Legal Watch nro 78 – joulukuu 2024. 

Mitkä ovat tietosuojan näkymät vuonna 2025?

Uusi vuosi jatkuu Euroopan unionin "digitaalisen paketin" asteittaisella käyttöönotolla.mutta myös uutta lainsäädäntöä, jolla pyritään vahvistamaan henkilötietojen suojaa kyberuhkien aiheuttamien haasteiden edessä.

Tekoälyn yleistyessä yrityksissä voimme ennakoida päätöksenteon tuen siirtymistä kohti autonomisempia järjestelmiä, jotka jättävät vähemmän tilaa ihmisen harkinnalle. Tähän käyttöön liittyy riskejä tiedon laadun ja suojauksen kannalta.

Tekoälyasetus säätelee näitä uusia käytäntöjä, vaikka kaikkien sen säännösten soveltaminen on odotettava elokuuhun 2026 asti..

Kuten alla olevista uutisista näemme, sen täytäntöönpanosta on jo annettu ohjeita, kuten Euroopan tietosuojaneuvoston (EDPB) äskettäinen lausunto osoittaa.

Rekisterinpitäjien on myös otettava huomioon digitaalisten palveluiden asetus (DSA), jota on sovellettu 17. helmikuuta alkaen.mikä asettaa uusia velvoitteita, erityisesti läpinäkyvyyden, sisällön moderoinnin ja käyttäjien suojelun osalta.

Ranskan tietosuojavaltuutettujen yhdistyksen (AFCPD) mukaan nämä määräykset aiheuttavat päällekkäisyyksiä ja edellyttävät tietosuojavaltuutetuilta huomattavien vaikeuksien vuoksi yleiskuvan ylläpitämistä johdonmukaisen vaatimustenmukaisuuden varmistamiseksi. Yhdistys mainitsee esimerkkinä henkilöstöhallinnon tietojenkäsittelyn, joka voi siirtyä ei-arkaluonteisesta arkaluonteiseen luokkaan käytettyjen teknologioiden, kuten tekoälyn, mukaan.

"Nämä vuorovaikutukset herättävät perustavanlaatuisia kysymyksiä oikeudellisten velvoitteiden harmonisesta hallinnasta."

Turvallisuuden osalta eurooppalainen kyberturvallisuusasetus (Cyber Resilience Act, CRA) tuli voimaan 10. joulukuuta 2024, ja suurin osa sen säännöksistä tulee voimaan vuonna 2027.

CRA:n tavoitteena on vahvistaa kuluttaja- ja yritystietojen suojaa kyberuhilta. Tämä lainsäädäntö asettaa kyberturvallisuusarviointeja ja -tietoja koskevia velvoitteita verkkoon kytkettyjen tuotteiden valmistajille, kehittäjille ja jälleenmyyjille.

Samassa yhteydessä digitaalista operatiivista sietokykyä koskevaa eurooppalaista asetusta (Digital Operational Resilience Act, DORA) sovelletaan 17. tammikuuta alkaen..

Se asettaa tiukat vaatimukset rahoituslaitosten digitaalisen sietokyvyn varmistamiseksi ja tietotekniikkaan liittyvien operatiivisten riskien, erityisesti ulkoisiin toimittajiin liittyvien riskien, hallitsemiseksi.

Verkko- ja tietojärjestelmien turvallisuutta koskeva eurooppalainen direktiivi (NIS2) on periaatteessa ollut voimassa 17. lokakuuta lähtien, jolloin se olisi pitänyt saattaa osaksi Ranskan lainsäädäntöä.

Teksti laajentaa soveltamisalaansa verrattuna NIS1-direktiiviin ja kohdistuu erityisesti infrastruktuureihin ja yksiköihin, jotka ovat olennaisia taloudellisen ja yhteiskunnallisen toiminnan moitteettoman toiminnan kannalta sisämarkkinoilla.

