Legal Watch nro 86 – elokuu 2025. 

 

Evästeet ja internetin käyttäjien kohdentaminen: nykytila.

CNIL määräsi 1. syyskuuta Googlelle 325 miljoonan euron sakon ja Shein-konsernin irlantilaiselle tytäryhtiölle 150 miljoonan euron sakon. Nämä kaksi summaa nostavat merkittävästi CNIL:n viime kuukausina päättämien seuraamusten keskiarvoa.

Googlelle määrättiin seuraamuksia mainosten näyttämisestä Gmail-käyttäjien sähköpostien välissä ja evästeiden asettamisesta Google-tilejä luotaessa ilman ranskalaisten käyttäjien pätevää suostumusta.

CNIL vaatii myös Googlea poistamaan tällaiset mainosten näyttämisen kuuden kuukauden kuluessa ja hankkimaan käyttäjiltä voimassa olevan suostumuksen mainosevästeiden sijoittamiseen Google-tiliä luotaessa 100 000 euron päiväsakon uhalla. 

Sheinille määrätty sakko liittyy myös evästeitä koskevien sääntöjen noudattamatta jättämiseen, jotka on sijoitettu "shein.com"-verkkosivustolla vierailevien käyttäjien laitteille.

Nämä merkittävät sakot ovat osa komission vuonna 2019 verkkosivuillaan julkaisemia erilaisia toimenpiteitä internetin käyttäjien seurannan ja kohdentamisen sääntelemiseksi.

CNIL oli jo joulukuussa 2021 sakottanut Googlea 150 miljoonalla eurolla evästemääräysten rikkomisesta ja 50 miljoonalla eurolla sen tietosuojakäytännön läpinäkyvyyden ja selkeyden puutteesta sekä räätälöidyn mainonnan oikeusperustan puutteesta.

Se myös äskettäin määräsi Orange-yhtiölle seuraamuksia vastaavista käytännöistä lähettää mainoksia sähköpostien muodossa.

Nämä päätökset antavat meille mahdollisuuden tarkastella internetin käyttäjien kohdentamisen käytäntöjä ja lainsäädäntöä.

Yksittäistapauksiin sovellettavat säännöt ovat erityisiä: komissio muistuttaa, että seurantalaitteiden ja sähköisen etsinnän käyttöön liittyvät toiminnot eivät kuulu yleisen tietosuoja-asetuksen piiriin, vaan muiden sääntöjen piiriin: sähköisen viestinnän tietosuojadirektiivin, joka on saatettu osaksi tietosuojalain 82 artiklaa seurantalaitteiden osalta, ja kuluttajansuojalain 34-5 §:n piiriin sähköisen kaupallisen etsinnän osalta.

Vaatimustenvastaisiksi katsotut käytännöt koskevat pääasiassa seurantalaitteiden sijoittamista ilman käyttäjän suostumusta, mutta myös kasvavaa käytäntöä käyttää "evästeseiniä", jotka asettavat käyttäjän palvelun käyttöoikeuden ehdoksi sen, että hän hyväksyy seurantalaitteiden sijoittamisen päätelaitteelleen.

CNIL ei pidä tätä käytäntöä sinänsä laittomana, toisin kuin jotkut sen eurooppalaiset vastineet.

Hän kuitenkin korostaa, että suostumuksen on oltava vapaaehtoinen ja että käyttäjälle tarjotut vaihtoehdot on esitettävä tasapainoisesti kannustamatta heitä käyttämään yhtä vaihtoehtoa toisen sijaan (esimerkiksi tekemällä yhdestä vaihtoehdosta monimutkaisempaa kuin toisesta).

On myös välttämätöntä, että suostumus on tietoinen, mikä tarkoittaa, että ihmisillä on täysi ja selkeä käsitys valintojensa seurauksista.

Nämä CNIL:n päätökset ovat myös huipentuma kansalaisjärjestö noybin yli kaksi vuotta sitten useille eurooppalaisille tietosuojaviranomaisille (DPA) tekemistä valituksista. Valitukset koskevat pääasiassa evästeseinien, maksullisten maksujen ja OKA-käytäntöjen ilmiötä sekä tiedonkeruun läpinäkyvyyskysymystä.

