DSA – DMA : deux piliers de la stratégie numérique européenne.

DSA – DMA: Euroopan digitaalistrategian kaksi pilaria.

Oikeudellinen valvonta nro 46 – Huhtikuu 2022

DSA – DMA: Euroopan digitaalistrategian kaksi pilariaDSA eli digitaalisten palveluiden laki on ollut digitaalisen maailman kommenttien kohteena sen jälkeen, kun poliittinen sopimus tehtiin 22.–23. huhtikuuta välisenä yönä.

Tämä digitaalisia palveluita koskeva lainsäädäntö on itse asiassa yhdessä digitaalisia markkinoita koskevan lainsäädännön (digitaalisten markkinoiden laki) kanssa Euroopan komission 15. joulukuuta 2020 esittelemän eurooppalaisen järjestelmän ydin.

Tämän strategian tavoitteena on luoda tasapuolisemmat toimintaedellytykset ja tehdä verkkoalustoista vastuullisempia julkaisemastaan sisällöstä.

Erityisesti digitaalisten palveluiden laki pyrkii tekemään digitaalisesta ympäristöstä läpinäkyvämmän ja turvallisemman määrittelemällä digitaalisten palveluntarjoajien vastuut.

Se täydentää EU:n verkkokauppadirektiiviä ja muita tekstejä, kuten "alustojen ja yritysten välistä kauppaa" koskevaa asetusta, sekä alakohtaisia säännöksiä, jotka sääntelevät esimerkiksi verkossa esiintyvän vihapuheen, terrorismin, syrjinnän tai tekijänoikeuksien moderointia.

DSA koskee alustoja, kuten hakukoneita, sosiaalista mediaa tai verkkokauppa-alustoja. 

Tämä teksti oli lukuisten keskustelujen ja paineiden kohteena sekä kansalaisyhteiskunnan taholta, joka vaati riittävän laajaa soveltamisalaa, että digitaalisen talouden toimijoiden taholta, joiden pyynnöt olivat päinvastaisia.

Erityisesti nousi esiin kysymys "pimeiden kuvioiden" ja muiden kävijöiden käyttäytymiseen vaikuttavien mekanismien sääntelyn laajuudesta (ks. kirjeemme nro 45).

Saavutettu poliittinen sopimus näyttää löytävän tasapainon yhtäältä hyperkeskittyneen alustatalouden hallinnan ja toisaalta perusoikeuksien, sananvapauden ja yksilöiden syrjimättömyyden kunnioittamisen välillä.

Seuraavat elementit ovat erityisen huomionarvoisia:

  • Muutoksenhakumekanismin tulisi antaa mahdollisesti laitonta sisältöä tunnistaneille ihmisille mahdollisuus saada vastaus sisällön ylläpitäjältä läpinäkyvän menettelyn mukaisesti ja tekemättä jälkimmäisestä poliisin apujoukkoja.
  • Kohdennettua mainontaa rajoitetaan ilman arkaluonteisten käyttäjätietojen käyttöä.
  • Myös tummat kuviot kielletään – evästeiden sisällyttäminen tähän kieltoon on epävarmaa.
  • Ukrainan sodan yhteydessä käyttöön otettu kriisinhallintamekanismi antaa komissiolle mahdollisuuden julistaa digitaalisen hätätilan yhteistyössä kansallisten sääntelyviranomaisten kanssa.

Huomaa, että nämä toimenpiteet koskevat alustoja, eivätkä ne siksi päde verkkosivustoihin yleisesti.

Näihin sovelletaan kuitenkin edelleen GDPR:n ja sähköisen viestinnän eurooppalaisen direktiivin säännöksiä.

DMA täydentää digitaalista strategiaa kohdistamalla toimintansa erityisesti digitaalisten markkinoiden "käyttöoikeuden valvojiin" eli "portinvartijoihin". joilla on vahva taloudellinen asema Euroopan unionissa ja jotka yhdistävät laajan käyttäjäkunnan suureen määrään yrityksiä.

