Õiguslik järelevalve nr 78 – detsember 2024. 

Millised on andmekaitse väljavaated aastal 2025?

Uus aasta jätkub Euroopa Liidu „digipaketi“ järkjärgulise rakendamisega.aga ka uusi õigusakte, mille eesmärk on tugevdada isikuandmete kaitset küberohtudega seotud väljakutsete valguses.

Kuna tehisintellekt muutub ettevõtetes üha valdavamaks, võime eeldada otsustustoe nihkumist autonoomsemate süsteemide poole, mis jätavad vähem ruumi inimlikule otsustusvõimele, millega kaasnevad riskid andmete kvaliteedi ja kaitse osas.

Tehisintellekti määrus reguleerib neid uusi tavasid, kuigi kõigi selle sätete kohaldamiseks on vaja oodata 2026. aasta augustini..

Nagu allpool olevast uudisest näeme, on selle rakendamine juba suuniste objekt, mida tõendab ka Euroopa Andmekaitsenõukogu (EDPB) hiljutine arvamus.

Andmetöötlejad peavad arvestama ka digitaalteenuste määrusega (DSA), mis on kehtima hakanud alates 17. veebruarist.mis kehtestab uusi kohustusi, eelkõige läbipaistvuse, sisu modereerimise ja kasutajakaitse osas.

Prantsuse andmekaitseametnike ühingu (AFCPD) sõnul tekitavad need eeskirjad kattumisi ja nõuavad andmekaitseametnikelt märkimisväärsete raskustega ülevaate säilitamist, et tagada järjepidev vastavus. Ühing toob näiteks personaliandmete töötlemise, mis võib olenevalt kasutatavatest tehnoloogiatest, näiteks tehisintellektist, muutuda mittetundlikust tundlikuks kategooriaks.

"Need interaktsioonid tekitavad põhimõttelisi küsimusi juriidiliste kohustuste harmoonilise haldamise kohta."

Turvalisuse osas jõustus 10. detsembril 2024 Euroopa kübervastupidavusvõime määrus (Cyber Resilience Act, CRA) ja enamik selle sätteid on kohaldatavad 2027. aastal.

Küberjulgeolekuagentuuri (CRA) eesmärk on tugevdada tarbijate ja ettevõtete andmete kaitset küberohtude eest. See õigusakt kehtestab ühendatud toodete tootjatele, arendajatele ja jaemüüjatele kohustused küberturvalisuse hindamise ja teabe osas.

Samas kontekstis kohaldatakse alates 17. jaanuarist Euroopa digitaalse operatiivse vastupidavuse määrust (Digital Operational Resilience Act, DORA)..

See kehtestab ranged nõuded finantsasutuste digitaalse vastupidavuse tagamiseks ja infotehnoloogiaga seotud operatsiooniriskide, eriti välistarnijatega seotud riskide juhtimiseks.

Euroopa Liidu direktiiv võrgu- ja infosüsteemide turvalisuse kohta (NIS2) on põhimõtteliselt kohaldatav alates 17. oktoobrist, mil see oleks pidanud olema Prantsuse õigusesse üle võetud.

Teksti ulatust laiendatakse võrreldes NIS1 direktiiviga ning see on suunatud konkreetselt taristutele ja üksustele, mis on olulised siseturul majandusliku ja ühiskondliku tegevuse nõuetekohaseks toimimiseks.

Täieliku vastavuse saavutamiseks on kavandatud kolmeaastane periood, kuid miinimumnõuded tuleks kiiresti paika panna, nimelt reguleeritud üksuse registreerimine ANSSI-s, intsidentidest teatamine ja turvalahendustesse tehtud investeeringute tõendamine.

Kuna ülevõtmisseadust ei ole veel vastu võetud, on reguleeritud üksuste kindlakstegemise ja konkreetsete sammude osas endiselt ebakindlust.

Samuti on mitmete Euroopa projektide ajakava osas teatav ebakindlus: kuidas on lood pikaajalise ePrivacy projektiga?

Kuigi komisjon avaldas oma esimese määruse eelnõu 2017. aasta jaanuaris, ootab protsess Euroopa Parlamendi esimese lugemise seisukohta.

See tekst tekitab elavaid arutelusid küpsistega nõustumise põhimõtte kohaldamise ja suhtluse konfidentsiaalsuse üle.