Niinpä Itävallan liittovaltion hallinto-oikeus noudatti elokuun puolivälissä Itävallan tietosuojaviranomaisen lausuntoa ja katsoi, että evästeiden sijoittamisen useiden tarkoitusten olemassaolo edellyttää erillistä suostumusta.

Oikeuden mukaan eri käsittelytarkoitusten ryhmittely loukkaisi päätöksentekovapautta ja tekisi suostumuksesta pätemättömän.

"Tämä tarkkuus liittyy läheisesti vaatimukseen, jonka mukaan suostumus on annettava tiettyä tarkoitusta varten", tuomion perusteluissa todetaan.

Nämä viimeaikaiset tapahtumat vahvistavat valvontaviranomaisten kannan, jonka mukaan lainsäädäntöä ja erityisesti sähköisen viestinnän tietosuojadirektiiviä sovelletaan yksinomaan suostumukseen, erityisesti ei-välttämättömien evästeiden osalta.

Viranomaiset eivät enää suvaitse "oletusarvoisia" suostumuksia tai epämääräisiä tietoliittymiä.

       

Häntä kuulusteltiin senaatissa tänä kesänä. Microsoft Ranskan julkisten ja lakiasioiden johtaja Anton Carniaux myönsi, ettei hän voi "taata", että Euroopassa isännöityjen Ranskan kansalaisten tietoja ei koskaan luovuteta Yhdysvaltain hallitukselle. pilvilain nojalla, vaikka "tätä ei ole koskaan tapahtunut".

Tässä amerikkalaisista jättiyrityksistä riippuvaisuuden kontekstissa Tanskan hallitus on ilmoittanut virallisesti käynnistävänsä aloitteen, jonka tarkoituksena on arvioida avoimen lähdekoodin ratkaisujen integrointia maan julkisiin palveluihin.

DGE ja DGCCRF julkaisivat 9. syyskuuta luonnoksen kansallisten viranomaisten nimeämisestä, jotka vastaavat tekoälyä koskevan eurooppalaisen asetuksen täytäntöönpanosta.

Asiakirja sisältää kaavion, joka näyttää lukuisat toimivaltaiset viranomaiset asetuksen asiaankuuluvien artiklojen ja tekoälykäsittelyn tarkoitusten mukaisesti.

DINUM-lakimiestyön varapäällikön työn ansiosta CNIL:n tarkastusten karttaa on nyt mahdollista tarkastella vuosittain ja toimialoittain.

Kartoitus keskittyy näihin valvontatoimiin eikä sisällä kaikkia CNIL:n toimia, kuten kentällä tapahtuvaa tiedottamista, virallisia ilmoituksia, seuraamuksia jne.

Se perustuu CNIL:n data.gouv-sivustolla julkaisemiin tietoihin.

 

Euroopan unionin toimielimet ja elimet

Eurooppalaiset uutiset ovat kiireisiä tähän aikaan vuodesta toimielinten ja erityisesti Euroopan unionin tuomioistuimen toiminnan vuoksi.

Ehdotus viestinnän valvontaa koskevaksi asetukseksi (”chat control”), jonka tarkoituksena on ehkäistä ja torjua lapsiin kohdistuvaa seksuaalista hyväksikäyttöä, on jälleen kerran Tanskan puheenjohtajakauden Eurooppa-neuvoston asialistalla 12. syyskuuta 2025.

Tarkistettu ehdotus mahdollistaa viestien skannaamisen käyttäjän päätelaitteella ennen niiden lähettämistä, ja se on monien tiedemiesten ja kansalaisyhteiskunnan mielestä askel taaksepäin Puolan puheenjohtajakauden tekstiin verrattuna.

Uusi avoin kirje (neljäs tästä aiheesta), jonka oli allekirjoittanut yli 600 tiedemiestä 34 maasta, julkaistiin 8. syyskuuta.

Hän korostaa tämän ehdotuksen tehottomuutta ja riskejä salauksen kannalta ja mainitsee mahdollisia vaihtoehtoja.

Euroopan komissio käynnisti 4. syyskuuta prosessin tietosuojan riittävyyttä koskevan päätöksen hyväksymiseksi Brasilian kanssa.