Myös tästä tekstistä saavutettiin poliittinen yhteisymmärrys 25. maaliskuuta, ja siinä selvennettiin digitaalisen markkinoinnin käsitteen soveltamisalaa: käsite kattaa digitaaliset markkinapaikat, sovelluskaupat, hakukoneet, sosiaaliset verkostot, pilvipalvelut, mainospalvelut, ääniavustajat ja verkkoselaimet.

DMA pyrkii varmistamaan, että nämä alustat toimivat verkossa oikeudenmukaisesti.

Niiden on esimerkiksi varmistettava pikaviestipalveluidensa perustoimintojen yhteentoimivuus.

Lisäksi he eivät enää voi:

  • Omien tuotteiden tai palveluiden mainostaminen muiden vahingoksi (itseensä viittaaminen)
  • Käytä yhden palvelun aikana kerättyjä yksityisiä tietoja uudelleen toisen palvelun tarkoituksiin
  • Luoda ammattikäyttäjille kohtuuttomia ehtoja
  • Asenna tiettyjä ohjelmistosovelluksia etukäteen
  • Sovelluskehittäjien vaatimus käyttää tiettyjä palveluita (esim. maksujärjestelmiä tai identiteetintarjoajia) sovelluskaupoissa listautumiseen

On kuitenkin syytä huomata yli 40 kilpailu- ja tietosuoja-alan edustajan sittemmin ilmaisemat huolenaiheet: viikolla 21 huhtikuuta he julkaisivat kirjeen, jossa he selittivät pelkonsa liian epämääräisestä tekstistä, joka antaisi kyseisille yrityksille mahdollisuuden yhdistää kaikki hallussaan olevat tiedot yhdellä suostumuksella, vaikka GDPR edellyttää oikeusperustaa jokaiselle suoritettavalle käsittelytyypille.

DMA, kuten ei myöskään DSA, ei ole vielä lopullinen: ne on hyväksyttävä Euroopan parlamentin täysistunnossa ennen kuin ne voidaan antaa.

Sillä välin, ja ottaen huomioon panokset, Eurooppa ei tuhlaa aikaa: sen kerrotaan suunnittelevan toimiston avaamista San Franciscoon ollakseen yhteydessä Piilaakson teknologiayrityksiin, samoihin yrityksiin, joihin uusien digitaalisten sääntöjen nojalla sovelletaan tiukkaa valvontaa.

Ja myös

Ranska:

  • Sciences Po -journalismin koulun huhtikuun puolivälissä julkaisema tutkimus osoittaa, että 184 Ranskan julkishallinnon sivustoa käyttää Google Analyticsia, huolimatta CNIL:n ja sen vastineiden korostamista seurauksista, jotka koskevat siirtoja Yhdysvaltoihin.

Näihin kohteisiin kuuluvat valtioneuvoston, tullin ja presidentinviraston rakennukset.

  • CNIL julkaisee tekoälyyn liittyviä resursseja eri kohderyhmille ammattilaisille muistutus CNIL:n periaatteista ja kannoista sekä itsearviointiopas; suurelle yleisölle resursseja aiheen parempaan ymmärtämiseen; lopuksi asiantuntijoille tietoa ja tutkimuksia aiheista ja niiden nykytilasta.
  • Huhtikuun alussa CNIL muutti repressiivisiä menettelyjään ja loi yksinkertaistetun menettelyn. vähemmän monimutkaisissa tapauksissa: kollegion kokousta tai julkista istuntoa ei pidetä, paitsi asianomaisen organisaation pyynnöstä.

Tässä yhteydessä määrättävät seuraamukset ovat rajalliset: varoitukset, jopa 20 000 euron sakot ja kieltomääräys, jonka mukaan uhkasakko on enintään 100 euroa viivästyspäivää kohden.

