Legal Watch nro 69 – maaliskuu 2024.

Tietoturva, kyberuhat: nykytilanne ja ohjeet.

Useat organisaatiot julkaisevat raporttejaan kyberturvallisuusuhkien tilasta tämän vuoden alussa: tilaisuus tarkastella riskejä ja antaa neuvoja henkilötietojen suojaamiseksi.

Euroopan kyberturvallisuusvirasto ENISA on julkaissut raporttinsa kyberturvallisuusuhkista vuoteen 2030 asti.

Raportissa tunnistetaan erityisen huolestuttaviksi uhiksi ohjelmistoriippuvuuksiin ja disinformaatiokampanjoihin liittyvät uhat sekä inhimillisiin virheisiin liittyvät uhat.

Pitkän aikavälin uhkista virasto mainitsee osaamisvajeen ja palveluntarjoajien epäonnistumiset sekä tekoälyyn liittyvien uhkien lisääntymisen.

"Kyberrikollisuuden vastainen toiminta" -aloite jakaa myös analyysinsa Ranskan uhkatilanteesta vuotuisen toimintakertomuksensa julkaisemisen yhteydessä. 

Tietojenkalastelu on edelleen ensisijainen uhka: se monimuotoistuu ja kehittyy yhä hienostuneemmaksi. Tärkeimpiä tietojenkalastelun muotoja ovat liikennerikkomukset, lapsiporno tai väärennetty tekninen tuki.

Lisäksi väärennettyihin pankkineuvojiin liittyvät huijaukset pysyvät jatkuvasti korkealla tasolla.

Tilin hakkerointi on toinen merkittävä uhka, jonka seuraukset voivat johtaa identiteettivarkauksiin ja taloudelliseen vahinkoon.

Lopuksi, kiristysohjelmahyökkäykset ja haittaohjelmat (virukset) ovat merkittäviä ja yhä useammin esiintyviä uhrien avunpyyntöjen syitä.

CNIL julkaisi 27. maaliskuuta raportin tietoturvaloukkauksista viimeisten viiden vuoden ajalta.

Hän huomauttaa, että yksityinen sektori on vastuussa noin kahdesta kolmasosasta CNIL:lle tehdyistä rikkomusilmoituksista, mukaan lukien 39 pk-yritysten %-ilmoitusta.

Julkinen sektori puolestaan vastaa 22 %-ilmoituksesta.

Toimialoittainen jakautuminen osoittaa, että julkishallinnot edustavat 18 %-ilmoituksista.

Yksityisellä sektorilla on eniten edustettuna erikoistunutta, tieteellistä ja teknistä toimintaa, jota seuraavat rahoitus- ja vakuutustoiminta.

Myös ihmisten terveyteen liittyvät toimet muodostavat 12 %-ilmoitusta.

Tässä yhteydessä ja ottaakseen huomioon uudet tietoihin kohdistuvat riskit CNIL päivitti tietoturvaoppaansa maaliskuun lopussa.

Tämä uusi versio jäsentää oppaan viiteen osaan: käyttäjät, laitteet, tiedonhallinta, varautuminen tapahtumiin ja lopuksi keskittyminen erityisen ajankohtaisiin kysymyksiin.

CNIL julkaisee uusia tietosivuja, jotka käsittelevät erityisesti tekoälyä (AI), mobiilisovelluksia, pilvipalveluita ja sovellusohjelmointirajapintoja (API).

Oppaassa on myös tietosivuja riskianalyysistä ja salauksesta.

Asiakirjan lopussa on tarkistuslista, jonka avulla voit tarkastella vastuuhenkilön tekemiä toimenpiteitä ja arvioida hänen turvallisuustasoaan.

Suositeltujen suojaustoimenpiteiden joukossa mainitaan usein monivaiheinen todennus (MFA), jota suositellaan yhä useammin tietokantojen suojaamiseksi vilpillisiltä käyttöyrityksiltä.