Hyväksyttyään tämä päätös on ensimmäinen Latinalaista Amerikkaa koskeva tietosuojan riittävyyspäätös sitten Argentiinaa 3. kesäkuuta 2003 ja Uruguayta 21. elokuuta 2012 koskevien päätösten.

Brasilian viranomaiset ovat myös käynnistäneet prosessin, jonka tavoitteena on hyväksyä vastaava päätös, joka mahdollistaisi brasilialaisten tietojen vapaan virtauksen EU:hun.

Seuraavina vaiheina on päätösluonnoksen toimittaminen Euroopan tietosuojaneuvoston (EDPB) ja EU:n jäsenvaltioita edustavan ministerineuvoston tarkastettavaksi.

Myös Euroopan parlamentti käsittelee ehdotusta.

Syyskuun 5. päivänä Euroopan komissio on ilmoittanut määräävänsä Googlelle 2,95 miljardin euron sakot. EU:n kilpailusääntöjen rikkomisesta vääristämällä kilpailua mainosteknologia-alalla (”adtech”).

Googlen väitetään suosineen omia verkkomainontateknologiapalveluitaan kilpailevien mainostajien, verkkojulkaisijoiden ja -julkaisijoiden kustannuksella.

Komissio määräsi Googlen lopettamaan nämä itsesuosittelukäytännöt ja toteuttamaan toimenpiteitä mainosteknologian toimitusketjuunsa liittyvien eturistiriitojen poistamiseksi.

Googlella on nyt 60 päivää aikaa ilmoittaa komissiolle, miten se aikoo edetä.

Tämä pakote sai Yhdysvallat reagoimaan välittömästi, ja Donald Trump ilmoitti aikovansa ryhtyä vastatoimiin EU:ta vastaan.

Syyskuun 3. päivänä päätöksessään T-553/23 | Latombe v. komissio Euroopan unionin tuomioistuin on hylännyt europarlamentaarikko Philippe Latomben nostaman kanteen, jossa vaaditaan EU:n ja Yhdysvaltojen välisen tiedonsiirtosopimuksen kolmannen version mitätöintiä. tietosuojakehyksen (DPF) ja katsoo, että Yhdysvallat "takaisi riittävän henkilötietojen suojan tason".

Herra korosti erityisesti, että Yhdysvaltain valituselin, "Data Protection Review Court" (DPRC), ei ole puolueeton ja on riippuvainen toimeenpanovallasta.

Hän viittasi myös tiedustelupalvelujen käytäntöön kerätä valtavia määriä Euroopan unionista siirrettäviä henkilötietoja ilman tuomarin tai riippumattoman hallintoviranomaisen ennakkolupaa ja siten ilman riittävän selkeitä ja tarkkoja ohjeita.

Hovioikeus hylkää mitätöintivaatimuksen.

Hän korostaa, että Korean demokraattisen kansantasavallan (DPRC) toimintaan sovelletaan useita suojatoimia, että Euroopan komissio valvoo DPF:n soveltamista, ja pitää riittävänä, että Korean demokraattinen kansantasavalta (DPRC) suorittaa jälkikäteistä oikeudellista valvontaa amerikkalaisten virastojen tiedustelutoimien osalta.

EU-tuomioistuimen päätöksestä voi valittaa EU-tuomioistuimeen, ja kansanedustaja Philippe Latombe on jo ilmaissut aikomuksensa valittaa siitä.

Euroopan unionin tuomioistuin kumosi 4. syyskuuta tärkeässä päätöksessään (asia C-413/23 P | EDPB/CRU) EU-tuomioistuimen päätöksen, joka koski henkilötietojen käsitettä.

Se käsittelee Euroopan tietosuojavaltuutetun (EDPS) valitusta, joka koskee EU-tuomioistuimen päätöstä, jolla kumottiin sen vuonna 2020 tekemä päätös.

Tässä päätöksessä Euroopan tietosuojavaltuutettu totesi, että Euroopan yhteinen kriisinratkaisuneuvosto (SRB) oli rikkonut eurooppalaisten toimielinten yleistä tietosuoja-asetusta toimittamalla tilintarkastusyhtiölle velkojien ja osakkeenomistajien kommentit espanjalaisen pankin konkurssimenettelystä.

