Isikuandmete edastamine Ameerika Ühendriikidesse: eduaruanne

Õiguslik valve nr 55 – Jaanuar 2023

Isikuandmete edastamine Ameerika Ühendriikidesse: eduaruannePraegu Euroopa ja Ameerika Ühendriikide vahelist andmevahetust koormav õiguslik ebakindlus mõjutab nii konkreetseid valdkondi nagu võitlus eluasemepuuduse vastu Prantsusmaal või veebiraamatukogude kasutamine Soomes.

Abriteli ettevõte keeldus oma üüriandmeid Pariisi linnale edastamast, kuna viimane kasutab andmete kogumiseks teenusepakkujat, kes edastab andmed Ameerika Ühendriikidesse.

Pariisi kohus otsustas oma 30. novembri 2022. aasta otsusega Abriteli kasuks.

Eelmise aasta detsembris leidis Soome andmekaitseamet, et neli linna olid muuhulgas ebaseaduslikult edastanud isikuandmeid Ameerika Ühendriikidesse, kasutades oma avaliku raamatukogu veebiteenustes Google Analyticsi ja Google Tag Manageri.

Ülekannete tänapäevane keerukus tuleneb peamiselt Euroopa Liidu Kohtu 2015. aasta oktoobri ja 2020. aasta juuli otsustest kohtuasjades „Schrems I” ja „Schrems II”.

Need otsused tunnistasid kehtetuks järjestikused lepingud, mis sõlmiti ELi ja Ameerika Ühendriikide vahel Safe Harbori põhimõtete ja Privacy Shieldi nime all.

Oma 2020. aasta otsuses leidis kohus, et kuigi Privacy Shield pakub põhimõtteliselt Euroopa Liidu omaga sisuliselt samaväärset kaitsetaset, on see praktikas muutunud ebatõhusaks konkreetsete nõuete tõttu, mis on seotud riigi julgeoleku, avaliku huvi ja USA õiguse järgimisega.

Ta leidis, et USA ametivõimude jälitusvolituste ulatus oli Euroopa õiguse kohaselt liigne ning et mitte-USA kodanike õigus pöörduda sõltumatute kohtute poole ei olnud tagatud.

Pärast selle otsuse avaldamist peavad isikuandmete kaitse üldmäärusega hõlmatud andmetöötlejad enne mis tahes edastamist Ameerika Ühendriikidesse võtma erilisi ettevaatusabinõusid.

Andmekaitset tagavate lepingutingimuste kasutamine on endiselt valikuvõimalus, tingimusel et tehakse konkreetseid kontrolle klauslite sisu, edastamise konteksti ja kolmandas riigis kohaldatava õiguskorra (eelkõige riigi julgeoleku osas) kohta.

Kui olukord kujutab endast erilisi riske, peab andmetöötleja võtma täiendavaid meetmeid.

Eelmisel aastal võttis komisjon vastu ajakohastatud tüüptingimused, et hõlbustada nende kasutamist, ja avaldas ettevõtetele praktilisi nõuandeid.

Euroopa Andmekaitsenõukogu selgitas oma 18. juuni 2021. aasta soovitustes ka edastuse mõju analüüsi osana tehtavaid kontrolle.

Selliseid nõudeid võib aga olla keeruline rakendada, kui andmete saajal on turgu valitsev seisund.

Sellistel juhtudel on lihtsam lahendus kasutada Euroopa Liidus asuvaid andmetöötluslahendusi.

Pärast mitu kuud kestnud läbirääkimisi Ameerika Ühendriikidega avaldas Euroopa Komisjon 13. detsembril oma kauaoodatud piisavusotsuse eelnõu, mis käsitleb andmekaitse taset üle Atlandi ookeani.

Uue õigusraamistiku alusel ELi kodanikele kasu saavate õiguste hulgas mainib Euroopa Komisjon õiguskaitsevahendite tagamist, sealhulgas vaba juurdepääsu sõltumatutele vaidluste lahendamise mehhanismidele ja vahekohtule.

Lisaks toob see välja mitmeid piiranguid ja kaitsemeetmeid seoses USA avaliku sektori asutuste juurdepääsuga andmetele, eelkõige õiguskaitse ja riikliku julgeoleku eesmärgil.

Need tagatised tulenevad uutest eeskirjadest, mis kehtestati USA 7. oktoobri 2022. aasta dekreediga ja mis vastaksid Euroopa Kohtu Schrems II kohtuotsuses tõstatatud küsimustele.

Enne lõpliku otsuse vastuvõtmist peab Euroopa Andmekaitsenõukogu (EDPB) eelnõu läbi vaatama.

