Legal Watch nro 59 – toukokuu 2023.

Metasanktio: 1,2 miljardia euroa… ja mitä sitten?

Irlannin viranomaisen 12. toukokuuta Facebookin emoyhtiölle Metalle määräämä sakko on korkein tietosuojaviranomaisen koskaan määräämä sakko GDPR:n voimaantulon jälkeen. Asetus juhlii samaan aikaan viidettä soveltamisvuottaan.

Tämän päätöksen ytimessä on se, Facebook siirtää eurooppalaisten käyttäjiensä tietoja Yhdysvaltoihin, maahan, jonka ei enää katsota tarjoavan riittävää tietosuojan tasoa. Euroopan unionin tuomioistuimen 16. heinäkuuta 2020 antaman päätöksen (Schrems II -päätös) jälkeen.

Tämä uusi pakote on myös symboli tietosuojaviranomaisten välisestä yhteistyöstä, sillä Irlannin viranomaisen päätös on pitkän ja vaivalloisen menettelyn tulos, puhumattakaan köydenvedosta eurooppalaisten vastinviranomaisten kanssa.

APD:n oli näin ollen laajennettava päätöksensä soveltamisalaa ja määrättävä merkittävä sakko.

Kanteen alulle panneen kansalaisjärjestö NOYB:n ja sen puheenjohtajan Max Schremsin mukaan asiassa ei välttämättä ole mitään juhlittavaa.

Prosessi kesti kolme vuotta, ja sen aikana kansallinen viranomainen esti järjestelmällisesti prosessin eri vaiheissa. Prosessi johti yli kymmenen miljoonan euron oikeudenkäyntikuluihin… sakon osalta, joka menee Irlannin valtiolle.

 

Mitä konkreettisia seurauksia Metalle on?

Päätökseen sisältyy täytäntöönpanoaika: yhtiöllä on lokakuun puoliväliin asti aikaa lopettaa käyttäjiensä tietojen siirtäminen Yhdysvaltoihin.

Sen on myös poistettava kaikki jo siirretyt tiedot Yhdysvaltain datakeskuksistaan ennen marraskuun puoliväliä.

Vaikka yritys on uhannut lopettaa palveluidensa tarjoamisen Euroopassa, tämän ilmoituksen todennäköisyys on kyseenalainen, koska Eurooppa on sen suurin tulonlähde Yhdysvaltojen jälkeen, ja useita Euroopan alueelle sijaitsevia datakeskuksia on perustettu.

Yhtiö ilmoitti tekevänsä kansallisen valituksen Irlannin viranomaista vastaan ja hakevansa määräyksen lykkäämistä, kunnes kaikki oikeustoimet on käytetty loppuun.

Meta luultavasti pelaa ajanhukkaa ja luottaa uuteen transatlanttiseen sopimukseen, joka laillistaisi tiedonsiirrot Yhdysvaltoihin ennen syksyä.

On kuitenkin muistettava, että toisaalta uusi sopimus ei laillista aiempia siirtoja ja jo todistettuja lainrikkomuksia, ja toisaalta, että rima on korkealla tulevan transatlanttisen sopimuksen suhteen.

Nykyinen hanke on jo saanut voimakasta kritiikkiä Euroopan parlamentilta, eikä ole varmaa, kestääkö se Euroopan unionin tuomioistuimen tarkastelua.

 

Vaikutus GAFAM-järjestelmiin ja rekisterinpitäjiin yleensä

Yhdysvaltain valvontalait, jotka ovat Irlannin viranomaisen, Euroopan tietosuojaneuvoston ja Euroopan unionin tuomioistuimen päätösten perusta, aiheuttavat ongelman kaikille merkittäville yhdysvaltalaisille pilvipalveluntarjoajille, kuten Microsoftille, Googlelle tai Amazonille.

On huomattava, että asiaankuuluva Yhdysvaltain valvontalaki (FISA 702) on uudistettava joulukuuhun 2023 mennessä.

Vaikka useat eurooppalaiset valvontaviranomaiset ovat jo todenneet amerikkalaisten tiedonsiirtopalveluiden käytön laittomaksi, heidän päätöksiinsä ei liittynyt yhtä suurta sakkoa kuin Metalle määrätty sakko.

