august 11, 2021

Andmekaitse uudiseid

Tänu hoogsalt kulgenud maile ning juunile ning seejärgsele kuumale juulile, ei ole jõudnud kirjutada olulisematest uudistest lühidalt. Järgmistes blogipostides räägime olulisematel teemadel pikemalt.

Juuni alguses kiitis Euroopa Komisjon andmevahetuse lepingu tüüpklauslid, mida kasutatakse andmevahetuseks  Euroopa  Liidu ja kolmandate riikide vahel. Selgituseks, et kolmandad riigid jäävad väljaspoole Euroopa Liitu ja Euroopa Majanduspiirkonda ning neil ei ole ka kehtivat Euroopa Komisjoni adekvaatsusotsust, sellised riigid on näiteks Ameerika Ühendriigid või Ukraina. Praegu kehtivaid tüüpklausleid saab kasutada kuni 27 septembrini 2021, kuid peale seda peaks kasutusele võtma 11 juunil 2021 vastu võetud tüüpklauslid, mille eeliseks on see, et lisaks vastutava ja volitatud töötleja vahelistele tüüpklauslitele on nüüd võimalik kasutada tüüpklausleid ka kahe volitatud töötleja või kaasvastutavate töötlejate vahelises lepingus, kokku 4 erinevat varianti. Täiendatud tüüpklauslid on riskipõhised nagu kogu isikuandmete kaitse üldmäärus ja võimaldavad teatavat isikupärastamist, tingimusel et kohandamised on põhjendatud ja põhjendused dokumenteeritud.

30 juunil 2021, ehk viimasel minutil, võttis Euroopa Komisjon vastu Ühendkuningriikide  isikuandmete edastamise adekvaatsusotsuse, mis tähendab, et Suurbritanniaga jätkub business as usual ja andmevahetust saab jätkata nagu ennegi ning mingeid muutusid tegema ei pea. Euroopa Komisjon jättis küll sisse klausli, et Suurbritannia adekvaatsusotsus vaadatakse 4 aasta pärast üle. Seni aga vabalt ja rivitult.

Juunis kaebas Maximilan Schrems, kelle algatatud kaasused Euroopa Kohtus on lasknud põhja nii Safe Harbour-i kui ka Privacy Shield-i, Euroopa Kohtusse 500 ettevõtet, kelle veebilehed kasutavad GDPR-iga mittevastavuses küpsiste teavitusi ning nõusolekuid. Küpsistest rääkisime pikemalt eelmises blogi postis. GDPR-i  järgi peavad ettevõtted seaduse järgi lihtsustama inimestele valiku tegemist, kuid tihti kasutavad ettevõtted mitte lihtsustavad disaini meetmeid, et suurendada küpsiste aktsepteerimist 3% kuni 90%-i. Schremsi juhitud NOYB (my privacy is None-Of-Your-Business) on lisaks loonud ka automaatse küpsiste reeglite vastu eksijate leidmise tööriista, mis võimaldab neil potentsiaalselt esitada tuhandeid kaebusi kuus. Schremsi meetodid panevad sageli kulme kergitama, kuid on olnud olulise mõjuga privaatsusõiguste valdkonnas.

Juunis võttis Eesti Riigikogu vastu biomeetriliste isikuandmete andmekogu ehk ABIS-e loomise seaduse. ABIS-sse  lisatud andmeid saab kasutada ka muudel põhjustel, kui need algselt andmebaasi lisati näiteks saab andmeid kasutada kriminaalmenetluses. Selline ristkasutus on mitmete õigusekspertide hinnangul problemaatiline inimeste privaatsusõiguste kaitses. Lisaks probleemidele õiguspärases kasutamises lisab ebakindlust juuli lõpus toimunud intsident, kus Riigi infosüsteemi ameti (RIA) eksperdid tuvastasid ebaseadusliku dokumendifotode alla laadimise isikut tõendavate dokumentide andmekogust, lekkisid 286 438 inimese dokumendifotod. Riiklike andmekogudega on viimase aasta jooksul olnud mitmeid rohke või vähem avalikke lekkeid ja häkkimisi, mis tekitab põhjendatud muret, kas riigiametid oma riigi kodanike privaatsusõiguste kaitsest üldse huvitatud on.

Suvel kiideti erinevate andmekaitse järelevaatajate poolt heaks ka kaks toimimisjuhendit (code of conduct). Itaalia GPDP kiitis heaks äriteabe sektori ettevõtete ning Euroopa keskne järelevaataja EDPB kiitis heaks pilveteenuste osutajate toimimisjuhendi. Toimimisjuhendid on olulised, sest arvestavad erinevate töötlussektorite eripära ning mikro-, väikeste ja keskmise suurusega ettevõtjate konkreetseid vajadusi GDPR-i nõuetekohasele kohaldamisel, aidates vähendada ettevõtete halduskulusid GDPR-i rakendamisel.

Juulis sündis ka uus GDPR trahvisumma rekord. Luksemburgi andmekaitse järelevaataja CNPD Amazonile trahvi 746 miljonit eurot. Trahv tuli 2018 aastal algatatud uurimise tulemusena. CNPD algatas uurimise Prantsuse privaatsusõiguste grupi La Quadrature du Net kaebuse peale. CNPD otsuses öeldi, et Amazoni andmete töötlemise praktika ei vasta GDPR-i nõuetele ning tegi ka ettepanekuid ettevõttele andmete töötlemise praktika parandamiseks. Amazon oma vastuväites ütles, et mingit andmeleket pole olnud ning kolmandad osapooled pole saanud ligipääsu Amazonis hoitavatele isikuandmetele, seega ei ole ka probleemi. Ettevõte plaanib järelevaataja otsuse edasi kaevata.