Samuti peaksime mainima Trumpi presidendiaja võimalikku mõju „andmekaitse raamistikule” ja laiemalt andmevahetusele Euroopa Liidu ja Ameerika Ühendriikide vahel.

Lõpuks võiks isikuandmete kaitse üldmäärust (GDPR) ajakohastada, eelkõige seoses andmeedastuse, andmekaitseasutuste koordineeritud uurimiste ja selle vastavusse viimisega (tulevase) e-privaatsuse määrusega.

Viimaseks, aga mitte vähem tähtsaks, oleme tunnistajaks kollektiivse tegutsemise arengule ELis: Nagu me eelmisel kuul teatasime, saab vabaühendus noyb nüüd esitada kollektiivhagisid mis tahes liikmesriigis.

ELis on praegu 43 muud kvalifitseeritud üksust, sealhulgas Iirimaa kodanikuvabaduste nõukogu ja Soome andmekaitseombudsman, kes on praegu Euroopa Andmekaitsenõukogu eesistuja.

Noyb teatas, et plaanib esimesed kohtuasjad esitada 2025. aastal.

Kohtuvaidluste oht, mida ettevõtted peaksid tõsiselt võtma.

 

      

Otsuses, mis avaldati 1. jaanuaril Euroopa Liidu Teatajas, CNIL on mures France Travaili infosüsteemide kavandatud uuenduste pärast.

2023. aasta detsembri täieliku tööhõive seadus näeb ette tööotsijatele uuendatud tugisüsteemi, mis põhineb eelkõige andmete analüüsil ja nende jagamisel paljude piirkondlike ja kohalike organisatsioonidega.

CNIL soovitab riskidele vastavaid turvameetmeid.

CNIL valmistab ette alltöövõtjate GDPR-sertifikaati Sobiva raamistiku loomiseks avab see avaliku konsultatsiooni, mis kestab 28. veebruarini.

Sertifitseerimine peaks aitama andmetöötlejatel alltöövõtjaid valida, „tagades, et alltöövõtja teostatud töötlemist on hinnatud CNIL-i tunnustatud standardi kriteeriumidele vastavaks“.

12. detsembri 2024. aasta pressiteates CNIL teatas, et saadab veebisaitide avaldajatele ametlikud teated, et nad muudaksid oma eksitavaks peetavaid küpsiste ribareklaame.

Amet tuletab kasutajatele meelde, et küpsiseid saab paigutada alles pärast nende nõusoleku andmist.

Lisaks peaks küpsistest keeldumine olema sama lihtne kui nende vastuvõtmine.

Tasub meenutada, et mitu andmekaitseasutust, sealhulgas Belgia ametiasutus, on juba võtnud range seisukoha, nõudes, et kaks vastuvõtmise ja tagasilükkamise ettepanekut oleksid samal tasemel ja sama nähtavusega.

5. detsembril 2024 määras CNIL (Prantsuse andmekaitseamet) ettevõttele Kaspr 240 000 euro suuruse trahvi. eelkõige selle eest, et nad kogusid LinkedInis nende kasutajate kontaktandmeid, kes olid sellegipoolest otsustanud oma nähtavust piirata.

Komisjon käsib ettevõttel need andmed kustutada või kui see pole võimalik ja kui neid andmeid, mille nähtavust on piiratud, ei ole võimalik muudest andmetest eristada, teavitada kasutajaid „kolme kuu jooksul nende andmete töötlemisest ja võimalusest sellele vastuväiteid esitada“.

Lisaks kontaktandmete ebaseaduslikule kogumisele ja töötlemise läbipaistmatuse puudumisele kritiseerib CNIL Kaspri ka andmete viieaastase säilitamise eest, mida peetakse liiga pikaks perioodiks spetsialistide jaoks, kes sageli töökohta vahetavad.

14. novembril trahvis CNIL telekommunikatsiooniettevõtet Orange 50 000 000 euroga reklaamide e-posti postkastidesse paigutamise eest. ja installisid kasutajate seadmetesse küpsiseid ilma nende nõusolekuta.

Ettevõttele määrati korraldus oma tegevuse vastavusse viimiseks või täiendavate trahvide määramiseks.

10. ja 11. veebruaril toimub Prantsusmaal tehisintellekti (AI) tippkohtumine.

