Henkilötiedot: voidaanko perusoikeuden käyttöä kaupata?

Oikeudellinen valvonta nro 54 – Joulukuu 2022

Henkilötiedot: voidaanko perusoikeuden käyttöä kaupata? Facebookin, WhatsAppin ja Instagramin emoyhtiötä Metaa vastaan nostettujen menettelyjen kommentointi voi käydä kyllästyttäväksi, koska se herättää tietosuojaviranomaisten vihan. 

Yhtiö on itse asiassa ollut GAFAM-yrityksistä ankarimmin sanktioitu sitten GDPR:n voimaantulon, ja sille on juuri määrätty 390 miljoonan euron sakko.

Euroopan tietosuojaneuvoston (EDPB) äskettäiset päätökset, jotka Irlannin tietosuojaviranomainen pani täytäntöön tämän vuoden alussa, ansaitsevat kuitenkin huomiomme useammastakin kuin yhdestä syystä.

Yhtäältä siksi, että ne muodostavat Irlannin tietosuojaviranomaisen ja sen eurooppalaisten vastineiden välisen sanasodan epilogin, ja toisaalta siksi, että ne selventävät mainosprofiloinnin oikeudellista kehystä kontekstissa, joka ulottuu Metan erityistapausta pidemmälle.

Euroopan tietosuojaneuvoston 6. joulukuuta tekemät päätökset tehtiin eurooppalaisen riitojenratkaisumenettelyn puitteissa (yleisen tietosuoja-asetuksen 65 artikla). kansallisten tietosuojaviranomaisten välillä.

Näitä seurasi Irlannin viranomaisen lopullinen kanta, joka on linjassa Euroopan tietosuojaneuvoston päätelmien kanssa, julkaistu 4. tammikuuta.

Asian kärjessä Irlanti joutui erimielisyyteen muiden maiden kanssa useista Facebookin, WhatsAppin ja Instagramin suorittamista tietojenkäsittelytoimista.

Euroopan tietosuojaneuvoston päätökset ratkaisevat kiistan kolmen pääkohdan osalta: käsittelyn oikeusperusta (yleisen tietosuoja-asetuksen 6 artikla), tietosuojan periaatteet (yleisen tietosuoja-asetuksen 5 artikla) ja korjaavien toimenpiteiden, mukaan lukien sakkojen, käyttö.

Meitä erityisesti kiinnostaa kysymys yrityksen tietojenkäsittelyn oikeusperustasta. Meta harkitsee – Irlannin viranomaisen tuella – että käyttäjätietoja voitaisiin kerätä käyttäytymiseen perustuvan mainonnan (tai WhatsAppin tapauksessa palvelun parantamisen) tarkoituksiin sopimuksen täytäntöönpanon oikeusperustan avulla.

On huomattava, että ennen GDPR:n voimaantuloa Meta laillisti käyttäytymiseen perustuvan mainonnan hankkimalla käyttäjän suostumuksen.

Yhtiö muutti yleisiä ehtojaan 25. toukokuuta 2018 sisällyttääkseen siihen tämän mainonnan kohdentamisen tarkoituksen, jota pidetään nyt olennaisena osana sen tarjoamaa palvelua ja joka tosiasiallisesti rajoittaa käyttäjien hallintaa tietojensa käyttöön.

Yritys väitti, ettei sen tarvinnut hankkia suostumusta, koska tämä verkkokohdentaminen on osa sen käyttäjille tarjoamaa palvelua.

Muistutettakoon, että suostumus, kuten tietojen välttämättömyys sopimuksen täytäntöönpanon yhteydessä, ovat yksi GDPR:n 6(1) artiklan kuudesta oikeusperustasta, jotka mahdollistavat käsittelyn laillisuuden oikeuttamisen.

Ovatko nämä oikeusperustat keskenään vaihdettavissa?

Eurooppalainen doktriini tässä asiassa on selkeä, ja se on juuri vahvistettu: sopimusperusteista välttämättömyyttä on tulkittava suppeasti ja kerättyjen tietojen on oltava ehdottoman välttämättömiä tarjotun palvelun kannalta, kuten esimerkiksi luottokorttitietojen keräämisessä verkkomaksuja varten.

