Legal Watch nro 63 – syyskuu 2023.

Brexit: yleiskatsaus tietosuojaan.

Yhdistyneen kuningaskunnan erottua Euroopan unionista 31. tammikuuta 2020, kanaalin eri puolilla olevien tietosuojakehysten välillä on ilmennyt yhä merkittävämpiä eroja.

Maa soveltaa edelleen lakia, jolla GDPR on saatettu osaksi kansallista lainsäädäntöä, nimeltään "UK GDPR", ja 28. kesäkuuta 2021 lähtien Yhdistynyt kuningaskunta on hyötynyt riittävästä suojan tasosta, joka sallii tietojenvaihdon EU:n kanssa.

Tietosuojan riittävyyspäätös on voimassa 27. kesäkuuta 2025 asti, mutta sitä voidaan tarkistaa aiemmin, jos Yhdistyneen kuningaskunnan lainsäädäntö muuttuu merkittävästi ennen kyseistä päivämäärää.

Yksi kehitysaskeleista, jotka saattavat herättää Euroopan komissiossa kulmakarvoja, on Ison-Britannian tavoite tulla "datakeskukseksi", joka helpottaa kansainvälistä tiedonvaihtoa, sekä meneillään oleva luonnos "Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen" tarkistuksesta, jonka tavoitteena on helpottaa brittiläisten yritysten velvoitteita.

Yhdistynyt kuningaskunta virallisti 21. syyskuuta kesäkuussa Yhdysvaltojen kanssa tehdyn "datasillan".

Sopimus tulee voimaan 12. lokakuuta.

Iso-Britannia on myös tehnyt sopimuksia useiden maiden kanssa, joita EU jo pitää riittävinä: Kanadan, Israelin, Japanin, Uuden-Seelannin, Sveitsin ja Uruguayn.

Hänen prioriteettilistansa kohteet ovat myös Australia, Kolumbia, Dubai, Korean tasavalta ja Singapore.

Tämä kansainvälisen tiedonvaihdon helpottaminen herättää kysymyksen eurooppalaisten tietojen myöhemmistä siirroista, jotka Ison-Britannian läpi kuljettuaan päätyisivät myöhemmin maahan, jonka EU ei katso takaavan vastaavaa tietosuojaa.

Iso-Britannia on todellakin siirtymässä kohti pragmaattisempaa ja riskiin perustuvaa arviointia kolmansien maiden tarjoamista takuista.

Näiden tiedonsiirtoja koskevien aloitteiden rinnalla Yhdistynyt kuningaskunta valmistelee tietosuojaa ja digitaalista tietoa koskevaa lakiesitystä ("Data Protection and Digital Information (No. 2) Bill"), jonka tarkoituksena on korvata nykyinen Yhdistyneen kuningaskunnan GDPR.

Tämä teksti on jo käsitelty parlamentissa kahdesti viime keväänä, ja siitä on vielä keskusteltava kolmannessa käsittelyssä.

Hankkeessa säilytetään käyttötarkoituksen rajoittamisen periaatteen kunnioittaminen, mutta muutetaan sen soveltamisalaa: se sallii jatkokäsittelyn, kun tietoja on kerätty ilman suostumusta, esimerkiksi yleisen edun mukaisissa käyttötapauksissa.

Tämän säännön vaikutus evästeiden käyttöön ei ole vielä selvä, vaikka hallitus sanookin haluavansa rajoittaa ei-toivottuja "ponnahdusikkunoita", jotka pyytävät käyttäjän suostumusta.

Tieteellisen tutkimuksen määritelmää on päivitetty ja laajennettu, ja sen harjoittamisen edellytyksiä on lievennetty.

Tämä voisi auttaa yrityksiä käsittelemään tietoja helpommin kaupallisiin tarkoituksiin, sillä ne väittävät, että nämä kaupalliset käytännöt koostuvat teknologisesta tutkimuksesta ja kehityksestä. 

Hanke myös vähentää yrityksille asetettuja vaatimuksia tietojenkäsittelytoimien kirjaamisen ja ennakoivan valvonnan osalta, lukuun ottamatta niitä, joiden käsittely aiheuttaa suuria riskejä yksilöiden oikeuksille.

