Õiguslik jälgimine nr 59 – mai 2023.

Metasanktsioon: 1,2 miljardit eurot… ja mis edasi?

Iiri ametiasutuse poolt 12. mail Facebooki emaettevõttele Meta määratud karistus on andmekaitseasutuse poolt GDPR-i jõustumisest saadik määratud kõrgeim karistus ajal, mil määrus tähistab oma viiendat kohaldamisaastat.

Selle otsuse keskmes on Facebook edastab oma Euroopa kasutajate andmeid Ameerika Ühendriikidesse, riiki, mida enam ei peeta piisava kaitsetaseme pakkujaks. alates Euroopa Liidu Kohtu 16. juuli 2020. aasta otsusest (Schrems II otsus).

See uus sanktsioon on ka andmekaitseasutuste koostöö sümbol, kuna Iiri ametiasutuse otsus on pika ja vaevalise menetluse tulemus, rääkimata nn köieveojõust Euroopa kolleegidega.

Seega oli APD sunnitud oma otsuse ulatust laiendama ja määrama märkimisväärse trahvi.

Kaebuse algatanud vabaühenduse NOYB ja selle presidendi Max Schremsi sõnul pole tingimata midagi tähistada.

Menetlus kestis kolm aastat, mille jooksul riiklik ametiasutus blokeeris protsessi süstemaatiliselt eri etappides, mille tulemusel tekkisid kohtukulud üle kümne miljoni euro ... trahvina, mis läheb Iiri riigile.

 

Millised on Meta jaoks konkreetsed tagajärjed?

Otsus sisaldab rakendusperioodi: ettevõttel on aega oktoobri keskpaigani, et lõpetada oma kasutajate andmete edastamine Ameerika Ühendriikidesse.

Samuti peab see enne novembri keskpaika kustutama kõik andmed, mis on juba oma USA andmekeskustest üle kantud.

Kuigi ettevõte on ähvardanud oma teenuste osutamise Euroopas lõpetada, on selle teadaande tõenäosus kaheldav, kuna Euroopa on pärast Ameerika Ühendriike selle suurim tuluallikas, kusjuures Euroopa territooriumile on loodud mitu andmekeskust.

Ettevõte teatas, et esitab Iirimaa ametiasutuse vastu riikliku apellatsiooni ja taotleb korralduse peatamist kuni kohtumenetluse ammendumiseni.

Meta ilmselt võidab aega, lootes uuele transatlantilisele lepingule, mis reguleeriks andmeedastust Ameerika Ühendriikidesse enne sügist.

Siiski tuleks meeles pidada, et ühelt poolt ei legaliseeri uus leping varasemaid ülekandeid ja juba tõestatud seaduserikkumisi ning teiselt poolt on tulevase transatlantilise lepingu osas lati kõrge.

Praegune projekt on juba saanud Euroopa Parlamendilt teravat kriitikat ning pole kindel, kas see peab vastu Euroopa Liidu Kohtu kontrollile.

 

Mõju GAFAMidele ja andmetöötlejatele üldiselt

USA jälitustegevuse seadused, mis on Iiri ametiasutuse, Euroopa Andmekaitsenõukogu ja Euroopa Kohtu otsuste aluseks, tekitavad probleemi kõigile suurematele USA pilveteenuse pakkujatele, nagu Microsoft, Google või Amazon.

Tuleb märkida, et asjaomane USA jälitustegevuse seadus (FISA 702) tuleb uuesti kinnitada 2023. aasta detsembriks.

Kuigi mitmed Euroopa järelevalveasutused on juba otsustanud, et Ameerika andmeedastusega seotud teenuste kasutamine on ebaseaduslik, ei kaasnenud nende otsustega nii suurt trahvi kui Metale määratud trahv.

See võiks julgustada Ameerika suuri tehnoloogiaettevõtteid ja kõiki neid, kes kasutavad Ameerika päritolu "pilve"teenuseid, oma tavasid üle vaatama ja vähemalt ülekannete mõjuanalüüsi tegema.

 

Siiski on siiski vaja, et andmekaitseasutused oleksid isikuandmete kaitse üldmääruse kohaldamisel piisavalt hoiatavad.

Nüüd kritiseeritakse neid ebaefektiivsuse pärast, nagu näitab Iirimaa Kodanikuvabaduste Nõukogu (ICCL) hiljutine aruanne.

Tema analüüs näitab, et isikuandmete kaitse üldmäärust (GDPR) rakendatakse suurtehnoloogiaettevõtete vastu harva.

Vähesed suuremad Euroopa juhtumid oleksid kaasa toonud tõsiseid täitemeetmeid: „Euroopa Andmekaitsenõukogu lõplike otsuste register näitab, et enamik (64 %) 159 täitemeetmest 2022. aasta lõpuks olid pelgalt noomitused.“

Uuring osutab ootuspäraselt Iiri andmekaitsekomisjonile, kuna selle ameti 75 uurimisotsust ELi juhtumites on Euroopa Andmekaitsenõukogus häälteenamusega tühistatud.

