Õiguslik jälgimine nr 88 – oktoober 2025. 

 

Videovalve, CNILi sanktsioonide peamine sihtmärk.

CNIL on seda teinud mõte oktoobris oma lihtsustatud sanktsioonide menetluse kohta.

Alates eelmise aasta maist kehtestatud 16 sanktsiooniga on kaasnenud trahvid kogusummas 108 000 eurot, lisaks 10 otsusest tulenevale 104 000 eurole. hääldatud jaanuarist alates.

Lisaks videovalvele hõlmavad sanktsioonid ka ärilist luuretegevust, mida teostatakse ilma asjaomaste isikute nõusolekuta, ja koostöö tegemata jätmist isikuandmete kaitse üldmäärusega sätestatud õiguste (õigus andmetele juurdepääsule, parandamisele või vastuväidete esitamisele) teostamise taotlemisel.

Videovalve on endiselt peamine sanktsioonide teema, eriti kui see toimub töökohal.

CNIL juhib süstemaatiliselt tähelepanu andmetöötlejate suutmatusele andmete minimeerimise põhimõtte järgimisel.

Ravimifirmale ja haiglale määrati sanktsioon ametiühingu ruumide ja nende otsese juurdepääsu filmimise eest, rikkudes isikuandmete kaitse üldmääruse artiklit 5.1.c, milles on sätestatud, et andmed peavad olema piisavad, asjakohased ja piirduma sellega, mis on taotletava eesmärgi saavutamiseks vajalik.

CNIL tuletab meile meelde, et töökohtadele paigaldatud turvakaamerad, olenemata sellest, kas need on avalikkusele avatud või mitte, peavad austama töötajate privaatsust.

"Kaamerad ei tohi mingil juhul filmida ametiühingu ruume ega nende otseseid juurdepääsupunkte."

Filmitavate isikute privaatsuse liigne rikkumine on seega vastuolus selle minimeerimise põhimõttega, nagu CNIL märkis ka internaatkoolis, mille videovalvesüsteem filmis õpilasi hommikusöögi ajal ja sisehoovis.

Töökohale kaameraid paigaldada ei saa.

• Ainult siis, kui neil on õigustatud eesmärk, näiteks vara ja inimeste turvalisus.
• Piiritletud ja mitte-pealetükkivates piirkondades, näiteks hoonete sisse- ja väljapääsude juures, läbikäikudes või ladudes.

Samuti on nõutavad turvalisuse ja läbipaistvuse kohustused:

• Juurdepääs piltidele peab olema turvaline ja ligipääsetav ainult volitatud isikutele ning andmeid tuleb säilitada piiratud aja jooksul, põhimõtteliselt mõnest päevast kuni kuuni.
• Vastutav isik peab eelnevalt teavitama töötajate esindajaid ja nendega konsulteerima ning tagama teate väljapanemise töötajatele ja avalikkusele.

Läbipaistvuskohustuste osas on endiselt võimalikud erandid: erandjuhtudel ja teatud tingimustel võib andmetöötleja ajutiselt paigaldada kaameraid, mis on töötajatele nähtamatud, tingimusel et seadme vastavust isikuandmete kaitse üldmäärusele analüüsitakse ja seda saab põhjendada.

Just sellise mõjuanalüüsi puudumise ja andmekaitseametniku vähese kaasamise tõttu varjatud videovalvesüsteemi rakendamisse määras CNIL eelmise aasta septembris La Samaritaine'ile sanktsioonid.

Ettevõte oli teatanud reservaatides toime pandud vargustest ja selgitanud, et süsteem on ajutine, kuid ei olnud eelnevalt analüüsi teinud ega paigaldise ajutist olemust dokumenteerinud.

See suutmatus säilitada tasakaal taotletava eesmärgi ja töötajate privaatsuse kaitse vahel tõi kaasa ettevõtte 100 000 euro suuruse trahvi.

Lõpuks tuleb märkida, et avalikkusele ligipääsetavates kohtades peab seadmel olema departemangu prefekti või Pariisi politseiprefekti luba.

 

      

Kontrollikoda avaldas 31. oktoobril aruande "riigi tsiviilinfosüsteemide suveräänsusküsimuste" kohta.

