Õiguslik jälgimine nr 86 – august 2025. 

 

Küpsised ja internetikasutajate sihtimine: praegune olukord.

1. septembril määras CNIL Google'ile 325 miljoni euro suuruse trahvi ja Shein grupi Iirimaa tütarettevõttele 150 miljoni euro suuruse trahvi – kaks summat, mis tõstavad oluliselt CNIL-i viimastel kuudel määratud sanktsioonide keskmist.

Google'it karistati Gmaili kasutajate meilide vahele lisatud reklaamide kuvamise ja Google'i kontode loomisel küpsiste paigutamise eest ilma Prantsuse kasutajate kehtiva nõusolekuta.

CNIL nõuab Google'ilt ka reklaamide kuvamise eemaldamist kuue kuu jooksul ja kasutajate kehtiva nõusoleku saamist reklaamiküpsiste paigutamiseks Google'i konto loomisel, mille ähvardusel määratakse 100 000 euro suurune päevaraha. 

Sheinile määratud trahv on seotud ka küpsistele kohaldatavate eeskirjade eiramisega, mis paigutatakse veebisaidi "shein.com" külastajate seadmetesse.

Need märkimisväärsed trahvid on osa komisjoni erinevatest meetmetest internetikasutajate jälgimise ja sihtimise reguleerimiseks ning need avaldati komisjoni veebisaidil 2019. aastal.

CNIL oli Google'it juba 2021. aasta detsembris 150 miljoni euroga trahvinud küpsiste eeskirjade rikkumise eest ning 50 miljoni euroga privaatsuspoliitika läbipaistvuse ja selguse puudumise ning personaalse reklaami õigusliku aluse puudumise eest.

Hiljuti karistas see ettevõtet Orange sarnase tava eest saata reklaame e-kirjade kujul.

Need otsused annavad meile võimaluse vaadata üle internetikasutajate sihtimise tavad ja õigusraamistik.

Konkreetsetele juhtumitele kohaldatavad eeskirjad on spetsiifilised: komisjon tuletab meelde, et jälgimisseadmete ja elektroonilise luurega seotud toimingud ei kuulu isikuandmete kaitse üldmääruse, vaid teiste eeskirjade alla: andmekaitseseaduse artiklisse 82 jälgimisseadmete puhul üle võetud e-privaatsuse direktiiv ja elektroonilise ärilise luure puhul CPCE paragrahv 34-5.

Nõuetele mittevastavaks peetavad tavad puudutavad peamiselt jälgimisseadmete paigutamist ilma kasutaja nõusolekuta, aga ka nn küpsiseinte kasutamise kasvavat tava, mis seab kasutaja juurdepääsu teenusele tingimuseks jälgimisseadmete paigutamise nõusoleku oma terminali.

Erinevalt mõnest oma Euroopa asutusest ei pea CNIL seda tava iseenesest ebaseaduslikuks.

Siiski rõhutab ta, et nõusolek peab olema antud vabatahtlikult ning kasutajale pakutavad alternatiivid tuleb esitada tasakaalustatult, ilma et neid julgustataks ühte võimalust teise asemel kasutama (näiteks muutes ühe valiku keerulisemaks kui teise).

Samuti on vajalik, et nõusolek oleks teadlik, mis tähendab, et inimestel oleks täielik ja selge arusaam oma valikute tagajärgedest.

Need CNIL-i otsused on ka kulminatsiooniks kaebustele, mille valitsusväline organisatsioon noyb esitas enam kui kaks aastat tagasi arvukatele Euroopa andmekaitseasutustele (DPA-dele), peamiselt seoses küpsiseinte või tasuliste ja okei-teenuste fenomeniga ning andmete kogumise läbipaistvuse küsimusega.

Seega järgis Austria Liidu Halduskohus augusti keskel Austria Andmekaitseameti arvamust ja leidis, et küpsiste paigutamise mitme eesmärgi olemasolu nõuab eraldi nõusolekut.

Kohtu hinnangul rikuks erinevate töötlemiseesmärkide rühmitamine otsustusvabadust ja muudaks nõusoleku kehtetuks.

„See detailsus on tihedalt seotud nõudega, et nõusolek tuleb anda konkreetsel eesmärgil,“ seisab kohtuotsuse seletuskirjas.

Need hiljutised arengud kinnitavad järelevalveasutuste seisukohta, et õigusraamistik ja eelkõige e-privaatsuse direktiiv kehtivad rangelt nõusolekule, eriti mitteoluliste küpsiste puhul.

Võimud ei salli enam „vaikimisi” nõusolekuid ega ebamääraseid teabeliideseid.

