Merlin Liis-Toomela ja Hegle Pärna: Kuidas orienteeruda tehnoloogia regulatsioonide rägastikus?

Advokaadibüroo Ellex Raidla vandeadvokaat Merlin Liis-Toomela ja jurist Hegle Pärna: Euroopa Liidus on vastu võetud mitmeid uusi tehnoloogia valdkondi puudutavaid regulatsioone ning küpsemas on ka rohkelt uusi.

Nende eesmärk on ühest küljest kaitsta isikute põhiõigusi, nagu näiteks eraelu puutumatust, kuid teisalt luua ka ettevõtetele soodsam keskkond äritegevuseks. Võtame vaatluse alla mõned tähtsamad tehnoloogia valdkonda puudutavad regulatsioonid ning toome välja olulised mõttekohad, mida meeles pidada.

Digitaalteenuseid ja -turgu reguleerivad õigusaktid

ELis on juba 2022. aasta sügisel jõustunud digiteenuste määrus (DSA) ja digiturgude määrus (DMA), mida kutsutakse ka ühtseks digiteenuste õigusakti paketiks. Digiteenuste regulatsioonide paketil on kaks peamist eesmärki. Esiteks turvalisema digiruumi loomine, mille eesmärk on kaitsta kõikide digiteenuste kasutajate põhiõigusi. Teiseks, võrdsete võimaluste loomine innovatsiooni, majanduskasvu ja konkurentsivõime edendamiseks nii Euroopa ühtsel turul kui ka kogu maailmas.

DSA sündimise ajendiks oli vajadus uuendada 2000. aastast pärinevat e-kaubanduse direktiivi tulenevalt digitaalsete teenuste hulgalisest kasvust. DSAst tulenevad nõuded kohalduvad eelkõige vahendusteenuste, vahemäluteenuste ja veebimajutusteenuste pakkujatele, samuti internetipõhistele otsingumootoritele. Olulised kohustused DSA alusel on näiteks kohustus tagada teenuse läbipaistvus kasutajatele (läbi asjakohaste teenusetingimuste ja muu vajaliku info avaldamise), kohustus reageerida ebaseaduslikule sisule jne.

Ka sätestab DSA vahendusteenuste osutajatele läbipaistva ja turvalise digikeskkonna tagamiseks vajalikud hoolsuskohustused. Eraldi kohustused sätestab DSA täiendavad nõuded väga suurtele digiplatvormidele. Väga suurteks digiplatvormideks on sellised platvormid, mis jõuavad ELis 45 miljoni või enama kasutajani, näiteks Instagram, LinkedIn ja X (Twitter), nagu ka Euroopa Komisjon on oma selle aasta alguses antud otsuses selgitanud.

DSA jõustus 16. novembril 2022 ning kuna DSA on vastu võetud määrusena, kohaldub see otse kõikides ELi liikmesriikides.

Teine oluline õigusakt digiteenuste regulatsioonide paketis on DMA. DMA sisaldab reegleid, mis reguleerivad pääsuvalitsejatest veebiplatvormide tegevust. Näiteks on DMAga reguleeritud andmete ülekantavuse küsimusi ning teisi küsimusi, mis peaksid tagama ühtlasema konkurentsivõime kõigile ettevõtjatele.

Pääsuvalitsejateks on eelkõige platvormiteenuseid osutavad suurettevõtjad, kellel on märkimisväärne majanduslik võim. DMA jõustus 1. novembril 2022 ning pääsuvalitsejatel on aega oma tegevus DMAga vastavusse viia kuni 2024. aasta märtsini. Pääsuvalitsejaks kvalifitseerimiseks peab ettevõte vastama teatud tingimustele ning teenusel peab olema märkimisväärne mõju siseturule. Euroopa Komisjon on määranud pääsuvalitsejateks näiteks sellised suurettevõtted nagu Meta, Amazon ja Apple. DMAs sätestatud kohustused võivad väiksematele ettevõtetele kohalduda kaudselt näiteks kui kohalik ettevõte on pääsuvalitseja klient.

