Legal Watch nro 61 – heinäkuu 2023.

APIt henkilötietojen jakamisen ytimessä.

Sovellusohjelmointirajapintoja, joita yleisesti kutsutaan "API:eiksi" viitaten niiden englanninkieliseen nimeen "application programming interface", käytetään usein helpottamaan tiedon jakamista julkisten tai yksityisten organisaatioiden välillä.

Lainsäätäjä tukee tätä tiedon jakamista, kuten Euroopan digitaalisen suvereniteettistrategia vahvistaa: sen tavoitteena on kehittää yhtenäiset tietomarkkinat "tukemalla vastuullista tiedonsaantia, jakamista ja uudelleenkäyttöä Euroopan unionin arvojen ja erityisesti henkilötietojen suojan mukaisesti".

Se täydentää eurooppalaista tekoälystrategiaa.

Jos API-rajapinnat integroivat tietosuojan jakamisjärjestelmän suunnitteluvaiheesta lähtien, ne voivat tarjota suotuisan teknisen kehyksen GDPR:n mukaisesti.

Siksi CNIL kannustaa niiden käyttöön 7. heinäkuuta hyväksymässään suosituksessa.

Hän korostaa erityisesti uudelleenkäytön riskeihin nähden oikeassa suhteessa olevan turvallisuustason ja välttämättömään minimiin rajoitetun tiedonjaon tärkeyttä.

Suositus kohdistuu kolmentyyppisiin toimijoihin: tiedon haltijoihin, API-hallintaan ja tiedon uudelleenkäyttäjiin.

Tiedon haltija on ominaista se, että se hallitsee tietoja teknisesti tai organisatorisesti.

API-hallintaohjelma on organisaatio, joka vastaa joistakin tai kaikista teknisistä komponenteista, joihin tiedon jakaminen perustuu.

Lopuksi, tietojen uudelleenkäyttäjä on organisaatio, joka aikoo käyttää tai vastaanottaa dataa API-rajapintojen kautta omaan käyttöönsä.

CNIL (Ranskan tietosuojaviranomainen) korostaa, että samalla organisaatiolla voi olla useita rooleja, kuten esimerkiksi silloin, kun rekisterinpitäjä kehittää itse API:n: hän on tällöin myös API:n ylläpitäjä ja hänen on noudatettava molempiin rooleihin liittyviä suosituksia. Siksi on tärkeää tunnistaa oma erityinen rooli API:n käytössä.

Jokainen luokka on suunnattu toimenpiteisiin, jotka mahdollistavat halutun turvallisuustason saavuttamisen ja tietosuojaperiaatteiden noudattamisen.

Sidosryhmiä kannustetaan yhteistyöhön näiden suositusten toteuttamiseksi käytännössä.                              

• Tiedon haltijoiden on kiinnitettävä erityistä huomiota uudelleenkäyttäjien tiedottamiseen, tietojen tarkkuuteen ja eheyteen sekä tietoturvallisuuteen (erottelu ja saatavuus, todennus, lokikirjaus).
• API-päälliköt keskittyvät dokumentointiin, tiedon minimointiin, tiedon jakamiseen liittyvien oikeuksien käyttämiseen ja tietoturvaan (viestintä, tietojärjestelmien tietoturva, lokien kirjaaminen).
• Uudelleenkäyttäjillä on erityisiä velvollisuuksia asianosaisten tiedottamisen, tiedon minimoinnin ja myös turvallisuuden (riskienhallinta, avainten suojaaminen, lokien kirjaaminen) suhteen.

Suositus käsittelee tiettyjä tiedon jakamisen tapauksia, esimerkiksi sosiaalisten verkostojen ja tutkijoiden välillä tai valtion datan avaamista.

Eri toimijoiden pätevyys ei ennalta määrää heidän asemaansa rekisterinpitäjänä tai henkilötietojen käsittelijänä GDPR:n tarkoittamalla tavalla.

Joitakin ohjeita voidaan kuitenkin vetää: rekisteröidyn vastuulla on yleensä tietojen jakaminen tietojenkäsittelyn yhteydessä, siltä osin kuin hän on vapaasti päättänyt käsittelyn tarkoituksista ja keinoista tai kun hän on ollut lain mukaan velvollinen toteuttamaan sen.

