Õiguslik järelevalve nr 73 – juuli 2024.  

Pilveteenused: millised on valikukriteeriumid?

Pärast koroonapandeemiat on nii avalikus kui ka erasektoris pilveteenuste kasutamine kasvanud.

Kuigi Euroopa raamistik selles valdkonnas on muutumas selgemaks, on tänapäeval endiselt palju ebakindlust.

• Kas peaksime valima Prantsuse, Euroopa pilve, mis vastab suveräänse pilve nõuetele?
• Millised on riskid, kui usaldada oma andmete haldamine GAFAM-i ettevõtetele?

Kuigi suveräänse pilve juriidilist definitsiooni ei ole, arvatakse üldiselt, et see peab tagama suveräänsuse kolmel põhitasandil:

• Andmed
• Operatsioonid
• Taristu.

Seega peab pilvele esitama kõrgetasemelisi digitaalse turvalisuse ja andmekaitse nõudeid nii tehnilisest, operatiivsest kui ka juriidilisest vaatenurgast ning täpsemalt öeldes peab see olema riigi territooriumil ainupädev.

Seetõttu tuleks olla ettevaatlik mitte-Euroopa ettevõtete väidete suhtes "suveräänse Euroopa pilve" kohta.

Prantsusmaa paistab Euroopa Liidus silma oma eriti rangete nõuete poolest. eriti pärast SecNumCloudi raamistiku rakendamist ja 21. mail vastu võetud SREN-i seadust, mille eesmärk on digitaalse ruumi turvamine ja reguleerimine.

See seadus nõuab, et riigiasutused ja nende operaatorid, kes kasutavad eraettevõtte pakutavat pilveteenust, rakendaksid eriti tundlikke andmeid töötlevate arvutisüsteemide toimimiseks spetsiifilisi turva- ja kaitsekriteeriume.

Eesmärk on vältida kolmandate riikide avaliku sektori asutuste loata juurdepääsu andmetele.

See on eriti oluline, arvestades pilveseadust, mis annab USA julgeolekuteenistustele õiguse pääseda juurde väljaspool nende territooriumi asuvate ettevõtete valduses olevatele andmetele ilma eelneva loata.

Need kohustused on kooskõlas Prantsuse riigi poolt oma haldusasutuste jaoks välja töötatud „pilv keskel“ doktriini vaimuga.

Kuigi need ei ole erasektorile kohustuslikud, on need siiski kasulikud soovitustena, eriti tundlike andmete töötlemisel, näiteks tervishoiu või teadusuuringute valdkonnas.

Aga kuidas on lood pilveteenuste arendamisega mujal Euroopas?

Näiteks Saksamaal ja Šveitsis on saadaval palju kvaliteetseid teenuseid.

Siiski näib, et suveräänse pilve mõistet tõlgendatakse sageli laiemalt kui Prantsuse kontekstis: Saksa mudel defineerib suveräänseks mis tahes ELi territooriumil asuvat pilve, mida turustab Euroopa ettevõte, kus töötavad ELi kodanikud ja andmetele juurdepääsu osas kehtivad spetsiifilised turvanõuded, isegi kui pilveteenust pakub praktikas näiteks Ameerika ettevõtte tütarettevõte.

Selles suunas liigub praegu Euroopa Liidu pilveteenuste sertifitseerimise (EUCS) projekt.

Oma viimases, märtsikuus avaldatud versioonis ei luba see projekt enam teenusepakkujatel näidata, et nad kaitsevad salvestatud andmeid välisriigi juurdepääsu eest, erinevalt SecNumCloudi kvalifikatsioonist Prantsusmaal.

Just selliste sõnadega hoiatab CNIL Ursula von der Leyeni juhitud uut Euroopa Komisjoni, kes on kaasatud EUCS-i puudutavasse otsustusprotsessi.

Projektist suveräänsusnõuete eemaldamise õigustuseks esitatud põhjuste hulgas on võimalikud süüdistused Ameerika Ühendriikide või Hiina protektsionismis.

