Legal Watch nro 92 – helmikuu 2026. 

 

Alihankkija, heikon lenkin ja strategisen toimijan välissä.

CNIL esitteli 9. helmikuuta vuoden 2025 raporttinsa seuraamuksista ja korjaavista toimenpiteistä: evästeet, työntekijöiden seuranta ja tietoturva olivat vuonna 2025 määrättyjen seuraamusten pääaiheita, ja sakkojen yhteenlaskettu määrä oli 486 839 500 euroa.

Seuraamuksista merkittävä osa koskee alihankkijoita, jotka eivät noudata heille uskottuja tietoja koskevia velvoitteitaan.

CNIL muistuttaa meitä, että alihankkijan on:

• Käsittele tietoja ainoastaan rekisterinpitäjän ohjeiden mukaisesti;
• Toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet riittävän turvallisuustason varmistamiseksi;
• Ja poista tiedot sopimussuhteen päättyessä rekisterinpitäjän kanssa.

Alihankkijan on myös avustettava rekisterinpitäjää tiettyjen asetuksen velvoitteiden täytäntöönpanossa: yksityisyydensuojaa koskeva vaikutustenarviointi, tietoturvaloukkauksista ilmoittaminen, turvallisuus ja osallistuminen tarkastuksiin.

Sen on myös pidettävä kirjaa käsittelytoimista ja tietyissä tapauksissa nimitettävä tietosuojavastaava.

GDPR:n 28 artikla, joka käsittelee rekisterinpitäjän ja henkilötietojen käsittelijän välisen erityisen sopimuksen tekemistä, määrittelee pakolliset määräykset, jotka sopimukseen on sisällytettävä.

Tämä voi perustua kokonaan tai osittain mallisopimuslausekkeisiin, kuten Euroopan komission tai jonkin EU:n jäsenvaltion hyväksymiin lausekkeisiin.

On suositeltavaa määritellä selvästi urakoitsijan ja aliurakoitsijan vastuut näissä lausekkeissa. Näistä tiedoista voi olla hyötyä, jos jompikumpi osapuoli laiminlyö sopimuksen.

On syytä muistaa, että monet viimeaikaiset tietomurrot, jotka ovat vaikuttaneet sekä julkiseen että yksityiseen sektoriin, ovat johtuneet alihankkijan tietoturvavirheestä.

Usein syynä on inhimillinen virhe ja tarkemmin sanottuna työntekijän tunnistetietojen varastaminen.

Kaksivaiheinen todennus ja monimutkaisten salasanojen käyttö ovat edelleen olennaisia tapoja suojautua tällaisilta hyökkäyksiltä, kuten toistimme kommentissamme CNIL:n äskettäisestä "France travail" -sanktiosta.

Alihankkijoilla on todellakin erityisiä velvoitteita turvallisuuden, luottamuksellisuuden ja dokumentoinnin suhteen.

Tehokkaan ja riskeihin mukautetun tietosuojan takaamiseksi niiden on otettava käyttöön kaikki hyödylliset toimenpiteet palvelun tai tuotteen suunnittelusta lähtien ja oletusarvoisesti ("sisäänrakennettu ja oletusarvoinen yksityisyyden suoja").

Lisäksi kaikista tietoturvaloukkauksista on ilmoitettava rekisterinpitäjälle laissa säädetyssä määräajassa.

Lopuksi, tietojen poistaminen sopimuksen päättyessä ei ole vain velvoite, vaan se on myös paras tapa suojautua tietomurroilta sopimussuhteen päätyttyä, kuten CNIL:n joulukuun lopussa Mobius Solutions -yritykselle määräämä miljoonan euron sakko muistuttaa.

Yhtiö oli säilyttänyt kopion yli 46 miljoonan Deezer-käyttäjän tiedoista sopimussuhteen päättymisen jälkeen, vaikka sillä oli velvollisuus poistaa kaikki nämä tiedot sopimuksen päättyessä, mikä mahdollisti merkittävän tietomurron.

 

CNIL julkaisi päivitetyn version tietosuojataulukoistaan 2. maaliskuuta. 

Näihin taulukoihin on koottu ja järjestetty keskeinen oikeuskäytäntö ja päätöksentekokäytännöt henkilötietojen suojaan liittyen kansallisella ja eurooppalaisella tasolla.

Helmikuun lopussa France 2:n raportissa varoitettiin lääketieteellisten tietojen vuodosta ja tarkemmin sanottuna Cegedimin tekemästä "MonLogicielMedical"-ohjelmiston hakkeroinnista.