       

Senat küsitles teda sel suvel, Microsoft France'i avalike ja juriidiliste suhete direktor Anton Carniaux tunnistas, et ta ei saa "garanteerida", et Euroopas majutatud Prantsuse kodanike andmeid ei edastata kunagi Ameerika valitsusele. pilveseaduse alusel, kuigi "seda pole kunagi juhtunud".

Ameerika hiiglastest sõltuvuse kontekstis on Taani valitsus teatanud ametlikust algatusest, mille eesmärk on hinnata avatud lähtekoodiga lahenduste integreerimist oma avalikesse teenustesse.

9. septembril avaldasid DGE ja DGCCRF Euroopa tehisintellekti määruse rakendamise eest vastutavate riiklike asutuste määramise kavandi.

Dokument sisaldab diagrammi, mis näitab määruse asjakohaste artiklite kohaselt arvukalt pädevaid asutusi ja tehisintellekti töötlemise eesmärke.

Tänu DINUM-i õigusmissiooni asejuhi tööle on nüüd võimalik tutvuda CNIL-i kontrollide kaardiga aastate ja tegevusalade kaupa.

Kaardistamine keskendub neile kontrollidele ega hõlma kõiki CNILi tegevusi, nagu teadlikkuse tõstmine kohapeal, ametlikud teated, sanktsioonid jne.

See põhineb andmetel, mida CNIL avaldab data.gouv lehel.

 

Euroopa institutsioonid ja organid

Euroopa uudised on sel aastaajal institutsioonide ja eelkõige Euroopa Liidu Kohtu tegevuse tõttu tiheda liiklusega.

Ettepanek võtta vastu määrus suhtluse kontrolli kohta („vestluse kontroll“), mille eesmärk on ennetada ja võidelda laste seksuaalse väärkohtlemise vastu, on taas Taani eesistumise ajal toimuva Euroopa Ülemkogu 12. septembri 2025. aasta kohtumise päevakorras.

Läbivaadatud ettepanek näeb ette võimaluse skannida sidet kasutaja terminalis enne selle saatmist ning paljude teadlaste ja kodanikuühiskonna arvates on see samm tagasi võrreldes eesistujariigi Poola tekstiga.

8. septembril avaldati uus avalik kiri (neljas sellel teemal), millele kirjutasid alla enam kui 600 teadlast 34 riigist.

Ta rõhutab selle ettepaneku ebaefektiivsust ja riske krüpteerimise osas ning mainib võimalikke alternatiive.

4. septembril algatas Euroopa Komisjon Brasiiliaga andmekaitse piisavuse otsuse vastuvõtmise protsessi.

Pärast vastuvõtmist on see otsus esimene Ladina-Ameerikat puudutav piisavusotsus pärast Argentinat puudutavaid otsuseid 3. juunil 2003 ja Uruguayd puudutavaid otsuseid 21. augustil 2012.

Brasiilia ametivõimud on algatanud ka protsessi, mille eesmärk on võtta vastu samaväärne otsus, mis võimaldaks Brasiilia andmete vaba liikumist ELi.

Järgmised sammud hõlmavad otsuse eelnõu esitamist läbivaatamiseks Euroopa Andmekaitsenõukogule (EDPB) ja ELi liikmesriike esindavale ministrite nõukogule.

Ettepanekut vaatab läbi ka Euroopa Parlament.

5. septembril Euroopa Komisjon teatas, et trahvib Google'it 2,95 miljardi euroga. reklaamitehnoloogia sektoris („adtech“) konkurentsi moonutamise teel ELi monopolidevastaste eeskirjade rikkumise eest.

Väidetavalt eelistas Google omaenda veebireklaamitehnoloogia teenuseid konkureerivate reklaamitehnoloogia teenusepakkujate, reklaamijate ja veebiväljaannete arvelt.

Komisjon käskis Google'il lõpetada need eneseeelistuse tavad ja rakendada meetmeid, et kõrvaldada oma reklaamtehnoloogia tarneahelas peituvad huvide konfliktid.

Google'il on nüüd 60 päeva aega, et komisjonile teatada, kuidas ta kavatseb edasi tegutseda.

See sanktsioon kutsus Ameerika Ühendriikide kohe esile reaktsiooni, kusjuures Donald Trump andis mõista, et kavatseb ELi vastu vastumeetmeid võtta.

3. septembril otsustas Euroopa Kohus oma otsuses T-553/23 | Latombe vs. komisjon Euroopa Liidu Kohus lükkas tagasi Euroopa Parlamendi liikme Philippe Latombe hagi, millega taotletakse ELi ja Ameerika Ühendriikide vahelise andmeedastust käsitleva lepingu kolmanda versiooni tühistamist. andmekaitseraamistik, arvestades, et Ameerika Ühendriigid „tagasid isikuandmete piisava kaitsetaseme“.