Täydellisen vaatimustenmukaisuuden saavuttamiseksi on suunniteltu kolmen vuoden ajanjaksoa, mutta vähimmäisvaatimukset olisi otettava nopeasti käyttöön. Näitä ovat säännellyn yksikön rekisteröinti ANSSI:in, poikkeamista ilmoittaminen ja investointien osoittaminen turvallisuusratkaisuihin.

Koska täytäntöönpanolakia ei ole vielä hyväksytty, säänneltyjen yksiköiden tunnistaminen ja konkreettiset toimenpiteet ovat edelleen epävarmoja.

Useiden eurooppalaisten hankkeiden aikatauluun liittyy myös epävarmuutta: entä pitkään jatkunut ePrivacy-hanke?

Vaikka komissio julkaisi ensimmäisen asetusluonnoksensa tammikuussa 2017, prosessi odottaa parhaillaan Euroopan parlamentin kantaa ensimmäisessä käsittelyssä.

Tämä teksti herättää vilkasta keskustelua evästeiden suostumusperiaatteen soveltamisesta ja viestinnän luottamuksellisuudesta.

Meidän tulisi mainita myös Trumpin presidenttikauden mahdollinen vaikutus "tietosuojakehykseen" ja laajemmin Euroopan unionin ja Yhdysvaltojen väliseen tiedonvaihtoon.

Lopuksi GDPR:ään voitaisiin tehdä joitakin päivityksiä, erityisesti tiedonsiirtojen, tietosuojaviranomaisten koordinoitujen tutkimusten ja sen yhdenmukaistamisen (tulevan) sähköisen viestinnän tietosuoja-asetuksen kanssa osalta.

Viimeisenä muttei vähäisimpänä, todistamme kollektiivisen toiminnan kehittymistä EU:ssa: Kuten viime kuussa uutisoimme, kansalaisjärjestö noyb voi nyt nostaa ryhmäkanteita missä tahansa jäsenvaltiossa.

EU:ssa on tällä hetkellä 43 muuta oikeutettua yksikköä, mukaan lukien Irlannin kansalaisvapausneuvosto ja Suomen tietosuojavaltuutettu, joka toimii tällä hetkellä Euroopan tietosuojaneuvoston puheenjohtajana.

Noyb ilmoitti aikovansa nostaa ensimmäiset oikeustoimet vuonna 2025.

Oikeudenkäyntiriski, joka yritysten tulisi ottaa vakavasti.

 

      

Päätöksessä, joka julkaistiin virallisessa lehdessä 1. tammikuuta, CNIL on huolissaan France Travailin tietojärjestelmien suunnitelluista päivityksistä.

Joulukuun 2023 täystyöllisyyden laki tarjoaa uudistetun tukipolun työnhakijoille, joka perustuu erityisesti datan analysointiin ja sen jakamiseen monien alueellisten ja paikallisten organisaatioiden kanssa.

CNIL suosittelee riskeihin mukautettuja turvatoimenpiteitä.

CNIL valmistelee alihankkijoille GDPR-sertifiointia Sopivan kehyksen rakentamiseksi se avaa julkisen kuulemisen 28. helmikuuta asti.

Sertifioinnin tulisi auttaa rekisterinpitäjiä valitsemaan alihankkijoitaan "varmistamalla, että alihankkijan suorittama käsittely on arvioitu CNIL:n tunnustaman standardin kriteerien mukaiseksi".

Lehdistötiedotteessa, joka on päivätty 12. joulukuuta 2024, CNIL ilmoitti lähettävänsä verkkosivustojen julkaisijoille virallisen kehotuksen muuttaa harhaanjohtaviksi katsottuja evästebannereitaan.

Viranomainen muistuttaa käyttäjiä, että evästeitä saa asettaa vasta, kun he ovat antaneet suostumuksensa.

Lisäksi evästeiden hylkäämisen tulisi olla yhtä helppoa kuin niiden hyväksyminen.

