Oikeudellinen tarkkailu nro 62 – elokuu 2023.

DMA, DSA: teknologiajättien uudet velvoitteet.

Syyskuun alussa verkkokäyttäjien oikeuksien suoja laajenee, kun digitaalisten palveluiden lakia sovelletaan tärkeimpiin alustoihin ja julkaistaan luettelo digitaalisten markkinoiden lain piiriin kuuluvista yrityksistä.

• EU:n digitaalisten palvelujen asetus (DSA) on 25. elokuuta alkaen koskenut erittäin suuria verkkoalustoja (VLOP) ja erittäin suuria hakukoneita (VLOSE).

Asetusta sovelletaan 17. helmikuuta 2024 alkaen myös kaikkiin välittäjiin, jotka tarjoavat palvelujaan EU:ssa toimiville käyttäjille, mukaan lukien verkkoalustat, kuten sovelluskaupat, yhteistyötalouden alustat ja sosiaalisen median alustat, rajoitetuin velvoittein.

Pk-yrityksille ja mikroyrityksille on säädetty lisäpoikkeuksia.

Euroopan komission 25. huhtikuuta tekemän päätöksen mukaan yhdeksäntoista yritystä kuuluu VLOPS- ja VLOSES-kategoriaan. Näihin kuuluvat TikTok, Facebook, X, Snapchat, YouTube ja Google Search, vaikutusvaltaiset verkkokauppiaat, kuten Amazon ja Zalando, sekä kaksi suurta hakukonetta, Bing ja Google Search.

Näiden yritysten on noudatettava joukkoa velvoitteita, jotka koskevat läpinäkyvyyttä, alaikäisten suojelua, sisällön moderointia ja yksityisyyden kunnioittamista.

Erityisesti niiden on tunnistettava ja arvioitava palveluistaan, mukaan lukien algoritmijärjestelmistä, aiheutuvat systeemiriskit, kuten:

• Laittoman sisällön levittäminen
• Kielteiset vaikutukset perusoikeuksien harjoittamiseen
• Kielteiset vaikutukset yhteiskunnalliseen keskusteluun ja vaaliprosesseihin;
• Kielteiset vaikutukset sukupuoleen perustuvaan väkivaltaan, kansanterveyden suojeluun ja alaikäisiin;
• Vakavat kielteiset seuraukset henkilön fyysiselle ja henkiselle hyvinvoinnille.

Useat DSA-velvoitteet ovat päällekkäisiä GDPR:n velvoitteiden kanssa. Nämä on lueteltu "Future of Privacy Forumin" äskettäisessä artikkelissa.

Esimerkiksi on olemassa samankaltaisia tai täydentäviä velvoitteita, jotka koskevat "pimeitä kuvioita", arkaluonteisiin tietoihin perustuvaa tai alaikäisiin kohdistuvaa kohdennettua mainontaa, läpinäkyvyyttä, profilointia, riskianalyysiä ja laittoman sisällön poistamista.

Valvontamenettelyt ovat monimutkaisia ja saattavat olla ristiriidassa GDPR:n menettelyjen kanssa: toisin kuin jälkimmäinen, joka varmistaa sääntelyn pääasiassa kansallisella tasolla ja Euroopan tietosuojaneuvoston koordinoiman rajat ylittävissä tapauksissa, DSA keskittää valvonnan EU-tasolle VLOP- ja VLOSE-tapausten osalta, mutta antaa jäsenvaltioille vastuun muista välittäjäpalveluntarjoajista.

Toivokaamme, että näiden eri elinten välille saadaan aikaan koordinointia, jotta sekä asianomaiset yritykset että oikeustoimia haluavat yksityishenkilöt voivat opastaa niitä.

• Vaikka digitaalisten markkinoiden laki on ollut voimassa toukokuusta lähtien, komissio julkaisi 6. syyskuuta luettelon kuudesta teknologiajätistä eli "portinvartijoista", joiden on noudatettava sen periaatteita. Nämä ovat Alphabet, Amazon, Apple, ByteDance, Meta ja Microsoft.