Uudelleenkäyttäjä on usein "vastaanottaja" GDPR:n merkityksessä.

API-hallinta puolestaan toimii alihankkijana eli tiedon haltijan ja/tai uudelleenkäyttäjän puolesta ja heidän ohjeidensa mukaisesti.

CNIL:n suosituksia täydennettäneen pian käytännön esimerkkien julkaisemisella komission verkkosivuilla.

 

Ja myös

• CNIL julkaisi 27. heinäkuuta pyynnön osallistua tekoälyyn liittyvään työhönsä.

Tässä tilaisuudessa hän antaa alustavan katsauksen työnsä edistymiseen tekoälyä koskevan toimintasuunnitelmansa julkaisemisen jälkeen 16. toukokuuta ja käynnistää pyynnön osallistua ajattelunsa pohjaksi ennen syksylle suunniteltuja ensimmäisiä julkaisuja.

• CNIL ehdottaa myös uutta "hiekkalaatikkoa" tukemaan kolmea tekoälyä (AI) hyödyntävää hanketta julkisten palvelujen hyödyksi.

Hankehaku on avoinna 30. syyskuuta 2023 asti.

• Osana mobiilisovelluksia koskevaa toimintasuunnitelmaansa CNIL julkaisee ja toimittaa julkiseen kuulemiseen luonnoksen suosituksesta, jonka tarkoituksena on selventää eri toimijoiden velvoitteita tässä ekosysteemissä, helpottaa heidän vaatimustenmukaisuuttaan ja edistää hyvien käytäntöjen käyttöönottoa.
• Yli kuusikymmentä eurooppalaista kansalaisjärjestöä kirjoitti 26. heinäkuuta Euroopan komissaari Thierry Bretonille ja pyysi selvennystä hänen viimeaikaisiin kommentteihinsa, joiden mukaan verkkoalustojen estäminen voisi olla sovellettava ja perusteltu toimenpide digitaalisten palveluiden lain (DSA) nojalla.

Nämä kommentit seurasivat tasavallan presidentin lausuntoja, joissa hän otti esiin mahdollisuuden estää pääsy sosiaalisen median alustoille yleisen järjestyksen häiriöiden yhteydessä.

Kansalaisjärjestöt uskovat, että nämä kommentit voisivat rohkaista hallituksia ympäri maailmaa mielivaltaisesti estämään verkkoalustoja.

He pyytävät Euroopan komissiota varmistamaan, että digitaalisten palveluiden sopimuksen täytäntöönpano ja soveltaminen jäsenvaltioissa ei johda näiden toimenpiteiden liian laajaan tulkintaan, joka olisi ristiriidassa sen sääntelytavoitteiden kanssa ja rikkoisi EU:n perusoikeuskirjaa.

• Valtioneuvosto päätti 26. kesäkuuta, että oikaisuoikeutta voidaan käyttää tietojen korjaamiseen henkilöllisyyden muutoksen jälkeen, mutta ei takautuvasti henkilöllisyyden muuttumista edeltävien asiakirjojen korjaamiseen: näitä aiempia tietoja ei voida itse asiassa pitää virheellisinä.
• Kansalliskokous hyväksyi yksimielisesti 28. kesäkuuta lakiesityksen digitaalisen enemmistön luomiseksi ja verkkovihan torjumiseksi.

Myös senaatti hyväksyi hankkeen yksimielisesti 29. kesäkuuta 2023.

Teksti asettaa digitaalisen täysi-ikäisyyden 15 vuoden ikään, josta alkaen alaikäinen ei enää tarvitse vanhempien suostumusta rekisteröityäkseen sosiaaliseen verkostoon.

 

Euroopan unionin toimielimet ja elimet

• Euroopan komissio hyväksyi 10. heinäkuuta päätöksensä EU:n ja Yhdysvaltojen välisen tietosuojakehyksen riittävyydestä ja totesi, että Yhdysvaltojen takaama suoja siirretyille tiedoille on verrattavissa EU:ssa tarjottuun suojaan.

Uusi kehys tuli voimaan 11. heinäkuuta.