Hyökkäyksen avulla hakkeri pystyi keräämään 11–15 miljoonan ranskalaisen lääketieteelliset tiedot, jotka olivat saatavilla darknetissä.

CNIL oli jo syyskuussa 2024 määrännyt yritykselle 800 000 euron sakon erityisesti terveystietojen luvattomasta käsittelystä.

Julkisen talouden pääosasto (DGFiP) ilmoitti 18. helmikuuta 2026 lehdistötiedotteessa, että kansalliseen pankkitilitietokantaan (FICOBA) oli havaittu laiton pääsy valtuutetun edustajan tunnisteiden kaappauksen jälkeen.

Hakkeri oli saanut tilin tunnistetiedot haltuunsa ennen kyberhyökkäystä: talousministeriö ei ollut ottanut käyttöön kaksivaiheista todennusta.

Kyseiset tiedot liittyvät noin 1,2 miljoonaan tiliin ja sisältävät erityisesti tilinomistajan henkilöllisyyden, osoitteen, pankin ja IBAN-tilinumeron.

01net raportoi Surfshark-yhtiön tekemästä selvityksestä, joka koskee tietovuotoja Ranskassa.

"Vuoteen 2025 mennessä maailmanlaajuisesti on hakkeroitu 425,7 miljoonaa tiliä. Eniten kärsinyt maa on Yhdysvallat, jossa on 34 miljoonaa maailmanlaajuista tietomurtoa. Toisella sijalla on Ranska, jota seuraavat Intia, Saksa ja Venäjä. Vuoteen 2025 mennessä ranskalaiset internetin käyttäjät ovat kokeneet keskimäärin lähes yhden tilin hakkeroinnin sekunnissa."

Ranska erottuu myös joukosta "rikkomusten tiheydellä, joka on 12 kertaa suurempi kuin maailman keskiarvo". Yksi tärkeimmistä kysymyksistä on investointien puute turvallisuuteen, olivatpa ne sitten yritysten tai julkisten toimijoiden taholta.

Myös tietovälittäjät, jotka penkovat verkkoa myydäkseen edelleen näin kerättyjä henkilötietoja, ovat hakkereiden ensisijainen kohde.

 

Euroopan unionin toimielimet ja elimet

Euroopan komission "omnibus"-ehdotus GDPR:n yksinkertaistamiseksi kärsii takaiskun EU:n neuvostossa.

Neuvosto aikoo 20. helmikuuta päivätyssä asiakirjassa poistaa ehdotuksen henkilötietojen määritelmän muuttamisesta.

Lisäksi Euractivin mukaan neuvosto haluaa poistaa komission ehdotuksen omien valtuuksiensa laajentamisesta, mikä antaisi sille mahdollisuuden määrittää, mikä katsotaan riittävän pseudonymisoiduksi tiedoksi.

Neuvoston puheenjohtajavaltio Kyproksen laatima kompromissiteksti toimii pohjana kansallisten hallitusten välisille neuvotteluille.

Neuvoston odotetaan käsittelevän tekstiä 27. helmikuuta.

Euroopan tietosuojaneuvosto (EDPB) ja Euroopan tietosuojavaltuutettu (EDPS) olivat jo 11. helmikuuta hyväksyneet kauan odotetun yhteisen lausunnon tämän Omnibus-ehdotuksen tietosuojaa koskevista näkökohdista.

Lehdistötiedotteessaan sääntelyviranomaiset korostavat, että yksinkertaistaminen ei saa tapahtua ihmisten suojelemisen kustannuksella.

He kehottavat lainsäätäjiä olemaan hyväksymättä ehdotettuja muutoksia henkilötietojen määritelmään, koska ne supistaisivat merkittävästi sen soveltamisalaa ja olisivat ristiriidassa Euroopan unionin tuomioistuimen oikeuskäytännön kanssa.

”Meidän on varmistettava, että kaikki GDPR:n ja EU:n yleisen tietosuoja-asetuksen muutokset todella selventävät velvoitteita ja tarjoavat oikeusvarmuutta samalla, kun säilytetään luottamus ja yksilön oikeuksien ja vapauksien korkeatasoinen suoja.”

Yhteisessä lausunnossa korostetaan myös tarvetta tietosuojaviranomaisten selkeälle valvonnalle evästebannereiden ja julkisen sektorin tietojen uudelleenkäytön suhteen.

Euroopan tietosuojaneuvosto on julkaissut raportin koordinoiduista toimistaan oikeuden tulla unohdetuksi soveltamisessa.