CNIL omalt poolt mõistab lisaks isikuandmete rikkumise ohtudele hukka ka Euroopa nõuete allapoole muutmise mõju Euroopa pilveteenuste pakkumise stimuleerimisele.

Arvestades praegust ebakindlust Euroopa rindel, on SecNumCloudi raamistik kasulik viide, eriti tundlike või strateegiliste andmete töötlemiseks. 

ANSSI veebisait avaldab "SecNumCloud"-kvalifitseeritud pilveteenuste nimekirja: see sisaldab 17. juulil ajakohastatud nimekirja 14 pilveteenusest, mis vastavad kvalifikatsiooninõuetele, ja kaheksast teisest, mis on kvalifitseerimisprotsessis.

Sõltumata SecNumCloudi raamistikust on teised Euroopa pilveteenused praeguse õigusliku konteksti arvestades oma rahvusvaheliste konkurentidega võrreldes endiselt atraktiivsed.

Kuigi andmekaitse taset Ameerika Ühendriikides peetakse praegu piisavaks, tasub meeles pidada, et kaks esimest ELi ja ELi vahelist lepingut tühistas Euroopa Kohus ning et kaks esimest hagi algatanud Max Schrems kavatseb sama saatust kogeda ka „andmekaitse raamistikku“.

 

         

Euroopa Liidu Kohtu (CJEU) kohtujurist otsustas oma 11. juuli järeldustes sooga („hr või pr“) seotud andmete töötlemise vajaduse kohta SNCF-i rongiliikluse osutamiseks.

Kuna nende andmete kogumine SNCF vormidel on kohustuslik, küsis Mousse'i ühingu poolt kohtusse pöördunud riiginõukogu Euroopa Kohtult, kas andmete kogumine võiks põhineda GDPR-i artikli 6 lõike 1 punktil a (nõusolek) või artikli 6 lõike 1 punktil b (lepingu täitmiseks vajalik).

Üldkogu sõnul ei ole selline kohtlemine teenuse osutamiseks vajalik, kuna antud juhul ei ole tegemist eraldi vagunitega meestele ja naistele ning SNCF on tunnistanud, et ta ei kasuta seda teavet süstemaatiliselt oma klientidega suhtlemisel.

Üldkohus tuletab eelkõige meelde minimeerimise põhimõtte kohaldamist ja mainib Bundeskartellamti otsust, milles kohus teatas, et „isikuandmete töötlemiseks, mida saab pidada lepingu täitmiseks vajalikuks, (...) peab see olema objektiivselt hädavajalik eesmärgi saavutamiseks, mis on lahutamatu osa andmesubjekti lepingulisest kohustusest“.

Seega peab andmetöötleja suutma näidata, kuidas lepingu peamist eesmärki ei saa saavutada, kui kõnealust töötlemist ei toimu.

Üldkogu järeldab, et kasutaja sugu ei ole antud juhul vajalik.

Digitaalsektori Usaldusväärsete Kolmandate Osapoolte Föderatsioon on avaldanud digitaalsete teekondade ja nõusoleku heade tavade juhendi.

Digitaalallkirjade regulatiivses kontekstis on eesmärk "tagada, et kõigi komponentide koondamine laiendatud usaldusahelasse kogu protsessi vältel annaks vajalikud tõendid protsessi järjepidevuse ja usaldusväärsuse tagantjärele demonstreerimiseks".

21. juunil tühistas riiginõukogu osaliselt 2021. aasta määruse, mis käsitles droonide kasutamist õiguskaitseorganite poolt..

Riiginõukogu leidis, et selle dekreedi teatud sätted riivavad ebaproportsionaalselt õigust eraelu austamisele ja kogunemisvabadust.

Droonide kasutamist meeleavalduste filmimiseks saab lubada ainult juhul, kui avaliku korra rikkumised on tõenäolised ja kui salvestatud pildid on selliste rikkumiste ärahoidmiseks või vastutavate isikute vastutusele võtmiseks hädavajalikud.

Lisaks tuleb filmitavaid inimesi piisavalt teavitada droonide kasutamisest ja nende andmekaitseõigustest (AFCDP kaudu).

