GDPR vuotta myöhemmin: mitä opimme ja mitkä ovat tulevaisuudennäkymät?

Legal Watch – kesäkuu 2019.

Yleinen tietosuoja-asetus (GDPR) tuli voimaan 25. toukokuuta 2018.

Tämä uusi teksti on tuonut mukanaan lukuisia muutoksia liiketoimintatapoihin, niin sisäisen organisaation kuin asiakassuhteidenkin tasolla.

Vaikka tietosuoja on ollut osa lainsäädäntöä Ranskassa vuodesta 1978 ja Euroopan tasolla vuodesta 1995, tämä asetus on antanut uutta pontta asialle, joka edustaa sekä ihmisoikeutta että taloudellista kysymystä. Uudessa tekstissä säädetyt taloudelliset seuraamukset eivät ole tässä suhteessa vieraita.

Millainen on käytännön tilanne vaatimustenmukaisuuden, CNIL:n ja sen eurooppalaisten vastineiden toimien suhteen?

Ranskassa valitusten, tietoturvailmoitusten ja CNIL:lle tehtyjen tietopyyntöjen määrä on kasvanut dramaattisesti. Toukokuun lopussa valvontaviranomainen julkaisi tilastoraportin tältä ensimmäiseltä vuodelta, jossa raportoitiin yli 11 900 valitusta (+30 %) ja 2 044 tietomurtoilmoitusta. CNIL jatkaa myös lukuisten tapausten tutkintaa, joista osa on yhteistyössä eurooppalaisten naapurimaiden kanssa. Se on siten mukana 800 kansainvälisessä menettelyssä.

Tukeessaan yrityksiä niiden vaatimustenmukaisuuspyrkimyksissä CNIL on myös määrännyt lukuisia seuraamuksia. Tarkastellaanpa tarkemmin muutamia niistä:

• Näyttävin seuraamus on epäilemättä Googlelle määrätty, ennätykselliset viisikymmentä miljoonaa euroa.

• Kaksi muuta, paljon vaatimattomampaa seuraamusta ansaitsevat kuitenkin erityisen kiinnostavia, koska ne vietiin valtioneuvoston käsiteltäväksi, joka tutki niiden oikeasuhteisuutta.

• Yhdessä 17. huhtikuuta 2019 päivätyssä tapauksessa valtioneuvosto vahvisti 75 000 euron sakon: virallisen ilmoituksen ja useiden CNIL:n toistuvien pyyntöjen jälkeen Adef (Association for the Development of Homes) ei ollut vieläkään korjannut tietoturva-aukkoa, joka mahdollisti asunnonhakijoiden asiakirjojen käytön verkossa. Yhdistyksen vaatimien korjaavien toimenpiteiden toteuttamiseen käyttämä aika oli yksi valtioneuvostolle ratkaisevista tekijöistä.

• Toisessa tapauksessa, joka myös päivättiin 17. huhtikuuta 2019, valtioneuvosto alensi CNIL:n Optical Centerille määräämää sakkoa: yritys oli itse asiassa korjannut kahden päivän kuluessa CNIL:n ilmoituksesta tietoturva-aukon, joka mahdollisti asiakaslaskujen tarkastelun sen verkkosivuston kautta. Sakkoa alennettiin 250 000 eurosta 200 000 euroon.

• Päätämme tämän lyhyen selvityksen viimeisimpään, 13. kesäkuuta 2019 annettuun sanktioon, joka on tällä kertaa merkittävä, koska se koskee hyvin pientä yritystä: Uniontrad Company oli ottanut käyttöön videovalvontajärjestelmän, joka piti sen työntekijöitä jatkuvan valvonnan alaisena.

Tässä tapauksessa CNIL oli myös varoittanut yritystä kahdesti ennen kuin virallisesti määräsi sen muuttamaan käytäntöjään, ilman että vaadittuja toimenpiteitä oli toteutettu annetun määräajan loppuun mennessä. CNIL määräsi 18. kesäkuuta 20 000 euron hallinnollisen sakon ottaen huomioon yrityksen koon ja taloudellisen tilanteen.

Näistä eri tapauksista on päätelty, että sekä monikansalliset yritykset että pienemmät yritykset tai yhdistykset joutuvat todennäköisesti seuraamusten kohteeksi. Lisäksi kaikissa päätöksissä korostetaan rekisterinpitäjän reagointikyvyn merkitystä rikkomuksen havaitsemisen yhteydessä ja tämän reagointikyvyn vaikutusta mahdollisten seuraamusten määrään.