Tämä oikeus on yksi useimmin käytetyistä.

Se on johtanut lukuisiin valituksiin ja yhä useampiin tietosuojaviranomaisten päätöksiin.

Raportissa tuodaan esiin seitsemän organisaatioiden kohtaamaa merkittävää haastetta, mukaan lukien sisäisten menettelytapojen puute. Se tarjoaa myös käytännön suosituksia, jotka auttavat organisaatioita vastaamaan näihin haasteisiin.

Komitea julkaisi myös raportin 12. joulukuuta 2025 pidetystä anonymisointia ja pseudonymisointia koskevasta tilaisuudesta.

Raportissa esitetään yhteenveto noin sadan osallistujan palautteesta, jotka kokoontuivat keskustelemaan GDPR:n soveltamisesta näihin tekniikoihin EU-tuomioistuimen EDPS v. SRB -tapauksessa antaman päätöksen jälkeen.

Hän korostaa käytännön epävarmuustekijöitä sen määrittämisessä, milloin tiedot pysyvät "tunnistettavissa" toimijoista ja konteksteista riippuen, sekä kysymystä "kohtuudella todennäköisistä keinoista", joita käytetään henkilön uudelleentunnistamiseen.

Asiakirjassa ei anneta lopullisia ohjeita, mutta siinä yksilöidään keskeiset kysymykset, jotka ohjaavat Euroopan tietosuojaneuvoston tulevia suuntaviivoja anonymisoinnin ja pseudonymisoinnin osalta sen työohjelmassa.

Euroopan tietosuojaneuvosto on hyväksynyt työohjelmansa vuosille 2026–2027.

Hän työskentelee useiden GDPR-vaatimustenmukaisuutta helpottavien mallien parissa: tietomurtoilmoitukset, tietosuojavaikutusten arvioinnit, oikeutettujen etujen arviointi, käsittelyrekisteri ja tietosuojailmoitus/-käytäntö.

Unionin tuomioistuin päätti 10. helmikuuta asiassa C-97/23 P | WhatsApp Ireland v. Euroopan tietosuojaneuvosto, että Whatsappin Euroopan tietosuojaneuvoston päätöstä vastaan nostama kanne oli tutkittavaksi otettava.

Koska Euroopan unionin tuomioistuin ei ole vielä käsitellyt asian asiasisältöä, se kumoaa valituksenalaisen määräyksen ja palauttaa asian tuomioistuimelle uudelleen käsiteltäväksi.

Euroopan ihmisoikeustuomioistuin päätti 17. helmikuuta Green alliance v. Bulgaria – 6580/22 -tapauksessa, että Bulgarian säännökset, jotka valtuuttavat kansallisen turvallisuusviraston käyttämään "salaisia agentteja", rikkoivat Euroopan ihmisoikeussopimuksen 8 artiklaa, koska ne sallivat organisaatioiden salaisen valvonnan ilman riittäviä suojatoimia tai valvontaa.

 

Uutisia Euroopan unionin jäsenmaista.

Heise.de:n ja Table.Median mukaan Saksan liittopäivät työskentelee intensiivisesti digitaalisen arkkitehtuurinsa perusteellisen uudelleenjärjestelyn parissa. Parlamentti haluaa vapautua amerikkalaisten yritysten, kuten Microsoftin, teknologisesta otteesta voidakseen toimia kriisiaikoina joustavammin ja ennen kaikkea riippumattomasti kolmansista maista.

Itävallan tietosuojaviranomainen (DPA) on määrännyt rekisterinpitäjälle 1 500 euron sakon julkisen jalkakäytävän laittomasta kuvaamisesta valvontakameralla ja epäillyn varkaan kuvien julkaisemisesta sosiaalisessa mediassa. Tämä rikkoi tietojen minimoinnin ja läpinäkyvyyden periaatteita sekä oikeudellisen datan käsittelyä koskevia sääntöjä.

Tanskan tietosuojaviranomainen (DPA) on antanut 51 kunnalle huomautuksen ja samanaikaisesti varoituksen Googlen tuotteiden käytöstä peruskouluissa ja lukioissa. Tarkemmin sanottuna viranomainen totesi, että kunnat eivät olleet riittävästi osoittaneet varmistavansa EU:n ulkopuolella käsiteltävien henkilötietojen asianmukaisen suojan tason.