Riiginõukogu on kinnitanud sugurakkude doonorite õigust esitada isikuandmete kaitse üldmääruse artikli 21 alusel vastuväiteid oma isikuandmete edastamisele organisatsioonilt, kus nad annetuse tegid, keskse doonoriregistrisse.

 

Euroopa institutsioonid ja organid

Euroopa Komisjoni ja Euroopa Andmekaitseinspektori (EDPS) vahel on praegu käimas vaidlus Microsoft Office 365 kasutamise üle.

Komisjon algatas tõepoolest mai keskel kohtumenetluse, et vaidlustada Euroopa Andmekaitseinspektori uurimise tulemused nende teenuste kasutamise kohta.

Euroopa andmekaitseinspektor kritiseerib komisjoni eelkõige selle eest, et see ei ole andnud tagatisi andmete edastamise kohta Ameerika Ühendriikidesse. 

Väidetavalt ei täpsustanud komisjon oma lepingus Microsoftiga piisavalt kogutavate isikuandmete liike ja töötlemise eesmärke, rikkudes seega ELi isikuandmete kaitse üldmäärust.

Euroopa andmekaitseinspektor kutsus komisjoni üles peatama kõnealused ülekanded ja järgima seadust 9. detsembriks. Komisjoni järeldused avaldati juuli keskel Euroopa Liidu Teatajas.

12. juulil saatis Euroopa Komisjon X-ile (endine Twitter) oma esialgsed järeldused Euroopa digitaalteenuste määruse (DSA) järgimise kohta.

2023. aasta detsembris algatatud menetlused on suunatud konkreetselt nn tumedate mustrite, reklaamide läbipaistvuse ja teadlaste juurdepääsu andmetele vastu.

Elon Musk on juba teatanud, et vaidlustab komisjoni järeldused kohtus.

Euroopa Andmekaitsenõukogu võttis oma juuli keskpaigas toimunud plenaaristungil vastu deklaratsiooni andmekaitseasutuste rolli kohta tehisintellekti määruse kontekstis.

Määruses on sätestatud, et liikmesriigid määravad 2. augustiks 2025 riiklikud turujärelevalveasutused, kelle eesmärk on jälgida määruse kohaldamist ja rakendamist.

Euroopa Andmekaitsenõukogu sõnul on andmekaitseasutustel juba kogemusi tehisintellekti mõju kohta põhiõigustele ja seetõttu tuleks nad määrata turujärelevalveasutusteks, tagades seeläbi parema koordineerimise erinevate reguleerivate asutuste vahel ja suurema õiguskindluse kõigile sidusrühmadele.

Tuleb märkida, et tehisintellekti määrus, mis avaldati 12. juulil Euroopa Liidu Teatajas, jõustus 1. augustil.

Euroopa Andmekaitsenõukogu võttis vastu ka kaks dokumenti (KKK) Euroopa Liidu ja Ameerika Ühendriikide isikuandmete kaitse lepingu kohta, et anda selle toimimise kohta rohkem üksikasju.

Need dokumendid on mõeldud ühelt poolt üksikisikutele ja teiselt poolt ettevõtetele.

11. juulil võttis Euroopa Kohus seisukoha kohtuasjas, milles ettevõte Meta esitati Saksamaa tarbijaorganisatsioonide föderatsioonile vastu.

Kohus tuletas meelde, et vastutava töötleja kohustus anda andmesubjektidele teavet tuleneb nende isikute õigusest saada teavet vastavalt isikuandmete kaitse üldmääruse artiklitele 12 ja 13 ning on seega üks õigustest, mida saab isikuandmete kaitse üldmääruse artikli 80 lõike 2 kohaselt esindushagiga kaitsta.

Kohus märkis ka, et teavitamiskohustuste rikkumine võib takistada andmesubjektil andmast „teadlikku“ nõusolekut ja sellest tulenevalt muuta töötlemise määruse artikli 5 lõike 1 punkti a alusel ebaseaduslikuks (GDPRhubi kaudu).

Microsoft jõudis 19. juulil pealkirjadesse teises kontekstis, kui üks tema alltöövõtjatest, Crowdstrike, levitas oma Falcon Sensori turvatarkvara vigase värskenduse.

