Legal Watch nro 65 – marraskuu 2023.

Valitukset ja seuraamukset: mikä on tietosuojaviranomaisten toimintasuunnitelma vuodelle 2024?

GDPR:n voimaantulo on johtanut lisääntyneeseen tietosuojatietoisuuteen sekä rekisterinpitäjien että yksilöiden keskuudessa.

Tämä on johtanut kehitysaputoimistoille tehtyjen valitusten lisääntymiseen, joita joskus syytetään siitä, etteivät ne käsittele näitä valituksia riittävien resurssien puutteen vuoksi.

Vaikka Yhdistyneessä kuningaskunnassa "tietokomissaari" on päättänyt olla enää käsittelemättä tietyntyyppisiä valituksia, joita ei pidetä ensisijaisina, Euroopan unionissa viranomaisten on periaatteessa käsiteltävä kaikki valitukset, edellyttäen tietenkin, että ne ovat tutkittavaksi otettavia.

Näin ollen Norjan tietosuojavaltuutettu kumosi tietosuojaviranomaisen päätöksen lopettaa valitusasia lähettämällä rekisterinpitäjälle yksinkertaisen tiedotteen, velvoittaen rekisterinpitäjän arvioimaan käsittelyn laillisuutta ja korostaen, että tietosuojaviranomainen ei voi vapaasti valita, mitä tapauksia se tutkii tai ei.

Ranskassa CNIL otti vuonna 2022 käyttöön yksinkertaistetun seuraamusmenettelyn, jonka ansiosta se voi käsitellä tietyntyyppisiä valituksia nopeammin.

Nämä ovat tapauksia, joissa on vakiintunutta oikeuskäytäntöä, rajoitetun kokoonpanon aiemmin tekemiä päätöksiä tai tosiseikkoja tai oikeudellisia kysymyksiä, jotka osoittautuvat helposti ratkaistaviksi.

Menettely on kirjallinen, mutta se antaa kyseiselle organisaatiolle mahdollisuuden tulla kuulluksi ja esittää suullisia huomautuksia.

Tässä kokoonpanossa seuraamukset ovat rajallisempia ja voivat sisältää varoituksen, määräyksen saattaa käsittely vaatimustenmukaiseksi – mukaan lukien enintään 100 euron sakko viivästyspäivää kohden – tai enintään 20 000 euron hallinnollisen sakon.

CNIL on juuri määrännyt kymmenelle yksityisen ja julkisen sektorin toimijalle yhteensä 97 000 euron sakot rikkomuksista:

• Velvollisuuteen vastata CNIL:n pyyntöihin;
• Tiedon minimointiin;
• Tiedot toteutetusta käsittelystä ja sen tarkoituksista;
• Velvollisuus kunnioittaa yksilöiden oikeuksia ja erityisesti vastata vastustamispyyntöön.

CNIL korostaa, että sen käsittelemistä valituksista erottuu erityisesti kaksi asiaa: maantieteellinen sijainti ja työntekijöiden jatkuva videovalvonta.

Suoritettu käsittely tapahtuu usein GDPR:ssä säädetyn tietojen minimoinnin periaatteen vastaisesti.

Komissio toteaa erityisesti, että "paikannustietojen jatkuva tallennus ilman, että työntekijöillä on mahdollisuutta pysäyttää tai keskeyttää laitteen käyttö taukojen aikana, on, ellei sitä ole nimenomaisesti perusteltua, liiallinen loukkaus työntekijöiden liikkumisvapautta ja yksityisyyden suojaa vastaan".

Sama pätee videovalvontajärjestelmiin, jotka kuvaavat jatkuvasti työntekijöitä heidän työpisteillään.

"Työtapaturmien ehkäisy ja todisteiden hankkiminen eivät oikeuta työasemien jatkuvan videovalvonnan toteuttamista", eivätkä kerätyt henkilötiedot vaikuta riittäviltä tai relevanteilta.

Työntekijöiden jatkuva valvonta on muutamia poikkeuksia lukuun ottamatta suhteetonta tavoiteltuihin tavoitteisiin nähden.

CNIL ilmoittaa aikomuksestaan tehostaa sortavaa politiikkaansa vuonna 2024 ja tehdä päätöksensä lyhyemmässä aikataulussa.

