Legal Watch nro 80 – helmikuu 2025. 

Tiedonsiirrot Yhdysvaltoihin: heikentynyt lainsäädäntökehys.

Yhdeksäntoista europarlamentaarikkoa eri poliittisista ryhmistä pyysi 5. helmikuuta Euroopan komissiota tutkimaan, onko Atlantin yli tapahtuvaa tiedonsiirtoa säätelevä "tietosuojakehys" (DPF) edelleen käyttökelpoinen.

Kansalaisvapauksien, oikeus- ja sisäasioiden valiokunnan puheenjohtaja esitti hänelle samankaltaisen kysymyksen 6. helmikuuta.

Nämä kysymykset herättivät Donald Trumpin päätökset päättää kolmen demokraattiedustajaehdokkaan toimikaudet. Yksityisyyden ja kansalaisvapauksien valvontalautakunta (PCLOB), jolla ei enää ole toimintansa edellyttämää päätösvaltaisuutta.

PCLOB:ta pidettiin transatlanttisen sopimuksen yhteydessä olennaisena keinona kunnioittaa yksilön oikeuksia joukkovalvontaan liittyvissä asioissa.

Siitä lähtien amerikkalaiset tietosuojatakuut näyttävät yhä hauraammilta.

Euractivin 3. maaliskuuta julkaiseman artikkelin mukaan yksi PCLOB:n valituselimen, tietosuoja-asioiden tarkastustuomioistuimen, tuomareista on kadonnut verkkosivuston tuomariluettelosta ja erityisasianajaja on eronnut.

Lisäksi "jos Donald Trump ei erottanut tiedustelupalveluiden valvonnasta vastaavia päätarkastajia, hän erotti ainakin 17 muuta", ja myös "henkilöstöhallinnon toimiston" yksityisyyden suojayksikön jäseniä on kerrottu erotetuksi.

Lopuksi, Trumpin hallintoon liittyvä poliittinen ohjelma "Project 2025" uskoo, että tulevan presidentin tulisi tehdä tutkimus DPF:ää koskevasta "Bidenin" toimeenpanomääräyksestä ja "nollata Euroopan odotukset".

Tässä hankkeessa on myös tarkoitus keskeyttää säännökset, jotka kohtuuttomasti haittaavat tiedonkeruuta.

On syytä muistaa, että amerikkalaisia tiedustelupalveluja koskevien riippumattomien valvonta- ja muutoksenhakumekanismien puute oli syynä edellisen sopimuksen, Privacy Shield -sopimuksen, peruuttamiseen. 

Nämä eri tekijät eivät ennusta hyvää transatlanttisen sopimuksen elinkelpoisuudelle. Avoin kysymys on, milloin tilanne selkeytyy virallisesti.

Euroopan komissio pysyy toistaiseksi hiljaa, mutta sen odotetaan vastaavan parlamentin kysymyksiin ennen kuun loppua.

Euroopan unionin tuomioistuin, joka on jo asian käsittelyssä, voisi antaa päätöksen kahden aiemman päätöksensä mukaisesti, jotka mitätöivät "turvasatamaperiaatteet" ja "Privacy Shield" -periaatteet, mutta päätöksen päivämäärä on vielä tuntematon.

Entä tietosuojaviranomaiset?

Norjan tietosuojaviranomainen (Datatilsynet) antoi asiasta lausunnon 26. helmikuuta. Se toisti, että Euroopan komission päätös transatlanttisen kauppasopimuksen vahvistamisesta tietosuojan riittävyydestä on voimassa, kunnes Euroopan komissio tai Euroopan unionin tuomioistuin (CJEU) mahdollisesti kumoaa sen.

Tietosuojaviranomaiset ovat sidottuja näihin päätöksiin, eivätkä ne voi kieltää siirtoja, jotka tapahtuvat tietosuojan riittävyyttä koskevan päätöksen mukaisesti.

Nykytilanteessa APD kuitenkin neuvoo rekisterinpitäjiä kehittämään exit-strategian siltä varalta, että nykyinen kehys mitätöityy. koska muutos voisi tapahtua ilman siirtymäaikaa.