Tämä voisi kannustaa suuria amerikkalaisia teknologiayrityksiä ja kaikkia amerikkalaista alkuperää olevia "pilvi"palveluita käyttäviä tarkastelemaan käytäntöjään ja tekemään ainakin vaikutusanalyysin siirroista.

 

Tietosuojaviranomaisten olisi kuitenkin edelleen oltava riittävän varoittavia GDPR:n soveltamisessa.

Niitä arvostellaan nyt tehottomuudesta, kuten Irlannin kansalaisvapauksien neuvoston (ICCL) tuore raportti osoittaa.

Hänen analyysinsä osoittaa, että GDPR:ää sovelletaan harvoin Big Tech -yrityksiä vastaan.

Harvat merkittävät eurooppalaiset tapaukset olisivat johtaneet vakaviin täytäntöönpanotoimiin: "Euroopan tietosuojaneuvoston lopullisten päätösten rekisteri paljastaa, että suurin osa (64 %) vuoden 2022 lopussa tehdyistä 159 täytäntöönpanotoimenpiteestä oli pelkkiä varoituksia."

Tutkimus osoittaa odotetusti sormella Irlannin tietosuojavaltuutettua, sillä Euroopan tietosuojaneuvosto on kumonnut 75 viranomaisen EU-tapauksissa tekemää tutkintapäätöstä enemmistöäänestyksellä.

Oikeussuojakeinojen konteksti kehittyy kohti parempaa yksilöiden suojaa: eurooppalainen kollektiivisia oikeussuojakeinoja koskeva direktiivi on määrä panna täytäntöön tänä kesänä, ja se antaa eurooppalaisille käyttäjille uuden oikeussuojakeinon sallimalla heidän nostaa kollektiivisia kanteita GDPR-rikkomusten sattuessa kaikkialla Euroopan unionissa.

Alankomaissa, jossa tämäntyyppinen muutoksenhaku on jo sallittua, oikeustoimet ovat lisääntymässä.

Hollantilainen kuluttajaoikeusjärjestö Consumentenbond kokoaa parhaillaan hollantilaisia Facebook-käyttäjiä yhteen valittaakseen Euroopan unionin ja Yhdysvaltojen välisistä tiedonsiirroista.

Lopuksi, Euroopan unionin tuomioistuimen (Österreichische Post AG) äskettäinen päätös on avannut tietä "pienille vaatimuksille" yksityisyyden loukkausten osalta vahvistamalla, ettei henkisen vahingon vakavuuskynnystä vaadita. Tämä voisi antaa käyttäjille mahdollisuuden vaatia vahingonkorvauksia esimerkiksi Yhdysvaltojen suorittamasta joukkovalvonnasta.

Tämä johtaisi korvausvaatimuksiin, jotka ylittävät huomattavasti nykyiset rangaistukset.

 

Ja myös

     

• CNIL julkaisi 16. toukokuuta toimintasuunnitelman tekoälyjärjestelmien käyttöönotolle yksilöiden yksityisyyttä kunnioittaen.

Se aikoo laajentaa työtään lisättyjen kameroiden parissa ja laajentaa työtään generatiiviseen tekoälyyn ja laajoihin kielimalleihin (LLM) sekä johdettuihin sovelluksiin (mukaan lukien chatbotit).

Tämä työ auttaa myös valmistautumaan tekoälyä koskevan eurooppalaisen asetusluonnoksen voimaantuloon.

• CNIL on määrännyt DOCTISSIMO-yritykselle 380 000 euron sakon.

Komissio pani merkille useita GDPR:n puutteita, jotka koskivat erityisesti tietojen säilytysaikoja, terveystietojen keräämistä verkkotestien avulla, tietoturvaa ja evästeiden sijoittamista käyttäjien päätelaitteille.

• CNIL julkaisi vuoden 2022 toimintaraporttinsa 23. toukokuuta.

Siinä luetellaan kuluneen vuoden kohokohtia, mukaan lukien yritysten ja hallinnon tuen vahvistaminen, nuorten tiedotuskampanjat ja digitaalinen koulutus, valitusten käsittely ja sortotoimet.

