Õiguslik järelevalve nr 76 – oktoober 2024.  

Küberrünnakud: suurenenud risk ja arenev õigusraamistik.

 Sel sügisel Prantsusmaal on ettevõtete või avalike teenuste sihtmärgiks olnud küberrünnakute arv lugematu.

Pärast Boulangerit, Culturat, Truffaut'd, Grosbilli ja SFR-i on nüüd Free'i kord kannatada suure küberrünnaku all, just siis, kui küberturvalisuse teadlikkuse kuu on lõppemas.

Klientidele saadetud e-kirjas teatas ettevõte, et rünnaku tulemusel saadi volitamata juurdepääs osadele tellijate kontodega seotud isikuandmetele, sealhulgas sisselogimisandmetele, kontaktandmetele, lepingulistele andmetele ja mõnel juhul ka IBAN-ile. Hinnanguliselt mõjutab rikkumine enam kui 19 miljonit klienti.

Free on CNIL-i ja ANSSI-d andmetega seotud rikkumisest teavitanud.

Kui arvestada ka ulatuslikke rünnakuid, mis olid suunatud kahe suure kolmanda osapoole makseorganisatsiooni ja France Travaili vastu 2024. aasta alguses, siis mõnede hinnangul on tänapäeval tumeveebis müügil enam kui 40 miljoni prantslase andmed.

Nende rünnakute sagenemine on ajendanud CNIL-i avaldama teabelehe, et aidata asjaosalistel end kaitsta.

Eelkõige soovitab ta kontrollida pangakontode tegevust, olla valvas identiteedivarguste ja andmepüügiriskide suhtes, vahetada paroole ning kasutada mitmefaktorilisi autentimisprotseduure.

Erinevalt Euroopa kolleegidest on CNIL seni harva karistanud küberrünnakute ohvriks langenud ettevõtteid andmete kaitsmata jätmise eest.

Siiski määras see äsja krüptovarade turvafirmale Ledgerile sanktsioonid klientide andmete ebapiisava kaitsmise eest.

La Lettre'i andmetel, kes loo 23. oktoobril avaldas, on määratud trahvi suurus 750 000 eurot. CNIL ei ole seda summat kinnitanud.

Ettevõte kannatas 2020. aastal mitme isikuandmete rikkumise all, mis mõjutasid arvukalt kliente ja potentsiaalseid kliente.

GDPR-i sätetele lisatakse nüüd uusi reegleid, mis nõuavad andmetöötlejatelt andmete kaitsmist.

Need on 17. oktoobril jõustunud Euroopa NIS2 direktiivi kohustused.

Selle direktiivi eesmärk on leevendada ohte võrkudele ja infosüsteemidele, mis pakuvad olulisi teenuseid võtmesektorites, et tugevdada Euroopa Liidu julgeolekut.

Teksti kohaldamisala laiendatakse võrreldes NIS1-direktiiviga ning see on konkreetselt suunatud siseturul majandusliku ja ühiskondliku tegevuse nõuetekohaseks toimimiseks olulistele taristutele ja üksustele: avaliku sektori haldusasutused, telekommunikatsioonitaristu, info- ja kommunikatsiooniteenused, digitaalteenuste osutajad, aga ka toidu- või keemiatööstuse, tervishoiu või reovee puhastamise sektorid.

Nõuded on seotud eelkõige juhtimise ja küberriskide maandamise meetmetega, administratiivse infosüsteemi osadeks jagamisega, kohustusega teatada mis tahes intsidendist ja tarneahelate turvalisusega.

Nagu ka isikuandmete kaitse üldmäärus (GDPR), näeb direktiiv ette intsidentidest ja rahatrahvidest teatamise.

Kuigi täieliku vastavuse saavutamiseks on kavandatud kolmeaastane periood, tuleb kiiresti kehtestada miinimumnõuded, nimelt reguleeritud üksuse registreerimine ANSSI-s portaalis „monespaceNIS2“, intsidentidest teatamine ja turvalahendustesse tehtud investeeringute demonstreerimine.

