Mõnikord oleme vastutustundlikumad, kui arvame... või kui tahaksime olla.

Õiguslik jälgimine – september 2019.

See on nii siis, kui installite oma veebisaidile lihtsa pistikprogrammi, isegi kui teil puudub juurdepääs selle kaudu kogutud andmetele.

Hiljutine Euroopa Liidu Kohtu otsus nimega „Fashion ID“ kinnitab seda tähelepanekut, selgitades veebilehtede haldajate vastutust, kes lisavad oma lehele Facebooki „meeldib“ ikooni.

Selle lihtsa pistikprogrammi lisamine võib seega kaasa tuua tagajärje, et saidi haldaja vastutab andmete töötlemise eest ühiselt koos sotsiaalvõrgustikuga, mis neid andmeid kogub.

Tehnilisest vaatenurgast võimaldab lihtne plugina veebilehele lisamine selle lehe külastajate ühendusandmete automaatset edastamist vastavale sotsiaalvõrgustikule, olenemata sellest, kas külastajad klõpsavad pluginaikoonil või mitte. Sel juhul edastati Saksamaa veebipõhise rõivakaupluse Fashion ID veebisaidi külastajate andmed süstemaatiliselt Facebooki. See juhtub tegelikult paljude veebisaitidega tänapäeval, olgu need siis veebimüük, uudiste saidid või blogid. Ja Facebookile suunatud arutluskäiku saab antud juhul laiendada mis tahes sotsiaalvõrgustikule või muule sama tehnoloogiat kasutavale üksusele.

Euroopa Kohus selgitas, et asjaolu, et veebisaidi haldajal puudub juurdepääs edastatud andmetele, ei vähenda tema vastutust. Otsustavaks teguriks jääb asjaolu, et ta määrab koos Facebookiga kindlaks töötlemise eesmärgid ja vahendid. Kohus tuletab veebisaidi ja Facebooki võimaliku ühise vastutuse vastastikusest majanduslikust kasust, mida nad sellest koostööst saavad: Facebooki jaoks oma andmebaasi rikastamine ja veebisaidi haldaja jaoks oma toodete reklaami optimeerimine Facebooki sotsiaalvõrgustikus kohe, kui külastaja klõpsab ikoonil „meeldib“.

Kohus selgitab, et õiguslik vastutus ja kohustused varieeruvad sõltuvalt töötlemise eri aspektidest: antud juhul ei saa Fashion ID-d pidada vastutavaks selle eest, kuidas Facebook andmeid hiljem töötleb. Facebook peab esitama ka konkreetse õigusliku aluse selliseks töötlemiseks. Veebisaidi operaator on aga kohustatud oma külastajaid eraldi teavitama ja neilt nõusoleku saama nende andmete kogumise ja sotsiaalvõrgustikule edastamise kohta.

Sellest olulisest kohtuotsusest saab õppida mitu asja. Seetõttu on soovitatav:

• Kontrollige süstemaatiliselt oma veebisaidil olevate pistikprogrammide kasutustingimusi ja võimalikke andmete edastamise tingimusi kolmandatele isikutele.
• Kontrollige vastutusklausleid nende kolmandate isikutega sõlmitud lepingutes;
• Teavitage külastajaid sellest kogumisest eraldi ja küsige neilt eraldi nõusolek.

Need ettevaatusabinõud on veelgi asjakohasemad, kuna CNIL selgitas hiljuti veebireklaamide sihtimisega seotud nõusoleku saamise rangeid tingimusi ning teatas, et keskendub oma 2019. aasta järelevalvetegevuses isikuandmeid töötlevate eri osapoolte vahelise vastutuse jaotuse küsimustele. 

Nende küsimustega tegeletakse ka Euroopa tasandil. Euroopa Andmekaitsenõukogu (EDPB), mis koondab Euroopa Liidu andmekaitseasutusi (CNIL), on algatanud arutelusid erinevate valdkondlike organisatsioonide vahel, et ajakohastada järelevalveasutuste arvamust vastutavate töötlejate, kaasvastutavate töötlejate ja volitatud töötlejate tuvastamise ja rolli kohta.

Ja ka:

• Euroopas:

Brexit:

Millised oleksid andmete edastamise tingimused Ühendkuningriiki, kui riik peaks Euroopa Liidust lepinguta lahkuma? Euroopa Andmekaitsenõukogu avaldas 2019. aasta alguses märkuse, milles kirjeldati üksikasjalikult tingimusi ja erinevaid kohaldatavaid õiguslikke aluseid. Briti andmekaitseamet vastab paljudele küsimustele ka oma ametlikul veebisaidil.

Biomeetria:

Rootsi andmekaitseamet määras oma esimese isikuandmete kaitse üldmääruse (GDPR) kohase sanktsiooni 21. augustil. Koolile määrati 20 000 euro suurune trahv õpilastele näotuvastussüsteemi rakendamise eest, rikkudes mitmeid isikuandmete kaitse üldmääruse põhimõtteid: kehtetu nõusolek, tundlikud biomeetrilised andmed, eelneva mõjuhinnangu puudumine ja andmekaitseasutusega konsulteerimata jätmine.

Pilve- ja andmekaitse:

Euroopa pilve loomise väljavaade ühtlustatud reeglitega läheneb. 29. augustil toimus Haagis esimene avaliku ja erasektori sidusrühmade kohtumine Euroopa ja rahvusvahelisel tasandil.

• maailmas:

Elektroonilised tõendid:

Tingimused, mille alusel kohtuasutused saavad juurde pääseda ettevõtete valduses olevatele elektroonilistele tõenditele („e-tõendid“), on Euroopa ja rahvusvahelise arengu teema. Eesmärk on ühtlustada need eeskirjad Euroopas, aga ka saavutada Ameerika Ühendriikidega kokkulepe nendele andmetele juurdepääsu tingimuste osas osana kuritegevuse vastasest võitlusest. Ameerika Ühendriikide „pilveseaduse“ kohaselt on Ameerika Ühendriikidel olnud juurdepääs Euroopas asuvate Ameerika ettevõtete andmetele alates 2018. aasta märtsist. Eesmärk on saavutada kokkulepe nende juurdepääsutingimuste osas mõlemal pool Atlandi ookeani, järgides andmekaitse-eeskirju.

ISO-standard:

Uus standard ISO/IEC/27701 avaldati augusti alguses. See on standardite ISO/IEC 27001 ja ISO/IEC 27002 laiendus, mis hõlmab privaatsuse haldamist ja võtab arvesse ka isikuandmete kaitse üldmääruse (GDPR) nõudeid.

1 Kohtuotsus kohaldab direktiivi 95/46/EÜ, mis on hiljem kehtetuks tunnistatud määrusega (EL) 2016/679 ehk isikuandmete kaitse üldmäärusega. (Kaas)vastutust käsitlevad sätted on uues määruses siiski samaks jäänud.