Entä eurooppalaiset naapurimme?

Kaikki indikaattorit osoittavat tietosuojaviranomaisten tekemien valitusten ja tutkimusten sekä seuraamusten määrän kasvua.

Euroopan talousalueen tietosuojaviranomaisilla on hieman yli 280 000 tapausta, joista noin 144 000 on valitusta ja 89 tietoturvaloukkausta. Toukokuun lopussa 371 tietosuojaviranomaista oli tutkittavana.

Saksalaisen konsulttiyrityksen päivittämä aloite erilaisten Euroopan tason pakotteiden luetteloimiseksi tarjoaa kokonaiskuvan valvontaviranomaisten toimista: https://www.enforcementtracker.com.

CNIL:n Googlelle asettaman sakon lisäksi korkeimmat rangaistukset määräsivät Portugali, joka määräsi sairaalalle 400 000 euron sakon potilastietojen suojaamatta jättämisestä; CNIL määräsi jälleen 400 000 euron sakon kiinteistönvälitystoimistolle; ja Espanja älypuhelinsovelluksesta, joka salaa käyttää yksilöiden puhelinmikrofoneja. Espanjan ammattilaisjalkapalloliiga sai tästä rikkomuksesta 250 000 euron sakon, ja se on valittanut päätöksestä.

Kohti viranomaisten koordinointia GDPR:n ulkopuolella?

Merkittävä uusi kehitysaskel koskee viranomaisten yhteistyötä, jonka tavoitteena on lisätä niiden johdonmukaisuutta ja tehokkuutta. Nämä aloitteet koskevat erityisesti tietosuojaviranomaisia, kilpailuasioista vastaavia viranomaisia ja kuluttajansuojasta vastaavia viranomaisia.

Euroopan tietosuojavaltuutetun vuonna 2016 osana "digitaalisen tiedonvälityskeskuksen" hanketta aloittamat keskustelut ovat nyt akateemisen sektorin johtamia, ja niitä tukee Euroopan parlamentin päätöslauselma.

Hanke kokoaa nyt yhteen viranomaisia Euroopasta ja muilta mantereilta. Kehitetyt synergiat keskittyvät yksilöiden suojeluun digitaalitalouden ja "big datan" yhteydessä. Kesäkuun 5. päivänä 2019 pidetyssä kokouksessa kokoontui 25 valvontaviranomaista Euroopan unionista ja muualta. Keskusteluissa käsiteltiin kahta tärkeää asiaa, jotka koskivat Facebookia ja Microsoftia. Viranomaiset keskittyvät keskusteluissaan myös sellaisten palveluiden kehittämiseen, joissa ei ole rahallista korvausta. Toisin sanoen, missä määrin voimme hyväksyä yksilöiden maksavan tiedoillaan digitaalisesta palvelusta?

Konkreettisia ohjeita tästä asiasta odotetaan syksyllä valvontaviranomaisten seuraavan kokouksen jälkeen. Tämä voisi olla merkittävä edistysaskel digitaalitalouden haasteiden valossa.

Ja myös:

• Ranskassa: CNIL julkaisee verkkoon uuden version työkalustaan, jonka tarkoituksena on auttaa rekisterinpitäjää vaikutusanalyyseissä (AIPD).

• Euroopassa Kohti sähköisen tiedonhankinnan sääntöjen tiukempaa tulkintaa? Useat valvontaviranomaiset ovat ilmoittaneet tarkistavansa tulkintaansa rekisteröityjen suostumuksen ja evästeiden osalta. Näihin kuuluvat Belgia, Ranska, Yhdistynyt kuningaskunta ja Alankomaat. On huomattava, että Euroopan tietosuojaneuvosto oli jo toukokuussa 2018 julkaisemassaan lehdistötiedotteessa nimenomaisesti päättänyt "evästeseinien" käytöstä, jotka asettavat verkkosivustolle pääsyn ehdoksi kävijän suostumuksen.

• maailmassa: Yhdysvaltain senaatin kauppavaliokunta tarkasteli 25. kesäkuuta pidetyssä kuulemistilaisuudessa, miten yritykset, kuten Google, YouTube ja Facebook, käyttävät tekoälyä vaikuttaakseen algoritmeihin, jotta voidaan arvioida algoritmien sääntelyä koskevan lain tarvetta.