Legal Watch nro 68 – helmikuu 2024.

CNIL:n valvonta: mitkä ovat vuoden 2024 prioriteetit? ?

Kuten joka vuosi, CNIL on julkaissut vuoden 2024 alussa katsauksensa aiemmasta toiminnastaan ja tulevien kuukausien prioriteeteistaan.

Se osoittaa jatkuvasti lisääntyvää valvontaa, jota on tehostettu yksinkertaistetun menettelyn käyttöönotolla tietyissä tapauksissa.

Viime vuonna tarkastukset vaikuttivat useisiin eri aloihin, kuten mainontaan ja verkkokauppaan, turvallisuuteen, ajoneuvojen maantieteelliseen sijaintiin, työntekijöiden oikeuksiin ja terveystietojen käsittelyyn.

CNIL on määrännyt pakotteita sekä monikansallisille yrityksille että pk-yrityksille sekä julkisille ja yksityisille toimijoille.

Komissio näyttää kuitenkin tulleen tietoiseksi lisäponnisteluista, joita pienten organisaatioiden johdolta vaaditaan GDPR:n noudattamiseksi.

Hän toteaa 1. maaliskuuta julkaistussa GDPR:n taloudellisia vaikutuksia käsittelevässä tutkimuksessa, että "GDPR on suhteellisesti suotuisampi suurille taloudellisille toimijoille, joilla on enemmän resursseja käytettäväksi vaatimustenmukaisuuden edistämiseen".

Hän vetää tästä johtopäätöksensä toteamalla, että "sääntelyviranomaisen on aktiivisesti kompensoitava tätä suuntausta vaativalla politiikalla suuria toimijoita, ja vielä enemmän erittäin suuria toimijoita, suhteessa niiden aiheuttamiin riskeihin ja käytettävissä oleviin resursseihin".

Kuten CNIL:n ja kilpailuviranomaisen joulukuussa 2023 antamassa yhteisessä lausunnossa myös täsmennetään, CNIL olettaa jo nyt ja tulee tulevaisuudessa vielä enemmän olettamaan epäsymmetrisen ulottuvuuden digitaalisten markkinoiden sääntelytoimissaan.yhdistettynä liiketoimintamallien täydelliseen ymmärtämiseen yksilöiden hyödyksi ja heidän perusoikeuksiensa suojelemiseksi.

Tänä vuonna ilmoitettujen toimien joukossa ovat, ei yllättäen, vuoden 2024 olympia- ja paralympialaisiin liittyvät tiedostot sekä yksilöiden oikeus päästä käsiksi omiin tietoihinsa.

Olympialaisten osaltaCNIL aikoo varmistaa turvalaitteiden käytön ja erityisesti tehostettujen kameroiden, rajoitetun pääsyn alueiden QR-koodien ja pääsylupien käytön.

Datan määrä ja tapahtumaan osallistuvien kumppaneiden lukumäärä saavat myös komission tarkistamaan lipunmyyntitietojen käytön estääkseen asianomaisten henkilöiden tietojen vilpillisen uudelleenkäytön.

On huomattava, että kasvojentunnistuksen käyttö lainvalvonnassa sisältyy myös Euroopan tietosuojaneuvoston (EDPB) työohjelman 2023–2024 prioriteetteihin.

Yksilöiden oikeus päästä käsiksi omiin tietoihinsa on Euroopan tietosuojaneuvoston vuoden 2024 koordinoidun toiminnan teema (ks. myös alla).

Euroopan tietosuojaneuvosto hyväksyi tästä aiheesta ohjeet vuonna 2023 auttaakseen rekisterinpitäjiä toteuttamaan tiedonsaantimenettelyjä, jotka täydentävät CNIL:n julkaisemia ohjeita.

CNIL keskittyy myös alaikäisiltä verkossa kerättyyn tietoon. Se tarkistaa, onko ikärajoitusmekanismeja käytössä, mitä turvatoimenpiteitä on suunniteltu ja noudatetaanko tietojen minimoinnin periaatetta.

Lopuksi siinä tarkastellaan kassakuittimaksujen elektronisen käytön ja kanta-asiakasohjelmien käytön vaikutusta yksilöiden oikeuksiin..

Esimerkiksi paperikuittien korvaaminen tekstiviestillä tai sähköpostilla edellyttää lisätietojen keräämistä.

CNIL täsmentää, että näitä tietoja, aivan kuten tietoja yksilöiden ostoista, saa käyttää mainonnan kohdentamiseen vain asianomaisten henkilöiden etukäteisellä suostumuksella.