Uus küberturvalisuse direktiiv

2016. aastal vastuvõetud NIS-direktiiv oli esimene ELi küberturvalisuse regulatsioon, mille eesmärgiks oli parandada liidu võrgu- ja infosüsteemide vastupidavust küberturvalisust puudutavate riskide osas. Vaatamata selle direktiivi olemasolule leidis EL, et ettevõtete küberturvalisuse tase on endiselt madal. Selle tunnistuseks on aina sagenevad küberintsidendid, näiteks häkkimisjuhtumid ja mitmesugused lunarahanõuded. Seetõttu võeti 2022. aasta novembris vastu ka täiendatud kujul NIS2-direktiiv. NIS2-direktiiv jõustus tänavuse aasta jaanuaris. NIS2 kohaldub kõikidele keskmise ja suurema suurusega ettevõtetele direktiivis mainitud sektorites. Nende sektorite hulka kuuluvad erinevad digitaristu teenused, toiduainetööstus ja ka näiteks jäätmekäitlus. Täpsemalt on direktiivis eristatud elutähtsaid üksusi ning olulisi üksusi, mille suhtes kohaldatakse erinevat järelevalvet. Direktiivist tulenevad kohustused kehtivad sektoris nimetatud ettevõtetele, kus on vähemalt 50 töötajat ja enam kui 10 miljonit aastakäive. Lisaks on liikmesriikidel võimalus kehtestada riigisiseselt kohustus olla kooskõlas NIS2-direktiivist tulenevate nõuetega ka väiksematele ettevõtetele.

NIS2 keskendub suuresti tarneahelate ja tarnijate turvalisusele. NIS2 abil karmistatakse ettevõtete turva- ja aruandluse nõudeid, ning nõutakse läbimõeldumat riskijuhtimiskava. Direktiiv kehtestab ka minimaalsed turvanõuded, mida tuleb ettevõtetel rakendada.

NIS-direktiivist tulenevad nõuded on Eesti õigusesse üle võetud küberturvalisuse seadusega. NIS2- direktiivi jõustumisest tulenevalt on oodata Eesti küberturvalisuse seaduse täiendusi uute nõuete valguses. Liikmesriikidel on aega 21 kuud alates direktiivi jõustumisest, et sellest tulenevad nõuded riigisisesesse õigusesse üle võtta.

Andmemäärus

Eelduslikult 2025. aastal jõustuva andmemääruse eesmärgiks on tagada õiglane raamistik asjade interneti (Internet of Things) seadmete loodud andmete ühtselt terves ELis kasutamiseks. Määrusega soovitakse tagada kõigile ettevõtetele ühtsed võimalused andmetele juurdepääsuks ning nende kasutamiseks.

Määrusega kehtestatakse erinevad kohustused mitmetele ettevõtetele. Muuhulgas kehtestatakse kaitsemeetmed ebaseadusliku ja teavitamiseta andmeedastuse vastu pilveteenuse osutajatele. Samuti üritatakse määrusega hõlbustada pilv- ja servtöötluse teenuste vahetamist. Määrusega luuakse seega ka mõneti soodsamad võimalused ettevõtetele äritegevusega tegelemiseks.

Tehisintellekti puudutavad regulatsioonid

Tehisintellekti käsitlev õigusakt (AI Act) on hetkel samuti Euroopa Liidus valmimisel. Selle õigusakti lõpliku sõnastusega jõutakse eelduslikult valmis käesoleva aasta lõpus.

Siiski saab juba praegu järeldada olemasolevast regulatsiooni kavandist, et täiendavad kohustused pannakse teatud tehisintellekti süsteemide pakkujatele ja kasutajatele nii ELis kui ka kolmandates riikides. Viimase puhul kehtib tingimus, et tehisintellekti väljund peab olema kasutatav ELis. Regulatsioon puudutab kõrge riskiga tehisintellekti süsteeme ning ka selliseid süsteeme, mis on mõeldud suhtlemiseks näiteks füüsiliste isikutega või mida kasutatakse pildi-, heli- või videosisu loomiseks või töötlemiseks. Täiendavalt keelatakse osade tehisintellekti süsteemide kasutamine üldse ära.

Kõigil tehisintellekti arendavatel ettevõtjatele tuleks seetõttu juba praegu pilk peal hoida sellel, kas nende tegevusele võib tulla uusi nõudeid sellest regulatsioonist.

Mida meeles hoida?

Tehnoloogiavaldkonnas juba jõustunud või tulevikus jõustuvad õigusaktid seavad uusi väljakutseid kõigile ELis tegutsevatele ettevõtetele. Sõltuvalt valdkonnast võib olla vajalik vaadata üle oma ärimudelid, kohandada teenuse tingimusi ja täiendada teenuse osutamisega seotud protsesse, et tagada vastavus õigusaktidega. Kuna nõuete mittejärgimine võib tuua kaasa kopsaka rahatrahvi või mainekahju, on oluline järjepidev regulatsioonide mõjude hindamine.

Arvamuslugu ilmus 21. novembril Delfi Ärilehes.