Komission mukaan amerikkalaiset sitoumukset sisältävät "uusia sitovia takeita, joilla puututaan kaikkiin Euroopan unionin tuomioistuimen esiin nostamiin huolenaiheisiin, erityisesti rajoittamalla Yhdysvaltojen tiedustelupalvelujen pääsyä EU:n tietoihin siihen, mikä on välttämätöntä ja oikeasuhteista, ja perustamalla tietosuojatuomioistuimen".

Ei ole yllättävää, että Max Schrems katsoi uuden transatlanttisen henkilötietojen suojaa koskevan kehyksen olevan pitkälti kopio "Privacy Shield" -järjestelystä ja että hän aikoo riitauttaa päätöksen oikeudessa.

Euroopan tietosuojaneuvosto (EDPB) on puolestaan julkaissut tiedotteen asianomaisille yrityksille ja yksityishenkilöille.

• Euroopan komissio julkaisi 4. heinäkuuta ehdotuksensa asetukseksi, jossa vahvistetaan lisämenettelysääntöjä GDPR:n soveltamiseksi. Ehdotuksen tarkoituksena on varmistaa asetuksen johdonmukainen soveltaminen rajat ylittävissä tapauksissa.

Twitter-viestissä Euroopan tietosuojaneuvosto ilmaisi tyytyväisyytensä komission nopeaan vastaukseen sen selvennyspyyntöihin.

Ehdotettua asetusta kuitenkin kritisoivat jotkut kansalaisjärjestöt, jotka huomauttavat, että se saattaa rajoittaa kansalaisten osallistumista heidän tekemiinsä valituksiin tietosuojaviranomaisille tietojen väärinkäyttötapauksissa.

• Yhdistetyt laitteet, kuten valvontakamerat, jääkaapit ja älytelevisiot, voisivat pian tarjota paremman suojan kyberhyökkäyksiä vastaan.

EU-jäsenvaltiot ovat äskettäin sopineet yhteisestä kannasta edellä mainittujen digitaalisten tuotteiden turvallisuusvaatimuksiin.

Ehdotettu kyberturvallisuuslaki toisi mukanaan pakolliset vaatimukset laitteiden suunnittelulle, kehittämiselle ja tuotannolle.

• Euroopan unionin tuomioistuin otti 4. heinäkuuta 2023 antamassaan tuomiossa kantaa Metan ja Saksan kilpailuviranomaisen väliseen kiistaan.

EU-tuomioistuin totesi, että kilpailuviranomainen voi todeta yleisen tietosuoja-asetuksen rikkomisen ja korvamatta tietosuojaviranomaista sillä on edelleen vapaus tehdä omat johtopäätöksensä kilpailuoikeuden soveltamisen näkökulmasta.

EU-tuomioistuin huomauttaa myös, että Facebook todennäköisesti käsittelee käyttäjien toiminnasta saatuja "arkaluonteisia" tietoja ilman, että käyttäjä välttämättä on halunnut julkaista niitä, mikä sulkee pois suostumusta koskevan poikkeuksen.

Oikeus hylkäsi myös Metan vetoamisen sopimuksen täytäntöönpanon välttämättömyyteen ja oikeutettuun etuun sisällön personoinnin perustelemiseksi.

Lopuksi se huomauttaa, että Facebookin määräävä asema sosiaalisen median markkinoilla herättää huolta suostumuksen pätevyydestä ja että ylläpitäjän on näytettävä toteen, että suostumus on todella annettu vapaasta tahdosta.

Meta ilmoitti 1. elokuuta aikovansa muuttaa kohdennetun mainontansa oikeusperustaa Euroopassa: yritys pyytää käyttäjien suostumusta.

Tämä muutos on suora seuraus Euroopan tietosuojaneuvoston sekä kansallisten ja eurooppalaisten oikeusviranomaisten päätöksistä.

• EU:n tiedotusvälineiden vapautta koskevan asetusluonnoksen keskustelujen yhteydessä 80 kansalaisyhteiskunnan järjestöä, mediaorganisaatiota, kustantajaa ja lähetystoiminnan harjoittajaa sekä ammattiliittoa vaatii Euroopan parlamenttia kieltämään vakoiluohjelmien käytön toimittajia vastaan poikkeuksetta.
• Kansalaisyhteiskunnan ryhmät ja internet-asiantuntijat kirjoittivat 3. heinäkuuta myös komissaareille Jourovalle ja Reyndersille ilmaistakseen syvän huolensa Yhdistyneen kuningaskunnan hallituksen ehdottamasta tietosuoja- ja digitaalisen tiedon lakiesityksestä (DPDI), joka tekisi Yhdistyneestä kuningaskunnasta "vuotoventtiilin" ja heikentäisi Euroopan kansalaisten tietosuojaoikeuksia.

