Arkaluonteiset tiedot: erityisen laaja soveltamisala

Legal Watch nro 50 – elokuu 2022.

Voi olla vaikeaa arvioida, ovatko keräämäsi tiedot arkaluonteisia vai eivät, ja päättää, tarvitsevatko nämä tiedot erityistä suojaa GDPR:n nojalla.

Käsittelimme näitä tulkintavaikeuksia viime helmikuun pääkirjoituksessamme.

Euroopan unionin tuomioistuin on juuri selventänyt 1. elokuuta 2022 annetun tuomion soveltamisalaa. arkaluonteisten tietojen käsitteestä tai tarkemmin sanottuna erityisistä tietoluokista.

Ja tuomioistuimen mukaan tämä soveltamisala on erityisen laaja.

On muistettava, että GDPR:n 9 artiklaa sovelletaan tietoihin, jotka paljastavat väitetyn rodullisen tai etnisen alkuperän, poliittiset mielipiteet, uskonnolliset tai filosofiset vakaumukset tai ammattiliiton jäsenyyden, sekä geneettisten tietojen, biometristen tietojen käsittelyyn luonnollisen henkilön yksiselitteiseksi tunnistamiseksi, terveyttä koskevien tietojen tai luonnollisen henkilön seksuaalielämää tai seksuaalista suuntautumista koskevien tietojen käsittelyyn.

Kyseinen päätös koskee korruption torjuntaan tarkoitetun Liettuan lain säännöksiä, jotka edellyttävät tiettyjen julkisen sektorin työntekijöiden ilmoittavan yksityiset etunsa sekä tiedot puolisostaan ja perheestään, ja lähes kaikki nämä tiedot julkaistaan internetissä.

Tämän velvoitteen kohteena olevan henkilön vastustuksesta tuomioistuimen on ratkaistava asia

• Puolisoon liittyvien tietojen verkkojulkistamisen tarpeellisuudesta
• Siitä, pitäisikö näitä puolisoa koskevia tietoja pitää arkaluonteisina tietoina yleisen tietosuoja-asetuksen 9 artiklassa tarkoitetulla tavalla, koska niiden perusteella voidaan päätellä tietoja kyseisten henkilöiden seksuaalisesta suuntautumisesta, tuomioistuin katsoo ensinnäkin, että näiden tietojen levittäminen verkossa ei vaikuta tarpeelliselta korruption torjunnan tavoitteen kannalta, ja täsmentää sitten, että arkaluonteisten tietojen käsitettä on tulkittava laajasti.

Tähän asti on ollut epäselvää 9 artiklan sanamuodon eroavaisuuksista säännellä tietoja, jotka toisaalta "paljastavat" poliittisia mielipiteitä, ammattiliittojäsenyyttä jne. tai toisaalta "koskevat" terveyttä tai seksuaalista suuntautumista.

Tuomioistuin katsoo, että kaikkia erityisiä tietoryhmiä on tulkittava laajasti ottaen huomioon asiayhteys ja muut yleisen tietosuoja-asetuksen säännökset.

Se sisältää siis tässä tapauksessa tiedot, jotka voivat älyllisen vertailun tai päättelyn avulla paljastaa luonnollisen henkilön seksuaalisen suuntautumisen.

Tällä päätöksellä voi olla merkittävä vaikutus "potentiaalisesti" arkaluonteisten tietojen käsittelystä vastaavien velvollisuuksien laajuuteen.

CNIL näyttää tähän asti tulkinneen näitä velvoitteita rajoittavammin: se ilmoitti viime tammikuussa, että "pelkkä kuvan valokuvaaminen tai filmaaminen, josta on mahdollista päätellä tiettyjä elementtejä henkilötietojen perusteella" Arkaluonteisten tietojen muodostaminen ei sinänsä ole arkaluonteisten tietojen käsittelyä (…). Tämä Vain jos näitä kuvia käsitellään mainittujen arkaluonteisten tietojen erottamiseksi, tulkitsemiseksi tai käyttämiseksi, käsittelyä pidetään arkaluonteisten tietojen käsittelyä koskevan järjestelmän piiriin kuuluvana.

