Legal Watch nro 79 – tammikuu 2025. 

Ammattimaisen datan ylläpito: varo kuluttaja-alustoja.

Tietojen isännöintipalvelujen tarjoajien velvoitteilla lapsipornografian torjunnassa on erittäin laaja vaikutus heille uskomiemme asiakirjojen luottamuksellisuuteen.

Tämän havaitsi hiljattain pariisilainen asianajaja omalla kustannuksellaan tallentaessaan erittäin arkaluonteisia tietoja Google Driveen rikosoikeudenkäynnin yhteydessä.

Pariisin muutoksenhakutuomioistuimen 24. tammikuuta antama päätös muistuttaa lakimiehiä – sekä kaikkia arkaluonteisten tietojen kanssa työskenteleviä ammattilaisia – siitä, että tietojen luottamuksellisuutta ei taata hosting-palveluissa, kuten Google Drivessa.

Google voi todellakin, kuten mikä tahansa muu Yhdysvaltain lain alainen yritys, lasten seksuaalisen hyväksikäytön torjunnan yhteydessä poistaa hosting-tilin tai sähköpostitilin, jos epäillään tietojen laittomuutta.

Tässä nimenomaisessa tapauksessa asianajaja, joka oli tallentanut useita kymmeniä lapsipornokuvia Google Driveen rikosoikeudenkäynnin laillisessa yhteydessä, poisti sekä Drive- että Gmail-tilinsä.

Hänet ilmoitettiin myös NCMEC:lle (National Center for Missing and Exploited Children).

Kohdatessaan asianajajan, joka vaati Googlelta tietojensa palauttamista sekä vahingonkorvauksia, tuomioistuin vahvisti, että tiedostojen hallussapito, edes ammatillisessa yhteydessä, ei oikeuttanut niiden säilyttämistä ja että tilin sulkeminen ja raportti olivat oikeutettuja hosting-palveluntarjoajan lakisääteisten velvoitteiden nojalla.

On syytä muistaa, että tallennettuja tiedostoja ja sähköposteja jatkuvasti tarkistavat tunnistusalgoritmit eivät erottele laillisesti säilytettyjä arkaluonteisia tiedostoja laittomasta sisällöstä eivätkä henkilökohtaista tai ammatillista toimintaa.

Tili voidaan sulkea ilman erillistä ilmoitusta ja ilman oikeussuojakeinoja, mikä tarkoittaa, että asianajaja voi menettää välittömästi pääsyn tiedostoihinsa ja viestintäänsä, jopa laillisen liiketoiminnan yhteydessä.

Lisäksi, edelleen lapsipornografian aiheesta, amerikkalaiset hosting-palveluntarjoajat, jotka jo skannaavat palvelimilleen tallennettua sisältöä, ovat velvollisia ilmoittamaan käyttäjästä Ranskan toimivaltaiselle poliisilaitokselle, eli OFMINille.

Turvallisten palveluiden käyttö on sitäkin tärkeämpää säännellyssä ammatissa.

Tässä yhteydessä palautetaan mieleen ANSSI:n vuonna 2023 julkaisema raportti asianajotoimistoihin kohdistuvan kyberuhkien tilasta.

Vaikka lakimiehillä on yleensä oma ja turvallinen järjestelmä (e-Drive) ja osoite (avocat.fr), aivan kuten lääkäreillä, näin ei välttämättä ole kaikkien ammattien kohdalla, etenkään sääntelemättömien ammattien kohdalla.

Nykyään eurooppalaiset säännöt, ja erityisesti Ranskan LCEN (21. kesäkuuta 2004 annettu laki luottamuksesta digitaalitalouteen), eivät velvoita hosting-palveluntarjoajia järjestelmällisesti skannaamaan tallennettuja tietoja, mutta ne edellyttävät varmennusta ilmoitettaessa ja epäiltäessä rikkomusta.

Oikeudellinen kehys voisi kuitenkin kehittyä Euroopan tasolla tulevan lasten seksuaalisen hyväksikäytön ehkäisemiseen ja torjumiseen tähtäävän CSAR-asetuksen hyväksymisen myötä.

Vaikka kukaan ei kiistä tavoitteiden pätevyyttä, suunnitelma yksityisviestinnän järjestelmällisen skannauksen sallimiseksi aiheuttaa kiivasta keskustelua.

