Õiguslik järelevalve nr 61 – juuli 2023.

API-d isikuandmete jagamise keskmes.

Rakendusprogrammeerimisliideseid, mida tavaliselt nimetatakse "API-deks" vastavalt nende ingliskeelsele nimetusele "application programming interface", kasutatakse sageli teabe jagamise hõlbustamiseks avalik-õiguslike või eraõiguslike organisatsioonide vahel.

Seda andmete jagamist toetab seadusandja, nagu kinnitab ka Euroopa digitaalse suveräänsuse strateegia: selle eesmärk on arendada ühtset andmeturgu, "toetades vastutustundlikku juurdepääsu, jagamist ja taaskasutamist kooskõlas Euroopa Liidu väärtustega ja eelkõige isikuandmete kaitsega".

See täiendab Euroopa tehisintellekti strateegiat.

API-d, kui need integreerivad andmekaitse jagamissüsteemi kavandamisetapis, võivad pakkuda soodsat tehnilist raamistikku, mis on kooskõlas isikuandmete kaitse üldmäärusega.

Seetõttu julgustab CNIL 7. juulil vastu võetud soovituses nende kasutamist.

Ta rõhutab eriti taaskasutamise riskidega kooskõlas oleva turvalisuse taseme ja vajaliku miinimumini piiratud andmete jagamise olulisust.

Soovitus on suunatud kolme tüüpi osalejatele: andmevaldajatele, API halduritele ja andmete taaskasutajatele.

Andmete valdaja iseloomustab asjaolu, et see kontrollib andmeid tehnilisel või organisatsioonilisel viisil.

API haldur on organisatsioon, mis vastutab mõnede või kõigi tehniliste komponentide eest, millel andmete jagamine põhineb.

Lõpuks, andmete taaskasutaja on iga organisatsioon, mis plaanib API-de kaudu andmetele juurde pääseda või neid vastu võtta oma tarbeks.

CNIL (Prantsuse andmekaitseamet) rõhutab, et samal organisatsioonil võib olla mitu rolli, näiteks kui andmetöötleja ise API-t arendab: ta on sel juhul ka API administraator ja peab järgima mõlema rolliga seotud soovitusi. Seetõttu on oluline kindlaks teha oma konkreetne roll API kasutamisel.

Iga kategooria on suunatud meetmetele, mis võimaldavad saavutada soovitud turvalisuse taseme ja järgida andmekaitse põhimõtteid.

Sidusrühmi julgustatakse nende soovituste elluviimisel koostööd tegema.                              

• Andmevaldajad peavad pöörama erilist tähelepanu taaskasutajate teavitamisele, andmete täpsusele ja terviklikkusele ning andmeturbele (eraldamine ja kättesaadavus, autentimine, logimine).
• API haldurid keskenduvad dokumenteerimisele, andmete minimeerimisele, andmete jagamisega seotud õiguste teostamisele ja turvalisusele (kommunikatsioon, infosüsteemide turvalisus, logimine).
• Taaskasutajatel on konkreetsed kohustused seoses asjaomaste isikute teavitamise, andmete minimeerimise ja ka turvalisusega (riskijuhtimine, võtmete turvamine, logimine).

Soovituses käsitletakse andmete jagamise konkreetseid juhtumeid, näiteks sotsiaalvõrgustike ja teadlaste vahel või valitsuse andmete avamist.

Erinevate osalejate kvalifikatsioon ei määra ette nende staatust vastutava töötlejana või volitatud töötlejana isikuandmete kaitse üldmääruse tähenduses.

Siiski saab teha mõned juhised: andmevaldaja vastutab üldiselt andmete jagamise eest, kuivõrd ta on vabalt otsustanud töötlemise eesmärkide ja vahendite üle või kui ta on olnud seaduslikult kohustatud seda tegema.

Taaskasutaja on sageli „vastuvõtja“ isikuandmete kaitse üldmääruse tähenduses.

API haldur tegutseb omalt poolt alltöövõtjana, st andmevaldaja ja/või taaskasutaja nimel ja juhiste kohaselt.

CNIL-i soovitusi peaks peagi täiendama komisjoni veebisaidil avaldatavad teretulnud praktilised juhtumid.

 

Ja ka

• 27. juulil avaldas CNIL üleskutse panustada oma tehisintellekti alase tööga.

Sel puhul annab ta esialgse ülevaate oma töö edenemisest pärast tehisintellekti tegevuskava avaldamist 16. mail ning kuulutab välja kaastöökutse oma mõtteviisi kujundamiseks enne sügiseks kavandatud esimesi publikatsioone.

• CNIL pakub välja ka uue „liivakasti“, et toetada kolme projekti, mis kasutavad avalike teenuste hüvanguks tehisintellekti (AI).