On huomattava, että Euroopan tietosuojaneuvoston jäseninä olevat tietosuojaviranomaiset ovat päättäneet Euroopan tason yhteistyönsä puitteissa asettaa yksilöiden oikeudet etusijalle ensi vuonna. Heidän koordinoidut toimintansa keskittyvät siihen, miten rekisterinpitäjät vastaavat yksilöiden pyyntöihin saada pääsy tietoihinsa. Tämä aihe tulisi sisällyttää CNIL:n tuleviin yksinkertaistettuihin seuraamusmenettelyihin.

 

  

• CNIL julkaisi 15. marraskuuta Viiteopas sosiaali- ja lääketieteellis-sosiaalialan yleisimpien hoitojen säilytysajoista ja käytännön opas, joka tarjoaa menetelmän asianomaisille ammattilaisille.
• Yhteistyössä Ranskan kilpailuviranomaisen (AdlC) ja Toulousen kauppakorkeakoulun kanssa CNIL järjestää 12. joulukuuta tapahtuman nimeltä "Tietosuoja ja kilpailu: yhteinen tavoite". Tässä puolen päivän mittaisessa sääntelyviranomaisille, tutkijoille ja ammattilaisille suunnatussa tapahtumassa AdlC ja CNIL hyväksyvät ja esittelevät yhteisen julistuksen.
• Ranskan tietosuojaviranomainen CNIL antoi 9. marraskuuta 2023 varoituksen muutos- ja julkishallinnon ministeriölle sekä talous-, valtiovarain- ja teollisuus- ja digitaalisen itsemääräämisoikeuden ministeriölle yli kahden miljoonan virkamiehen yhteystiedot viestiäkseen ja perustellakseen hyväksyttävän eläkeuudistushankkeen.

Ministeri oli käyttänyt ENSAP-alustaa, jolla on saatavilla virkamiesten luottamuksellisia asiakirjoja, kuten heidän kuukausittaiset palkkalaskelmansa. 

Rajoitettu CNIL-paneeli muistutti erityisesti, että ENSAP-alustaa ei voida käyttää poliittiseen viestintään.

• Perustuslakineuvosto arvostelee 16. marraskuuta päivätyssä päätöksessään matkapuhelimien etäaktivointi äänen ja kuvien tallentamiseen oikeudenkäytön suuntaa ja ohjelmointia koskevassa laissa säädetyn mukaisesti oikeuslaitoksen avaamista, nykyaikaistamista ja vastuuta koskevan orgaanisen lain osalta.

Neuvosto katsoo, että tämä etäaktivointi ilman, että tutkijoiden tarvitsee fyysisesti mennä yksityistiloihin valvontalaitteiden asentamiseksi, todennäköisesti loukkaa erityisen merkittävällä ja suhteettomalla tavalla oikeutta yksityiselämän kunnioittamiseen.

Hän korostaa myös, että tämä toimenpide mahdollistaa sekä tutkinnan kohteina olevien että kolmansien osapuolten valvonnan. 

Perustuslakineuvosto ei kuitenkaan tuomitse elektronisten laitteiden etäaktivointia maantieteellisen paikannuksen tarkoituksiin.

• Caenin hallinto-oikeus totesi 22. marraskuuta 2023 antamallaan väliaikaisella määräyksellä, että Briefcam-algoritminen videovalvontajärjestelmä Cœur Côte Fleurien kuntien välisen viranomaisen (mukaan lukien Deauville-Trouville) käyttämä ohjelmisto on vakava ja ilmeisen laiton yksityisyyden suojan loukkaus ja on määrännyt vastuussa olevat poistamaan ohjelmiston käytöstä aiheutuvat henkilötiedot.

Tuomari totesi, että käyttö oli minkään oikeudellisen tai sääntelykehyksen ulkopuolella, ja katsoi, että "ei ole osoitettu eikä edes väitetty, etteikö muita, yksityisyyttä vähemmän loukkaavia keinoja olisi voitu toteuttaa yleisen järjestyksen säilyttämiseksi".

• Kuuden organisaation, mukaan lukien La Quadrature du Netin ja EDRin, koalitio jätti 8. marraskuuta 2023 valituksen valtioneuvostolle Ranskan asetuksesta, jolla pannaan täytäntöön terroristisen sisällön levittämisen torjuntaa koskeva asetus verkossa.