See läbivaatamine võib otsusele viia umbes kahe kuu jooksul.

Seejärel peab otsuse eelnõu heaks kiitma ELi liikmesriikide esindajatest koosnev komitee.

Euroopa Parlamendil on samuti õigus piisavusotsuseid läbi vaadata.

Kas järgmisel kevadel oodatav lõplik otsus annab loodetud garantiid andmekaitse osas valdkondades, kus varasemad kokkulepped on läbi kukkunud?

Euroopa andmekaitseinspektor (EDPS) kommenteeris projekti hiljuti optimistlikult: „See erineb sellest, mida me Safe Harbori puhul nägime. See pole see, mida me Privacy Shieldi puhul nägime. See on midagi uut ja väga paljutõotavat.“

Max Schrems on omalt poolt juba teatanud, et on valmis astuma kolmanda õigusliku sammu, kui tekst ei kaitse eurooplaste põhiõigusi tõhusalt.

Ja ka

Prantsusmaa:

CNIL-i sanktsioonide kehtestamise eest vastutava piiratud volitustega komisjoni sõnul ei kuulu idufirma Lusha, mida süüdistatakse 1,5 miljoni prantslase tööalaste telefoninumbrite ja e-posti aadresside varastamises, isikuandmete kaitse üldmääruse (GDPR) alla.

Arutelu keskendus määruse artikli 3 lõike 2 punkti b tõlgendamisele, mis sätestab Euroopa õiguse kohaldamise ELi-välistele ettevõtetele andmesubjektide käitumise jälgimisel: oma 20. detsembri 2022. aasta arutelul distantseerus CNIL oma raportööri järeldustest, öeldes, et „ei leia, et liidus elavate üksikisikute isikuandmete veebipõhist kogumist või analüüsimist loetaks automaatselt „jälgimiseks““ ning peab vajalikuks arvestada andmetöötluse eesmärki ja eelkõige kõiki nende andmetega seotud hilisemaid käitumusanalüüse või profiilianalüüsi tehnikaid.

29. detsembril määras CNIL TikTokile 5 000 000 euro suuruse trahvi. reklaamiidentifikaatorite sisestamise eest kasutajate seadmetesse ilma nende eelneva nõusolekuta.

TikToki küpsiste ribareklaami peeti samuti ebapiisavalt informatiivseks.

Samal päeval kehtestas see ka ettevõttele VOODOO sanktsioonid.Nutitelefonimängude väljaandjale ettevõttele määrati 3 miljoni euro suurune trahv peamiselt tehnilise identifikaatori kasutamise eest reklaamimiseks ilma kasutajate nõusolekuta.

Vastupidiselt praegusele trendile otsustas Montpellier' linnavolikogu 16. detsembril pärast näotuvastust videovalve ja avalike vabaduste kontekstis käsitlevat ettekande lõppu keelata oma avalikus ruumis "isiku- või individuaalsetel andmetel põhineva automatiseeritud pildianalüüsi kasutamise".

Senat kiitis 24. jaanuaril heaks seaduseelnõu, mis käsitleb tehisintellekti kasutamist 2024. aasta olümpiamängude kontekstis.

CNIL oli selle teksti kohta märkusi esitanud, märkides samas, et mitmed meetmed olid kooskõlas tema soovitustega: eksperimentaalne juurutamine, mis on ajaliselt ja ruumiliselt piiratud, teatud konkreetsetel eesmärkidel ja vastab tõsistele ohtudele üksikisikutele, biomeetriliste andmete töötlemise ja teiste failidega võrdlemise puudumine ning otsused, mis vajavad eelnevat inimese sekkumist.

CNIL tõi esile ka dopinguvastaste analüüside jaoks geneetiliste andmete töötlemist sätestavate sätete pealetükkiva iseloomu.

Euroopa:

Pärast Iirimaa Kodanikuvabaduste Nõukogu (ICCL) kaebust ja Euroopa Ombudsmani 19. detsembri 2022. aasta otsust on Euroopa Komisjon võtnud endale kohustuse vaadata läbi andmekaitseasutuste tegevus suurtehnoloogiaettevõtetega seotud isikuandmete kaitse üldmääruse rikkumiste korral.

See mõõdab iga menetluse iga etapi jaoks kuluvat aega ja selle edenemist ning viib selle läbivaatamise läbi kuus korda aastas.

Euroopa Andmekaitsenõukogu (EDPB) on moodustanud töörühma, et küpsistega seotud küsimusi üksikasjalikult uurida..