Lopuksi on huomattava, että CNIL voi ottaa asian käsittelyyn määritellyistä prioriteeteista riippumatta valituksen, lehdistöjulkaisun tai toisen Euroopan maan tietosuojaviranomaisen raportin perusteella.

 

    

• CNIL määräsi 31. tammikuuta 100 000 euron sakon kiinteistöpalveluita tarjoavalle PAP:lle.

Ranskan tietosuojaviranomainen CNIL havaitsi puutteita tietojen säilytysajoissa, yksilöiden tiedottamisessa, PAP:n (Personal Access Point) ja alihankkijan välisten suhteiden hallinnassa sekä tietoturvallisuudessa (salasanojen tallentaminen selkokielisenä). Havaitut tietoturva-aukot altistavat tiedot kyberhyökkäysten ja vuotojen riskeille.

• Se määräsi 31. tammikuuta myös FORIOUlle 310 000 euron sakon tiedonvälittäjien toimittamien tietojen käyttämisestä kaupallisiin etsintätarkoituksiin varmistamatta, että asianomaiset henkilöt olivat antaneet pätevän suostumuksensa yhteydenottoihin.

CNIL muistuttaa meitä, että tietoja käyttävän yrityksen vastuulla on varmistaa, että rekisteröidyt henkilöt ovat antaneet etukäteen voimassa olevan suostumuksensa tietojen keräämisen yhteydessä.

Komissio totesi, että vaikka yritys asetti tiettyjä sopimusvaatimuksia toimitusketjun alkupään tiedontoimittajilleen, näiden vaatimusten noudattamista ei tehokkaasti valvottu toimitusketjun loppupäässä.

• Valtioneuvosto katsoi 30. tammikuuta, että Ranskan ja Yhdysvaltojen väliset FATCA-sopimuksen mukaiset verotietojen automaattiset siirrot eivät riko GDPR:n 5 ja 46 artiklaa, eikä riittävyyspäätöksen puuttuminen estä tiedonsiirtoja, jotka ovat "välttämättömiä tärkeistä yleisen edun mukaisista syistä".

Accidental Americans Association oli pyytänyt valtioneuvostoa kumoamaan CNIL:n päätöksen hylätä sen valitus.

Valtioneuvosto katsoi, että CNIL oli perustellut päätöksensä riittävästi.

On huomattava, että samasta asiasta Belgian tietosuojaviranomainen oli tullut eri johtopäätökseen ja kieltänyt vahingossa Belgiaan asettuneiden amerikkalaisten verotietojen siirtämisen Yhdysvaltoihin.

• Ranskalainen tekoälykehitykseen erikoistunut startup-yritys Mistral ilmoitti strategisesta kumppanuudesta Microsoftin kanssa 26. helmikuuta.

Le Monde -lehden mukaan tämä ilmoitus aiheuttaa kitkaa Brysselissä, erityisesti Ranskan voimakkaan lobbauksen jälkeen, jolla pyritään suosimaan eurooppalaisia startup-yrityksiä ja rajoittamaan niitä koskevia velvoitteita tulevassa tekoälyasetuksessa.

Vihreät europarlamentaarikot ovat lähettäneet Euroopan komissiolle kirjeen, jossa ne nostavat esiin kysymyksiä Mistralin tämän asetuksen mukaisen lobbauksen mahdollisista eturistiriidoista ja avoimuusongelmista.

• Tammikuun puolivälissä ANSSI julkaisi kolme opasta, joiden tarkoituksena on "kyberongelman korjaamisen hallinta".

Nämä oppaat koostuvat kolmesta osasta: strategisesta, operatiivisesta ja teknisestä.

Virasto huomauttaa, että "jos vakava onnettomuus korjataan osittain tai huonosti, sen vaikutukset voivat ulottua ajan myötä".

"Tämä suuri epävakauden riski vaatii (...) asiantuntemusta näiden kyberhyökkäysten hillitsemisessä, vaarantuneen tietojärjestelmän hallinnan takaisin saamisessa ja riittävän toimintatilan palauttamisessa."

Korjaavat toimet ovat kyberturvallisuuspoikkeamien torjunnan tärkeä osa, tutkinnan ja kriisinhallinnan ohella.

• Kahdeksan kuukauden kokeilun jälkeen digitaalinen ajokortti on ollut kaikkien sitä hakevien saatavilla 14. helmikuuta lähtien.

Ranskan henkilöllisyystodistuksen hakemuksella on myös mahdollista digitalisoida henkilökorttisi ja käyttää sitä tiettyihin menettelyihin, kuten valtakirjan tekemiseen.

