Õiguslik jälgimine nr 87 – september 2025. 

 

Viis aastat pärast Brexitit: pilk olukorrale Ühendkuningriigis.

Pärast Ühendkuningriigi lahkumist Euroopa Liidust on Briti andmekaitseseadus aeglaselt, kuid kindlalt Euroopa regulatiivsest raamistikust eemaldunud.

Kuigi La Manche'i väina mõlemal kaldal on suundumus standardite lihtsustamise suunas, on Ühendkuningriik Euroopa Liidust ees.

Pärast Brexitit muudeti 2018. aasta andmekaitseseadust (DPA), et see täiendaks ka edaspidi Ühendkuningriigi isikuandmete kaitse üldmäärust (GDPR), mis on GDPR-i Briti versioon ja jõustus 1. jaanuaril 2021.

Ühendkuningriik on vastu võtnud ka privaatsuse ja elektroonilise side eeskirjad (PECR), mis rakendavad Euroopa e-privaatsuse direktiivi.

19. juunil 2025 vastu võetud andmete kasutamise ja juurdepääsu seadus (DUAA) on Ühendkuningriigi isikuandmete korra oluline reform.

See muudab ja täiendab nii Ühendkuningriigi isikuandmete kaitse üldmäärust (GDPR), andmekaitseseadust (DPA) kui ka isikuandmete kaitse üldmäärust (PECR) ning kujutab endast strateegilist pöördepunkti, millega Ühendkuningriik liigub põhiõigustele keskendunud visioonist pragmaatilisema ja innovatsioonimeelsema lähenemisviisi poole.

Selle peamised eesmärgid on:

• Pakkuda välja laiem õiguslik alus, mis käsitleks „tunnustatud õigustatud huve” teatud töötlemistegevuste, sealhulgas avalikes huvides arhiveerimise, avaliku julgeoleku või maksustamise eesmärgil;
• Andes ettevõtetele võimaluse peatada juurdepääsutaotlustele vastamise aeg,
• Lihtsustada küpsiste reegleid;
• Rahvusvahelise andmeedastuse hõlbustamine;
• Julgustada innovatsiooni digiteenuste ja tehisintellekti valdkonnas, leevendades automatiseeritud otsuste raamistikku;
• Kehtestada lastele suunatud digiteenuste puhul „privacy by design” (privacy sisseprojekteerimise põhimõtte)
• Digitaalse identiteedi rakendamise võimaldamiseks
• Lihtsustada politseid ja luureteenistusi puudutavaid eeskirju.

Siiski juhivad mõned tähelepanu nende reformidega kaasnevatele riskidele ja eelkõige üksikisiku õiguste nõrgenemisele.

Automatiseeritud otsuste tegemise valdkonnas osutavad nad näiteks 2020. aasta A-taseme eksami tulemuste fiaskole, kus algoritm andis ebaolulisi hindeid, ning töö- ja pensioniministeeriumi (DWP) pettuste avastamise tööriistade vigadele, mis tekitasid asjaosalistele arvukalt kahju.

Valitsuse poolt oktoobri alguses välja kuulutatud digitaalse identiteedi projekt on tekitanud protestide tormi, kusjuures miljonid Briti kodanikud on allkirjastanud petitsiooni, milles nõutakse projekti tagasivõtmist.

Briti valitsus on juba mõnda aega surunud peale mehhanismide loomist, mis võimaldavad juurdepääsu krüpteeritud side sisule: avalik arutelu keskendub vastuolulistele tehnilistele lähenemisviisidele, nagu näiteks „kliendipoolne skaneerimine”.

Tuleb märkida, et Euroopa Liit arutab praegu seotud teemat: laste seksuaalse väärkohtlemise ennetamisele ja selle vastu võitlemisele suunatud CSAR-i ettepanek on taas 14. oktoobri Euroopa Ülemkogu päevakorras.