• Valtioneuvosto on julkaissut verkkoon tallenteen 10. helmikuuta 2023 isännöimänsä keskustelupäivän keskusteluista, jotka järjestettiin yhdessä CNIL:n ja Alliance IHU Francen kanssa. Keskustelujen aiheena oli "Tekoäly ja big data, miten ne mullistavat huomisen lääketieteellisen tutkimuksen ja käytännön".

Se oli jatkoa valtioneuvoston elokuussa 2022 julkaisemalle tutkimukselle "Tekoäly ja julkinen toiminta".

• Pariisin muutoksenhakutuomioistuin totesi 23. huhtikuuta 2023 antamassaan päätöksessä, että WhatsApp-viestejä tulisi kohdella tekstiviesteinä, kun niitä vaihdetaan samoissa olosuhteissa.

Yrityksen ja entisten työntekijöiden välisen kiistan yhteydessä se päätti, että työnantaja voi käyttää WhatsApp-ryhmän määrittelemättömiä "henkilökohtaisia" viestejä entisten työntekijöiden työpuhelimissa.

 

Euroopan unionin toimielimet ja elimet

• GDPR:n viettäessä viisivuotista taivaltaan lukuisissa tutkimuksissa sen täytäntöönpanosta esitetään ristiriitaisia arvioita.

Kansalaisjärjestö noyb julkaisee aiheesta yleiskatsauksen 800 GDPR-tapauksesta, jotka se on jättänyt viimeisten viiden vuoden aikana tietosuojaviranomaisille. Näistä 86 %-tapausta odottaa vielä päätöstä.

Kansalaisjärjestö on tunnistanut yli 60 menettelyllistä ongelmaa, jotka haittaavat GDPR:n soveltamista.

Vaikka Metalle määrätty sakko on otsikoissa, kansalaisjärjestö uskoo, että tietosuojaviranomaiset eivät yleensä sovella GDPR:ää ajallaan.

• Future of Privacy Forumin (FPF) tekemän arvioinnin mukaan GDPR:n artiklan 25 "sisäänrakennettua yksityisyyden suojaa" koskevat rikkomukset ovat johtaneet suurimpiin sakkoihin.

Tutkimus perustuu yli 90 tapaukseen ja selittää, että "jotkut tietosuojaviranomaiset soveltavat 25 artiklaa ennen kuin muita GDPR-rikkomuksia tapahtuu tai jopa ennen kuin suunniteltu tietojenkäsittely tapahtuu".

• Euroopan tietosuojaneuvosto (EDPB) on juuri valinnut suomalaisen tietosuojavaltuutetun Anu Taluksen puheenjohtajakseen.

Uusi puheenjohtaja korvaa väistyvän puheenjohtajan Andrea Jelinekin ja johtaa komitean työtä seuraavat viisi vuotta.

• Euroopan tietosuojaneuvosto julkaisee kokoelman tapauksia, jotka koskevat GDPR:n 17 artiklan mukaista vastustamisoikeutta ja oikeutta tietojen poistamiseen. Se tarkastelee valikoimaa esimerkkipäätöksiä julkisesta rekisteristään.
• IAB Europen läpinäkyvyys- ja suostumuskehyksen ohjausryhmä on julkaissut viitekehyksensä version 2.2.

Tärkeimpiä muutoksia ovat oikeutetun edun oikeusperustan poistaminen mainonnan ja sisällön personoinnissa, loppukäyttäjille tarjottavien tietojen parantaminen ja palveluntarjoajien vaatiminen antamaan lisätietoja tietojenkäsittelytoiminnastaan.

• Kolmekymmentä eurooppalaista IT- ja kyberturvallisuusasiantuntijaa on kirjoittanut avoimen kirjeen EU-johtajille.

He ilmaisevat huolensa vakavista riskeistä, joita Euroopan komission ehdottama lasten seksuaalista hyväksikäyttöä koskeva asetus aiheuttaa kaiken viestinnän luottamuksellisuudelle ja turvallisuudelle sekä internetin ja tietoliikenteen ekosysteemin yleiselle terveydelle.

 

Uutisia Euroopan jäsenmaista.