Tekstissä esitellään myös kehys "luotettavien ja turvallisten digitaalisten varmennuspalveluiden" käytölle, mikä näyttää vastaavan Euroopan unionin digitaalisen identiteetin hankkeeseen.

EU:n alueella toimiville yrityksille hallinnollisen taakan vähentämiseen tähtäävän uudistuksen hyödyt ovat jotkin rajalliset: niiden on esimerkiksi edelleen nimitettävä tietosuojavastaava, eivätkä ne voi hyötyä tiettyjen tietojen säilyttämiseen liittyvien sääntöjen lieventämisestä.

Suunnitelmaan sisältyy myös nykyisen sääntelyelimen, ICO:n, korvaaminen neuvostolla ja valtiosihteerin valtuuttaminen ohjaamaan laitoksen tiettyjä toimintoja nimeämällä strategisia prioriteetteja.

Riippumattoman tietosuojaviranomaisen olemassaolo on yksi keskeisistä tekijöistä, joita EU ottaa huomioon arvioidessaan uudelleen Yhdistyneen kuningaskunnan "olennaista vastaavuutta" sen tietosuojasääntöjen kanssa.

Tämä asia on herättänyt jo kysymyksiä Euroopan parlamentissa.

Laki voitaisiin hyväksyä ensi keväänä.

 

• CNIL sakotti 18. syyskuuta 2023 lentokuljetusyhtiö SAF LOGISTICSia 200 000 eurolla liikaa tietoja, mukaan lukien arkaluonteisia tietoja ja rikosrekisteriotteita, kerättyään työntekijöiltään.

Häntä rangaistaan myös siitä, ettei hän ole tehnyt riittävästi yhteistyötä CNIL:n yksiköiden kanssa.

• Syyskuun lopussa vietettiin Euroopan kestävän kehityksen viikkoa, joka tarjosi CNIL:lle tilaisuuden tiedottaa aiheeseen omistetusta kirjasestaan: siinä tarkastellaan tietosuojan, vapauksien ja ympäristön yhtymäkohtia: "Suojaako tietojen suojaaminen planeettaa? Ovatko vapautemme murroksessa? Pitäisikö meidän jakaa tietoja ympäristön suojelemiseksi?"

Asiakirja pyrkii vastaamaan näihin kysymyksiin ja ehdottaa suosituksia kahden tavoitteen yhteensovittamiseksi.

• CNIL julkaisi kesällä luonnoksen oppaasta julkisten tietojen uudelleenkäytöstä.

Oppaassa on otettu huomioon CNIL:n ja sen vastinelinten kanta sekä Ranskan ja Euroopan unionin tuomioistuinten päätökset, joita on rikastuttanut sarja kuulemisia eri toimijoiden kanssa, jotka ovat suoraan mukana kehittämässä lähestymistapoja julkisesti saatavilla olevan datan avaamiseen, jakamiseen ja uudelleenkäyttöön (institutionaaliset kumppanit, yhdistykset ja yritykset, asianajajat, tutkijat).

• CNIL (Ranskan tietosuojaviranomainen) määräsi 29. elokuuta Boursoraman noudattamaan GDPR:n määräyksiä, "erityisesti lopettamalla impots.gouv.fr-verkkosivuston kirjautumistietojen käsittelyn": Boursorama todellakin pyysi pääsyä impots.gouv.fr-verkkosivuston käyttäjätunnukseen ja salasanaan niiltä, jotka halusivat saada lainaa tai avata osakesäästösuunnitelman.

CNIL ilmoittaa, että yrityksellä on kaksi kuukautta aikaa noudattaa vaatimuksia.

• Mozilla käynnistää julkisen vetoomuksen reagoidakseen tulevaan SREN-lakiin, joka mahdollistaa "huijaussuodattimen" käyttöönoton internetissä.

Säätiö väittää vetoomuksensa otsikossa, että Ranska pakottaa verkkoselaimet "sensuroimaan verkkosivustoja".

Pakollinen mekanismi edellyttäisi välittäjiltä kaikkien asianmukaisten toimenpiteiden toteuttamista estääkseen internetin käyttäjiä pääsemästä haitallisiksi katsottuihin osoitteisiin vähintään seitsemän päivän ajan.

Periaatteessa säätiö pitää verkkopetosten torjuntaa kiitettävänä.