On syytä muistaa, että useat tietosuojaviranomaiset, mukaan lukien Belgian viranomainen, ovat jo ottaneet tiukan kannan vaatimalla, että hyväksymis- ja hylkäysehdotusten on oltava samalla tasolla ja että niillä on sama näkyvyysaste.

Ranskan tietosuojaviranomainen CNIL määräsi 5. joulukuuta 2024 Kaspr-yritykselle 240 000 euron sakon. erityisesti siitä, että se oli kerännyt LinkedInissä sellaisten käyttäjien yhteystiedot, jotka olivat kuitenkin päättäneet rajoittaa näkyvyyttään.

Komissio määrää yrityksen poistamaan nämä tiedot tai, jos se ei onnistu, jos näitä tietoja, joiden näkyvyyttä on rajoitettu, ei voida erottaa muista tiedoista, ilmoittamaan käyttäjille "kolmen kuukauden kuluessa heidän tietojensa käsittelystä ja mahdollisuudesta vastustaa sitä".

Yhteystietojen laittoman keräämisen ja käsittelyn läpinäkyvyyden puutteen lisäksi CNIL arvostelee Kaspria myös tietojen säilyttämisestä viisi vuotta, mitä pidetään kohtuuttomana usein työpaikkaa vaihtaville ammattilaisille.

CNIL sakotti 14. marraskuuta televiestintäyhtiö Orangea 50 000 000 eurolla mainosten lisäämisestä sähköpostilaatikoihin. ja asensivat evästeitä käyttäjien laitteille ilman heidän suostumustaan.

Yhtiö määrättiin saattamaan toimintatapansa vaatimusten mukaisiksi tai sille määrättiin lisäsakko.

Ranska isännöi tekoälyn (AI) huippukokousta 10. ja 11. helmikuuta.

Tässä mielessä CNIL, Paris-Saclayn yliopisto ja Caen-Normandien yliopisto kokoavat asiantuntijoita ja tutkijoita yhteen 23. tammikuuta keskustelemaan tavoista estää disinformaatiota, petoksia ja yksityisyyden loukkauksia tekoälyä hyödyntäen.

Ranskan tekoälyobservatorio järjesti 11. joulukuuta myös tekoälyhuippukokousta varten seminaarin tekoälyn kehityksen vaikutuksista työhön ja työllisyyteen.

Keskusteluissa keskityttiin erityisesti tekoälyn tekemien päätösten selitettävyyteen liittyviin haasteisiin.

Tilintarkastustuomioistuin julkaisi 3. tammikuuta raportin terveydenhuollon laitosten IT-turvallisuudesta.

Hän huomauttaa, että "vuonna 2023 10 % Ranskan kyberhyökkäysten uhreista oli terveydenhuollon laitoksia. Heidän haavoittuvuutensa liittyy erityisesti heidän tietojärjestelmiensä lisääntyneeseen yhteenliitettävyyteen ulkomaailman kanssa ja krooniseen digitaalisen teknologian aliinvestointiin."

Näillä hyökkäyksillä voi olla vakavia vaikutuksia laitosten toimintaan ja potilashoitoon.

Viranomaiset reagoivat myöhässä rahoittamalla viisivuotisen ehkäisy- ja suojeluohjelman. Tätä vauhtia on pidettävä yllä.

Terveysministeriö on ilmaissut huolensa Doctolib-sovelluksen uuden ominaisuuden, "Terveys"-palvelun, kehityksestä. jossa ehdotetaan vakuutettujen henkilöiden lääketieteellisten tietojen keskittämistä.

Tämä ominaisuus näyttää kopioivan "Oma terveystila" -palvelua, joka on digitaalinen terveystietojärjestelmä, jonka valtio perusti 24. heinäkuuta 2019 annetulla lailla terveydenhuoltojärjestelmän organisoinnista ja muuttamisesta.