17. jaanuari kuupäevaga aruande mustandis selgitab Euroopa Andmekaitsenõukogu konkreetseid ebaseaduslikke tavasid, sealhulgas:

• Avalehel puudub loobumisvõimalus
• Eelnevalt märgitud ruudud
• Lingid loobumisvalikule väiketähtedega trükitud eraldi tekstina
• Lingid küpsiste ribareklaami välisküljel olevale loobumisvalikule
• Õigustatud huvi esitamine mittevajalike küpsiste installimiseks
• Nõusoleku püsiva tagasivõtmise võimaluse puudumine.

Euroopa Andmekaitsenõukogu selgitab, et need järeldused kajastavad küpsiste hindamise miinimumläve.

Neid tuleks kombineerida e-privaatsuse direktiivi nõuetega ja lugeda Euroopa Andmekaitsenõukogu muu töö valguses, mis käsitleb tumemustreid.

Euroopa Parlamendi erikomisjon (PEGA) uurib Pegasuse kasutamist ja muu nuhkvara jälgimistarkvara jätkab oma tööd uuringute, ekspertide kuulamiste ja teabekogumisvisiitide läbiviimisega Iisraeli, Poolasse ja Kreekasse. Soovituste eelnõu esitatakse parlamendile 10. juunil.

Vabaühendus EDRi korraldas oma iga-aastase konverentsi Privaatsuslaagri 25. jaanuaril. mis koondab digitaalsete õiguste kaitsjaid, aktiviste, akadeemikuid ja poliitikakujundajaid aktuaalsete inimõiguste küsimuste arutamiseks.

Ettekanded on veebis kättesaadavad ürituse veebisaidi kaudu.

Olulises 12. jaanuari 2023. aasta kohtuotsuses (kohtuasi C-154/21) kinnitas Euroopa Liidu Kohus, et andmetöötlejal on kohustus edastada igale isikule, kes seda taotleb, nimekiri täpsed saajad nende isikuandmete osas, kui neid on jagatud kolmandate isikutega, mitte ainult vastuvõtjate kategooriate osas.

Euroopa Kohus täpsustab teises 12. jaanuari otsuses (kohtuasi C-132/21), et isikuandmete kaitse üldmäärusega ette nähtud haldus- ja tsiviilõiguslikke õiguskaitsevahendeid saab kasutada samaaegselt ja sõltumatult üksteisest.

Seega saab sama küsimuse kohta algatada paralleelseid kaebuste esitamise menetlusi andmekaitseasutustele ja kohtumenetlusi.

Liikmesriikide ülesanne on tagada, et nende õiguskaitsevahendite samaaegne rakendamine ei kahjustaks määruse järjepidevat ja ühetaolist kohaldamist.

Ühendkuningriigi parlamendis arutatakse praegu internetiturvalisuse seaduseelnõu.

Laste kaitsmiseks mõeldud tekstis määratletakse riskantne sisu, eelkõige enesevigastamist kujutav sisu, „süvavõltsingud“ ja intiimsete piltide jagamine ilma nõusolekuta, mis määratletakse uute kuritegudena.

Kriitikud osutavad teksti definitsiooni või täpsuse puudumisele, mis võimaldaks sisu liigset kustutamist ja laialdase jälgimise kehtestamist.

Veebisait „jõustamise jälgija” esitab GDPRi kohaldamisel järelevalveasutuste poolt määratud rahaliste karistuste loetelu: 2022. aasta lõppes 448 karistuse kogusummaga üle 830 miljoni euro, võrreldes 1,3 miljardi euroga 2021. aastal.

Pole üllatav, et Iirimaa, kus asuvad suurimad tehnoloogiaettevõtted, on üle 80 000 trahviga esikohal.

Iiri andmekaitseamet (DPA) teatas neljapäeval, 19. jaanuaril WhatsAppile 5,5 miljoni euro suurusest trahvist, lisaks sarnastele otsustele Facebooki ja Instagrami vastu.

WhatsAppi poolt isikuandmete töötlemiseks kasutatav õiguslik alus (teenuse täiustamine ja turvalisus) on leitud olevat vastuolus Euroopa õigusega.

Kodanikuühiskond on seda otsust kritiseerinud, märkides, et Iirimaa ametiasutus ei ole käsitlenud keskset küsimust andmete kasutamisest käitumispõhise reklaami, turunduse, mõõdikute andmete edastamise kolmandatele isikutele ja andmete vahetamise kohta sidusettevõtetega, hoolimata Euroopa Andmekaitsenõukogu 24. jaanuaril avaldatud otsusest.