Hän kuitenkin kiistää tämän tavoitteen saavuttamiseksi valitut menetelmät, jotka luovat ennakkotapauksen, koska suodatusstrategiaa voitaisiin käyttöönoton jälkeen laajentaa muihin kysymyksiin.

 

 

Euroopan unionin toimielimet ja elimet

• Euroopan komissio julkaisee ohjeet uudesta eurooppalaisesta kyberturvallisuusdirektiivistä, NIS2:sta.

Tämä direktiivi asettaa turvallisuutta, poikkeamien ilmoittamista ja hallintaa koskevia velvoitteita eri kriittisten alojen toimijoille, mukaan lukien energia, liikenne, rahoitus, terveydenhuolto ja digitaalinen infrastruktuuri.

Nämä kaksi ohjeasiakirjaa auttavat määrittämään, sovelletaanko NIS2-vaatimuksia vai alakohtaisia vaatimuksia, ja niiden tarkoituksena on varmistaa, että rekisteröintivaatimukset ovat yhdenmukaiset koko unionissa.

• Euroopan parlamentin kansalaisvapauksien valiokunta aloittaa lokakuun aikana lasten suojelua internetissä koskevan asetuksen käsittelyn.

Tätä tekstiä kritisoidaan yhä ankarammin, erityisesti sen osalta, että se velvoittaisi suuret alustat skannaamaan ennakoivasti palveluidensa kanssa vaihdettua yksityistä sisältöä lapsipornografian havaitsemiseksi.

Monet kansalaisyhteiskunnan toimijat, kaikki eurooppalaiset tietosuojaviranomaiset ja myös EU:n neuvoston juristit uskovat, että asetus asettaisi "erityisen merkittäviä rajoituksia yksityisyyden suojaan" ja että on olemassa "vakava riski", että se on ristiriidassa EU:n keskeisten tekstien kanssa.

• Kyberturvallisuuskuukausi on Euroopan unionin tietoturvaviraston ENISAn tilaisuus julkaista suosituksia kiristysohjelmista.

Saatavilla olevien asiakirjojen joukossa on vinkkejä sähköalan toimijoille, jotka ovat hakkereiden ensisijainen kohde.

• CNIL:n jäsen, kansanedustaja Philippe Latombe, haastoi 7. syyskuuta Euroopan unionin tuomioistuimessa tietosuojalainsäädäntöä, joka on sallinut tiedonvaihdon EU:n ja Yhdysvaltojen välillä tästä kesästä lähtien.
• Latombe jätti kaksi valitusta, toisen sopimuksen välittömästä keskeyttämisestä ja toisen tekstin sisällöstä.

Hän pyytää tuomioistuinta keskeyttämään sopimuksen kiireellisesti vetoamalla vuoden 1958 eurooppalaiseen asetukseen, joka edellyttää, että yleisluontoiset eurooppalaiset tekstit on kirjoitettava neljällä virallisella kielellä, kun taas 10. heinäkuuta lähtien DPF on ollut olemassa vain englanniksi.

• Videoneuvottelutyökalujen käyttö herättää tietosuojaongelmia, erityisesti koska tietoja siirretään hyvin usein EU:n ulkopuolelle.

EU-tuomioistuin suoritti Cisco Webexin käyttöön liittyvän "siirtovaikutusten arvioinnin" ja asetti käsittelyn Euroopan tietosuojavaltuutetun (EDPS) hyväksynnän piiriin.

Euroopan tietosuojavaltuutetun päätös ja Euroopan unionin tuomioistuimen vaikutustenarviointi ovat hyödyllisiä lähteitä kaikille rekisterinpitäjille, jotka käyttävät näitä työkaluja ammatillisessa yhteydessä.

 

Uutisia Euroopan jäsenmaista.

• Belgian tietosuojaviranomainen (APD) hylkäsi valituksen 16. elokuuta huolimatta GDPR-loukkausten olemassaolosta.

Hän katsoi, että rikkomuksilla ei ollut ollut "merkittävää sosiaalista ja/tai henkilökohtaista vaikutusta" ja että valituksen tutkimiseen tarvittavat resurssit olisivat siksi suhteettoman suuria.

