Legal Watch nro 66 – joulukuu 2023.

GDPR-tapauskäytäntö: Keskeiset trendit vuodelle 2023

Sekä Ranskassa että Euroopan tasolla tietosuojaviranomaiset ja oikeuslaitokset tekivät vuonna 2023 lukuisia päätöksiä, joilla selvennettiin GDPR:n soveltamisedellytyksiä.

Euroopan tasolla merkittävimmät tietosuojaviranomaisten määräämät pakotteet koskevat kansainvälisiä teknologiayrityksiä sekä muutamia kansallisia yrityksiä.

Ne kohdistavat mainoksia erityisesti ilman käyttäjän suostumusta ja käyttäjien tiedottamatta jättämiseen.

• Irlannin tietosuojavaltuutettu määräsi 4. tammikuuta 2023 Meta Platforms Ireland Ltd:lle 390 miljoonan euron sakon henkilötietojen laittomasta käytöstä mainostarkoituksiin Facebookissa ja Instagramissa.

Se määräsi Metalle myös historiallisen 1,2 miljardin euron sakon toukokuussa 2023 laittomasta datan siirtämisestä Yhdysvaltoihin.

• Irlannin tietosuojaviranomainen (DPA) sakotti WhatsAppia 5,5 miljoonalla eurolla tammikuussa 2023 käyttäjien pakottamisesta suostumaan henkilötietojensa käyttöön "palveluiden ja turvallisuuden parantamiseksi".
• CNIL määräsi 15. kesäkuuta 2023 40 miljoonan euron sakon CRITEO-yritykselle, joka on erikoistunut verkkomainontaan, erityisesti siitä, ettei se ollut varmistanut, että henkilöt, joiden tietoja se käsitteli, olivat antaneet suostumuksensa.
• Italian tietosuojaviranomainen sakotti viime kesäkuussa telemarkkinointiyritys TIM SpA:ta 7,6 miljoonalla eurolla riittämättömästä valvonnasta ja väärinkäytöksistä puhelinkeskusten toiminnassa.

Ranskassa CNIL on ottanut käyttöön useita muita mainitsemisen arvoisia seuraamuksia. Komissio on keskittynyt erityisesti seuraaviin:

• Koska Clearview-yhtiön biometristen tietojen keräämiselle ei ole oikeusperustaa;
• Kerätyn tiedon minimoinnin periaatteen noudattamista koskeva kysymys, tässä tapauksessa geolokaatiotiedot Cityscoot-tapauksessa 16. maaliskuuta 2023;
• Tietojen säilytysajoista KG COM -tapauksessa 8. kesäkuuta 2023 ja Doctissimo-tapauksessa 11. toukokuuta 2023;
• Yksilöiden oikeuksien kunnioittamisesta Canal + (12. lokakuuta), Free (20. maaliskuuta) ja Criteo (15. kesäkuuta) -tapauksissa.

Tämän viimeisen kohdan osalta CNIL korostaa, että tiedot on toimitettava hakijalle ymmärrettävässä muodossa.

Hän huomauttaa myös, että tiedonsaantipyyntöön vastaamisen yhden kuukauden määräajan noudattamatta jättäminen on yleinen rikkomus.

On syytä muistaa, että yksilöiden oikeuksien käyttäminen on Euroopan tietosuojaviranomaisten koordinoimien tutkimusten teemana vuonna 2024.

Mainittakoon myös Ranskan tuomioistuinten ja lainkäyttöelinten oikeuskäytännön osalta useita viimeaikaisia videovalvontaa koskevia päätöksiä.

• Nizzan ja Lillen hallinto-oikeudet antoivat 23. ja 29. marraskuuta päätöksensä algoritmiseen kasvojentunnistukseen perustuvien videovalvontajärjestelmien asentaneiden kuntien hyväksi sillä perusteella, että näitä järjestelmiä ei ollut (vielä) täysin aktivoitu tai otettu käyttöön laajennettua videovalvontaa varten.
• Caenin hallinto-oikeus puolestaan katsoi 22. marraskuuta antamassaan väliaikaismääräyksessä päättäväisemmin, että Briefcam-algoritmiin perustuva videovalvontajärjestelmä loukkasi vakavasti ja ilmeisen laittomasti yksityisyyden suojaa.

