Uus aasta ootuse märgi all

Õiguslik valve nr 42 – Detsember 2021

Uus aasta ootuse märgi all

Andmekaitse osas ei kuuluta alanud aasta mingeid olulisi uusi arenguid, vaid pigem arengut ja võib-olla ka strateegilisi otsuseid teatud aktuaalsete küsimuste osas.

Keskendume neist kolmele: GDPR-i rakendamine järelevalveasutuste poolt, terviseküsimused ja digihiiglaste reguleerimine.

Üks korduvaid teemasid pärast GDPR-i jõustumist on seotud selle rakendamise tõsidusega riiklike andmekaitseasutuste poolt. ja suur erinevus rakendatud sanktsioonide arvu ja ranguse vahel, olenevalt näiteks sellest, kas vastutav isik asub Iirimaal või Hispaanias.

Viimane riik näib olevat üks neist, kes on kehtestanud kõige rohkem sanktsioone, samas kui Luksemburg ja CNIL võivad GAFAMi vastu nõuda suurimaid trahve (meenutagem 746 miljoni euro suurust trahvi, mille Luksemburg määras ettevõttele Amazon).

Spektri teises otsas on Iirimaa andmekaitseamet, mida on mõned tema kolleegid, aga ka Euroopa Komisjoni asepresident, avalikult kritiseerinud lohakuse pärast suurte veebimängijate suhtes.

Euroopa kontrollimenetluste sidususe ja tõhususe tugevdamiseks räägitakse Euroopa Andmekaitsenõukogu (EDPB) volituste tugevdamisest.

Küsimust käsitletakse Euroopa andmekaitseinspektori korraldataval konverentsil 16. ja 17. juunil Brüsselis.

Terviseandmete töötlemine on tervishoiukriisi järel veel üks suur murekoht..

On mures

• Meditsiiniliste uuringute tingimustega seotud küsimused,
• Geneetiliste andmete töötlemine ja sõeluuringute käigus kogutud andmete edasimüügi riskid teatud laborite poolt, nagu näitas hiljutine Ühendkuningriigi juhtum ettevõttega Signpost Diagnostics,
• Isikute jälgimine rakenduste ja muude tervisekaartide kaudu, 

• Ja lõpuks andmeturbega seotud riskid: peame silmas eelkõige ettevõtte FranceTest koroonaviiruse testi tulemustega seotud andmete rikkumist, millele CNIL andis eelmise aasta oktoobris ametliku korralduse oma andmete kaitsmiseks, või andmete leket, mis puudutas Assistance Publique-Hôpitaux de Paris'i.

Kuigi CNIL avaldab regulaarselt oma seisukohti sellel teemal, märgime, et oma 30. novembri parlamendi arutelul märkis ta, et ootab valitsuselt elemente, mis peaksid toetama rakendatud toimikute ja kontrollivahendite tõhusust.

Kolmas aktuaalne teema puudutab Euroopa Liidu regulatiivseid algatusi digiteenuste ja tehisintellekti valdkonnas.

Lisaks küpsiste haldamisele, mis on endiselt riiklike ametiasutuste tähelepanu keskpunktis, on Euroopa seadusandja mures veebihiiglaste kasvava võimu pärast – need on turgu valitsevas seisundis vahendajad, kes pakuvad sõnumside- ja sotsiaalvõrgustike teenuseid.

Samuti on probleemiks biomeetria ja tehisintellekti kasutamine üha pealetükkivamaks muutuval profiilimise eesmärgil ning internetikasutajate manipuleerimine ilma nende teadmata (tumedad mustrid) suunatud sisu esitamise kaudu.

Euroopa tasandil on vastuvõtmisel mitu teksti, sealhulgas kaks Euroopa Komisjoni ettepanekut digitaalsete turgude ja digitaalteenuste kohta ning üks tehisintellekti käsitlev ettepanek. 

Euroopa Parlament võttis oma seisukoha digitaalsete turgude ettepaneku kohta vastu 5. detsembril.

Tekstis tehtud muudatuste hulgas on lisatud nõue peamiste kiirsõnumite ja sotsiaalvõrgustike platvormide teenuste koostalitlusvõime kohta, mille eesmärk on võimaldada kasutajatel hõlpsalt teenusepakkujaid vahetada ja võidelda turgu valitseva seisundi vastu.

Prantsusmaa Euroopa Liidu Nõukogu eesistumise alguses edastas Euroopa andmekaitseinspektor Prantsusmaa valitsusele oma parimad soovid edu saavutamiseks, rõhutades samal ajal nende kolme digitehnoloogia ja tehisintellektiga seotud peamise küsimuse olulisust ning andes märku, et ta jälgib nende valdkondade arenguid tähelepanelikult.

Kuigi mõned prioriteedid tunduvad juba hästi paika pandud olevat, loodame, et see uus aasta toob meile kõigile omajagu meeldivaid üllatusi ja lõpuks ka suuri värske õhu sõõme.