Tällä hetkellä on erittäin suositeltavaa joka tapauksessa:

• Käyttää ammattilaisille tarkoitettuja pilviratkaisuja, jotka on tarvittaessa suunniteltu säänneltyjä ammatteja varten ja jotka takaavat ammattisalaisuuden kunnioittamisen;
• Erottaa tiukasti henkilökohtaisen ja ammatillisen käytön toisistaan;
• Datan salaamiseksi päästä päähän;
• Valitse itsenäinen hosting-palveluntarjoaja, joka sijaitsee Ranskassa tai ainakin Euroopassa.

 

Ranska isännöi 10. ja 11. helmikuuta Tekoälyn (AI) toimintahuippukokous, joka kokoaa yhteen Grand Palais'ssa valtion- ja hallitusten päämiehiä, kansainvälisten järjestöjen johtajia, pienten ja suurten yritysten toimitusjohtajia, akateemisen maailman ja kansalaisjärjestöjen edustajia, taiteilijoita ja kansalaisyhteiskunnan jäseniä.

CNIL julkaisee strategisen suunnitelmansa vuosille 2025–2028Jälkimmäinen käsittää neljä pääakselia:

• Tekoäly,
• Alaikäisten oikeudet,
• Kyberturvallisuus
• Digitaalinen käyttö jokapäiväisessä elämässä.

Se keskittyy kahteen näistä käyttötarkoituksista: mobiilisovelluksiin ja digitaaliseen identiteettiin.

CNIL julkaisee myös useita ohjeita rekisterinpitäjille tämän vuoden alussa.

Hän julkaisi lopullisen versionsa 31. tammikuuta opas Euroopan unionin ulkopuolelle tehtävien tiedonsiirtojen vaikutustenarvioinneista.

Hän muistuttaa meitä 23. tammikuuta päivätyssä viestissä siitä, että internetissä vapaasti saatavilla olevia tietokantoja käytettäessä suoritettavat tarkastukset tai kolmannen osapuolen tarjoama.

Se vastaa myös laajamittaisiin tietomurtoihin, jotka vaikuttivat miljooniin ihmisiin vuonna 2024, ja ehdottaa toimenpiteitä turvallisuuden vahvistamiseksi hyökkäysriskien torjumiseksi.

Nämä liittyvät yrityksen sisäisiin menettelytapoihin sekä alihankinnan yhteydessä toteutettaviin varotoimiin.

Hän muistaa yhä hänen suosituksia SDK:iden (ohjelmistokehityspakettien) integroimiseksi mobiilisovelluksiinja ilmoittaa suorittavansa tarkastuksia varmistaakseen niiden noudattamisen GDPR:ää.

Hän julkaisi sen lopulta tammikuun 20. päivänä. tarkastustoimintansa koordinoidun eurooppalaisen toiminnan puitteissa tiedonsaantioikeuden kunnioittamisen osalta, ja toteaa, että rekisterinpitäjien toteuttamat toimenpiteet ovat joskus riittämättömiä: esimerkiksi kun yksilöt käyttävät oikeuttaan päästä käsiksi kaikkiin tietoihinsa, jotkut organisaatiot antavat vain osittaisen tai puutteellisen vastauksen.

Kuluttajajärjestö UFC-Que Choisir hävisi oikeusjutun Googlea vastaan.

Kesäkuussa 2019 hän nosti ryhmäkanteen yritystä vastaan tuomitessaan GDPR:n vastaiset käytännöt: tunkeilevan geolokaation, liikkeiden seurannan ilman suostumusta ja pyytämättömän kohdennetun mainonnan.

Ryhmäkanne perustui CNIL:n päätökseen, jolla Googlelle oli määrätty ennätyksellinen 50 miljoonan euron sakko.

Yhdistys vaati 1000 euroa jokaista vahinkoa kärsinyttä käyttäjää kohden, yhteensä 27 miljardia euroa.

Pariisilainen tuomioistuin hylkäsi pyynnön riittämättömien todisteiden vuoksi ja määräsi yhdistyksen maksamaan Googlelle 10 000 euroa oikeudenkäyntikuluja.

 

Euroopan unionin toimielimet ja elimet

Tammikuun 16. päivänä Euroopan tietosuojaneuvosto on hyväksynyt pseudonymisointia koskevat ohjeet.

Nämä määrittelevät pseudonymisoinnin määritelmän ja soveltamisedellytykset sekä sen edut.

Ne tarjoavat myös useita esimerkkejä.

Vaikka pseudonymisointi ei vapauta tietoja GDPR:n soveltamisesta, se kuitenkin vähentää käsittelyyn liittyviä riskejä (esimerkiksi kiristyshaittaohjelmien tapauksessa).

