Õiguslik järelevalve nr 65 – november 2023.

Kaebused ja sanktsioonid: milline on andmekaitseasutuste 2024. aasta tegevuskava?

GDPR-i jõustumine on suurendanud nii andmetöötlejate kui ka üksikisikute teadlikkust andmekaitsest.

See on toonud kaasa ametlikele arenguabiasutustele esitatud kaebuste arvu suurenemise, keda mõnikord süüdistatakse nende kaebuste mittetäitmises piisavate ressursside puudumise tõttu.

Kuigi Ühendkuningriigis on infovolinik otsustanud enam mitte tegeleda teatud tüüpi kaebustega, mida ei peeta prioriteetseteks, on Euroopa Liidus ametiasutused põhimõtteliselt kohustatud tegelema iga kaebusega, eeldusel, et see on loomulikult vastuvõetav.

Seega tühistas Norra privaatsusapellatsioonide komisjon andmekaitseasutuse otsuse kaebuse menetlemise lõpetamiseks lihtsa teavituskirjaga vastutavale töötlejale, kohustades vastutavat töötlejat hindama töötlemise seaduslikkust ja rõhutades, et andmekaitseasutus ei saa vabalt valida, milliseid juhtumeid uurida või mitte.

Prantsusmaal kehtestas CNIL 2022. aastal lihtsustatud karistusmenetluse, mis võimaldab tal teatud tüüpi kaebusi kiiremini menetleda.

Need on juhtumid, mille kohta on olemas väljakujunenud kohtupraktika, piiratud koosseisuga kohtu poolt varem tehtud otsused või fakti- või õigusküsimused, mille lahendamine on lihtne.

Menetlus on kirjalik, kuid see võimaldab asjaomasel organisatsioonil ära kuulata ja esitada suulisi märkusi.

Selle konfiguratsiooni puhul on sanktsioonid piiratumad ja võivad hõlmata hoiatust, korraldust töötlemise vastavusse viimiseks – sealhulgas kuni 100 euro suurust trahvi iga viivitatud päeva kohta – või kuni 20 000 euro suurust haldustrahvi.

CNIL määras äsja kümnele era- ja avaliku sektori ettevõtjale rikkumiste eest kokku 97 000 euro suurused trahvid:

• Kohustusele vastata CNIL-i päringutele;
• Andmete minimeerimiseks;
• Teave teostatud töötlemise ja selle eesmärkide kohta;
• Kohustus austada üksikisikute õigusi ja eelkõige vastata vastuväite esitamise taotlusele.

CNIL toob esile kaks probleemi, mis kaebuste hulgast, millega tal on tulnud tegeleda, eriti silma paistavad: geolokatsioon ja töötajate pidev videovalve.

Töötlemine toimub sageli isikuandmete kaitse üldmääruses sätestatud andmete minimeerimise põhimõtet rikkudes.

Komisjon märgib eelkõige, et „geolokatsiooniandmete pidev salvestamine ilma töötajate võimaluseta seadet pausi ajal peatada või töö katkestada on töötajate liikumisvabaduse ja privaatsusõiguse liigne rikkumine, kui see pole konkreetselt põhjendatud”.

Sama kehtib ka videovalvesüsteemide kohta, mis filmivad pidevalt töötajaid nende tööjaamades.

„Tööõnnetuste ennetamine ja tõendite kogumine ei õigusta tööjaamade pideva videovalve rakendamist,“ ning kogutud isikuandmed ei tundu olevat piisavad ega asjakohased.

Töötajate pidev jälgimine on väheste eranditega ebaproportsionaalne taotletavate eesmärkidega.

CNIL teatab oma kavatsusest 2024. aastal oma repressiivset poliitikat intensiivistada ja langetada otsuseid lühema aja jooksul.