Kansalaisjärjestö noyb teki 12. joulukuuta valituksen ranskalaisesta sosiaalisen median alustasta BeReal. yrityksen käyttämien "pimeiden kuvioiden" vuoksi käyttäjän suostumuksen hankkimiseksi.

Kun käyttäjät avaavat sovelluksen, he kohtaavat ponnahdusikkunan, jossa heitä pyydetään sanomaan "kyllä" tai "ei" henkilötietojensa käytölle mainostarkoituksiin: jos käyttäjät napsauttavat "hyväksy", he eivät enää koskaan näe suostumusbanneria.

Jos he kuitenkin hylkäävät kohdistuksen, banneri näkyy joka päivä, kunnes he hyväksyvät sen.

 

Euroopan unionin toimielimet ja elimet

Euroopan tietosuojaneuvosto antoi 18. joulukuuta lausunnon tekoälymalleista. Tässä lausunnossa analysoidaan:

• Kuinka arvioida ja osoittaa tekoälymallin anonyymiys;
• Jos oikeutettu etu voi muodostaa oikeusperustan tekoälymallien kouluttamiselle tai käytölle;
• Seuraukset, kun tekoälymallia koulutetaan laittomasti käsitellyillä henkilötiedoilla.

Komitean mukaan tekoälymallin anonymiteettiä on arvioitava tapauskohtaisesti: on oltava käytännössä mahdotonta (”hyvin epätodennäköistä”) (1) tunnistaa suoraan tai epäsuorasti henkilöitä, joiden tietoja on käytetty mallin luomiseen, ja (2) poimia näitä henkilötietoja mallista kyselyiden avulla.

Tiedotteessa on luettelo tavoista osoittaa nimettömyys.

Oikeutetun edun osalta lausunnossa annetaan ohjeita tietosuojaviranomaisille sen arvioimiseksi, onko tämä oikeusperusta asianmukainen.

Lopuksi, kun tekoälymalli on kehitetty laittomasti käsitellyistä henkilötiedoista, tämä voi vaikuttaa sen käyttöönoton laillisuuteen, ellei mallia ole asianmukaisesti anonymisoitu.

Euroopan tietosuojavaltuutettu (EDPS) on tehnyt päätöksen, jonka mukaan Euroopan komissio on laittomasti kohdellut mainoksia Euroopan kansalaisiin näyttämällä heille heidän poliittisia mielipiteitään koskeviin "arkaluonteisiin" henkilötietoihin perustuen.

Valituksen tehnyt kansalaisjärjestö noyb kertoo, että verkkokeskustelujen valvontaa koskevan asetusluonnoksen ("Chat control") ympärillä käytyjen keskustelujen yhteydessä Euroopan komissio on nimennyt Alankomaat jäsenvaltioksi, johon se haluaa vaikuttaa poliittisesti.

Tätä varten hän julkaisi Twitterissä/X:ssä viestejä, joissa hän epäsuorasti mainosti tätä asetusta liberaaleille tai vasemmistolaisille käyttäjille.

 

Uutisia Euroopan unionin jäsenmaista.

Saksalainen autonvalmistaja Volkswagen joutui tutkinnan kohteeksi uudenvuoden aattona Spiegel-median paljastettua yrityksen, joka syytti sitä yli 800 000 eurooppalaisen ajoneuvon geolokaatiotietojen paljastamisesta julkisesti saataville.

Näiden tietojen avulla voitiin selvittää lähes 500 000 ajoneuvon sijainti 10 senttimetrin tarkkuudella.

Ranskassa yli 50 000 Volkswagen-, Audi-, Skoda- ja Seat-merkkisen ajoneuvon kerrotaan olevan kärsinyt.

Myös Saksassa Hampurissa toimiva palveluntarjoaja sai paikalliselta tietosuojaviranomaiselta 900 000 euron sakon henkilötietojen säilyttämisestä jopa viisi vuotta määräajan jälkeen.