Irlannin tietosuojavirasto (DPA) ilmoitti 17. helmikuuta aloittaneensa tutkinnan Elon Muskin yrityksestä X. Tutkinta koskee "mahdollisesti haitallisten, intiimien ja/tai seksuaalisesti eksplisiittisten kuvien luomista ja julkaisemista X-alustalla ilman suostumusta, jotka sisältävät EU/ETA-alueella rekisteröityjen, mukaan lukien lasten, henkilötietoja tai joihin liittyy näiden tietojen käsittelyä", käyttäen Grok-kielimalliin liittyvää generatiivista tekoälyominaisuutta. Useat maat ovat jo päättäneet kieltää Elon Muskin tekoälychatbotin kokonaan, ja Euroopan komissio käynnisti tutkinnan 26. tammikuuta.

Alankomaissa tuomioistuin päätti, että Alankomaiden tietosuojaviranomainen (APD) ei ollut riittävästi perustellut elokuvateatteria vastaan tehdyn kantelun hylkäämistä, koska elokuvateatteri ei enää hyväksynyt käteismaksuja. Tuomioistuimen mukaan APD ei ollut arvioinut, oliko korttimaksuvaatimuksella riittävän konkreettinen ja perusteltu tavoite GDPR:n nojalla.

Slovakiassa perustuslakituomioistuin mitätöi lain, joka velvoitti kansalaisjärjestöt julkaisemaan tietoja avustajistaan. Se totesi lain loukkaavan yksityisyyttä, tiedonvälityksen itsemääräämisoikeutta ja yhdistymisvapautta sekä aiheuttavan kohtuuttomia rasitteita.

 

Britannian tietosuojaviranomainen (ICO) on määrännyt Redditille 14,47 miljoonan punnan (noin 16,6 miljoonan euron) sakon lasten tietojen yksityisyyden suojaa koskevien velvoitteidensa laiminlyönnistä.

ICO uskoo, että Redditin ikävahvistus on riittämätön ja että alustalla "ei siksi ollut laillista perustaa alle 13-vuotiaiden lasten henkilötietojen käsittelyyn".

Lisäksi Reddit "ei tehnyt tietosuojaa koskevaa vaikutustenarviointia (DPIA) lasten riskien arvioimiseksi ja lieventämiseksi ennen tammikuuta 2025."

ICO ilmoitti myös 5. helmikuuta 247 590 punnan sakosta MediaLab.AI, Inc:lle, joka on kuvanjakoalusta Imgurin takana oleva yritys.

MediaLab salli lasten käyttää Imguria toteuttamatta Yhdistyneen kuningaskunnan tietosuojalainsäädännön edellyttämiä perussuojatoimia.

Intia päätti helmikuussa 2026 laajentaa maailman suurimman digitaalisen identiteettijärjestelmän Aadhaarin käyttöä jokapäiväiseen yksityisyyden suojaan uuden sovelluksen ja offline-vahvistusjärjestelmän avulla.

Muutosten pitäisi mahdollistaa henkilöllisyytensä todistaminen ilman reaaliaikaista vahvistusta tietokannassa integroimalla yksityisiä vahvistuspalveluita, kuten Google Wallet ja Apple Wallet.

Kansalaisyhteiskunnan kampanja väittää, että offline-vahvistusjärjestelmä uhkaa ottaa uudelleen käyttöön Aadhaarin yksityisen sektorin käytön, jonka korkein oikeus on jo tuominnut. 

Järjestelmä sallii myös "Intian osavaltioiden ja poliisin linkittää kaikenlaisia henkilötietoja Aadhaar-numeroon: GPS-koordinaatit, puhelinnumerot, sosiaaliset verkostot, äänestäjän rekisteröintikortin, passin, lainat, sosiaalietuudet, joskus jopa sukulaisten nimet tai jopa puolisoiden nimet tietyissä poliisin lomakkeissa".

CNBC:n 19. helmikuuta päivätyn raportin mukaan Accenture yhdistää johtajiensa ylennykset tekoälytyökalujensa säännölliseen käyttöön.

Apulaisjohtajille ja ylemmille johtajille kerrottiin, että johtotehtäviin pääsemiseksi vaadittaisiin tekoälyn "säännöllistä käyttöä".

Yhtiön tekoälystrategia "edellyttää uusimpien työkalujen ja teknologioiden käyttöönottoa, jotta voimme palvella asiakkaitamme mahdollisimman tehokkaasti", tiedottaja kertoi CNBC:lle.

Kalifornian oikeusministeri ilmoitti 11. helmikuuta 2026 ennätyksellisestä 2,75 miljoonan dollarin sopimuksesta Walt Disney Companyn kanssa. ratkaistakseen väitteet, joiden mukaan yritys ei ole riittävästi kunnioittanut kuluttajien vastalauseita heidän tietojensa käsittelylle Kalifornian kuluttajien yksityisyyden suojaa koskevan lain nojalla.