Ligikaudu 8,5 miljonit tarkvara kasutavat Microsoft Windowsi arvutit jooksid kokku ega suutnud korralikult taaskäivituda, mida on kirjeldatud kui "infotehnoloogia ajaloo suurimat katkestust".

Õiguslikust vaatenurgast kujutab sellise rikke põhjustatud andmete kättesaamatus endast turvarikkumist, mis nõuab meetmete võtmist eelkõige Euroopa NIS2 direktiivi (mis hakkab kehtima alates järgmise aasta oktoobrist) alusel.

Euroopa Andmekaitsenõukogu (EDPB) leiab, et tegemist on ka isikuandmete rikkumisega isikuandmete kaitse üldmääruse artikli 4 lõike 12 tähenduses, mis hõlmab rikkumisi, mille tulemuseks on andmete juhuslik või ebaseaduslik kadumine.

See tähendab olenevalt tagajärgedest andmekaitseasutuste ja asjaomaste isikute teavitamist.

Selle seisukoha üle käib praegu arutelu, kusjuures mõned spetsialistid leiavad, et andmete kättesaamatus ei kujuta endast GDPR-i tähenduses kahju, samas kui teised viitavad andmetele juurdepääsu blokeerimise kohati olulistele tagajärgedele asjaomastele isikutele.

 

Uudised Euroopa liikmesriikidest.

Saksa kohus otsustas, et Google Ireland Limited kui Google'i otsingumootori operaator vastutab otsingutulemuste kuvamise eest, olenemata asjaolust, et otsingutulemused pakub USA-s asuv ettevõte Google LLC.

Taanis noomis andmekaitseamet immigratsiooni- ja integratsiooniministeeriumi säilitamise piiramise põhimõtte rikkumise eest, kuna ministeerium ei järginud oma andmete säilitamise poliitikat.

Hispaania haldusvaidluste koda "Audiencia Nacional" otsustas 27. juuni otsusega, et Hispaania andmekaitseamet (APD) on pädev menetlema USA-s asuva ettevõtte Clearview AI vastu esitatud kaebust.

Kohus tugines mitme andmekaitseasutuse varasematele otsustele, sealhulgas Itaalia ametiasutuse otsustele ja CNIL-i 26. novembri 2021. aasta otsusele, milles ta tuvastas Clearview'i kui isiku, kes kuulub GDPR-i artikli 3 lõike 2 punkti b kohaldamisalasse.

CNIL võttis arvesse ettevõtte Clearview otsingut veebis fotode, nende fotode URL-ide ja metaandmete järele, mis võimaldas tal tuvastada ja luua asjaomaste isikute kohta üksikasjaliku profiili ning seega jälgida nende inimeste käitumist.

Itaalias trahvis APD andmetöötlejat 30 000 euroga pärast andmetega seotud rikkumist, mis oli tingitud aegunud ja küberrünnakutele väga haavatava sisuhaldussüsteemi (CMS) tööriista kasutamisest.

Leedu andmekaitseamet (APD) määras Vintedile 2 385 276 euro suuruse trahvi, kuna ettevõtte nn varjatud välistamise (mis seisnes kasutaja platvormilt välistamises teda teavitamata) ja andmete kustutamise taotlustele vastamata jätmise tavad olid vastuolus õigluse ja läbipaistvuse põhimõtetega.

Käesoleval konkreetsel juhul olid Prantsusmaalt ja Poolast pärit hagejad võtnud ühendust oma vastavate ametiasutustega.

Kaebused edastati Leedu ametiasutusele, mis on antud kontekstis juhtiv asutus, arvestades, et Vintedi peamine tegevuskoht asub Leedus.

Luksemburgis kinnitas kohus APD poolt andmetöötlejale määratud 18 000 euro suuruse trahvi, kuna too ei kaasanud kontserni andmekaitseametnikku otseselt andmekaitseküsimustesse ja ei andnud talle piisavalt ressursse.