Ratkaiseva tekijä tuomioistuimen perusteluissa näyttää olevan se, että tiedot ovat julkisesti saatavilla: siitä hetkestä lähtien kuka tahansa voi kerätä tietoja, päätellä niistä arkaluonteisia tietoja ja käsitellä niitä tarkoitukseen, joka ei liity lainkaan alkuperäiseen tarkoitukseen, ja jolla voi olla seurauksia asianomaisille henkilöille.

On myös muistettava, että saatavilla olevista tiedoista tehtyjen päätelmien ei tarvitse olla oikeita ollakseen GDPR:n vaatimusten mukaisia: itse asiassa tärkeää ei ole se, ovatko johtopäätökset päteviä vai eivät: virheellisillä päätelmillä voi olla vieläkin vahingollisempia seurauksia rekisteröidyille.

Tämän päätöksen odotetaan vaikuttavan rekisterinpitäjiin, jotka käsittelevät tietoja laajamittaisesti ja profiloivat internetin käyttäjiä, erityisesti sosiaalisten verkostojen yhteydessä, tekemällä nimenomaisen suostumuksen välttämättömäksi.

Lopuksi lisättäköön, että digitaalisten palveluiden ja digitaalisten markkinoiden tulevat säännökset kieltävät arkaluonteisten tietojen käytön mainonnan kohdentamisessa.

Yhdessä EU-tuomioistuimen arkaluonteisten tietojen laajan tulkinnan kanssa voimme kuvitella käyttötottumuksiin perustuvan mainonnan rajoituksen Euroopan tasolla odotettua ankarammaksi.

Ja myös

Ranska:

ACCORille on juuri määrätty 600 000 euron sakko. siitä, että se on suorittanut kaupallista etsintää ilman asianomaisten henkilöiden suostumusta ja koska se ei ole kunnioittanut asiakkaiden ja potentiaalisten asiakkaiden oikeuksia.

Varauslomakkeissa oli oletuksena valmiiksi valittu vaihtoehto, joka mahdollisti yhteistyökumppaneiden kaupallisia tarjouksia sisältävän uutiskirjeen automaattisen lähettämisen asiakkaille.

CNIL pani myös merkille toistuvia teknisiä poikkeamia, jotka estivät monia ihmisiä kieltäytymästä vastaanottamasta viestejä.

CNIL:n päätös oli osa yhteistyömenettelyä muiden EU-maiden viranomaisten kanssa, joissa ACCOR-konserni käsittelee tietoja. Yhteistyömenettelyn päätteeksi Euroopan tietosuojakomitea määräsi CNIL:n korottamaan sakon määrää, jotta toteutettu toimenpide olisi varoittavampi.

Huomioon otettavia tekijöitä ovat muun muassa tietoturvaloukkausten lukumäärä, se, että tietoturvaloukkaukset liittyvät useisiin henkilötietojen suojan perusperiaatteisiin ja muodostavat olennaisen loukkauksen yksilöiden oikeuksiin, sekä asianomaisten yksilöiden lukumäärä ja yrityksen taloudellinen tilanne.

Elokuussa France Connect -palveluun yhteyden muodostaminen Ameli-tunnuksilla kävi mahdottomaksi.Bercy on deaktivoinut yhteyspainikkeen.

Syynä on näitä tunnuksia käyttävien tietojenkalasteluhyökkäysten uusiutuminen. Julkisen talouden pääosaston kerrotaan työskentelevän France Connectin suojaamiseksi ja suunnittelevan asteittaista siirtymistä arkaluontoisimpiin menettelyihin, erityisesti niihin, jotka mahdollistavat pääsyn taloudellisiin maksuihin, turvallisempiin tunnistuspalveluihin.

Kansalaisjärjestö 25. elokuuta noyb.eu on tehnyt valituksen Googlea vastaan CNIL:lle..

Googlea syytetään Euroopan yhteisöjen tuomioistuimen suoramarkkinointia koskevan päätöksen sivuuttamisesta ja Gmail-sähköpostialustansa käyttämisestä ei-toivottujen mainossähköpostien lähettämiseen ilman käyttäjien pätevää suostumusta.