See ettepanek, mis näeb ette võimaluse skaneerida sidet kasutaja terminalis enne selle saatmist, on paljude teadlaste ja kodanikuühiskonna arvates nii ebaefektiivne kui ka eriti ohtlik põhiõiguste ja krüpteerimise enda jaoks.

Euroopa Liit kipub praegu ka oma nn digitaalse omnibuspaketi kaudu andmetega seotud õigusraamistikku lihtsustama.

Komisjon on kuulutanud välja toetusavalduste esitamise kutse, mis lõpeb 14. oktoobril ja hõlmab andmealaste õigusaktide valdkondi, sealhulgas küpsiste ja muude jälgimistehnoloogiate eeskirju, küberturvalisuse intsidentidest teatamist ning tehisintellekti käsitlevate õigusaktide teatud aspekte.

Täpsemalt isikuandmete kaitse üldmääruse osas hõlmavad kaalul olevad küsimused näiteks registri pidamise kohustuse piiramist organisatsioonidega, kus on üle 500 töötaja, võrreldes praeguse 250 töötaja piiranguga. Euroopa Liit ei vaidlusta praegu määruse põhiprintsiipe.

Mõlemal pool La Manche'i väina on tööstusele teatatud eelised seotud nõuete täitmise kulude vähenemisega.

Reformi enda rakendamise kulud, vigade või vaidluste kulud ja tarbijate usaldusele tekkivad kulud on aga vähem mõistetavad. Seda argumenti tõstatati ka Euroopa Komisjoni poolt juuli keskel korraldatud „rakendusdialoogi“ käigus. Erasektor märkis, et on „investeerinud vastavusse viimisse ja et üldine taasavamine võib tekitada ebakindlust, eriti rahvusvahelise andmeedastuse kontekstis“.

Täna on Briti reformide kasu ja riskide suhe ning nende mõju rahvusvahelistele partnerlustele ja veelgi enam Ühendkuningriigi piisavusotsuse säilitamisele ELis endiselt ebakindel.

Euroopa Komisjoni piisavusotsuse eelnõu pooldab siiski Ühendkuningriigi kaitsetaseme tunnustamist.

Siiski tuleb see esitada arvamuse saamiseks Euroopa Andmekaitsenõukogule ja arutada nõukogus.

Loodame, et lõplik otsus on arvesse võetavate kriteeriumide osas eriti läbipaistev, arvestades sellest tulenevaid muudatusi Briti õiguses.

See tundub olevat oluline, et tagada tulevikus piisav õiguskindlus nii Euroopa ettevõtetele kui ka väljaspool ELi asutatud ettevõtetele.

 

      

18. septembril 2025 trahvis CNIL ettevõtet Samaritaine SAS 100 000 euroga kaamerate peitmise eest poe laoruumis.

Need kaamerad olid maskeeritud suitsuanduriteks ja suutsid heli salvestada.

CNIL on tuletanud meelde, et tööandja võib paigaldada varjatud kaameraid erandjuhtudel ja tingimusel, et saavutatakse õiglane tasakaal taotletava eesmärgi (vara ja isikute kaitse) ning töötajate privaatsuse kaitse vahel.

Sellist süsteemi võiks näiteks lubada tingimusel, et see on ajutine ja see võetakse kasutusele pärast dokumenteeritud analüüsi selle vastavuse kohta isikuandmete kaitse üldmäärusele ning erandjuhtudel.

Antud juhul teatas ettevõte küll reservaatides toime pandud vargustest ja selgitas, et süsteem oli ajutine, kuid ei teinud eelnevat GDPR-i vastavusanalüüsi ega dokumenteerinud paigaldise ajutist olemust.

CNIL on avaldanud ka mitu sisu, mis käsitlevad audiovisuaalsete ja videomängude spetsialistide mitteaktiivsete kontode haldamist koolide videoseadmetes ja laste geograafilist asukohta.

Rahvusassamblee võttis küberturvalisuse vastupidavuse seaduseelnõu erikomisjonis vastu 9. septembril. 

