Legal Watch nro 83 – toukokuu 2025. 

Euroopan datasuvereniteetti: toiveajattelua?

Microsoftin Kansainvälisen rikostuomioistuimen (ICC) pääsyyttäjän Karim Khanin sähköpostitilin esto herättää ratkaisevan kysymyksen Ranskan ja yleisesti Euroopan digitaalisesta itsemääräämisoikeudesta suurten teknologiayritysten edessä.

AP:n mukaan Khanin sähköpostitili estettiin ilman varoitusta, minkä vuoksi hänen oli käytettävä sveitsiläisen internet-palveluntarjoajan Protonin palveluita.

Koska tuomioistuin on vahvasti riippuvainen palveluntarjoajista, kuten Microsoftista, sen työ on hidastunut merkittävästi.

Microsoftin päätös on suora seuraus Yhdysvaltain presidentti Donald Trumpin helmikuussa Haagin tuomioistuinta vastaan asuttamista toimista sen jälkeen, kun ICC:n tuomaripaneeli antoi pidätysmääräykset Israelin pääministerille Benjamin Netanyahulle ja hänen entiselle puolustusministerilleen Yoav Gallantille Gazan alueen sotarikoksista.

Presidentin asetus kieltää nimenomaisesti varojen, tavaroiden tai palveluiden toimittamisen ICC:n pääsyyttäjälle sekä kaikki liiketoimet, jotka kiertäisivät näitä kieltoja, sillä perusteella, että ICC:n toimet muodostavat epätavallisen ja poikkeuksellisen uhan Yhdysvaltojen kansalliselle turvallisuudelle ja ulkopolitiikalle.

Hollantilainen julkaisu 31. toukokuuta huomauttaa tässä yhteydessä, että ottaen huomioon julkisen sektorin käyttämien amerikkalaisten palvelimien määrän, "Yhdysvaltain hallitus voisi estää tai manipuloida yli 650 Alankomaiden hallituksen ja kriittisten yritysten verkkosivustoa yhdellä napin painalluksella, mukaan lukien De Nederlandsche Bankin ja poliisin verkkosivustot, mutta myös ulkoministeriön verkkosivuston (...). Aivan kuten Crisis.nl-verkkosivusto, joka on hollantilaisten tietolähde katastrofin sattuessa."

Toinen esimerkki teknologisen riippuvuutemme mahdollisista seurauksista löytyy hiljattain OpenAI:n ja Yhdysvaltain oikeusjärjestelmän välisestä tapauksesta: yritys taistelee parhaillaan päätöstä vastaan, joka määrää sen säilyttämään kaikki ChatGPT-käyttäjälokit – mukaan lukien poistetut ja arkaluontoiset keskustelut – jotka on tallennettu sen kaupallisen API-tarjouksen kautta.

Päätös sai alkunsa tekijänoikeusvaatimuksia esittäneistä lehdistöjärjestöistä, jotka syyttivät OpenAI:ta todisteiden tuhoamisesta.

Vastauksessaan yritys väittää, että oikeus nojaa yksinomaan New York Timesin ja muiden mediakantajien väitteeseen ja että se "ilman mitään pätevää syytä estää OpenAI:ta kunnioittamasta käyttäjiensä yksityisyyttä koskevia päätöksiä".

Ilman että otettaisiin kantaa tekijänoikeuksien kunnioittamisen oikeutettuun kysymykseen, tapaus johtaa meidät kyseenalaistamaan ulkovaltojen, tässä tapauksessa Yhdysvaltojen, mahdollisen kontrollin päivittäisiin työvälineisiimme siitä hetkestä lähtien, kun ne yksin päättävät kansallisen edun mukaisista motiiveista, jotka oikeuttavat tällaisen kontrollin.

Tämä vaikuttaa erityisen huolestuttavalta maailmassa, jossa oikeusvaltioperiaatetta vastaan hyökätään yhä enemmän ja jossa poliittiset liittoumat vaihtelevat päivittäin.