Komissio ilmoittaa, että näiden kuuden huoltajan ylläpitämiä peruspalveluita on yhteensä 22.

Ensisijainen tavoite on estää näitä yrityksiä käyttämästä hyväkseen määräävää asemaansa.

Näin ollen teksti kieltää itseensä viittaamisen tai ammattikäyttäjien velvoittamisen käyttämään ainoastaan kyseisen yrityksen palveluita tai tuotteita.

Portinvartijat eivät myöskään voi kieltää yrityskäyttäjiä tarjoamasta ja mainostamasta kilpailevia palveluita, ja heillä on velvollisuus jakaa heidän kanssaan alustansa käytön tuottamat tiedot.

Myös verkkoviestipalveluille suunnitellaan erityisiä yhteentoimivuusvaatimuksia sekä käyttöjärjestelmille, selaimille, hakukoneille ja virtuaaliassistenteille vaihtoehtoja.

Lisäksi "portinvartijoilla" on kiellettyä seurata ja profiloida käyttäjiä mainonnan kohdentamista varten, elleivät he saa heidän suostumustaan, ja estää heitä poistamasta esiasennettuja sovelluksiaan.

Jotkin näistä velvoitteista vahvistavat siis digitaalisten palveluiden lainsäädännössä säädettyjä velvoitteita käyttäjien suojan osalta, erityisesti profiloinnin osalta.

Useat yritykset, kuten TikTok, Meta ja Google, ovat jo muuttaneet palveluehtojaan.

DSA:n ja DMA:n säätämät sakot voivat olla vastaavasti 61 000 ja 400 000 000 ja 101 000 000 000 kyseisten yritysten liikevaihdosta.

Toistuvista DMA-rikkomuksista seuraamus voi olla jopa 20% pallonvaihtoa…

Määrät, jotka ylittävät GDPR:ssä säädetyn 4%:n, jonka lainsäätäjä oli jo asetuksen hyväksymishetkellä esittänyt varoittavina.

 

Ja myös

• CNIL valmistelee luonnosta suositukseksi järjestelmistä, jotka ovat erittäin vaarassa tietoturvaloukkauksen sattuessa, ja käynnistää julkisen kuulemisen.

Sen tavoitteena on koota kaikki edistyneet tietoturvakäytännöt yhdeksi asiakirjaksi, joka kohdistuu erityisesti niin sanottuun "kriittiseen" käsittelyyn, joka määritellään seuraavien kahden kumulatiivisen kriteerin perusteella:

• Käsittely on laajamittaista GDPR:n tarkoittamalla tavalla;
• Henkilötietojen tietoturvaloukkauksella voi olla erittäin merkittäviä seurauksia asianomaisille henkilöille, kansalliselle turvallisuudelle tai koko yhteiskunnalle.

Kuulemiseen on mahdollista osallistua 8.10.2023 asti.

• CNIL julkaisi 8. elokuuta tiedotteen verkottuvista majakoista auttaakseen kaikkia väärinkäytön tai laittoman käytön uhreja suojelemaan itseään.

Näitä tunnisteita, joiden avulla esineet (esimerkiksi avaimet tai lompakko) voidaan paikantaa ja löytää, käytetään joskus ihmisten paikantamiseen heidän tietämättään.

• Pôle emploi ilmoitti 23. elokuuta, että noin kymmenen miljoonan sen tiedostoihin rekisteröidyn ihmisen henkilötiedot oli varastettu "kyberhyökkäyksen" seurauksena.

Nämä tiedot ulkoistettiin Majorel-yritykselle, joka vastaa työnhakijoiden lähettämien asiakirjojen digitoinnista.

Etu- ja sukunimi, nykyinen tai entinen työnhakijan asema sekä sosiaaliturvatunnus voivat muuttua.

"Sähköpostiosoitteita, puhelinnumeroita, salasanoja ja pankkitietoja" ei kuitenkaan vaarantunut.

