Aasta 2023 osutus andmekaitsetrahvide poolest sündmusterohkeks. Sel aastal saavutati rekord – määrati kõrgeim trahv, mis isikuandmete kaitse üldmääruse all eales määratud on. Iirimaa järelevalveasutus trahvis aprillis Metat 1,2 miljardi euro eest, kuna viimane edastas oma Facebooki teenuse kaudu ilma põhjendatud seadusliku aluseta massiliselt Euroopa Liidu kodanike isikuandmeid Ameerika Ühendriikidesse. Nimelt leidis isikuandmete edastamine aset lepingu tüüptingimuste alusel, kus Euroopa Liidu kodanikel puudusid piisavad kaitsemeetmed ja õiguskaitsevahendid oma andmete töötlemist Ameerikas vaidlustada. See hiigeltrahviotsus lisab rõhku aastakümnepikkusele pingelisele läbirääkimisele Euroopa Liidu ja USA vahel, millega üritatakse võimaldada andmete seaduslikku edastamist üle Atlandi ookeani nimetatud osapoolte vahel.
Eelnevad Euroopa Liidu kaitse piisavuse otsused Ameerika kohta tunnistati kahel korral kehtetuks (aastatel 2015 ja 2020) ettekäändel, et USA seadused ei taganud piisavat kaitset andmesubjektidele, kelle isikuandmete töötlemine leiab aset Ameerikas. Andmekaitsesaaga aga jätkub: 2023. aasta juulis leppisid Euroopa Liit ja USA kokku uue andmekaitseraamistiku (Data Privacy Framework), mille põhjal võivad ettevõtted isikuandmeid kahe mandri vahel edastada, kuid ka see värskeim kokkulepe pole jäänud tähelepanuta – kokkuleppele on mitmed andmekaitseaktivistid juba kriitikat ja kaebuseid esitanud.
Meta sai 2023. aasta jaanuaris ka teise, 390 miljoni suuruse hiigeltrahvi – leiti, et ettevõte ei andnud oma kasutajatele piisavat teavet, millistel põhjustel ja millisel moel nende andmeid Instagrami ja Facebooki teenustes töödeldakse. Lisaks kasutas Meta valet (lepingulist) õiguslikku alust kasutajate andmete töötlemiseks, et neile isikustatud reklaame kuvada. Meta sundis oma kasutajaid andma nõusolekut isikuandmeid üles andma ettekäändel, et see oli vajalik osa Instagrami ja Facebooki teenuse osutamiseks, kuid Iirimaa leidis, et selline käitumine viitas sunnitud nõusolekule ja et isikustatud reklaamide kuvamine lepingu õiguslikul alusel oli vale.
Kolmanda suurima trahvi tiitli (ehk 345 miljon eurot) pälvis noorte seas populaarne sotsiaalmeediavõrgustik TikTok möödunud aasta septembris selle eest, et 2020. aasta juulist kuni detsembrini olid platvormi lapskasutajate isiklikud kontod juba loomisel vaikimisi avalikuks seadistatud. Teave, mis lastele konto tegemisel kuvati, ei sisaldanud läbipaistvat ega selget informatsiooni kasutajate õiguste ja andmete töötlemise laadi kohta, mis tähendas, et alaealise nõusolek ei saanud TikTok-i kasutamisel olla vabatahtlik, nagu andmekaitse regulatsioonid nõuavad. Analüüsides mitmeid tehnilisi elemente, mida TikToki platvorm tollel ajal kasutas, leiti veel, et valikud, mis lapskasutajatele konto privaatsuse seadistamiseks kuvati, julgustasid neid oma kontosid avalikeks jätma, ja postitamise lehel kehtis sama – avalikult postitamine tehti lihtsamaks kui postitamine privaatselt. Laste õiguste kaitset võetakse andmekaitsemaailmas äärmiselt tõsiselt ja see õigustab ka trahvi suurust. Eraelu puutumatust tugevalt riivavad elemendid TikTok-is tekitasid lapskasutajatele mitmeid riske, sealhulgas kontrolli kaotamise oma andmete üle ning oht sattuda pahatahtlike kasutajate sihtmärgiks.
Väljaspool Iirimaad tegi suurima trahvi Prantsusmaa järelevalveasutus reklaami ja turundusega tegelevale ettevõttele Criteo isikustatud reklaamimise eest. Kaebuse esitas Austrias tegutsev, aga terves Euroopas aktiivne mittetulundusühing None of Your Business (noyb) („pole sinu asi“). Prantsusmaa järelevalveasutus leidis, et rikuti eelkõige läbipaistvuse ja vastutuse põhimõtet, kuna ettevõte ei olnud võimeline tõendama, et nende kasutajatele oli antud piisavat informatsiooni nende isikuandmete töötlemise põhimõtete, eesmärkide ja õiguste kohta. Ettevõte paigaldas kasutajatele jälgimisküpsised ilma nende teadmata. Kasutaja ei teadnud, et tema andmeid üldse töödeldakse ja milliste partner-ettevõteteni need lõpuks jõuavad. Sellest tulenevalt leidis aset raske rikkumine, mille eest trahviti Criteod 40 miljoni euro eest – see on väike number võrreldes eelnevalt mainitud trahvidega tehnoloogiahiiglaste vastu, kuid suur, võttes arvesse, et Criteo kätes olid 370 miljoni Euroopa liidu kasutaja isikuandmed.
Andmekaitsehuviline võib eeldada, et trahvide laviin ei peatu ka 2024. aastal. Nii suuremate kui ka väiksemate tehnoloogiaettevõtete nimed käivad pidevalt läbi Euroopa Andmekaitsenõukogu ja riiklike järelevalveasutuste päevakajalistest teemadest. Alles novembris tutvustatud Facebooki ja Instagrami uus „maksa või anna nõusolek“- ärimudel tõi kohe pärast avalikustamist endaga mitmeid kaebuseid kaasa. Tähelepanu keskpunktis on samuti tehisintellekti kasutamine. Generatiivsele tehisintellektile ja suurtele keelemudelitele eeldatakse tulevatel aastatel tõsiseid trahve. AI-programmide treeningmudelid on siiamaani olnud läbipaistmatud ja pälvinud eetilisuse-teemalist kriitikat. Mudeleid treenitakse andmetega, mis on avalikult internetis üleval ja mis sisaldavad ka isikuandmeid, kuid need andmed ei pruugi olla tõepärased. Tehisintellekt annab tihti kasutajate küsimustele vastuseks valeandmeid, tekitades andmekaitseasutuste silmis kahtlusi, et suured keelemudelid, nagu on näiteks ChatGPT, ei austa õigsuse põhimõtet. Olukorra tõsidust tõendavad meetmed, mida Itaalia võttis ChatGPT vastu kasutusele märtsis, kui keelas programmi tegevuse oma riigis paaris kuuks, kuni OpenAI lisas veebilehele privaatsuspoliitika ja täiendas vajalikke kaitsemeetmeid 13–17- aastaste kasutajate turvalisuse tagamiseks. Teenus küll taastati, kuid üldine skeptilisus tehisintellekti toimingute vastu meie andmetega, mis on avalikult veebis kättesaadavad, jäi kumama üle maailma. Tasub silmas pidada, et tulevatel aastatel jõustub Euroopa Liidu õigusraamistikus ka tehisintellektimäärus, mille rikkumine võib kaasa tuua veel märkimisväärseid trahve.
- Kommenteerimiseks logi sisse või registreeru