Näitä pakotteita ei julkisteta.

  • CNIL:n rajoitettu komitea antoi 15. huhtikuuta 2022 ... Dedalus Biologielle 1,5 miljoonan euron sakko tietoturva-aukkojen vuoksi, jotka johtivat lähes 500 000 ihmisen lääketieteellisten tietojen vuotamiseen.

Ohjelmistojen migraatiotoimintojen aikana havaittiin teknisiä ja organisatorisia tietoturvapuutteita.

Eurooppa:

Euroopan komissio käynnisti oman ehdotus eurooppalaisesta terveysdata-avaruudesta (EHDS).

Ehdotuksen tavoitteena on sekä helpottaa kansalaisten pääsyä terveystietoihinsa sähköisessä muodossa että jakaa niitä muiden terveydenhuollon ammattilaisten kanssa EU:ssa, samalla kun tutkijoilla, innovaattoreilla, julkisilla laitoksilla tai yrityksille on tiukkojen ehtojen mukaisesti pääsy näihin tietoihin.

Jokaisen jäsenvaltion on nimettävä digitaalisen terveydenhuollon viranomainen, joka osallistuu rajat ylittävään digitaaliseen infrastruktuuriin (MyHealth@EU).

Euroopan tietosuojaneuvosto (EDPB)

  • Euroopan tietosuojaneuvosto (EDPB) julkaisi 6. huhtikuuta 2022 lausunto transatlanttisen tietosuojakehyksen luonnoksesta.

Tämä lausunto on jatkoa Euroopan komission ja Yhdysvaltojen väliselle periaatesopimukselle, joka ilmoitettiin 25. maaliskuuta 2022.

Euroopan tietosuojaneuvosto huomauttaa, että tämä ilmoitus ei muodosta oikeudellista kehystä, jonka perusteella tietojen viejät voivat tehdä siirtojaan.

Niiden on jatkettava erityisesti Euroopan unionin tuomioistuimen Schrems II -tuomion noudattamisen edellyttämien toimien toteuttamista.

  • Euroopan tietosuojaneuvosto julkaisi myös yhteisen kannan 28. huhtikuuta koskien tietosuojaviranomaisten välinen yhteistyö valvonta-asioissa GDPR:n noudattaminen.

Asiakirjassa vahvistetaan tietosuojaviranomaisten halukkuus vahvistaa yhteistyötään tunnistamalla strategisesti tärkeitä rajat ylittäviä kysymyksiä, edistämällä yhteisiä tutkintatoimia ja tiedonvaihtoa sekä parantamalla tiettyjä menettelysääntöjä.

Euroopan tietosuojavaltuutettu (EDPS)

THE Euroopan tietosuojavaltuutettu (EDPS) järjestää Brysselissä 16. ja 17. kesäkuuta konferenssin, joka keskittyy GDPR:n noudattamiseen digitaalisessa maailmassa.

CPDP

Huomionarvoista on myös vuosittainen CPDP:n (Tietokoneet, yksityisyys ja tietosuoja) akateeminen konferenssi, joka on siirretty tänä vuonna 23.–25. toukokuuta. Ohjelma on rakennettu teeman ympärille "Älykkäiden koneiden aikakausi".

Euroopan parlamentti

Huhtikuun 19. päivänä Pegasuksen tutkintakomissio Euroopan parlamentti on aloittanut työnsä.

Komissiolla on kaksitoista kuukautta aikaa valmistella raporttinsa useiden hallitusten käyttämistä vakoiluohjelmista lukuisten julkisuuden henkilöiden, poliitikkojen, toimittajien ja aktivistien vakoiluun.