Projektikonkurss on avatud kuni 30. septembrini 2023.

• Mobiilirakenduste tegevuskava osana avaldab ja esitab CNIL avalikuks konsultatsiooniks soovituse eelnõu, mille eesmärk on selgitada selle ökosüsteemi eri osaliste kohustusi, hõlbustada nende vastavust nõuetele ja edendada heade tavade rakendamist.
• 26. juulil kirjutas Euroopa Komisjoni volinikule Thierry Bretonile üle kuuekümne Euroopa vabaühenduse, et paluda selgitust tema hiljutiste kommentaaride kohta, mille kohaselt võiks veebiplatvormide blokeerimine olla digitaalteenuste seaduse (DSA) alusel kohaldatav ja põhjendatud meede.

Need kommentaarid järgnesid Vabariigi Presidendi märkustele, milles ta mainis võimalust blokeerida juurdepääs sotsiaalmeedia platvormidele avaliku korra rikkumise kontekstis.

Valitsusvälised organisatsioonid usuvad, et need kommentaarid võivad julgustada valitsusi kogu maailmas veebiplatvormide meelevaldset blokeerimist.

Nad paluvad Euroopa Komisjonil tagada, et digitaalteenuste seaduse rakendamine ja kohaldamine liikmesriikides ei tooks kaasa nende meetmete liiga laia tõlgendamist, mis oleks vastuolus selle regulatiivsete eesmärkidega ja rikuks ELi põhiõiguste hartat.

• 26. juunil otsustas Riiginõukogu, et parandamise õigust saab kasutada andmete parandamiseks pärast identiteedi muutmist, kuid mitte tagasiulatuvalt dokumentide parandamiseks enne identiteedi muutmist: neid varasemaid andmeid ei saa tegelikult pidada ebatäpseks.
• Rahvusassamblee võttis 28. juunil ühehäälselt vastu seaduseelnõu digitaalse enamuse loomiseks ja võitluseks internetis leviva vihkamise vastu.

Senat võttis projekti ühehäälselt vastu ka 29. juunil 2023.

Tekst kehtestab digitaalse täisealiseks 15-aastaseks saamise, millest alates ei vaja alaealine enam sotsiaalvõrgustikus registreerumiseks vanemate nõusolekut.

 

Euroopa institutsioonid ja organid

• 10. juulil võttis Euroopa Komisjon vastu oma piisavusotsuse „ELi ja USA andmekaitseraamistiku” kohta, jõudes järeldusele, et Ameerika Ühendriikide poolt edastatud andmetele tagatud kaitse on võrreldav ELis pakutavaga.

Uus raamistik jõustus 11. juulil.

Komisjoni sõnul kehtestavad Ameerika kohustused „uued siduvad tagatised, et lahendada kõik Euroopa Kohtu tõstatatud mured, eelkõige piirates USA luureteenistuste juurdepääsu ELi andmetele vajaliku ja proportsionaalsega ning luues andmekaitsekohtu”.

Pole üllatav, et Max Schrems leidis, et uus Atlandi-ülene isikuandmete kaitse raamistik on suures osas koopia „Privaatsuskilbist“ ning et ta vaidlustab otsuse kohtus.

Euroopa Andmekaitsenõukogu (EDPB) on omalt poolt avaldanud teavituskirja, et suunata asjaomaseid ettevõtteid ja üksikisikuid.

• 4. juulil avaldas Euroopa Komisjon ettepaneku määruse kohta, millega kehtestatakse isikuandmete kaitse üldmääruse (GDPR) kohaldamiseks täiendavad menetlusnormid, mille eesmärk on tagada määruse järjepidev kohaldamine piiriülestel juhtudel.

Twitteri sõnumis tervitas Euroopa Andmekaitsenõukogu komisjoni kiiret vastust selgitustaotlustele.

Kavandatud määrust kritiseerivad siiski mõned vabaühendused, kes juhivad tähelepanu sellele, et see võib piirata kodanike osalemist kaebuste esitamisel andmekaitseasutustele nende andmete väärkasutamise juhtudel.

• Ühendatud seadmed, näiteks valvekaamerad, külmikud ja nutitelerid, võivad peagi pakkuda paremat kaitset küberrünnakute eest.

ELi liikmesriigid on hiljuti kokku leppinud ühises seisukohas eespool nimetatud digitaalsete toodete turvanõuete osas.

Kavandatav kübervastupidavusvõime seadus kehtestaks kohustuslikud nõuded seadmete projekteerimisele, arendamisele ja tootmisele.

• 4. juuli 2023. aasta otsuses võttis Euroopa Liidu Kohus seisukoha Meta ja Saksamaa konkurentsiameti vahelises vaidluses.