• Saksan liittovaltion tietosuojaviranomainen (BfDI) on vahvistanut, että teknologisen kehityksen, kuten generatiivisen tekoälyn, tarkastelu tietosuojan näkökulmasta kuuluu sen toimialaan.
• Tanskan tietosuojaviranomainen on antanut rekisterinpitäjälle huomautuksen henkilötietojen jakamisesta Meta Irelandin kanssa varmistamatta ensin, että jälkimmäinen noudatti GDPR:ää siirtäessään tietoja Meta-alustoille Yhdysvalloissa.
• Korkean profiilin tietomurtoskandaalin ja kansalaisjärjestö noybin tekemän valituksen jälkeen Maltan tietosuojaviranomainen (DPA) määräsi C-Planetin noudattamaan tietopyyntöä ja paljastamaan hallussaan olevien henkilötietojen lähteen. Tässä tapauksessa tiedot olivat paljastuneet osana tietomurtoa, joka koski 335 000 saaren äänestäjän poliittisia mielipiteitä.
• Hollannin kuluttajaliitto on nostanut ryhmäkanteen Googlea vastaan käyttäjien sijainnin, verkkoselaamisen ja sovellusten käytön seuraamisesta ilman pätevää suostumusta. Googlen odotetaan korvaavan kaikille käyttäjille, jotka ovat käyttäneet sen palveluita 1. maaliskuuta 2012 jälkeen.
• Belgian tietosuojaviranomainen (APD) on määrännyt kiellon siirtää verotietoja Belgiassa asuvilta Yhdysvaltain kansalaisilta Yhdysvaltoihin. APD:n mukaan FATCA-sopimus, joka sallii tällaiset siirrot, ei ole GDPR:n mukainen, ja Belgian veroviranomaisen olisi pitänyt tehdä vaikutustenarviointi.
• Norjan tietosuojavaltuutettu on todennut, että autonvuokrausalustalla on GDPR:n 6(1)(f) artiklan mukainen oikeusperusta arvioida rekisteröidyn luottokelpoisuutta yrityksen taloudellisen riskin pienentämiseksi.
• Kroatian tietosuojaviranomainen (APD) määräsi velanperintätoimistoa vastaan tehdyn nimettömän valituksen jälkeen 2 265 000 euron sakon turvatoimien ja suostumuksen puutteesta sekä rekisterinpitäjän tiedonantovelvollisuuden rikkomisesta.
• Valituksen johdosta Itävallan tietosuojaviranomainen (APD) antoi 10. toukokuuta 2023 päätöksen kasvojentunnistusyritys Clearview AI:ta vastaan. Päätöksessä todettiin GDPR:n (artiklojen 5, 6 ja 9) rikkomuksia, määrättiin rekisterinpitäjä poistamaan valittajan tiedot ja nimeämään edustaja Itävaltaan asetuksen 27 artiklan nojalla.
• Tietosuojavaltuutetun toimisto (ICO) määräsi 15. toukokuuta TikTokille 12 700 000 punnan sakon useista tietosuojalainsäädännön rikkomuksista, mukaan lukien lasten henkilötietojen laittomasta käytöstä.

 

• Tekoälyn käyttö ammatillisessa kontekstissa on kasvava trendi. Esimerkiksi amerikkalainen asianajaja käytti ChatGPT:tä etsiäkseen oikeustapauksia oikeudenkäyntikirjelmää varten, ja ainakin kuusi mainituista oikeustapauksista oli olemattomia – tyypillinen esimerkki tekoälyhallusinaatiosta, jossa chatbotti keksii tietoa.

Tapausta johtava tuomari kirjoitti: ”Oikeus on ennennäkemättömän tilanteen edessä. Kantajan asianajajan jättämä hylkäämisvaatimusta vastustava valituskirjelmä on täynnä viittauksia olemattomiin tapauksiin.” Asianajaja pyysi anteeksi ja häntä odottaa nyt kurinpitokuulustelu.

• OpenAI:n toimitusjohtaja Sam Altman todisti Yhdysvaltain kongressille 16. toukokuuta.