Ta teeb mitu tähelepanekut:

• Mõned ministeeriumid kasutavad digitaalse suveräänsuse arvelt Euroopa-väliseid IT-lahendusi, mõnikord tundlike andmete jaoks.

Aruandes viidatakse sellega seoses terviseandmete platvormile, mida on enam kui viis aastat majutanud üks Ameerika ettevõte.

Samuti märgib ta, et eraettevõtjad pakuvad avaliku teenuse rakendusi, ilma et neil oleksid samad kohustused kui riigil.

• Haldusasutuste tundlike andmete kaardistamine, mis moodustaks tugiraamistiku, mis võimaldaks tuvastada need, kelle suveräänsust tuleb esmajärjekorras säilitada, puudub.
• Valitsusasutuste poolt suveräänse pilvandmetöötluse kasutuselevõtt on endiselt piiratud, sisemistel pilvedel on raskusi piisava ulatuse saavutamisega ning suveräänsusnõuete ja jõudlusnõuete ühitamine osutub keeruliseks.
• DINUM haldab kahte suveräänset taristut: riigi ministeeriumidevahelist võrgustikku (RIE) ja digitaalse identiteedi süsteemi (FranceConnect), mida peetakse edukaks, isegi kui on vaja veel edusamme teha, eriti vastupidavuse osas.
• Lisaks tundlike andmete kontrollimisele ei taotle riik täielikku suveräänsust, vaid pigem piisavalt kõrge usaldustaseme loomist, kasutades riskide piiramiseks riigihankeid, ostude koondamist ja ANSSI valideerimist.

15. oktoobril kinnitas riiginõukogu CNIL-i poolt Apple'ile määratud 8 000 000 euro suuruse trahvi Prantsuse kasutajate andmete töötlemise eest isikupärastatud reklaami eesmärgil ilma nende nõusolekuta.

• Riiginõukogu leidis, et sanktsioon ei olnud ebaproportsionaalne, arvestades asjaomaste inimeste arvu – ligi 27,5 miljonit kasutajat ajavahemikus juuli 2020 kuni juuli 2021 – ja rühmituse majanduslikku kaalu.
• Samuti kinnitas ta CNILi jurisdiktsiooni otsuste langetamisel ettevõtte tegevuse kohta Prantsusmaal, lükates seega tagasi ettevõtte väite, et ainult selle Iirimaa üksus kuulus Euroopa regulaatori jurisdiktsiooni alla.

Töö- ja solidaarsusministeerium, CNIL ja AFCDP on usaldanud Afpa-le andmekaitseametniku kutsealase vaatluskeskuse uue uuringu läbiviimise, mis käsitleb tehisintellekti mõju sellele kutsealale.

Uuring uurib tehisintellekti juhtimismudeleid organisatsioonides, andmekaitseametniku (DPO) rolli, DPO-de peamisi väljakutseid ning nende vajadusi tööriistade ja koolituse osas. Tulemused avaldatakse 2026. aasta esimesel poolel.

28. oktoobril avaldas CNIL oma 20. mail toimunud ürituse aruande "GDPR: milline on majanduslik mõju?". 

Üritusel osalesid nii majandusteadlased kui ka Prantsuse (CNIL) ja Euroopa (Ühendkuningriigi andmekaitseamet, Euroopa Komisjon) regulaatorid, kes panustasid isikuandmete kaitse üldmääruse rakendamise järelhindamisse.

Kui jaotussektori osalised olid lojaalsusprogrammidega seotud andmete teisaldatavuse osas vaidluse all, täpsustas see oktoobri keskel ka seda, millist teavet tuleb edastada, eelkõige vöötkoodi ja klientidel olnud juurdepääsuga kampaaniatega seotud andmete kohta.

 

Euroopa institutsioonid ja organid

Digitaalse omnibusseadusega kavandatud GDPR-i muudatused võivad minna kaugemale kui algselt välja kuulutatud, selgub ajakirjanduses levitatud dokumendi mitteametlikust versioonist.

Ettepanek, mis peaks ametlikult avaldatama 19. novembril, selgitaks (samal ajal piirates) teatud olulisi määratlusi, leevendaks teatud konfidentsiaalsuseeskirju ja lubaks isikuandmete kasutamist tehisintellekti koolitamiseks.