Komisjoni esimees Philippe Latombe lasi vastu võtta muudatusettepaneku, millega sätestatakse otspunktkrüpteerimine artiklis 16 bis: „Krüpteerimisteenuse pakkujatelt, sealhulgas kvalifitseeritud usaldusteenuse pakkujatelt, ei tohi nõuda selliste tehniliste seadmete integreerimist, mille eesmärk on tahtlikult nõrgestada infosüsteemide ja elektroonilise side turvalisust, näiteks peamised dekrüpteerimisvõtmed või mis tahes muu mehhanism, mis võimaldab kaitstud andmetele nõusolekuta juurdepääsu.“

See tekst, mis võtab Prantsuse õigusesse üle Euroopa direktiivid NIS2, DORA ja REC, peaks kaasa tooma küberturvalisuse üldise taseme olulise tõusu.

 

Euroopa institutsioonid ja organid

10. septembril pidas Ursula von der Leyen kõne liidu olukorrast, milles ta kinnitas taas, et Euroopa jääb oma reeglite ja standardite määratlemisel suveräänseks, lükates seega tagasi Atlandi-ülese kriitika.

Samal päeval allkirjastasid 39 Euroopa tööstusjuhti ja ühendust Euroopa tehisintellekti ja tehnoloogia deklaratsiooni, millega nad võtsid endale kohustuse investeerida Euroopa tehnoloogilisse suveräänsusse.

Pr von der Leyen kordas ELi tehisintellekti strateegia peamisi prioriteete, sealhulgas tulevast pilve- ja tehisintellekti arendamise reguleerimist, kvant-liivakasti algatust ja olulisi investeeringuid Euroopa tehisintellekti gigatehastesse.

Tulevane pilve- ja tehisintellekti arendamise regulatsioon võiks hõlmata andmete suveräänsuse ja lokaliseerimise meetmeid, mis on kooskõlas liidu tulevase andmestrateegiaga.

Komisjoni president tõi esile ka Euroopa regulatsioonide lihtsustamise eesmärke, rõhutades hiljutisi reformiettepanekuid, mis võivad mõjutada andmekaitset, näiteks andmeregistri kohustuste vähendamine ja digitaalvaldkonna õigusaktides intsidentidest teatamise nõuete sujuvamaks muutmine.

Lõpuks käsitles ta laste internetiturvalisuse küsimust, teatades, et komisjon küsib aasta lõpuks ekspertarvamusi, ammutades inspiratsiooni Austraalia lähenemisviisist sotsiaalmeedia piirangutele.

Andmemäärus (andmeseadus) jõustus 12. septembril 2025.

See tekst annab ühendatud toodete kasutajatele (ettevõtetele või üksikisikutele, kes omavad, rendivad või liisivad sellist toodet) suurema kontrolli nende loodud andmete üle, säilitades samal ajal stiimulid neile, kes investeerivad andmetehnoloogiatesse.

Samuti määratleb see üldised tingimused, mida kohaldatakse olukordades, kus ettevõttel on seaduslik kohustus jagada andmeid teise ettevõttega.

Euroopa Andmekaitsenõukogu on avaldanud suunised digiteenuste määruse ja isikuandmete kaitse üldmääruse koostoime kohta, mis on avalikuks konsultatsiooniks avatud oktoobri lõpuni.

Euroopa Kohus kohustas Euroopa Komisjoni maksma 50 000 eurot hüvitist isikule, keda seostatakse Euroopa Pettustevastase Ameti (OLAF) pressiteates avaldatud kuriteoga.

Kuigi pressiteates nime ei mainitud, võimaldasid kontekstuaalsed vihjed uurija tuvastada. Kõnealune juhtum OC vs. komisjon [C-479/22 P], millele viidati hiljutises Euroopa Andmekaitseinspektori ja Ühtse Resolutsiooni Nõukogu kohtuasjas, mis tekitab nüüd tugevaid reaktsioone isikuandmete tuvastatavuse ulatuse osas.