Euroopa Kohus otsustas, et konkurentsiamet võib tuvastada isikuandmete kaitse üldmääruse rikkumise ning ilma andmekaitseasutust asendamata on tal vabadus teha oma järeldusi konkurentsiõiguse kohaldamise seisukohast.

Euroopa Kohus märgib ka, et Facebook töötleb tõenäoliselt kasutaja tegevusest pärinevaid „tundlikke” andmeid ilma, et kasutaja oleks tingimata soovinud neid avalikustada, mis välistab nõusoleku nõudest vabastamise.

Kohus välistas ka Meta väite lepingu täitmise vajaduse ja õigustatud huvi kohta sisu isikupärastamise õigustamiseks.

Lõpuks märgib ta, et Facebooki domineeriv seisund sotsiaalvõrgustike turul tekitab muret nõusoleku kehtivuse pärast ning et operaatori ülesanne on tõendada, et nõusolek on tõepoolest vabatahtlik.

Meta teatas 1. augustil, et kavatsusest muuta oma suunatud reklaamide õiguslikku alust Euroopas: ettevõte hakkab küsima kasutajatelt nõusolekut.

See muudatus on otsene tagajärg Euroopa Andmekaitsenõukogu ning riiklike ja Euroopa õigusasutuste otsustele.

• Euroopa meediavabaduse määruse eelnõu arutelude kontekstis kutsuvad 80 kodanikuühiskonna organisatsiooni, meediaorganisatsiooni, kirjastajat ja ringhäälinguorganisatsiooni ning ametiühingut Euroopa Parlamenti üles keelustama ajakirjanike vastu nuhkvara kasutamise ilma eranditeta.
• 3. juulil kirjutasid kodanikuühiskonna rühmitused ja internetieksperdid ka volinikele Jourovale ja Reyndersile, et väljendada oma sügavat muret Ühendkuningriigi valitsuse kavandatud andmekaitse ja digitaalse teabe (DPDI) seaduseelnõu pärast, mis muudaks Ühendkuningriigi „lekkivaks ventiiliks“ ja õõnestaks Euroopa kodanike andmekaitseõigusi.

 

Uudised Euroopa liikmesriikidest.

• Belgia andmekaitseamet (APD) leidis, et apteekrite ühing rikub muu hulgas seaduslikkuse, eesmärgi piiramise, andmete minimeerimise, täpsuse ja säilitamise piiramise põhimõtteid, säilitades tähtajatult andmeid vana määruse alusel määratud distsiplinaarkaristuste kohta.

Ühingule määrati 30 000 euro suurune trahv.

• Belgia andmekaitseameti andmetel kohaldatakse Ameerika Ühendriikides asuva andmetöötleja suhtes, kelle tegevus hõlmab konverentside korraldamist Euroopas, isikuandmete kaitse üldmäärust ning ta peab muude kohustuste hulgas määrama Belgias esindaja.
• Läti andmekaitseamet (APD) leidis, et unikaalse isikukoodi kasutamine ei ole andmesubjekti selgeks tuvastamiseks ja riikliku tervishoiuteenuse osutaja poolt eriliikide andmete ebaseadusliku avalikustamise vältimiseks piisav.

Vajalik oli kasutada lisakriteeriume, näiteks asjaomase isiku nime.

• Hispaania andmekaitseamet (APD) määras turvatöötajale 10 000 euro suuruse trahvi vangla videovalvesüsteemist piltide jäädvustamise ja nende WhatsAppi kaudu levitamise eest, rikkudes GDPR-i artiklit 6.
• Itaalia andmekaitseamet (APD) määras 22. juuni otsusega Itaalia maanteefirmale miljoni euro suuruse trahvi, kuna ettevõte ei tuvastanud oma rolli andmetöötlejana raha tagasi teenuste kasutamise kontekstis.
• Islandi andmekaitseamet (APD) määras riikliku kohtumeditsiinieksperdi büroole ligikaudu 82 000 euro suuruse trahvi mitmete isikuandmete kaitse üldmääruse (GDPR) rikkumiste eest pärast turvaintsidenti büroo Heilsuvera veebisaidil, mis pakub veebipõhist tervishoiusüsteemi ja retseptiportaali.
• Pärast nelja ettevõtte auditeerimist, mis kasutasid oma veebisaitidel Google Analyticsi, käskis Rootsi andmekaitseamet neil ettevõtetel tööriista kasutamine lõpetada.

Kaks ettevõtet said haldustrahvi, teine aga lõpetas tööriista kasutamise vabatahtlikult.

