GDPR aasta hiljem: millised on õppetunnid ja millised on väljavaated?

Õiguslik jälgimine – juuni 2019.

25. mail 2018 jõustus isikuandmete kaitse üldmäärus.

See uus tekst on toonud kaasa arvukalt muutusi äritavades, nii ettevõtte sisemise organisatsiooni kui ka klientidega suhtlemise tasandil.

Kuigi andmekaitse on Prantsusmaal õigusraamistikus sätestatud alates 1978. aastast ja Euroopa tasandil alates 1995. aastast, on see määrus andnud uue hoo sellele, mis esindab nii inimõigust kui ka majandusküsimust. Ja uues tekstis sätestatud rahalised karistused pole sellele võõrad.

Milline on praktiline olukord seoses nõuetele vastavusega ning CNILi ja selle Euroopa partnerite tegevustega?

Prantsusmaal on CNIL-ile esitatud kaebuste, turvateadete ja teabenõuete arv dramaatiliselt suurenenud. Mai lõpus avaldas järelevalveasutus selle esimese aasta kohta statistilise aruande, milles teatati enam kui 11 900 kaebusest (+30 %) ja 2044 andmetega seotud rikkumise teatest. CNIL jätkab ka arvukate juhtumite uurimist, millest mõned toimuvad koostöös oma Euroopa naabritega. Seega on ta kaasatud 800 rahvusvahelises menetluses.

Lisaks ettevõtete toetamisele nende vastavuspüüdlustes on CNIL kehtestanud ka arvukalt sanktsioone. Vaatleme mõnda neist lähemalt:

• Kõige suurejoonelisem sanktsioon on kahtlemata Google'ile määratud rekordiline viiekümne miljoni euro suurune karistus.

• Kaks teist, palju tagasihoidlikumat sanktsiooni väärivad siiski erilist tähelepanu, sest need esitati Riiginõukogule, kes uuris nende proportsionaalsust.

• Ühes 17. aprillil 2019 dateeritud kohtuasjas kinnitas riiginõukogu 75 000 euro suuruse trahvi: pärast ametlikku teadet ja mitmeid korduvaid CNIL-i nõudmisi ei olnud Adef (kodude arendamise ühing) ikka veel kõrvaldanud turvavea, mis võimaldas eluaseme taotlejate dokumentidele veebipõhist juurdepääsu. Üks riiginõukogu jaoks määravaid tegureid oli aeg, mis ühingul nõutavate parandusmeetmete rakendamiseks kulus.

• Teises, samuti 17. aprillil 2019 dateeritud kohtuasjas vähendas riiginõukogu CNIL-i poolt Optical Centerile määratud trahvi summat: ettevõte oli tegelikult kahe päeva jooksul pärast CNIL-i teatist parandanud turvavea, mis võimaldas juurdepääsu klientide arvetele ettevõtte veebisaidi kaudu. Trahvi vähendati 250 000 eurolt 200 000 eurole.

• Lõpetame selle lühikese inventuuri viimase, 13. juuni 2019. aasta sanktsiooniga, mis on seekord oluline, kuna puudutab väga väikest ettevõtet: Uniontradi ettevõte oli loonud videovalvesüsteemi, mis pani selle töötajad pideva jälgimise alla.

Ka antud juhul oli CNIL ettevõtet kaks korda hoiatanud, enne kui andis talle ametliku korralduse oma tavade muutmiseks, ilma et ettenähtud tähtajaks oleks nõutud meetmeid võetud. 18. juunil määras CNIL ettevõtte suurust ja finantsseisundit arvestades 20 000 euro suuruse haldustrahvi.

Nendest erinevatest juhtumitest järeldub, et nii rahvusvahelistele ettevõtetele kui ka väiksematele ettevõtetele või ühendustele võidakse määrata sanktsioone. Lisaks rõhutavad kõik otsused andmetöötleja reageerimisvõime olulisust rikkumise avastamisel ja selle reageerimisvõime mõju võimaliku sanktsiooni suurusele.