Ranskalainen mainosteknologiajätti Criteo voi saada 60 miljoonan euron sakot

osana CNIL:n aloittamaa tutkintaa.

Tämä on tässä vaiheessa alustava päätös, jonka valituksen tehnyt organisaatio, Privacy International, julkisti 5. elokuuta.

Eurooppa:

EU:n vakoilututkintavaltuuksia kritisoidaan tiistaina 30. elokuuta pidetyssä parlamentaarisessa kuulemistilaisuudessa, jossa Europolin edustaja sanoi, että viraston toimeksianto rajoittuu niiden jäsenvaltioiden tukemiseen, jotka päättävät aloittaa tutkinnan.

Tähän mennessä ainakin 14 Euroopan hallituksen tiedetään ostaneen vakoiluohjelmia NSO Groupilta, joka loi Pegasus-vakoiluohjelman, ja asiantuntijat uskovat, että monet muutkin myyjät toimivat EU:ssa.

Twitterin entinen tietoturvapäällikkö Peiter "Mudge" Zatko nosti yhtiötä vastaan kanteen, joka tuli hiljattain julkisuuteen.

Asiakirjassa esitetään sarja tuomitsevia väitteitä muun muassa tietoturvaan, yksityisyyteen ja tietosuojaan liittyvistä ongelmista sekä väitteitä, että Twitter oli johtanut tai aikonut johtaa harhaan alueellisia valvontaviranomaisia paikallisten lakien noudattamisesta.

Irlannin ja Ranskan valvontaviranomaiset ovat ottaneet asian käsittelyyn.

Irlannin tietosuojavaltuutettu on määrännyt sosiaalisen median alusta Instagramille 405 miljoonan euron sakon., jonka omistaa Meta, GDPR-rikkomuksen vuoksi.

Sakko on toiseksi suurin GDPR:n nojalla Amazonille määrätyn 746 miljoonan euron sakon jälkeen ja kolmas Irlannin sääntelyviranomaisen Metan omistamalle yritykselle määräämä sakko.

Päätös koskee Instagramin lasten yksityisyyden loukkauksia, mukaan lukien lasten sähköpostiosoitteiden ja puhelinnumeroiden julkaisemista.

Kölnin korkein alueoikeus (OLG Köln) myönsi yksityishenkilölle 500 euroa korvauksia, koska viiveestä, jonka rekisterinpitäjä on kokenut toimittaessaan sille pyydettyjä tietoja GDPR:n 15 artiklan 1 kohdan mukaisesti (GDPRhubin kautta).

Samankaltaisessa tapauksessa Italian tietosuojaviranomainen sakotti Deutsche Bankia 20 000 eurolla, koska se ei ollut vastannut ajoissa rekisteröidyn tiedonsaantipyyntöön (GDPRhubin kautta).

Kreikan tietosuojaviranomainen on määrännyt lääketieteellisen diagnostiikkakeskuksen 30 000 euron sakoiksi rikkoi tietojen eheyden ja luottamuksellisuuden periaatetta Johtaja oli kadottanut mammografiakuvia riittämättömien teknisten ja organisatoristen toimenpiteiden vuoksi.

Sakon lisäksi tietosuojaviranomainen määräsi keskuksen ilmoittamaan rikkomuksesta rekisteröidyille (GDPRhubin kautta).

Espanjan korkein oikeus on päättänyt, että yksilön oikeuksien käyttäminen rekisterinpitäjään nähden (yleisen tietosuoja-asetuksen 15–22 artikla) ei ole edellytys valituksen tekemiselle. tietosuojaviranomaisen kanssa: jälkimmäinen voi toimia, vaikka rekisteröity ei olisi ensin ottanut yhteyttä rekisterinpitäjään (GDPRhubin kautta).

Sveitsissä uusi tietosuojalaki tulee voimaan 1. syyskuuta 2023.

Jotkut kommentaattorit huomauttavat, että useat periaatteet olisivat vähemmän rajoittavia kuin GDPR:n periaatteet, erityisesti suostumukseen ja tietosuojavastaavaan liittyvät periaatteet.

