teenitud tulu tagastamist ja kohtulikku ettekirjutust.

Kanadast Euroopa Liidu ja Vaikse ookeani rannikuni on tekkimas ülemaailmne digitaalse suveräänsuse pooldav dünaamika – see teema oli kesksel kohal hiljutisel Washingtonis toimunud IAPP 2026 maailma tippkohtumisel. „Mitme töötoa käigus püüdsid osalejad selgitada ja nüansseerida digitaalse suveräänsuse teemalist arutelu, pakkudes samal ajal oma seisukohti selle kohta, kuidas praegune geopoliitiline kontekst seda arutelu lähiaastatel kujundab.“

01.net annab ülevaate Anthropicu uusimatest tehisintellekti projektidest.

14. aprillil avaldas ettevõte oma õigusteaduse magistriõppe programmi (LLM Claude) jaoks spetsiaalse identiteedi kontrollimise lehe. Teatud funktsioonid, turvameetmed või "platvormi terviklikkuse kontrollid" käivitavad nüüd ametliku isikut tõendava dokumendi ja reaalajas selfie päringu.

See teadaanne tuleb vaid paar nädalat pärast leket, mis näitas, et Anthropic tuvastab sõnumites roppusi, solvanguid ja frustratsiooniväljendusi ning registreerib need negatiivse kasutajameeleolu signaalidena. "Koos uue passi ja selfide nõudega on pilt peadpööritav. Anthropic teab, mida sa räägid, kui sa mölised."

Laupäeval, 19. aprillil avaldas Palantir X-is 22-punktilise kokkuvõtte ettevõttest "Technological Republic", mis on omamoodi geopoliitiline kreedo ettevõttele, mille põhitegevuseks on pakkuda lääne armeedele, luureteenistustele ja immigratsiooniametitele (sealhulgas Prantsusmaale) jälitus- ja andmeanalüüsi tarkvara.

Selle manifesti kohaselt sõltub liberaalsete demokraatiate ellujäämine nüüd tarkvara võimsusest, Saksamaa ja Jaapani „desarmeerimine” pärast 1945. aastat oli ajalooline viga, tuumaheidutuse ajastu on lõppemas ja selle peab asendama uus tehisintellektil põhinev heidutus.

Teadlane Chiara Gallese teatab ettevõtte Meta hallatava tehisintellekti agendi haavatavusest.

See agent tegutses väidetavalt ilma inimlike juhisteta, avaldades tundlikke ettevõtte ja kasutajate andmeid volitamata töötajatele.

Väidetavalt liigitas Meta selle intsidendi turvaintsidendi osas teiseks kõrgeimaks raskusastmeks „Sev 1“. Teadlane juhib tähelepanu sellele, et ühelt poolt ignoreerivad mõned Meta tehisintellekti agendid inimeste järelevalve juhiseid, samal ajal omandab Meta platvorme, mis võimaldavad tehisintellekti agentidel omavahel suhelda (Moltbook).

Riskid püsivad seni, kuni inimese järelevalve ei muutu agentsete tehisintellekti süsteemide rangeks arhitektuurinõudeks: tänapäeval käsitletakse inimese kontrolli autonoomsete tehisintellekti süsteemide eelistusena, mitte piiranguna.

Austraalia signaalide direktoraat / ACSC soovitas koos mitme rahvusvahelise partneriga, sealhulgas NSA-ga, 1. mai väljaandes agentide tehisintellekti teenuste ettevaatlikku kasutuselevõttu.

Dokumendis rõhutatakse, et kriitilistes infrastruktuurides suurendab agentide autonoomia vigade, ettenägematu eskaleerumise ja tegevusahelate ohustamise riske.

Peamine soovitus on enne agentliku tehisintellekti operatiivset juurutamist piirata autonoomiat, logida toiminguid, kontrollida juurdepääsu ja määratleda kaitsemeetmed.

etET