Tässä synkässä tilanteessa, jossa Eurooppaa usein syytetään jälkeen jäämisestä, on myös rohkaisevia uutisia: Secure Data Access Centre (CASD) sai toukokuun puolivälissä ensimmäisenä datan isännöintipalveluna Euroopassa virallisen GDPR-sertifikaatin GDPR:n 42 artiklan ja Europrivacy-standardin nojalla.

Tämä sertifikaatti on 30 maan – kaikkien EU- ja ETA-maiden – tietosuojaviranomaisten virallisesti tunnustama.

CASD:llä on jo useita sertifikaatteja (ISO 27001, ISO 2770), ja se on myös merkittävä terveystietojen isäntä (HDS).

Tiedämme myös, että Eurooppa investoi parhaillaan tekoälyyn sekä taloudellisesti että sääntelyn yksinkertaistamiseksi (katso uutiset alta). IMA:n (Innovation Makers Alliance) manifesti, jota tukevat muun muassa OVHcloud, Hexatrust ja Mistral AI, esitteli maaliskuussa myös 33 ehdotusta, jotka kohdistuivat tekoälyyn, pilvipalveluihin, kyberturvallisuuteen ja julkisiin hankintoihin ja joiden tavoitteena oli kiireellinen tasapainottaminen… Samaan aikaan Microsoft tarjosi Euroopan hallituksille ilmaisen kyberturvallisuusohjelman.

Eurooppalaiset aloitteet saavuttavat täyden potentiaalinsa vain, jos refleksimme kehittyvät, olipa kyse sitten tekoälytyökaluja, hosting-palveluita tai digitaalista hygieniaa koskevista strategisista valinnoista: ennen tietojen siirtämistä tai tallentamista on aluksi käsiteltävä vain ehdottoman välttämättömiä tietoja ja pantava täytäntöön, olipa kyseessä sitten julkisen tai yksityisen sektorin toimintatavat ja toimintaohjeet, jotka rajoittavat näiden tietojen hallinnan menettämisen riskiä.

 

CNIL sakotti 15. toukokuuta 2025 Solocal Marketing Services -yritystä 900 000 eurolla potentiaalisten asiakkaiden hankkimisesta ilman heidän suostumustaan ja heidän tietojensa välittämisestä kumppaneille ilman pätevää laillista perustetta.

Samana päivänä se sakotti Caloga-yritystä 80 000 eurolla potentiaalisten asiakkaiden hankkimisesta ilman heidän suostumustaan ja heidän tietojensa välittämisestä kumppaneille ilman pätevää laillista perustetta.

Toukokuun lopussa kansanedustaja ja CNIL:n jäsen Philippe Latombe esitti parlamentaarisessa kysymyksessä talous-, valtiovarain- ja teollisuus- ja digitaalisen itsemääräämisoikeuden ministerille kysymyksiä monien julkisten elinten valinnasta tarjota työntekijöilleen täydentävää sairausvakuutusta ALANin keskinäisen vakuutusyhtiön kautta.

Hän huomauttaa, että "tämä ranskalainen yksisarvinen (...) isännöi dataansa Amazon Web Servicesin (AWS) kanssa ja on siksi Yhdysvaltain lain ekstraterritoriaalisuuden alainen".

Kansanedustaja kysyy hallitukselta, harkitseeko se "agenttiensa arkaluonteisten tietojen suojelemiseksi ja antamiensa direktiivien noudattamiseksi ALANin pyytämistä siirtymään itsenäiseen pilveen".

Valtioneuvosto saattoi 5. toukokuuta päivätyllä päätöksellä Euroopan unionin tuomioistuimelle (CJEU) ennakkoratkaisukysymyksen suostumuksen laajuudesta. Tapaus koskee Canal+-yhtiötä, jolle CNIL määräsi lokakuussa 2023 seuraamuksia internet-palveluntarjoajakumppaniensa keräämien tietojen käyttämisestä sähköisen markkinoinnin tarkoituksiin, vaikka kumppaneita ei nimenomaisesti tunnistettu suostumusta annettaessa.

