WhatsApp-päätös: GAFAMin rankaisemattomuus loppuu Euroopassa?

Oikeudellinen valvonta nro 38 – Elokuu 2021

WhatsApp-päätös: GAFAMin rankaisemattomuus loppuu Euroopassa? Edellisessä uutisessa kerroimme vaikeuksista päästä sopimukseen Euroopan tasolla yleisen tietosuoja-asetuksen täytäntöönpanosta. 

Irlannin sääntelyviranomaisen äskettäinen WhatsAppia koskeva päätös osoittaa, että GDPR:n mukaisessa valvontaviranomaisten välisessä yhteistyössä on edistytty entisestään.

WhatsAppille langetettiin 225 miljoonan euron hallinnollinen sakko 2. syyskuuta Irlannin tapauksessa asia seuraa useita käänteitä Euroopan tietosuojaneuvostossa (EDPB).

Yleisen tietosuoja-asetuksen 65 artiklassa säädetyn riitojenratkaisumenettelyn mukaisesti komitea pakotti Irlannin tarkastelemaan päätelmiään uudelleen sen oli siis laajennettava rikoksen tunnusmerkkejä, korotettava merkittävästi sakon määrää ja lyhennettävä WhatsAppille päätöksen noudattamiseen asetettuja määräaikoja.

Sakon laskennassa komitea katsoi, että huomioon tulisi ottaa paitsi WhatsAppin myös sen emoyhtiön Facebookin liikevaihto.

Se katsoi myös, että jos samaan tietojenkäsittelyyn liittyy useita rikkomuksia, rikkomukset olisi laskettava yhteen – kuitenkin siten, että ne jäävät GDPR:ssä säädetyn 4%:n liikevaihdon ylärajan alapuolelle.

On huomattava, että sakko, niin huomattavalta kuin se saattaakin vaikuttaa, edustaa vain 0,081 TP3T Facebookin liikevaihdosta.

Mikä on ajatuksia herättävää, kun ottaa huomioon, että Irlannin viranomaiset suunnittelivat alun perin 50 miljoonan euron sakkoa.

Muistakaamme, että Luxemburgin tietosuojaviranomainen sakotti Amazonia 746 miljoonalla eurolla elokuun alussa., suurin GDPR:n nojalla koskaan määrätty sakko.

Tutkimuksen pääkysymys oli, noudattiko WhatsApp tiedonantovelvoitteitaan käyttäjiään sekä muita kuin käyttäjiä kohtaan, joiden tietoja myös kerättiin.

Tiedotteita pidettiin monimutkaisina, minkä vuoksi yhtiön oikeutettujen etujen asianmukainen ymmärtäminen oli mahdotonta.

"Pääsy yhteystietoihin" -toiminnon käyttö on täysin läpinäkymätöntä kyseisille yhteyshenkilöille, joiden tietoja käsitellään, vaikka he eivät itse välttämättä käyttäisi sovellusta.

Sen lisäksi, että rikkomukset ovat GDPR:n 12, 13 ja 14 artiklan rikkomuksia tiedonantovelvollisuuksien osalta, komitea katsoo, että rikkomukset ovat riittävän vakavia, jotta ne muodostavat GDPR:n 5(1)(a) artiklan rikkomisen yleisen avoimuusperiaatteen osalta.

Irlannin viranomaisen päätös, jota komitea on vahvistanut, on hyödyllinen virstanpylväs rekisterinpitäjille GDPR:n tiedonantovelvoitteiden osalta.

Seuraavat ohjeet säilytetään:

–           Vältä tiedon hajottamista eri sivuilla, jotka vaativat käyttäjältä useiden linkkien napsauttamista, sekä loputtomissa alasvetovalikoissa ja tiedon keskittämisessä yhteen paikkaan.

–           Kuvaile käsittelytoiminnot, kerätyt tiedot ja kunkin yksilöidyn tarkoituksen oikeusperusta.

Määritä nämä tiedot myös jokaiselle kolmannelle osapuolelle, jolla on pääsy tietoihin.

Näiden eri elementtien esittäminen taulukkomuodossa voi auttaa ymmärtämään niitä selkeämmin.

–           Aseta tiedot saatavillen "ei-käyttäjistä" erillisessä ja helposti saatavilla olevassa muodossa.

–           Määritä olosuhteet, joissa tietoja säilytetään / poistettu, konkreettisin kuvituksin.

–           Ilmoita oikeusperusta sallii tietojen siirron Euroopan unionin ulkopuolelle ja määrittelee vaihtoehtoisen oikeusperustan, jos tietosuojan riittävyyttä koskevaa päätöstä ei ole.

Yleinen viittaus Euroopan komission verkkosivuun ei riitä.

.

Ja myös

Ranska:

CNIL jatkaa evästeisiin liittyviä vaatimustenmukaisuustoimiaan.

Hän puhui toisesta sarjasta viralliset ilmoitukset kesän aikana useita verkkokaupan toimijoita, merkittäviä digitaalisen talouden alustoja, paikallisviranomaisia ja pankkisektoria vastaan.