Õiguskaitsevahendite kontekst areneb üksikisikute parema kaitse suunas: sel suvel peaks rakenduma Euroopa kollektiivsete õiguskaitsevahendite direktiiv, mis annab Euroopa kasutajatele täiendava õiguskaitsevahendi, võimaldades neil esitada kollektiivhagisid isikuandmete kaitse üldmääruse rikkumise korral kogu Euroopa Liidus.

Hollandis, kus seda tüüpi õiguskaitsevahendeid juba lubatakse, on kohtuasjade arv suurenenud.

Hollandi tarbijaõiguste organisatsioon "Consumentenbond" koondab praegu Hollandi Facebooki kasutajaid, et esitada kaebus Euroopa Liidu ja Ameerika Ühendriikide vahelise andmeedastuse kohta.

Lõpuks on Euroopa Kohtu (Österreichische Post AG) hiljutine otsus avanud tee privaatsusrikkumiste puhul „väikeste hagide” esitamiseks, kinnitades, et moraalse kahju raskusastme künnist ei ole vaja kehtestada, mis võimaldaks kasutajatel nõuda kahjutasu rikkumiste eest, mis puudutavad näiteks massilist jälgimist Ameerika Ühendriikide poolt.

See tooks kaasa hüvitisnõuded, mis ületavad tunduvalt praeguseid karistusi.

 

Ja ka

     

• 16. mail avaldas CNIL tegevuskava tehisintellekti süsteemide juurutamiseks, mis austavad üksikisikute privaatsust.

See kavatseb laiendada oma tööd täiustatud kaamerate alal ning laiendab oma tööd generatiivsele tehisintellektile ja suurtele keelemudelitele (LLM) ning tuletatud rakendustele (sh vestlusrobotid).

See töö aitab ette valmistada ka tehisintellekti käsitleva Euroopa määruse eelnõu jõustumist.

• CNIL määras ettevõttele DOCTISSIMO 380 000 euro suuruse trahvi.

Komisjon märkis isikuandmete kaitse üldmääruses mitmeid puudusi, eelkõige seoses andmete säilitamise tähtaegade, terviseandmete kogumise veebitestide kaudu, andmeturve ja küpsiste paigutamise meetoditega kasutajate terminalidesse.

• CNIL avaldas oma 2022. aasta tegevusaruande 23. mail.

Selles loetletakse möödunud aasta olulisemad sündmused, sealhulgas suurem toetus ettevõtetele ja haldusasutustele, avaliku teabe kampaaniad ja noortele suunatud digiharidus, kaebuste menetlemine ja jõustamismeetmed.

• Riiginõukogu avaldas veebis 10. veebruaril 2023 toimunud arutelupäeva salvestise, mille korraldas koos CNIL-i ja Alliance IHU France'iga ning mille teemaks oli "Tehisintellekt ja suurandmed, kuidas need muudavad homset meditsiinilist uurimistööd ja praktikat".

See järgnes Riiginõukogu 2022. aasta augusti uuringule "Tehisintellekt ja avalik tegevus".

• Pariisi apellatsioonikohus otsustas 23. aprillil 2023 tehtud otsuses, et WhatsAppi sõnumeid tuleks samadel tingimustel vahetamisel käsitleda SMS-sõnumitena.

Ettevõtte ja endiste töötajate vahelise vaidluse kontekstis otsustas kohus, et tööandjal on juurdepääs endiste töötajate töötelefonidel olevatele WhatsAppi grupi määratlemata "isiklikele" sõnumitele.

 

Euroopa institutsioonid ja organid

• Kuna isikuandmete kaitse üldmäärus tähistab oma viiendat aastapäeva, annavad arvukad uuringud selle rakendamise kohta vastakaid hinnanguid.

Valitsusväline organisatsioon noyb avaldab sellel teemal ülevaate 800 GDPR-i juhtumist, mille nad on viimase viie aasta jooksul andmekaitseasutustele (DPA-dele) esitanud, millest 86 % ootab endiselt otsust.

Valitsusväline organisatsioon on tuvastanud üle 60 menetlusliku probleemi, mis takistavad isikuandmete kaitse üldmääruse kohaldamist.

Kuigi Metale määratud trahv jõuab pealkirjadesse, usub vabaühendus, et andmekaitseasutused üldiselt ei rakenda isikuandmete kaitse üldmäärust õigeaegselt.

• Privaatsuse Tuleviku Foorumi (FPF) läbiviidud hindamine näitab, et isikuandmete kaitse üldmääruse artikli 25 „privaatsuse kavandatud kaitse” rikkumised on toonud kaasa suurimad trahvid.