Euroopan unionin tuomioistuin katsoo, että yksilöiden henkilökohtaiset mielipiteet ovat henkilötietoja ja että tuomioistuimen olisi pitänyt käsitellä niitä sellaisina.

Se katsoo myös, että henkilötietojen käsittelyyn ja siirtoon liittyvä uudelleentunnistamisen riski on arvioitava tapauskohtaisesti tietojen keräämisen yhteydessä ja että tuomioistuin erehtyi kumotessaan Euroopan tietosuojaneuvoston alkuperäisen päätöksen osittain siksi, ettei se ollut määrittänyt, sisälsikö pseudonymisoitujen kommenttien sisältö todella henkilötietoja.

EU-tuomioistuin asettui kuitenkin CRU:n puolelle siinä, millä edellytyksin myös pseudonymisoituja tietoja voidaan pitää henkilötietoina, ja totesi päätöksessään, että "Pseudonymisoituja tietoja ei pitäisi kaikissa tapauksissa ja jokaisen henkilön osalta pitää henkilötietoina (yleisen tietosuoja-asetuksen) soveltamisen tarkoituksiin." siinä määrin kuin pseudonymisointi voi tapauksen olosuhteista riippuen tehokkaasti estää muita henkilöitä kuin rekisterinpitäjää tunnistamasta rekisteröityä siten, että rekisteröity ei ole tai ei ole enää heidän tunnistettavissaan.

Toisessa, myös 4. syyskuuta päivätyssä tuomiossa (tuomio C 655/23, IP v Quirin Privatbank AG), tuomioistuin päätti rekisterinpitäjää vastaan vaadittavan käsittelystä pidättäytymistä koskevan ennaltaehkäisevän kieltomääräyksen olemassaolosta ja henkisen vahingon laajuudesta.

Tuomioistuin katsoo, että GDPR ei tarjoa ennaltaehkäisevää oikeussuojakeinoa tulevaa laitonta käsittelyä vastaan, mutta jäsenvaltiot voivat säätää tällaisesta.

Hän selvensi myös, että tunteet, kuten nöyryytys tai huoli, voivat riittää henkisen vahingon toteamiseen, edellyttäen että todisteet esitetään.

Hän lisää, että rekisterinpitäjän virheen vakavuuden tai kieltomääräyksen saamisen ei pitäisi vaikuttaa korvauksen määrään, joka on edelleen yksinomaan vahingonkorvaus.

 

Uutisia Euroopan unionin jäsenmaista.

Saksassa liittovaltion työtuomioistuin päätti, että työnantaja oli käsitellyt laittomasti työntekijän terveystietoja valvomalla häntä tarkistaakseen, teeskentelikö hän työkyvyttömyyttään.

Hän myönsi työntekijälle myös 1500 euroa korvauksia aineettomista vahingoista.

Belgian tietosuojaviranomainen (APD) on antanut nuhteen poliitikolle, joka keräsi jonkun sähköpostiosoitteen julkisesta lähteestä ja lähetti heille poliittisia viestejä, mikä on vastoin GDPR:n laillisuus-, käyttötarkoitusrajoitus- ja läpinäkyvyysperiaatteita.

Espanjassa eläintarhaa ja vesipuistoa hallinnoiva Loro Parque -yritys sai APD:ltä 250 000 euron sakon sormenjälkien keräämisestä ilman ennakkotietoja tai -suostumusta: asianosaisten oli annettava sormenjälkensä, jos heillä oli alennusliput, jotka oikeuttivat pääsyn molempiin puistoihin yhdellä lipulla.

Lisäksi APD sakotti Espanjan kauppakamaria 500 000 eurolla itsenäisten ammatinharjoittajien verotunnistenumeroiden siirtämisestä yksityisille yrityksille ilman laillista perustetta.

Italiassa APD sakotti autoyritystä 50 000 eurolla.

Jälkimmäinen oli järjestänyt työntekijöidensä kanssa "työhönpaluu"-haastatteluja heidän poissaolonsa jälkeen, mikä johti liiallisen tiedon, myös arkaluonteisten tietojen, keräämiseen.

APD viittaa myös läpinäkyvyyden ja työntekijän suostumuksen pätevyyden periaatteiden loukkaamiseen.

