Synkät kuviot: Mitä olet aina halunnut tietää, mutta pelännyt kysyä...

Legal Watch nro 45 – maaliskuu 2022.

Tätä vaikeasti käännettävää englanninkielistä termiä esiintyy monissa tietotekniikkaa käsittelevissä julkaisuissa. 

Internetin käyttäjiä haluttuun käyttäytymiseen hienovaraisesti kannustavan "nudgingin" kaltaiset "pimeät kuviot" pyrkivät samaan päämäärään verkkokäyttöliittymien suunnittelun kautta.

Euroopan tietosuojaneuvosto hyväksyi 14. maaliskuuta ohjeet sosiaalisen median alustojen käyttöliittymien "pimeistä kuvioista". 

Julkisen kuulemisen kohteena oleva asiakirja on suunnattu käyttäjille, jotta he voivat tunnistaa nämä tekniikat, ja suunnittelijoille, joille se tarjoaa parhaita käytäntöjä GDPR:n noudattamisen helpottamiseksi. 

Asiakirjassa luetellaan Prévertin tyylisen inventaarion tavoin erilaisia käytäntöjä: 

• Tietotulva asettaa käyttäjän eteen valtavan määrän tietoja tai vaihtoehtoja (esimerkiksi loputtoman luettelon evästeiden vastaanottajista), minkä seurauksena käyttäjä jakamaan enemmän tietoa kuin haluaisi. 

• Ohittaminen johtaa siihen, että käyttäjä unohtaa tarkistaa tiettyjä tietojensa käyttöehtoja, esimerkiksi kiinnittämällä hänen huomionsa muualle.

• Sekoittaminen vaikuttaa käyttäjien valintoihin pelaamalla heidän tunteillaan (esimerkiksi kannustaakseen heitä olemaan peruuttamatta sosiaalisen verkoston tilausta)

• Este (haittaa) estää internetin käyttäjiä tekemästä valintojaan toimimattomien linkkien, tarpeettoman pitkän tai harhaanjohtavan tiedon kautta.

• Suunnittelun epäjohdonmukaisuus (oikukas) vaikeuttaa ohjaustyökalujen käyttöä kontekstista irrotetun tai ei-hierarkkisen tiedonesitystavan kautta.

• Lopuksi, suunnittelu voi jättää internetin käyttäjän pimennossa, ristiriitaisten, monitulkintaisten tietojen käyttö (eriväriset painikkeet oletusarvoisesti käytössä tai pois käytöstä) tai käytettyjen kielten epäjatkuvuus (vaihtaminen ranskasta englanniksi).

Tällaisia tekniikoita ja mielikuvitusta herättäisi lähes kunnioitusta, elleivät ne olisi laittomia, koska ne ovat ristiriidassa yleisen tietosuoja-asetuksen 5(1)(a) artiklassa vahvistetun lojaalisuusperiaatteen sekä läpinäkyvyyden, tietojen minimoinnin, vastuuvelvollisuuden, tarkoituksenmukaisuuden ja suostumuksen pätevyyden periaatteiden kanssa.

Euroopan tietosuojaneuvoston ohjeissa on esimerkkejä jokaisesta tekniikkatyypistä ja neuvoja käyttäjien valintojen yksinkertaistamiseksi. 

Hyviä käytäntöjä ovat: 

• Pikanäppäinten käyttäminen pikatoimintojen käyttöönottoon (tililtä tilauksen peruuttaminen).

• Mainosbannerien tai ponnahdusikkunoiden käyttö muutoksen tai erityisen riskin (esimerkiksi tietoturvaloukkauksen) sattuessa.

• Yksinkertaisen ja johdonmukaisen kielen käyttö.

• Määritelmien luettelo.

• Esimerkkien käyttö.

• Selvitys ehdotettujen eri vaihtoehtojen seurauksista.

• Sivukartan systemaattinen näyttö ja "takaisin"-painike, jonka avulla käyttäjä voi jatkaa navigointia.