Ensimmäinen suositus rekisterinpitäjille on nykyään laatia kattava luettelo kaikista yrityksensä tekemistä tiedonsiirroista.

Tehtävä on vaikea, koska Yhdysvallat on nyt kaikkialla läsnä digitaalisessa maailmassamme, ja kuten herra Jourdain, siirrämme tietoja päivittäin tietämättämme.

On otettava huomioon Yhdysvalloissa selkeästi tunnistetut vastaanottajat, mutta myös esimerkiksi amerikkalaisten "pilvipalveluiden" käyttö Euroopan maaperällä sekä useat näyttö- tai yhteyspalvelut, kuten Googlen fontit, analytiikka tai kartat tai jopa Facebook: Euroopan unionin tuomioistuin tuomitsi päätöksessään T-354/22 Euroopan komission GDPR:n rikkomisesta järjestämänsä tapahtuman verkkoilmoittautumisen yhteydessä.

Etusivulla näkyvän ”Yhdistä Facebookiin” -linkin avulla se oli ”luonut edellytykset hakijan IP-osoitteen siirtämiselle Facebookille” ja siten Yhdysvaltoihin aikana, jolloin Privacy Shield -järjestely oli mitätöity.

Jos eurooppalaisia vaihtoehtoja on olemassa, ne voivat tarjota mielenkiintoisen ratkaisun.Viittaamme esimerkiksi eurooppalaiseen pilveen tai sertifioituun ranskalaiseen pilveen.

Seurantatyökalujen osalta CNIL on julkaissut luettelon anonyymejä yleisönmittaustyökaluja.

Tapauksissa, joissa siirto on edelleen välttämätön, viejän on turvauduttava työkaluihin, kuten vakiosopimuslausekkeisiin tai sitoviin yrityssääntöihin, ja tehtävä vaikutustenanalyysi dokumentoimalla tarkasti Atlantin yli viranomaisten suorittaman tietojen sieppauksen riskit ja tarjotut suojatoimet, mikä on erityisen vaikea tehtävä.

CNIL julkaisi 31. tammikuuta lopullisen version Euroopan unionin ulkopuolelle tehtävien tiedonsiirtojen vaikutustenarviointeja koskevasta oppaastaan.

Kuten norjalainen vastineensa, on todennäköistä, että se julkaisee suosituksia tulevasta kansainvälisestä kehityksestä.

 

  

Huumekaupan vastaiseen lakiehdotukseen on juuri tehty tarkistus, jonka tarkoituksena on pakottaa alustat toteuttamaan toimenpiteitä, jotka mahdollistavat lainvalvontaviranomaisten pääsyn tietoihin, erityisesti salattujen viestipalveluiden tietoihin.

Hallitukselle ja kansanedustajille osoitetuissa kommenteissa useat yritykset, kuten Apple, Amazon, Google ja Microsoft, vastustivat tätä tarkistusta viitaten Euroopan tietosuojaneuvoston (EDPB) ja Euroopan tietosuojavaltuutetun (EDPS) kantoihin päästä päähän -salauksen heikentämistä vastaan.

Ehdotusta käsitellään täysistunnossa, joka alkaa 17. maaliskuuta.

Tämä kehitys heijastelee vastaavia hallituksen aloitteita useissa Euroopan maissa sekä Yhdysvalloissa (ks. alla oleva kansallinen kehitys).

CNIL muistutti Qwant-hakukonetta sen GDPR:n mukaisista velvoitteista tietojen anonymisoinnin suhteen.

Qwant esitti yrityksen käyttämät tiedot Microsoftin ylläpitämän hakukoneen mainostilan myynnin yhteydessä anonyyminä. 

CNIL toteaa, että "huolimatta vuonna 2019 toteutetuista vahvoista varotoimista henkilöiden uudelleentunnistamisen välttämiseksi, siirretty tietojoukko johti GDPR:n ja erityisesti sen 12 ja 13 artiklan soveltamiseen".

Komissio katsoo, että kyseessä on alustava analyysivirhe toimitettujen tietojen luokittelussa ilman aikomusta kiertää GDPR:n säännöksiä, eikä siksi määrää seuraamuksia.