Euroopan unionin tuomioistuin

Kaksi tärkeää pysähdyspaikkaa Euroopan unionin tuomioistuin julkaistiin viime kuussa:

  • Tuomioistuin vahvisti 5. huhtikuuta oikeuskäytäntönsä, jonka mukaan sähköisen viestinnän tietoja (mukaan lukien sijaintitiedot) ei voida säilyttää yleisesti ja erotuksetta vakavien rikosten torjumiseksi.
  • Tuomioistuin tunnusti 28. huhtikuuta nimenomaisesti, että kuluttajansuojayhdistykset voivat nostaa edustuksellisia kanteita henkilötietojen suojaa koskevien loukkausten johdosta riippumatta siitä, onko rekisteröidyn oikeutta tietosuojaan tosiasiallisesti loukattu, ja ilman valtuutusta tehdä niin.

Espanjan tietosuojaviranomainen määräsi 1 500 euron sakon henkilölle, joka asensi videovalvontakameran julkisen tien suuntaan ja yksityisasuntojen lähelle ilman tiedotustaulua ja rikkoen siten yleisen tietosuoja-asetuksen 5(1)(c) artiklaa ja 13 artiklaa.

Alankomaiden tietosuojaviranomainen on määrännyt ulkoministeriölle 565 000 euron sakon. riittämättömien turvatoimenpiteiden ja asianomaisille henkilöille annettujen riittävien tietojen puutteen vuoksi viisumihakemusten yhteydessä.

Unkarin tietosuojaviranomainen on määrännyt pankille 670 000 euron sakon tekoälyn laittomasta käytöstä.Pankki analysoi automaattisesti asiakaspalvelunsa äänitteitä.

Tanskan tietosuojaviranomainen on määrännyt Danske Bankille 1 345 000 euron sakon tietojen säilyttämis- ja poistamismenettelyjen noudattamatta jättämisestä. yli 400 tietokonejärjestelmässä, joihin liittyy useita miljoonia ihmisiä. Tapaus on myös poliisitutkinnan kohteena.

Belgiassa DPA määräsi Brysselin Zaventem-lentokentälle 200 000 euron ja Brysselin South Charleroi -lentokentälle 100 000 euron sakon. matkustajien lämpötilan tarkastuksiin, jotka suoritetaan osana COVID-19:n torjuntaa ilman pätevää laillista perustetta.

Kansainvälinen:

Älykaiuttimien kuuntelu- ja tallennusominaisuuksiin liittyy huolta.

Huhtikuun lopussa julkaistu akateeminen tutkimus kuvaa Amazonin Alexan keräämän datan käyttöä mainonnan kohdentamiseen ja tämän datan arvoa, jota myydään edelleen 30 kertaa enemmän kuin muuta dataa.

Huhtikuun puolivälissä Irlannin ihmisoikeusvaltuutettu ilmaisi samat varaukset oikeusministerille, tällä kertaa koskien näiden tietojen uudelleenkäyttöä poliisitutkinnan yhteydessä.

Yhdysvaltain ulkoministeri Gina M. Raimondo antoi 21. huhtikuuta lausunnon ”Global CBPR Forumin” perustamisesta.

Tämän foorumin tarkoituksena on helpottaa henkilötietojen ja kaupallisen toiminnan siirtoa Yhdysvaltojen, Kanadan, Japanin, Korean tasavallan, Filippiinien, Singaporen ja Taiwanin välillä.

Huomaa, että CBPR-säännöt (Cross Border Privacy Rules) ovat olleet olemassa noin kymmenen vuotta, ja sertifioidut yritykset sijaitsevat pääasiassa Yhdysvalloissa.

OECD aikoo kehittää kehyksen luotettavalle hallinnon pääsylle yksityisen sektorin dataan.

Tämä teema on yksi kansainvälisen järjestön prioriteeteista vuodelle 2022, yhdessä datan lokalisoinnin ja henkilötietojen kansainvälisten siirtojen kanssa.

Anne Christine Lacoste

Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.

Tutustu Viqtoriin®
fiFI
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET lvLV lt_LTLT sk_SKSK sl_SISL fiFI