Transferts de données à caractère personnel vers les Etats-Unis : point d’étape

Henkilötietojen siirrot Yhdysvaltoihin: edistymisraportti

Oikeudellinen valvonta nro 55 – Tammikuu 2023

Henkilötietojen siirrot Yhdysvaltoihin: edistymisraporttiEuroopan ja Yhdysvaltojen välistä tiedonvaihtoa tällä hetkellä haittaava oikeudellinen epävarmuus vaikuttaa niin konkreettisiin alueisiin kuin asuntopulan torjuntaan Ranskassa tai verkkokirjastojen käyttöön Suomessa.

Abritel-yhtiö on kieltäytynyt luovuttamasta vuokratietojaan Pariisin kaupungille, koska jälkimmäinen käyttää tähän tiedonkeruuseen palveluntarjoajaa, joka siirtää tiedot Yhdysvaltoihin.

Pariisin korkein oikeus päätti Abritelin hyväksi 30. marraskuuta 2022 antamassaan tuomiossa.

Tietosuojaviranomainen havaitsi viime joulukuussa, että neljä kaupunkia oli muun muassa siirtänyt laittomasti henkilötietoja Yhdysvaltoihin käyttämällä Google Analyticsia ja Google Tag Manageria julkisten kirjastojensa verkkopalveluissa.

Nykyisten siirtojen monimutkaisuus johtuu pääasiassa Euroopan unionin tuomioistuimen lokakuussa 2015 ja heinäkuussa 2020 antamista Schrems I - ja Schrems II -päätöksistä.

Näillä päätöksillä mitätöitiin EU:n ja Yhdysvaltojen välillä peräkkäin tehdyt sopimukset, jotka olivat nimeltään Safe Harbour ja Privacy Shield.

Vuoden 2020 päätöksessään tuomioistuin totesi, että vaikka Privacy Shield periaatteessa tarjoaakin Euroopan unionin tasoa olennaisesti vastaavan suojan tason, se on käytännössä tehottomaksi konkreettisten vaatimusten vuoksi, jotka liittyvät kansalliseen turvallisuuteen, yleiseen etuun ja Yhdysvaltojen lainsäädännön noudattamiseen.

Se totesi, että Yhdysvaltain viranomaisten valvontavaltuudet olivat liialliset Euroopan lainsäädännön nojalla ja että muiden kuin Yhdysvaltain kansalaisten oikeutta valittaa riippumattomista tuomioistuimista ei ollut taattu.

Tämän päätöksen julkaisemisen jälkeen GDPR:n alaisten rekisterinpitäjien on toteutettava erityisiä varotoimia ennen Yhdysvaltoihin suuntautuvia siirtoja.

Tietosuojaa takaavien sopimuslausekkeiden käyttö on edelleen vaihtoehto, edellyttäen, että lausekkeiden sisällöstä, siirron asiayhteydestä ja kolmannessa maassa sovellettavasta oikeudellisesta järjestelystä (erityisesti kansallisen turvallisuuden osalta) tehdään erityistarkastuksia.

Jos tilanne aiheuttaa erityisiä riskejä, rekisterinpitäjän on ryhdyttävä lisätoimenpiteisiin.

Viime vuonna komissio hyväksyi uudistetut "mallisopimuslausekkeet" niiden käytön helpottamiseksi ja julkaisi käytännön neuvoja yrityksille.

Euroopan tietosuojaneuvosto selitti myös 18. kesäkuuta 2021 antamissaan suosituksissa siirtovaikutusten analyysin osana suoritettavat tarkastukset.

Tällaisia vaatimuksia voi kuitenkin olla vaikea panna täytäntöön, jos tietojen vastaanottaja on määräävässä asemassa.

Yksinkertaisempi ratkaisu tällaisissa tapauksissa on käyttää Euroopan unionissa sijaitsevia tietojenkäsittelyratkaisuja.