On huomattava, että CNIL:n viime tammikuussa Googlea ja Facebookia vastaan tekemät päätökset, joissa näille yrityksille määrättiin 150 ja 60 miljoonan euron sakot, rankaisevat evästeiden käytössä esiintyvistä hämäristä kuvioista: käyttöliittymät tarjosivat yksinkertaisen vaihtoehdon evästeiden aktivoimiseen yhdellä napsautuksella, kun taas kaikkien evästeiden hylkäämiseen vaadittiin useita toimia. 

Vaikka valvontaviranomaisten huomio on tähän asti keskittynyt evästeisiin, nyt vaakalaudalla on laajempi joukko käytäntöjä. Käyttöliittymäsuunnittelijoiden rooli on entistä tärkeämpi.

Ja myös

Ranska:

Pariisin syyttäjänviraston kyberrikososasto on aloittanut oikeudellisen tutkinnan laajamittaisesta lääketieteellisten tietojen vuodosta. 

Tietovuodon uskotaan vaikuttaneen noin 500 000 henkilöön ja sen uskotaan olevan peräisin noin kolmestakymmenestä lääketieteellisen biologian laboratoriosta. Myös ANSSI ja CNIL tekevät tutkimuksia yhdessä laboratorioiden käyttämän hallintaohjelmiston julkaisijan kanssa.

Toinen laaja tietovuoto sai Kansallisen sairausvakuutusrahaston antamaan 17. maaliskuuta lausunnon, jossa todettiin, että hakkerit olivat vaarantuneet ainakin 19 terveydenhuollon ammattilaisen tileille Amelipro-portaalissa.  

Tämä kyberhyökkäys vaikuttaa noin 500 000 vakuutuksenottajan tunnistetietoihin ja sosiaaliturvatunnuksiin.

Terveydenhuoltoalalla jaettu potilaskertomus (DMP) integroitiin digitaaliseen terveydenhuollon tilaan (ENS eli ”Oma terveystila”) tammikuussa 2022.  

CNIL muistuttaa verkkosivuillaan näiden kahden järjestelmän toiminnasta ja asianosaisten oikeuksista.

CNIL järjestää ensimmäisen yksityisyyden suojan tutkimuspäivän Pariisissa 28. kesäkuuta 2022., kansainvälinen konferenssi, joka on omistettu yksityisyyden ja henkilötietojen suojan tutkimukselle.

Eurooppa: 

Euroopan ja Yhdysvaltojen välille on näköpiirissä sopimus henkilötietojen siirrosta. 

Ursula von der Leyen ja Joe Biden ilmoittivat poliittisesta sopimuksesta aiheesta 25. maaliskuuta. EU:n oikeuskomissaari Didier Reynders tarkensi ilmoitusta ja totesi, että kyseessä oli sopimus tulevan transatlanttisen sopimuksen "periaatteista". 

Uusi oikeudellinen kehys korvaisi "Safe Harbour" -periaatteet ja "Privacy Shield" -järjestelyn, jotka molemmat julistettiin vanhentuneiksi Euroopan unionin tuomioistuimen toimesta, koska ne eivät ole eurooppalaisten tietosuojaperiaatteiden mukaisia. 

Euroopan komission ehdottama Covid-sertifikaattiasetuksen (EUDCC) laajentaminen on tietosuojaviranomaisten kiinnostuksen kohteena. 

Euroopan tietosuojavaltuutettu ja Euroopan tietosuojaneuvosto ilmaisivat varauksensa vaikutustenarvioinnin puutteesta ennen komission ehdotuksia näiden sertifikaattien uusimisesta vuodeksi.  

Komitea ja Euroopan tietosuojavaltuutettu kuitenkin totesivat, että hyväksyttyjen testityyppien laajentaminen ja annettujen annosten lukumäärän sisällyttäminen todistukseen eivät olennaisesti muuttaneet nykyisiä säännöksiä.

Maaliskuun puolivälissä Amazonin työntekijät jättivät joukkopyynnön päästä käsiksi yrityksen hallussa oleviin heistä oleviin tietoihin varmistaakseen työpaikoillaan tapahtuvan valvonnan olosuhteet.  

Saksasta, Yhdistyneestä kuningaskunnasta, Italiasta, Puolasta ja Slovakiasta kotoisin olevat hakijat tekivät pyyntönsä yleisen tietosuoja-asetuksen 15 artiklan nojalla yhteistyössä Global Workers' Unionin (UNI) ja kansalaisjärjestö NOYB:n kanssa.  