Tuleb märkida, et Euroopa tasandi koostöö raames on Euroopa Andmekaitsenõukogu liikmeteks olevad andmekaitseasutused otsustanud järgmisel aastal seada prioriteediks üksikisikute õigused. Nende koordineeritud tegevus keskendub sellele, kuidas andmetöötlejad reageerivad üksikisikute taotlustele oma andmetele juurdepääsuks – teema, mis peaks olema lisatud CNIL-i eelseisvatesse lihtsustatud sanktsioonimenetlustesse.

 

  

• CNIL avaldas 15. novembril Sotsiaal- ja meditsiinilis-sotsiaalsektoris kõige levinumate ravimeetodite säilitustähtaegade juhend ja praktiline juhend, mis pakub asjaomastele spetsialistidele metoodikat.
• Koostöös Prantsuse Konkurentsiametiga (AdlC) ja Toulouse'i Majanduskooliga korraldab CNIL 12. detsembril ürituse pealkirjaga "Andmekaitse ja konkurents: ühine ambitsioon". Selle poolepäevase ürituse käigus reguleerijatele, teadlastele ja spetsialistidele võtavad AdlC ja CNIL vastu ühisdeklaratsiooni ja esitavad selle.
• 9. novembril 2023 andis CNIL (Prantsuse andmekaitseamet) hoiatuse ümberkujundamise ja avaliku teenistuse ministeeriumile ning majandus-, rahandus- ning tööstus- ja digitaalse suveräänsuse ministeeriumile seoses järgmise teabe kasutamisega: enam kui kahe miljoni avaliku sektori ametniku kontaktandmed et edastada ja põhjendada seejärel vastuvõetavat pensionireformi projekti.

Minister oli kasutanud ENSAP-i, digitaalset platvormi, kus on kättesaadavad riigiametnike konfidentsiaalsed dokumendid, näiteks nende igakuine palgaleht. 

Piiratud juurdepääsuga CNIL-i paneel tuletas eelkõige meelde, et ENSAP-platvormi ei saa kasutada poliitilise iseloomuga suhtluseks.

• 16. novembri otsuses mõistab põhiseadusnõukogu hukka mobiiltelefonide kaugaktiveerimine heli ja piltide jäädvustamiseks mis on sätestatud õigusemõistmise suuna ja programmeerimise seaduses seoses kohtuorgani avamist, kaasajastamist ja vastutust käsitleva orgaanilise seadusega.

Nõukogu leiab, et see kaugaktiveerimine ilma, et uurijatel oleks vaja füüsiliselt eraruumidesse siseneda jälgimisseadmete paigaldamiseks, võib põhjustada eriti olulise ja ebaproportsionaalse eraelu austamise õiguse rikkumise.

Ta rõhutab ka, et see meede võimaldab jälgida nii uurimiste sihtmärke kui ka kolmandaid isikuid. 

Põhiseadusnõukogu ei mõista siiski hukka elektrooniliste seadmete kaugaktiveerimist geograafilise asukoha määramise eesmärgil.

• Caeni halduskohus otsustas 22. novembri 2023. aasta esialgse otsusega, et Briefcami algoritmiline videovalvesüsteem Cœur Côte Fleurie omavalitsustevahelise omavalitsuse (sealhulgas Deauville-Trouville'i) poolt kasutatav tarkvara kujutab endast tõsist ja ilmselgelt ebaseaduslikku privaatsusõiguse rikkumist ning on kohustanud vastutavaid isikuid kustutama tarkvara kasutamisest tulenevad isikuandmed.

Kambrikohtunik märkis, et kasutamine oli väljaspool igasugust õiguslikku või regulatiivset raamistikku ning leidis, et "pole tõendatud ega isegi väidetud, et avaliku korra säilitamiseks ei oleks saanud rakendada muid, privaatsust vähem riivavaid vahendeid".

• 8. novembril 2023 esitas kuue organisatsiooni koalitsioon, sealhulgas La Quadrature du Net ja EDRi, riiginõukogule kaebuse Prantsuse määruse peale, millega rakendatakse terroristliku sisu levitamise vastast võitlust käsitlevat määrust.