He pyytävät valtioneuvostoa esittämään Euroopan unionin tuomioistuimelle ennakkoratkaisukysymyksen TERREG-asetuksen pätevyydestä Euroopan unionin oikeudessa suojattujen perusoikeuksien kannalta ja viittaavat sananvapauden ja verkossa tapahtuvan tiedonsaantioikeuden loukkauksiin.

 

 

Euroopan unionin toimielimet ja elimet

• Euroopan parlamentin ympäristövaliokunta ja kansalaisvapauksien valiokunta hyväksyivät kantansa 28. marraskuuta. eurooppalaisen terveystietoavaruuden luominen henkilökohtaisten terveystietojen siirrettävyyden ja turvallisemman jakamisen edistämiseksi.

Kansanedustajat haluavat erityisesti tehdä pakolliseksi saada potilailta nimenomainen lupa heidän terveystietojensa toissijaiseen käyttöön.

• Euroopan unioni on hyväksynyt eIDAS-asetuksen tarkistuksen, joka avaa tien mm. digitaalisen identiteetin käyttöönotto kaikkialla EU:ssa.

Jotkin näkökohdat ovat edelleen kiistanalaisia, erityisesti "hyväksytyt verkkotodennussertifikaatit" (QWAC), jotka edellyttävät selaimilta petosten ja identiteettivarkauksien estämiseksi tarkoitettujen valtion myöntämien juurisertifikaattien hyväksymistä. Jotkut kyberturvallisuusasiantuntijat pitävät näitä sertifikaatteja verkkotodennuksen tunkeutumisriskinä: selaintoimittajat eivät voisi hylätä QWAC-sertifikaattia, vaikka se olisikin tietoturvauhka.

• Vaikka Neuvottelut tulevasta tekoälyasetuksesta ovat käynnissä. Kirjoitushetkellä useita kysymyksiä on edelleen avoimia, mukaan lukien ChatGPT:n kaltaisten perustusmallien huomioon ottaminen säännöksissä.

Kansalaisyhteiskunnan kannanotto, joka välitettiin eurooppalaisille neuvottelijoille 16. marraskuuta, korostaa myös kysymystä tekoälyn poliisi-, maahanmuutto- ja kansallisen turvallisuuden tarkoituksiin käyttöön liittyvän suojan laajuudesta.

• Euroopan tietosuojaneuvosto (EDPB) hyväksyi 14. marraskuuta ohjeet sähköisen viestinnän tietosuojadirektiivin 5(3) artiklan teknisestä soveltamisalasta.

Valiokunta selittää, että Uusien seurantamenetelmien ilmaantuminen, joilla pyritään korvaamaan olemassa olevia seurantatyökaluja, kuten evästeitä, ja luomaan uusia liiketoimintamalleja, on tullut merkittäväksi huolenaiheeksi. tietosuojan näkökulmasta.

Ohjeet käsittelevät erityisesti "laitteen sormenjälkien ottoa" ja yleisimpiä tekniikoita, kuten URL- ja pikseliseurantaa, pelkästään IP-osoitteeseen perustuvaa seurantaa, esineiden internetin (IoT) raportointia ja yksilöllisiä tunnisteita.

• Euroopan tietosuojavaltuutettu (EDPS) julkaisi marraskuun puolivälissä "TechDispatch"-tiedotteen, joka oli omistettu selitettävissä oleva tekoäly ("selitettävä tekoäly") tekoälyn "mustan laatikon" vaikutuksen ratkaisemiseksi.

Se käsittelee läpinäkymättömien tekoälyjärjestelmien riskejä ja kuvaa, miten tekoäly voi yhdistää läpinäkyvyyden, tulkittavuuden ja selitettävyyden.

Euroopan tietosuojavaltuutettu julkaisi myös 8. marraskuuta tutkimuksen yksityisyyden kunnioittamista ja henkilötietojen suojaa koskevien perusoikeuksien ytimestä.

Tässä asiakirjassa tarkastellaan vaatimusta kunnioittaa näiden oikeuksien "keskeistä sisältöä" silloin, kun niitä rajoitetaan Euroopan unionin (EU) lainsäädännön nojalla.

• Euroopan unionin tuomioistuin selvensi 9. marraskuuta päivätyssä päätöksessään henkilötietojen tulkintaa.

Hän tunsi, että Ajoneuvojen tunnistenumerot eivät sinänsä ole henkilötietoja..