Komissio sakotti myös kiinteistönvälitystoimistoa 40 000 eurolla työntekijöidensä liiallisesta valvonnasta Time Doctor -ohjelmistolla, joka tallensi väitettyjä käyttämättömyysjaksoja ja ottivat säännöllisesti kuvakaappauksia tietokoneestaan.

Lisäksi työntekijöitä rekisteröitiin jatkuvasti.

CNIL kritisoi vastuuhenkilöä erityisesti vaikutustenarvioinnin puutteesta, käsittelyn oikeusperustan puutteesta ja tietojen minimoinnin periaatteen noudattamatta jättämisestä.

Se on myös julkaissut päivityksen tietosuojataulukoistaan ja vuoden 2024 yhteenvetomuistikot, joissa keskitytään tärkeisiin uusiin päätöksiinsä sekä kansallisen ja eurooppalaisen tietosuojaa koskevan oikeuskäytännön olennaisiin kohtiin.

 

Euroopan unionin toimielimet ja elimet

Digitaalisen oikeudenmukaisuuden toimivuustarkastusraportin julkaistun 3. lokakuuta 2024 jälkeen Euroopan komissio harkitsee digitaalisen oikeudenmukaisuuden sääntelyn (”digitaalisen oikeudenmukaisuuden laki”) kehittämistä kuluttajansuojaan liittyvien kysymysten ratkaisemiseksi verkkoympäristössä, kuten tilausten automaattisen irtisanomisen tai uusimisen sekä ilmaisten kokeilujaksojen muuntamisen maksullisiksi tilauksiksi.

Julkista kuulemista ja alustavaa vaikutustenarviointia valmistellaan tiettävästi.

Komissio on vihdoin päättänyt vetää pois ehdotuksensa sähköisen viestinnän tietosuoja-asetuksesta, jonka tarkoituksena oli nykyaikaistaa ja selventää nykyisen direktiivin velvoitteita ja samalla yhdenmukaistaa ne GDPR:n periaatteiden kanssa.

Teksti herätti kiistoja, erityisesti viestinnän luottamuksellisuuden periaatteisiin tehtävien poikkeusten laajuuden osalta.

Uusia lainsäädäntöehdotuksia on vireillä, ja niiden tarkoituksena on puuttua yksityisyyden suojaan liittyviin kysymyksiin ja erottaa kaupallinen valvonta valtion valvonnasta.

Myös tekoälyvastuudirektiivi, jonka tarkoituksena oli päivittää EU:n tuoteturvallisuussäännöt kattamaan tekoäly ja automaatio, on peruttujen lainsäädäntöehdotusten listalla.

Viime helmikuussa pidetyn Pariisin tekoälyhuippukokouksen päätelmiä toistaen Euroopan komission vuoden 2025 työohjelma korostaa kilpailukykyä ja sen nimenomaisena tavoitteena on edistää talouskasvua tukemalla innovointia.

Tekoälyasetuksen ensimmäiset säännökset, mukaan lukien kiellettyjä tekoälykäytäntöjä käsittelevä 5 artikla, tulivat voimaan 2. helmikuuta.

Kaksi päivää myöhemmin Euroopan komissio julkaisi ohjeet tekoälykäytännöistä, joita pidetään sopimattomina niiden eurooppalaisille arvoille ja perusoikeuksille aiheuttamien riskien vuoksi.

Useat tekoälyhuippukokoukseen osallistuneet tietosuojaviranomaiset antoivat yhteisen lausunnon pyöreän pöydän keskustelun jälkeen, jossa käsiteltiin luotettavien tiedonhallintakehysten luomista innovatiivisen ja yksityisyyttä suojaavan tekoälyn kehittämisen edistämiseksi. Lausunnossa korostettiin tarvetta integroida yksityisyyden suojan periaatteet tekoälyjärjestelmien suunnitteluvaiheesta lähtien ja ottaa käyttöön vankat sisäiset tiedonhallintakehykset.

