Legal Watch nro 75 – syyskuu 2024.  

Anonymisointi vai pseudonymisointi: pätevyydet, jotka kehittyvät ajan myötä?

CNIL sakotti Cegedim Santéa 800 000 eurolla 5. syyskuuta 2024 terveystietojen luvattomasta käsittelystä.

Valvontaviranomainen huomauttaa, että nämä tiedot pysyivät tunnistettavina, vaikka ne esitettiin anonyyminä.

Tämä sanktio antaa meille mahdollisuuden tarkastella GDPR:n vivahteita tietojen anonymisoinnin ja pseudonymisoinnin osalta.

Cegedim julkaisee ja myy hallintaohjelmistoja yksityisvastaanotoilla ja terveyskeskuksissa työskenteleville yleislääkäreille.

Näiden ohjelmistojen avulla lääkärit voivat hallita aikataulujaan, potilastietojaan ja reseptejään.

Asiakkailla on myös pääsy tietokantaan, joka mahdollistaa terveysalan tutkimusten ja tilastojen tuottamisen.

CNIL:n vuonna 2021 suorittamat tarkastukset paljastivat erityisesti, että yrityksen – ilman ennakkolupaa – käsittelemät tiedot olivat pseudonymisoituja terveystietoja, jotka olivat siten tunnistettavissa.

Vain täysin anonyymit tiedot on vapautettu GDPR:n velvoitteista.

Anonymisointiprosessi on kuitenkin erityisen vaativa.

Tässä nimenomaisessa tapauksessa Cegedim oli ottanut käyttöön menettelyn tunnisteiden poistamiseksi, ja CNIL oli aiempien, vuonna 2012 tehtyjen havaintojen yhteydessä myös katsonut, että käsitellyt tiedot olivat todellakin anonyymejä.

Komissio on tänään tarkastellut näitä havaintoja uudelleen ja täsmentänyt, että nykyinen oikeuskäytäntö ja oikeusoppi on otettava huomioon arvioitaessa mahdollista tietojen uudelleentunnistamista.

Näin ollen kymmenen vuotta sitten anonyyminä pidetty data ei välttämättä ole sitä tänään: "Sen määrittämiseksi, onko kohtuullisen todennäköistä, että keinoja käytetään luonnollisen henkilön tunnistamiseen, on otettava huomioon kaikki objektiiviset tekijät, kuten tunnistamisen kustannukset ja siihen tarvittava aika, ottaen huomioon käsittelyhetkellä käytettävissä olevat teknologiat ja niiden kehitys."

Tarkemmin sanottuna CNIL – kuten sen eurooppalaiset vastineet vuodesta 2014 lähtien – on määritellyt anonymisointimenettelyn puitteissa noudatettavat vaatimukset.

Hän selittää tärkeimmät anonymisointitekniikat:

• satunnaistaminen (jonka tarkoituksena on muokata tietojoukon attribuutteja niin, että ne ovat vähemmän tarkkoja säilyttäen samalla kokonaisjakauman) ja
• yleistäminen (joka koostuu tietojoukkojen ominaisuuksien skaalan eli niiden suuruusluokan muokkaamisesta).

CNIL neuvoo:

• Säilytettävien tietojen tunnistaminen niiden merkityksen mukaan.
• Poistaakseen suorat tunnistetiedot sekä harvinaiset arvot, jotka voisivat mahdollistaa yksilöiden helpon uudelleentunnistamisen;
• Erottaa tärkeät tiedot toissijaisista tai hyödyttömistä tiedoista;
• Määritellä ihanteellinen ja hyväksyttävä yksityiskohtaisuuden taso kullekin tallennetulle tiedolle.

Kolmea kriteeriä voidaan käyttää sen varmistamiseksi, että tietojoukko on todella anonyymi:

1. Yksilöinti: yksilön eristäminen aineistosta ei saa olla mahdollista;
2. Korrelaatio: samaa henkilöä koskevien erillisten tietojoukkojen yhdistämisen ei pitäisi olla mahdollista;
3. Päättely: ei pitäisi olla mahdollista päätellä lähes varmasti uutta tietoa yksilöstä.

Cegedimin tapauksessa yksilöintikriteeriä ei noudatettu: palvelu mahdollisti ihmisten jatkuvan seurannan ajan kuluessa yksilöllisen tunnisteen avulla ja heitä koskevien tietojen lisäämisen.

Tämä mahdollisti yksilön eristämisen tietojoukosta ja siten lisäsi pseudonymiteetin poistamisen riskiä.