Niistä tulee kuitenkin henkilötietoja, kun niihin pääsyn omaava henkilö (luonnollinen henkilö) pystyy tunnistamaan ajoneuvon omistajan.

• Euroopan unionin tuomioistuin antoi 7. joulukuuta kaksi tärkeää päätöstä, jotka koskevat Saksan hallitsevaa luottotietopalvelujen tarjoajaa (”Schufa”).

Oikeus totesi erityisesti, että Automatisoitu luottokelpoisuuden arviointi ("pisteytys") on yleisesti kielletty GDPR:n 22 artiklan mukaisesti.

Hän lisää, että yritys, joka laatii luottoluokituksen automaattisesti, kuuluu edelleen 22 artiklan piiriin, vaikka toinen yritys käyttäisi kyseistä luokitusta tehdäkseen päätöksiä, joilla on (kielteinen) vaikutus kyseiseen henkilöön. – perustelut, joilla voisi olla vaikutusta tekoälyllä ohjattuihin järjestelmiin.

Tuomioistuin vahvisti myös, että kansallisilla tuomioistuimilla on laajat valtuudet valvoa tietosuojaviranomaisia.

• Euroopan ihmisoikeustuomioistuin julkaisi marraskuussa asiakirjan, jossa luetellaan sen oikeuskäytäntö henkilötietojen suojaan liittyen.
• Euroopan unionin kyberturvallisuusvirasto ENISA on julkaissut Kyberuhkien yleiskatsaus toimialoittain vuodelta 2023.

”Threat Landscape 2023” -raportin mukaan julkishallinto ja hallitukset ovat edelleen ensisijaisia kohteita, ja niitä seuraavat terveydenhuolto, valmistus, liikenne ja rahoitusala.

• Kansalaisjärjestö noyb teki 28. marraskuuta valituksen Metaa vastaan Itävallan tietosuojaviranomaiselle.

PITKÄ kiistää eurooppalaisille käyttäjille annetun "valinnan" joko suostumuksensa seurantaan personoitua mainontaa varten tai jopa 251,88 euron vuosittaisen maksun välillä "säilyttääkseen perusoikeutensa tietosuojaan Instagramissa ja Facebookissa." 

Samassa yhteydessä Euroopan kuluttajajärjestö (BEUC) teki 30. marraskuuta valituksen kuluttajansuojaverkostolle (CPC) väittäen Metan harjoittavan sopimattomia kaupallisia käytäntöjä.

Se arvioi myös, rikkooko Meta GDPR:ää.

• 110 kansalaisyhteiskunnan järjestöä vaatii EU:n päättäjiä hylkäämään meneillään olevan Eurodac-uudistuksen.

Turvapaikanhakijoiden tietojen keräämiseen ja tallentamiseen tarkoitettu tietokanta "muutettaisiin valvontatyökaluksi, joka kohtelisi suojelua hakevia ihmisiä rikosepäillyinä, mukaan lukien niinkin nuoret kuin 6-vuotiaat lapset, joiden sormenjäljet ja kasvokuvat integroitaisiin tietokantaan".

 

Uutisia Euroopan jäsenmaista.

• Belgiassa APD katsoi 23. marraskuuta työpaikkavalvontaa koskevassa tapauksessa, että jatkuva työn kameravalvonta ei ole mahdollisimman pienen tietojenkäsittelyn periaatteen mukaista.

APD:n riitojenratkaisuelin totesi, että kyseessä oli vakava rikkomus, mutta koska se koski pientä yritystä, se ilmoitti sille rikkomuksesta ja pyysi sitä saattamaan käsittelyn vaatimusten mukaiseksi määräämättä sakkoa.

• Tanskan tietosuojaviranomainen hylkäsi Kööpenhaminan kaupungin suunnitelman kehittää tekoälytyökaluja kuntoutusta tarvitsevien kansalaisten tunnistamiseksi, koska GDPR:n artiklan 6(1)(e) ja 6(3) tarkoituksiin vedottu kansallinen lainsäädäntö ei ollut riittävän täsmällinen tekoälyn käytön laajuuden suhteen.
• Saksan liittovaltion työtuomioistuin pani täytäntöön EU-tuomioistuimen päätöksen C-453/21 ottaen huomioon, että Tytäryhtiön yritysneuvoston puheenjohtaja oli erotettu perustellusti yritysryhmän tietosuojavastaavan tehtävästä heidän kahden roolinsa välisen eturistiriidan vuoksi.
• Alankomaissa virallinen kehitysapu määräsi 24. marraskuuta korjaavia toimenpiteitä työntekijävakuutuslaitokselle (Uitvoeringsinstituut Werknemersverzekeringen – UWV) 703 etuuksia saavan henkilön osalta.