Euroopan komissio julkaisi 13. joulukuuta useiden kuukausien neuvottelujen jälkeen Yhdysvaltojen kanssa kauan odotetun luonnoksensa tietosuojan tasoa Atlantin toisella puolella koskevaksi riittävyyspäätökseksi.

Uuden oikeudellisen kehyksen mukaisista EU-kansalaisten oikeuksista Euroopan komissio mainitsee oikeussuojakeinojen takaamisen, mukaan lukien vapaa pääsy riippumattomiin riitojenratkaisumekanismeihin ja välimiespaneeliin.

Siinä mainitaan lisäksi useita rajoituksia ja suojatoimia, jotka koskevat Yhdysvaltain viranomaisten pääsyä tietoihin, erityisesti lainvalvonta- ja kansallisen turvallisuuden tarkoituksia varten.

Nämä takuut johtuvat Yhdysvaltojen 7. lokakuuta 2022 annetulla asetuksella käyttöön otetuista uusista säännöistä, jotka vastaisivat EU:n tuomioistuimen Schrems II -tuomiossa esiin nostamiin kysymyksiin.

Ennen lopullisen päätöksen tekemistä Euroopan tietosuojaneuvoston (EDPB) on tarkastettava luonnos.

Tämä selvitys voi johtaa päätökseen noin kahden kuukauden kuluessa.

Päätösluonnos on sen jälkeen saatava EU:n jäsenvaltioiden edustajista koostuvan komitean hyväksyntä.

Myös Euroopan parlamentilla on oikeus tarkastella uudelleen tietosuojan riittävyyttä koskevia päätöksiä.

Tarjoaako ensi keväänä odotettava lopullinen päätös toivotut takeet tietosuojan osalta, jos aiemmat sopimukset ovat epäonnistuneet?

Euroopan tietosuojavaltuutettu (EDPS) kommentoi hiljattain hanketta optimistisesti: "Tämä eroaa siitä, mitä näimme Safe Harborin kanssa. Emme nähneet tätä Privacy Shieldin kanssa. Tämä on jotain uutta ja erittäin lupaavaa."

Max Schrems puolestaan on jo ilmoittanut olevansa valmis ryhtymään kolmanteen oikeustoimeen, jos teksti ei suojaa tehokkaasti eurooppalaisten perusoikeuksia.

Ja myös

Ranska:

CNIL:n pakotteiden asettamisesta vastaavan rajoitetun komitean mukaan startup-yritys Lusha, jota syytetään 1,5 miljoonan ranskalaisen ammatillisten puhelinnumeroiden ja sähköpostiosoitteiden kaappaamisesta, ei kuulu GDPR:n piiriin.

Keskustelussa keskityttiin asetuksen 3(2)(b) artiklan tulkintaan, jossa säädetään EU:n lainsäädännön soveltamisesta EU:n ulkopuolelle sijoittautuneisiin yrityksiin, kun ne suorittavat rekisteröityjen "käyttäytymisen seurantaa". CNIL 20. joulukuuta 2022 pidetyssä keskustelussa etäännytti itsensä esittelijänsä johtopäätöksistä ja totesi, että "ei unionissa asuvien henkilöiden henkilötietojen verkkokeruuta tai -analyysiä pidetä automaattisesti "seurantana"", ja piti tarpeellisena ottaa huomioon tietojenkäsittelyn tarkoitus ja erityisesti kaikki näihin tietoihin liittyvät myöhemmät käyttäytymisanalyysi- tai profilointitekniikat.

CNIL määräsi TikTokille 5 000 000 euron sakon 29. joulukuuta. mainostunnisteiden asentamisesta käyttäjien laitteille ilman heidän etukäteistä suostumustaan.

TikTokin evästebanneria pidettiin myös riittämättömän informatiivisena.

Samana päivänä se antoi myös seuraamuksia VOODOO-yritykselle., älypuhelinpelien julkaisija, sakotettiin 3 miljoonalla eurolla pääasiassa teknisen tunnisteen käyttämisestä mainonnassa ilman käyttäjien suostumusta.