Valtioneuvosto kysyy EU-tuomioistuimelta lähinnä, voidaanko pääasialliselle rekisterinpitäjälle (kuten internet-palveluntarjoajalle) annettua suostumusta "sen kumppaneiden" suorittamaan tietojenkäsittelyyn pitää riittävänä valtuuttamaan kukin näistä kumppaneista toteuttamaan markkinointikampanjoita, vaikka heitä ei tunnistettaisikaan tietojenkeruun yhteydessä.

Valtioneuvosto (CE) kieltäytyi 25. huhtikuuta keskeyttämään CNIL:n päätöstä, jolla Euroopan lääkevirasto (EMA) valtuutettiin toteuttamaan tietojenkäsittelyä sairauksien ilmaantuvuutta ja esiintyvyyttä koskevaa tutkimusta varten ”DARWIN EU” -hankkeen puitteissa.

Hakija väitti, että toimenpide oli kiireellinen, koska ehdotettu käsittely koski 10 miljoonan ranskalaisen terveystietoja, joita Microsoft isännöisi, mikä edellyttäisi siirtoja Yhdysvaltoihin, joissa suojatoimet olisivat riittämättömiä.

CE katsoo, että "vaikka ei voida täysin sulkea pois sitä mahdollisuutta, että Yhdysvaltojen viranomaiset voivat pyytää käsitellyistä tiedoista tiedonsaantia isäntäyhtiön emoyhtiön kautta ja että jälkimmäinen ei välttämättä pysty vastustamaan tätä, tämä riski on edelleen hypoteettinen tutkinnan nykyvaiheessa."

Toiseksi, sen lisäksi, että Microsoft Irelandilla on "Health Data Hosting" (HDS) -sertifikaatti (...), projektin toteuttamiseen liittyy takuita ja turvatoimia, erityisesti se, että tiedot pseudonymisoidaan useita kertoja eivätkä ne ole suoraan tunnistettavissa, joten CNIL katsoi, että tämä riski oli vähentynyt tasolle, joka ei oikeuttanut pyydetyn luvan epäämistä, jonka kestoa se myös rajoitti kolmeen vuoteen.

Bordeaux'n muutoksenhakutuomioistuin mitätöi 13. toukokuuta verkkosivuston kehittämistä koskevan sopimuksen henkilötietojen suojaa koskevien määräysten rikkomisen vuoksi, erityisesti evästeisiin liittyvien tiedonsaantiin ja suostumukseen liittyvien velvoitteiden osalta.

Kryptovaluuttasektori on kuohunnassa useiden kidnappausyritysten jälkeen.

Äskettäisen hyökkäyksen kohteena olleen Paymium-alustan johtaja viittaa sääntelykehitykseen, jonka tarkoituksena on soveltaa kryptovaluuttasektoriin useita anonymiteetin poistamiseen tähtääviä sääntöjä, joita sovelletaan jo pankkisektoriin rahanpesun tai huumekaupan torjunnan yhteydessä.

Ne kohdistavat iskuja erityisesti kansallisiin ja eurooppalaisiin mekanismeihin, joiden tarkoituksena on tehdä varoista jäljittämättömiä.

Jotkut kyberturvallisuusasiantuntijat ovat samaa mieltä näistä huolenaiheista ja väittävät, että anonymiteettiä voidaan käyttää laillisissa yhteyksissä, mutta ne on myös suhteutettu toisten näkökulmasta ja korostettu kaikkia finanssialalla jo sovellettavia tietosuojatakeita.

 

Euroopan unionin toimielimet ja elimet

Euroopan komissio julkaisi 21. toukokuuta ehdotuksen GDPR:n muuttamiseksi, jonka tarkoituksena on keventää pk-yritysten velvoitteita ja laajentaa ne koskemaan alle 750 työntekijää työllistäviä keskisuuria yrityksiä.

Tärkeimmät muutokset koskevat käsittelytoimien kirjaamiseen (RPA) liittyviä vaatimuksia.