Olenemata reeglitest ja sanktsioonidest on hea meeles pidada turvarikkumiste inimlikke tagajärgi.

Seda tegi Briti infovolinik (ICO) just 28. oktoobri väljaandes.

Hoiatuses andmetöötlejatele rõhutab ametkond andmetega seotud rikkumiste kohati laastavaid tagajärgi.

Ta mainib, et 55% Ühendkuningriigi täiskasvanutest on kaotanud või varastatud oma andmeid, mis moodustab ligi 30 miljonit inimest.

Selle olukorra isiklikke ja emotsionaalseid tagajärgi eiratakse liiga sageli: 301 000 ohvrit teatavad emotsionaalsest stressist, samas kui 25 000 neist ei saa vastutavatelt organisatsioonidelt mingit abi.

Lisaks saavad 32% kannatanutest sellest teada meedia, mitte organisatsiooni enda kaudu, mis süvendab nende reetmistunnet.

ICO juhib tähelepanu sellele, et liiga paljud organisatsioonid ei mõõda kahju täielikult ja jätavad isikuandmete kaitse tähelepanuta.

"Andmelekke korral ei ole tegemist lihtsalt haldusveaga, vaid kellegi kaitsmata jätmisega."

 

        

26. septembril trahvis CNIL (Prantsuse andmekaitseamet) selgeltnägijateenuste pakkujaid Cosmospace'i ja Telemaque'i vastavalt 250 000 ja 150 000 euroga, kuna nad ei saanud asjaomastelt isikutelt selgesõnalist nõusolekut. enne tundlike andmete töötlemist salvestatud konsultatsioonide kontekstis.

Samuti teatas see, et on alates 2024. aasta juunist määranud üksteist uut lihtsustatud sanktsiooni seoses liigse andmete kogumise, registri puudumise, isikute õiguste eiramise või koostöö puudumisega seotud süütegudega.

Lõpuks, 17. oktoobril 2024, kutsus ta sise- ja ülemereterritooriumide ministeeriumi ning justiitsministeeriumi korrale karistusregistrite töötlemise faili kehva haldamise pärast.

CNIL korraldab 19. novembril ürituse "Air", mis on pühendatud jälitustegevusele ja selle eetilistele tagajärgedele.

Debatid korraldatakse koostöös luuretehnikate kontrolli riikliku komisjoniga (CNCTR).

Pariisi riigiprokuratuur teatas, et 18. oktoobril 2024 moodustasid Belgia ja Prantsuse õigusasutused Eurojusti kohtumisel Telegrami uurimiseks ühise uurimisrühma.

Prantsusmaal algatati 2024. aasta veebruaris eeluurimine, mis viis kohtuliku uurimise algatamiseni ja seejärel Pavel Durovi vahistamiseni sel suvel.

Pariisi riigiprokuratuuri küberkuritegevuse osakond oli varem konsulteerinud erinevate prokuratuuride ja uurimisteenistustega, samuti oma välispartneritega Eurojustis, et arutada taotlustele vastuste saamise raskusi.

3. oktoobril tühistas kassatsioonikohus Caeni apellatsioonikohtu otsuse ja kordas, et kohus peab tsiviilmenetluse kontekstis tööandjalt võimaliku palgadiskrimineerimise kohta tõendite esitamist kohustades järgima andmete minimeerimise põhimõtet.

Tõendina nõutavad isikuandmed peavad piirduma menetluseks hädavajalikuga.

22. oktoobril esitas vabaühendus Noyb CNIL-ile kaebuse sotsiaalmeediaplatvormi Pinterest vastu..

Noyb märgib, et hoolimata Euroopa Liidu Kohtu (CJEU) 4. juuli 2023. aasta otsusest, mis selle praktika hukka mõistis, kasutab platvorm kasutajate isikuandmeid ilma nende nõusolekut küsimata oma õigustatud huvi alusel ning aktiveerib jälgimise vaikimisi.

