Legal Watch nro 87 – syyskuu 2025. 

 

Viisi vuotta Brexitin jälkeen: katsaus Yhdistyneen kuningaskunnan tilanteeseen.

Ison-Britannian erottua Euroopan unionista, Britannian tietosuojalainsäädäntö on hitaasti mutta varmasti etääntynyt eurooppalaisesta sääntelykehyksestä.

Vaikka kanaalin molemmin puolin on havaittavissa suuntaus standardien yksinkertaistamiseen, Yhdistynyt kuningaskunta on Euroopan unionia edellä.

Brexitin jälkeen vuoden 2018 tietosuojalakia (Data Protection Act 2018, DPA) muutettiin siten, että se täydentää edelleen "UK GDPR:ää", GDPR:n brittiläistä versiota, joka tuli voimaan 1. tammikuuta 2021.

Yhdistynyt kuningaskunta on myös ottanut käyttöön sähköisen viestinnän tietosuoja-asetuksen (Privacy and Electronic Communications Regulations, PECR), jolla pannaan täytäntöön eurooppalainen sähköisen viestinnän tietosuojadirektiivi.

Kesäkuun 19. päivänä 2025 hyväksytty datan käyttöä ja saatavuutta koskeva laki (DUAA) on merkittävä uudistus Yhdistyneen kuningaskunnan henkilötietojen käsittelyjärjestelmään.

Se muuttaa ja täydentää sekä Yhdistyneen kuningaskunnan yleistä tietosuoja-asetusta (GDPR), tietosuojalakia (DPA) että PECR-lakia, ja se edustaa strategista käännekohtaa, jossa Yhdistynyt kuningaskunta siirtyy pois perusoikeuskeskeisestä visiosta omaksumaan pragmaattisemman ja innovaatioita edistävämmän lähestymistavan.

Sen päätavoitteet ovat:

• Ehdottaa laajempaa oikeusperustaa "tunnustetuille oikeutetuille eduille" tietyille käsittelytoiminnoille, mukaan lukien arkistointi yleisen edun nimissä, yleinen turvallisuus tai verotus;
• Annetaan yrityksille mahdollisuus keskeyttää vasteaika tiedonsaantiin liittyviin pyyntöihin,
• Yksinkertaista evästeitä koskevia sääntöjä;
• Kansainvälisten tiedonsiirtojen helpottaminen;
• Kannustetaan digitaalisten palveluiden ja tekoälyn innovaatioita höllentämällä automatisoitujen päätösten kehystä;
• Sisäänrakennetun yksityisyydensuojan käyttöönotto lapsiin kohdistuvissa digitaalisissa palveluissa
• Digitaalisen identiteetin käyttöönoton mahdollistamiseksi
• Yksinkertaistetaan poliisia ja tiedustelupalveluja koskevia sääntöjä.

Jotkut kuitenkin huomauttavat näiden uudistusten riskeistä ja erityisesti yksilön oikeuksien heikkenemisestä.

Automatisoidun päätöksenteon alueella he viittaavat esimerkiksi vuoden 2020 "A-tason" -kokeen tulosten fiaskoon, jossa algoritmi antoi epäolennaisia arvosanoja, sekä työ- ja eläkeministeriön (DWP) petostentorjuntatyökalujen virheisiin, jotka aiheuttivat lukuisia vahinkoja asianosaisille.

Hallituksen lokakuun alussa julkistama digitaalisen identiteetin hanke on herättänyt protestien myrskyn, ja miljoonat Britannian kansalaiset ovat allekirjoittaneet vetoomuksen, jossa vaaditaan hankkeen vetämistä pois.

Britannian hallitus on jo useiden vuosien ajan pyrkinyt ottamaan käyttöön mekanismeja, jotka mahdollistavat pääsyn viestinnän salattuun sisältöön: julkinen keskustelu keskittyy kiistanalaisiin teknisiin lähestymistapoihin, kuten "asiakaspuolen skannaukseen".

On huomattava, että Euroopan unioni keskustelee parhaillaan aiheeseen liittyvästä aiheesta: lapsiin kohdistuvan seksuaalisen hyväksikäytön ehkäisemiseen ja torjumiseen tähtäävä CSAR-ehdotus on jälleen Eurooppa-neuvoston asialistalla 14. lokakuuta.