Auditid viidi läbi pärast organisatsiooni noyb kaebusi, milles ettevõtteid süüdistati isikuandmete ebaseaduslikus edastamises Ameerika Ühendriikidesse, rikkudes Euroopa õigusakte.

• Pärast eespool mainitud Euroopa Kohtu otsust kuulutas Norra andmekaitseamet käitumispõhise reklaami Facebookis ja Instagramis ebaseaduslikuks.

Järgmise kolme kuu jooksul või kuni sotsiaalmeediaettevõte suudab tõestada oma vastavust Norra seadustele, ei ole sellel lähenemisviisil enam lubatud seda kasutada.

 

• Juuli keskel esitas Valge Maja ajutised meetmed vabatahtlike kohustuste vormis "tehisintellekti ohutuks, turvaliseks ja läbipaistvaks arendamiseks ja kasutamiseks".

Amazon, Anthropic, Google, Inflection, Meta, Microsoft ja OpenAI on kokku leppinud, et seavad esikohale tehisintellekti süsteemide põhjustatud ühiskondlike riskide uurimise ning julgustavad probleemide ja haavatavuste avastamist ja neist teatamist.

Mõnede akadeemiliste ekspertide sõnul pole need kokkulepped aga kaugeltki piisavad.

„Ameerika Ühendriigid pakuvad jätkuvalt vabatahtlikke meetmeid, samal ajal kui Euroopa Liit on vastu võtmas seni kõige ulatuslikumat tehisintellekti käsitlevat õigusakti,“ ütles Berkeley ülikooli Citris Policy Labi asutajaliige Brandie Nonnecke.

• Samal ajal uurib föderaalne kaubanduskomisjon (FTC) OpenAI-d ChatGPT toimimise kohta, esitades üksikasjalikke küsimusi ettevõtte finantstulude, mudelite koolitamise ja andmete töötlemise, turvariskide ja -protseduuride, üksikisikute kohta käiva sisu genereerimise, LLM-i manipuleerimiseks suunatud väliste rünnakute („kiired süstid“) ja isikuandmete kaitse kohta.
• OpenAI on lõpetanud oma tööriista inimese ja tehisintellekti loodud teksti eristamiseks: "Alates 20. juulist 2023 pole tehisintellekti klassifikaator enam madala täpsuse tõttu saadaval." Ettevõte jätkab uuringuid tõhusama tööriista väljatöötamiseks.
• Amazon on nõustunud maksma üle 30 miljoni dollari, et lahendada kaks FTC algatatud kohtuasja kasutajate, sealhulgas laste privaatsuse rikkumise eest ettevõtte Alexa häälassistendi ja Ringi uksekellakaamerate kaudu.

Amazoni süüdistati Ringi videosalvestiste ja Alexa häälsalvestiste koos nendega seotud geograafilise asukoha andmete säilitamises mitu aastat ilma nõusolekuta ja vaatamata tarbijate taotlustele need andmed kustutada.

• Singapuri infokommunikatsiooni meediaarenduse amet on teatanud partnerlusest Google'iga, et toetada nn tehnoloogilise liivakasti algatust.

See algatus aitab ettevõtetel "kaitsta kasutajate privaatsust ja pakkuda neile tööriistu, mis võimaldavad neil andmetele juurdepääsu jätkata ilma kolmandate osapoolte küpsisteta".

IMDA ja Google'i partnerlus on avatud kõigile Singapuris asuvatele ettevõtetele.

• Lõuna-Aafrika Vabariigi inforegulaator esitas 3. juulil justiits- ja põhiseadusliku arengu ministeeriumile rikkumisteate ja 5 miljoni randi (umbes 240 000 euro) suuruse haldustrahvi isikuandmete kaitse seaduse (POPIA) eiramise eest.

Reguleeriv asutus oli mais välja andnud ettekirjutuse, paludes ministeeriumil uuendada teatud IT-turvalisuse litsentse (viirusetõrje, sissetungivastane kaitse, SIEM) ja algatada asjaomaste ametnike vastu distsiplinaarmenetluse.

• Vietnamis jõustus 1. juulil isikuandmete kaitse määrus.

See näeb eelkõige ette andmeedastuse mõjuhinnangute tegemise ja andmekaitseametniku määramise tundlike andmete töötlemiseks.

• Meta tütarettevõtted Onavo ja Facebook Israel said 26. juulil Austraalias 20 miljoni Austraalia dollari suuruse trahvi, kuna nad ei hoiatanud VPN-i kasutajaid piisavalt, et nende andmeid kogutakse ärilistel eesmärkidel.

Austraalia konkurentsi- ja tarbijakaitseameti (ACCC) kehtestatud sanktsioon on suurim, mis Austraalias kunagi privaatsuse kaitse osas kehtestatud on.