Tuomari totesi, että käyttö oli minkään oikeudellisen tai sääntelykehyksen ulkopuolella, ja katsoi, että "ei ole osoitettu eikä edes väitetty, etteikö muita, yksityisyyttä vähemmän loukkaavia keinoja olisi voitu toteuttaa yleisen järjestyksen säilyttämiseksi".

Kysymyksen algoritmisen videovalvonnan käytön oikeusperustasta pitäisi tulla entistäkin kiireellisemmäksi tekoälyä koskevan eurooppalaisen asetuksen hyväksymisen myötä, joka sääntelee kasvojentunnistusta julkisissa tiloissa erityisen tiukasti (ks. alla olevat tiivistelmät).

Lopuksi, Euroopan unionin tasolla Euroopan unionin tuomioistuin on antanut useita päätöksiä, jotka selventävät erityisesti automatisoituun käsittelyyn sovellettavia periaatteita ja vahinkojen huomioon ottamista GDPR-rikkomuksissa:

• Euroopan unionin tuomioistuin antoi näin ollen 7. joulukuuta kaksi tärkeää päätöstä, jotka koskevat Saksan hallitsevaa luottotietopalvelujen tarjoajaa (”Schufa”).

Tuomioistuin totesi erityisesti, että automatisoitu luottokelpoisuuden käsittely (”pisteytys”) on yleisen kiellon alainen yleisen tietosuoja-asetuksen 22 artiklan nojalla.

Hän lisää, että yritys, joka laatii luottoluokituksen automaattisesti, kuuluu edelleen 22 artiklan piiriin, vaikka kyseessä olisi toinen yritys, joka käyttää tätä luokitusta tehdäkseen päätöksiä, joilla on (kielteinen) vaikutus kyseiseen henkilöön, ja että tällä perustelulla voisi olla vaikutusta tekoälypohjaisiin järjestelmiin.

• Vahingonkorvausten osalta tuomioistuin totesi 4. toukokuuta 2023 antamassaan Osterreichische Post AG -tuomiossa, että GDPR:n säännösten rikkominen ei riitä luomaan oikeutta korvaukseen laittomasta käsittelystä kärsineelle rekisteröidylle: rekisteröidyn on myös näytettävä toteen vahinko. Tämä vahinko on kuitenkin korvattava, vaikka se ei saavuttaisi tiettyä vakavuusastetta.
• EU-tuomioistuin tulkitsi 14. joulukuuta 2023 antamassaan tuomiossa henkistä vahinkoa laajasti.

Tuomioistuin täsmentää erityisesti, että pelko, jota henkilö kokee kolmansien osapuolten mahdollisesta henkilötietojen väärinkäytöstä GDPR:n rikkomisen jälkeen, on todennäköisesti itsessään henkistä vahinkoa.

Yhdessä Österreichische Post AG -päätöksen kanssa, jossa todetaan, ettei aineettomille vahingoille ole vähimmäiskorvauskynnystä, tämä päätös voisi edistää ryhmäkanteiden kehitystä Euroopassa.

On syytä muistaa, että Ranska on eurooppalaisten kumppaniensa tavoin saattamassa osaksi kansallista lainsäädäntöään 25. marraskuuta 2020 annettua direktiiviä kuluttajien yhteisten etujen puolustamiseksi nostetuista edustajakanteista.

 

   

• Joulukuun puolivälissä CNIL julkaisi tietosuoja-ammattilaisille tarkoitetut "Data Processing and Freedoms Tables" -taulukot.

Näissä taulukoissa on ryhmitelty ja luokiteltu tiivistelmiä lukuisista Ranskan ja Euroopan tuomioistuinten, mukaan lukien Euroopan ihmisoikeustuomioistuimen, Euroopan unionin tuomioistuimen, perustuslakineuvoston, valtioneuvoston ja kassaatiotuomioistuimen, päätöksistä.

Taulukot sisältävät myös tiettyjä Euroopan tietosuojaneuvoston ja CNIL:n päätöksiä, jotka keskittyvät uusien doktriinien tai periaatteiden luomiseen.