 

Euroopan unionin toimielimet ja elimet

• Euroopan tietosuojaneuvosto käynnisti 28. helmikuuta vuoden 2024 "koordinoidun tutkintakehyksensä".

Euroopan tietosuojaviranomaiset osallistuvat koko vuoden ajan tähän tiedonsaantioikeuden täytäntöönpanoa koskevaan aloitteeseen.

Lokakuun 2023 täysistunnossaan Euroopan tietosuojaneuvosto valitsi tiedonsaantioikeuden kolmanneksi koordinoiduksi täytäntöönpanotoimekseen, "koska se on tietosuojan ytimessä ja yksi useimmin käytetyistä tietosuojaoikeuksista, josta tietosuojaviranomaiset saavat paljon valituksia".

• Euroopan tietosuojaneuvosto antaa pian ratkaisevan lausunnon "hyväksy tai maksa" -liiketoimintamallista, joka edellyttää maksua verkkosivuston sisällön käyttämisestä niiltä kävijöiltä, jotka kieltäytyvät evästeistä.

Meta omaksui tämän lähestymistavan marraskuussa 2023, minkä seurauksena Alankomaiden, Norjan ja Hampurin tietosuojaviranomaiset pyysivät Euroopan tietosuojaneuvostoa antamaan sitovan lausunnon tämän käytännön laillisuudesta.

Kansalaisyhteiskunta pelkää, että jos tämä talousmalli laillistetaan, yritykset kaikilla teollisuudenaloilla seuraavat Metan esimerkkiä, mikä voi merkitä aidon suostumuksen loppua datan käyttöön.

28 kansalaisjärjestöä on lähettänyt Euroopan tietosuojaneuvostolle kirjeen, jossa se kehottaa sitä antamaan lausunnon, joka suojaa tietosuojaa koskevaa perusoikeutta.

• Euroopan tietosuojaneuvosto hyväksyi helmikuun puolivälissä pidetyssä täysistunnossa lausunnon, jossa selvennetään päätoimipaikan käsitettä "keskitettyjen palvelupisteiden" yhteydessä.

Yritykset eivät voi yksinkertaisesti luoda pääasiallista toimipaikkaa "laittamalla kyltin oveen": toimipaikan on oltava paikka, jossa käsittelypäätökset tehdään, ja jos nämä päätökset tehdään ulkomailla, pääasiallista toimipaikkaa ei voi olla: yhden luukun periaatetta ei sovelleta. Euroopan tietosuojaneuvosto antoi myös lausunnon, jossa se kehottaa EU:n lainsäätäjiä varmistamaan, että lasten oikeuksia verkossa suojeleva lasten seksuaaliseen hyväksikäyttöön liittyvä asetus kunnioittaa yksityisyyden suojaa ja tietosuojaa. 

• Euroopan parlamentti ja erityisesti sen puolustusalivaliokunta oli helmikuun lopussa hälytystilassa sen jälkeen, kun kahden sen jäsenen puhelimista löydettiin jälkiä hakkeroinnista. Tämä herätti pelkoja kyberhyökkäyksistä ja ulkomaisesta sekaantumisesta ennen kesäkuun eurovaaleja.

Politico raportoi viime joulukuussa, että laitoksen kyberturvallisuus "ei ole vielä saavuttanut alan standardeja" eikä ole "täysin linjassa hakkereiden aiheuttaman uhkatason kanssa".

Nämä uudet paljastukset ovat jatkoa aiemmille tapauksille, joissa Pegasus- ja Predator-vakoiluohjelmien kohteena olivat muut Euroopan parlamentin jäsenet.

• Euroopan komissio käynnisti 19. helmikuuta tutkinnan lasten oikeuksista TikTokissa.

Hän epäilee erityisesti digitaalisten palvelujen asetuksen (DSA) mukaisia läpinäkyvyyttä ja alaikäisten suojeluvelvoitteita koskevia rikkomuksia, mukaan lukien riippuvuutta aiheuttava suunnittelu, riittämätön iän varmentaminen ja riittämättömät oletusarvoiset yksityisyysasetukset. DSA on ollut voimassa EU:ssa 17. helmikuuta lähtien.

• EU:n jäsenvaltiot julkaisivat 21. helmikuuta Euroopan komission ja Euroopan unionin kyberturvallisuusviraston (ENISA) tuella raportin kyberturvallisuudesta ja eurooppalaisten viestintäinfrastruktuurien ja -verkkojen sietokyvystä.

Tämä raportti seuraa jäsenvaltioiden tekemää arviota näihin infrastruktuureihin ja verkkoihin liittyvistä riskeistä.