CNIL on juuri avannut julkisen kuulemisen AMF:ää käyttävien ratkaisujen yhteensopivuudesta GDPR:n kanssa.

Tuore esimerkki vahvistaa tarpeen selventää automaattisen lompakon käytön kontekstia: Espanjassa yritys tuomittiin oikeudessa automaattisen lompakon pakottamisesta työntekijöilleen heidän yksityispuhelimissaan, vaikka laki edellytti sen antavan heille yrityksen matkapuhelimet tätä tarkoitusta varten.

Suosituksessaan CNIL käsittelee oikeusperustan määrittämistä, kerättyjen tietojen minimointia, säilytysaikoja ja asianomaisten henkilöiden oikeuksien kunnioittamista.

Se tarjoaa käytännön esimerkkejä yksityisyyttä kunnioittavan monivaiheisen todennuksen toteuttamisesta.

 

      

Ranskan kilpailuviranomainen määräsi Googlelle 20. maaliskuuta 250 miljoonan euron sakon sitoumustensa noudattamatta jättämisestä ja lehtiartikkeleiden käyttämisestä tekoälyjärjestelmänsä (Bard/Gemini) kouluttamiseen. 

Tämä päätös, neljäs tässä asiassa neljän vuoden sisällä, on osa 24. heinäkuuta 2019 säädetyn lähioikeuksia koskevan lain hyväksymistä, jonka tavoitteena on luoda edellytykset tasapainoisille neuvotteluille kustantajien, uutistoimistojen ja digitaalisten alustojen välillä.

CNIL julkaisi 8. huhtikuuta suositukset tekoälyn käytöstä henkilötietoja kunnioittavalla tavalla.

Heidän tavoitteenaan on tarjota konkreettisia, esimerkein havainnollistettuja vastauksia GDPR:n tekoälyyn soveltamiseen liittyviin oikeudellisiin ja teknisiin haasteisiin.

Näissä alustavissa suosituksissa käsitellyt seikat mahdollistavat erityisesti sovellettavan oikeudellisen järjestelmän ja toimijoiden oikeudellisen pätevyyden määrittämisen, tarvittaessa vaikutustenanalyysin suorittamisen ja tietosuojan integroinnin järjestelmän suunnitteluvaiheesta lähtien (sisäänrakennettu yksityisyyden suoja).

 

Euroopan unionin toimielimet ja elimet

Euroopan tietosuojavaltuutettu (EDPS) totesi 11. maaliskuuta, että Euroopan komissio oli rikkonut useita keskeisiä tietosuojasääntöjä käyttäessään Microsoft 365:tä.

Erityisesti "komissio ei ole tarjonnut asianmukaisia suojatoimia sen varmistamiseksi, että EU:n/ETA:n ulkopuolelle siirretyillä henkilötiedoilla on EU:ssa/ETA:ssa taattua tasoa olennaisesti vastaava suojan taso".

Lisäksi komissio ei Microsoftin kanssa tekemässään sopimuksessa määritellyt riittävästi, minkä tyyppisiä henkilötietoja olisi kerättävä ja mihin nimenomaisiin ja tarkkoihin tarkoituksiin Microsoft 365:tä käytettäessä (...).

Euroopan tietosuojaneuvosto määräsi komissiolle korjaavia toimenpiteitä, mukaan lukien kaikkien Microsoft 365:n käytöstä aiheutuvien tietovirtojen keskeyttäminen Microsoftille ja sen EU:n/ETA:n ulkopuolisissa maissa sijaitseville tytäryhtiöille ja alihankkijoille, joita ei koske tietosuojan riittävyyspäätös, 9. joulukuuta 2024 alkaen.

Vaikka tämä päätös koskee EU:n toimielimiä, Euroopan tietosuojavaltuutetun perustelut ovat paljon laajempia ja niillä voi olla vaikutuksia Microsoft 365:n käyttöön EU:n jäsenvaltioissa.