• Joulukuun puolivälissä CNIL julkaisi myös oppaan GDPR-tietoisuuden lisäämiseksi työterveys- ja työturvallisuuspalvelujen (SPST) vaatimustenmukaisuuden tukemiseksi.
• Euroopan tietosuojaneuvoston jälkeen on nyt kilpailun, kuluttaja-asioiden ja petostentorjunnan pääosaston vuoro julkaista sivu, jonka tarkoituksena on varoittaa kuluttajia "pimeistä kaavoista" eli tekniikoista tai prosesseista, joiden tarkoituksena on vaikuttaa internetin käyttäjien valintoihin ja saada heidät tilaamaan tuotteita tai palveluita, joita he eivät muuten olisi täysin valinneet.
• Sisäministeriö on juuri saanut päätökseen kyberrikollisuuden torjuntapalveluidensa uudelleenjärjestelyn.
• Uusi "sisäministeriön kyberavaruuden komento" (Comcyber-MI) perustettiin asetuksella 23. marraskuuta 2023, ja se koordinoi kaikkia ministeriön resursseja.
• Toinen asetus virallistaa uuden "kyberrikollisuuden vastaisen viraston" (OFAC) perustamisen, joka yhdistää poliisin sisällä kyberturvallisuuden torjunnasta vastaavan aliohjauksen ja entisen viraston, tieto- ja viestintätekniikkaan liittyvän rikollisuuden torjunnan keskusviraston (OCLCTIC).
• Lopuksi, kolmannella asetuksella virallistetaan kansallisen kyberyksikön perustaminen, joka liitetään kansallisen santarmiston pääosastoon.

Iliad, CMA CGM ja Schmidt Futures Groups ovat perustaneet voittoa tavoittelemattoman tekoälytutkimuslaboratorion nimeltä "Kyutai", jonka tavoitteena on ratkaista tekoälyn keskeisiä haasteita, kuten suurten multimodaalisten mallien kehittämistä ja uusien algoritmien keksimistä.

 

Euroopan unionin toimielimet ja elimet

• EU pääsi poliittiseen sopimukseen tekoälyasetuksesta 9. joulukuuta, ja sen odotetaan tulevan virallisesti voimaan vuoden 2024 alussa.

Väliaikainen sopimus kieltäisi esimerkiksi käyttäytymisen kognitiivisen manipuloinnin, kasvokuvien kohdentamattoman keräämisen internetistä tai valvontakameratallenteesta, tunteiden tunnistamisen työpaikoilla ja oppilaitoksissa, sosiaalisen pisteytyksen, biometrisen luokittelun arkaluonteisten tietojen, kuten seksuaalisen suuntautumisen tai uskonnollisten vakaumusten, päättelemiseksi sekä tietyt yksilöihin kohdistuvat ennakoivat poliisitoimet.

Sopimus sisältää useita poikkeuksia lainvalvontaviranomaisille ja maahanmuutolle.

• Euroopan tietosuojaneuvosto hyväksyi viimeisimmässä täysistunnossaan kirjeen, jossa vastineena annetaan Euroopan komission aloitteelle vapaaehtoisesta evästesitoumuksesta.

Komitea tukee yleisesti ottaen asiakirjaa ja suosittelee, että yritykset odottavat vuoden ennen suostumuspyyntöjensä uusimista, jos käyttäjä on kieltäytynyt tietojen keräämisestä. Tämä vähentää käyttäjien väsymystä ("evästeväsymystä"), joka toistuvien kyselyiden vuoksi johtaa siihen, että käyttäjät napsauttavat evästeitä sattumanvaraisesti sen sijaan, että tosiasiallisesti käyttäisivät oikeuksiaan.

• EU-tuomioistuin selvensi 7. joulukuuta 2023 antamassaan päätöksessä, että sakon määrääminen GDPR:n rikkomisesta edellyttää tahallisesti tai tuottamuksesta tehtyä rikkomista.