Lopuksi on huomattava, että terveystietovaraston perustamisesta vastaava henkilö voi toteuttaa sen vasta CNIL:n luvalla tai sillä ehdolla, että se on standardin mukainen.

Alihankinnan tapauksessa vastuullisen osapuolen on sisällytettävä alihankintasopimukseen kaikki vaatimukset, jotka ovat tarpeen määräysten noudattamisen varmistamiseksi, erityisesti tietoturvallisuuden osalta.

Useimmissa tänään otsikoissa olleissa tietomurtotapauksissa (katso alla) heikoin lenkki murron alkulähteillä oli alihankkija.

 

 

Uuden hallituksen kokoonpano on ollut tiedossa 21. syyskuuta lähtien, ja joitakin uusia käänteitä on nähty digitaalisissa kysymyksissä.

"Digitaalinen suvereniteetti" katoaa talous- ja valtiovarainministeriön nimestä, ja digitaaliset asiat liitetään korkeakoulutus- ja tutkimusministeriin.

Lopuksi, vastaavan sihteeristön nimi on nyt: Tekoäly ja digitaaliteknologia.

Cigrefin (digitaalialan yrityksiä ja valtion virastoja edustavan yhdistyksen) yleisedustaja Henri d'Agrainin mukaan tämä otsikko "ei ota huomioon pilvipalvelujen, datan ja tekoälyn jatkumon merkitystä, joka kaiken vakavasti otettavan julkisen politiikan tällä alalla on omaksuttava". Hän lisää, että "tekoälyn painottamista tässä otsikossa tulisi tarkastella Élysée-palatsin tavoitteiden valossa tekoälyhuippukokousta varten, joka pidetään Pariisissa helmikuussa 2025".

Julkisen kuulemisen jälkeen CNIL julkaisi 24. syyskuuta lopullisen version suosituksistaan, jotka auttavat ammattilaisia suunnittelemaan yksityisyyttä kunnioittavia mobiilisovelluksia..

Se varmistaa vuodesta 2025 eteenpäin, että nämä otetaan asianmukaisesti huomioon erityisen valvontakampanjan avulla.

CNIL aikoo selventää ja säännellä ammattilaisten roolia sekä varmistaa mobiilisovellusten käyttäjien tietojen ja suostumuksen laadun.

Viime kuun SFR:n jälkeen on nyt Freen vuoro varoittaa asiakkaitaan tietovuodosta.

Hyökkääjän käsiin päätyneiden tietojen joukossa olivat ainakin asiakkaiden nimi, sukunimi, puhelinnumero ja postiosoite.

Näiden kahden toimijan lisäksi monet ranskalaiset vähittäiskauppiaat, kuten Boulanger, Cultura, Truffaut ja Grosbil, joutuivat syyskuun puolivälissä toimitustietojensa hakkeroinnin uhreiksi. Sama hakkeri julkaisi ja myi tiedot edelleen pimeässä verkossa.

Yksilöihin kohdistuvat riskit liittyvät yleensä identiteettivarkauksiin ja heidän osoitteeseensa liittyvien tietojen hankkimiseen.

Kulttuurituotteiden myyntiin erikoistuneen Culturan osalta myös ostoskorien sisältö on vuodettu, ja tiedot antavat tarkkaa tietoa ostajien lukutottumuksista, millä voi olla erittäin tunkeilevia seurauksia.

Useimmissa näistä hyökkäyksistä hakkeri oli kohdistanut hyökkäyksensä mukana olleiden yritysten palveluntarjoajaan.

Kassaatiotuomioistuimen sosiaalijaosto antoi 25. syyskuuta tuomion, jolla se mitätöi työntekijän irtisanomisen, joka perustui hänen työosoitteestaan lähetettyjen sähköpostien sieppaukseen.

Tuomioistuin muistuttaa, että "työntekijällä on oikeus yksityiselämänsä kunnioitukseen myös työaikana ja -paikassa.

Tämä koskee erityisesti kirjeenvaihdon luottamuksellisuutta.

Työnantaja ei siis voi tätä perusvapautta loukkaamatta käyttää työntekijän työkäyttöön tarkoitetulla tietokonetyökalulla lähettämien tai vastaanottamien henkilökohtaisten viestien sisältöä kurinpitotoimiin.

 

Euroopan unionin toimielimet ja elimet

Komissio kokosi 25. syyskuuta tekoälyalan keskeiset toimijat Brysseliin juhlistamaan tekoälysopimuksen sitoumusten ensimmäisiä 100 allekirjoitusta.