 

Uutisia Euroopan jäsenmaista.

• Belgian tietosuojaviranomainen (APD) katsoi, että apteekkarien yhdistys rikkoo muun muassa laillisuuden, käyttötarkoituksen rajoittamisen, tietojen minimoinnin, tarkkuuden ja säilytyksen rajoittamisen periaatteita säilyttämällä määräämättömän ajan tietoja, jotka liittyvät vanhan asetuksen nojalla määrättyihin kurinpitoseuraamuksiin.

Yhdistys sai 30 000 euron sakot.

• Belgian tietosuojaviranomaisen mukaan Yhdysvalloissa toimivaan rekisterinpitäjään, jonka toimintaan kuuluu konferenssien järjestäminen Euroopassa, sovelletaan GDPR:ää ja sen on muiden velvoitteiden ohella nimettävä edustaja Belgiaan.
• Latvian tietosuojaviranomainen (APD) katsoi, että yksilöllisen henkilötunnisteen käyttö ei riittänyt rekisteröidyn selkeään tunnistamiseen ja estämään kansallisen terveyspalvelujen tarjoajan laittoman erityistietoluokkien paljastamisen.

Lisäkriteerien, kuten asianomaisen henkilön nimen, käyttö oli välttämätöntä.

• Espanjan tietosuojaviranomainen (APD) on määrännyt 10 000 euron sakon vankilan vartijalle, joka otti kuvia vankilan valvontakamerajärjestelmästä ja levitti niitä WhatsAppin kautta rikkoen GDPR:n artiklaa 6.
• Italian tietosuojaviranomainen (APD) määräsi 22. kesäkuuta päivätyllä päätöksellä Italian moottoritieyhtiölle miljoonan euron sakon, koska se ei ollut yksilöinyt rooliaan rekisterinpitäjänä käteispalautuspalveluiden käytön yhteydessä.
• Islannin tietosuojaviranomainen (APD) on määrännyt Islannin kansallisen lääkärintarkastajan toimistolle noin 82 000 euron sakon useista GDPR-rikkomuksista Heilsuvera-verkkosivuston tietoturvaloukkauksen jälkeen. Verkkosivusto tarjoaa terveydenhuoltojärjestelmän ja reseptiportaalin.
• Tarkastettuaan neljä yritystä, jotka käyttivät Google Analyticsia verkkosivuillaan, Ruotsin tietosuojaviranomainen määräsi nämä yritykset lopettamaan työkalun käytön.

Kaksi yrityksistä sai hallinnollisen sakon, kun taas yksi lopetti työkalun käytön vapaaehtoisesti.

Tarkastukset tehtiin noyb-järjestön tekemien valitusten jälkeen, joissa yrityksiä syytettiin henkilötietojen laittomasta siirtämisestä Yhdysvaltoihin eurooppalaisen lainsäädännön vastaisesti.

• Edellä mainitun EU-tuomioistuimen päätöksen jälkeen Norjan tietosuojaviranomainen julisti Facebookin ja Instagramin käyttötottumuksiin perustuvan mainonnan laittomaksi.

Seuraavien kolmen kuukauden aikana tai kunnes se pystyy osoittamaan noudattavansa Norjan lakia, sosiaalisen median yritys ei saa enää käyttää tätä lähestymistapaa.

 

• Heinäkuun puolivälissä Valkoinen talo esitteli väliaikaisia toimenpiteitä vapaaehtoisten sitoumusten muodossa "tekoälyn turvallisen, varman ja läpinäkyvän kehittämisen ja käytön" varmistamiseksi.

Amazon, Anthropic, Google, Inflection, Meta, Microsoft ja OpenAI ovat sopineet priorisoivansa tekoälyjärjestelmien aiheuttamien yhteiskunnallisten riskien tutkimusta ja kannustavansa ongelmien ja haavoittuvuuksien löytämiseen ja raportointiin.

