Sisukord
Isikuandmete kaitse järelevalveasutused üle Euroopa koguvad enesekindlust ja võimekust ning see paistab välja ka rikkujate karistamise statistikas. Piiriüleste teenustega tehnoloogiahiidude korralekutsumise kaasustest on aina enam kogutud GDPR nõuete tõlgenduspraktikat ning seda kasutatakse üha suurema vilumusega.
Trahvide trendid
2022 teisel poolaastal määrasid Euroopa andmekaitse järelevalveasutused kokku 280 trahvi kogusummaga ümmarguselt 742 miljonit eurot. Tõenäoliselt ei näita ka 2023 aasta trahvisummade osas langustrendi, sest näiteks jaanuari trahvide kogusumma oli 396 miljonit eurot. Kokku on GDPR rikkumiste eest andmetöötlejaid 2022 lõpu seisuga trahvitud 2,36 miljardi euroga.
Muutunud ei ole andmekaitsealaste rikkumiste üldarvu sektoripõhine jaotus. Trahve määratakse enim sellistes valdkondades nagu kaubandus, meedia ja telekommunikatsioon, finantsteenused, tervishoid aga ka avalik sektor. See on ka mõistetav, sest just nendes valdkondades kasutatakse paratamatult enim isikustatud andmeid.
Huvitav on jälgida ka statistikat riikide määratud GDPR trahvide koguarvu ja kogusumma osas. Sellest tuleb hästi ilmsiks, millised riigid menetlevad enim just globaalsete tehnoloogiaettevõtete Euroopa harude tegemisi (näiteks: Iirimaa, alates 2018 trahvide koguarv 23 ja kogusumma 1,3 miljardit eurot; Hispaania, alates 2018 trahvide koguarv 594 ja kogusumma 58 miljonit eurot).
Mõned näited 2022 teisest poolaastast
Instagram Meta Platforms, Inc.
Meta tütarettevõttele Instagram määras Iirimaa andmekaitseasutus septembris 405 miljoni euro suuruse trahvi, mis on seni määratud trahvidest suuruselt teisel kohal, jäädes alla vaid 2021 aasta Amazoni saadud 746 miljonile.
Uurimisega alustati 2020 ning 2022 septembris jõuti lõplike järeldusteni tänu kolmanda osapoole vihjetele. Ettevõte oli lubanud 13–17-aastastel lastel kasutada ärikontosid. Need võimaldavad juurdepääsu alaealise kasutaja meiliaadressile ja telefoninumbrile. Lisaks ei olnud alaealiste kontod vaikimisi seatud privaatseks, vaid mõnel juhul sai neid avalikkus vaadata.
Sedakorda siis privacy by design ja privacy by default põhimõtete tundmaõppimise koolirahaks pisut enam kui 405 miljonit eurot.
Meta Platforms Ireland
Novembris määras Iirimaa järelevalve Facebooki emafirmale Meta 265 miljoni euro suuruse trahvi infoturbemeetmete ebapiisava rakendamise eest kasutajaandmete kaitsel.
Andmekaitseasutus algatas uurimise uudise peale, mille kohaselt leiti enam kui 533 miljoni kasutaja andmed veebis. Andmed leiti häkkerite veebisaidilt ja sisaldasid aruannete kohaselt enam kui 100 riigist pärit inimeste nimesid, Facebooki ID-sid, telefoninumbreid, asukohti, sünnikuupäevi ja e-posti aadresse. Meta ütles, et andmed on Facebookist “kooritud” (data scraping), kasutades tööriistu, mis on loodud selleks, et aidata inimestel leida oma sõpru telefoninumbrite kaudu, kasutades otsingu ja kontaktide importimise funktsioone.
Fookus liigub AI valdkonna peale
Euroopa andmekaitse järelevalveasutused jätkavad püüdlusega vähendada reeglitevastaste ärimudelite genereerimise mõttekust, tehes selle trahvide kaudu kalliks. Menetluste statistika näitab tugevalt järelevalve fookuse liikumist tehisintellekti ja masinõppe valdkonda ning isikuandmete kasutamisele nende treenimiseks. Ei tasu ka unustada, et Euroopa Liidus käivad arutelud võimaliku näotuvastustehnoloogiate osalise keelustamise teemadel.