Nad paluvad riiginõukogul esitada Euroopa Liidu Kohtule (CJEU) eelotsuse küsimus TERREGi kehtivuse kohta seoses Euroopa Liidu õigusega kaitstud põhiõigustega ning osutavad sõnavabaduse ja õigusele saada teavet internetis rikkumistele.

 

 

Euroopa institutsioonid ja organid

• Euroopa Parlamendi keskkonnakomisjon ja kodanikuvabaduste komisjon võtsid oma seisukoha vastu 28. novembril. Euroopa terviseandmete ruumi loomine et edendada isikuandmete kaasaskantavust ja turvalisemat jagamist.

Parlamendiliikmed soovivad eelkõige muuta kohustuslikuks patsientidelt selgesõnalise loa saamise nende terviseandmete teiseseks kasutamiseks.

• Euroopa Liit on vastu võtnud eIDAS-määruse muudatuse, sillutades teed digitaalse identiteedi kasutuselevõtt kogu ELis.

Mõned aspektid on endiselt vaieldavad, eelkõige kvalifitseeritud veebiautentimissertifikaatide (QWAC) osas, mis nõuavad brauseritelt valitsuse väljastatud juursertifikaatide aktsepteerimist, mille eesmärk on vältida pettusi ja identiteedivargusi, mida mõned küberturvalisuse eksperdid peavad veebiautentimise sissetungimise ohuks: brauseritootjad ei saaks QWAC-i tagasi lükata isegi siis, kui see kujutaks endast turvaohtu.

• Samal ajal kui Läbirääkimised tulevase tehisintellekti regulatsiooni üle on käimas. Kirjutamise ajal on mitmed küsimused endiselt vastuseta, sealhulgas sihtasutuste mudelite, näiteks ChatGPT, arvessevõtmine määrustes.

Kodanikuühiskonna seisukohavõtt, mis edastati Euroopa läbirääkijatele 16. novembril, toob esile ka küsimuse tehisintellekti kasutamisega politseitöö, rände ja riikliku julgeoleku eesmärgil seotud kahju eest kaitsmise ulatuse kohta.

• Euroopa Andmekaitsenõukogu (EDPB) võttis 14. novembril vastu suunised e-privaatsuse direktiivi artikli 5(3) tehnilise ulatuse kohta.

Komitee selgitab, et Uute jälgimismeetodite teke, mille eesmärk on asendada olemasolevaid jälgimisvahendeid, näiteks küpsiseid, ja luua uusi ärimudeleid, on muutunud suureks probleemiks. andmekaitse mõttes.

Juhised käsitlevad konkreetselt "seadme sõrmejälgede võtmise" ja kõige levinumate tehnikate, näiteks URL-i ja pikslite jälgimise, ainult IP-aadresside jälgimise, asjade interneti (IoT) aruandluse ja unikaalsete identifikaatorite kasutamist.

• Euroopa andmekaitseinspektor avaldas novembri keskel tehnilise väljaande „TechDispatch”, mis oli pühendatud seletatav tehisintellekt („selgitatav tehisintellekt“), et tegeleda tehisintellekti „musta kasti“ efektiga.

See käsitleb läbipaistmatute tehisintellekti süsteemide riskide küsimust ja kirjeldab, kuidas tehisintellekt saab integreerida läbipaistvuse, tõlgendatavuse ja selgitatavuse.

Euroopa Andmekaitseinspektor avaldas 8. novembril ka uuringu eraelu puutumatuse ja isikuandmete kaitse põhiõiguste olemuse kohta.

Käesolevas dokumendis uuritakse nõuet austada nende õiguste „olemust” olukorras, kus need on Euroopa Liidu (EL) õigusega piiratud.

• 9. novembri otsuses selgitas Euroopa Kohus oma isikuandmete tõlgendust.

Ta tundis, et Sõiduki identifitseerimisnumbrid ei ole sellisena isikuandmed..

Siiski muutuvad need isikuandmeteks siis, kui neile juurdepääsu omaval isikul (füüsilisel isikul) on vahendid sõiduki omaniku tuvastamiseks.