Euroopan tietosuojaneuvosto katsoi jo 8. lokakuuta 2019 antamassaan verkkopalveluita koskevassa lausunnossa, että käyttötottumuksiin perustuva mainonta ei ole välttämätön osa verkkopalveluita.

Verkkokauppias, joka esimerkiksi haluaa luoda profiileja käyttäjän makutottumuksista ja elämäntapavalinnoista verkkosivustokäyntien perusteella, ei voi luottaa ostosopimuksen täytäntöönpanoon näiden profiilien luomiseksi.

Vaikka profilointi mainittaisiin nimenomaisesti sopimuksessa, se yksinään ei tee siitä "välttämätöntä" sopimuksen täytäntöönpanon kannalta.

Jos verkkokauppias haluaa suorittaa tätä profilointia, sen on käytettävä toista oikeusperustaa.

Euroopan tietosuojaneuvosto vahvisti tämän kannan 13. huhtikuuta 2021 antamissaan sosiaalisen median käyttäjien kohdentamista koskevissa ohjeissa.

On kuitenkin huomattava, että yhä useammat verkkopalvelut esittävät itsensä ilmaisina, vaikka todellisuudessa niistä maksetaan käyttäjätiedoilla, jotka muodostavat verkkopalvelun vastineen.

Voimmeko siis "maksaa tiedoillamme"?

Tämä datasopimuksellisuuden kysymys ei ole uusi, mutta se nousee esiin tietyllä ajankohtaisuudella.

Vaikka mainokset tukisivat palvelua, suoramarkkinointitarkoituksiin tapahtuvaa käsittelyä pidetään lähtökohtaisesti erillään rekisteröidyn ja palveluntarjoajan välisen sopimuksen objektiivisesta tarkoituksesta, mikä tarkoittaa, että käyttäjällä on oltava vapaus suostua mainonnan kohdentamiseen tai olla suostumatta siihen.

Vuonna 2017 Euroopan tietosuojavaltuutettu varoitti digitaalisten palvelujen tarjoamista koskevista sopimuksista antamassaan lausunnossa "kaikista uusista säännöksistä, jotka toisivat esiin ajatuksen, että ihmiset voivat maksaa tiedoillaan samalla tavalla kuin he voivat maksaa rahalla".

Perusoikeuksia, kuten oikeutta henkilötietojen suojaan, ei voida rajoittaa pelkästään kuluttajien etuihin, eikä henkilötietoja voida pitää yksinkertaisena hyödykkeenä.

Jotkut saattavat ajatella, että tiedoilla maksaminen ei tarkoita perusoikeuksista luopumista.

On myös huomattava CNIL:n epäselvä kanta "maksumuureihin", jotka asettavat verkkosivustolle pääsyn ehdoksi maksun niille käyttäjille, jotka kieltäytyvät evästeiden käytöstä. Komissio toteaa verkkosivustollaan, että se tutkii näitä kysymyksiä tapauskohtaisesti.

Pitäisikö meidän siis odottaa Metan veloittavan käyttäjiltä, jotka kieltäytyvät mainosprofiloinnista?

Kuten Metaa vastaan kanteen nostanut kansalaisjärjestö NOYB aivan oikein huomauttaa, Euroopan tietosuojaneuvoston ratkaisema kiista koskee vain tätä profilointia, eikä sillä ole vaikutusta muihin mainonnan muotoihin, kuten sivun sisältöön perustuvaan kontekstuaaliseen mainontaan.

Euroopan tietosuojaneuvoston (EDPB) kannalla on varmasti vaikutusta Metan talouteen, mutta se ei sulje pois mainontaa kokonaan.

Päinvastoin, sen pitäisi palauttaa terve kilpailu Metan ja muiden verkkopalveluntarjoajien välille sekä Irlannin lain alaisten yritysten ja muualla Euroopassa sijaitsevien yritysten välille.

Ja myös

Ranska:

CNIL antoi yritykselle seuraamuksia 19. joulukuuta 2022. MICROSOFT IRELAND OPERATIONS LIMITED jopa 60 miljoonan euron sakot laittomasta evästeiden käytöstä hakukoneessaan ”bing.com”.