 

Uudised Euroopa Liidu liikmesriikidest.

Saksamaal otsustas Liidukohus, et ettevõte oli ebaseaduslikult edastanud oma töötaja isikuandmeid emaettevõttele personalijuhtimise tarkvara testimiseks.

Seda ülekannet ei saanud õigustatud huviga põhjendada, kuna oleks piisanud fiktiivsetest andmetest. Kohus mõistis töötajale emotsionaalse stressi eest 200 eurot kahjutasu.

Austrias otsustas kohus, et andmesubjekti õigus andmetega tutvuda lõpeb tema surmaga ega lähe üle õigusjärglasele. Seega tühistas kohus apellatsioonimenetluse ajal andmekaitseasutuse otsuse, mis käsitles juurdepääsuõiguse rikkumist pärast andmesubjekti surma.

Austria tarbijaõiguste organisatsioon VSV on esitanud Austrias ja Saksamaal Meta vastu kollektiivhagi, nõudes kuni 5000 eurot kahjutasu üle 18-aastastelt isikutelt. Hagi puudutab Meta professionaalseid tööriistu, mida VSV väitel kasutatakse kasutajate eraelu "ebaseaduslikuks jälgimiseks".

Belgia andmekaitseamet määras üliõpilaselamu omanikule 9700 euro suuruse trahvi videovalvesüsteemi ebaseadusliku käitamise eest, mis ei olnud vajalik vara kaitsmiseks ega maja eeskirjade järgimise jälgimiseks ning mis ei saanud põhineda õigustatud huvil ega üürilepingu täitmisel.

Hispaania andmekaitseamet (APD) määras ettevõttele 1 800 000 euro suuruse trahvi, mis töötles avaliku sektori asutuse poolt ilma õigusliku aluseta kogutud füüsilisest isikust ettevõtjate isikuandmeid.

Ta leidis, et kuigi Hispaania maksuametil (AEAT) oli seaduslik õigus edastada teatud andmeid kaubanduskojale, puudus nende andmete edasine edastamine ettevõttele Camerdata ja nende andmete kasutamine äri- ja turunduslikel eesmärkidel kehtivat õiguslikku alust.

Ettevõtte viidatud õigustatud huvi ei kaalunud üles riske nende töötajate õigustele ja vabadustele, kelle andmed olid avalikustatud.

Eestis määrati ravimifirmale Allium UPI 3 000 000 euro suurune trahv piisavate tehniliste ja korralduslike meetmete, näiteks mitmefaktorilise autentimise, rakendamata jätmise eest, mille tagajärjel tekkis andmetega rikkumine, mis mõjutas 750 000 inimest, sealhulgas lapsi ja haavatavaid rühmi.

Soomes trahvis APD panka (S-Pankki Oyj) 1 800 000 euroga, kuna pank ei rakendanud oma rakenduse uue sisselogimisfunktsiooni osas piisavaid tehnilisi ja korralduslikke meetmeid, mis viis klientide volitamata juurdepääsuni teiste klientide kontodele.

Itaalia andmekaitseamet (APD) otsustas, et ettevõtte kliendil on õigus oma pildi kasutamiseks ettevõtte reklaamides antud nõusolek tagasi võtta. Amet selgitas, et nõusoleku võib tagasi võtta olenemata andmetöötlejale tekkivatest negatiivsetest majanduslikest tagajärgedest.

17. septembril toimunud Senati hääletusega sai Itaaliast esimene Euroopa riik, mis võttis vastu tehisintellekti käsitleva seaduse.

Pärast üldpõhimõtete raamistiku määratlemist pöörab seadus erilist tähelepanu sellistele olulistele sektoritele nagu töö, tervishoid ja õigus.

See reguleerib ka tehisintellekti kasutamist alaealiste poolt ja sisaldab karistussätteid.