Platvormi kritiseeritakse ka selle eest, et see ei esita teavet kolmandate osapoolte kohta, kellega ta andmeid jagab.

 

Euroopa institutsioonid ja organid

Euroopa Komisjon avaldas 9. oktoobril oma esimese läbivaatamise aruande, mis käsitleb ELi ja Ameerika Ühendriikide vahelise andmekaitseraamistiku piisavusotsust.

Komisjon järeldab, et USA ametivõimud on "kehtestanud kõik raamistiku koostisosad".

See hõlmab kaitsemeetmete rakendamist, et piirata USA luureteenistuste juurdepääsu isikuandmetele sellega, mis on vajalik ja proportsionaalne riigi julgeoleku kaitsmiseks, ning sõltumatu ja erapooletu õiguskaitsemehhanismi loomist.

Aruanne sisaldab soovitusi raamistiku tõhusa toimimise tagamiseks, näiteks ühiste suuniste väljatöötamine oluliste DPF-nõuete kohta.

Euroopa Andmekaitsenõukogu (EDPB) võttis oma 8. ja 9. oktoobri plenaaristungil vastu arvamuse volitatud töötlejate ja järgnevate volitatud töötlejate kohta, õigustatud huvi suunised, avaldus isikuandmete kaitse üldmääruse kohaldamise täiendavate menetlusnormide ja Euroopa Andmekaitsenõukogu tööprogrammi kohta aastateks 2024–2025.

4. novembril võttis komitee vastu ka oma esimese aruande ELi ja USA andmekaitseraamistiku kohta ning avalduse õiguskaitseasutuste juurdepääsu kohta andmetele.

Ta märgib tehtud edusamme ja julgustab USA ametivõime välja töötama uued suunised ning Euroopa Komisjoni jälgima ELi kodanike õiguskaitsemehhanismi.

Oma 4. oktoobri otsuses kohtuasjas C-507/23 leidis Euroopa Kohus, et vabandus võib olla isikuandmete kaitse üldmääruse artikli 82 lõike 1 kohaselt asjakohane mittevaralise kahju hüvitis, eriti juhul, kui kahju tekkimisele eelnenud olukorra taastamine ei ole võimalik, tingimusel et selline hüvitis on võimeline andmesubjekti kantud kahju täielikult hüvitama.

 

Uudised Euroopa Liidu liikmesriikidest.

Belgia andmekaitseamet (DPA) avaldas 9. oktoobril veebis oma "nutikate linnade" õppepäeva dokumendid.

Eesmärk oli pakkuda aruteluplatvormi, kus sidusrühmad saaksid jagada oma kogemusi, parimaid tavasid, väljakutseid, lahendusi ja visioone "nutikate linnade" tulevikust.

Õppepäeva aruanne, osalejate sõnavõtud ja videosalvestused on leitavad APD veebisaidilt.

11. oktoobri otsuses RTL Belgiumi kohta tuletab APD andmetöötlejale meelde, et ta peab oma veebisaidi külastajatele küpsiste paigutamisest keeldumise sama lihtsaks tegema kui nende vastuvõtmise, mis kujutab endast nõusoleku kehtivuse tingimuste konkreetset kohaldamist.

APD kiidab heaks ka külastajale kuvatavate nuppude kujunduse ja viitab eelkõige Euroopa Andmekaitsenõukogu tööle selles küsimuses.

Sel konkreetsel juhul paistis ereoranž nupp „Nõustu ja sulge” ülejäänud küpsiste ribareklaamist eriti silma ning APD puhul „on see nupp, millele kasutajate tähelepanu peamiselt koondub”.

Vastuseks RTL-i argumendile "kunstilise vabaduse" kohta väidab APD, et „Andmetöötlejad peavad tagama, et värvi kasutamine ei innustaks kasutajaid ilmselgelt küpsiste paigutamisega oma brauserisse nõustuma.“

Siiski ei takista miski andmetöötlejatel kasutamast nupuvärvi, mis sarnaselt julgustaks kasutajaid küpsiste paigutamisest keelduma.