Norra ametlik arenguabi leidis, et kuller- ja logistikaettevõte oli rikkunud isikuandmete kaitse üldmääruse artiklit 32 ebapiisava riskianalüüsi ja asjakohaste turvameetmete puudumise tõttu.

Rakendus kasutas kliendi profiilile juurdepääsuks ainsa autentimisvahendina telefoninumbreid.

Hispaania ametivõim leidis, et spordis esineva vägivalla, rassismi, ksenofoobia ja sallimatuse vastane riiklik komisjon ei saa staadionidele sisenevate jalgpallifännide biomeetriliste andmete töötlemiseks tugineda isikuandmete kaitse üldmääruse artikli 9 lõike 2 punktis g sätestatud avaliku huvi erandile.

Itaalia ametlik arenguabi määras spordiklubile 20 000 euro suuruse trahvi töötajate tööl viibimise registreerimiseks sõrmejäljesüsteemi ebaseadusliku kasutamise eest.

Samuti trahvis komisjon energiatarnijat Areti 1 miljoni euroga, kuna too oli ekslikult mõned oma kliendid petturiteks sildistanud, takistades neil seeläbi energiatarnijat vahetamast.

Eesti ametlik arenguabi leidis, et töötajate jälgimiseks turvakaamerate kasutamine ei saa põhineda nõusolekul, vaid üksnes õigustatud huvil isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti f tähenduses, tingimusel et selle huvi kohta on tehtud kehtiv hindamine.

Rahvusvaheline

„Privacy by Design” saab rahvusvaheliseks standardiks8. veebruaril võtab Rahvusvaheline Standardiorganisatsioon (ISO) vastu standardi ISO 31700.

See hõlmab 30 nõuet ja juhiseid privaatsuse kavandatud kasutamise põhimõtete kohta.

USA: Lisaks tehisintellekti poliitika valdkonna tehniliste standardite (NIST riskijuhtimise raamistik) väljatöötamisele on Valge Maja avaldanud tehisintellekti õiguste deklaratsiooni eelnõu.

Mitmed USA osariigid töötavad selle valdkonna seadusandluse kallal.

President Biden kordas hiljuti neid soovitusi Wall Street Journali veerus, rõhutades oma administratsiooni pingutusi algoritmilise diskrimineerimise vastu võitlemisel, algoritmilise läbipaistvuse edendamisel ja tehisintellekti juhtimise seadusandluse rakendamisel.

Ka tehisintellekti valdkonnas 27. jaanuaril allkirjastasid Euroopa Komisjon ja USA administratsioon "halduslepingu tehisintellekti kohta avaliku hüvangu nimel".

Leping allkirjastati ELi ja USA kaubandus- ja tehnoloogianõukogu (TTC) raames.

Microsoft teatas detsembri keskel oma blogis, et kolib oma Euroopa klientide andmete talletamise Euroopa Liidu piires üle.

See programm ei lahenda aga kõiki probleeme, mis on seotud Ameerika Ühendriikide juurdepääsuga Euroopa andmetele.

Pilveseadus lubab USA kriminaalasutustel juurde pääseda USA pilveteenuse pakkujate andmetele, olenemata sellest, kus andmeid hoitakse, ja ilma et nad peaksid algatama rahvusvahelise vastastikuse õigusabi menetlust.

Austraalia on mitu kuud olnud küberrünnakute ohver, mis on suunatud tema valitsusasutustele ja erasektorile.

Riik kahtlustab Venemaa ja Hiina päritolu rünnakuid, mille eesmärk on halvata riigi institutsioonid ja ettevõtted ning mõjutada otseselt kodanike elu isikuandmete massilise levitamise kaudu.

Mõne jaoks on see eelaimus sellest, mis lääneriike ees ootab, näiteks mitmes Saksamaa raudteesüsteemis on hiljuti esinenud kummalisi rikkeid.

Pärast selle väljakuulutamist eelmise aasta märtsis, Venemaa valitsus taganes ametlikult Euroopa Nõukogu andmekaitse konventsioonist nr 108 samuti kõik teised Euroopa Nõukogu rahvusvahelised lepingud.

Pärast seda teadaannet rakendas nõukogu omalt poolt ametliku mehhanismi ja lõpetas ühepoolselt Venemaa liikmelisuse.

Anne Christine Lacoste

Olivier Weber Avocati partner Anne Christine Lacoste on andmeõigusele spetsialiseerunud jurist; ta oli Euroopa Andmekaitseinspektori rahvusvaheliste suhete juht ja tegeles GDPR-i rakendamisega Euroopa Liidus.