GDPR-i vastavus kriisi ajal.

GDPR-i nõuetele vastavus kriisi ajal. Millised on prioriteedid? järelevalveasutused ja Millised on juhtnupud? Mida võivad ettevõtted praeguses tervise- ja majandusolukorras oodata?

Kuigi CNIL keskendub oma tegevuses selgelt terviseandmete töötlemisele, ei ole ta loobunud oma järelevalveõigusest laiemas tähenduses.

Esiteks on arvukalt teadlikkuse tõstmise kampaaniaid, mis on suunatud tööandjatele (vt septembrikuu õigusseire dokument), õpetajatele ja teadlastele, kes seisavad silmitsi infotehnoloogiate ja tehisintellekti suurenenud kasutamisega.

CNIL keskendus oma uurimises ka epideemia jälgimissüsteemidele ja StopCovid rakendusele. 

Selle inspektsiooniosakonna juhataja märgib hiljutises väljaandes, et Seetõttu kontrollitakse väikeettevõtteid, VKEsid ja idufirmasid vähem.

Uurimisi pole siiski katkestatud, eriti kuna vastutavatel isikutel on alates GDPR-i jõustumisest olnud aega võtta vajalikke vastavusmeetmeid.

Neid kontrolle tehakse rohkem küsimustike ja intervjuude põhjal ning kriisi tõttu tehakse etteteatamata kontrolle harvemini.

Kohapealsed kontrollid annavad seega alust 48-tunniseks hoiatuseks.

Sarnased kohandused toimuvad paljudes Euroopa riikides, nagu näitab ka Euroopa Nõukogu hiljutine aruanne samal teemal.

Kui on täheldatud paindlikkust näiteks seoses üksikisikute õigusega oma andmetele vastata seadusjärgse tähtaja ületamisega, Tolerants on oluliselt madalam või puudub üldse, kui andmetöötlus on vastutava asutuse põhitegevus..

Lisaks kontrollimeetodite kohandamisele kriisiolukordades on muutunud ka üksikisikutele kättesaadavate õiguskaitsevahendite vorm nende õiguste rikkumise korral.

GDPR lubab nüüd kaebuste esitajaid esindada avaliku huvi asutustel, paljude ühenduste tegevus on alates 2018. aastast arenenud, näiteks „La Quadrature du Net” Prantsusmaal või „None of Your Business” Austrias.

Oleme neid hiljuti näinud tegutsemas kohtuasjades, mis puudutavad droonide abil Pariisi kohal liikumispiirangute ajal ja meeleavalduste kontekstis toimunud jälgimist ning andmete edastamise küsimust Ameerika Ühendriikidesse (vt Schrems II otsust, mida käsitleti meie augustikuu õigusalase ülevaates).

Need üha paremini organiseeritud ja rahastatud struktuurid annavad andmekaitse probleemile uue nähtavuse.

Arvestades määruses sätestatud võimalikke kahjutasusid ja sanktsioone, toovad need esile probleeme mitte ainult eetilisest, vaid ka finants- ja strateegilisest vaatenurgast.

Need arengud on eelseisva veebiseminari keskmes, mille korraldab 18. novembril Euroopa Parlamendi liikme Sophie In't Veldi privaatsusplatvorm.

Ja ka

Prantsusmaa:

• Riiginõukogu keeldub "terviseandmete keskuse" tegevust peatamast, hoolimata riskidest, mis on seotud nende andmete edastamisega Ameerika Ühendriikidesse.

CNIL oli toonud esile riskid, mis on seotud Microsofti poolt Prantsusmaal ravi saavate inimeste terviseandmete majutamisega, ning tuletas meelde Euroopa Kohtu Schrems II otsusega tõstatatud õiguslikke küsimusi.

Kuigi see ei peata platvormi toimimist, tunnistab riiginõukogu siiski üleandmisega kaasnevaid riske ja nõuab asjakohaste tagatiste võtmist kuni püsiva lahenduse leidmiseni.

CNIL nõustab selles küsimuses avaliku sektori asutusi ja tagab tervisekriisi kontekstis uurimisprojektide loataotluste puhul, et platvormi kasutamine on tehniliselt vajalik.

• CNIL korraldab esmaspäeval, 23. novembril 2020 kell 14.00–17.30 andmete teisaldamise õigusele pühendatud ürituse.

See uus õigus, mis on sätestatud isikuandmete kaitse üldmääruses, võimaldab igaühel saada isikuandmeid, mida ta on edastanud andmetöötlejale, struktureeritud, üldkasutatavas ja masinloetavas vormingus ning edastada need teisele andmetöötlejale.

Arutelude eesmärk on eelkõige arutada konkreetseid lahendusi teenustevahelise andmevoo sujuvamaks muutmiseks, austades samal ajal üksikisikute õigusi.

GDPR lubab nüüd kaebuste esitajaid esindada avaliku huvi asutustel, paljude ühenduste tegevus on alates 2018. aastast arenenud, näiteks „La Quadrature du Net” Prantsusmaal või „None of Your Business” Austrias.