 

Euroopan unionin toimielimet ja elimet

• Euroopan unionin kyberturvallisuusvirasto (ENISA) järjestää 11. lokakuuta yhteistyössä Euroopan komission kanssa luottamuspalveluja ja sähköistä henkilöllisyyttä käsittelevän foorumin seuratakseen lainsäädännön, eurooppalaisen digitaalisen lompakon ja kansalaisten verkkotoiminnan suojaamisen kehitystä kaikkialla EU:ssa.

ENISA julkaisee myös älypuhelimille ohjeita: ”SMASHING – Smartphone Secure development Guidelines”.

Työkalu tarjoaa älypuhelinsovelluskehittäjille toimenpidekartan, jonka tarkoituksena on varmistaa turvallisten mobiilisovellusten kehitys.

• Euroopan telealan standardointilaitos (ETSI) on julkaissut raportin aiheesta "Tekoälyn (SAI) turvaaminen; Multimediaidentiteetin representaatioiden automaattinen manipulointi".

Asiakirja käsittelee tekoälypohjaisia tekniikoita, joilla voidaan automaattisesti manipuloida olemassa olevia henkilötietoja tai luoda väärennettyjä henkilötietoja, jotka esitetään eri mediamuodoissa, kuten äänessä, videossa ja tekstissä (deepfake).

Se kuvaa erilaisia teknisiä lähestymistapoja ja analysoi deepfake-hyökkäysten aiheuttamia uhkia erilaisissa hyökkäysskenaarioissa.

Sitten hän ehdottaa teknisiä ja organisatorisia toimenpiteitä näiden uhkien lieventämiseksi ja tarkastelee niiden tehokkuutta ja rajoituksia.

• Vuoden 2023 tarkastusohjelmansa yhteydessä Euroopan tietosuojaneuvosto keskittyy tietosuojavastaavien rooliin.

IAPP:n 31. heinäkuuta julkaisemassa artikkelissa luetellaan eurooppalaisten tietosuojaviranomaisten viitepäätökset tietosuojavastaavien nimeämisestä ja osaamisesta.

• Googlen omistama Fitbit on saanut Euroopan unionissa tietosuojavalituksia, joiden mukaan yritys vie laittomasti käyttäjätietoja EU:n tietosuojasääntöjen vastaisesti.

Valitukset kohdistuvat Fitbitin väitteeseen, jonka mukaan käyttäjät ovat antaneet suostumuksensa tietojensa kansainvälisiin siirtoihin – Yhdysvaltoihin ja muualle – vaikka kansalaisjärjestö NOYB:n mukaan yritys pakottaa käyttäjät antamaan suostumuksensa.

 

Uutisia Euroopan jäsenmaista.

• Alankomaissa tietosuojaviranomaisen (DPA) 1. syyskuuta päivätyssä alustavassa raportissa vaaditaan lisätoimenpiteitä algoritmeihin ja tekoälyyn liittyvien riskien hallitsemiseksi tulevaa eurooppalaista lainsäädäntöä silmällä pitäen.

Jotta niitä voitaisiin hallita paremmin, viranomaisten ja yritysten on kohdattava kaksi haastetta.

Ensinnäkin tekoälyinnovaatioiden, kuten älykkäiden chatbottien, nopeaan integroitumiseen yhteiskuntaan liittyvät riskit.

Toiseksi raportissa korostetaan, että kaikkien Alankomaiden merkittävien julkisten ja yksityisten laitosten on ymmärrettävä riskialttiiden algoritmien käyttönsä – algoritmien, joilla on merkittävä vaikutus yksilöiden elämään. Raportissa luetellaan toteutettavat toimenpiteet.

• Espanjan tietosuojaviranomainen (APD) on määrännyt mediayhtiölle 20 000 euron sakon henkilön yksityiseltä Instagram-profiililta otetun kuvan julkaisemisesta blogissa henkilön nimellä ja iällä varustettuna, mikä on GDPR:n artiklan 6(1) vastaista.