Seda silmas pidades toovad CNIL, Pariisi Saclay ülikool ja Caen-Normandie ülikool 23. jaanuaril kokku eksperdid ja teadlased, et arutada tehisintellekti ära kasutades viise väärinfo, pettuste ja privaatsusrikkumiste ennetamiseks.

11. detsembril korraldas Prantsuse tehisintellekti vaatluskeskus tehisintellekti tippkohtumise ettevalmistamiseks ka seminari tehisintellekti arengu mõjust tööle ja tööhõivele.

Arutelud keskendusid eelkõige tehisintellekti tehtud otsuste selgitatavusega seotud väljakutsetele.

3. jaanuaril avaldas Kontrollikoda aruande tervishoiuasutuste IT-turvalisuse kohta.

Ta märgib, et "2023. aastal olid 10% Prantsusmaa küberrünnaku ohvritest tervishoiuasutused. Nende haavatavus on seotud eelkõige nende infosüsteemide suurenenud seotusega välismaailmaga ja kroonilise ebapiisava investeerimisega digitaaltehnoloogiasse."

Need rünnakud võivad avaldada tõsist mõju institutsioonide toimimisele ja patsientide ravile.

Avaliku võimu esindajad reageerisid viieaastase ennetus- ja kaitseprogrammi rahastamisega hilinenult. Seda hoogu tuleb säilitada.

Tervishoiuministeerium on väljendanud muret Doctolibi rakenduse uue funktsiooni "Tervis" teenuse arendamise pärast. mis teeb ettepaneku kindlustatud isikute meditsiinilise teabe tsentraliseerimiseks.

See funktsioon näib kopeerivat digitaalset tervisekaarti "Minu terviseruum", mille riik lõi 24. juuli 2019. aasta seadusega, mis käsitleb tervishoiusüsteemi korraldamist ja ümberkujundamist.

12. detsembril esitas vabaühendus noyb kaebuse Prantsuse sotsiaalmeediaplatvormi BeReal vastu. ettevõtte poolt kasutaja nõusoleku saamiseks kasutatavate "tumedate mustrite" tõttu.

Kui kasutajad rakenduse avavad, kuvatakse neile hüpikaken, kus neil palutakse öelda „jah” või „ei” oma isikuandmete kasutamiseks reklaami eesmärgil: kui kasutajad klõpsavad nupul „nõustun”, ei näe nad enam kunagi nõusolekubännerit.

Kui nad aga sihtimise tagasi lükkavad, ilmub bänner iga päev, kuni nad selle vastu võtavad.

 

Euroopa institutsioonid ja organid

Euroopa Andmekaitsenõukogu võttis 18. detsembril vastu arvamuse tehisintellekti mudelite kohta. Selles arvamuses analüüsitakse:

• Kuidas hinnata ja näidata, et tehisintellekti mudel on anonüümne;
• Kas õigustatud huvi saab olla tehisintellekti mudelite koolitamise või kasutamise õiguslikuks aluseks;
• Tagajärjed, kui tehisintellekti mudelit treenitakse ebaseaduslikult töödeldud isikuandmete abil.

Komitee sõnul tuleb tehisintellekti mudeli anonüümsust hinnata igal üksikjuhul eraldi: peab olema praktiliselt võimatu („väga ebatõenäoline“) (1) otseselt või kaudselt tuvastada isikuid, kelle andmeid mudeli loomiseks kasutati, ja (2) neid isikuandmeid mudelist päringute abil eraldada.

Teade annab loetelu anonüümsuse tõendamise meetoditest.

Õigustatud huvi osas annab arvamus andmekaitseasutustele juhiseid selle õigusliku aluse sobivuse hindamiseks.

Lõpuks, kui tehisintellekti mudel on välja töötatud ebaseaduslikult töödeldud isikuandmete põhjal, võib see mõjutada selle kasutuselevõtu seaduslikkust, välja arvatud juhul, kui mudel on nõuetekohaselt anonümiseeritud.

Euroopa andmekaitseinspektor (EDPS) on vastu võtnud otsuse, mille kohaselt Euroopa Komisjon sihtis ebaseaduslikult Euroopa kodanikke, näidates neile reklaame, mis põhinesid nende poliitiliste vaadetega seotud tundlikel isikuandmetel.