Joidenkin akateemisten asiantuntijoiden mukaan nämä sopimukset eivät kuitenkaan ole läheskään riittäviä.

”Yhdysvallat tarjoaa edelleen vapaaehtoisia toimenpiteitä, kun taas Euroopan unioni on hyväksymässä kattavimman tekoälylainsäädännön, jonka olemme tähän mennessä nähneet”, sanoi Brandie Nonnecke, Berkeleyn yliopiston Citris Policy Labin perustajajohtaja.

• Samaan aikaan Yhdysvaltain liittovaltion kauppakomissio (FTC) tutkii OpenAI:n ChatGPT:n toimintaa ja esittää yksityiskohtaisia kysymyksiä sen taloudellisista tuloista, mallien kouluttamisesta ja datan käsittelystä, turvallisuusriskeistä ja -menettelyistä, yksilöitä koskevan sisällön luomisesta, ulkoisista hyökkäyksistä LLM:n manipuloimiseksi ("prompt injections") ja henkilötietojen suojasta.
• OpenAI on lopettanut työkalunsa käytön ihmisen ja tekoälyn luoman tekstin erottamiseksi: "Tekoälyluokittelija ei ole enää käytettävissä 20. heinäkuuta 2023 alkaen sen alhaisen tarkkuuden vuoksi." Yritys jatkaa tutkimustaan tehokkaamman työkalun kehittämiseksi.
• Amazon on suostunut maksamaan yli 30 miljoonaa dollaria sopiakseen kaksi Yhdysvaltain kauppakomission (FTC) nostamaa oikeusjuttua, joissa Amazon loukkasi käyttäjien, mukaan lukien lasten, yksityisyyttä Alexa-ääniavustajansa ja Ring-ovikellokameroidensa kautta.

Amazonia syytettiin Ring-videotallenteiden ja Alexa-äänitallenteiden sekä niihin liittyvien geolokaatiotietojen säilyttämisestä useiden vuosien ajan ilman kuluttajien suostumusta ja huolimatta kuluttajien pyynnöistä poistaa nämä tiedot.

• Singaporen Infocomm Media Development Authority on ilmoittanut yhteistyöstä Googlen kanssa "tech sandbox" -aloitteen tukemiseksi.

Tämä aloite auttaa yrityksiä "suojaamaan käyttäjien yksityisyyttä ja tarjoamaan heille työkaluja, joiden avulla he voivat jatkaa tietojen käyttöä ilman kolmannen osapuolen evästeitä".

IMDA:n ja Googlen kumppanuus on avoin kaikille Singaporessa toimiville yrityksille.

• Etelä-Afrikan tietosuojaviranomainen antoi 3. heinäkuuta oikeus- ja perustuslaillisen kehityksen ministeriölle rikkomusilmoituksen ja 5 miljoonan randin (noin 240 000 euron) hallinnollisen sakon henkilötietojen suojaa koskevan lain (POPIA) noudattamatta jättämisestä.

Sääntelyviranomainen oli toukokuussa antanut kieltomääräyksen, jossa se pyysi ministeriötä uusimaan tiettyjä IT-tietoturvalisenssejä (virustorjunta, tunkeutumisenesto, SIEM) ja aloittamaan kurinpitomenettelyt kyseisiä virkamiehiä vastaan.

• Vietnamissa astui voimaan henkilötietojen suojaa koskeva asetus 1. heinäkuuta.

Siinä säädetään erityisesti tiedonsiirtojen vaikutustenarviointien suorittamisesta ja tietosuojavastaavan nimittämisestä arkaluonteisten tietojen käsittelyä varten.

• Meta-konsernin tytäryhtiöt Onavo ja Facebook Israel saivat 20 miljoonan Australian dollarin sakot 26. heinäkuuta Australiassa, koska ne eivät varoittaneet VPN-käyttäjiä riittävästi siitä, että heidän tietojaan kerättäisiin kaupallisiin tarkoituksiin.

Australian kilpailu- ja kuluttajansuojaviranomaisen (ACCC) määräämä pakote on suurin koskaan Australiassa määrätty yksityisyyden suojaan liittyvä pakote.