Ja ka

Prantsusmaa:

CNIL määras ettevõttele sanktsioonid 6. jaanuaril. Google 150 miljoni euro ulatuses ja ettevõte Facebook kuni 60 miljonit eurot küpsiseid puudutavate õigusnormide rikkumise eest.

28. detsembril määras CNIL ettevõttele 300 000 euro suuruse trahvi. TASUTA MOBIIL, eelkõige üksikisikute õiguste ja oma kasutajate andmete turvalisuse mitteaustamise eest.

Samal kuupäeval määras see ettevõttele ka sanktsioonid SLIMPAY, mis pakub oma klientidele makselahendusi, trahviti 180 000 euroga kasutajate isikuandmete ebapiisava kaitsmise ja andmetega seotud rikkumisest teavitamata jätmise eest.

CNIL-i president teavitas ettevõtet ametlikult 26. novembril CLEARVIEW tehisintellekt lõpetama veebis saadaolevate fotode ja videote kogumise ning kustutama andmed kahe kuu jooksul.

Ettevõte on välja töötanud näotuvastustarkvara, mille andmebaas põhineb internetis avalikult kättesaadavate fotode ja videote hankimisel.

A CNIL-i arendaja juhendi uus versioon on äsja avaldatud. See juhend pakub uut sisu, mis on loodud veebi- ja rakenduste arendamise spetsialistide toetamiseks, et tagada nende töö vastavus nõuetele.

Seal SNCF Detsembris kolis ettevõte oma 7000 serverit ja 250 rakendust Amazoni pilve, täpsemalt kolme andmekeskusesse Pariisi piirkonnas.

Ettevõtte eesmärk on laiendada ka tehisintellekti kasutamist.

Euroopa

THE Euroopa Andmekaitsenõukogu avaldas 14. detsembril suunised, mis aitavad andmetöötlejatel turvarikkumisi hallata.

Tekst sisaldab suurt hulka näiteid ja arendab meetmeid, mida tuleb võtta olenevalt süüteo liigist.

Euroopa Liidu Põhiõiguste Amet (FRA) avaldab koostöös andmekaitseasutustega juhendi, mille eesmärk on paremini teavitada varjupaigataotlejaid ja migrante nende sõrmejälgede kasutamisest.

Euroopa Liidu välispiiril peatamisel peavad nad andma sõrmejäljed, mis salvestatakse Eurodaci faili.

Wiesbadeni halduskohus 1. detsembril käskis Saksa ettevõte RheinMaini rakenduskõrgkoolil lõpetada nõusolekuhalduri „Cookiebot” kasutamise. Põhjuseks oli veebisaidi külastajate andmete ebaseaduslik edastamine Ameerika Ühendriikidesse.

Soome andmekaitseamet määras 7. detsembril psühhoteraapiaettevõttele üle 600 000 euro suuruse trahvi, kuna ettevõte ei taganud piisavalt oma patsientide andmete turvalisust ja ei teavitanud neid kahest turvarikkumisest, mis viisid patsientide ja ettevõtte enda väljapressimiseni.

Norra andmekaitseamet määras 6 300 000 euro suuruse trahvi Grindr jagada oma kasutajate andmeid kolmandate osapooltega profileerimise ja reklaami eesmärgil ilma nende nõusolekuta.

Hollandi maksuamet määrati 2 750 000 euro suurune trahv andmete töötlemise eest ilma õigusliku aluseta ja õigluse põhimõtte rikkumise eest (GDPR artikli 5 lõike 1 punkt a ja artikli 6 lõike 1 punkt e).

Belgia kaitseministeerium langes 20. detsembril Log4Shelli pahavara põhjustatud tõsise küberrünnaku ohvriks, mis mõjutas administratsiooni tegevust mitu päeva. 

Belgia andmekaitseamet trahvis ettevõtet 10 000 euroga otseturunduse eesmärgil andmebaasi ostmise eest, kontrollimata, kas andmed on kogutud seaduslikult.

Samuti ei teavitanud ettevõte asjaomaseid isikuid sellest kaudsest kogumisest ega vastanud üksikisiku juurdepääsutaotlusele.

Rahvusvaheline:

Amazon on esitanud mitu patenditaotlust biomeetriliste tehnoloogiate kohta, mis on loodud selleks, et videotelefonikaamerad saaksid tuvastada kahtlaseid isikuid erinevate kriteeriumide alusel: lõhn, naha tekstuur, sõrmejäljed, silmad, hääl ja kõnnak.

Seal Lõuna-Korea on alates 17. detsembrist peetud piisavat kaitsetaset pakkuvaks. Euroopa Komisjoni otsus tehti paar kuud pärast Euroopa Liidu ja Korea vahelise vabakaubanduslepingu sõlmimist, mis jõustus 2021. aasta juulis.

Alates 15. veebruarist Hiina valitsus allutab rahvusvahelise äritegevusega Hiina ettevõtted mitmetele küberturvalisuse kontrollimeetmetele.

Kontrollide eesmärk on piirata strateegiliste andmete edastamist riigist välja.