Hollandi andmekaitseamet (DPA) viib praegu koostöös Itaalia, Luksemburgi ja Ungari andmekaitseasutustega läbi uurimist selle kohta, kuidas nutitelerid isikuandmeid töötlevad.

Aruandes märgitakse eelkõige, et nutitelerid saadavad paigaldamise, igapäevase kasutamise, ooterežiimis olemise ja isegi väljalülitatud olekus märkimisväärsel hulgal andmeid ning et need toimivad läbipaistmatus internetiökosüsteemis, mis hõlmab erinevaid osapooli: tootjaid, operatsioonisüsteemide pakkujaid, rakenduste arendajaid jne.

Ta juhib tähelepanu sellele, et kasutajatel pole sageli muud valikut kui privaatsuspoliitikaga leppida ning neil on raskusi andmetöötluse eest vastutavate isikute tuvastamisega.

Eelinstallitud rakendused (mida on mõnikord võimatu eemaldada) tekitavad küsimusi andmete minimeerimise ja kasutajaõiguste osas.

Pärast Šveitsi avatud lähtekoodiga vestlusplatvormi Apertus AI käivitamist on tekkinud veel üks suur avatud lähtekoodiga masinõppe mudel, mida toetab Euroopa avalik-õiguslik asutus: TildeOpen LLM.

See on fundamentaalne keeleteaduse mudel, mis on loodud kompenseerima olemasolevate õigusteaduste nõrkusi Põhjamaade ja Ida-Euroopa keelte osas, mis on praegu alaesindatud.

See 30 miljardi parameetriga mudel töötati välja Euroopa Komisjoni rahastusel ja seda treeniti LUMI superarvutil.

Need kaks mudelit on teatanud, et nad vastavad Euroopa tehisintellekti regulatsioonile.

 

 

Eelmise aasta septembris Soulis toimunud 47. privaatsuskaitse üldassamblee kinnitas taas, et andmete privaatsus ja turvalisus on tänapäeva maailma ees seisvad olulised küsimused.

Iga-aastane üritus toob kokku nii regulaatoreid kui ka ettevõtteid ja organisatsioone üle kogu maailma.

Kakskümmend andmekaitseasutust võtsid sel puhul vastu ühisdeklaratsiooni, et luua usaldusväärne tehisintellekti juhtimisraamistik.

Nad pooldavad andmekaitsepõhimõtete integreerimist juba projekteerimisetapis, tugeva andmehalduse loomist ja riskijuhtimise ennetamist.

Avalduses rõhutatakse ka andmetöötluse üha suurenevat keerukust selles kontekstis ning rõhutatakse asjaosaliste mitmekesisust ja vajadust tehnoloogia arenguga kohandatud regulatiivse raamistiku järele.

Ameerika Ühendriikides on "Shutdownil" märkimisväärsed tagajärjed andmekaitsele.

Mõned föderaalagentuurid on peaaegu täielikult suletud, sealhulgas föderaalne kaubanduskomisjon (FTC), mis on peamine andmekaitse jõustamise eest vastutav organ.

FTC-s on sunnitud koondamised kõige enam mõjutanud tarbijakaitsebürood.

Välja arvatud juhtudel, kui kahju loetakse äärmiselt tõsiseks, peatatakse tarbijakaitseasjad, olenemata sellest, kas need hõlmavad eeluurimisi, haldusmenetlusi või kohtuasju föderaalkohtutes.

ChatGPT Plus, Pro ja Free versioonide USA kasutajad saavad nüüd osta otse Etsy müügiplatvormilt ning peagi on ligipääsetavad ka paljud teised müüjad.

See tähendab nii ChatGPT kui ka teiste agentiivsete tehisintellekti süsteemide puhul, et kasutaja annab kolmandatele isikutele juurdepääsu oma isikuandmetele, eriti pangateabele, koos kõigi sellega kaasnevate andmete haavatavuse probleemidega.