Tätä ehdotusta, joka mahdollistaa viestien skannaamisen käyttäjän päätelaitteella ennen niiden lähettämistä, pidetään monien tiedemiesten ja kansalaisyhteiskunnan keskuudessa sekä tehottomana että erityisen vaarallisena perusoikeuksien ja itse salauksen kannalta.

Euroopan unioni pyrkii myös tällä hetkellä yksinkertaistamaan dataa koskevaa sääntelykehystä "digitaalisen omnibus-paketin" avulla.

Komissio on käynnistänyt 14. lokakuuta päättyvän ehdotuspyynnön, joka kattaa datalainsäädännön osa-alueita, mukaan lukien evästeitä ja muita seurantateknologioita koskevat säännöt, kyberturvallisuuspoikkeamien ilmoittamisen sekä tietyt tekoälylain osa-alueet.

Tarkemmin ottaen GDPR:n osalta kyseessä on esimerkiksi rekisterinpitovelvollisuuden rajoittaminen yli 500 työntekijän organisaatioihin nykyisen 250 työntekijän rajan sijaan. Euroopan unioni ei tällä hetkellä kyseenalaista asetuksen keskeisiä periaatteita.

Molemmin puolin kanaalia ilmoitetut teollisuuden hyödyt liittyvät vaatimustenmukaisuuskustannusten alenemiseen.

Itse uudistuksen toteuttamisen kustannuksia, virheiden tai kiistojen kustannuksia ja kuluttajien luottamukselle aiheutuvia kustannuksia ymmärretään kuitenkin vähemmän hyvin. Tämä argumentti esitettiin myös Euroopan komission heinäkuun puolivälissä järjestämässä "täytäntöönpanodialogissa". Yksityinen sektori ilmoitti, että se oli "investoinut vaatimustenmukaisuuteen ja että yleinen uudelleenavaaminen voisi aiheuttaa epävarmuutta, erityisesti kansainvälisten tiedonsiirtojen yhteydessä".

Tällä hetkellä Britannian uudistusten hyöty-riskisuhde ja niiden vaikutus kansainvälisiin kumppanuuksiin ja ennen kaikkea Yhdistyneen kuningaskunnan EU-suhteissa olevan tietosuojan riittävyyspäätöksen ylläpitämiseen ovat edelleen epävarmoja.

Euroopan komission luonnos tietosuojan riittävyyspäätökseksi kuitenkin puoltaa Yhdistyneen kuningaskunnan suojan tason tunnustamista.

Se on kuitenkin toimitettava Euroopan tietosuojaneuvostolle lausuntoa varten ja siitä on keskusteltava neuvostossa.

Toivokaamme, että lopullinen päätös on erityisen avoin huomioon otettavien kriteerien suhteen, ottaen huomioon siitä johtuvat muutokset Britannian lainsäädäntöön.

Tämä vaikuttaa olennaisen tärkeältä, jotta tulevaisuudessa voidaan varmistaa riittävä oikeusvarmuus sekä eurooppalaisille yrityksille että EU:n ulkopuolelle sijoittautuneille yrityksille.

 

      

CNIL sakotti Samaritaine SAS -yritystä 18. syyskuuta 2025 100 000 eurolla kameroiden piilottamisesta myymälän varastoalueelle.

Nämä kamerat oli naamioitu savuilmaisimiksi ja ne pystyivät tallentamaan ääntä.

CNIL on muistuttanut, että työnantaja voi asentaa piilokameroita poikkeuksellisissa olosuhteissa ja edellyttäen, että tavoitellun tavoitteen (omaisuuden ja henkilöiden suojelu) ja työntekijöiden yksityisyyden suojan välillä löydetään oikeudenmukainen tasapaino.

Tällainen järjestelmä voitaisiin esimerkiksi hyväksyä edellyttäen, että se on väliaikainen ja otetaan käyttöön sen jälkeen, kun sen yhteensopivuus yleisen tietosuoja-asetuksen kanssa on dokumentoidusti analysoitu ja ottaen huomioon poikkeukselliset olosuhteet.

Tässä tapauksessa yritys raportoi reservaateissa tehdyistä varkauksista ja selitti, että järjestelmä oli väliaikainen, mutta se ei tehnyt aiempaa GDPR-vaatimustenmukaisuusanalyysia eikä dokumentoinut asennuksen väliaikaista luonnetta.

CNIL on myös julkaissut useita sisältöjä, jotka koskevat audiovisuaalisten ja videopelien ammattilaisten passiivisten tilien hallintaa, koulujen videolaitteita ja lasten maantieteellistä sijaintia.