New York Times kertoo 13. helmikuuta julkaistussa artikkelissa, että Facebookin emoyhtiö Meta aikoo lisätä kasvojentunnistustoiminnon älylaseihinsa, joita se valmistaa yhteistyössä Ray-Banin ja Oakleysin omistajan kanssa, jo tänä vuonna.

Tämä sisäisesti "Name Tagiksi" kutsuttu ominaisuus antaisi älylasien käyttäjille mahdollisuuden tunnistaa ihmisiä ja saada heistä tietoja Metan tekoälyavustajalta. Viime vuonna julkaistussa sisäisessä muistiossa Metan kerrotaan todenneen, että Yhdysvaltojen poliittiset levottomuudet veisivät huomion pois ominaisuuden julkaisua vastustavilta.

23. helmikuuta 2026 61 tietosuojaviranomaista julkaisi yhteisen lausunnon tekoälyn tuottamista kuvista.

Tämä yhteinen lausunto käsittelee huolenaiheita tekoälyjärjestelmistä, jotka pystyvät tuottamaan realistisia kuvia ja videoita tunnistettavista henkilöistä ilman heidän tietämystään tai suostumustaan.

Taloudellisen yhteistyön ja kehityksen järjestö (OECD) julkaisi 19. helmikuuta 2026 uudet ohjeet, jotka auttavat organisaatioita panemaan täytäntöön OECD:n monikansallisille yrityksille tarkoitetut toimintaohjeet ja OECD:n tekoälyperiaatteet.

Näiden ohjeiden tarkoituksena on auttaa organisaatioita hallitsemaan tekoälyyn liittyviä riskejä ja noudattamaan vastuullisen liiketoiminnan kansainvälisiä standardeja.

Tekoälyagenttien kehittäminen, vaikka sen tarkoituksena onkin helpottaa monia hallinnollisia tehtäviä, herättää myös vakavia turvallisuuskysymyksiä.

OpenClaw, uusin, on avoimen lähdekoodin projekti, joka keskittyy autonomiseen tekoälyagenttiin, joka pystyy ohjaamaan tietokonetta käyttäjän sijaan.

OpenAI:n hiljattain ostama OpenClaw on nyt vakavien tietoturvahyökkäysten kohteena.

Kyberrikolliset vaaransivat muutaman viikon sisällä yli 30 000 OpenClaw-instanssia. Väärennetyt skriptit mahdollistivat virusten ja haittaohjelmien asentamisen, jotka pystyivät tallentamaan kaiken Windows-tietokoneiden näppäimistöllä kirjoitetun. 

”Yhä useammat startup-johtajat kieltävät autonomiset agentit yritysten laitteilla peläten luottamuksellisten tietojen vuotamista. Tietoturva-asiantuntijat ovat ilmaisseet vakavan huolensa tekoälyn auditoinnin, näkökulman, todellisten suojatoimien ja läpinäkyvyyden puutteesta, kun taas yhä useammat työntekijät integroivat sen jo päivittäisiin tehtäviinsä tuottavuuden parantamiseksi.”

Alankomaiden tietosuojaviranomainen (APD) välitti nämä varoitukset 12. helmikuuta ja varoittaa käyttäjiä ja organisaatioita käyttämästä OpenClawia ja vastaavia kokeellisia järjestelmiä kriittisten tietoturvahaavoittuvuuksien vuoksi.

Kansainvälinen yksityisyyden suojan ammattilaisten yhdistys (IAPP) julkaisi päivitetyn version maailmanlaajuisesta yksityisyyden suojaa koskevien lakien ja tietosuojaviranomaisten hakemistostaan 5. helmikuuta.

IAPP toteaa, että tietosuojajärjestelmät kehittyvät ja kypsyvät jatkuvasti maailmanlaajuisesti. ”Viimeisten 12 kuukauden aikana Intia on ottanut käyttöön uusia täytäntöönpanosääntöjä digitaalisen henkilötietojen suojaa koskevan lain täytäntöönpanemiseksi, Bangladesh ja Gambia ovat hyväksyneet tai harkitsevat uusien kattavien lakien hyväksymistä, ja muut maat, kuten Ecuador ja Indonesia, ovat perustaneet uusia virastoja tulkitsemaan ja valvomaan olemassa olevia yksityisyyden suojaa koskevia lakeja.”