Kodanikuühiskond on juba reageerinud, tuues esile sellise lihtsustamise ohud põhiõigustele.

Neljapäeval, 9. oktoobril teatas Euroopa Komisjon avaliku konsultatsiooni algatamisest oma suuniste eelnõu kohta, mis käsitlevad digitaalsete turgude määruse (DMA) ja isikuandmete kaitse üldmääruse (GDPR) koostoimet.

See projekt töötati välja koostöös Euroopa Andmekaitsenõukoguga (EDPB).

Artikkel 5(2) on nende suuniste keskmes: avaliku sektori õigusaktid nõuavad „väravavalvuritelt” kasutaja nõusoleku saamist andmete jagamiseks erinevate teenuste vahel, kuid ei määratle selle nõusoleku täpseid tingimusi.

Tekstis on nüüd täpsustatud, et see nõusolek peab olema kehtiv GDPR-i tähenduses, kuid ennekõike tuleb seda iga eraldi töötlemisotstarbe (sisu isikupärastamine ja suunatud reklaam) jaoks eraldi küsida.

Konsultatsioon on avatud kuni 4. detsembrini.

24. oktoobril jõudis Euroopa Komisjon esialgsele järeldusele, et Meta ja TikTok rikkusid digitaalteenuste seadust (DSA).

Ettevõtted ei võimalda teadlastele piisavat juurdepääsu avalikult kättesaadavatele andmetele.

Komisjon järeldab esialgsel alusel ka, et Facebook ja Instagram ei ole täitnud oma kohustusi (1) pakkuda kasutajatele lihtsaid mehhanisme ebaseadusliku sisu, näiteks lastepornograafia või terroristliku sisu teatamiseks ja (2) võimaldada kasutajatel Meta tehtud sisu modereerimisotsuseid tõhusalt vaidlustada.

TikTokil ja Metal on juurdepääs uurimistoimikule ja sellele vastamine.

Euroopa Komisjon avaldas riigihankeasutustele mõeldud suveräänse pilve raamistiku.

Dokument tugineb mitmele Euroopa algatusele, sealhulgas Euroopa küberturvalisuse sertifitseerimise raamistikule (ENISA, NIS2, DORA).

See viitab ka riiklikele poliitikatele, näiteks Prantsusmaal Anssi SecNumCloudi raames „pilv keskmes“ ja Saksamaal Sovereign Cloud.

Komisjon pakub pilveteenuste pakkumiste jaoks välja erinevatel kriteeriumidel põhineva suveräänsusskoori, mis on tekitanud vastakaid reaktsioone.

See meetod ei rahulda eriti Cispe ühingusse koondunud Euroopa pilveteenuse pakkujaid, kes peavad seda läbipaistmatuks ja praegusel kujul välismaiseid tegijaid eelistavaks.

Euroopa Parlamendi liikmed nõuavad DSA uurimist Sheini, Temu ja AliExpressi suhtes.

Pärast seda, kui Pariisi prokuratuur alustas nende nelja ettevõtte uurimise "lapselike seksinukkude" müügi pärast, on enam kui 40 Euroopa Parlamendi liiget kutsunud komisjoni üles algatama uurimist, selgub Euractivi raportist.

Laste seksuaalse väärkohtlemise ennetamise ja vastase võitluse määruse ettepanek laste seksuaalse väärkohtlemise kohta oli taas Euroopa Ülemkogu 14. oktoobri kohtumise päevakorras.

Kuna Saksamaa, kes oli varem seaduseelnõu tugevalt toetanud, võttis oma toetuse määruse eelnõule tagasi ja hääletus lükati edasi.

Vaieldav ettepanek nägi ette kasutaja terminalis oleva teabe skannimist enne selle saatmist – see on element, mille nõukogu eesistujariik Taani eemaldas, et saada liikmesriikidelt piisav toetus.

Taani kavatseb siiski pikendada praegust ajutist laste seksuaalse väärkohtlemise „vabatahtliku” analüüsi luba määramata ajaks ning „kõrge riskiga teenusepakkujatelt […] võidakse endiselt nõuda samme asjakohaste tehnoloogiate väljatöötamiseks, et leevendada nende teenustes tuvastatud laste seksuaalse väärkohtlemise ohtu”.