Härra rõhutas eriti, et Ameerika apellatsiooniorgan, andmekaitse läbivaatamise kohus (DPRC), ei ole erapooletu ja sõltub täidesaatvast võimust.

Ta osutas ka luureteenistuste tavale koguda Euroopa Liidust edastatavaid massilisi isikuandmeid ilma kohtuniku või sõltumatu haldusasutuse eelneva loata ning seega ilma piisavalt selgete ja täpsete suunisteta.

Kohus lükkab tühistamistaotluse tagasi.

Ta rõhutab, et Korea Rahvavabariigi Komisjoni tegevuse suhtes kohaldatakse mitmeid kaitsemeetmeid, et Euroopa Komisjon jälgib andmekaitseraamistiku kohaldamist ning peab piisavaks, et Ameerika agentuuride luuretegevus allub Korea Rahvavabariigi Komisjoni ex post kohtulikule kontrollile.

Euroopa Kohtu otsuse peale saab edasi kaevata Euroopa Kohtusse ja parlamendiliige Philippe Latombe on juba väljendanud oma kavatsust selline edasikaebus esitada.

4. septembril tühistas Euroopa Kohus olulise otsusega (kohtuasi C-413/23 P | EDPB/CRU) Euroopa Kohtu otsuse, mis käsitles isikuandmete mõistet.

See on otsus Euroopa Andmekaitseinspektori (EDPS) apellatsiooni kohta, mis puudutab ELi kohtu otsust, millega tühistati tema 2020. aasta otsus.

Selles otsuses jõudis Euroopa Andmekaitseinspektor järeldusele, et Euroopa Ühtne Kriisilahendusnõukogu (SRB) oli rikkunud Euroopa institutsioonide isikuandmete kaitse üldmäärust, edastades raamatupidamisfirmale võlausaldajate ja aktsionäride kommentaare Hispaania panga pankrotimenetluse kohta.

Euroopa Kohus leiab, et üksikisikute isiklikud arvamused kujutavad endast isikuandmeid ja et kohus oleks pidanud neid ka sellisena käsitlema.

Samuti usub ta, et isikuandmete töötlemise ja edastamisega seotud taasidentifitseerimise ohtu tuleb hinnata iga juhtumi puhul eraldi andmete kogumise ajal ning et kohus eksis Euroopa Andmekaitsenõukogu esialgse otsuse tühistamisel osaliselt seetõttu, et ta ei olnud kindlaks teinud, kas pseudonüümsete kommentaaride sisu sisaldas tegelikult isikuandmeid.

Siiski asus Euroopa Kohus CRU poolele küsimuses, millistel tingimustel saab pseudonüümitud andmeid pidada ka isikuandmeteks, kirjutades oma otsuses, et "Pseudonüümseid andmeid ei tohiks isikuandmete kaitse üldmääruse kohaldamise eesmärgil kõigil juhtudel ja iga isiku puhul pidada isikuandmeteks." niivõrd, kuivõrd pseudonümiseerimine võib olenevalt juhtumi asjaoludest tõhusalt takistada muudel isikutel peale vastutava töötleja andmesubjekti tuvastamist viisil, mille puhul andmesubjekt ei ole või ei ole nende jaoks enam tuvastatav.

Teises, samuti 4. septembri kuupäevaga otsuses (kohtuotsus C 655/23, IP vs. Quirin Privatbank AG) otsustas kohus vastutava töötleja vastu ennetava töötlemisest hoidumise õiguse olemasolu ja moraalse kahju ulatuse kohta.

Kohus leiab, et isikuandmete kaitse üldmäärus ei paku ennetavat õiguskaitsevahendit tulevase ebaseadusliku töötlemise vastu, kuid liikmesriigid võivad selle ette näha.

Ta selgitas ka, et sellised tunded nagu alandus või mure võivad olla piisavad moraalse kahju tekitamiseks, kui selle kohta on tõendid esitatud.

Ta lisab, et andmetöötleja süü raskusaste või ettekirjutuse saamine ei tohiks mõjutada hüvitise suurust, mis jääb üksnes kompensatsiooniks.

 

Uudised Euroopa Liidu liikmesriikidest.

Saksamaal otsustas Liidukohus, et tööandja oli töötaja terviseandmeid ebaseaduslikult töödelnud, jälgides teda, et kontrollida, kas ta teeskleb oma töövõimetust.

Samuti mõistis ta töötajale 1500 eurot moraalse kahju hüvitamiseks.

Belgia andmekaitseamet (APD) tegi noomituse poliitikule, kes kogus avalikust allikast kellegi e-posti aadressi ja saatis neile poliitilisi sõnumeid, rikkudes GDPR-i seaduslikkuse, eesmärgi piiramise ja läbipaistvuse põhimõtteid.

