Uusi vuosi odotuksen merkissä

Oikeudellinen valvonta nro 42 – Joulukuu 2021

Uusi vuosi odotuksen merkissä

Tietosuojan osalta alkava vuosi ei tuo tullessaan merkittäviä uusia kehitysaskeleita, vaan pikemminkin kehitystä ja kenties strategisia päätöksiä tietyistä ajankohtaisista kysymyksistä.

Keskitytään niistä kolmeen: valvontaviranomaisten GDPR:n täytäntöönpanoon, terveyskysymyksiin ja digitaalisten jättiläisten sääntelyyn.

Yksi GDPR:n voimaantulon jälkeen toistuvista teemoista koskee sen täytäntöönpanon vakavuutta kansallisten tietosuojaviranomaisten toimesta. ja suuri ero määrättyjen seuraamusten lukumäärän ja ankaruuden välillä riippuen siitä, onko vastuussa oleva henkilö esimerkiksi Irlannissa vai Espanjassa.

Jälkimmäinen maa näyttää olevan yksi niistä, jotka ovat asettaneet eniten seuraamuksia, kun taas Luxemburg ja CNIL voivat vaatia GAFAMilta suurimmat sakot (muistakaa esimerkiksi Luxemburgin Amazon-yhtiölle määräämä 746 miljoonan euron sakko).

Spektrin toisessa ääripäässä on Irlannin tietosuojaviranomainen, jota jotkut sen kollegat sekä Euroopan komission varapuheenjohtaja ovat avoimesti arvostelleet sen lepsuudelta suuria verkkotoimijoita kohtaan.

Euroopan tietosuojaneuvoston (EDPB) valtuuksien vahvistamiseksi Euroopan valvontamenettelyjen yhtenäisyyden ja tehokkuuden vahvistamiseksi jotkut puhuvat.

Asiaa käsitellään Euroopan tietosuojavaltuutetun järjestämässä konferenssissa Brysselissä 16. ja 17. kesäkuuta.

Terveystietojen käsittely on terveyskriisin jälkimainingeissa toinen merkittävä huolenaihe..

Ovat huolissaan

• Lääketieteelliseen tutkimukseen liittyvät kysymykset,
• Geneettisten tietojen käsittely ja tiettyjen laboratorioiden suorittaman seulontatestien yhteydessä kerättyjen tietojen jälleenmyynnin riskit, kuten äskettäinen brittiläinen Signpost Diagnostics -yrityksen tapaus osoittaa,
• Yksilöiden seuranta sovellusten ja muiden terveyskorttien avulla 

• Ja lopuksi, tietoturvaan liittyvät riskit: ajattelemme erityisesti FranceTest-yrityksen Covid-testituloksiin liittyvää tietomurtoa, jonka CNIL virallisesti määräsi viime lokakuussa suojaamaan tietonsa, tai Assistance Publique-Hôpitaux de Paris -sairaalaa koskevaa tietovuotoa.

Vaikka CNIL julkaisee säännöllisesti kantansa tähän asiaan, huomautamme, että 30. marraskuuta päivätyssä parlamentille antamassaan käsittelyssä se ilmoitti odottavansa hallituksen toimittavan tietoja, joilla tuetaan käytössä olevien tiedostojen ja valvontakeinojen tehokkuutta.

Kolmas ajankohtainen kysymys koskee Euroopan unionin sääntelyaloitteita digitaalisten palveluiden ja tekoälyn osalta.

Evästeiden hallinnan lisäksi, joka on edelleen kansallisten viranomaisten vastuulla, eurooppalainen lainsäätäjä on huolissaan verkkojättien kasvavasta vallasta. Nämä määräävässä asemassa olevat välittäjät tarjoavat viesti- ja sosiaalisen verkostoitumisen palveluita.

Kyseessä on myös biometriikan ja tekoälyn käyttö yhä tunkeilevampaan profilointiin sekä internetin käyttäjien manipulointi heidän tietämättään (hämärät kuviot) kohdennetun sisällön näyttämisen avulla.

Useita tekstejä on parhaillaan hyväksyttävänä Euroopan tasolla, mukaan lukien kaksi Euroopan komission ehdotusta digitaalisista markkinoista ja digitaalisista palveluista sekä yksi tekoälyä koskeva ehdotus. 

Euroopan parlamentti hyväksyi kantansa digitaalisia markkinoita koskevaan ehdotukseen 5. joulukuuta.

Tekstiin tehtyjen muutosten joukossa on lisätty vaatimus yhteentoimivuudesta tärkeimpien pikaviestintä- ja sosiaalisen median alustojen palveluiden välillä, minkä tavoitteena on mahdollistaa käyttäjien helppo palveluntarjoajan vaihtaminen ja hallitsevien asemien torjuminen.

Ranskan Euroopan unionin neuvoston puheenjohtajuuskauden alussa Euroopan tietosuojavaltuutettu on juuri toivottanut Ranskan hallitukselle menestystä ja korostanut näiden kolmen digitaaliseen teknologiaan ja tekoälyyn liittyvän merkittävän kysymyksen merkitystä sekä ilmoittanut seuraavansa tiiviisti näiden alojen kehitystä.

Vaikka jotkin prioriteetit näyttävät jo hyvin tunnistetuilta, toivotaan, että tämä uusi vuosi tuo meille kaikille mukanaan mukavia yllätyksiä ja vihdoin raikkaita tuulahduksia.