Samaan aikaan Euroopan tietosuojaneuvosto ilmoitti 12. helmikuuta laajentavansa ChatGPT-työryhmänsä toimintaa tekoälyn soveltamiseen ja perustavansa "nopean toiminnan tiimin koordinoimaan tietosuojaviranomaisten toimia" tekoälyyn liittyvissä kiireellisissä arkaluonteisissa kysymyksissä.

Euroopan tietosuojaneuvosto ilmoitti maaliskuun alussa käynnistävänsä koordinoidun valvontatoimensa vuodelle 2025, joka koskee oikeutta tietojen poistamiseen.

Tämä toimi seuraa koordinoituja toimia, jotka koskevat pilvipalvelujen käyttöä julkisella sektorilla (2022), tietosuojavastaavien nimeämistä ja roolia (2023) sekä tiedonsaantioikeutta (2024).

Euroopan parlamentin tutkimuspalvelu julkaisi 26. helmikuuta tiedotteen algoritmisen syrjinnän estämisen ja erityisten tietoluokkien käsittelyn välisestä jännitteestä.

Asiakirjassa tunnistetaan tekoälyasetuksen ja GDPR:n yhteissoveltamiseen liittyviä epävarmuustekijöitä, jotka saattavat edellyttää lainsäädännön uudistamista tai lisäohjeistusta.

Euroopan unionin tuomioistuin antoi 27. helmikuuta tärkeän päätöksen automatisoidun päätöksen kohteena olevien yksilöiden oikeuksien laajuudesta.

Asiassa C-203/22 Dun & Bradstreet Austria tuomioistuin selventää, että yleisen tietosuoja-asetuksen 15(1)(h) artikla "tarjoaa rekisteröidylle todellisen oikeuden saada selvitys automatisoidun päätöksentekoprosessin taustalla olevan mekanismin toiminnasta, johon häneen on sovellettu, ja tuloksesta, johon päätös on johtanut" (57 kohta).

Suojattujen kolmansien osapuolten tiedot tai liikesalaisuudet eivät vapauta rekisterinpitäjää konkreettisten selitysten antamisesta: jälkimmäisen on "ilmoitettava nämä väitetysti suojatut tiedot toimivaltaiselle valvontaviranomaiselle tai tuomioistuimelle, jonka tehtävänä on punnita asiaan liittyviä oikeuksia ja etuja määrittääkseen rekisteröidyn yleisen tietosuoja-asetuksen 15 artiklassa säädetyn tiedonsaantioikeuden laajuuden" (kohta 67).

EU-tuomioistuin katsoi myös 13. helmikuuta, että valvontaviranomaisten ja tuomioistuinten on sakkojen määrää määrittäessään otettava huomioon se, että rekisterinpitäjä on osa Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 101 ja 102 artiklassa tarkoitettua yritystä.

Lisäksi niiden on perustettava sakkojen enimmäismäärä yrityksen liikevaihtoon eikä rekisterinpitäjän liikevaihtoon.

EU-tuomioistuimen julkisasiamies esitti 6. helmikuuta päätelmänsä EDPS v. SRB (C-413/23 P) -tapauksessa.

Tapaus koskee sitä, onko EU:n viraston, yhteisen kriisinratkaisuneuvoston, konsulttiyritykselleen Deloittelle toimittamat pseudonymisoidut tiedot Deloitten näkökulmasta henkilötietoja.

Yleiskokous keskittyy vastaanottajan käytettävissä oleviin kohtuullisiin keinoihin tunnistaa kyseiset henkilöt ja tulkitsee henkilötietojen käsitettä huomattavasti suppeammin kuin Euroopan tietosuojavaltuutettu ja Euroopan tietosuojaneuvosto. Lopullisen päätöksen odotetaan tapahtuvan ennen kesää.

 

Uutisia Euroopan unionin jäsenmaista.

Saksalaisen tuomioistuimen päätös (OLG Dresden/Saksa (Az.: 4 U 940/24) vahvistaa, että rekisterinpitäjät ovat vastuussa paitsi omista toimistaan myös alihankkijoidensa toimista.