APD:n mukaan "on mahdotonta hyväksyä, että digitaalialalla työskentelevät toimijat eivät ole kehittäneet johdonmukaista poistomenettelyä" (AFCDP:n mukaan).

Espanjassa APD antoi seuraamuksia autokorjaamolle, joka oli lisännyt asiakastiedostonsa WhatsApp-ryhmään, jolloin 150 asiakkaan tiedot (puhelinnumerot, nimet ja valokuvat) olivat kaikkien ryhmän jäsenten nähtävissä.

APD totesi GDPR:n 6(1) artiklan rikkomisen, joka edellyttää pätevää oikeusperustaa henkilötietojen käsittelylle, ja määräsi yritykselle 3 000 euron sakon.

Espanja on päättänyt kieltää Google Workspace for Educationin käytön kouluissa.

Päätös tehtiin Espanjan tietosuojaviranomaisen (APD) raportin perusteella, jossa todetaan, että kyseessä on "tunkeileva henkilötietojen kerääminen".

Tämä raportti on laadittu opetusministeriön pyynnöstä.

Irlannin tietosuojavaltuutettu (DPC) ilmoitti 17. joulukuuta määränneensä Metalle 251 000 000 euron sakon, koska se ei estänyt miljoonien Facebook-käyttäjien tietoja vaarantanutta tietomurtoa eikä dokumentoinut sitä riittävästi.

Kaksi päivää sen jälkeen, kun Euroopan tietosuojaneuvosto julkaisi tekoälyä koskevan lausuntonsa, Italian tietosuojaviranomainen määräsi OpenAI:lle 15 000 000 euron sakon 20. joulukuuta.

Hän uskoo, että yritys käytti internetin käyttäjien henkilötietoja ChatGPT:n kouluttamiseen "ilman riittävää laillista perustaa ja rikkoi avoimuuden periaatetta ja siihen liittyviä tiedonantovelvollisuuksia käyttäjiä kohtaan".

APD:n vuoden 2023 lopulla käynnistämä tutkimus paljastaa edelleen, että yritys ei tarjonnut riittävää iänvarmistusjärjestelmää estääkseen alle 13-vuotiaita käyttäjiä altistumasta sopimattomalle tekoälyn luomalle sisällölle.

Avoimen tekoälyn on myös käynnistettävä maassa viestintäkampanja eri medioissa lisätäkseen yleisön tietoisuutta ChatGPT:n toiminnasta ja muistuttaakseen heitä heidän oikeuksistaan.

Voimmeko edelleen käyttää OpenAI-mallia ja ChatGPT-rajapintaa omien generatiivisten tekoälypalveluidemme tarjoamiseen?

Italian päätös jättää kysymyksen avoimeksi täsmentämällä, että Irlannin viranomaisen on tehtävä siitä päätös GDPR:n 56 artiklan mekanismin mukaisesti.

Myös Italian tietosuojaviranomainen (APD) otti 13. marraskuuta kantaa alaikäisten kuvien julkaisemiseen Facebookissa ja muistutti, että molempien vanhempien suostumus oli välttämätön.

Tässä nimenomaisessa tapauksessa alle 14-vuotiaan lapsen isä oli jakanut kuvansa Facebookissa osoittaakseen samankaltaisuutensa velipuoleensa, joka myös esiintyi kuvassa.

Lapsen isästä eronnut äiti pyysi tuloksetta isää poistamaan kuvan Facebookista ja teki valituksen APD:lle.

Alankomaiden viranomaiset varoittivat myös kansallisarkistoa 6. joulukuuta julkaisemasta Alankomaiden sota-arkistoja verkossa.

Nämä asiakirjat sisältävät tiedostoja henkilöistä, joiden epäillään tehneen yhteistyötä miehittäjien kanssa toisen maailmansodan aikana, mukaan lukien arkaluonteisia tietoja, kuten uskontoa, poliittista kantaa, terveydentilaa tai etnistä alkuperää, joskus jopa elossa olevien ihmisten osalta.