Yritystä syytetään siitä, ettei se ole ottanut käyttöön mekanismia, jonka avulla ihmiset voisivat yhtä helposti kieltäytyä evästeistä kuin hyväksyä ne.

CNIL perustelee tätä määrää käsittelyn laajuudella, asianomaisten henkilöiden lukumäärällä ja voitoilla, joita yritys saa evästeiden keräämien tietojen epäsuorasti tuottamista mainostuloista.

CNIL määräsi 30. marraskuuta 2022 FREE-yritykselle 300 000 euron sakon.

Tarkastuksissa paljastui useita rikkomuksia, erityisesti asianomaisten henkilöiden oikeuksissa (oikeus saada pääsy tietoihin ja oikeus poistaa ne) ja tietoturvallisuudessa: komissio korosti salasanojen heikkoa vahvuutta, salasanojen tallentamista ja siirtämistä selkokielellä sekä noin 4 100 huonosti kunnostetun "Freebox"-laatikon uudelleenkiertoa.

Se hylkäsi myös väitteen, jonka mukaan rekisterinpitäjän henkilötietojen lähteitä olisi pidettävä "liikesalaisuuksina".

CNIL palauttaa 5. joulukuuta 2022 päivätyssä julkaisussa mieleen säännöt, joita on noudatettava myytäessä asiakastiedostoja kaupallisiin tarkoituksiin: Rekisterin tulee sisältää vain aktiivisten asiakkaiden tiedot, ja enintään kolmen vuoden ajan liikesuhteen päättymisestä saa myydä vain niiden asiakkaiden tietoja, jotka eivät ole vastustaneet tietojensa siirtoa tai jotka ovat antaneet siihen suostumuksensa, ja ostajan on varmistettava, että yksilöiden oikeuksia kunnioitetaan (erityisesti selkeät tiedot ja suostumus sähköiseen tiedonhankintaan).

CNIL antoi lopulta hyväksynnän 4. tammikuuta APPLE INTERNATIONAL DISTRIBUTION jopa 8 miljoonaa euroa koska se ei ollut pyytänyt vanhaa iOS 14.6 -versiota käyttävien ranskalaisten iPhone-käyttäjien suostumusta ennen mainostarkoituksiin käytettävien tunnisteiden tallentamista ja/tai kirjoittamista heidän laitteilleen.

Eurooppa:

EU:n neuvoston puheenjohtajavaltio Ruotsi julkaisi 14. joulukuuta prioriteettinsa seuraavalle kuudelle kuukaudelle: digitaaliteknologia ei ole asialistan kärjessä.ottaen huomioon Venäjän ja Ukrainan välisen konfliktin yhteydessä käytävät keskustelut taloudellisesta ja energiaturvallisuudesta ja -kestävyydestä.

Ruotsi kuitenkin täsmentää, että se jatkaa aloitettua työtä tietosuoja-asetuksen ("tietolaki"), sähköisen viestinnän tietosuoja-asetuksen sekä eurooppalaiseen terveysdata-avaruuteen liittyvän asetusehdotuksen parissa.

Euroopan komissio julkaisi 13. joulukuuta 2022 kauan odotetun luonnoksensa Yhdysvaltojen tietosuojan tasoa koskevaksi riittävyyspäätökseksi.

Tämän päätöksen tarkoituksena on tarjota pysyvä oikeusperusta EU:n ja Yhdysvaltojen välisille tiedonsiirroille EU:n tuomioistuimen heinäkuussa 2020 antaman Schrems II -päätöksen jälkeen, jolla Privacy Shield -järjestely mitätöitiin.

Ennen lopullisen päätöksen hyväksymistä luonnos on vielä tarkastettava Euroopan tietosuojaneuvostossa (EDPB) ja hyväksyttävä EU:n jäsenvaltioiden edustajista koostuva komitea.

Myös Euroopan parlamentilla on oikeus tarkastella uudelleen tietosuojan riittävyyttä koskevia päätöksiä.

Euroopan komissio julkaisi 15. joulukuuta 2022 julistuksen digitaalisista oikeuksista ja periaatteista digitaaliselle vuosikymmenelle.