Se määräsi myös Fourth Party Logistics SL:lle 120 000 euron sakon (alennettiin 72 000 euroon) laittomasta alihankinnasta, joka johtui sopimusten virallistamisen puutteesta ja virallistamista koskevien ennakkolupien puuttumisesta.

• Kroatiassa poliisioperaatiota esittävään videoon julkaistiin kommenttina julkisessa Facebook-ryhmässä, jaettuun videoon, jossa oli tunnistettavissa poliisi.

APD totesi, että yleisen tietosuoja-asetuksen 5(1)(b) artiklaa ja 6(1) artiklaa oli rikottu, ja määräsi valokuvan poistettavaksi.

• Samankaltaisessa tilanteessa Kyproksen tietosuojaviranomainen sakotti paikallislehteä 7 000 eurolla yleisen tietosuoja-asetuksen 5(1)(c) artiklan ja 6 artiklan rikkomisesta: sanomalehti oli julkaissut työvuorossa olevien poliisien nimet ja valokuvat.
• Osana yhteistä tutkintaa Baltian maiden tietosuojaviranomaiset tarkastivat ja määräsivät seuraamuksia autovuokraamolle.

Sakon laskennassa Latvian tietosuojaviranomainen korosti rekisterinpitäjän täydellistä yhteistyön puutetta raskauttavana seikkana.

Hän piti aluksi 15 000 euron sakkoa sopivana. Rekisterinpitäjän taloudellisten vaikeuksien ja suuren maksukyvyttömyysriskin vuoksi hän kuitenkin lopulta alensi sakon 1 000 euroon.

• Sveitsin uusi liittovaltion tietosuojalaki tuli voimaan 1. syyskuuta.

GDPR:n inspiroimiin uusiin säännöksiin kuuluvat arkaluonteisten tietojen käsittelyn vaikutustenarvioinnit, käsittelytoimien kirjaaminen, tietosuojavastaavan nimittäminen ja tietoturvaloukkausten ilmoittaminen. "Sisäänrakennetun yksityisyyden suojan" käsite mainitaan nyt nimenomaisesti.

 

• Kaksitoista kansainvälistä tietosuoja- ja yksityisyydensuojaviranomaista Amerikasta, Euroopasta, Afrikasta ja Aasian ja Tyynenmeren alueelta ilmoittivat 24. elokuuta odottavansa sosiaalisen median alustojen ja muiden sivustojen suojaavan itseään laittomalta tiedonhaulta (”web scaping”).

Tämä tiedote toistaa aiemmin Australian tiedotuskomission, CNIL:n ja Yhdistyneen kuningaskunnan tiedotusvaltuutetun toimiston kaltaisten sääntelyviranomaisten antamat neuvot, jotka on annettu Clearview AI, Inc:n henkilötietojen käsittelykäytäntöjä ja tietoturvaloukkausten ilmoitusvelvollisuuksia koskevien tutkimusten jälkeen.

• Yhdysvalloissa kyberturvallisuus- ja infrastruktuuriturvallisuusvirasto (CISA), kansallinen turvallisuusvirasto (NSA) ja kansallinen standardien ja teknologian instituutti (NIST) julkaisivat 21. elokuuta yhteisen tiedotteen kvanttilaskennan valmiudesta varoittaakseen organisaatioita – erityisesti infrastruktuurisektoreita tukevia organisaatioita

kritiikkiä – kvanttilaskennan uhkista ja kannustaa näitä organisaatioita aloittamaan tulevan siirtymisen postkvanttikryptografisiin standardeihin (”PQC”).

• Yhdysvaltain hallitus käynnistää Cyber Trust Mark -ohjelman, joka on tarkoitettu esineiden internetin turvallisuuden merkintöihin.
• Yhdysvalloissa tietomurto vaikuttaa myös Teslaan: se vaikuttaa 75 000 ihmiseen.

Kaksi entistä Teslan työntekijää antoi Handelsblatt-lehdelle muiden työntekijöiden henkilötietoja ja yhteystietoja.

Yritys ilmoitti tietoturvaloukkauksesta Mainen oikeusministerille ja tarjosi identiteettivarkauksien estopalveluita asianomaisille.