Nykyinen 30(5) pykälän poikkeus laajennettaisiin koskemaan kaikkia tällaisia yrityksiä.

Tätä uutta poikkeusta sovellettaisiin, ellei käsittely todennäköisesti aiheuta ”korkeaa riskiä” kyseisten henkilöiden oikeuksille ja vapauksille (toisin kuin nykyinen ”riski”).

Tekstiin lisättäisiin myös johdanto-osan kappale, jossa täsmennetään, että tiettyjen työ- ja sosiaaliturvalainsäädännön soveltamiseksi 9(2)(b) artiklan nojalla tarvittavien tietoluokkien käsittely ei sinänsä johda velvollisuuteen ylläpitää RAT-rekisteriä.

Ehdotuksilla muutettaisiin myös käytännesääntöihin (40 artikla) ja sertifiointijärjestelmiin (42 artikla) liittyviä säännöksiä siten, että ne laajennettaisiin koskemaan alle 750 työntekijää työllistäviä yrityksiä.

Nämä artiklat edellyttävät tällä hetkellä jäsenvaltioilta, tietosuojaviranomaisilta, komissiolta ja Euroopan tietosuojaneuvostolta "kannustavan" sellaisten sääntöjen ja sertifiointien kehittämistä, joissa otetaan huomioon pk-yritysten "erityistarpeet".

Euroopan komissio avaa kuulemisen tekoälyn datan käytöstä, datasääntöjen yksinkertaistamisesta ja kansainvälisistä datavirroista EU:n tulevan datastrategian pohjaksi.

Tavoitteena on mahdollistaa tekoälyn tarvitsemien korkealaatuisten, yhteentoimivien ja monimuotoisten tietoaineistojen luominen samalla varmistaen dataan liittyvien politiikkojen, infrastruktuurien ja oikeudellisten välineiden välisen johdonmukaisuuden.

Konsultaatio on avoinna 18. heinäkuuta asti.

Komissio julkaisee myös kuulemisen digitaalisten palveluiden lakia (DSA) koskevasta ohjeluonnoksesta, joka on avoinna 10. kesäkuuta asti.

Teksti sisältää ohjeita alaikäisten suojelemiseksi verkossa. Komissio aikoo julkaista lopulliset ohjeet tänä kesänä. Se työstää myös iänvarmistussovellusta.

Euroopan komissio ilmoitti 27. toukokuuta aloittaneensa tutkimukset alaikäisten suojelemiseksi pornografiselta sisällöltä digitaalisten palveluiden lain (DSA) nojalla.

Pornhubia, Stripchatia, XNXX:ää ja XVideosia koskevat tutkimukset keskittyvät tehokkaiden iänvarmistusmenetelmien puutteeseen liittyviin riskeihin.

Samaan aikaan Euroopan digitaalisten palvelujen neuvostossa kokoontuneet jäsenvaltiot toteuttavat koordinoituja toimia pieniä pornografisia alustoja vastaan.

Euroopan tietosuojavaltuutettu julkaisi 28. toukokuuta lausunnon ehdotuksesta asetukseksi EU:ssa laittomasti oleskelevien kolmansien maiden kansalaisten palauttamista varten perustettavasta yhteisestä järjestelmästä.

Vaikka hän myöntääkin, että nykyistä maahanmuutto- ja turvapaikkalainsäädäntöä on tarpeen panna tehokkaammin täytäntöön, hän korostaa, että "tietosuoja – perusoikeuskirjassa vahvistettuna perusoikeutena – on yksi viimeisistä puolustuslinjoista haavoittuvassa asemassa oleville ihmisille, kuten maahanmuuttajille ja turvapaikanhakijoille, jotka lähestyvät EU:n ulkorajoja".

Kansalaisjärjestö noyb lähetti Metalle 14. toukokuuta "lopettaa ja pidättäytyä" -kirjeen uuden eurooppalaisen kollektiivisten oikeussuojakeinojen direktiivin nojalla. Kirje koskee Metan tekoälyn koulutusta ilman käyttäjän suostumusta.