Tämän vuoden alkuun asti UWV seurasi laittomasti näiden työttömyysetuuksia saavien ihmisten verkkokäyttäytymistä algoritmin avulla.

• Yleisen tietosuoja-asetuksen 60 artiklan mukaisen menettelyn yhteydessä Irlannin tietosuojaviranomainen (DPA) on antanut Airbnb Irelandille huomautuksen tietojen minimoinnin ja tallennusrajoituksen periaatteiden rikkomisesta. ja siitä, että hän on virheellisesti vedonnut yleisen tietosuoja-asetuksen 6(1)(f) artiklaan käsittelyn perusteena säilyttäessään rekisteröidyn henkilöllisyystodistuksia.
• Italian APD käynnisti marraskuun lopulla julkisilla ja yksityisillä verkkosivustoilla tutkimuksen varmistaakseen niiden käyttöönoton Asianmukaiset turvatoimenpiteet henkilötietojen massakeräyksen (verkkokaappauksen) estämiseksikolmansien osapuolten toimesta tekoälyalgoritmien kouluttamista varten.
• Berliinin alueoikeus arvioitu, että LinkedIn oli harjoittanut epäreiluja liiketoimintatapoja ja rikkonut GDPR:ää, koska se ei ottanut huomioon "Älä seuraa" (DNT) -parametrit vastustamalla käsittelyä ja valitsemalla etukäteen asetuksen "näkyvyys LinkedInin ulkopuolella", kun käyttäjät luovat tilin ensimmäistä kertaa.

Standardoinnin puutteesta huolimatta DNT:t edustavat tuomioistuimen mukaan tehokasta vastustusoikeutta tietojenkäsittelylle: toisin sanoen GDPR:n mukaista vastustusoikeutta voidaan käyttää myös automatisoiduilla keinoilla, kuten selainasetuksilla.

• G7-maiden digitaali- ja teknologiaministerit sekä OECD tapasivat virtuaalisesti 1. joulukuuta 2023 jatkaakseen keskustelujaan "Data Free Flow with Trust" (DFFT) -periaatteen toteuttamiseksi rajat ylittävien tietovirtojen helpottamiseksi.

Edistymistä ja seuraavia vaiheita kuvataan yksityiskohtaisesti verkossa saatavilla olevassa lehdistötiedotteessa.

• Suurimpien sosiaalisen median alustojen toimitusjohtajat Yhdysvaltain senaatin oikeuskomitean edessä 6. joulukuuta todistaakseen lasten seksuaalisesta hyväksikäytöstä ja yritysten väitetystä kyvyttömyydestä suojella lapsia alustoillaan.
• Australian hallitus on vastannut julkisesti 28. syyskuuta 2023 julkaistuun yksityisyyden suojaa koskevan lain tarkistusraporttiin ja vahvistaa sitoutumisensa Australian yksityisyyden suojaa koskevien standardien vahvistamiseen, jotta ne olisivat paremmin globaalien standardien mukaisia.

 

Useiden ehdotusten tarkoituksena olisi ottaa käyttöön lisäsuojaa lasten yksityisyyden suojaan.

• Elon Musk ilmoitti, että hänen tekoälyyn perustuva chatbottinsa Grok otettaisiin käyttöön joulukuun alussa.

Muskin tekoälyyrityksen xAI:n kehittämä chatbot on sovelluksen sisäinen ominaisuus X Premium+ -tilaajille.

• YouTube on julkaissut blogikirjoituksen, jossa hän ilmoittaa useista toimenpiteistä, joilla pyritään merkitsemään tekoälyn tuottamaa sisältöä ja torjumaan "deepfakeja".

Yhtiö aikoo ottaa käyttöön päivityksiä, jotka ilmoittavat käyttäjille, kun heidän näkemänsä sisältö on synteettistä.

YouTube pyytää siksi sisällöntuottajia ilmoittamaan, ovatko he luoneet realistista muokattua tai synteettistä sisältöä, mukaan lukien tekoälytyökaluja käyttäen.