Nykytrendistä poiketen Montpellierin kaupunginvaltuusto päätti 16. joulukuuta kasvojentunnistusta videovalvonnan ja julkisten vapauksien yhteydessä koskevan esityksen päätteeksi kieltää "henkilökohtaisiin tai yksilöllisiin tietoihin perustuvan automatisoidun kuva-analyysin käytön" julkisissa tiloissaan.

Yhdysvaltain senaatti hyväksyi 24. tammikuuta lakiesityksen tekoälyn käytöstä vuoden 2024 olympialaisten yhteydessä.

CNIL oli antanut huomautuksia tästä tekstistä ja todennut useiden toimenpiteiden olevan sen suositusten mukaisia: kokeellinen käyttöönotto, ajallisesti ja paikallisesti rajoitettu, tiettyihin erityistarkoituksiin ja vakavien riskien aiheuttaminen yksilöille, biometristen tietojen käsittelyn ja yhteensovittamisen puuttuminen muiden tiedostojen kanssa sekä päätökset, jotka edellyttävät ihmisen ennaltaehkäisevää puuttumista asiaan.

CNIL korosti myös geneettisten tietojen käsittelyä dopingin vastaisia analyysejä varten koskevien säännösten tunkeilevaa luonnetta.

Eurooppa:

Irlannin kansalaisvapausneuvoston (ICCL) valituksen ja EU-oikeusasiamiehen 19. joulukuuta 2022 antaman päätöksen johdosta Euroopan komissio on sitoutunut tarkastelemaan tietosuojaviranomaisten tapaa käsitellä suurten teknologiayritysten GDPR-loukkauksia.

Se mittaa kunkin menettelyn kunkin vaiheen kestoa ja sen edistymistä ja suorittaa tämän tarkastelun kuusi kertaa vuodessa.

Euroopan tietosuojaneuvosto (EDPB) on perustanut työryhmän tutkimaan yksityiskohtaisesti evästeisiin liittyviä kysymyksiä..

Euroopan tietosuojaneuvosto selventää 17. tammikuuta päivätyssä raporttiluonnoksessa laittomat käytännöt, mukaan lukien:

  • Kieltäytymisvaihtoehdon puuttuminen etusivulta
  • Valmiiksi valitut ruudut
  • Linkit kieltäytymisvaihtoehtoon pienillä kirjaimilla tulostettuna erillisessä tekstissä
  • Linkit evästebannerin ulkopuolella olevaan kieltäytymisvaihtoehtoon
  • Oikeutetun edun väittäminen ei-välttämättömien evästeiden asentamiseen
  • Suostumuksen pysyvän peruutusmahdollisuuden puuttuminen.

Euroopan tietosuojaneuvosto selventää, että nämä päätelmät heijastavat evästeiden arvioinnin vähimmäiskynnystä.

Ne tulisi yhdistää sähköisen viestinnän tietosuojadirektiivin vaatimuksiin ja lukea Euroopan tietosuojaneuvoston muun pimeitä kuvioita koskevan työn valossa.

Euroopan parlamentin erityisvaliokunta (PEGA) tutkii Pegasuksen käyttöä ja muut vakoiluohjelmien valvontaohjelmistot jatkavat työtään tekemällä tutkimuksia, asiantuntijakuulemisia ja tiedonhankintamatkoja Israeliin, Puolaan ja Kreikkaan. Suositusluonnokset esitellään parlamentille 10. kesäkuuta.

Kansalaisjärjestö EDRi järjesti vuosittaisen konferenssinsa, Privacy Campin, 25. tammikuuta. joka kokoaa yhteen digitaalisten oikeuksien puolustajia, aktivisteja, akateemikkoja ja poliittisia päättäjiä ajankohtaisten ihmisoikeuskysymysten äärelle.

Esitykset ovat saatavilla verkossa tapahtuman verkkosivujen kautta.