Myös Saksassa Verbraucherzentrale NRW oli jättänyt alustavan kieltomääräyksen, jonka tuomioistuin hylkäsi toukokuun lopussa (ks. alla).

 

Uutisia Euroopan unionin jäsenmaista.

Saksan liittovaltion tietosuojaviranomainen (BfDI) on julkaissut tekoälyvaatimustenmukaisuuskyselyn, jonka tarkoituksena on auttaa organisaatioita validoimaan tekoälyaloitteensa ja varmistamaan, että ne ovat GDPR:n mukaisia.

Kölnin alueellinen korkein oikeus päätti 23. toukokuuta, ettei Meta ollut rikkonut GDPR:ää tai eurooppalaista digitaalisten markkinoiden asetusta käyttämällä käyttäjäprofiilitietoja tekoälyjärjestelmänsä parantamiseen. Se totesi, että tämä arvio on yhdenmukainen Irlannin tietosuojavaltuuston (DPC) tekemän arvion kanssa, sillä DPC on toimivaltainen Metan suhteen Euroopassa.

TikTok on nostettu ryhmäkanteen Saksassa. Hollantilainen kansalaisjärjestö Stichting Onderzoek Marktinformatie (Somi), joka nosti vahingonkorvausvaatimuksen berliiniläisessä tuomioistuimessa, väittää, että "TikTok kerää ja analysoi käyttäjiensä erittäin henkilökohtaisia ja intiimejä tietoja siinä määrin, kuin on tarpeen".

Järjestö väittää, että alustan algoritmi luo "manipulaatio- ja riippuvuusjärjestelmän", erityisesti lapsille. Kansalaisjärjestö vaatii jopa 2 000 euron vahingonkorvauksia henkilöä kohden.

Belgian tietosuojaviranomainen (APD) on arvioinut Belgian valtion ja Yhdysvaltojen välisen FATCA-sopimuksen ja todennut, että se ei ole yhteensopiva GDPR:n kanssa.

Valitukset koskivat valittajien, mukaan lukien belgialaisten "sattumanvaraisten amerikkalaisten", henkilötietojen siirtämistä Yhdysvaltain veroviranomaisille.

APD antoi liittovaltion julkishallinnon rahoitusosastolle huomautuksen GDPR:n rikkomuksista ja totesi, että käyttötarkoituksen rajoittamisen, tietojen minimoinnin ja tiedonsiirtosääntöjen periaatteita oli rikottu. 

Tällä päätöksellä on vaikutuksia, jotka ulottuvat Belgian ulkopuolelle, sillä Yhdysvallat on tehnyt vastaavia sopimuksia muiden Euroopan unionin maiden kanssa.

Espanjan tietosuojaviranomainen APD on määrännyt andalusialaiselle yritykselle 1 200 euron sakon, koska se pyysi etätyöntekijöitään antamaan henkilökohtaisen puhelinnumeronsa, jotta heidät voitaisiin lisätä yrityksen WhatsApp-ryhmään.

Työntekijät voisivat teoriassa suostua sähköpostivaihtoehtoon tai valita sen, mutta yritys kannusti heitä käyttämään WhatsAppia sujuvan viestinnän takaamiseksi.

APD toisti, että suostumus ei ole pätevä oikeusperuste työntekijän ja työnantajan välisessä suhteessa.

Myös Espanjassa Carrefour-yritys sai APD:ltä 3,2 miljoonan euron sakot, koska se ei suojannut asiakkaidensa tileille pääsyä.

Yritys tuomittiin, vaikka hakkeroinnissa käytettyjä tunnuksia ei varastettu suoraan siltä, vaan koska se oli laiminlyönyt huolellisuusvelvollisuutensa ja sen turvajärjestelmät eivät antaneet sille mahdollisuutta havaita massiivisia hyökkäyksiä erittäin suuresta määrästä IP-osoitteita.