Kansalliskokous hyväksyi kyberturvallisuuden sietokykyä koskevan lakiesityksen erityisvaliokunnassa 9. syyskuuta. 

Valiokunnan puheenjohtaja Philippe Latombe hyväksytti tarkistuksen, jolla pyritään kirjaamaan päästä päähän -salaukseen 16 a artiklaan: "Salauspalveluntarjoajia, mukaan lukien pätevät luottamuspalvelun tarjoajat, ei voida velvoittaa integroimaan teknisiä laitteita, joiden tarkoituksena on tahallisesti heikentää tietojärjestelmien ja sähköisen viestinnän turvallisuutta, kuten pääsalausavaimia tai muita mekanismeja, jotka mahdollistavat pääsyn suojattuihin tietoihin ilman suostumusta."

Tämän tekstin, jolla EU-direktiivit NIS2, DORA ja REC saatetaan osaksi Ranskan lainsäädäntöä, pitäisi johtaa yleisen kyberturvallisuuden tason merkittävään nousuun.

 

Euroopan unionin toimielimet ja elimet

Ursula von der Leyen piti 10. syyskuuta unionin tilaa käsittelevän puheen, jossa hän vahvisti, että Eurooppa pysyy itsenäisenä omien sääntöjensä ja standardiensa määrittelyssä, ja torjui siten transatlanttisen kritiikin.

Samana päivänä 39 eurooppalaista teollisuusjohtajaa ja -järjestöä allekirjoitti tekoälyä ja teknologiaa koskevan eurooppalaisen julistuksen, jossa he sitoutuivat investoimaan Euroopan teknologiseen itsemääräämisoikeuteen.

Rouva von der Leyen toisti EU:n tekoälystrategian keskeiset prioriteetit, mukaan lukien tulevan pilvipalveluiden ja tekoälyn kehittämistä koskevan sääntelyn, "Quantum Sandbox" -aloitteen ja merkittävät investoinnit eurooppalaisiin tekoäly"gigatehtaisiin".

Tuleva pilvipalvelujen ja tekoälyn kehittämistä koskeva sääntely voisi sisältää datasuvereniteettia ja lokalisointitoimenpiteitä, jotka ovat linjassa unionin tulevan datastrategian kanssa.

Komission puheenjohtaja korosti myös eurooppalaisen sääntelyn yksinkertaistamisen tavoitteita ja painotti viimeaikaisia uudistusehdotuksia, jotka voisivat vaikuttaa tietosuojaan, kuten tietorekisterivelvoitteiden vähentämistä ja digitaalilainsäädännön vaaratilanteiden raportointivaatimusten virtaviivaistamista.

Lopuksi hän käsitteli lasten verkkoturvallisuutta ja ilmoitti, että komissio pyytäisi asiantuntijalausuntoja vuoden loppuun mennessä, mahdollisesti ottaen inspiraatiota Australian lähestymistavasta sosiaalisen median rajoituksiin.

Tietosuoja-asetus (tietolaki) tuli voimaan 12. syyskuuta 2025.

Tämä teksti antaa verkkoon liitettyjen tuotteiden käyttäjille (yrityksille tai yksityishenkilöille, jotka omistavat, vuokraavat tai liisaavat tällaisen tuotteen) suuremman hallinnan tuottamastaan datasta ja samalla säilyttää kannustimet datateknologioihin investoiville.

Se määrittelee myös yleiset ehdot, joita sovelletaan tilanteisiin, joissa yrityksellä on lakisääteinen velvollisuus jakaa tietoja toisen yrityksen kanssa.

Euroopan tietosuojaneuvosto on julkaissut ohjeet digitaalisten palveluiden asetuksen ja yleisen tietosuoja-asetuksen välisestä vuorovaikutuksesta. Ohjeet ovat avoinna julkiselle kuulemiselle lokakuun loppuun asti.

EU-tuomioistuin on määrännyt Euroopan komission maksamaan 50 000 euroa korvauksia henkilölle, jota epäillään Euroopan petostentorjuntaviraston (OLAF) lehdistötiedotteessa.

Vaikka lehdistötiedotteessa ei mainittu nimeä, kontekstiin liittyvät vihjeet mahdollistivat tutkijan tunnistamisen. Kyseinen tapaus, OC v. komissio [C-479/22 P], oli mainittu hiljattain EDPS v. SRB -tapauksessa, joka herättää nyt voimakkaita reaktioita henkilötietojen tunnistettavan luonteen laajuuden suhteen.