Liettuan tietosuojaviranomainen (DPA) on määrännyt Vintedin lopettamaan asiakkaidensa puhelinnumeroiden keräämisen tilien vahvistamista varten.

Hän katsoi aluksi, että Vintedin esittämät syyt, nimittäin käyttäjätilien varmentaminen ja alustan turvallisuuden takaaminen, eivät olleet rekisterinpitäjän ja rekisteröidyn välisen sopimuksen olennainen osa.

Hän totesi myös, että käyttöehdoissa mainittiin muita mahdollisia keinoja käyttäjän henkilöllisyyden varmentamiseksi, eikä henkilötietojen käsittely siksi täyttänyt GDPR:n 6(1)(b) artiklan mukaista tarpeellisuuskriteeriä.

Alankomaiden korkein hallinto-oikeus päätti, ettei mielenterveyslaitoksen ole pakko noudattaa pyyntöä tietojen poistamisesta.

Tietojen säilyttäminen oli välttämätöntä lääketieteellisen hoitosopimuksen ja laitoksen palveluiden hallinnan vuoksi.

Puolassa ING Bank Śląskille määrättiin 4 300 000 euron sakko henkilöllisyystodistusten skannaamisesta ilman perusteltua syytä tai riskinarviointia..

APD totesi, että pankki oli käsitellyt arkaluonteisia tietoja, mukaan lukien PESEL-numeroita ja asiakirjatietoja, tarpeettomasti, rikkoen siten rahanpesun vastaisten säännösten edellyttämää riskiperusteista lähestymistapaa.

 

Kiina tiukentaa sääntöjään tiedonsiirrolle ulkomaille.

Kiinan yleisen turvallisuuden viranomaiset syyttävät Diorin Shanghain-sivukonttoria asiakastietojen laittomasta siirtämisestä Ranskan pääkonttoriin noudattamatta pakollisia turvallisuusarviointeja, käyttäjien ilmoituksia ja salaussääntöjä.

Sivuliikkeelle määrättiin hallinnollinen seuraamus.

Yhdysvalloissa 44 oikeusministeriä lähetti kirjeen 13 tekoälyyritykselle, mukaan lukien OpenAI, CharacterAI, Replika ja Meta, ja ilmoitti niille, että niitä pidettäisiin vastuullisina, jos ne aiheuttaisivat vahinkoa lapsille.

Kirje korostaa viimeaikaisia paljastuksia Metan teknisistä ohjeista Meta-tekoälylle sekä Facebookin, WhatsAppin ja Instagramin chatboteille.

Tämä yrityksen laki-, poliittisten ja teknisten tiimien hyväksymä asiakirja valtuutti chatbotit kutsumaan lapsia romanttisiin tai vietteleviin keskusteluihin botin kanssa, mukaan lukien kommentit lasten ulkonäöstä sekä roolileikkiskenaariot.

Microsoftin "Tech Community" -blogi ilmoitti elokuun lopussa, että MS Word for Windowsin uusin päivitys tallentaa käyttäjien Word-tiedostot automaattisesti pilveensä (OneDrive).

Microsoft esittelee tämän päivityksen parannuksena tietoturvaan, käyttöoikeuksiin, tiimityöhön ja tekoälyn käyttöön.

Vaikka näitä asetuksia voi muokata Wordin asetuksissa, asiakirjojen oletuslataus amerikkalaiseen pilveen herättää kysymyksiä GDPR:n osalta, jotka koskevat tietojen luottamuksellisuutta ja näiden tietojen saatavuutta Yhdysvaltain viranomaisten toimesta.

"Halo"-älylasit herättävät huolta tekoälyasiantuntijoiden keskuudessa.

L. Jarosvsky kertoo, että nämä uudet lasit ovat aina päällä, tallentavat kaiken eikä niissä ole ilmaisinta, joka varoittaisi ihmisiä siitä, että heitä tallennetaan.

TechCrunchin haastattelussa Halon perustajat kiistivät vastuunsa ja totesivat, että Yhdysvaltain osavaltioissa, joissa keskustelujen salaa tallentaminen ilman toisen henkilön suostumusta on laitonta, käyttäjän on hankittava suostumus ennen lasien käyttöä.