Tuomioistuin korosti, ettei alihankkijaan luottaminen riitä tarkistamatta, kuten tässä tapauksessa, että hän on todella poistanut alihankinnan kautta saadut tiedot sopimuksen päättyessä.

Riittämättömän varmennuksen seuraukset voivat jatkua pitkään alkuperäisen tapahtuman jälkeen, kuten tässä tapauksessa tietovuodon aiheuttaneen tietomurron jälkeen, jota seurasivat oikeustoimet ja rekisterinpitäjän maineen vahingoittuminen.

Espanjassa APD sakotti matkapuhelinoperaattori Orangea 1,2 miljoonalla eurolla, koska se ei estänyt kaksoiskappaleen myöntämistä kolmannelle osapuolelle, joka käytti sitä kyseisen henkilön pankkitilin käyttämiseen.

APD katsoi, että toiminnanharjoittaja ei ollut toteuttanut asianmukaisia suojatoimenpiteitä.

Myös Espanjassa APD määräsi useita sakkoja osuuspankkiryhmä Caja Ruralille GDPR:n rikkomisesta tietomurron jälkeen, joka johtui riittämättömistä turvatoimenpiteistä ja IT-järjestelmän haavoittuvuudesta.

Tässä tapauksessa APD piti jokaista osuuskuntaryhmään kuuluvaa pankkia erikseen vastuullisena, vaikka kaikki käyttivät samaa IT-palveluntarjoajaa, ja määräsi seuraamuksia, jotka vaihtelivat 6 200 eurosta 400 000 euroon asiakasmäärän ja pankkien reaktionopeuden mukaan.

Kreikan tietosuojaviranomainen (APD) on tehnyt päätöksen, jonka tarkoituksena on helpottaa yksilön oikeuksien käyttöä Googlen kanssa.

Hän määräsi yrityksen poistamaan hakutuloksista henkilön nimellä näkyvät linkit ja määräsi Googlen muuttamaan poistopyyntömenettelyään sallimalla liitteet, tarjoamalla suorat yhteystiedot ja lopettamalla automaattiset vastaukset.

Alankomaissa kyberturvallisuusasiantuntijan (ja siviilitiedustelupalvelun entisen esimiehen) Bluesky-alustalla jakama kuvakaappaus paljastaa, että Google Analytics kerää tietoja työnhakijoista maan siviili- ja sotilastiedustelupalveluissa.

Tämä tieto johti siihen, että kansanedustaja pyysi sisäministeriltä selvennystä.

Puolan tietosuojaviranomainen (APD) on määrännyt verkkosivuston ylläpitäjälle 350 000 euron (1 527 855 zlotya) ja sen alihankkijalle 4 590 euron (20 037 zlotya) sakon tietoturvaloukkauksesta sen jälkeen, kun verkkosivuston virheellinen määritys johti 21 453 ihmistä koskeneeseen tietomurtoon.

Romaniassa Unicredit-yritys sai 15 000 euron (74 652 lein) sakot kahdesta sisäisiin sovelluksiin liittyvästä tietomurrosta.

Näitä ei ollut testattu ennen käyttöönottoa, ja tietosuojalainsäädännössä rangaistaan GDPR:n 25(1) artiklan noudattamatta jättämisestä, jossa määrätään sisäänrakennetusta tietosuojasta ("sisäänrakennettu yksityisyyden suoja").

Britannian hallituksen määräyksestä murtaa iCloud-salaus Apple on juuri vetänyt koko edistyneen turvaominaisuutensa pois Isosta-Britanniasta.

Määräys koski erityisesti vuonna 2023 käyttöön otettua ominaisuutta, jonka avulla iCloud-käyttäjät voivat valita kaikkien yrityksen pilveen tallennettujen tietojen päästä päähän -salauksen ja varmistaa, ettei mikään kolmas osapuoli, mukaan lukien Apple, pääse käsiksi tietoihin.

Yrityksellä oli valittavanaan salausominaisuuden poistaminen tai takaoven luominen, joka olisi vaarantanut salauksen kaikille käyttäjille maailmanlaajuisesti. Jälkimmäinen vaihtoehto oli Applen osalta suljettu pois.