Italian tietosuojaviranomainen (APD) on määrännyt amerikkalaiselle Luka Inc -yritykselle, "virtuaalikumppanin" "Replika AI":n toimittajalle, viiden miljoonan euron sakot henkilötietojen laittomasta käsittelystä, avoimuussääntöjen rikkomisesta ja tehokkaiden mekanismien toteuttamatta jättämisestä käyttäjien iän tarkistamiseksi.

Puolan tietosuojaviranomainen (APD) on määrännyt Puolan digitalisaatioministerille 100 000 zlotyn (23 448,50 euron) ja Puolan postille 27 124 816 zlotyn (6 444 174 euron) sakot noin 30 miljoonan kansalaisen henkilötietojen laittomasta käsittelystä postiäänestyksen mahdollistamiseksi parlamenttivaaleissa.

 

Australian hallitus on julkaissut tekoälyyn liittyviä vakiolausekkeita.

Nämä lausekkeet koskevat tekoälyjärjestelmien ostoehtoja ja varmistavat, että ne hankitaan ja otetaan käyttöön vastuullisesti, eettisesti ja turvallisesti. Niiden tarkoituksena on lieventää riskejä ja edistää läpinäkyvyyttä ja vastuullisuutta tekoälyn käyttöönotossa.

Privacy Laws and Businessin 5. kesäkuuta julkaisema raportti osoittaa, että monet Afrikan maat ovat ottaneet käyttöön henkilötietojen suojaa koskevia lakeja sosioekonomisessa ympäristössä, joka on täysin erilainen kuin Eurooppa tai Pohjois-Amerikka.

”Afrikka on mobiilirahan käytön johtava maanosa, jolla on yli 1,1 miljardia rekisteröityä tiliä, mikä edustaa yli puolta maailmanlaajuisesta kokonaismäärästä. Näin ollen Afrikan maiden tietosuojapolitiikan prioriteetit ovat väistämättä erilaiset kuin Euroopan maiden.”

Kirjoittajan mukaan tämä erilainen sosioekonominen konteksti tarkoittaa, että EU:n arvioidessa Kenian ja muiden Afrikan, Aasian ja Latinalaisen Amerikan maiden "sopivuutta" tulisi jossain määrin ottaa huomioon kansalliset olosuhteet.

Yhdysvaltain presidentti allekirjoitti 19. toukokuuta "Take It Down Act" -lain, jonka tarkoituksena on estää intiimien kuvien julkaiseminen ilman suostumusta ja joka kattaa myös tekoälyn "deepfake"-kuvat.

”Take It Down” on lyhenne sanoista ”Tools to Address Known Exploitation by Immobilizing Technological Deepfakes On Websites and Networks Act” (Työkalut verkkosivustoilla ja verkostoissa esiintyvien teknologisten syvähuijausten torjuntaan).

Google on suostunut maksamaan Texasin osavaltiolle 1,375 miljardia dollaria korvauksina kahdesta oikeusjutusta, joissa yhtiötä syytetään käyttäjien sijainnin seuraamisesta, "incognito"-hauista sekä ääni- ja kasvotietojen keräämisestä ilman heidän lupaansa.

Yhtiön kerrotaan sopineen oikeudenkäynnin myöntämättä virhettä tai vastuuta ja ilman, että sen tarvitsisi muuttaa tuotteitaan, ja että sen käytännöt olivat kehittyneet tapahtumien jälkeen.

Samaan aikaan 3. kesäkuuta julkaistut tutkimustulokset osoittavat, että Meta ja venäläinen Yandex-yritys seuraavat Android-käyttäjien verkkoselailua jopa incognito-tilassa tai VPN:n avulla hyödyntämällä paikallista porttia yhdistääkseen selaustoiminnan yhdistettyyn identiteettiin.

Google sanoo tutkivansa tätä väärinkäyttöä, jonka avulla Meta ja Yandex voivat muuntaa lyhytaikaisia verkkotunnisteita mobiilisovellusten käyttäjien pysyviksi identiteeteiksi.