Tärkeässä tuomiossa 12. tammikuuta 2023 (asia C-154/21) Euroopan unionin tuomioistuin vahvisti, että rekisterinpitäjällä on velvollisuus toimittaa luettelo rekisteröidyistä henkilöistä jokaiselle sitä pyytävälle. tarkat vastaanottajat heidän henkilötietojaan, kun niitä on jaettu kolmansille osapuolille, eikä vain tietyille vastaanottajaryhmille.

EU-tuomioistuin täsmentää toisessa 12. tammikuuta annetussa tuomiossa (asia C-132/21), että GDPR:n mukaisia hallinnollisia ja siviilioikeudellisia oikeussuojakeinoja voidaan käyttää samanaikaisesti ja itsenäisesti toisiltaan.

Näin ollen samasta asiasta voidaan käynnistää rinnakkaisia valitusmenettelyjä tietosuojaviranomaisille ja oikeudenkäyntejä.

Jäsenvaltioiden on varmistettava, että näiden oikeussuojakeinojen rinnakkainen käyttö ei vaaranna asetuksen johdonmukaista ja yhtenäistä soveltamista.

Britannian parlamentti käsittelee parhaillaan verkkoturvallisuuslakia.

Lasten suojelemiseen tähtäävässä tekstissä tunnistetaan riskialtista sisältöä, erityisesti itsetuhoista sisältöä, ”deepfakeja” ja intiimien kuvien jakamista ilman suostumusta, jotka määritellään uusiksi rikoksiksi.

Kriitikot viittaavat tekstin määritelmän tai tarkkuuden puutteeseen, mikä mahdollistaisi sisällön liiallisen poistamisen ja laajan valvonnan aloittamisen.

"Enforcementtracker"-verkkosivusto esitetään luettelo valvontaviranomaisten GDPR:n mukaisesti määräämistä taloudellisista seuraamuksista: vuoden 2022 lopussa määrättiin yhteensä yli 830 miljoonaa euroa 448 seuraamuksen osalta, kun vastaava luku vuonna 2021 oli 1,3 miljardia euroa.

Ei ole yllättävää, että Irlanti, jossa sijaitsevat suurimmat teknologiayritykset, on kärjessä yli 80 000 sakolla.

Irlannin tietosuojaviranomainen (DPA) ilmoitti torstaina 19. tammikuuta WhatsAppille 5,5 miljoonan euron sakosta vastaavien päätösten lisäksi Facebookia ja Instagramia vastaan.

WhatsAppin käyttämän henkilötietojen käsittelyyn käyttämän oikeusperustan (palvelun parantaminen ja turvallisuus) on todettu olevan ristiriidassa eurooppalaisen lainsäädännön kanssa.

Kansalaisyhteiskunta on arvostellut tätä päätöstä ja huomauttanut, että Irlannin viranomainen ei ole puuttunut keskeiseen kysymykseen, joka koskee tietojen käyttöä käyttäytymiseen perustuvassa mainonnassa, markkinoinnissa, mittaustietojen toimittamisessa kolmansille osapuolille ja tietojen vaihdossa konserniyhtiöiden kanssa, huolimatta 24. tammikuuta julkaistusta Euroopan tietosuojaneuvoston päätöksestä.

Norjan virallinen kehitysapu totesi, että kuriiri- ja logistiikkayritys oli rikkonut yleisen tietosuoja-asetuksen 32 artiklaa riittämättömän riskinarvioinnin ja asianmukaisten turvatoimenpiteiden puuttumisen vuoksi.

Sovellus käytti puhelinnumeroita ainoana todennuskeinona asiakkaan profiiliin pääsemiseksi.

Espanjan viranomainen katsoi, että urheilussa esiintyvän väkivallan, rasismin, muukalaisvihan ja suvaitsemattomuuden vastainen kansallinen komissio ei voinut vedota yleisen tietosuoja-asetuksen 9(2)(g) artiklan mukaiseen yleisen edun poikkeukseen stadioneille saapuvien jalkapallofanien biometristen tietojen käsittelyyn.

Italian virallinen kehitysapu määräsi urheiluseuralle 20 000 euron sakon sormenjälkijärjestelmän laittomasta käytöstä työntekijöidensä läsnäolon työpaikalla tallentamiseen.