Kaebuse algatanud vabaühendus noyb viitab sellele, et veebiarutelude kontrolli käsitleva määruse eelnõu („Vestluse kontroll“) ümber käivate arutelude kontekstis määras Euroopa Komisjon Hollandi liikmesriigiks, keda ta soovis poliitiliselt mõjutada.

Sel eesmärgil postitas ta Twitteris/X-is sõnumeid, milles reklaamis seda regulatsiooni kaudselt liberaalsetele või vasakpoolsetele kasutajatele.

 

Uudised Euroopa Liidu liikmesriikidest.

Saksa autotootja Volkswagen sattus uue aasta eelõhtul uurimise alla pärast meediaväljaande Spiegel paljastust, milles süüdistati ettevõtet enam kui 800 000 Euroopa sõiduki geograafilise asukoha andmete avalikustamises.

See teave võimaldas teada ligi 500 000 sõiduki asukohta 10 sentimeetri täpsusega.

Prantsusmaal on väidetavalt mõjutatud üle 50 000 Volkswageni, Audi, Skoda ja Seati kaubamärgiga sõiduki.

Ka Saksamaal trahvis kohalik andmekaitseamet Hamburgis asuvat teenusepakkujat 900 000 euroga isikuandmete säilitamise eest kuni viis aastat pärast tähtaega.

APD jaoks on "vastuvõetamatu, et digitaalsektoris tegutsevad osapooled ei ole välja töötanud sidusat kustutamisprotseduuri" (AFCDP vahendusel).

Hispaanias karistas APD autoremonditöökoda, mis oli lisanud oma kliendifaili WhatsAppi gruppi, muutes 150 kliendi andmed (telefoninumbrid, nimed ja fotod) nähtavaks kõigile grupi liikmetele.

APD tuvastas isikuandmete kaitse üldmääruse artikli 6(1) rikkumise, mis nõuab isikuandmete töötlemiseks kehtivat õiguslikku alust, ning määras ettevõttele 3000 euro suuruse trahvi.

Hispaania on otsustanud keelata koolides Google Workspace for Educationi kasutamise.

See otsus tehti Hispaania andmekaitseameti (APD) aruande põhjal, milles leitakse, et toimub "isikuandmete sissetungiv kogumine".

See aruanne koostati Haridusministeeriumi tellimusel.

Iirimaa andmekaitsekomisjon (DPC) teatas 17. detsembril, et määras Metale 251 000 000 euro suuruse trahvi miljonite Facebooki kasutajate andmeid kahjustanud andmelekke ärahoidmata jätmise ja rikkumise ebapiisava dokumenteerimise eest.

Kaks päeva pärast seda, kui Euroopa Andmekaitsenõukogu avaldas oma arvamuse tehisintellekti kohta, määras Itaalia andmekaitseamet 20. detsembril OpenAI-le 15 000 000 euro suuruse trahvi.

Ta usub, et ettevõte kasutas internetikasutajate isikuandmeid ChatGPT treenimiseks "ilma piisava õigusliku aluseta ning rikkus läbipaistvuse põhimõtet ja sellega seotud teabekohustusi kasutajate ees".

APD poolt 2023. aasta lõpus algatatud uurimine näitab lisaks, et ettevõte ei pakkunud piisavat vanuse kontrollimise süsteemi, et vältida alla 13-aastaste kasutajate kokkupuudet sobimatu tehisintellekti loodud sisuga.

Samuti peab avatud tehisintellekt käivitama riigis erinevates meediakanalites kommunikatsioonikampaania, et tõsta avalikkuse teadlikkust ChatGPT toimimisest ja tuletada neile meelde nende õigusi.

Kas me saame ikka veel OpenAI mudelit ja ChatGPT API-t kasutada omaenda generatiivsete tehisintellekti teenuste pakkumiseks?

Itaalia otsus jätab küsimuse lahtiseks, täpsustades, et selle peab otsustama Iirimaa ametiasutus GDPR-i artikli 56 mehhanismi alusel.

Itaalia andmekaitseamet (APD) võttis 13. novembril samuti seisukoha alaealiste fotode avaldamise kohta Facebookis, tuletades meelde, et vajalik on mõlema vanema nõusolek.