Euroopan oikeusasiamies kirjoitti 15. maaliskuuta Euroopan komissiolle kysyäkseen, miten se hyödyntää tekoälyä päätöksentekoprosessissaan.

Oikeusasiamies totesi, että "vaikka tekoälyn nopea kehitys voi parantaa työn laatua ja tehokkuutta, se aiheuttaa merkittäviä haasteita tarkkuuden, mahdollisen harhan, selitettävyyden ja ihmisen hallinnan suhteen."

Hän korosti myös, että julkishallinnon on varmistettava, että tekoäly ainoastaan avustaa ihmisen päätöksentekoa eikä korvaa sitä.

Kysymykset keskittyvät tekoälyn käyttöön kolmella erityisalueella: julkisen palautteen analysoinnissa, EU:n kilpailusääntöjen mahdollisten rikkomusten havaitsemisessa ja valitusten käsittelyssä.

Vaikka Euroopan parlamentti on juuri äänestänyt tekoälyasetuksesta, digitaalisia markkinoita (DMA) ja digitaalisia palveluita (DSA) koskevat asetukset ovat tulleet voimaan, ja komissio on jo käynnistänyt useita menettelyjä näiden kahden tekstin nojalla.

Se aloitti 25. maaliskuuta DMA-pohjaiset menettelyt Alphabetia, Applea ja Metaa vastaan.

Applen ja Alphabetin osalta komissio aikoo selvittää, ovatko niiden sovelluskauppoihin liittyvien velvoitteiden osalta toteuttamat toimenpiteet ristiriidassa julkisten hankintojen lain kanssa, jonka mukaan portinvartijoiden on sallittava sovelluskehittäjien "ohjata" kuluttajia maksutta tarjouksiin, joita ei ole lueteltu heidän sovelluskaupoissaan.

Metan osalta komissio on käynnistänyt menettelyn selvittääkseen, onko äskettäin käyttöön otettu EU:n käyttäjille tarkoitettu ”maksu tai suostumus” -malli tietosuojalainsäädännön mukainen, jonka mukaan tietojen haltijoiden on hankittava käyttäjien suostumus, kun he aikovat yhdistää tai käyttää ristiin heidän henkilötietojaan.

Tämä viimeisin menettely on Euroopan tietosuojaneuvoston samasta aiheesta aloittaman menettelyn lisäksi.

Komissio aloitti myös 14. maaliskuuta digitaalisen palvelun lakia koskevan virallisen menettelyn selvittääkseen, oliko AliExpress rikkonut digitaalisten palveluiden lakia riskienhallintaan ja -lieventämiseen, sisällön moderointiin ja sisäiseen valitusten käsittelymekanismiin, mainonnan ja suositusjärjestelmien läpinäkyvyyteen, kauppiaiden jäljitettävyyteen ja tutkijoiden tiedonsaantiin liittyvillä aloilla.

Samana päivänä hän lähetti myös LinkedInille tietopyynnön mahdollisesti kohdennetusta mainonnasta arkaluonteisten tietojen perusteella.

Euroopan komissio isännöi 4. maaliskuuta ensimmäistä korkean tason kokousta rajat ylittävistä tietovirroista.

Kokoukseen osallistuivat oikeusasioista vastaava komissaari, Euroopan tietosuojaneuvoston puheenjohtaja sekä ministereitä ja tietosuojaviranomaisten johtajia 15 maasta ja alueelta, joiden osalta EU on hyväksynyt tietosuojan tason riittävyyttä koskevan päätöksen.

Tavoitteena on edistää näiden osallistujien välistä tehostettua yhteistyötä tietosuojan alalla.

Euroopan unionin tuomioistuin (CJEU) vahvisti 7. maaliskuuta antamassaan päätöksessä, että mainostajien käyttämä TC-merkkijono (”TC-merkkijono”), jolla koodataan käyttäjäasetuksia, ”sisältää tietoja tunnistettavasta käyttäjästä ja on siksi GDPR:n tarkoittamaa henkilötietoa”.