Allekirjoittajat ovat monikansallisia yrityksiä sekä pieniä ja keskisuuria eurooppalaisia yrityksiä eri toimialoilta. Tähän mennessä Meta ja Apple eivät ole allekirjoittaneet tätä sopimusta.

Asiakirjan vapaaehtoisissa sitoumuksissa kehotetaan osallistuvia yrityksiä sitoutumaan ainakin kolmen perustavanlaatuisen toimenpiteen toteuttamiseen:

• Ota käyttöön tekoälyn hallintastrategia tekoälyn käyttöönoton edistämiseksi organisaatiossa ja pyri noudattamaan tekoälymääräyksiä tulevaisuudessa.
• Tunnista ja kartoita tekoälyjärjestelmät, jotka voidaan luokitella tekoälyasetuksen nojalla korkean riskin järjestelmiksi.
• Edistä henkilöstön tietoisuutta tekoälystä.

Yrityksiä kannustetaan tekemään muita toimintaansa räätälöityjä sitoumuksia, mukaan lukien ihmisen valvonnan varmistaminen, riskien lieventäminen ja tietynlaisten tekoälyn tuottamien sisältöjen, kuten "deepfakejen", läpinäkyvä merkitseminen.

Euroopan unionin tuomioistuin totesi 4. lokakuuta antamassaan tuomiossa (C 621/22), että kaupallinen etu voi olla yleisen tietosuoja-asetuksen 6(1)(f) artiklan mukainen "oikeutettu etu", siltä osin kuin se ei ole lain vastainen.

Vaikka tämä kanta saattaa vaikuttaa itsestään selvältä, se ei ollut sitä enää Alankomaissa muutaman vuoden ajan: Alankomaiden tietosuojaviranomaisen (DPA) mukaan oikeutetun edun oli perustuttava lakiin.

Tuomioistuin toistaa, että tällainen vaatimus on liiallinen ja että riittää, että tarkoitus ei ole lainvastainen. On huomattava, että tämä päätös ei anna vapaata valtaa kaikille markkinointikäytännöille: kyseessä olevien etujen ja oikeuksien punninta on aina suoritettava.

Myös 4. lokakuuta EU-tuomioistuin antoi päätöksen asiassa C-446/21, jossa se tukee Metaa vastaan nostettua kannetta sen Facebook-palvelusta.

Kysymykset koskivat henkilötietojen käytön rajoittamista verkkomainontaan ja julkisesti saatavilla olevien henkilötietojen käytön rajoittamista alun perin julkaisemiseen tarkoitettuihin tarkoituksiin.

Samana päivänä EU-tuomioistuin vahvisti myös asiassa C-21/23 yrityksen kilpailijan mahdollisuuden nostaa kanne siviilituomioistuimessa sopimattomien kaupallisten menettelyjen kiellon perusteella lopettaakseen kilpailijan yleisen tietosuoja-asetuksen aineellisten säännösten rikkomisen.

On huomattava, että tällaista oikeuskäytäntöä on jo olemassa Ranskan lainsäädännössä.

Euroopan unionin tuomioistuin totesi 26. syyskuuta (asia C 768/21), että kun tietoturvaloukkaus on todettu, tietosuojaviranomaisten ei ole pakko käyttää korjaavia valtuuksia yleisen tietosuoja-asetuksen 58(2) artiklan nojalla, jos havaitun puutteen korjaaminen ei ole asianmukaista, välttämätöntä tai oikeasuhtaista.

Tuomioistuimen mukaan tietosuojaviranomaiset voivat analysoituaan kaikki tapauksen olosuhteet pidättäytyä käyttämästä tällaista korjaavaa toimivaltaa esimerkiksi silloin, kun rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset toimenpiteet sen varmistamiseksi, että rikkomus lakkaa eikä toistu.

Tuomioistuin totesi lopulta 12. syyskuuta antamassaan tuomiossa (yhdistetyt asiat C 17/22 ja C 18/22), että paitsi lainsäädännössä myös kansallisessa oikeuskäytännössä voidaan säätää oikeudellinen velvollisuus GDPR:n 6(1)(c) artiklan mukaisesti paljastaa osakkeenomistajalle kaikkien muiden asianomaisten osakkeenomistajien henkilöllisyys.

Ranskassa, Tanskassa, Espanjassa ja Saksassa tehtyjen aloitteiden jälkeen iän varmentamisessa verkossa eurooppalainen kansalaisjärjestö EDRi ja 63 organisaatiota, akateemikkoa ja asiantuntijaa yksityisyyden, salauksen, lasten turvallisuuden, seksityöntekijöiden oikeuksien ja kuluttajien oikeuksien aloilla julkaisivat yhteisen lausunnon 16. syyskuuta.