Sosiaalisen median "pimeitä kuvioita" koskevien ohjeidensa lisäksi Euroopan tietosuojaneuvosto hyväksyi täysistunnossaan 14. maaliskuuta ohjeet yleisen tietosuoja-asetuksen 60 artiklan soveltamisesta tietosuojaviranomaisten välisen yhteistyön osalta. 

Tämän asiakirjan tarkoituksena on parantaa keskitetyn palvelupisteen säännösten soveltamista. 

Järjestelmä tarjoaa Euroopan unioniin sijoittautuneille yrityksille yhteysviranomaisen niiden pääasiallisen toimipaikan perusteella sekä menettelyn yhteistyölle kaikkien muiden viranomaisten kanssa valitusten tai niiden maassa sijaitsevien toimipaikkojen osalta. 

Italian tietosuojaviranomainen määräsi Clearview IA:lle 20 000 000 euron sakon 10. helmikuuta. biometristen tunnistusjärjestelmien käytöstä julkisissa internetlähteissä GDPR:n vastaisesti. Se määräsi tiedot poistettavaksi. Britannian tietosuojaviranomainen sakotti asianajotoimistoa 117 000 eurolla 28. helmikuuta. GDPR:n 5(1)(f) artiklan ja 32 artiklan rikkomisesta ja erityisesti asianmukaisten turvatoimenpiteiden toteuttamatta jättämisestä. 

Espanja hyväksyi käytännesäännöt 17. helmikuuta tietosuojasta kliinisten tutkimusten ja lääketurvatoiminnan yhteydessä.

Irlannin tietosuojaviranomainen sakotti Metaa (entinen Facebook) 17 miljoonalla eurolla 15. maaliskuuta useiden tietoturvaloukkausten jälkeen. Valvontaviranomainen katsoi, että yhtiö ei ollut toteuttanut tietoturvan varmistamiseksi tarvittavia teknisiä ja organisatorisia toimenpiteitä. 

Päätös, joka on tehty yhteistyömenettelyn jälkeen muiden asiaan liittyvien eurooppalaisten valvontaviranomaisten kanssa (yleisen tietosuoja-asetuksen 60 artikla).

Saksassa Bremenin tietosuojaviranomainen sakotti kiinteistönhallintayritystä (Brebau GmbH) 1 900 000 eurolla 3. maaliskuuta arkaluonteisten tietojen laittomasta käsittelystä. koskien yli 9 500 vuokralaisehdokasta. 

Käsiteltyihin tietoihin kuuluivat ihonväri, uskonto, seksuaalinen suuntautuminen, terveydentila, kampaus ja kehon haju.

Kansainvälinen: 

Maaliskuun 4. päivänä päivätyssä sovintopäätöksessä Yhdysvaltain liittovaltion kauppakomissio vaatii WW Internationalia (Weight Watchers) tuhoamaan alaikäisten henkilötietoja hyödyntävät algoritmit tai tekoälymallit. ilman vanhempien etukäteistä suostumusta. 

Yhtiölle määrättiin myös 1,5 miljoonan dollarin sakko ja määrättiin tuhoamaan laittomasti kerätyt tiedot. 

Tämä on kolmas kerta, kun Yhdysvaltain kauppakomissio (FTC) on vaatinut tekoälyalgoritmin tuhoamista sovintomääräyksessä.  

THE Sri Lanka hyväksyi henkilötietojen suojaa koskevan lain 19. maaliskuuta 2022.

Nokiaa, joka ilmoitti lopettavansa toimintansa Venäjällä Ukrainan sodan vuoksi, syytetään Venäjän väestön valvonnan mahdollistaneen televiestintäjärjestelmän jättämisestä taakseen. 

New York Timesin paljastamien sisäisten asiakirjojen mukaan Nokia on toimittanut Venäjälle laitteita ja palveluita yli viiden vuoden ajan yhdistääkseen venäläisen SORM-valvontajärjestelmän (System for Operative Investigative Activities) Venäjän suurimpaan televiestintäpalveluun MTS:ään.

Anne Christine Lacoste  Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.