Se myös sakotti energiayhtiö Aretia miljoonalla eurolla, koska se oli virheellisesti leimannut joitakin asiakkaitaan huijareiksi estäen heitä siten vaihtamasta energiantoimittajaa.

Viron virallinen kehitysapu katsoi, että valvontakameroiden käyttö työntekijöiden valvontaan ei voi perustua suostumukseen, vaan ainoastaan oikeutettuun etuun yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdan mukaisesti, edellyttäen, että kyseisestä edusta on tehty pätevä arviointi.

Kansainvälinen

”Sisäänrakennetusta yksityisyyden suojasta” tulee kansainvälinen standardiKansainvälinen standardisoimisjärjestö (ISO) ottaa 8. helmikuuta käyttöön ISO 31700 -standardin.

Tämä sisältää 30 vaatimusta ja ohjeistusta sisäänrakennetun yksityisyyden suojan periaatteista.

YHDYSVALLAT: Tekoälypolitiikan teknisten standardien (NIST Risk Management Framework) kehittämisen lisäksi Valkoinen talo on julkaissut luonnoksen tekoälyä koskevaksi oikeusluetteloksi.

Useat Yhdysvaltain osavaltiot työstävät myös lainsäädäntöä tällä alalla.

Presidentti Biden toisti hiljattain nämä suositukset Wall Street Journalin kolumnissa, jossa hän korosti hallintonsa pyrkimyksiä torjua algoritmiseen syrjintään, edistää algoritmien läpinäkyvyyttä ja panna täytäntöön tekoälyn hallintoa koskevaa lainsäädäntöä.

Myös tekoälyn alalla Euroopan komissio ja Yhdysvaltain hallinto allekirjoittivat 27. tammikuuta "hallinnollisen sopimuksen tekoälystä yleishyödyllisenä".

Sopimus allekirjoitettiin EU:n ja Yhdysvaltojen kauppa- ja teknologianeuvoston (TTC) puitteissa.

Microsoft ilmoitti blogissaan joulukuun puolivälissä siirtävänsä eurooppalaisten asiakkaidensa tietojen tallennustilaa Euroopan unionin sisällä.

Tämä ohjelma ei kuitenkaan ratkaise kaikkia Yhdysvaltojen pääsyyn eurooppalaisiin tietoihin liittyviä ongelmia.

Pilvipalvelulaki (Cloud Act) sallii Yhdysvaltain rikosviranomaisten käyttää yhdysvaltalaisten pilvipalveluntarjoajien tietoja riippumatta siitä, missä tiedot on tallennettu, ja ilman, että niiden tarvitsee aloittaa kansainvälisen oikeusavun menettelyjä.

Australia on ollut kyberhyökkäysten uhri, jotka on kohdistettu sen valtion virastoihin ja yksityiseen sektoriin useiden kuukausien ajan.

Maa epäilee venäläis- ja kiinalaista alkuperää olevia hyökkäyksiä, joiden tarkoituksena on lamauttaa maan instituutiot ja yritykset sekä vaikuttaa suoraan kansalaisten elämään henkilötietojen massiivisen levittämisen kautta.

Joillekin tämä on esimakua siitä, mikä länsimaita odottaa, esimerkiksi useissa Saksan rautatiejärjestelmissä on äskettäin ilmennyt outoja toimintahäiriöitä.

Ilmoitettuaan siitä viime maaliskuussaVenäjän hallitus vetäytyy virallisesti Euroopan neuvoston tietosuojasopimuksesta nro 108 sekä kaikki muut Euroopan neuvoston kansainväliset sopimukset.

Tämän ilmoituksen jälkeen neuvosto puolestaan otti käyttöön virallisen mekanismin ja irtisanoi yksipuolisesti Venäjän jäsenyyden.

Anne Christine Lacoste

Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.

Tutustu Viqtoriin®
fiFI
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET lvLV lt_LTLT sk_SKSK sl_SISL fiFI