La protection des données en pleine effervescence

Tietosuoja täydessä vauhdissa

Legal Watch nro 20 – 10. helmikuuta 2020

Tämän muistamme uuden vuoden ensimmäisiltä viikoilta, lukuisilta keskusteluilta merkittävien tapahtumien yhteydessä:

  • Kansainvälistä tietosuojapäivää vietetään tänä tammikuun 28.
  • Akateemisen sektorin Brysselissä edellisellä viikolla järjestämä kansainvälinen tietosuojakonferenssi
  • Kansainvälinen kyberturvallisuusfoorumi Lillessä tammikuun viimeisinä päivinä.

Helmikuutakaan ei unohdeta, sillä Pariisissa järjestetään kansainvälinen tietosuojaviranomaisten yhdistys (IAPP) ja sen järjestämä "intensiivinen tietosuojakonferenssi".

Käsiteltyjen monien aiheiden joukosta kaksi erottuu: kasvojentunnistusta koskevien keskustelujen kiihtyminen sekä mikro- ja pk-yritysten erityistilanne GDPR:n suhteen.

Kasvojentunnistus kyseenalainen

Tammikuun lopussa sytytin oli Euroopan komission valkoisessa kirjassa esittämä hypoteesi moratorio kasvojentunnistuksesta julkisilla paikoilla.

Tätä asiakirjaa ei luonnosvaiheessa ollut tarkoitettu jaettavaksi, ja komissio on sittemmin ilmoittanut luopuvansa moratorion mahdollisuudesta ja priorisoivansa muita sääntelykeinoja.

Hän esittelee tekoälyä käsittelevän esseensä 19. helmikuuta.

Ajatus ihmisten automaattisen tunnistamisen tiukemmasta sääntelystä tai jopa kieltämisestä tietyissä paikoissa, on löytämässä tiensä sääntelyviranomaisten keskuuteen sekä yksityiselle ja julkiselle sektorille ja jopa Euroopan ulkopuolelle.

Muun muassa Euroopan tietosuojavaltuutettu ja Euroopan neuvoston tietosuojavaltuutettu ovat ottaneet kantaa tähän asiaan.

Myös Euroopan tietosuojaneuvosto (EDPB) käsittelee asiaa tammikuun lopussa hyväksymissään uusimmissa ohjeissa.

Yhä useammat kaupungit, kuten San Francisco ja Cambridge, ovat kieltäneet tämän teknologian julkisissa tiloissaan.

Datan mahdolliset käyttötarkoitukset luovat niin paljon epävarmuutta, että myös teknologiajätit, kuten Microsoft, vaativat selvyyttä.

Esitettyjen argumenttien joukosta huomautamme erityisesti, että syrjinnän riskit etniseen alkuperään ja muihin ennakkoluuloihin perustuen, mikä johtaa liian moneen "väärään positiiviseen".

Täysin valvotun julkisen tilan mahdollisuus herättää myös kysymyksiä nykyisten tiedonkeruumahdollisuuksien valossa: ajattelemme Clearview-tietokantaa, yritystä, joka tallentaa kaikissa sosiaalisissa verkostoissa saatavilla olevia kasvoja myydäkseen niitä lainvalvontaviranomaisille Yhdysvalloissa ja joka nousi otsikoihin tämän vuoden alussa.

Ongelman kansainvälinen ulottuvuus ansaitsee myös painotusta.

Tämän osoittaa äskettäinen Euroopan parlamentin kysymys Serbiassa kehitetystä "Safe City" -hankkeesta, joka perustuu kiinalaiseen kasvojentunnistusteknologiaan. 

RAJOITETTU UUTISKIRJE

Mikroyritysten ja pk-yritysten tilanne

Tammikuussa järjestetyissä eri tapahtumissa käydyissä keskusteluissa korostuivat (erittäin) pienten ja keskisuurten yritysten kohtaamat suurimmat haasteet.

Jos ne edustavat suurinta osaa Euroopan taloudesta, he ovat eniten köyhtyneitä käsitellessään IT-alustansa tietoturvaan, pilvipalvelujen käyttöön, ulkoistamiseen ja itsearviointityökalujen (auditointien) käyttöön liittyviä kysymyksiä.

Näiden kysymysten edessäuseiden aloitteiden ovat nähneet päivänvalon. 

Euroopan kyberturvallisuusvirasto ENISA (Euroopan tietoturvavirasto) käynnisti 28. tammikuuta verkkoalustan auttaakseen yrityksiä, erityisesti pk-yrityksiä, suojaamaan tietojaan.

Verkkosivustojen kehittäjien auttamiseksi on myös kaksi aloitetta: CNIL-opas ja EDRI-organisaation opas pyrkivät tukemaan sivustojen kehittämistä GDPR:n mukaisesti.

Vaikka turvallisen (ja mieluiten eurooppalaisen) pilvipalvelun valitseminen on edelleen monimutkaista, kannattaa huomioida eurooppalaisten sääntelyviranomaisten ponnistelut tässä asiassa. Esimerkiksi Microsoft on juuri muuttanut Office 365:n sopimusehtoja Euroopan tietosuojavaltuutetun ja Alankomaiden painostuksesta saattaakseen ne GDPR:n mukaisiksi.

Ja myös:

Ranskassa:

Kuten ilmoitettiin, CNIL julkaisi 14. tammikuuta 2020 luonnoksen suositukseksi koskienevästeiden ja muiden seurantalaitteiden käyttö.

Sen tarkoituksena on selventää suostumuksen saamisen edellytyksiä ja sisältää konkreettisia esimerkkejä internetin käyttäjille annettavista ilmoituksista. Teksti on avoinna kuulemiselle 25. helmikuuta asti.

Euroopassa:

Siellä Yhdistyneen kuningaskunnan ero Euroopan unionista tulee olemaan seurauksia tiedonsiirroille.

Silti tulee olemaan ei muutoksia vuoden 2020 aikana, siirtymävuosi, jonka aikana Euroopan komissio arvioi Yhdistyneen kuningaskunnan tarjoaman suojan tasoa voidakseen hyväksyä mahdollisen tietosuojan tason riittävyyttä koskevan päätöksen. 

ICO:n (Britannian valvontaviranomainen) ja CNIL:n lehdistötiedotteet täsmentävät näitä seikkoja.

Kansainvälinen:

  • YHDYSVALLAT Vuoden 2020 alussa voimaan tulleen Kalifornian kuluttajien yksityisyydensuojalakion Washingtonin osavaltion vuoro valmistella yksityisyyden suojaa koskeva lakiesitys.
  • Indonesia : a tietosuojalaki annettiin parlamentille pöydälle 28. tammikuuta. Sen viimeisin versio, joka on päivätty 6. joulukuuta 2019 ja johon on vahvasti vaikuttanut GDPR, koskee sekä julkista että yksityistä sektoria.

Muistutuksena, luettelo maista, joiden lakeja Euroopan unioni pitää riittävinä, mikä helpottaa tiedonsiirtoa näihin maihin, on saatavilla täältä.

  • Andorra,
  • Argentiina,
  • Kanada (kaupalliset organisaatiot),
  • Färsaaret,
  • Guernsey,
  • Israel,
  • Mansaari,
  • Japani,
  • Jerseyn
  • Uusi-Seelanti,
  • Sveitsi,
  • Uruguay ja
  • Yhdysvallat (rajoitettu Privacy Shield -järjestelyyn)

Anne Christine Lacoste

Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.

Tutustu Viqtoriin®
fiFI
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET lvLV lt_LTLT sk_SKSK sl_SISL fiFI