Oleme neid hiljuti näinud tegutsemas kohtuasjades, mis puudutavad droonide abil Pariisi kohal liikumispiirangute ajal ja meeleavalduste kontekstis toimunud jälgimist ning andmete edastamise küsimust Ameerika Ühendriikidesse (vt Schrems II otsust, mida käsitleti meie augustikuu õigusalase ülevaates).

Need üha paremini organiseeritud ja rahastatud struktuurid annavad andmekaitse probleemile uue nähtavuse.

Arvestades määruses sätestatud võimalikke kahjutasusid ja sanktsioone, toovad need esile probleeme mitte ainult eetilisest, vaid ka finants- ja strateegilisest vaatenurgast.

Need arengud on eelseisva veebiseminari keskmes, mille korraldab 18. novembril Euroopa Parlamendi liikme Sophie In't Veldi privaatsusplatvorm.

Ja ka

Prantsusmaa:

• Riiginõukogu keeldub "terviseandmete keskuse" tegevust peatamast, hoolimata riskidest, mis on seotud nende andmete edastamisega Ameerika Ühendriikidesse.

CNIL oli toonud esile riskid, mis on seotud Microsofti poolt Prantsusmaal ravi saavate inimeste terviseandmete majutamisega, ning tuletas meelde Euroopa Kohtu Schrems II otsusega tõstatatud õiguslikke küsimusi.

Kuigi see ei peata platvormi toimimist, tunnistab riiginõukogu siiski üleandmisega kaasnevaid riske ja nõuab asjakohaste tagatiste võtmist kuni püsiva lahenduse leidmiseni.

CNIL nõustab selles küsimuses avaliku sektori asutusi ja tagab tervisekriisi kontekstis uurimisprojektide loataotluste puhul, et platvormi kasutamine on tehniliselt vajalik.

• CNIL korraldab esmaspäeval, 23. novembril 2020 kell 14.00–17.30 andmete teisaldamise õigusele pühendatud ürituse.

See uus õigus, mis on sätestatud isikuandmete kaitse üldmääruses, võimaldab igaühel saada isikuandmeid, mida ta on edastanud andmetöötlejale, struktureeritud, üldkasutatavas ja masinloetavas vormingus ning edastada need teisele andmetöötlejale.

Arutelude eesmärk on eelkõige arutada konkreetseid lahendusi teenustevahelise andmevoo sujuvamaks muutmiseks, austades samal ajal üksikisikute õigusi.

Euroopa:

• Ühendkuningriik: seal Mariott International Company sai 30. oktoobril turvarikkumise eest 20 miljoni euro suuruse trahvi, mis on oluliselt väiksem, kuid siiski märkimisväärne summa kui Ühendkuningriigi andmekaitseasutuse algselt välja kuulutatud 100 miljonit eurot.

• Euroopa Kohus langetas 6. oktoobril kaks olulist otsust (La Quadrature du Net ja Privacy International) luureteenistuste poolt isikuandmete kasutamise valdkonnas.

Ta täpsustab, ranged tingimused, mille alusel operaatorid saavad sideandmeid säilitada ja kinnitab luureteenistuste poolt nende andmete "massilise" pealtkuulamise ebaseaduslikkust.

Kohus lükkab lisaks ümber põhilise ja kollektiivse õiguse turvalisusele olemasolu., mis õigustaks tasakaalustamist põhiõigustega eraelu puutumatusele ja andmekaitsele.

• Euroopa Andmekaitsenõukogu (EDPB) võttis 21. oktoobri kohtumisel vastu andmekaitse suunised „nii kavandatud kui ka vaikimisi” mis illustreerivad konkreetselt, kuidas seda kaitset IT-süsteemi projekteerimisetapis tagada.

Rahvusvaheline:

• Brasiilia on alates 19. oktoobrist varustatud a-ga Andmekaitsevolinike kolleegium oma järelevalveasutuse juhtimiseks.

Vabariigi Presidendi poolt ametisse nimetatud ja Senati poolt kinnitatud viiest liikmest on kolmel peamiselt sõjaväeline kogemus, mis teeb sellest üsna ainulaadse kolleegiumi.

• Ülemaailmne privaatsusassamblee tõi oktoobri keskpaigas praktiliselt kokku umbes sada andmekaitseasutuste esindajat.

Assamblee võttis vastu mitu resolutsiooni, mis käsitlesidtehisintellekt, näotuvastus ja humanitaarabiSamuti on see avaldanud COVID-19 pandeemiaga seotud parimate tavade kogumiku.

• UNICEF koostab suunised kaitsmiseks laste õigused tehisintellekti arengu kontekstis. Projekt on veebis saadaval ja selle lõplik versioon avaldatakse 2021. aastal.

Anne Christine Lacoste

 Olivier Weber Avocati partner Anne Christine Lacoste on andmeõigusele spetsialiseerunud jurist; ta oli Euroopa Andmekaitseinspektori rahvusvaheliste suhete juht ja tegeles GDPR-i rakendamisega Euroopa Liidus.