Se kehottaa Euroopan komissiota asettamaan etusijalle tehokkaat lasten turvallisuustoimenpiteet ja ilmaisee samalla vakavan huolensa nykyisten ehdotusten riittävyydestä, oikeasuhteisuudesta ja kielteisistä vaikutuksista perusoikeuksiin.

 

Uutisia Euroopan unionin jäsenmaista.

Saksan riippumattomien tietosuojaviranomaisten konferenssin (DSK) 11. syyskuuta julkaisema päätöslauselma antaa käytännön suosituksia henkilötietojen siirtoa koskeva kehys "omaisuuskauppojen" yhteydessä yritysten hallussa olevia henkilötietoja: yrityksen asiakkaiden ja potentiaalisten asiakkaiden, työntekijöiden, liikekumppaneiden jne. tiedot

Saksassa Hampurin tietosuojavaltuutettu hyväksyi kiistanalaisen asiakirjan laajoista kielimalleista (LLM).

Viranomainen katsoi näin ollen, että oikeustieteen maisterit eivät tallenna henkilötietoja ja että tämä johtopäätös on Euroopan unionin tuomioistuimen lausunnon mukainen.

Tekoälyjärjestelmän syöttö- ja tulostustiedot voivat kuitenkin olla henkilötietoja, toisin kuin koulutusvaihe, ja tällä on seurauksensa: tiedonsaanti-, poisto- tai oikaisupyynnöt voivat siksi liittyä näihin tietoihin.

Belgiassa Flanderi etäännyttää itseään liittovaltion hallituksesta yksityisyyden suojaa koskevissa kysymyksissä.

Sanomalehti Le Soir ilmoitti 1. syyskuuta, että flaamilainen pääministeri Jan Jambon oli 20. syyskuuta, muutamaa päivää ennen virastaan jättämistään, määrännyt ministereitään olemaan enää toimittamatta asetus- ja päätösluonnoksia liittovaltion tietosuojaviranomaiselle (APD), vaan sen alueelliselle elimelle, Vlaamse Toezichtcommissielle (VTC).

Itse asiassa Flanderin hallitus oli jo vuodesta 2019 lähtien järjestelmällisesti ohittanut APD:n hyväksymällä asetukset VTC:n kautta, huolimatta perustuslakituomioistuimen maaliskuussa 2023 antamasta päätöksestä, jossa muistutettiin, että Flanderin hallituksen oli hyväksyttävä säädöksensä APD:n kautta.

Tänään pääministeri haluaa virallistaa Flanderin toimivallan: hän on lähettänyt Euroopan komissiolle kirjeen, jossa hän pyytää tunnustamaan videokaupan toimivallan GDPR:n osalta.

Belgian tietosuojaviranomainen (APD) määräsi rekisterinpitäjälle 100 000 euron sakon, koska se ei vastannut rekisteröidyn tiedonsaantipyyntöön ajoissa.

APD kuitenkin hylkäsi asianomaisen pyynnön saada tietoja tietyistä työntekijöistä, jotka olivat käyttäneet hänen tietojaan.

Myös Belgiassa APD:n riitojenratkaisujaosto hylkäsi 6. syyskuuta Noybin esittämän edustusmandaatin pätevyyden tapauksessa, joka koski Google Analytics -skriptien integrointia verkkosivustolle aikana, jolloin EU-tuomioistuin oli mitätöinyt Privacy Shield -järjestelyn.

Riitojenjaosto katsoi, että Noyb oli väärinkäyttänyt toimeksiantoa oikeuksiensa suhteen.

Erillisessä tapauksessa Belgian tietosuojaviranomainen (APD) kuitenkin hyväksyi useita Noybin vuonna 2023 tekemiä valituksia ja määräsi neljä suurta belgialaista uutissivustoa saattamaan evästebannerinsa GDPR:n mukaisiksi.

Espanjan tietosuojaviranomainen julkaisi 2. lokakuuta raportin henkilötietojen käsittelystä ja lasten iän varmentamisesta digitaalisessa ympäristössä.

Asiakirjassa esitetään tietoyhteiskunnan palveluille ennakoivien suojauskäytäntöjen kehittämisen puolestapuhuja.

Espanjan tietosuojaviranomainen (APD) on määrännyt fintech-yritykselle 72 000 euron sakon riittämättömien asiakkaan henkilöllisyyden varmennusmenetelmien toteuttamisesta, minkä ansiosta huijarit pystyivät ottamaan lainaa uhrin nimissä heidän tietämättään.