Ohjeet ovat kommentoitavissa 28. helmikuuta asti.

Euroopan unionin yleinen tuomioistuin (GC) päätti keskiviikkona 29. tammikuuta Euroopan tietosuojaneuvoston (EDPB) hyväksi kiistassa Irlannin tietosuojaviranomaisen (DPA) kanssa.

Irlannin riitauttamassa komitean päätöksessä pyydettiin tietosuojaviranomaista laajentamaan Metan GDPR-rikkomusten tutkintaa.

Tuomioistuin toteaa, että "tutkinnan laajentaminen, jota vähintään puolet valvontaviranomaisista välttämättä pyytää (...), ei ole tarkoitettu, toisin kuin hakija väittää, vaikeuttamaan valituksen tehneen henkilön tai sen kohteena olevan rekisterinpitäjän tehtävää, vaan se on toimenpide heidän oikeuksiensa puolustamiseksi" (§56).

Euroopan unionin yleinen tuomioistuin tuomitsi päätöksessään T-354/22 Euroopan komission GDPR:n rikkomisesta sen järjestämän tapahtuman verkkoilmoittautumisen yhteydessä.

Etusivulla näkyvän ”Yhdistä Facebookiin” -linkin avulla komissio ”loi edellytykset, jotka mahdollistivat hakijan IP-osoitteen siirtämisen Facebookille” ja siten Yhdysvaltoihin.

Tuolloin Privacy Shield oli mitätöity, ja tiedonsiirron katsottiin siksi olevan asetuksen 2018/1725 46 artiklan vastaista.

Tuomioistuin katsoi, että "hakijan väittämää henkistä vahinkoa on pidettävä todellisena ja varmana", koska siirto "asetti hakijan turvattomaan tilanteeseen hänen henkilötietojensa, erityisesti IP-osoitteensa, käsittelyn suhteen".

Tällä päätöksellä voi olla seurauksia, jos "tietosuojakehys" mitätöidään, koska siinä tunnustetaan, että pelkkä internetin käyttäjän yhdistäminen yhdysvaltalaiseen palveluun merkitsee henkilötietojen siirtoa Yhdysvaltoihin.

Euroopan unionin tuomioistuin (CJEU) katsoo 9. tammikuuta 2025 antamassaan Mousse-tuomiossa (C-394/23), ettei junalippujen ostajilta ole tarpeen kysyä, pitäisikö heitä kutsua herraksi vai rouvaksi.

Tuomioistuin muistuttaa, että ”jotta henkilötietojen käsittelyä voidaan pitää sopimuksen täytäntöön panemiseksi tarpeellisena tässä säännöksessä tarkoitetulla tavalla, sen on oltava objektiivisesti välttämätöntä sellaisen tarkoituksen saavuttamiseksi, joka on olennainen osa rekisteröidylle tarkoitettua sopimukseen perustuvaa palvelua”.

Tässä tapauksessa tuomioistuin toteaa, että käytännöllinen ja vähemmän tunkeileva ratkaisu näyttää olevan olemassa: kyseinen yritys voisi valita viestinnän, joka perustuu yleisiin, osallistaviin kohteliaisuuslauseisiin, jotka eivät ole yhteydessä oletettuun sukupuoli-identiteettiin.

Euroopan unionin tuomioistuin selvensi 9. tammikuuta antamassaan tuomiossa myös kriteerejä, joiden mukaisesti "kohtuuttomat" pyynnöt määritellään yleisen tietosuoja-asetuksen 57(4) artiklan tarkoittamassa merkityksessä, korostaen, että kyse ei ole pelkästään rekisteröidyn tekemien pyyntöjen määrästä, vaan pikemminkin näiden pyyntöjen taustalla olevasta väärentämistarkoituksesta.

Tämä päätös koskee tietosuojavaltuutettuja, mutta perustelut ovat kiinnostavia rekisterinpitäjille.

Euroopan unionin tuomioistuin katsoo, että valvontaviranomaisilla on todistustaakka ja niiden on osoitettava pyynnön esittäneen henkilön vilpillinen tarkoitus.

Euroopan unionin tuomioistuimen 19. joulukuuta 2024 antamassa päätöksessä (asia C-65/23) selvennetään, että vaikka yritysten väliset sopimukset voivat muodostaa erityisen oikeusperustan, työnantajien on varmistettava, että tämäntyyppiset sopimukset ovat GDPR:n mukaisia.

Tässä nimenomaisessa tapauksessa saksalainen yritys ja sen työpaikkaneuvosto olivat tehneet sopimuksia työntekijätietojen käsittelystä.