Kun TC-merkkijonon sisältämät tiedot yhdistetään tunnisteeseen, kuten muun muassa käyttäjän laitteen IP-osoitteeseen, näitä tietoja voidaan käyttää käyttäjän profiilin luomiseen ja hänen tunnistamiseensa. 

Lisäksi IAB Europea on pidettävä yleisen tietosuoja-asetuksen tarkoittamana "yhteisrekisterinpitäjänä". (...)

Yhdistys näyttää vaikuttavan tietojenkäsittelytoimiin, kun käyttäjän suostumusasetukset tallennetaan TC-merkkijonoon, ja määrittävän yhdessä jäsentensä kanssa sekä näiden toimien tarkoitukset että niiden perustana olevat keinot. 

Euroopan unionin tuomioistuin antoi 7. maaliskuuta päätöksen EU-tuomioistuimen päätöksestä, joka koski henkilötietojen käsitettä, tehdystä valituksesta.

 Se katsoi, että tunnistettavuus ei liity siihen, voiko "keskivertolukija" tunnistaa henkilön, vaan siihen, onko henkilöllä "tunnistamisen kannalta välttämättömiä lisätekijöitä... [nämä tekijät] voivat olla muunkin henkilön kuin rekisterinpitäjän saatavilla (ks. C-582/14, 39 ja 41 kohta)".

Valiokunta erehtyi myös väittäessään, että "kohtuudella todennäköiset" keinot asianomaisen henkilön tunnistamiseksi olivat rajalliset.

Tuomioistuimen olisi pitänyt ottaa huomioon kantajan tunnistamiseen tarvittavat kustannukset ja aika sen määrittämiseksi, voitaisiinko jälkimmäinen tunnistaa "kohtuullisin keinoin".

Tämä päätös koski eurooppalaisiin toimielimiin sovellettavan tietosuoja-asetuksen soveltamista, ja toimielinten määritelmät ovat identtiset yleisen tietosuoja-asetuksen määritelmien kanssa.

Kaizenerin verkkosivuilta löydät taulukoita, joissa luetellaan digitaalisen alan monet eurooppalaiset sääntelyaloitteet sekä niiden täytäntöönpanon tila. 

 

Uutisia Euroopan jäsenmaista.

Belgian tietosuojaviranomainen julkaisi 15. maaliskuuta päätöksen tekoälymallien kouluttamiseen käytettyjen tietojen käsittelyn oikeusperustasta ja näiden mallien myöhemmästä erillisestä käytöstä kaupallisiin tarkoituksiin. 

APD katsoi, että rekisterinpitäjä ei voinut väittää yhteensopivaa käyttöä (yleisen tietosuoja-asetuksen 6 artiklan 4 kohta), koska koulutuksen tavoitetta ei ollut alusta alkaen selkeästi määritelty.

Jatkokäyttö vaati myös oman oikeusperustansa.

Rekisterinpitäjän on myös annettava asiakkailleen oikeus vastustaa tietojen käyttöä mallikoulutuksessa.

Belgian tietosuojaviranomainen katsoi myös, että rekisterinpitäjä oli rikkonut yleisen tietosuoja-asetuksen 5(1) artiklaa, koska se ei ollut poistanut entisen työntekijän sähköpostitiliä ajoissa.

APD totesi, että sähköpostilaatikko tulisi deaktivoida viimeisenä arkipäivänä ja että automaattinen vastaus tulisi deaktivoida kuukauden tai tietyissä poikkeustapauksissa kolmen kuukauden kuluessa.

Samankaltaisessa yhteydessä Italian tietosuojaviranomainen (APD) katsoi, että rekisterinpitäjä oli rikkonut tietojen minimoinnin periaatetta, koska se ei deaktivoinut entisen työntekijän sähköpostitiliä vedoten tarpeeseen ohjata asiakkaat toiselle tilille.

Rekisterinpitäjälle määrättiin 15 000 euron sakko.