Irlannin tietosuojavaltuutettu (DPC) sakotti Metaa 91 miljoonalla eurolla 27. syyskuuta.

Päätös liittyy yrityksen toteuttamiin toimenpiteisiin varmistaakseen salasanojen käsittelyyn liittyviin riskeihin nähden asianmukaisen turvallisuustason sekä velvollisuuteen dokumentoida tietoturvaloukkaukset ja ilmoittaa niistä tietosuojaviranomaiselle.

Viranomainen muistuttaa rekisterinpitäjiä, että heidän on arvioitava käyttäjien salasanojen tallentamiseen liittyvät riskit ja toteutettava toimenpiteitä näiden riskien lieventämiseksi.

Syyskuun 12. päivänä APD ilmoitti myös aloittavansa tutkinnan Googlea vastaan, joka koskee eurooppalaisten käyttäjien henkilötietojen käyttöä tekoälymallin kehittämiseen käännösalalla.

Tutkinta koskee Googlen vuonna 2023 lanseeraamaa tekoälymallia "Pathways Language Model 2" (PaLM 2) ilman tietosuojavaikutusten analyysia.

Italiassa APD sakotti energiantoimittajaa 5 000 000 eurolla, koska se ei ollut toteuttanut riittäviä toimenpiteitä varmistaakseen alihankkijoidensa GDPR:n noudattamisen.

Näin he pystyivät tekemään sopimuksia asianomaisten ihmisten kanssa heidän tietämättään.

Portugalin tietosuojaviranomainen (APD) on määrännyt rekisterinpitäjälle 107 000 euron sakon toistuvasta ei-toivottujen kaupallisten viestien lähettämisestä.

Rekisterinpitäjää pidettiin vastuussa, vaikka lähetykset oli suorittanut alihankkija käyttäen omaa tietokantaansa.

 

Yhdysvaltain liittovaltion kauppakomission (FTC) 19. syyskuuta julkaisema raportti paljastaa, että suuret sosiaalisen median ja videoiden suoratoistopalveluyritykset ovat harjoittaneet laajamittaista käyttäjien valvontaa löyhillä yksityisyyden suojaustoimilla ja riittämättömillä lasten ja nuorten suojatoimilla.

Raportissa suositellaan tietojen säilyttämisen ja jakamisen rajoittamista, kohdennetun mainonnan rajoittamista sekä teini-ikäisten suojelun vahvistamista.

Kiinan hallitus julkaisi 30. syyskuuta "Verkkotietojen turvallisuuden hallintaa koskevat määräykset", jotka tulevat voimaan 1. tammikuuta 2025. 

Tekstin tarkoituksena on säännellä verkkotietojen käsittelyä, suojata yksilöiden ja organisaatioiden oikeuksia ja oikeutettuja etuja sekä turvata kansallista turvallisuutta ja yleisiä etuja.

Myös Kiinassa kansallinen tietoturvallisuuden standardoinnin tekninen komitea (TC260) on julkaissut tekoälyä koskevan tietoturvallisuuden hallintakehyksen.

Asiakirja sisältää sarjan periaatteita ja tarjoaa hyödyllisen luokittelun tekoälyyn liittyvistä riskeistä ja teknologisista toimenpiteistä niiden torjumiseksi.

IBM on julkaissut raportin tietomurtojen kustannuksista vuodelta 2024.

Raportin johtopäätöksistä on syytä huomata, että:

• Tietomurron keskimääräinen kokonaiskustannus on 4,88 miljoonaa dollaria, ja tietomurrot ovat kalleimpia Yhdysvalloissa.
• Kyberturvallisuusosaajien pula on pahentunut,
• Lähes puolet tietomurroista koskee henkilötietoja (46 %) tai immateriaalioikeuksia koskevia rekistereitä (43 %).
• Lainvalvonnan toimet vähentävät kiristyshaittaohjelmien aiheuttamia kustannuksia keskimäärin miljoonalla dollarilla.
• Varastettuihin tunnistetietoihin liittyvien tietomurtojen tunnistamiseen ja estämiseen tarvitaan 292 päivää.

Instagram tarjoaa nyt teini-ikäisten tileille tiukempia turva-asetuksia, joiden avulla vanhemmat voivat rajoittaa sovellusten käyttöä.

Teini-ikäisten tilit on erityisesti suunniteltu suojaamaan alaikäisiä haitalliselta sisällöltä ja ei-toivotuilta yhteydenotoilta samalla, kun sovelluksessa käytetty aika lyhenee.