Hispaanias trahvis APD loomaaeda ja veeparki haldavat ettevõtet Loro Parque 250 000 euroga sõrmejälgede kogumise eest ilma eelneva teabe või nõusolekuta: asjaomased isikud pidid andma oma sõrmejäljed, kui neil olid sooduspiletid, mis võimaldasid neil ühe piletiga mõlemasse parki pääseda.

Lisaks trahvis APD Hispaania Kaubanduskoda 500 000 euroga füüsilisest isikust ettevõtjate maksukohustuslase numbrite edastamise eest eraettevõtetele ilma õigusliku aluseta.

Itaalias trahvis APD autofirmat 50 000 euroga.

Viimane oli korraldanud oma töötajatega pärast nende äraolekut tööle naasmise intervjuusid, mille tulemusel koguti liigselt andmeid, sealhulgas tundlikke andmeid.

APD osutab ka läbipaistvuse ja töötaja nõusoleku kehtivuse põhimõtete rikkumisele.

Leedu andmekaitseamet (DPA) on andnud Vintedile korralduse lõpetada klientide telefoninumbrite kogumine kontode kinnitamise eesmärgil.

Algselt leidis ta, et Vintedi esitatud põhjused, nimelt kasutajakontode kontrollimine ja platvormi turvalisuse tagamine, ei ole andmetöötleja ja andmesubjekti vahelise lepingu oluline osa.

Ta märkis ka, et kasutustingimustes mainiti ka muid võimalikke kasutaja isikusamasuse kontrollimise viise ning seetõttu ei vastanud isikuandmete töötlemine GDPR-i artikli 6 lõike 1 punktis b sätestatud vajalikkuse kriteeriumile.

Hollandi ülemhalduskohus otsustas, et vaimse tervise hooldeasutus ei ole kohustatud andmete kustutamise taotlust täitma.

Andmete säilitamine oli vajalik ravilepingu ja asutuse teenuste haldamiseks.

Poolas trahviti ING Bank Śląski 4 300 000 euroga isikut tõendavate dokumentide skannimise eest ilma mõjuva põhjuseta ja riskianalüüsita..

APD leidis, et pank oli tundlikke andmeid, sealhulgas PESEL-numbreid ja dokumendiandmeid, asjatult töödelnud, rikkudes seeläbi rahapesuvastaste eeskirjadega nõutavat riskipõhist lähenemisviisi.

 

Hiina karmistab oma reegleid andmete edastamise kohta välismaale.

Hiina avaliku julgeoleku ametivõimud süüdistavad Diori Shanghai filiaali klientide andmete ebaseaduslikus edastamises Prantsusmaa peakorterisse, järgimata kohustuslikke turvahindamise, kasutajate teavitamise ja krüpteerimisreegleid.

Filiaalile määrati halduskaristus.

Ameerika Ühendriikides saatsid 44 peaprokuröri 13 tehisintellekti ettevõttele, sealhulgas OpenAI-le, CharacterAI-le, Replikale ja Metale, kirja, milles teavitasid neid, et nad vastutavad lastele kahju tekitamise eest.

Kirjas tuuakse välja hiljutised paljastused Meta tehisintellekti ja Facebooki, WhatsAppi ning Instagrami vestlusrobotite tehniliste juhiste kohta.

See dokument, mille kiitsid heaks ettevõtte juriidilised, poliitilised ja tehnilised meeskonnad, volitas vestlusroboteid kutsuma lapsi nendega romantilistele või võrgutavatele vestlustele, sealhulgas laste välimuse kohta kommentaaride tegemiseks ja rollimängude läbiviimiseks.

Microsofti ajaveeb „Tech Community” teatas augusti lõpus, et MS Wordi uusim värskendus Windowsile salvestab kasutajate Wordi failid vaikimisi automaatselt oma pilve (OneDrive).

Microsoft esitleb seda värskendust turvalisuse, juurdepääsu, meeskonnatöö ja tehisintellekti kasutamise täiustusena.

Kuigi neid sätteid on Wordi eelistustes võimalik muuta, tekitab dokumentide vaikimisi üleslaadimine Ameerika pilve küsimusi seoses isikuandmete kaitse üldmäärusega (GDPR), mis puudutab andmete konfidentsiaalsust ja nende andmete kättesaadavust USA avaliku sektori asutustele.

"Halo" nutiprillid tekitavad tehisintellekti ekspertide seas muret.

L. Jarosvsky teatab, et need uued prillid on alati peal, salvestavad kõike ja neil pole indikaatorit, mis hoiataks inimesi salvestamise eest.

TechCrunchile antud intervjuus eitasid Halo asutajad väidetavalt vastutust, öeldes, et USA osariikides, kus on ebaseaduslik vestlusi salaja teise inimese nõusolekuta salvestada, on kasutaja ülesanne see nõusolek enne prillide kasutamist hankida.