Vaikka niillä on kiistaton arvo, APD:n mukaan tapa, jolla Kansallisarkisto haluaa julkaista tiedot verkossa, rikkoo arkistolakia ja GDPR:ää.

Siksi hän kehottaa valvomaan datan saatavuutta paremmin.

APD sakotti Netflixiä 18. joulukuuta, koska se ei ollut tiedottanut asiakkailleen asianmukaisesti heidän tietojensa käsittelystä vuosina 2018–2020.

Lisäksi Netflixin toimittamat tiedot olivat tietyiltä osin epäselviä.

Tästä syystä APD määräsi suoratoistopalvelulle 4 750 000 euron sakon.

Sittemmin Netflix on päivittänyt tietosuojaselostettaan ja parantanut tietojaan.

Ruotsissa APD sakotti vuokranantajaa 200 000 Ruotsin kruunulla (17 366 eurolla) kahdeksantoista kameran sijoittamisesta asuinrakennuksen yhteisiin tiloihin ja tietopyyntöön vastaamatta jättämisestä.

 

Marraskuussa julkaistu tutkimus ”Tracking Indoor Location, Movement and Desk Occupancy in the Workplace” analysoi työntekijöiden käyttäytymisen seuranta- ja profilointiteknologioita, joissa käytetään liiketunnistimia ja Wi-Fi-infrastruktuuria yrityksen tiloissa.

Tämä tutkimus keskittyy mahdollisiin vaikutuksiin työntekijöille Euroopassa ja tarkastelee Ciscon, Juniperin, Spacewellin, Locateen ja muiden vastaavien teknologiatoimittajien tarjoamia yleisimpiä ratkaisuja.

Cisco väittää käsitelleensä tähän mennessä 17 200 miljardia "sijaintitietoa", jotka on kerätty yli kolmen miljoonan wifi-tukiaseman kautta, jotka on asennettu 250 000 rakennukseen maailmanlaajuisesti.

Tutkimuksessa käsitellään lyhyesti, miten työntekijät vastustivat työnantajiensa liiketunnistimien asentamista (AFCDP:n kautta).

WhatsAppin vuonna 2019 aloittaman oikeusjutun jälkeen kalifornialainen tuomari julisti israelilaisen NSO Group -yrityksen, Pegasus-vakoiluohjelman luojan, syylliseksi hakkerointiin joulukuun lopussa.

Tämän alan vastustajat pitävät tätä päätöstä "historiallisena".

WhatsAppin johtajan Will Cathcartin mukaan ”NSO Group väittää palvelevansa hallituksia vastuullisesti, mutta olemme havainneet, että yli sata ihmisoikeusaktivistia ja toimittajaa joutui hyökkäyksen kohteeksi viime toukokuussa; näiden väärinkäytösten on loputtava.”

Yhdysvaltain hallitus paljasti joulukuun alussa, että Kiina oli hakkeroinut kahdeksan amerikkalaisen operaattorin palvelimet (mukaan lukien AT&T, Verizon ja Lumen Technologies).

Vakoilu koskee uutta RCS-formaattia tekstiviestien lähettämiseen iPhonen ja Android-älypuhelimen välillä.

Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvallisuusvirasto (CISA) ovat todenneet, että Microsoftin Salt Typhooniksi nimeämä hakkerointikampanja on yksi historian suurimmista tietomurroista.

Hakkerit saivat pääsyn puheluiden tallenteisiin, tiettyjen henkilöiden suoriin puheluihin ja jopa salaisiksi luokiteltuihin oikeuden määräyksiin.

Viranomaiset suosittelevat turvallisten ja salattujen viestintäsovellusten käyttöä yksityisen viestinnän paljastumisen estämiseksi.