Italian tietosuojaviranomainen (APD) määräsi alihankkijalle 800 000 euron sakon toissijaisen alihankkijan palkkaamisesta ilman rekisterinpitäjän etukäteistä lupaa ja tietoturvaloukkauksen myöhäisestä ilmoittamisesta rekisterinpitäjälle.

Se myös sakotti viittä yritystä, jotka käyttivät kasvojentunnistusta läsnäolon seurantaan työpaikalla.

Viranomainen totesi, että tietosuojatoimenpiteet olivat riittämättömät, että ihmiset eivät olleet saaneet tarvittavia tietoja ja että olisi voitu käyttää vähemmän tunkeilevaa järjestelmää.

Myös Italian tietosuojaviranomainen (APD) aloitti 8. maaliskuuta tutkinnan OpenAI:ta vastaan, joka ilmoitti uuden "Sora"-nimisen tekoälymallin lanseerauksesta.

Tämä malli pystyisi luomaan dynaamisia, realistisia ja mielikuvituksellisia kohtauksia muutamasta tekstiohjeesta.

APD on pyytänyt OpenAita toimittamaan useita selvennyksiä "Sora":n mahdollisista vaikutuksista käyttäjien henkilötietojen käsittelyyn Euroopan unionissa ja erityisesti Italiassa.

Portugalin tietosuojaviranomainen (APD) päätti 25. maaliskuuta määrätä Worldcoin Foundationin rajoittamaan väliaikaisesti "Orbin" biometristen tietojen keräämistä maan alueella kansalaisten, erityisesti alaikäisten, oikeuksien suojelemiseksi.

Päätöksellä määrätään Worldcoin Foundationille rekisterinpitäjänä kiireellinen väliaikainen toimenpide, kunnes sen tutkintaprosessi on saatu päätökseen.

Espanja on tehnyt samanlaisen päätöksen.

Tietosuojavaltuutettu (APD) on määrännyt IT-alan vähittäiskauppiaalle 856 000 euron sakon, koska se ei ollut määrittänyt asiakkaidensa tietojen säilytysaikaa.

APD katsoi myös, että Yksittäiseen verkkokauppaostokseen liittyvien henkilötietojen käsittely ei edellytä asiakastilin luomista.

Saksassa berliiniläinen tuomioistuin totesi, että rekisterinpitäjä ei voi tiedonsaantipyyntöön vastatessaan rajoittua antamaan abstraktia yleiskuvaa käsittelystä.

Virkamies oli vedonnut suhteettomiin ponnisteluihin.

Oikeuden mukaan näihin voidaan vedota vain erittäin poikkeuksellisissa tapauksissa.

Islannin tietosuojaviranomainen (APD) on määrännyt Stjörnuna ehf:lle 10 059,92 euron (1 500 000 Islannin kruunun) sakon. Islannin Subway-yrittäjää työntekijöidensä laittomasta valvonnasta tiedottamatta heille riittävästi.

Itävallassa korkein hallinto-oikeus päätti, että algoritmi Työnhakijoiden palkkaamisen todennäköisyyden määrittäminen on automatisoitua päätöksentekoa GDPR:n 22 artiklassa tarkoitetussa merkityksessä, vaikka tulosta käyttäisi yksinomaan julkinen elin kohdennettuun työllisyysneuvontaan työnhakijoille.

 

Britannian hallitus julkaisi maaliskuussa oppaan tekoälyn vastuulliseen hankintaan ja käyttöönottoon henkilöstöhallinnon ja rekrytoinnin alalla.

YK hyväksyi 21. maaliskuuta kattavan tekoälyä koskevan päätöslauselman.

Järjestö tunnustaa, että tekoäly voi auttaa nopeuttamaan 17 kestävän kehityksen tavoitteen saavuttamista, ja korostaa "turvallisista, suojatuista ja luotettavista tekoälyjärjestelmistä saavutettavan maailmanlaajuisen yhteisymmärryksen kiireellisyyttä".