Hollandi andmekaitseamet (APD) määras Kruidvat.nl-ile 600 000 euro suuruse trahvi jälgimisküpsiste paigutamise eest enne kasutajate nõusoleku saamist.

Samuti leidis andmekaitseamet, et jälgimisküpsiste vastuvõtmiseks eelnevalt linnukese märgitud ruut ei kujuta endast vabatahtlikku, konkreetset, teadlikku ja ühemõttelist nõusolekut.

 

19. juunil avaldas Ühendkuningriigi andmekaitseamet (ICO) oma otsuse Snapi rakenduse „Minu tehisintellekt“ ja andmekaitsealase mõjuhinnangu (DPIA) läbiviimise kohustuse täitmise kohta.

Otsus sisaldab üksikasjalikke kommentaare ICO ootuste kohta seoses andmekaitsealaste mõjuhinnangute detailsuse tasemega üldiselt ja konkreetseid tähelepanekuid üldotstarbelise tehisintellekti ja lastega seotud tehisintellekti kohta.

Kuna nende sätete aluseks olev Briti õigus on endiselt peaaegu identne ELi omaga, võivad need tähelepanekud olla kasulikud ka väljaspool Ühendkuningriiki.

ICO avaldas 30. juulil ka pressiteate, milles teatas, et noomis valimiskomisjoni oma serverite kaitsmata jätmise eest, mis võimaldas häkkeritel pääseda ligi ligikaudu 40 miljoni inimese isikuandmetele.

Ameerika Ühendriikides on Senatis esitatud tehisintellekti käsitlev seaduseelnõu („The Content Origin Protection and Integrity from Edited and Deepfaked Media Act (COPIED ACT)“), et võidelda süvavõltsingute vastu, suurendada tehisintellekti läbipaistvust ja anda sisuloojatele rohkem võimu.

USA senat võttis juuli lõpus vastu laste veebiturvalisuse ja privaatsuse seaduse.

See kaheparteiline seaduseelnõu ühendab mitu eelnõu, mis käsitlevad turvalisust, laste ja noorukite privaatsuse kaitset veebis ning tehisintellekti kasutamisega seotud filtreerimise läbipaistvust.

Teksti peab nüüd heaks kiitma Esindajatekoda.

23. juuli avalduses teatas föderaalne kaubanduskomisjon, et on andnud kaheksale ettevõttele korralduse esitada talle teavet toodete ja teenuste kohta, mis kasutavad isikuandmeid, sealhulgas rahalisi vahendeid ja sirvimisajalugu, üksikisikute hinnakujunduse isikupärastamiseks.

Korraldused on mõeldud selleks, et aidata FTC-l paremini mõista läbipaistmatut turgu, kus pakutakse tooteid, mida pakuvad kolmandate osapoolte vahendajad, kes kasutavad täiustatud algoritme ja kasutajaandmeid (asukoht, demograafilised andmed, krediit ja sirvimis- või ostuajalugu) üksikisikute kategoriseerimiseks ja nende hindade sihtimiseks.

Kuigi Google oli hakanud Chrome'ist järk-järgult eemaldama kolmandate osapoolte jälgimisküpsiseid oma "privaatsuse liivakasti" (jälgimissüsteem, mida esitletakse privaatsussõbralikuna, kuid mujal vaidlustatakse) kaudu, teatas ettevõte 22. juulil, et loobub projektist.

Kolmandate osapoolte küpsiste eemaldamise asemel tutvustaks Google Chrome'is "uut kogemust, mis võimaldaks kasutajatel teha teadliku valiku, mis kehtiks kogu nende veebibrauseri puhul", valikut, mida saaks igal ajal muuta.

Briti arenguamet on andnud märku, et kahetseb projektist loobumist.

Malawi andmekaitseseadus jõustus juulis.

See liitub nüüdseks pika nimekirjaga Aafrika riikidest, kus on isikuandmeid kaitsev seadus.

Lisaks avaldas Aafrika vastutustundliku tehisintellekti vaatluskeskus eelmise aasta märtsis dokumendi pealkirjaga „Vastutustundliku tehisintellekti juhtimine Aafrikas: tulemustel põhineva reguleerimise perspektiivid“.