Kiista koski uuden pilvipohjaisen ohjelmiston käyttöä, jonka kautta henkilötietoja siirrettiin Yhdysvalloissa sijaitseville palvelimille.

EU-tuomioistuin korostaa, että kansallisten tuomioistuinten on varmistettava kaikkien GDPR:n periaatteiden noudattaminen, vaikka tietojenkäsittely perustuisi työehtosopimukseen.

 

Uutisia Euroopan unionin jäsenmaista.

Belgiassa Belgian tietosuojaviranomainen (APD) antoi 7. tammikuuta työnantajalle huomautuksen laittomasta käsittelystä, joka koski yhden työntekijänsä alaikäiseen kohdistunutta pahoinpitelyä.

Työnantajan turvallisuuspäällikkö oli pyytänyt Ranskan kansallista turvallisuusviranomaista pidentämään yhden työntekijänsä turvallisuusluokitusta. Virasto hylkäsi pyynnön perustellulla päätöksellä, joka toimitettiin johdolle ja työntekijälle.

Johto kuitenkin välitti tiedon henkilön suoralle esimiehelle, joka käynnisti kurinpitotoimet häntä vastaan.

APD viittaa useisiin rikkomuksiin, mukaan lukien oikeusperustan puuttuminen, tietojen siirtäminen ilman yhteensopivaa tarkoitusta, arkaluonteisten tietojen laiton käsittely ja läpinäkyvyyden puute asianomaista henkilöä kohtaan.

Tanskassa APD hyväksyi FC Copenhagenin pyynnön käyttää kasvojentunnistusteknologiaa jalkapallo-otteluissa kansallisen lain nojalla sillä perusteella, että suunniteltu pelikielto on merkittävä yleinen etu.

Muille tapahtumille kuin jalkapallo-otteluille ei ole myönnetty lupaa.

Tanskalainen yhdistys "Danes je nov dan" on lanseerannut työkalun, jolla testataan käyttäjien kykyä tunnistaa tekoälyn tuottamaa sisältöä ja samalla tiedotetaan heille sen väärinkäyttöön liittyvistä riskeistä.

Interaktiivisen tietokilpailun muodossa esitetty työkalu kattaa useita osa-alueita, kuten synteettisten kuvien, tekstien ja videoiden tunnistuksen.

Toisin kuin tanskalainen vastineensa, Espanjan tietosuojavirasto (APD) katsoi, että jalkapallostadionille pääsyn hallintaan käytetyn valinnaisen kasvojentunnistusjärjestelmän käyttöönotto loukkasi tietojen minimoinnin periaatetta, koska oli olemassa vähemmän invasiivisia vaihtoehtoja, ja määräsi tämän perusteella vastuussa oleville 200 000 euron sakon.

Espanjan tietosuojaviranomainen (APD) määräsi myös CI Postal -postitoimistolle 200 000 euron sakon, koska se oli syys- ja lokakuun 2022 välisenä aikana hylännyt julkisille paikoille noin 8 000 kirjettä, jotka useat yritykset olivat sille uskoneet.

APD toteaa, että tietosuoja-asetuksen 5(1)(f) artiklaa ja 32 artiklaa on rikottu luottamuksellisuuden ja turvallisuuden osalta, ja viittaa postin jäljitettävyysjärjestelmän puuttumiseen sekä työntekijöiden riittämättömään koulutukseen tietosuojasäännöistä.

Se määräsi myös Generali Españalle 4 000 000 euron sakon havaittuaan merkittäviä puutteita yhtiön lähestymistavassa tietoturvaan., joka mahdollisti luvattoman kolmannen osapuolen pääsyn yli 25 000 entisen asiakkaan tietoihin.

Viron tietosuojaviranomainen (APD) on määrännyt Asper Biogenelle 85 000 euron (10 % liikevaihdosta) sakon arkaluonteisten tietojen riittämättömästä suojaamisesta kiristysohjelmahyökkäyksen aikana..

Yritys suorittaa geneettisiä testejä, kuten isyystestejä ja perinnöllisten sairauksien seulontoja.

Hakkerit pystyivät lataamaan yli 33 gigatavua PDF-tiedostoja, jotka eivät olleet anonymisoituja eivätkä pseudonymisoituja ja jotka koskivat noin 100 000 virolaista.

Kreikassa tietosuojaviranomainen (DPA) määräsi 50 000 euron sakon ilmastokriisi- ja pelastuspalveluministeriölle, koska se ei ollut nimittänyt tietosuojavastaavaa.ja siten muun muassa rikkoen yleisen tietosuoja-asetuksen 37 artiklaa.