• Euroopa Kohus võttis 7. detsembril vastu kaks olulist otsust, mis puudutavad Saksamaal domineerivat krediiditeabe teenuste pakkujat („Schufa“).

Kohus märkis eelkõige, et Automatiseeritud krediidivõimelisuse hindamine („skoorimine“) on üldiselt keelatud. vastavalt isikuandmete kaitse üldmääruse artiklile 22.

Ta lisab, et ettevõte, mis koostab krediidiskoori automatiseeritud vahendite abil, kuulub endiselt artikli 22 alla, isegi kui teine ettevõte tugineb sellele skoorile otsuste tegemiseks, millel on (negatiivne) mõju asjaomasele isikule. – arutluskäik, millel võib olla mõju tehisintellektiga toetatavatele süsteemidele.

Kohus kinnitas ka, et riikide kohtutel on ulatuslikud volitused andmekaitseasutuste järelevalveks.

• Euroopa Inimõiguste Kohus avaldas novembris dokumendi, milles on loetletud tema kohtupraktika isikuandmete kaitse kohta.
• Euroopa Liidu Küberturvalisuse Amet ENISA on avaldanud 2023. aasta küberohtude ülevaade tegevusalade kaupa.

„Ohumaastiku 2023“ kohaselt on avaliku sektori ja valitsusasutused endiselt peamised sihtmärgid, millele järgnevad tervishoiu-, tootmis-, transpordi- ja finantssektor.

• 28. novembril esitas vabaühendus noyb Austria andmekaitseasutusele Meta vastu kaebuse.

PIKK vaidlustab Euroopa kasutajatele antud valikuvõimaluse, mille kohaselt nad nõustuvad isikupärastatud reklaami eesmärgil jälgimisega või maksavad kuni 251,88 eurot aastas "et säilitada nende põhiõigus andmekaitsele Instagramis ja Facebookis." 

Samas kontekstis esitas Euroopa Tarbijate Organisatsioon (BEUC) 30. novembril kaebuse Tarbijakaitsevõrgustikule (CPC), väites, et Meta tegeleb ebaausate kaubandustavadega.

Samuti hinnatakse, kas Meta rikub isikuandmete kaitse üldmäärust.

• 110 kodanikuühiskonna organisatsiooni kutsuvad ELi poliitikakujundajaid üles käimasolevat EURODAC-i reformi tagasi lükkama.

Varjupaigataotlejate andmete kogumiseks ja salvestamiseks loodud andmebaas "muudetakse jälgimisvahendiks, mis käsitleb kaitset otsivaid inimesi kuriteos kahtlustatavatena, sealhulgas juba 6-aastaseid lapsi, kelle sõrmejäljed ja näopildid integreeritakse andmebaasi".

 

Uudised Euroopa liikmesriikidest.

• Belgias leidis APD 23. novembril töökoha jälgimise juhtumis, et pidev töö jälgimine kaameraga ei ole kooskõlas minimaalse andmetöötluse põhimõttega.

APD vaidluste koda teatas, et tegemist oli tõsise rikkumisega, kuid kuna see puudutas väikeettevõtet, teavitas ta seda rikkumisest ja palus tal töötlemine vastavusse viia ilma trahvi määramata.

• Taani andmekaitseamet lükkas tagasi Kopenhaageni linna plaani töötada välja tehisintellekti vahendid rehabilitatsiooni vajavate kodanike tuvastamiseks, kuna isikuandmete kaitse üldmääruse artikli 6(1)(e) ja artikli 6(3) kohaldamisel kasutatud siseriiklikud õigusaktid ei olnud tehisintellekti kasutamise ulatuse osas piisavalt täpsed.
• Saksamaa Liitvabariigi Töökohus rakendas Euroopa Kohtu otsust C-453/21, arvestades, et Tütarettevõtte töönõukogu esimees oli õigustatult vabastatud kontserni andmekaitseametniku ametikohalt huvide konflikti tõttu nende kahe rolli vahel.
• Madalmaades on ametlik arenguabi kehtestas 24. novembril parandusmeetmed töötajate kindlustusagentuurile (Uitvoeringsinstituut Werknemersverzekeringen – UWV) seoses 703 hüvitist saava inimesega.