Hänellä on myös hyväksytty Figaro-yhtiö maksoi 50 000 euroa 27. heinäkuuta mainosevästeiden tallentamiseksi ilman internetin käyttäjien suostumusta.

Hän käyttää tilaisuutta hyväkseen palauttaakseen mieleen vastuunjaon sivustojen julkaisijoiden ja heidän kaupallisten kumppaneidensa välillä.

Tietokoneessa on vika tehty esteettömäksi noin 700 000 Covid-testin tehneen ihmisen henkilötiedot.

Tämä tietoturvaloukkaus korostaa apteekkien käyttämien siirtopalveluiden vaihtelevaa luotettavuutta hallituksen SI-DEP-alustaan syöttääkseen tietoja.

Vaikka SI-DEP-alusta itsessään on turvallinen, kaikki väliohjelmistot eivät ole.

Terveysvirasto (DGS) lähetti apteekkareille sähköpostin muistuttaakseen heitä SI-DEP:n kanssa hyväksytystä ja yhteensopivasta ohjelmistosta.

Francetestin tekemä vika, joka tunnistettiin 31. elokuuta julkistetussa haavoittuvuudessa, ei ollut osa sitä.

CNIL muistaa koulujen biometristen tietojen käyttöön liittyvät vaatimukset lukuvuoden alkaessa.

Siinä tarkastellaan käden muodon tunnistusta kouluruokaloihin pääsyä varten ja esitetään tiedonsaantiin, suostumukseen ja tietoturvaan liittyvät vaatimukset.

Hän lisää, että biometristen tietojen käsittelystä kieltäytyminen ja siten kanttiiniin pääsystä muulla tavoin kieltäytyminen ei saa aiheuttaa haittaa kyseiselle opiskelijalle.

Eurooppa:

Kulutusluotto: Euroopan tietosuojavaltuutettu (EDPS) julkaisi lausunnon Euroopan komission ehdottamasta direktiivistä 26. elokuuta.

Syynä ovat uudet digitaaliteknologiaa hyödyntävät luottoluokitusmenetelmät.

Jos tällaiset arvioinnit ovat välttämättömiä kuluttajalle myönnettävän luoton kannalta, Euroopan tietosuojavaltuutettu pyytää, että tietyt tiedot jätetään arviointimenettelyjen ulkopuolelle.

Terveys- ja sosiaalisen median tietojen lisäksi Euroopan tietosuojavaltuutettu haluaa kiellon laajennettavan koskemaan kaikkia arkaluonteisia tietoja (esimerkiksi uskontoa ja poliittisia mielipiteitä koskevia) sekä internetin käyttäjien selaustietoja.

Rekisterinpitäjä huomauttaa myös tarpeesta säännellä paremmin luottoanalyysipalveluita tarjoavien kolmansien osapuolten roolia sekä tekoälyjärjestelmien sertifiointia tällä alalla.

Kasvojentunnistus: Euroopan neuvosto julkaisee ohjeet, joiden tarkoituksena on tarjota joukko vertailutoimenpiteitä hallituksille, kasvojentunnistuskehittäjille, valmistajille, palveluntarjoajille ja kasvojentunnistusteknologioita käyttäville tahoille.

Tavoitteena on varmistaa, että niitä käytettäessä ei loukata ihmisarvoa, ihmisoikeuksia ja perusvapauksia, mukaan lukien oikeutta henkilötietojen suojaan.

Italia: Tietosuojaviranomainen (Garante) on määrännyt Deliveroolle 2,5 miljoonan euron sakonalgoritmin läpinäkymättömästä käytöstä sen toimitusajureiden hallintaan ja heidän henkilötietojensa suhteettomasta keräämisestä, joka rikkoo GDPR:n laillisuuden, läpinäkyvyyden, minimoinnin ja rajoittamisen periaatteita.

Kansainvälinen:

Kiinan kansantasavalta hyväksyi 20. elokuuta laki henkilötietojen suojasta (PIPL).

Tämä laki tulee voimaan 1. marraskuuta 2021. 

Sen tarkoituksena ei ole ainoastaan suojata yksilötietoja, vaan myös valtion turvallisuutta ja maan taloudellisia etuja GAFAMin suhteen.

Laki sisältää tiukkoja velvoitteita paikallisen tiedontallennuksen suhteen ja rajoituksia kansainvälisille siirroille.

Talibanin Afganistanin valtauksella on seurauksia myös tietosuojan alalla.

Useita tiedostoja, mukaan lukien sisäministeriön ja puolustusministeriön hallinnoima, sisältäisi erityisen arkaluonteisia tietoja.

Kyseiset tiedot sisältävät puolen miljoonan ihmisen poliisin ja armeijan tietoja: sukunimen, etunimen, mutta myös biometriseen profiiliin liittyvän henkilötunnuksen, uratietoja ja perhesuhteita sekä kahden heimojen "vanhimman" henkilötiedot, jotka toimivat takaajina rekrytoinnin aikana.

Kaikki tämä tieto voi omistajan vaihtuessa auttaa kartoittamaan paikallisten yhteisöjen ja etnisten ryhmien välisiä yhteyksiä.