Euroopa Liidu siseministrid peaksid uuesti kohtuma detsembri alguses.

Oma oktoobrikuu plenaaristungil valis Euroopa Andmekaitsenõukogu oma viienda koordineeritud kontrollimeetmete teema, mis keskendub isikuandmete kaitse üldmääruses sätestatud läbipaistvus- ja teavitamiskohustuste täitmisele.

Määrus tagab, et asjaomaseid isikuid teavitatakse nende andmete töötlemisest (artiklite 12, 13 ja 14 alusel).

Euroopa Andmekaitsenõukogu kordab, et see õigus teabele on läbipaistvuse keskne element ja tagab üksikisikutele parema kontrolli oma andmete üle.

Osalevad andmekaitseasutused liituvad selle aktsiooniga vabatahtlikult lähikuudel ja aktsioon ise käivitatakse 2026. aasta jooksul.

Belgia päevalehe L'Echo, Saksa erialaväljaande Netzpolitik.org, Hollandi raadiojaama BNR, Saksa raadiojaama BR ja Le Monde poolt läbi viidud isikuandmete vahendajate uurimine näitab geolokatsiooniga reklaamiandmete abil võimalikuks tehtud jälgimise ulatust.

Need "Le Monde'i" ja selle partnerite poolt hangitud andmed võimaldasid tuvastada ja jälgida mitmeid Euroopa Liidu kõrgeid ametnikke, mõnikord isegi nende kodudeni.

 

Uudised Euroopa Liidu liikmesriikidest.

Saksamaal asuv Schleswig-Holsteini liidumaa on loobunud oma valitsuse e-posti ja kalendrisüsteemidest avatud lähtekoodiga tarkvara kasuks.

Kuus kuud kestnud migratsiooni käigus asendati Microsoft Exchange ja Outlook Open-Xchange'i ja Mozilla Thunderbirdiga.

Ülekanne hõlmas enam kui 40 000 e-posti kontot ja enam kui 100 miljonit sõnumit ja kalendrikirjet.

Austrias teatab vabaühendus Noyb, et andmekaitseamet on teinud otsuse, mille kohaselt Microsoft 365 Education jälgib ebaseaduslikult õpilasi ja kasutab nende andmeid Microsofti enda eesmärkidel.

Samuti ei vastanud tarkvaragigant juurdepääsutaotlusele, mis oli seotud Microsoft 365 Educationiga, mida Euroopa koolides laialdaselt kasutatakse.

Austria kohus kinnitas IKEA-le määratud 1 500 000 euro suuruse trahvi ebaseadusliku ja liigse videovalve eest ühes ettevõtte filiaalis ja selle ümbruses, salvestades muu hulgas klientide PIN-koodide sisestamist.

Seega tühistas ta APD otsuse, mis pidas ostu sooritamise ajal toime pandud rikkumiste eest vastutavaks ainult müüjat.

Belgias noomis Belgia andmekaitseamet (APD) ettevõtet endise töötaja e-posti aadressi ja telefoninumbri ebaseadusliku säilitamise eest pärast töölepingu lõppemist. APD leidis, et andmetöötleja oli rikkunud mitmeid isikuandmete kaitse üldmääruse (GDPR) sätteid, sealhulgas eesmärgi piiramise põhimõtet, andmete minimeerimise ja säilitamise piiramise põhimõtteid, andmesubjekti teavitamise põhimõtteid ja õigust andmete kustutamisele.

Lõpuks ei olnud nende andmete töötlemiseks enam õiguslikku alust.

Hispaanias trahvis APD finantsteenuste ettevõtet (Servicios Financieros Carrefour) 1 500 000 euroga andmetöötluse turvalisuse ja konfidentsiaalsuse tagamata jätmise eest andmetega seotud rikkumise kontekstis, mille tulemusel saadeti arvukalt õngitsuskirju.

Iirimaal on hiljuti taas tähelepanu pälvinud endise Meta lobisti Niamh Sweeney ametisse nimetamine Iirimaa andmekaitseameti volinikuks.