Kuni selle aasta alguseni UWV jälgis ebaseaduslikult nende töötutoetust saavate inimeste veebikäitumist algoritmi abil.

• Isikuandmete kaitse üldmääruse artikli 60 kohase menetluse kontekstis Iirimaa andmekaitseamet (DPA) on Airbnb Irelandile noomituse teinud andmete minimeerimise ja säilitamise piiramise põhimõtete rikkumise eest. ja selle eest, et ta tugines andmesubjekti isikut tõendavate dokumentide säilitamisel isikuandmete töötlemise alusena GDPR-i artikli 6 lõike 1 punktile f.
• Itaalia APD algatas novembri lõpus uurimise avalikel ja erasektori veebisaitidel, et kontrollida nende vastuvõtmist Asjakohased turvameetmed isikuandmete massilise kogumise (veebikraapimise) vältimisekskolmandate osapoolte poolt tehisintellekti algoritmide treenimise eesmärgil.
• Berliini ringkonnakohus hinnanguliselt LinkedIn oli tegelenud ebaausate äritavade ja isikuandmete kaitse üldmääruse rikkumisega, kuna ei kaalunud selliste teenuste kasutamist Parameetrid „Ära jälgi” (DNT) vastuväitena töötlemisele ja märkides eelnevalt sätte „nähtavus väljaspool LinkedIni”, kui kasutajad esimest korda konto loovad.

Kohtu hinnangul kujutavad andmekaitsevälised vastuväited endast standardiseerimise puudumisest hoolimata tõhusat vastuväidet andmetöötlusele: teisisõnu, GDPR-is sätestatud vastuväiteõigust saab teostada ka automatiseeritud vahenditega, näiteks brauseri seadete abil.

• G7 digitaal- ja tehnoloogiaministrid ning OECD kohtusid virtuaalselt 1. detsembril 2023, et jätkata arutelusid, mille eesmärk on rakendada põhimõtte „Andmete vaba voog usaldusega“ (DFFT) ja hõlbustada piiriüleseid andmevooge.

Edusammud ja järgmised sammud on üksikasjalikult kirjeldatud veebis kättesaadavas pressiteates.

• Suurimate sotsiaalmeediaplatvormide tegevjuhid ilmuvad USA Senati justiitskomitee ette 6. detsembril, et anda tunnistusi laste seksuaalse ärakasutamise ja ettevõtete väidetava suutmatuse kohta kaitsta lapsi oma platvormidel.
• Austraalia valitsus on avalikult vastanud 28. septembril 2023 avaldatud privaatsusseaduse läbivaatamise aruandele ja kinnitab oma pühendumust Austraalia privaatsusstandardite tugevdamisele, et viia need paremini vastavusse ülemaailmsete standarditega.

 

Mitmete ettepanekute eesmärk oleks kehtestada laste privaatsuse osas täiendavad kaitsemeetmed.

• Elon Musk teatas, et tema tehisintellekti vestlusrobot Grok hakkab tööle detsembri alguses.

Muski tehisintellekti ettevõtte xAI poolt välja töötatud vestlusrobot on X Premium+ tellijatele rakendusesisene funktsioon.

• YouTube avaldas blogipostituse, milles teatati erinevatest meetmetest, mille eesmärk on märgistada tehisintellekti loodud sisu ja võidelda "süvavõltsingutega".

Ettevõte kavatseb tutvustada uuendusi, mis teavitavad kasutajaid, kui nende nähtud sisu on sünteetiline.

Seetõttu palub YouTube loojatel märkida, kas nad on loonud realistlikku muudetud või sünteetilist sisu, sealhulgas tehisintellekti tööriistu kasutades.