Myönnettyään, että tekoäly voi mahdollisesti "mennä pieleen", ja ilmaistuaan halunsa tehdä yhteistyötä hallituksen kanssa tämän estämiseksi, hän tarkensi lausuntojaan: ChatGPT-kehittäjä uskoo, että on tärkeää sallia yritysten ja avoimen lähdekoodin projektien kehittää tiettyjä malleja "merkittävän kapasiteettikynnyksen alapuolella" ilman raskaita sääntelyjä tai mekanismeja, kuten lisenssejä tai auditointeja.

• Yhdysvaltain kongressi julkaisi 23. toukokuuta raportin nimeltä "Generative Artificial Intelligence and Data Privacy: A Primer": raportti keskittyy kongressin kannalta merkityksellisiin yksityisyyden suojaa koskeviin kysymyksiin ja poliittisiin näkökohtiin.
• Myös tekoälyn alueella Electronic Privacy Information Center (EPIC) julkaisi raporttinsa nimeltä "Generating Harms – Generative AI's Impact & Paths Forward". Asiakirja kuroa umpeen yksityisyyden ja tekoälyn välistä kuilua mahdollisten haittojen näkökulmasta.
• Yhdysvaltain liittovaltion kauppakomissio on antanut biometristen tietojen keräämistä koskevan poliittisen lausunnon, joka ei ole jäänyt huomaamatta.

Virasto toteaa käyttävänsä asiantuntemustaan epäreiluissa käytännöissä biometristen tietojen haitallisen käsittelyn syytteeseenpanoon ja kehittää biometristen tietojen laajaa tulkintaa, mukaan lukien tiedot, kuten kasvokuva, vaikka niitä ei käsiteltäisiinkään kyseisen henkilön tunnistamiseksi.

• Washingtonin osavaltion oikeusministeri ilmoitti 18. toukokuuta, että Google maksaa osavaltiolle 39,9 miljoonaa dollaria harhaanjohtavista geolokaatiokäytännöistä.

Google aikoo myös toteuttaa useita uudistuksia lisätäkseen geolokaatioasetustensa läpinäkyvyyttä.

• Euroopan komissio on yhteistyössä ASEANin (Kaakkois-Aasian maiden liitto) kanssa julkaissut oppaan henkilötietojen siirrosta käyttäen näiden kahden järjestön hyväksymiä mallisopimuslausekkeita.

Opas julkaistaan kahdessa osassa: "Viiteoppaassa" vertaillaan ASEANin sopimuskeskuksia ja EU:n sopimuskeskuksia, ja "Täytäntöönpanooppaassa" esitetään molempien sopimuslausekkeiden vaatimukset täyttävien yritysten parhaat käytännöt.

• Iberoamerikkalaisten tietosuojaviranomaisten verkosto (”RIPD”) ilmoitti 8. toukokuuta koordinoivansa ChatGPT:tä koskevaa tutkintaa.
• Kiinan kyberavaruushallinto (CAC) julkaisi 11. huhtikuuta 2023 luonnoksen generatiivisten tekoälypalveluiden hallinnollisiksi toimenpiteiksi (”tekoälytoimenpiteiden luonnokset”).

Tämä hanke olisi linjassa Kiinan yleisen lähestymistavan kanssa datan sääntelyyn, kyberturvallisuuteen ja verkkosisältöön, jossa painotetaan vahvasti poliittisen ja sosiaalisen järjestyksen ylläpitämistä.

CAC julkaisi myös 30. toukokuuta ohjeet henkilötietojen vientiä koskevien vakiosopimusten rekisteröinnistä.

• Pakistanin tietotekniikka- ja televiestintäministeriö viimeisteli 23. toukokuuta lakiluonnoksen henkilötietojen suojaamiseksi.

Se tulee voimaan viimeistään kahden vuoden kuluttua sen julkaisemisesta, riippuen siitä, mitä liittovaltio päättää.

• Brasilian viranomaiset ovat määränneet estettäväksi Brasiliassa laajalti käytetyn Telegram-sovelluksen toiminnan väittäen, ettei se ole tehnyt riittävästi yhteistyötä uusnatsiryhmiä koskevassa tutkinnassa.

Oikeus määräsi Telegramin maksamaan noin 200 000 euron päiväsakon näiden tietojen toimittamatta jättämisestä. Hakemuksessa annettiin vaaditut tiedot vain osittain.