Pange tähele, et Austria andmekaitseamet (APD) tegi 28. oktoobril samas suunas otsuse avalik-õigusliku ringhäälinguettevõtte Österreichischer Rundfunk kohta: see käskis ettevõttel oma veebisaidil küpsiste ribareklaami kohandada, kuna valiku „nõustu kõigi küpsistega“ graafiline esiletõstmine muudab isiku nõusoleku isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti a alusel kehtetuks.

Need kaks juhtumit on osa kaebuste seeriast, mille vabaühendus Noyb on esitanud mitmes ELi riigis, ning edasisi otsuseid selles küsimuses võib peagi oodata.

Iiri andmekaitseamet (DPA) teatas oma lõplikust otsusest 24. oktoobril pärast LinkedIni küsitlust.uurimine algatati pärast kaebust, mille La Quadrature du net esitas CNIL-ile algselt 2018. aastal.

See keskendus LinkedIni isikuandmete töötlemisele käitumisanalüüsi ja kasutajatele suunatud reklaami eesmärgil ning puudutas selle töötlemise seaduslikkust, õiglust ja läbipaistvust.

Otsus sisaldab noomitust, korraldust LinkedInile oma andmetöötlus vastavusse viia ja haldustrahve kogusummas 310 miljonit eurot.

Itaalia andmekaitseamet (APD) määras Itaalia peamisele postiteenusele Postel SpA 900 000 euro suuruse trahvi, kuna ettevõte ei reageerinud peaaegu aasta jooksul oma süsteemides teadaolevale ja teatatud haavatavusele.See tegi võimalikuks isikuandmete rikkumise: 2023. aasta augustis langes ettevõte lunavararünnaku sihtmärgiks, mille tulemusel blokeeriti ettevõtte serverid ja mõned tööjaamad.

Pimeveebis avaldatud teave puudutas identifitseerimis- ja kontaktandmeid, makseandmeid, samuti andmeid kriminaalkaristuste ja süütegude kohta, terviseandmeid ja ametiühingusse kuulumise paljastavaid andmeid.

Hollandi andmekaitseamet (APD) teatas 23. oktoobril, et uuris kaheksat puhkeparki, mis kasutavad basseinidele ja mänguväljakutele juurdepääsuks näotuvastust, ning leidis, et kõik need pargid rikkusid privaatsusseadusi teabe puudumise ja kehtiva nõusoleku puudumise tõttu.

APD surve all muutsid seitse parki oma andmetöötlusmeetodeid.

 

Exceli fail on võimaldanud avalikustada 9483 Põhja-Iirimaa politseiametniku ja töötaja isikuandmeid.

Vastuseks kahele andmetele juurdepääsu taotlusele väljastas politsei faili, milles andmed olid maskeeritud, kuid mitte kustutatud. Lekke eest vastutavaks peetud politseile määras Ühendkuningriigi andmekaitseamet (DPA) rekordilise 900 000 euro suuruse trahvi.

Sarnases kontekstis määras ICO sanktsioonid ka Southend-on-Sea volikogule: vastuseks haldusdokumentidele juurdepääsu taotlusele esitas volikogu arvutustabeli, mis sisaldas endiselt isikuandmeid.

16 jurisdiktsiooni, sealhulgas Austraalia, Kanada, Hiina, Hispaania ja Ühendkuningriigi andmekaitseasutused võtsid rahvusvahelise andmekaitseasutuste konverentsi raames vastu ühisavalduse nn kraapimise tehnoloogiate kohta.

Avalduses rõhutatakse, et organisatsioonid peavad isikuandmete, sealhulgas oma platvormidelt pärineva teabe kasutamisel suurte tehisintellekti keelemudelite (LLM) väljatöötamiseks järgima andmekaitseseadusi.