Julistuksen tavoitteena on ohjata päättäjiä heidän digitaalisen transformaation visiossaan seuraavien linjojen mukaisesti: kansalaiskeskeinen digitaalinen transformaatio, solidaarisuuden ja osallisuuden tukeminen, muistutus valinnanvapauden tärkeydestä vuorovaikutuksessa algoritmien ja tekoälyjärjestelmien kanssa sekä turvallisuuden, suojan ja voimaannuttamisen lisääminen, erityisesti lasten ja nuorten osalta, samalla kun taataan yksilöiden oikeus yksityisyyteen ja hallintaan omiin tietoihinsa.

Vuoden kestäneen tutkinnan jälkeen EU-asiamies on julkaissut 19. joulukuuta 2022 päivätyn päätöksensä, joka koskee Irlannin kansalaisvapausneuvoston (ICCL) Euroopan komissiota vastaan tekemää kantelua, jossa se ei ole valvonut riittävästi Irlannin yleisen tietosuoja-asetuksen soveltamista.

Tämä päätös korostaa Euroopan komission tarvetta seurata paremmin jokaisen Irlannin tietosuojavaltuutetulle esitetyn Big Tech -tapauksen edistymistä.

Euroopan unionin tuomioistuin selvensi 8. joulukuuta antamassaan tuomiossa edellytyksiä, joiden täyttyessä Euroopan kansalaiset voivat saada Googlelta poistettavaksi heitä koskevia hakutuloksia.

Tapaus koski kahta sijoituspäällikköä, jotka pyysivät Googlea poistamaan heidän nimillään tehdyn haun tulokset, jotka tarjosivat linkkejä tiettyihin artikkeleihin, joissa kritisoitiin heidän sijoitusmalliaan.

Tuomioistuin totesi, että "sananvapautta ja tiedonvälityksen vapautta ei voida ottaa huomioon, kun ainakin osa – joka ei ole vähämerkityksinen – viitatussa sisällössä olevista tiedoista osoittautuu epätarkaksi." Hakukoneista epätarkkoja tuloksia poistavien henkilöiden on esitettävä riittävät (ja kohtuulliset) todisteet siitä, että heistä sanottu on väärää.

Alankomaiden tietosuojaviranomainen julkaisi 22. joulukuuta lausunnon valtuuksistaan valvoa algoritmeja läpinäkyvyyden, syrjinnän ja mielivaltaisuuden osalta.

Myös Alankomaissa hollantilaisen yksityisyyden suojaa puolustavan Incogni-ryhmän tutkimus paljastaa, että monilla suosituilla ostossovelluksilla, mukaan lukien Amazonin sovelluksilla, on kyseenalaisia käytäntöjä käyttöoikeuksien jakamisessa mainoskirjastojen kanssa, mikä antaa mainosverkostoille mahdollisuuden käyttää laitetta epäsuorasti. 

Kreikan viranomaiset Tietosuojaviranomainen on määrännyt Vodafone PANAFON SA:lle 150 000 euron sakon, koska se ei ole toteuttanut asianmukaisia teknisiä ja organisatorisia toimenpiteitä sähköisten viestintäpalveluidensa turvallisuuden suojaamiseksi.

Islannin viranomainen Tietosuojaviranomainen määräsi autokorjaamon noudattamaan yleisen tietosuoja-asetuksen 15 artiklan mukaista tiedonsaantipyyntöä ja antamaan rekisteröidylle tiedot kaikista hänen autolleen sen hallussaoloaikana tehdyistä korjauksista ja huolloista.

Portugalin viranomainen Tietosuojaviranomainen on antanut Setúbalin kunnalle 170 000 euron sakon eheyden ja luottamuksellisuuden periaatteen, säilytyksen rajoittamisen periaatteen ja yleisen tietosuoja-asetuksen 13 artiklassa säädettyjen tiedonantovelvoitteiden rikkomisesta sekä tietosuojavastaavan nimittämättä jättämisestä ukrainalaisten pakolaisten henkilötietojen keräämisen yhteydessä, jotka käyttivät Portugalissa puhelinneuvontaa.