Huhtikuussa 2023 työntekijät olivat katselleet ja jakaneet asiakkaiden Teslojen tallentamia yksityisiä videoita, jotka oli otettu ajoneuvojen Sentry Mode -turvajärjestelmistä.

Tesla ei ole ainoa yritys, joka on nostanut esiin huolenaiheita yksityisyydensuojasta.

Mozilla Foundationin 5. syyskuuta julkaisemassa tutkimuksessa 25 autonvalmistajan autoja kuvaillaan "painajaisiksi pyörillä tietosuojan näkökulmasta".

Säätiö arvioi 25 autonvalmistajan käytäntöjä ja varoitti, että ne voivat kerätä ja hyödyntää kaupallisesti paljon muutakin kuin sijaintihistoriaa, ajotapoja, auton navigointihistoriaa ja käyttäjien musiikkimieltymyksiä.

Jotkut valmistajat saattavat käsitellä erittäin henkilökohtaisia tietoja, kuten – tietosuojakäytännöstä riippuen – seksuaalista toimintaa, maahanmuuttostatusta, rotua, kasvonilmeitä, painoa, terveydentilaa ja jopa geneettisiä tietoja.

Lisäksi yli puolet valmistajista myy tietoja kolmansille osapuolille.

• Kiinassa julkaistiin 25. elokuuta 2023 uusia ohjeita tekoälyn tuottaman sisällön merkitsemisestä: Kiinan kansallinen tekninen tietoturvallisuuden standardointikomitea (”TC260”) julkaisi lopullisen version ohjeista ”Käytännön ohjeet kyberturvallisuusstandardeille – Menetelmä sisällön merkitsemiseksi generatiivisissa tekoälypalveluissa”.
• Kanada julkaisee myös generatiivisen tekoälyn käytännesäännöt ja kannustaa osallistumaan sen asiakirjaan.
• Intiassa digitaalisen henkilötietojen suojasta annettu laki vuodelta 2023 julkaistiin virallisessa lehdessä 12. elokuuta.

Vaikka tätä lakia pidetään tervetulleena, koska se suojaa 760 miljoonan internetin käyttäjän tietoja, se herättää myös kritiikkiä tarjotun suojan tasosta, erityisesti ottaen huomioon merkittävän Puttaszwamy-päätöksen, joka vahvisti oikeuden yksityisyyteen Intiassa viisi vuotta sitten.

• Apple ilmoitti 31. elokuuta luopuvansa lapsipornografian (CSAM) tunnistamiseen tarkoitetun iCloud-skannausominaisuuden kehittämisestä.

Yritys keskittyy nyt käyttäjien laitteilla oleviin työkaluihin ja resursseihin, jotka tunnetaan nimellä "viestinnän turvallisuusominaisuudet".

Tehtyään yhteistyötä useiden tietoturva- ja yksityisyydensuojatutkijoiden, digitaalisten oikeuksien ryhmien ja lasten turvallisuuden puolustajien kanssa yritys päätyi siihen tulokseen, ettei se voinut jatkaa pilviskannausmekanismin kehittämistä, vaikka se olisi suunniteltu erityisesti yksityisyyden suojaamiseksi. 

"Jokaisen käyttäjän yksityisen iCloud-datan analysointi loisi uusia uhkatekijöitä, joita tietovarkaat voisivat löytää ja hyödyntää. Se loisi myös riskin tahattomille seurauksille. Yhden tyyppisen sisällön etsiminen esimerkiksi avaa oven massavalvonnalle ja voi luoda halun etsiä muita salattuja viestintäjärjestelmiä kaikenlaisen sisällön varalta."

Tämä julkinen kanta on tärkeä nykytilanteessa, sillä Iso-Britannia, EU ja Yhdysvallat valmistelevat lainsäädäntöä, jonka tarkoituksena on määrätä laajamittaisesta verkkotoimijoiden seulonnasta kyberrikollisuuden torjunnan ja erityisesti lasten verkkosuojelun yhteydessä.