Samaan aikaan Ruotsi vaatii myös takaportteja, minkä vuoksi Signal varoittaa, että se poistuisi maasta, jos tällainen lainsäädäntö hyväksyttäisiin.

Lisättäköön vielä, että Yhdysvallat pyrkii samaan tavoitteeseen eli salatun datan käyttämiseen 24. helmikuuta julkaistun Forbesin artikkelin mukaan.

 

Etelä-Korea on juuri hyväksynyt tekoälylain, joka tulee voimaan tammikuussa 2026.

Laki on yhdenmukainen eurooppalaisen tekoälyasetuksen kanssa: se tuo tekoälyyrityksille velvoitteita, erityisesti vaikutukseltaan korkean ja generatiivisen tekoälyn osalta, painottaen riskienhallintaa, käyttäjien suojelua ja läpinäkyvyyttä.

IAPP raportoi, että joukko Yhdysvaltain senaattoreita, jotka istuvat "senaatin tiedusteluvaliokuntaan", lähetti 5. helmikuuta Valkoiselle talolle kirjeen, jossa "ilmaisivat hälytyksensä äskettäin perustetun hallinnon tehokkuusministeriön (DOGE) yksityisyydelle ja kansalliselle turvallisuudelle aiheuttamista riskeistä".

Kirjeessä väitetään, että DOGE:n toimet voivat paljastaa luokiteltuja ja muita arkaluonteisia tietoja, vaarantaa kansallisen turvallisuuden ja loukata amerikkalaisten yksityisyyttä.

Useita oikeusjuttuja on parhaillaan vireillä koskien laitonta pääsyä näiden virastojen käsittelemiin tietoihin.

GAFAM:n hallussa olevien tietojen pyynnöt tiedustelupalveluilta ovat räjähtäneet viime vuosina.

Tämä käy ilmi Proton-yhtiön julkaisemasta tutkimuksesta, joka perustuu Applen, Metan ja Googlen vuosien 2014 ja 2024 avoimuusraportteihin.

Kuten 01net huomauttaa, Yhdysvaltain laki (FISA, Cloud Act) velvoittaa näitä yrityksiä vastaamaan viranomaisten pyyntöihin, jotka haluavat pääsyn puhelintallenteisiin, tekstiviesteihin, sähköposteihin tai pilvivarmuuskopioihin.

”Googlen, Applen ja Metan Yhdysvaltain viranomaisille viimeisten kymmenen vuoden aikana lähettämät pyynnöt käyttäjätietojen (kansallisuudesta riippumatta), kuten sähköpostien tai viestien, saatavuudesta ovat (…) kasvaneet näiden kolmen yrityksen osalta keskimäärin… 600:lla %.”

Malesian henkilötietojen suojaa koskevaa lakia on vahvistettu, jotta sääntelyviranomaisen valtuuksia voidaan merkittävästi lisätä ja yksilöiden oikeuksia vahvistaa.

Se toteutetaan kolmessa vaiheessa vuoden 2025 ensimmäisellä puoliskolla: 1. tammikuuta, sitten 1. huhtikuuta ja 1. kesäkuuta.

Useiden kansainvälisten mediakanavien, kuten Le Monden, France Infon ja ranskalaisen 8 PM -uutisohjelman, tekemä "seurantatiedostojen" tutkinta paljastaa seurannan laajuuden ja tiedonvälittäjien käsittelemien henkilötietojen yksityiskohdat.

Miljoonien käyttäjien paikannetut henkilötiedot kootaan usein epäselvissä olosuhteissa: esimerkiksi älypuhelimella verkossa pelaaminen sovelluksen avulla voi synnyttää datan siirtoa, kuten yhteysajat, älypuhelimen malli tai maantieteellinen sijainti. Nämä elementit on kerätty valtaviin tiedostoihin, joita myyvät välittäjät, kuten American Datastream Group.

Tähän uusimpaan tiedostoon sisältyy yli 47 miljoonaa ihmistä.

Kaikkien tiedot voivat joutua kosketuksiin, mutta myös diplomaattien, sotilashenkilöstön tai toimittajien tietojen kanssa.