Päätöslauselmassa kannustetaan jäsenvaltioita hyväksymään tekoälyä koskevia määräyksiä ja toimintalinjoja eri aiheista, mukaan lukien yksityisyyden suoja.

Yleiskokous kehotti kaikkia jäsenvaltioita ja sidosryhmiä "pidättäytymään sellaisten tekoälyjärjestelmien käytöstä tai lopettamaan niiden käytön, joita ei voida käyttää kansainvälisen ihmisoikeuslainsäädännön mukaisesti tai jotka aiheuttavat kohtuuttomia riskejä ihmisoikeuksien toteutumiselle".

Techcrunchin 26. maaliskuuta julkaiseman artikkelin mukaan kalifornialainen liittovaltion tuomioistuin on julkaissut useita asiakirjoja osana kuluttajien Metaa vastaan nostamaa ryhmäkannetta.

Vuonna 2016 Facebookin kerrottiin käynnistäneen salaisen projektin, jonka tavoitteena oli siepata ja purkaa verkkoliikennettä Snapchat-sovellusta käyttävien ihmisten ja sen palvelimien välillä.

Tavoitteena oli ymmärtää käyttäjien käyttäytymistä ja auttaa Facebookia kilpailemaan Snapchatin kanssa.

Yhdysvaltain oikeusministeriö ja Yhdysvaltain liittovaltion poliisi FBI ilmoittivat 25. maaliskuuta, että miljoonien amerikkalaisten verkkotilit joutuivat kiinalaisen hakkerointisuunnitelman uhreiksi.

Seitsemää kiinalaista syytetään laajamittaisesta kyberhyökkäyskampanjasta.

Oikeusministeriön mukaan hakkereiden kohteeksi osuivat amerikkalaiset ja ulkomaiset Kiinan kriitikot, yritykset ja poliitikot.

Floridan republikaanikuvernööri allekirjoitti 25. maaliskuuta lain, joka kieltää alle 14-vuotiaiden lasten pääsyn sosiaaliseen mediaan.

14- tai 15-vuotiaiden alaikäisten on saatava vanhempien nimenomainen suostumus tilin luomiseen.

Kun säännöt tulevat voimaan 1. heinäkuuta 2024, yritysten, kuten Facebookin, Instagramin ja TikTokin, on periaatteessa lopetettava olemassa olevat tilit, jotka eivät täytä näitä vaatimuksia, ja poistettava kaikki vastaavat henkilötiedot.

Tätä toimenpidettä on kritisoitu, ja sen odotetaan tulevan haastetuksi oikeudessa perustuslaillisten sananvapauden perusteella.

Samaan aikaan Yhdysvallat harkitsee TikTokin kieltämistä koko maassa.

Edustajainhuone hyväksyi 13. maaliskuuta niin kutsutun "amerikkalaisten suojelemista ulkomaisilta vastustajilta valvotuilta hakemuksilta koskevan lain".

Jos senaatti hyväksyy lain ja se pannaan täytäntöön, TikTokin on erotettava videopalvelu kiinalaisesta emoyhtiöstään ByteDancesta tai poistettava amerikkalaisten pääsy sovellukseen.

Etelä-Korea, Suomi, Saksa, Irlanti, Japani, Puola ja Korean tasavalta antoivat Yhdysvaltojen rinnalle yhteisen lausunnon kaupallisten vakoiluohjelmien leviämisen ja väärinkäytön torjumiseksi Soulissa 18. maaliskuuta pidetyssä kolmannessa demokratiahuippukokouksessa.

Maat sitoutuvat työskentelemään kansallisten järjestelmiensä puitteissa luodakseen vahvat suojatoimet tämän valvontateknologian leviämisen ja väärinkäytön estämiseksi.

Kuwaitissa tieto- ja viestintätekniikan sääntelyviranomainen (CITRA) on julkaissut uuden lain henkilötietojen suojasta.