• Euroopan tietosuojaneuvoston sitovan riidanratkaisupäätöksen jälkeen Irlannin tietosuojavaltuutettu julkaisi lopullisen päätöksensä 1. syyskuuta ja totesi erityisesti, että TikTok rikkoi GDPR:n kohtuullisuusperiaatetta käsitellessään 13–17-vuotiaiden lasten henkilötietoja.

Rekisteröitymisikkunassa lapsia kannustettiin valitsemaan julkinen tili.

APD:n lopullisessa päätöksessä katsotaan, että oletusarvoiset julkiset asetukset olivat myös sisäänrakennetun ja oletusarvoisen tietosuojan, tietojen minimoinnin ja läpinäkyvyyden periaatteiden vastaisia.

Varoituksen ja vaatimustenmukaisuusmääräyksen lisäksi Irlannin tietosuojaviranomainen määräsi 345 miljoonan euron sakon.

• Ala-Saksin tietosuojaviranomainen on laatinut yhteistyössä kuuden muun tietosuojaviranomaisen kanssa oppaan Microsoft 365:n käytöstä ammatillisiin tarkoituksiin.

Viranomaiset suosittelevat, että vastuullisen osapuolen ja Microsoftin välille tehdään lisäsopimus, jonka on oltava etusijalla kaikkiin ristiriitaisiin sopimusteksteihin nähden.

Tämän sopimuksen tulisi erityisesti määrätä rekisterinpitäjän tarpeisiin mukautetuista poistoajoista, alihankkijoiden käyttöä koskevista tiedonantovaatimuksista sekä Microsoftin omiin kaupallisiin tarkoituksiin suorittamasta tietojenkäsittelystä.

• Italian tietosuojaviranomainen (APD) muistuttaa heinäkuun puolivälissä antamassaan markkinointitarkoituksiin tapahtuvaa tietojen käsittelyä koskevassa määräyksessä, että tietojen säilyttämisen rajoittamisen periaatteen vuoksi ei ole perusteltua säilyttää tietoja suostumuksen peruuttamispäivään asti.

Tämä muistutus sisältyy jo Euroopan tietosuojaneuvoston ohjeisiin 5/2020, joiden mukaan on otettava huomioon konteksti ja yksilöiden oikeutetut odotukset: on hyvä käytäntö vaatia uusi suostumus säännöllisesti.

• Italian korkein oikeus on vahvistanut italialaisen pankin työntekijän irtisanomisen laittomaksi laittoman sähköpostien valvonnan ja työntekijän laittoman valvonnan vuoksi.

Korkein oikeus totesi, että on tarpeen varmistaa oikeudenmukainen tasapaino yrityksen etujen ja omaisuuden suojelemisen vaatimusten, jotka liittyvät taloudellisen aloitteenvapauden turvaamiseen, sekä työntekijän ihmisarvon ja yksityisyyden suojelemisen välillä olosuhteista riippuen.

Kaiken vastaajan yrityksen kannettavan tietokoneen viestinnän valvonta oli perusteetonta, koska se oli summittaista ja rajoittamatonta, eikä kantaja ollut ilmoittanut vastaajalle kannettavan tietokoneensa viestinnän mahdollisesta valvonnasta eikä valvonnan luonteesta ja laajuudesta.

• Espanjan tietosuojaviranomainen (APD) määräsi 21. elokuuta julkaistussa päätöksessä rekisterinpitäjälle seuraamuksen GDPR:n 28(2) ja 28(3) artiklan rikkomisesta.

Tämä seuraamus määrättiin, vaikka rekisterinpitäjän ja alihankkijoiden välillä ei ollut sopimusta eikä rekisterinpitäjälle ollut ilmoitettu alihankkijoiden osallistumisesta tietojenkäsittelytoimintaan.

• Espanjan tietosuojavirasto (APD) julkaisee blogia digitaalisista valuutoista, jossa se käsittelee kryptovaluuttojen suurimpia riskejä: volatiliteettia, spekulaatiota, väärää saatavuustunnetta, turvallisuutta ja anonymiteettiä.
• Britannian vaalilautakunta ilmoitti 8. elokuuta joutuneensa tietomurron uhriksi.

Kyberhyökkäys ajoittuu elokuulle 2021 ja se havaittiin lokakuussa 2022.