Ja myös

Ranska:

CNIL määräsi yritykselle seuraamuksia 6. tammikuuta Google 150 miljoonan euron arvosta, ja yritys Facebook jopa 60 miljoonaa euroa evästeitä koskevien lakisääteisten säännösten noudattamatta jättämisestä.

CNIL määräsi yritykselle 300 000 euron sakon 28. joulukuuta. ILMAINEN MOBIILI, erityisesti siksi, ettei se ole kunnioittanut yksilöiden oikeuksia ja käyttäjiensä tietojen turvallisuutta.

Samana päivänä se antoi yhtiölle myös seuraamuksen SLIMPAY, joka tarjoaa asiakkailleen maksuratkaisuja, sai 180 000 euron sakot, koska se ei suojannut käyttäjien henkilötietoja riittävästi ja ei ilmoittanut heille tietomurrosta.

CNIL:n toimitusjohtaja ilmoitti yhtiölle virallisesti 26. marraskuuta CLEARVIEW-tekoäly lopettamaan verkossa saatavilla olevien valokuvien ja videoiden keräämisen ja poistamaan tiedot kahden kuukauden kuluessa.

Yritys on kehittänyt kasvojentunnistusohjelmiston, jonka tietokanta perustuu internetissä julkisesti saatavilla olevien valokuvien ja videoiden poimimiseen.

A CNIL-kehittäjäoppaan uusi versio on juuri julkaistu. Tämä opas tarjoaa uutta sisältöä, joka on suunniteltu tukemaan verkko- ja sovelluskehityksen ammattilaisia varmistamaan, että heidän työnsä on vaatimusten mukaista.

Siellä SNCF Joulukuussa se siirsi 7 000 palvelintaan ja 250 sovellustaan Amazonin pilveen, tarkemmin sanottuna kolmeen datakeskukseen Pariisin alueella.

Yhtiön tavoitteena on myös laajentaa tekoälyn käyttöä.

Eurooppa

THE Euroopan tietosuojaneuvosto julkaisi 14. joulukuuta ohjeet, jotka auttavat rekisterinpitäjiä hallitsemaan tietoturvaloukkauksia.

Teksti sisältää suuren määrän esimerkkejä ja kehittää toimenpiteitä, joihin on ryhdyttävä rikkomuksen tyypin mukaan.

Euroopan unionin perusoikeusvirasto (FRA) julkaisee yhteistyössä tietosuojaviranomaisten kanssa oppaan, jonka tarkoituksena on tiedottaa turvapaikanhakijoille ja maahanmuuttajille paremmin heidän sormenjälkiensä käytöstä.

Kun heidät pysäytetään Euroopan unionin ulkorajalla, heidän on annettava sormenjälkensä, jotka tallennetaan Eurodac-tiedostoon.

Wiesbadenin hallinto-oikeus Saksalainen yritys määräsi 1. joulukuuta RheinMainin ammattikorkeakoulun lopettamaan kaiken Cookiebot-suostumushallinnan käytön. Syynä tähän oli verkkosivuston kävijätietojen laiton siirto Yhdysvaltoihin.

Suomen tietosuojavaltuutettu määräsi 7. joulukuuta psykoterapiayritykselle yli 600 000 euron sakon, koska se ei ollut varmistanut potilastietojensa turvallisuutta riittävästi eikä ollut tiedottanut heille kahdesta tietoturvaloukkauksesta, jotka johtivat kyseisten potilaiden ja yrityksen itsensä kiristykseen.

Norjan tietosuojaviranomainen määräsi 6 300 000 euron sakon Grindr jakaa käyttäjiensä tietoja kolmansille osapuolille profilointi- ja mainontatarkoituksiin ilman heidän suostumustaan.

Alankomaiden verohallinto sai 2 750 000 euron sakon tietojen käsittelystä ilman laillista perustetta ja kohtuullisuusperiaatteen vastaisesti (yleisen tietosuoja-asetuksen 5(1)(a) ja 6(1)(e) artikla).

Belgian puolustusministeriö joutui vakavan kyberhyökkäyksen uhriksi 20. joulukuuta. Hyökkäys johtui Log4Shell-haittaohjelmasta, joka vaikutti hallinnon toimintaan useiden päivien ajan. 

Belgian tietosuojaviranomainen sakotti yritystä 10 000 eurolla, koska se oli ostanut tietokannan suoramarkkinointitarkoituksiin tarkistamatta, että tiedot oli kerätty laillisesti.

Yritys ei myöskään ilmoittanut asianomaisille henkilöille tästä epäsuorasta tietojen keräämisestä eikä vastannut henkilön pyyntöön saada tietoja.

Kansainvälinen:

Amazon on jättänyt useita patenttihakemuksia biometrisille tekniikoille, joiden tarkoituksena on mahdollistaa videopuhelinkameroiden epäilyttävien henkilöiden havaitseminen useiden kriteerien perusteella: haju, ihon rakenne, sormenjäljet, silmä, ääni ja kävely.

Siellä Etelä-Korea on katsottu tarjoavan riittävän suojan tason 17. joulukuuta lähtien. Euroopan komission päätös tulee muutama kuukausi sen jälkeen, kun Euroopan unionin ja Korean välinen vapaakauppasopimus solmittiin. Sopimus tuli voimaan heinäkuussa 2021.

Helmikuun 15. päivästä alkaen Kiinan hallitus aikoo asettaa kansainvälistä liiketoimintaa harjoittavat kiinalaisyritykset useille kyberturvallisuustoimenpiteille.

Tarkastusten tarkoituksena on rajoittaa strategisten tietojen siirtoa maan ulkopuolelle.