Aga kuidas on lood meie Euroopa naabritega?

Kõik näitajad näitavad andmekaitseasutuste esitatud kaebuste ja uurimiste arvu suurenemist, samuti sanktsioonide summa suurenemist.

Euroopa Majanduspiirkonna andmekaitseasutuste lõikes on veidi üle 280 000 juhtumi, sealhulgas ligikaudu 144 000 kaebust ja 89 turvarikkumist. Mai lõpus oli uurimise all 371 andmekaitseasutust.

Saksa konsultatsioonifirma ajakohastatud algatus koostada Euroopa tasandil erinevate sanktsioonide loetelu annab üldise ülevaate järelevalveasutuste tegevusest: https://www.enforcementtracker.com.

Lisaks CNIL-i poolt Google'ile määratud karistusele määrasid suurimad karistused Portugal, kes määras haiglale 400 000 euro suuruse trahvi patsiendiandmete kaitsmata jätmise eest; CNIL määras kinnisvarabüroole taas 400 000 euro suuruse trahvi; ja Hispaania nutitelefoni rakenduse eest, mis salaja kasutab inimeste telefonide mikrofone. Hispaania profijalgpalliliigale määrati selle rikkumise eest 250 000 euro suurune trahv ja nad on otsuse edasi kaevanud.

Kuidas avaliku sektori asutuste koordineerimise suunas GDPR-ist kaugemale jõuda?

Märkimisväärne uus areng puudutab avaliku sektori asutuste koostööd, mille eesmärk on suurendada nende sidusust ja tõhusust. Need algatused puudutavad eelkõige andmekaitseasutusi, konkurentsiküsimuste eest vastutavaid asutusi ja tarbijakaitse eest vastutavaid asutusi.

Euroopa Andmekaitseinspektori poolt 2016. aastal nn digitaalse teabekeskuse projekti raames algatatud arutelusid juhib nüüd akadeemiline sektor ja neid toetab Euroopa Parlamendi resolutsioon.

Projekt koondab nüüd nii Euroopa kui ka teiste mandrite ametiasutusi. Arendatud sünergia keskendub üksikisikute kaitsele digitaalmajanduse ja suurandmete kontekstis. 5. juunil 2019 toimunud kohtumisel osales 25 järelevalveasutust Euroopa Liidust ja mujalt. Arutati kahte peamist küsimust, mis puudutasid Facebooki ja Microsofti. Asutused keskenduvad oma aruteludes ka mitterahalise hüvitisega teenuste arendamisele. Teisisõnu, mil määral saame aktsepteerida üksikisikute maksmist oma andmetega digitaalse teenuse eest?

Selle küsimuse kohta on oodata konkreetseid juhiseid sügisel, pärast järgmist järelevalveasutuste kohtumist. See võib digitaalmajanduse väljakutseid silmas pidades olla oluline edasiminek.

Ja ka:

• Prantsusmaal: CNIL avaldab oma tööriista uue versiooni, mille eesmärk on aidata andmetöötlejal mõjuanalüüside (AIPD) koostamisel.

• Euroopas Elektroonilise teabe otsimise eeskirjade rangema tõlgendamise suunas? Mitmed järelevalveasutused on teatanud, et vaatavad läbi oma tõlgenduse andmesubjektidelt nõusoleku saamise ja küpsiste osas. Nende hulka kuuluvad Belgia, Prantsusmaa, Ühendkuningriik ja Madalmaad. Tuleb märkida, et Euroopa Andmekaitsenõukogu oli 2018. aasta mai pressiteates juba selgesõnaliselt otsustanud nn küpsiste seinte kasutamise vastu, mis seavad veebisaidile juurdepääsu tingimuseks külastajate nõusoleku.

• maailmas: Algoritme reguleeriva seaduse vajaduse hindamiseks uuris USA Senati kaubanduskomisjon 25. juunil toimunud kuulamisel, kuidas ettevõtted nagu Google, YouTube ja Facebook kasutavad tehisintellekti mõjutamiseks.