Turvallisuusvaatimukset ovat sitä vastoin erityisen yksityiskohtaisia.

Kansainvälinen:

Eurooppalaiset toimijat voivat kuulua pilvipalvelulain soveltamisalaan, vaikka ne sijaitsisivatkin sen ulkopuolella. Yhdysvalloissa, päättää asianajotoimiston puolesta tekemän tutkimuksen Alankomaiden oikeus- ja turvallisuusministeriö, ja se julkistettiin 26. heinäkuuta.

Eurooppalaiset yritykset voivat minimoida tämän riskin perustamalla Yhdysvaltojen kanssa "kiinanmuurin", erityisesti olemalla palkkaamatta amerikkalaisia tai hankkimatta amerikkalaisia asiakkaita, mikä voisi oikeuttaa Yhdysvaltojen väliintulon Cloud Actin nojalla.

Tämäkään suoja ei kuitenkaan riittäisi, jos toimija käyttäisi yhdysvaltalaisia teknologioita, sillä pilvipalvelulaki sallii pääsyn tietoihin alihankkijoiden/laitteisto- ja ohjelmistotoimittajien kautta pilvipalveluntarjoajille/pilvipalveluntarjoajilta.

Nämä löydökset ovat herättäneet keskustelua esimerkiksi Bleu "Trusted Cloud" -ratkaisusta (Microsoftin Orangen ja Capgeminin tarjoamat teknologiat) ja S3ns:stä (Googlen ja Thalesin yhteistyö).

Yhdysvalloissa Facebook on suostunut sopimaan Cambridge Analytica -skandaalista, joka koskee sen pääsyä kymmenien miljoonien Facebook-käyttäjien yksityistietoihin vaalikampanjan aikana. Skandaali puhkesi Cambridge Analytican ilmiantajan Observerille vuonna 2018 paljastamien tietojen jälkeen, jotka olivat jo johtaneet Facebookin maksamaan miljardien eurojen sakot.

Kuubassa henkilötietojen suojaa koskeva laki julkaistiin virallisessa lehdessä 25. elokuuta. Se tulee voimaan 180 päivää julkaisemisensa jälkeen.

Venäjä on muuttanut tietosuojalainsäädäntöään Euroopan neuvoston yleissopimuksen 108+ allekirjoittamisen jälkeen.

Uusi liittovaltion laki nro 266, annettu 14. heinäkuuta 2022, muuttaa merkittävästi joitakin Venäjällä henkilötietojen käsittelyä koskevia lakeja ja sisältää nyt velvollisuuden ilmoittaa tietoturvaloukkauksista.

Kasvavat poliittiset ja turvallisuusjännitteet Pekingin ja länsimaiden välillä ovat herättäneet vaatimuksia Britanniassa geneettisten tietojen siirron Kiinaan tarkastelu biolääketieteellisestä tietokannasta, joka sisältää puolen miljoonan Britannian kansalaisen DNA:n.

Parhaatkaan turvatoimet eivät suojaa alihankkijoiden haavoittuvuuksilta.

Twilio raportoi 24. elokuuta, että hakkerit olivat murtautuneet sen järjestelmiin.

Twilio tarjoaa asiakkailleen vahvistuspalveluita, mukaan lukien salatun viestipalvelun Signal.

Kun käyttäjä rekisteröi puhelinnumeronsa, Twilio lähettää hänelle tekstiviestin, joka sisältää vahvistuskoodin. Koodi syötetään Signaliin.

Vaikka vaikutus Signaliin ja sen käyttäjiin on rajallinen palvelun suunnittelun vuoksi, tämä on varoitus kaikille alustoille tai palveluille, joita voidaan manipuloida välittämään tunnistetietoja hyökkääjälle.

Google LLC sakotettiin 60 miljoonalla dollarilla Australiassa dollaria kuluttajien harhaanjohtamisesta heidän henkilökohtaisten sijaintitietojensa keräämisestä ja käytöstä Android-puhelimissa.

Anne Christine Lacoste

Olivier Weber Avocat -asianajotoimiston osakas Anne Christine Lacoste on tietosuojaoikeuteen erikoistunut lakimies; hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon eteen Euroopan unionissa.