Uuring põhineb enam kui 90 juhtumil ja selgitab, et "mõned andmekaitseasutused kohaldavad artiklit 25 enne muude isikuandmete kaitse üldmääruse rikkumiste toimumist või isegi enne kavandatud andmetöötluse toimumist".

• Euroopa Andmekaitsenõukogu (EDPB) valis äsja oma presidendiks Soome andmekaitsevoliniku Anu Taluse.

Uus president asendab lahkuvat presidenti Andrea Jelinekit ja juhib komitee tööd järgmised viis aastat.

• Euroopa Andmekaitsenõukogu avaldab kohtuasjade kogumiku, mis käsitleb õigust esitada vastuväiteid ja nõuda andmete kustutamist vastavalt isikuandmete kaitse üldmääruse artiklile 17. Nõukogu uurib valikut näidisotsuseid oma avalikust registrist.
• IAB Europe'i läbipaistvuse ja nõusoleku raamistiku juhtrühm on avaldanud oma võrdlusraamistiku versiooni 2.2.

Peamised muudatused hõlmavad reklaami ja sisu isikupärastamiseks õigustatud huvi õigusliku aluse kaotamist, lõppkasutajatele pakutava teabe parandamist ning teenusepakkujatele lisateabe esitamist oma andmetöötlustegevuse kohta.

• 30 Euroopas asuvast IT- ja küberturvalisuse eksperdist koosnev rühm on kirjutanud ELi juhtidele avaliku kirja.

Nad väljendavad muret tõsiste ohtude pärast, mida Euroopa Komisjoni kavandatud laste seksuaalset väärkohtlemist käsitlev määrus kujutab endast kogu suhtluse konfidentsiaalsusele ja turvalisusele, samuti interneti ja infoökosüsteemi üldisele tervisele.

 

Uudised Euroopa liikmesriikidest.

• Saksamaa Liidumaa Andmekaitseamet (BfDI) on kinnitanud, et tehnoloogiliste arengute, näiteks generatiivse tehisintellekti, andmekaitse seisukohast läbivaatamine on osa tema pädevusest.
• Taani andmekaitseamet on noominud andmetöötlejat isikuandmete jagamise eest Meta Irelandiga, ilma et oleks eelnevalt veendunud, et viimane järgib isikuandmete kaitse üldmäärust andmete edastamisel Meta platvormidele Ameerika Ühendriikides.
• Pärast kõrgetasemelist andmetega seotud rikkumise skandaali ja vabaühenduse noyb kaebust käskis Malta andmekaitseamet (DPA) C-Planetil täita andmetele juurdepääsu taotlus ja avalikustada ettevõtte valduses olevate isikuandmete allikas. Antud juhul olid andmed avalikustatud osana rikkumisest, mis puudutas saare 335 000 valija poliitilisi arvamusi.
• Hollandi Tarbijate Liit on esitanud Google'i vastu kollektiivhagi kasutajate asukoha, veebibrauseri ja rakenduste kasutamise jälgimise eest ilma kehtiva nõusolekuta. Google'ilt oodatakse hüvitist kõigile kasutajatele, kes on selle teenuseid alates 1. märtsist 2012 kasutanud.
• Belgia andmekaitseamet (APD) on keelanud Belgias elavate USA kodanike maksuandmete edastamise Ameerika Ühendriikidesse. APD sõnul ei ole FATCA leping, mis selliseid edastusi lubab, isikuandmete kaitse üldmäärusega kooskõlas ning Belgia maksuamet oleks pidanud läbi viima mõjuhinnangu.
• Norra andmekaitse apellatsioonikomisjon on kindlaks teinud, et autorendiplatvormil on isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti f alusel õiguslik alus hinnata andmesubjekti krediidivõimelisust ettevõtte finantsriski vähendamiseks.
• Pärast anonüümset kaebust võlgade sissenõudmise agentuuri vastu määras Horvaatia andmekaitseamet (APD) andmetöötlejale 2 265 000 euro suuruse trahvi turvameetmete puudumise, nõusoleku andmise ja andmetöötleja teabe esitamise kohustuse rikkumise eest.
• Pärast kaebuse esitamist tegi Austria andmekaitseamet (APD) 10. mail 2023 otsuse näotuvastusettevõtte Clearview AI vastu. Otsuses tuvastati isikuandmete kaitse üldmääruse (GDPR) (artiklid 5, 6 ja 9) rikkumisi, kohustati vastutavat töötlejat kustutama kaebuse esitaja andmed ja määrama Austrias esindaja vastavalt määruse artiklile 27.
• 15. mail trahvis infokomissari büroo (ICO) TikToki 12 700 000 naelaga mitmete andmekaitsealaste õigusaktide rikkumiste, sealhulgas laste isikuandmete ebaseadusliku kasutamise eest.