Se tarkentaa edelleen rekisterinpitäjän vastuun laajuutta ja pätevyyttä: tämä määritelmä voi siten kohdistua tahoon, joka on tilannut yritykseltä mobiilisovelluksen kehittämisen ja joka on tässä yhteydessä osallistunut käsittelyn tarkoitusten ja keinojen määrittämiseen, vaikka tämä taho ei itse olisi suorittanut käsittelytoimia, ei olisi nimenomaisesti antanut suostumustaan näiden toimien suorittamiseen tai sovelluksen asettamiseen yleisön saataville.

Se huomauttaa, että kahden yhteisön luokittelu käsittelyn yhteisrekisterinpitäjiksi ei edellytä näiden yhteisöjen välistä sopimusta käsittelyn tarkoitusten ja keinojen määrittämisestä eikä sopimusta, jossa vahvistetaan niiden vastuuseen liittyvät ehdot.

• EU-tuomioistuin totesi 21. joulukuuta, että GDPR:n 82 artiklan mukainen oikeus korvaukseen täyttää korvaavan tehtävän "siinä mielessä, että tähän säännökseen perustuvan rahallisen korvauksen on mahdollistettava kyseisen asetuksen rikkomisesta aiheutuneen todellisen vahingon täysimääräinen korvaaminen", eikä sillä ole pelote- tai rankaisevaa tehtävää.

Kyseisen vahingon aiheuttaneen rikkomuksen vakavuuden ei siis pitäisi vaikuttaa vahingonkorvauksen määrään.

• Microsoft on julkaissut uuden Outlook-version, jonka on tarkoitus korvata Windowsiin integroitu sähköposti- ja kalenteriohjelma vuonna 2024, mikä herättää huolta eurooppalaisten tietosuojaviranomaisten keskuudessa.

Microsoft voi käyttää sähköposteja ja liitteitä, kun käyttäjä lisää sovellukseen muun kuin Microsoftin sähköpostitilin kyseisen tilin IMAP- ja SMTP-tunnistetietojen kautta.

 

Uutisia Euroopan jäsenmaista.

• Vaikka Marie-Laure Denisin odotetaan nimitettävän uudelleen CNIL:n puheenjohtajaksi Elyséen marraskuun lopussa julkaiseman tiedotteen mukaan, Irlannin tietosuojavaltuutetun puheenjohtaja Helen Dixon ilmoitti LinkedInissä 15. marraskuuta 2023 eroavansa tehtävästään helmikuussa 2024 oltuaan virassa 10 vuotta.
• Italian tietosuojaviranomainen (APD) on määrännyt rekisterinpitäjälle 40 000 euron sakon kolmen entisen työntekijänsä sähköpostitilien käyttämisestä yleisen tietosuoja-asetuksen artiklan 5(1) ja 13 vastaisesti.

Viranomainen katsoi myös, että asunto-osakeyhtiön isännöitsijä oli rikkonut yleisen tietosuoja-asetuksen 5(1)(a) artiklaa ja 6 artiklaa asentamalla laittomasti videovalvontajärjestelmän ilman etukäteen tehtyä asunto-osakeyhtiöpäätöstä.

APD määräsi 1 000 euron sakon ja käsittelykiellon.

• Norjan tietosuojaviranomainen (APD) on määrännyt Norjan työ- ja hyvinvointihallinnolle (NAV) 1 754 678 euron (20 miljoonan Norjan kruunun) sakon ja antanut useita määräyksiä 12 rikkomuksesta, jotka katsottiin hallinnon tietoturva- ja IT-järjestelmien "vakavaksi ja pitkäjänteiseksi huolimattomuudeksi".
• Tanskan tietosuojaviranomainen (DPA) on antanut digitaalisen hallinnon virastolle huomautuksen JavaScriptin käytöstä tanskalaisen MitID:n, digitaalisen tunnisteen, yhteydessä.

Vaikka tämän ohjelmointikielen käyttöön liittyvät riskit ovat tiedossa, virasto käytti sitä tekemättä etukäteen riskinarviointia ja rikkoi siten muun muassa GDPR:n 32(1) artiklaa.