Arvioinnissa tunnistettiin useita uhkia, kuten pyyhkijät, kiristysohjelmahyökkäykset, toimitusketjuhyökkäykset, fyysiset hyökkäykset ja sabotaasi.

• Euroopan ihmisoikeustuomioistuin (EIT) antoi 13. helmikuuta päätöksen Podchasov-tapauksessa, joka koski Venäjän oikeutta kerätä kansalaisten yksityisiä viestintätietoja ja päästä niihin käsiksi.

Keskustelun keskellä salatun viestinnän oletetuista vaaroista tuomioistuin totesi selvästi, ettei viestinnän salauksen heikentäminen kaikkien kansalaisten osalta ole perusteltua.

E. Tuchtfeldin mukaan "tämä päätös lähettää tärkeän viestin paitsi Venäjän valtiolle, myös muille Euroopan hallituksille, jotka harkitsevat 'takaporttien' asentamista salattuihin viestipalveluihin, kuten Telegram, Signal tai WhatsApp".

• Euroopan ihmisoikeustuomioistuin katsoi myös 15. helmikuuta antamassaan tuomiossa, että Sloveniassa entistä tuomaria vastaan oikeudenkäynnin aikana käytettyjen televiestintätietojen järjestelmällistä ja mielivaltaista säilyttämistä tulisi pitää hänen yksityisyyden suojaansa loukkaavana.

Hakijan tuomion antamishetkellä viestintäpalvelujen tarjoajilla oli velvollisuus säilyttää televiestintätietoja järjestelmällisesti ja erotuksetta 14 kuukauden ajan.

Tuomioistuin katsoi, että tällainen suojelu ei ollut demokraattisessa yhteiskunnassa välttämättömän rajoissa.

Tietojen säilyttäminen, niihin pääsy ja niiden käsittely valittajaa vastaan käynnistetyn rikosoikeudellisen menettelyn yhteydessä loukkasi siten hänen oikeuttaan yksityiselämän kunnioittamiseen.

 

Uutisia Euroopan jäsenmaista.

• Belgiassa Belgian tietosuojaviranomainen (APD) on asettanut verkkosivuilleen osion nimeltä "Tietosuojavastaavalle tarkoitetut asiakirjat".

Se sisältää erityisesti tietosuojavastaaviin liittyviä oikeudellisia ja APD-päätöksiä, esimerkiksi eturistiriitojen ja irtisanomissuojan kaltaisista aiheista.

• Belgian tietosuojaviranomainen katsoi myös, että valituksen peruuttamisesta riippumatta sillä oli edelleen valta todeta asianomaisen henkilön oikeuksien loukkaus ja määrätä sakko GDPR:n noudattamatta jättämisen vuoksi.
• Italian tietosuojaviranomainen (APD) ilmoitti 29. helmikuuta määränneensä Enel Energialle yli 79 miljoonan euron sakon vakavista tietoturvaloukkauksista, jotka liittyivät useiden sähkö- ja kaasualan käyttäjien henkilötietojen käsittelyyn telemarkkinointitarkoituksiin.
• APD määräsi myös Syracusen kunnalle 5 000 euron sakon, koska se ei ollut toimittanut tietosuojavastaavan yhteystietoja GDPR:n 37 artiklan mukaisesti.
• Kreikan tietosuojaviranomainen (DPA) on määrännyt rekisterinpitäjälle 5 000 euron sakon, koska sen tietosuojavastaava ei useista muistutuksista huolimatta vastannut kyselyyn, jonka se lähetti hänelle osana tietosuojaviranomaisten koordinoitua eurooppalaista toimintaa vuonna 2023.
• Espanjassa APD kieltäytyi sallimasta rahanpesun vastaisen due diligence -velvoitteen käyttöä tekosyynä sille, että pankki pakottaisi valittajan antamaan tietoja rahojensa alkuperästä salaamattomien sähköpostien kautta.

Se määräsi rekisterinpitäjälle 2 500 000 euron sakon.

• Tanskan tietosuojaviranomainen totesi viidennessä Chromebookeihin liittyvässä päätöksessään, että 53 kuntaa oli jakanut laittomasti opiskelijoiden henkilötietoja Googlen kanssa Googlen omia kehitystarkoituksia varten, mikä on GDPR:n artiklan 6(1)(e) vastaista.
• Yhdistyneessä kuningaskunnassa DPA sakotti Britannian puolustusministeriötä 409 080 eurolla (350 000 puntaa) 265 Afganistanista poistumaan pyrkineen henkilön sähköpostiosoitteen paljastamisesta Talibanin noustua valtaan vuonna 2021.
• Republik-lehti on syyttänyt Sveitsin liittovaltion tiedustelupalvelua (FIS) tammikuun puolivälissä julkaisemassaan tutkimuksessa, jossa väitetään, että FIS:llä on pääsy kaikkien Sveitsin kansalaisten sähköposteihin ja että se valvoo heidän viestintäänsä massiivisesti vuoden 2016 lain nojalla.