 

• Professionaalses kontekstis on üha enam trendiks tehisintellekti kasutamine. Näiteks kasutas üks Ameerika jurist ChatGPT-d kohtuasjade otsimiseks kohtukirjelduse jaoks ning vähemalt kuus viidatud kohtuasja olid olematud – tüüpiline tehisintellekti hallutsinatsiooni juhtum, kus vestlusrobot mõtleb välja teavet.

Kohtuasja arutav kohtunik kirjutas: „Kohus on silmitsi enneolematu olukorraga. Hageja advokaadi esitatud lühikokkuvõte hagi tagandamise taotluse vastu on täis viiteid olematutele kohtuasjadele.“ Advokaat vabandas ja seisab nüüd silmitsi distsiplinaaristungiga.

• 16. mail andis OpenAI tegevjuht Sam Altman USA Kongressi ees tunnistusi.

Pärast tehisintellekti potentsiaalselt "valesti minemise" tunnistamist ja soovi avaldamist valitsusega koostööd teha, et seda ära hoida, täpsustas ta oma märkusi: ChatGPT arendaja usub, et on oluline lubada ettevõtetel ja avatud lähtekoodiga projektidel arendada teatud mudeleid "allpool märkimisväärset võimsusläve" ilma rangete regulatsioonide või mehhanismideta, nagu litsentsid või auditid.

• 23. mail avaldas USA Kongress aruande pealkirjaga „Generatiivne tehisintellekt ja andmekaitse: sissejuhatus“: aruanne keskendub Kongressi jaoks olulistele privaatsusküsimustele ja poliitilistele kaalutlustele.
• Samuti tehisintellekti valdkonnas avaldas elektroonilise privaatsuse teabekeskus (EPIC) aruande pealkirjaga „Kahju tekitamine – genereeriva tehisintellekti mõju ja edasised sammud“. Dokument loob silla privaatsuse ja tehisintellekti valdkondade vahel võimaliku kahju seisukohast.
• Ameerika Ühendriikide föderaalne kaubanduskomisjon on avaldanud biomeetrilise teabe kogumist käsitleva poliitilise avalduse, mis pole märkamata jäänud.

Agentuur väidab, et kasutab oma ebaausate tavade alaseid teadmisi biomeetrilise teabe kahjuliku töötlemise eest vastutusele võtmiseks ning töötab välja biomeetriliste andmete laia tõlgendust, sealhulgas selliseid andmeid nagu näofoto, isegi kui neid ei töödelda asjaomase isiku tuvastamiseks.

• 18. mail teatas Washingtoni osariigi peaprokurör, et Google maksab osariigile petlike geograafilise asukoha tuvastamise tavade eest 39,9 miljonit dollarit.

Google rakendab ka rea reforme, et suurendada oma geograafilise asukoha seadete läbipaistvust.

• Euroopa Komisjon on koostöös ASEANiga (Kagu-Aasia Maade Assotsiatsioon) avaldanud isikuandmete edastamise juhendi, kasutades kahe organisatsiooni poolt vastuvõetud tüüptingimusi.

Juhend avaldatakse kahes osas: „Teatmik“, mis võrdleb ASEANi lepingute haldamise keskusi ja ELi lepingute haldamise keskusi, ning „Rakendusjuhend“, mis kirjeldab parimaid tavasid ettevõtetelt, kes vastavad mõlema lepinguklausli nõuetele.

• Iberoameerika andmekaitseasutuste võrgustik („RIPD“) teatas 8. mail, et koordineerib ChatGPT-d puudutavat uurimist.
• 11. aprillil 2023 avaldas Hiina Küberruumi Administratsioon (CAC) generatiivsete tehisintellekti teenuste haldusmeetmete eelnõu („tehisintellekti meetmete eelnõu“).

See projekt oleks kooskõlas Hiina üldise lähenemisviisiga andmekaitsele, küberturvalisusele ja veebisisule, mis rõhutab poliitilise ja sotsiaalse korra säilitamist.

CAC avaldas 30. mail ka suunised isikuandmete ekspordi tüüplepingute registreerimise kohta.

• 23. mail viis Pakistani infotehnoloogia ja telekommunikatsiooni ministeerium lõpule isikuandmete kaitse seaduseelnõu.

See jõustub hiljemalt kaks aastat pärast selle väljakuulutamise kuupäeva, vastavalt sellele, mida föderaalvalitsus määrab.

• Brasiilia võimud andsid korralduse blokeerida Brasiilias laialdaselt kasutatav Telegrami rakendus, väites, et see ei tee piisavalt koostööd neonatside rühmituste vastu suunatud käimasolevas uurimises.

Kohus mõistis Telegramile umbes 200 000 euro suuruse päevase trahvi selle teabe esitamata jätmise eest. Avaldus sisaldas nõutavaid andmeid vaid osaliselt.