• New Scientist -lehdessä 18. joulukuuta julkaistussa artikkelissa mainitaan, että kuuden miljoonan tanskalaisen henkilötietoihin (lääketieteellisiin, ammatillisiin ja taloudellisiin tietoihin) koulutettu tekoäly pystyi ennustamaan kuolemanriskejä tarkemmin kuin olemassa olevat mallit, mukaan lukien vakuutusalalla käytettävät mallit.

Tämän teknologian takana olevat tutkijat sanovat, että sillä voisi olla myönteinen vaikutus sosiaalisten ja terveydellisten ongelmien varhaiseen ennustamiseen, mutta sen on pysyttävä poissa suuryritysten käsistä.

• Viime lokakuussa hyväksytyn verkkoturvallisuuslain, jota kansalaisyhteiskunta kritisoi viestinnän päästä päähän -salauksen vaarantamisesta, jälkeen Iso-Britannia valmistelee uutta kiistanalaista lakia tutkintavaltuuksista.

Politicon raportin mukaan suurin huolenaihe hankkeessa liittyy niin sanottuun "ilmoitusjärjestelmään": se antaisi sisäministeriölle mahdollisuuden vaatia yrityksiä ilmoittamaan sille suunnitelmista muuttaa palveluidensa tuotteita tai järjestelmiä, mikä voisi johtaa yritysten hallinnan menettämiseen omien tuotteidensa suhteen ja estää niitä esimerkiksi korjaamasta koodin haavoittuvuuksia, joita hallitus tai sen kumppanit haluaisivat hyödyntää.

Lakiesitys on tällä hetkellä mietintövaiheessa, ja seuraava istunto on määrä käsitellä 23. tammikuuta.

 

• 18 maan kyberturvallisuusvirastot sopivat 26. marraskuuta 2023 julkaistussa asiakirjassa tekoälyn "turvallisen sisäänrakennetun" mallin luomisesta: tekoälyä suunnittelevien ja käyttävien yritysten on kehitettävä ja otettava se käyttöön tavalla, joka suojaa asiakkaitaan ja suurta yleisöä väärinkäytöltä.

Tämän sitomattoman sopimuksen hyväksyivät Yhdysvallat, Kanada, Japani ja seitsemän EU-maata (Saksa, Viro, Ranska, Italia, Puola, Tšekki) sekä Norja ja Yhdistynyt kuningaskunta.

• Yhdysvalloissa Google suostui hieman ennen vuoden loppua sopimaan viiden miljardin dollarin ryhmäkanteen, joka koski sen Chrome-selaimen incognito-tilaa. Googlea syytettiin käyttäjien selaustietojen seuraamisen, keräämisen ja tunnistamisen jatkamisesta reaaliajassa, jopa uuden incognito-ikkunan avaamisen jälkeen.

Euractivin mukaan sopimuksen tarkat ehdot eivät ole vielä julkisia, mutta virallisen sopimuksen odotetaan toimitettavan tuomioistuimelle 24. helmikuuta mennessä.

• Kalifornian tietosuojavirasto CCPA on kannattanut lainsäädäntöehdotusta, joka velvoittaisi verkkoselainvalmistajia sisällyttämään selaimeensa ominaisuuden, jonka avulla ihmiset voivat käyttää oikeuksiaan "kieltäytymissignaalien" avulla.

CCPA huomauttaa, että monet selaimet vaativat tällä hetkellä kuluttajilta signaalin lähettämiseen kykenevän kolmannen osapuolen laajennuksen asentamista. 

Selaimet, jotka tukevat natiivisti kieltäytymisasetuksia, edustavat tällä hetkellä alle 10 % maailmanlaajuisista verkkoselainmarkkinoista.

• Yhdysvaltain liittovaltion kauppakomissio (FTC) ehdotti joulukuun lopulla uusia rajoituksia alle 13-vuotiaiden lasten tietoja kerääville yrityksille ja tiukempia standardeja näiden tietojen säilyttämiselle osana lasten yksityisyyden suojaa koskevan lain (COPPA) päivitystä.
• Myös Yhdysvalloissa on nostettu ryhmäkanne, jossa amerikkalaista sairausvakuutusyhtiötä Humanaa syytetään tekoälymallin virheellisestä käytöstä evätäkseen ikääntyneille välttämättömän kuntoutushoidon.