Uudised järelevalveasutustelt: pidustused ja järelevalve

Õiguslik valve nr 31 – Jaanuar 2021

Uudised järelevalveasutustelt: pidustused ja järelevalveViimased paar päeva on olnud võimalus (virtuaalselt) mitut sünnipäeva tähistada.

28. jaanuaril korraldasid privaatsuse sidusrühmad Euroopas, Aafrikas, Ameerikas ja Aasia ja Vaikse ookeani piirkonnas mitu üritust, et tähistada 15. aastapäeva. Andmekaitsepäev.

Lisagem veel, et konventsioon 108 (Euroopa Nõukogu isikuandmete kaitse konventsioon) tähistab sel aastal oma 40. aastapäeva.

Hinnangu andmise ja ametliku deklaratsiooni tegemise võimalus, milles rõhutatakse vajadust säilitada "inimväärikus ja -puutumatus tehisintellekti ja algoritmide poolt langetatud automatiseeritud otsuste ajastul" ning luua ühine õigusruum rahvusvahelisel tasandil, et hõlbustada andmete liikumist riikide vahel.

Seega on digitehnoloogia praeguste arutelude keskmes, kusjuures Euroopa Nõukogu ministrite komitee on avaldanud deklaratsiooni andmekaitseõiguse kaitsmise kohta digitaalses keskkonnas ja vastu võtnud näotuvastuse suunised.

Üks olulisemaid rahvusvahelisi andmekaitsealaseid konverentse „Arvutid, privaatsus ja andmekaitse” mis toimus jaanuari lõpus, kinnitab neid muresid kolmepäevase veebiaruteluga teemal „õiguste jõustamine muutuvas maailmas“. 

Kuigi andmekaitseasutustele on antud suuremad volitused GDPR-i jõustamiseks, on endiselt küsimusi nende strateegia, Euroopa koostöö ja sanktsioonide tõhususe kohta, arvestades selliste suurte tehnoloogiaettevõtete nagu Google ja Amazon mõju.

Euroopas 2020. aastal määratud trahvide kogusumma oli 272,5 miljonit eurotning kolm kõige aktiivsemat riiki selles osas on Itaalia, Saksamaa ja Prantsusmaa, nagu on märgitud DLA Piperi hiljutises aruandes samal teemal.

CNIL-il on sanktsioonidest puudust, olgu siis suurte digitaalvaldkonna tegijate, mikroettevõtete või VKEde vastu, kusjuures trahvid on kohandatud vastutajate käibele.

Kuigi rahvusvahelised ettevõtted saavad sanktsioonimenetluse osana teatud summasid kõrvale panna, võib mõju väiksematele struktuuridele olla märkimisväärne nii rahalises kui ka avaliku kuvandi osas.

Täpsemalt öeldes õigustati CNIL-i viimaseid isikuandmete kaitse üldmääruse rikkumise sanktsioone turvaeeskirjade rikkumise ja ärilise luure eeskirjade eiramisega.

Seega Nestori ettevõtet trahviti 20 000 euroga potentsiaalsete isikute nõusoleku saamise kohustuse rikkumise ja asjaomaste isikute õiguste (teave, juurdepääs) mitteaustamise eest.

Sobivate turvameetmete puudumine on samuti CNIL-i sihikul, nii antud juhul kui ka hiljutisema volituste võltsimise rünnaku puhul: juht ja tema alltöövõtja oli välja jätnud teatud olulised kaitsemeetmed, näiteks veebilehel lubatud päringute arvu piiramise ja CAPTCHA kasutamise.

Sel juhul CNIL määras vastavalt 150 000 ja 75 000 euro suurused trahvid.Ta kasutas võimalust, et oma veebisaidil inimestele meelde tuletada meetmeid, mille eesmärk on kaitsta isikuandmeid seda tüüpi rünnakute eest.

CNIL keskendub ka küpsiste kasutamisele ja sellele, kuidas veebisaidid selle suuniseid järgivad.

Meeldetuletuseks avaldas see 2020. aasta lõpus sellekohased suunised, milles täpsustati eelkõige, kuidas saada internetikasutajatelt nõusolek jälgimisseadmete kasutamiseks.

Ja ka

Prantsusmaa:

CNIL avaldas oma arvamuse 26. jaanuaril globaalse julgeoleku seaduseelnõu.

Tal on droonide kasutamise suhtes kahtlusi ja ta pooldab varasemaid katsetusi, viidates selle tehnoloogia võimaldatavale laiendatud pildistamisvõimalustele, jälgides inimeste liikumist ilma nende teadmata ja potentsiaalselt pika aja jooksul.

Ta lisab, et neil jälgimisseadmetel on tõenäoliselt suurem mõju kui traditsioonilistel kaameratel kodanike teiste põhivabaduste (õigus meelt avaldada, usuvabadus, sõnavabadus) teostamisele.

Samuti seab see kahtluse alla teatud sõidukitesse paigaldatud kaamerate kasutustingimused ja videovalve, eelkõige piltide reaalajas edastamise õiguskaitseorganitele.

Euroopa:

• Norra järelevalveasutus kavatseb kehtestada Grindr 10 miljoni euro suurune trahv

Rakendus mitte ainult ei paku ainult „võta või jäta” tingimusi, mis ei luba kasutajatel oma andmete jagamiseks nõusolekut anda või mitte anda, vaid neile ei antud ka mingit teavet (tundlike) andmete jagamise kohta Twitteri kasutatava MoPub reklaamiplatvormiga, mis võimaldas hiljem andmeid jagada enam kui saja kliendiga. 

• Itaalias andis andmekaitseamet korralduse blokeerimiseks TikTok dja mis tahes andmete kasutamine kasutajatelt, kelle vanust ei ole kinnitatud. 

Ta süüdistab TikToki vigases verifitseerimissüsteemis, mis võib alla 13-aastaseid alaealisi sobimatu sisuga kokku puutuda.

See kiireloomuline otsus tehti pärast tragöödiat, milles hukkus kümneaastane tüdruk, kes osales sotsiaalvõrgustikus viiruslikult levinud väljakutses (sallimäng).

• Belgia andmekaitseamet on valitsusele teatanud liiga laiaulatuslikeks peetavatest tingimustest, mille alusel riiklik sotsiaalkindlustusamet võib isikuandmeid jagada. COVID-19 terviseandmed.

See nõuab kuningliku dekreedi teksti kohandamist, milles täpsustatakse andmete jagamise tingimusi.

Rahvusvaheline:

New Yorgi osariik võttis äsja vastu seaduse, mis peatab näotuvastustehnoloogia ja muude biomeetriliste identifikaatorite kasutamise ja ostmise koolides kuni 2022. aasta juulini.

New Yorgi kuberner andis haridusvolinikule korralduse viia läbi uuring selle tehnoloogia sobivuse kohta hariduskeskkonnas.

Anne Christine Lacoste

Olivier Weber Avocati partner Anne Christine Lacoste on andmeõigusele spetsialiseerunud jurist; ta oli Euroopa Andmekaitseinspektori rahvusvaheliste suhete juht ja tegeles GDPR-i rakendamisega Euroopa Liidus.