Kiinalainen startup-yritys Deepseek julkaisi tammikuun lopussa chatbotin, joka on samankaltainen kuin OpenAI:n ChatGPT ja Microsoftin Co-Pilot.

Sen lisäksi, että amerikkalaiset jättiläiset ovat syyttäneet Deepseekiä heidän omien järjestelmiensä tuottaman datan käytöstä, kiinalainen chatbot on jo herättänyt Italian tietosuojaviranomaisen (APD) huomion: 30. tammikuuta APD esti chatbotin toiminnan Italiassa ja aloitti tutkinnan saatuaan Deepseekiltä vastauksia, joita pidettiin täysin riittämättöminä sen kysymyksiin.

Myös Irlannin, Belgian ja Ranskan APD:t ilmoittivat ottaneensa asian esille.

Evästeiden "tummia kuvioita" koskevat päätökset moninkertaistuvat.ent: Ruotsissa APD antoi peliyhtiölle nuhteen evästebannerin heikosta suunnittelusta.

Hyväksymisvaihtoehdon graafinen korostus ja evästeiden hylkäämiseen vaadittavat lisävaiheet tekivät suostumuksesta pätemättömän GDPR:n 6 artiklan nojalla.

APD antoi myös kolme varoituspäätöstä yrityksille, jotka olivat muutamasta kuukaudesta useisiin vuosiin integroineet Metan yleisömittauspalvelun (Meta Pixel) verkkosivuilleen.

Tällä integraatiolla oli vaikutusta ohjata liikenne Metaan näkymättömästi käyttäjille.

 

Ison-Britannian tietosuojaviranomainen (DPA) ilmoitti 23. tammikuuta lehdistötiedotteessa puuttuvansa evästevaatimustenmukaisuuteen Ison-Britannian tuhannella suurimmalla verkkosivustolla.

ICO julkaisee myös "strategian" varmistaakseen, että verkkoseuranta antaa ihmisille "selkeitä valintoja ja luottamusta siihen, miten heidän tietojaan käytetään", sekä uusia ohjeita "suostumus tai maksu" -malleista.

Yhdysvalloissa kolme demokraattijäsentä yksityisyyden ja kansalaisvapauksien valvontalautakunnassa (PCLOB), jonka tehtävänä on tarkastella kansallisia turvallisuusvalvontaohjelmia yksityisyyden näkökulmasta, erotettiin 27. tammikuuta heidän kieltäydyttyään eroamasta Valkoisen talon pyynnöstä.

Tietosuojavaltuutettua PCLOB:tä pidettiin Euroopan ja Yhdysvaltojen välisen "tietosuojakehyksen" yhteydessä olennaisena keinona kunnioittaa yksilöiden oikeuksia joukkovalvonnan yhteydessä.

Tämän toimenpiteen vaikutus transatlanttisen sopimuksen elinkelpoisuuteen on vielä tuntematon.

Peruuttamisen jälkeen entisen presidentin Joe Bidenin tekoälyä koskevan toimeenpanomääräyksen Donald Trump allekirjoitti uuden, joka "kumoaa tiettyjä olemassa olevia tekoälypolitiikkoja ja -ohjeita, jotka ovat esteitä amerikkalaiselle tekoälyn innovaatiolle ja tasoittaa tietä Yhdysvalloille toimia päättäväisesti säilyttääkseen asemansa maailman johtavana tekoälyn alalla".

OpenAI julkisti 23. tammikuuta "Operator"-agenttinsa, jota kuvataan "agentiksi, joka voi suorittaa tehtäviä puolestasi verkossa".

Vaikka generatiiviset tekoälysovellukset voivat esimerkiksi vastata kysymyksiin, tiivistää tekstejä ja luoda synteettisiä kuvia ja videoita, agenttiset tekoälysovellukset voivat suorittaa monimutkaisempia tehtäviä, jotka eivät ainoastaan luo, vaan myös toteuttavat sisältöä.

Operator on siis suunniteltu automatisoimaan tehtäviä, kuten lomien suunnittelua, lomakkeiden täyttämistä tai päivittäistavarakaupan tilaamista.

Se on koulutettu toimimaan verkon tavallisten painikkeiden, valikoiden ja tekstikenttien kanssa, ja se voi myös esittää lisäkysymyksiä näiden tehtävien personoimiseksi entisestään.

Avoin tekoäly selventää, että käyttäjät voivat ottaa näytön hallinnan milloin tahansa.