 

Uutisia Euroopan unionin jäsenmaista.

Saksassa liittovaltion työtuomioistuin päätti, että yritys oli laittomasti siirtänyt työntekijänsä henkilötietoja emoyhtiölleen henkilöstöhallinnon ohjelmiston testaamiseksi.

Tätä siirtoa ei voitu perustella oikeutetulla edulla, koska tekaistut tiedot olisivat riittäneet. Oikeus myönsi työntekijälle 200 euroa korvauksia henkisestä kärsimyksestä.

Itävallassa tuomioistuin päätti, että rekisteröidyn oikeus saada tietoja lakkaa hänen kuollessaan eikä siirry oikeudelliselle seuraajalle. Näin ollen tuomioistuin kumosi tietosuojaviranomaisen päätöksen, joka koski rekisteröidyn kuoleman jälkeistä tiedonsaantioikeuden loukkausta muutoksenhakumenettelyn aikana.

Itävaltalainen kuluttajanoikeusjärjestö VSV on nostanut ryhmäkanteen Metaa vastaan Itävallassa ja Saksassa vaatien jopa 5 000 euron vahingonkorvauksia yli 18-vuotiaille henkilöille. Kanne koskee Metan ammattimaisia työkaluja, joita VSV väittää käytettävän käyttäjien yksityiselämän "laittomaan valvontaan".

Belgian tietosuojaviranomainen on määrännyt opiskelija-asunnon omistajalle 9 700 euron sakon laittomasta videovalvontajärjestelmän käytöstä, joka ei ollut tarpeen omaisuuden suojaamiseksi tai talon sääntöjen noudattamisen valvomiseksi eikä voinut perustua oikeutettuun etuun tai vuokrasopimuksen täytäntöönpanoon.

Espanjan tietosuojaviranomainen (APD) on määrännyt 1 800 000 euron sakon yritykselle, joka käsitteli viranomaisen keräämiä itsenäisten ammatinharjoittajien henkilötietoja ilman laillista perustetta.

Hän katsoi, että vaikka Espanjan verovirastolla (AEAT) oli laillinen oikeus luovuttaa tiettyjä tietoja kauppakamarille, niiden myöhemmälle siirrolle Camerdata-yritykselle ja näiden tietojen käytölle kaupallisiin ja markkinointitarkoituksiin ei ollut pätevää oikeusperustaa.

Yrityksen esittämä oikeutettu etu ei ollut suurempi kuin niiden työntekijöiden oikeuksille ja vapauksille aiheutuvat riskit, joiden tietoja oli luovutettu.

Virossa lääkeyhtiö Allium UPI sai 3 000 000 euron sakot riittävien teknisten ja organisatoristen toimenpiteiden, kuten monivaiheisen todennuksen, toteuttamatta jättämisestä. Tämä johti 750 000 ihmiseen, mukaan lukien lapsiin ja haavoittuviin ryhmiin, vaikuttaneeseen tietomurtoon.

Suomessa APD määräsi pankille (S-Pankki Oyj) 1 800 000 euron sakon, koska se ei ollut toteuttanut riittäviä teknisiä ja organisatorisia toimenpiteitä sovelluksensa uuden kirjautumisominaisuuden osalta, mikä johti sen asiakkaiden luvattomaan pääsyyn muiden asiakkaiden tileille.

Italian tietosuojaviranomainen (APD) päätti, että yrityksen asiakkaalla on oikeus peruuttaa suostumuksensa kuvansa käyttöön yrityksen mainonnassa. Se selvensi, että suostumus voidaan peruuttaa riippumatta siitä, aiheuttaako se rekisterinpitäjälle kielteisiä taloudellisia seurauksia.

Italiasta tuli ensimmäinen eurooppalainen maa, joka hyväksyi tekoälyä koskevan lain senaatin äänestyksessä 17. syyskuuta.

Yleisten periaatteiden viitekehyksen määrittelyn jälkeen laissa kiinnitetään erityistä huomiota keskeisiin aloihin, kuten työvoimaan, terveyteen ja oikeusjärjestelmään.

Se sääntelee myös tekoälyn käyttöä alaikäisten keskuudessa ja sisältää rangaistussäännöksiä.