Iiri Kodanikuvabaduste Nõukogu (ICCL) esitas 25. oktoobril Euroopa Komisjonile Iirimaa vastu kaebuse, väites, et Iirimaa ei ole esitanud piisavaid tagatisi oma nimetamisprotsessi sõltumatuse ja erapooletuse kohta.

Euroopa Komisjon vastas väidetavalt, et tal puudub pädevus ametliku arenguabiga seotud riiklike ametisse nimetamiste osas.

Hollandi andmekaitseamet (APD) määras ettevõttele Experian Nederland 2,7 miljoni euro suuruse trahvi isikuandmete kaitse üldmääruse (GDPR) mitmete rikkumiste eest.

Kuni 1. jaanuarini 2025 pakkus Experian oma klientidele krediidivõimelisuse hinnanguid, mille jaoks koguti andmeid näiteks negatiivse maksekäitumise, tasumata võlgade või pankrottide kohta.

APD märkis, et teabe kogumiseks puudub kehtiv õiguslik alus ja asjaomaseid isikuid ei teavitatud.

Ettevõte pidi oma tegevuse riigis lõpetama ja lubas enne aasta lõppu kustutada kogu oma isikuandmebaasi.

 

 

Ühendkuningriigi andmekaitseamet (DPA) määras pensionide haldamisele spetsialiseerunud äriteenuste pakkujale ja tema alltöövõtjale vastavalt 8 000 000 ja 6 000 000 naela suuruse trahvi pärast küberrünnakut, mis võimaldas volitamata kolmandatel isikutel juurde pääseda enam kui 6 miljoni inimese andmetele.

APD märkis ära sobivate turvameetmete puudumise.

IAPP teatab, et esimest korda alates 2019. aastast on Rahvusvaheline Standardiorganisatsioon uuendanud oma rahvusvahelist privaatsusnõuetele vastavuse programmide haldamise standardit ISO 27701.

Standard on nüüd iseseisev juhtimissüsteem, mis tähendab, et organisatsioonidel ei pea enam olema ISO 27001 sertifitseeritud infoturbe juhtimissüsteemi.

SGSI-ga isikud saavad aga mõlemad juhtimissüsteemid integreerida.

Standard kirjeldab PIMS-i rakendamise kõrgetasemelisi nõudeid, millele peab vastama ja mida peab rakendama iga sertifitseerimist taotlev organisatsioon.

Kuigi seda ei saa pidada seadusandluse asendajaks, on see endiselt tihedalt kooskõlas ELi ja Ühendkuningriigi isikuandmete kaitse üldmäärusega.

Ameerika Ühendriikides skannib immigratsioonipolitsei tänaval inimeste nägusid, et kontrollida nende kodakondsust.

Ameerika meediaväljaande 404 andmetel näitavad sotsiaalmeedias levivad videod ICE (Immigration and Customs Enforcement) ja CBP (Customs and Border Protection) agendid, kes kasutavad möödujate peal näotuvastustehnoloogiat.

Kasutatav rakendus Mobile Fortify ühendaks näod 200 miljoni pildi andmebaasiga FBI, välisministeeriumi ja teiste asutuste andmebaasidest.

Rakendus võiks teha ka ristotsinguid sõidukite, telefonide, aadresside ja tulirelvade kohta.

Kuigi sisejulgeolekuministeerium keeldub „Mobile Fortify” võimekust kinnitamast või ümber lükkamast, tunnistab CBP väidetavalt, et toetub „agentide tõhususe suurendamiseks” „mitmesugustele tehnoloogilistele vahenditele”.

Konkurents tehisintellekti integreerimiseks internetibrauseritesse ja nüüdseks klassikaliseks muutunud Google Chrome'i domineeriva positsiooni vaidlustamiseks kasvab.

Seega on Microsoft integreerinud oma Copilot AI tööriista Edge'i brauserisse.

Kavandatud „toimingud” võimaldavad Copilotil täita vorme või broneerida hotelle ning „reisid” võimaldavad Copilotil jälgida kasutaja avatud vahelehtede vahelisi seoseid.

Microsofti teadaanne tuli kaks päeva pärast sarnast turuletoomist OpenAI poolt, mis avalikustas oma uue Atlas brauseri, mis on visuaalselt väga sarnane Microsofti omaga.