Hakkerit, joiden henkilöllisyyttä ei ole vielä paljastettu, saivat käsiksi 40 miljoonan rekisteröityneen äänestäjän tietoihin vuosina 2014–2022.

• Britannian hallitus on lykännyt suunnitelmiaan heikentää verkkosalausta Online Safety Bill -lain avulla.

Tämän lakiesityksen tarkoituksena oli vaatia viestisovelluksia, kuten WhatsAppia, analysoimaan käyttäjiensä keskusteluja lapsipornografian varalta. Kiistanalaiset lausekkeet pysyisivät lakiesityksessä, mutta Britannian hallitus on todennut, ettei se pakota teknologiayrityksiä panemaan niitä täytäntöön.

• Brittiläinen tutkimusryhmä julkaisi elokuussa 2023 artikkelin kehittämästään tekoälystä (AI), joka pystyy tulkitsemaan salasanan yksinkertaisesti kuuntelemalla näppäimistön näppäinten tuottamia ääniä.

Tekoälyä koulutettiin yli 100 000 näppäinpainalluksen tietojoukolla, ja sitä testattiin onnistuneesti useilla laitteilla, kuten kannettavilla tietokoneilla, älypuhelimilla ja älykaiuttimilla.

 

• Kansainvälinen standardisoimisjärjestö (ISO) julkaisi hiljattain standardin ISO 22989:2022 – Tekoälyn käsitteet ja terminologia, joka määrittelee terminologian ja kuvaa käsitteitä tekoälyn alalla.

Tätä asiakirjaa voidaan käyttää muiden standardien kehittämiseen ja eri osapuolten tai sidosryhmien välisen viestinnän tukemiseen. Se soveltuu kaikentyyppisille organisaatioille (kaupallisille yrityksille, valtion virastoille, voittoa tavoittelemattomille organisaatioille).

• Metan kerrotaan valmistautuvan ottamaan käyttöön maksullisen tilauksen sosiaalisen median alustoilleen Instagramille ja Facebookille.

Wall Street Journalin mukaan käyttäjien, jotka eivät halua, että heitä seurataan räätälöityä mainontaa varten, tulisi maksaa 10–15 euroa kuukaudessa käytetystä laitteesta (älypuhelin, tietokone) riippuen.

• Biometrisellä tunnistuksella varustettu videovalvonta on Argentiinan skandaalin ytimessä: virheet, manipulointialtis järjestelmä, luvaton pääsy, läpinäkyvyystoimenpiteiden puute…

Seitsemänkymmentäviisi prosenttia pääkaupungista on videovalvonnan alla, mutta kasvojentunnistusjärjestelmää kritisoidaan sen jälkeen, kun ainakin 140 virhettä on johtanut poliisin tarkastuksiin tai pidätyksiin vuodesta 2019 lähtien.

Aktivistit päättivät haastaa kaupunginhallituksen oikeuteen ja huhtikuussa 2022 saivat järjestelmän deaktivoitua.

Siitä lähtien Buenos Airesin kaupunki on taistellut sen palauttamiseksi käyttöön.

• Indonesialainen tietoturvatutkija paljasti Twitterissä, että hakkeri on myynyt 10 000 dollarilla tiedoston, joka sisältää lähes 35 miljoonan passinhaltijan tiedot.

Hakkerin tiedetään jo varastaneen ja myyneen vuonna 2022 1,3 miljardin SIM-kortin tiedot Indonesian viestintä- ja tietotekniikkaministeriön palvelimilta. Hänen epäillään myös olevan vastuussa Indonesian sähköyhtiön 17 miljoonan asiakkaan henkilötietojen varastamisesta vuonna 2022 (AFCDP:n mukaan).

• Saudi-Arabia julkaisi syyskuun puolivälissä asetuksensa henkilötietojen suojaa koskevan lain täytäntöönpanosta sekä asetuksensa henkilötietojen siirrosta kuningaskunnan ulkopuolelle.
• Ruandan hallitus sääti 15. lokakuuta 2021 lain henkilötietojen ja yksityisyyden suojasta.

Hallitus on myöntänyt kahden vuoden siirtymäajan, jotta yksityishenkilöt ja organisaatiot voivat yhdenmukaistaa tietojenkäsittelytoimintansa lain kanssa. Tämä siirtymäaika päättyy 15. lokakuuta 2023.