Alankomaiden tietosuojaviranomainen (DPA) tutkii parhaillaan yhteistyössä Italian, Luxemburgin ja Unkarin tietosuojaviranomaisten kanssa, miten älytelevisiot käsittelevät henkilötietoja.

Raportissa todetaan erityisesti, että älytelevisiot lähettävät merkittävän määrän dataa asennuksen, päivittäisen käytön, valmiustilan ja jopa sammutettuna ollessaan, ja että ne toimivat läpinäkymättömässä internet-ekosysteemissä, johon osallistuu eri osapuolia: valmistajia, käyttöjärjestelmien toimittajia, sovelluskehittäjiä jne.

Hän huomauttaa, että käyttäjillä ei usein ole muuta vaihtoehtoa kuin hyväksyä tietosuojakäytännöt, ja heillä on vaikeuksia tunnistaa tietojenkäsittelystä vastaavat tahot.

Esiasennetut sovellukset (joita on joskus mahdotonta poistaa) herättävät kysymyksiä tiedon minimoinnin ja käyttäjien oikeuksien suhteen.

Sveitsiläisen avoimen lähdekoodin keskustelupalstan Apertus AI:n lanseerauksen jälkeen on syntynyt toinen merkittävä avoimen lähdekoodin koneoppimismalli, jota tukee eurooppalainen julkinen laitos: TildeOpen LLM.

Tämä on perustavanlaatuinen kielitieteellinen malli, jonka tarkoituksena on kompensoida olemassa olevien oikeustieteen alojen heikkouksia pohjoismaisten ja itäeurooppalaisten kielten suhteen, jotka ovat tällä hetkellä aliedustettuina.

Tämä 30 miljardin parametrin malli kehitettiin Euroopan komission rahoituksella ja sitä koulutettiin LUMI-supertietokoneella.

Nämä kaksi mallia ovat ilmoittaneet olevansa tekoälyä koskevan eurooppalaisen asetuksen mukaisia.

 

 

Soulissa viime syyskuussa pidetyssä 47. yksityisyyden suojaa käsittelevässä yleiskokouksessa vahvistettiin, että tietosuoja ja -turvallisuus ovat keskeisiä kysymyksiä, joita maailma kohtaa tänä päivänä.

Vuosittainen tapahtuma kokoaa yhteen sääntelyviranomaisia sekä yrityksiä ja organisaatioita ympäri maailmaa.

Kaksikymmentä tietosuojaviranomaista hyväksyi tässä tilaisuudessa yhteisen julistuksen luotettavan hallintokehyksen rakentamiseksi rehellisyyttä herättävälle tekoälylle.

He kannattavat tietosuojaperiaatteiden integrointia suunnitteluvaiheesta lähtien, vankan tiedonhallintajärjestelmän luomista ja riskienhallinnan ennakointia.

Lausunnossa korostetaan myös tietojenkäsittelyn kasvavaa monimutkaisuutta tässä yhteydessä ja painotetaan mukana olevien toimijoiden monimuotoisuutta sekä tarvetta teknologiseen kehitykseen mukautetulle sääntelykehykselle.

Yhdysvalloissa "Shutdownilla" on merkittäviä seurauksia tietosuojan kannalta.

Jotkin liittovaltion virastot on suljettu lähes kokonaan, mukaan lukien Yhdysvaltain liittovaltion kauppakomissio (FTC), joka on ensisijainen tietosuojan valvonnasta vastaava elin.

Liittovaltion kauppakomission sisällä kuluttajansuojavirasto on eniten kärsinyt pakkoirtisanomisista.

Kuluttajansuoja-asiat keskeytetään, olipa kyseessä sitten alustava tutkinta, hallinnollinen menettely tai oikeudenkäynti liittovaltion tuomioistuimissa, lukuun ottamatta tapauksia, joissa vahinkoa pidetään erittäin vakavana.

Yhdysvaltalaiset ChatGPT Plus-, Pro- ja Free-käyttäjät voivat nyt ostaa suoraan Etsyn myyntialustalta, ja pian myös monet muut myyjät ovat saatavilla.

Tämä tarkoittaa ChatGPT:n ja muiden agenttisten tekoälyjärjestelmien osalta sitä, että käyttäjä antaa kolmansille osapuolille pääsyn henkilötietoihinsa, erityisesti pankkitietoihinsa, kaikkine tähän liittyvine tietoturvaongelmineen.