Portugalin tietosuojaviranomainen määräsi myös seuraamuksia kansalliselle tilastolaitokselle GDPR:n noudattamatta jättämisestä, mukaan lukien vuoden 2021 väestönlaskennan henkilötietojen lähettämisestä Yhdysvaltoihin ja tietosuojan vaikutustenarvioinnin tekemättä jättämisestä.

Italian viranomainen Tietosuojaviranomainen on määrännyt Alpha Explorationille 2 000 000 euron sakon sosiaalisen verkoston Clubhouse-verkoston ylläpitämisestä GDPR:n laillisuus- ja läpinäkyvyyssäännöksiä rikkoen, käsittelystä aiheutuvien riskien arvioinnin laiminlyönnistä ja EU-edustajan nimittämisestä ilman tarvittavaa valtuutusta toimia rekisterinpitäjän puolesta.

Italian tietosuojaviranomainen määräsi myös teleoperaattori Vodafone Italialle 500 000 euron sakot henkilötietojen käsittelystä suoramarkkinointitarkoituksiin ilman laillista perustetta, yleisen suostumuksen hankkimisesta erillisiin tietojenkäsittelytoimiin ja henkilötietojen käsittelyä koskevien tietojen antamisesta käsittämättömällä tavalla.

Espanjan viranomainen Tietosuojaviranomainen määräsi 16-vuotiaalle teini-ikäiselle 5 000 euron sakon WhatsAppin kautta vastaanotettujen videoiden ja valokuvien käytöstä 13-vuotiaan alaikäisen kiristämiseen, joka ei pystynyt antamaan pätevää suostumustaan. Tietosuojaviranomainen määräsi teini-ikäisen myös poistamaan kaikki muut kyseistä henkilöä koskevat henkilötiedot ja raportoimaan toteutetuista toimenpiteistä. 

Kansainvälinen

YHDYSVALLAT: Fortnite-videopelin kehittäjä Epic Games joutuu maksamaan yli puoli miljardia dollaria. lasten yksityisyyden suojaa koskevan lain (COPPA) rikkomisesta, oletusarvoisten yksityisyysasetusten muuttamisesta ja käyttäjien huijaamisesta tekemään ei-toivottuja ostoksia.

Liittovaltion kauppakomission (FTC) ja Epic Gamesin väliset sopimukset julkistettiin 15. joulukuuta.

Julkaisussa 29. joulukuuta, The Guardian kertoo, että kiinalainen valvontakameroiden valmistaja Hikvision on kehittänyt ohjelmistoalustan poliisin avuksi. seuraamaan mielenosoittajien toimintaa.

Kiinan poliisi voisi siten asettaa hälytyksiä erityyppisistä mielenosoituksista, kuten "julkisilla paikoilla järjestystä häiritsevistä väkijoukkojen kokoontumisista", "laittomista kokoontumisista, kulkueista, mielenosoituksista" ja "adressin" uhkauksista.

OECD-maat hyväksyivät ensimmäisen hallitustenvälisen yksityisyyden suojaa koskevan sopimuksen 14. joulukuuta 2022. kun henkilötietoja käytetään kansallisen turvallisuuden ja lainvalvonnan tarkoituksissa.

Periaatteet määrittelevät, miten oikeudelliset kehykset säätelevät viranomaisten pääsyä tietoihin, mitä oikeudellisia standardeja sovelletaan pääsyä pyydettäessä, miten pääsy hyväksytään ja miten tuloksena olevia tietoja käsitellään, sekä miten pyritään varmistamaan läpinäkyvyys yleisölle.

Niistä tekniset ratkaisut kehitetään, jotta sekä käyttäjät voivat hallita tietojensa käyttöä että rekisterinpitäjät voivat hallita verkkotietoja tietosuojaperiaatteiden mukaisesti.

Global Privacy Controlin lisäksi, jonka käyttö verkkosuostumusten hallinnassa laajenee nyt, CookieFirst-suostumustenhallinta-alusta tarjoaa käyttäjille edistynyttä hallintaa kolmansien osapuolten palveluille ja heidän asettamille evästeille sekä käyttää EU:ssa sijaitsevia alihankkijoita tietojen tallennukseen.

Anne Christine Lacoste

Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.