28. oktoobril avaldatud avalduses tuuakse välja ka muud ootused, sealhulgas ootused, et organisatsioonid:

• Nad rakendavad mitmesuguseid kaitsemeetmeid, vaatavad need regulaarselt üle ja ajakohastavad neid, et pidada sammu kraapimistehnikate ja -tehnoloogiate arenguga; ning
• Nad tagavad, et volitatud andmete väljavõtmine ärilistel või ühiskondlikult kasulikel eesmärkidel toimub vastavalt seadusele ja rangetele lepingutingimustele.

Oktoobri keskel toimus Itaalias andmekaitseasutuste G7 kohtumine, mille eesmärk oli tugevdada asutuste koostööd ülemaailmsel tasandil.

Võeti vastu deklaratsioon ametiasutuste rolli kohta tehisintellekti vastutustundliku kasutamise tagamisel.

Samuti avaldati avaldus, milles rõhutatakse tugeva piiriüleste andmevoogude mehhanismi olulisust, mis kaitseb isikuandmeid kogu maailmas.

20. oktoobril avaldas Austraalia andmekaitseamet (DPA) kaks privaatsuse kaitse ja tehisintellekti käsitlevat juhenddokumenti:

• Juhend kaubanduslikult saadaolevate tehisintellekti toodete kasutamise kohta;
• Generatiivsete tehisintellekti mudelite arendamise ja treenimise juhend.

Esimese juhendi põhipunktide hulgas rõhutab APD järgmist:

• Privaatsuskohustused kehtivad igasugusele tehisintellekti süsteemi sisestatud isikuandmetele, samuti tehisintellekti loodud väljundandmetele (kui need sisaldavad isikuandmeid).
• Kui tehisintellekti süsteeme kasutatakse isikuandmete, sealhulgas piltide genereerimiseks või järeldamiseks, kujutab see endast isikuandmete kogumist, mis peab vastama andmekaitsepõhimõtetele.

Parima tava kohaselt soovitab APD, et organisatsioonid ei sisestaks isikuandmeid ja eriti tundlikku teavet avalikult kättesaadavatesse genereerivatesse tehisintellekti tööriistadesse, kuna sellega kaasnevad märkimisväärsed ja keerukad privaatsusriskid.

Oktoobris avalikustatud TikToki sisekommunikatsioon näitas, et ettevõte ei olnud mures rakenduse kahjuliku mõju pärast Ameerika teismelistele, kuigi ettevõtte enda uuringud tõid esile arvukalt murekohti.

Need konfidentsiaalsed dokumendid on osa enam kui kaheaastasest uurimisest, mida viisid läbi 14 Ameerika Ühendriikide peaprokuröri.

Hagis väidetakse, et TikTok loodi selge eesmärgiga tekitada noortes sõltuvust ning et ettevõte eksitas avalikkust kaasnevate riskide osas.

Dokumentidele juurdepääsu omanud NPR-i andmetel määras TikTok täpse vaatamiste arvu (260), mis on vajalik, et inimesel tekiks platvormist sõltuvus.

Riiklike uurijate sõnul „kuigi see võib tunduda märkimisväärne, võivad TikToki videod olla vaid 8 sekundit pikad ja vaatajad esitavad neid kiiresti, automaatselt järjest. (...) Seega jääb keskmine kasutaja platvormist sõltuvusse vähem kui 35 minutiga.“

Internetiarhiiv kogeb praegu küberrünnakute lainet.

Esimene rünnakute seeria, mis avalikustati oktoobri keskel, koosnes mitmest DDoS-rünnakust. Häkkerid avalikustasid ka, et nad olid saanud juurdepääsu 31 miljoni kasutaja andmetele.

Oktoobri lõpus langes organisatsioon taas sissetungi ohvriks, seekord oma Zendeski e-posti tugiplatvormile, pärast seda, kui seda oli korduvalt hoiatatud autentimismärkide varguse eest.