Sel konkreetsel juhul jagas alla 14-aastase lapse isa Facebookis oma fotot, et näidata oma sarnasust poolvennaga, kes samuti fotol oli.

Lapse ema, kes on isast lahutatud, palus tal edutult foto Facebookist eemaldada ja esitas APD-le kaebuse.

Hollandi võimud hoiatasid 6. detsembril ka Rahvusarhiivi Hollandi sõjaarhiivi veebis avaldamise eest.

Need dokumendid sisaldavad toimikuid inimeste kohta, keda kahtlustatakse Teise maailmasõja ajal okupantidega koostöös, sealhulgas tundlikke andmeid, nagu usutunnistus, poliitiline kuuluvus, tervis või etniline kuuluvus, isegi kui tegemist on mõne inimesega, kes on veel elus.

Kuigi neil on vaieldamatu väärtus, rikub viis, kuidas Rahvusarhiiv soovib andmeid veebis avalikuks teha, APD sõnul arhiiviseadust ja isikuandmete kaitse üldmäärust.

Seetõttu nõuab ta andmetele juurdepääsu tingimuste paremat kontrolli.

18. detsembril trahvis APD Netflixit selle eest, et ettevõte ei teavitanud oma kliente nõuetekohaselt nende andmete töötlemisest aastatel 2018–2020.

Lisaks oli Netflixi esitatud teave teatud punktides ebaselge.

Sel põhjusel määras APD voogedastusteenusele 4 750 000 euro suuruse trahvi.

Sellest ajast alates on Netflix oma privaatsusavaldust uuendanud ja teavet täiustanud.

Rootsis trahvis APD üürileandjat 200 000 Rootsi krooniga (17 366 eurot) kaheksateistkümne kaamera paigutamise eest elamu üldkasutatavatesse ruumidesse ja teabenõudele vastamata jätmise eest.

 

Novembris avaldatud uuring „Siseruumide asukoha, liikumise ja laua hõivatuse jälgimine töökohal“ analüüsib töötajate käitumise jälgimise ja profileerimise tehnoloogiaid, mis kasutavad ettevõtte ruumides liikumisandureid ja WiFi-taristut.

See uuring keskendub võimalikele mõjudele töötajatele Euroopas ja uurib Cisco, Juniperi, Spacewelli, Locatee ja teiste sarnaste tehnoloogiapakkujate pakutavaid kõige levinumaid lahendusi.

Cisco väidab, et on seni töödelnud 17,2 triljonit "asukohaandmete punkti", mis on kogutud enam kui kolme miljoni WiFi-pääsupunkti kaudu, mis on paigaldatud 250 000 hoonesse üle maailma.

Uuringus käsitletakse lühidalt, kuidas töötajad seisid vastu tööandjate poolt liikumisandurite paigaldamisele (AFCDP vahendusel).

Pärast WhatsAppi algatatud kohtumenetlust 2019. aastal kuulutas California kohtunik detsembri lõpus häkkimises süüdi Iisraeli ettevõtte NSO Group, mis lõi nuhkvara Pegasus.

Selle tööstusharu vastased peavad seda otsust ajalooliseks.

WhatsAppi direktori Will Cathcarti sõnul „väidab NSO Group, et teenib valitsusi vastutustundlikult, kuid oleme avastanud, et eelmise aasta mais rünnaku sihtmärgiks oli üle saja inimõiguste kaitsja ja ajakirjaniku; need kuritarvitused peavad lõppema.“

USA valitsus avalikustas detsembri alguses, et Hiina oli häkkinud kaheksa Ameerika operaatori (sealhulgas AT&T, Verizon ja Lumen Technologies) võrke.

Luuramine puudutab uut RCS-vormingut SMS-sõnumite saatmiseks iPhone'i ja Android-nutitelefoni vahel.

FBI ja küberjulgeoleku ja infrastruktuuri turbeagentuur (CISA) on teatanud, et Microsofti poolt Salt Typhooniks nimetatud häkkimiskampaania on üks ajaloo suurimaid rikkumisi.

Häkkerid said ligipääsu kõnesalvestistele, konkreetsete isikute otseülekannetele ja isegi salastatud kohtumäärustele.

Võimud soovitavad privaatse suhtluse paljastamise vältimiseks kasutada turvalisi ja krüpteeritud sõnumsiderakendusi.