Tiedot kerättäisiin suoraan tietoliikennekaapeleista internet-palveluntarjoajien infrastruktuuriin asennettujen laitteiden kautta. SRC kiistää nämä syytökset (AFCDP:n kirjeen kautta).

• Amerikkalaiseen yritykseen kohdistunut kyberhyökkäys johti Sveitsin ilmavoimia koskevien arkaluonteisten tietojen paljastumiseen pimeässä verkossa.

ALPHV-hakkeriryhmä otti vastuun hyökkäyksestä, jonka seurauksena julkaistiin luokiteltuja asiakirjoja, mukaan lukien Sveitsin ja Ultra Intelligence & Communicationsin, puolustusalan salaus- ja viestintätekniikoita toimittavan yrityksen, välinen viiden miljoonan dollarin sopimus.

Heinäkuussa 2023 samanlainen hyökkäys iski sveitsiläiseen Xplain-yritykseen, ja marraskuussa seurasi hakkerointi ohjelmistoyritys Concevisiin, joka työskentelee myös puolustussektorilla ja verohallinnossa.

 

• Bidenin hallinto hyväksyi 28. helmikuuta toimeenpanomääräyksen, jonka tarkoituksena on suojella amerikkalaisten arkaluonteisia henkilötietoja tiettyjen kolmansien maiden ("huolenaiheet") hyväksikäytöltä.

Tämä asetus valtuuttaa oikeusministerin estämään amerikkalaisten henkilötietojen laajamittaisen siirtämisen huolenaiheisiin maihin ja tarjoaa suojatoimia muille toimille, jotka voisivat antaa kyseisille maille pääsyn amerikkalaisten arkaluonteisiin tietoihin.

Näihin tietoihin kuuluvat erityisesti genomiset, biometriset, terveys-, maantieteellisen sijainnin ja taloudelliset tiedot.

• Yhdysvaltain kansallinen standardien ja teknologian instituutti (NIST) julkaisi helmikuussa konkreettisia toimenpiteitä tietoturvan integroimiseksi ohjelmistokehityssyklin jokaiseen vaiheeseen.

Oppaassa suositellaan, että valmistajat asettavat etusijalle joukon konkreettisia toimenpiteitä, mukaan lukien avoimen lähdekoodin ohjelmistojen integroinnin perustietoturvavaatimusten määrittäminen ja "alkuperätietojen" valvonnan laajentaminen.

• Myös Yhdysvalloissa liittovaltion kauppakomissio (FTC) on juuri kieltänyt Avastia myymästä asiakkaidensa selaustietoja mainostarkoituksiin.

Liittovaltion kauppakomissio (FTC) tutki väitteitä, joiden mukaan Avast myi selaustietoja väittäen tuotteidensa estäneen verkkoseurannan. Avast sai 16,5 miljoonan dollarin sakot.

Huomaa, että Tšekin tietosuojaviranomainen oli määrännyt yritykselle pakotteita huhtikuussa 2023 samoista syistä.

• Georgian tietosuojalain muutokset tulivat voimaan 1. maaliskuuta.

Näillä muutoksilla pyritään varmistamaan suoja, joka on lähempänä GDPR:n tarjoamaa suojaa. 

Matkapuhelinoperaattoreilla ja niiden tekstiviestipalveluntarjoajilla on nyt kiellettyä käyttää kansalaisten henkilötietoja suoramarkkinointitarkoituksiin ilman heidän etukäteistä suostumustaan.

Lisäksi julkisten laitosten ja tiettyjen yksityisten yritysten on nyt nimettävä tietosuojavastaava.

• Hongkongin henkilötietosuojavaltuutettu (PDPC) suoritti elokuun 2023 ja helmikuun 2024 välisenä aikana 28 paikallisessa organisaatiossa vaatimustenmukaisuustarkastuksia, jotka koskivat henkilötietojen käsittelyä tekoälyn käytön yhteydessä.

Harjoitus kattoi useita sektoreita, mukaan lukien televiestintä, rahoitus ja vakuutus, kauneuspalvelut, vähittäiskauppa, liikenne, koulutus ja ministeriöt.

PCPD ei löytänyt tietomurtoja, vaikka se totesikin, että yhä useammat sekä julkiset että yksityiset organisaatiot ottavat tekoälyä käyttöön päivittäisen toimintansa tehostamiseksi.