Valvontaviranomaisten uutisia: juhlallisuudet ja valvonta

Oikeudellinen valvonta nro 31 – Tammikuu 2021

Valvontaviranomaisten uutisia: juhlallisuudet ja valvontaViime päivinä on ollut tilaisuus juhlia (virtuaalisesti) useita syntymäpäiviä.

Euroopan, Afrikan, Amerikan ja Aasian ja Tyynenmeren alueen yksityisyyden suojaan liittyvät sidosryhmät järjestivät 28. tammikuuta useita tapahtumia 15-vuotisjuhlan kunniaksi. Tietosuojapäivä.

Lisättäköön vielä, että yleissopimus 108 (Euroopan neuvoston yleissopimus henkilötietojen suojaamisesta) täyttää tänä vuonna 40 vuotta.

Tilaisuus arvioinnille ja viralliselle julistukselle, jossa korostetaan tarvetta säilyttää "ihmisarvo ja -eheys tekoälyn ja algoritmien tekemien automatisoitujen päätösten aikakaudella" ja kehittää yhteinen oikeudellinen alue kansainvälisellä tasolla tiedon liikkuvuuden helpottamiseksi maiden välillä.

Digitaaliteknologia on siis nykykeskustelujen keskiössä, ja Euroopan neuvoston ministerikomitea on antanut julistuksen tietosuojaoikeuden turvaamisesta digitaalisessa ympäristössä sekä hyväksynyt kasvojentunnistusta koskevat ohjeet.

Yksi tärkeimmistä kansainvälisistä tietosuojakonferensseista "Tietokoneet, yksityisyys ja tietosuoja" joka pidettiin tammikuun lopussa, vahvistaa nämä huolenaiheet kolmen päivän mittaisilla verkkokeskusteluilla aiheesta "oikeuksien täytäntöönpano muuttuvassa maailmassa". 

Vaikka tietosuojaviranomaisille on annettu lisää valtuuksia GDPR:n täytäntöönpanoon, kysymyksiä herää edelleen heidän strategiastaan, eurooppalaisesta yhteistyöstä ja pakotteiden tehokkuudesta, kun otetaan huomioon "suurten teknologiayritysten", kuten Googlen ja Amazonin, vaikutusvalta.

Vuonna 2020 Euroopassa määrätyt sakot olivat yhteensä 272,5 miljoonaa euroa, ja kolme aktiivisinta maata tässä suhteessa ovat Italia, Saksa ja Ranska, kuten DLA Piperin äskettäisessä aiheesta julkaisemassa raportissa todetaan.

CNIL:llä ei ole pulaa seuraamuksista, olipa kyse sitten suurista digitaalisista toimijoista, mikroyrityksistä tai pk-yrityksistä, ja sakot on mukautettu vastuussa olevien liikevaihdon mukaan.

Vaikka monikansalliset yritykset voivat varata tiettyjä summia osana seuraamusmenettelyä, vaikutus pienempiin rakenteisiin voi olla merkittävä joko taloudellisesti tai julkisuuskuvan kannalta.

Konkreettisesti ottaen CNIL:n viimeisimmät GDPR:n rikkomisesta määrätyt seuraamukset perusteltiin turvallisuussääntöjen rikkomisella ja kaupallista etsintää koskevien sääntöjen noudattamatta jättämisellä.

Joten Nestor-yhtiölle langetettiin 20 000 euron sakko. koska se ei ole täyttänyt velvollisuuttaan hankkia potentiaalisten asiakkaiden suostumusta ja koska se ei ole kunnioittanut asianomaisten henkilöiden oikeuksia (tiedonanto, tiedonsaanti).

Myös CNIL:n tähtäimessä on asianmukaisten turvatoimien puute, kuten tässäkin tapauksessa, jossa hyökkäys liittyi valtakirjojen täyttöön: johtaja ja hänen alihankkijansa oli jättänyt pois tiettyjä olennaisia suojaustoimenpiteitä, kuten verkkosivulla sallittujen pyyntöjen määrän rajoittamisen ja CAPTCHA:n käytön.

Tässä tapauksessa CNIL määräsi 150 000 ja 75 000 euron sakot.Hän käytti tilaisuutta hyväkseen muistuttaakseen ihmisiä verkkosivustollaan toimenpiteistä, joilla pyritään suojaamaan henkilötietoja tämäntyyppisiltä hyökkäyksiltä.

CNIL keskittyy myös evästeiden käyttöön ja siihen, miten verkkosivustot noudattavat sen ohjeita.

Muistutuksena, se julkaisi vuoden 2020 lopussa aiheesta ohjeet, joissa täsmennettiin erityisesti, miten internetin käyttäjiltä saadaan suostumus seurantalaitteiden käyttöön.

Ja myös

Ranska:

CNIL antoi lausuntonsa asiasta 26. tammikuuta. lakiesitys globaalista turvallisuudesta.

Hän suhtautuu varauksella dronejen käyttöön ja kannattaa aiempia kokeiluja vedoten teknologian mahdollistamaan laajennettuun kuvankaappaukseen, jossa ihmisten liikkeitä voidaan seurata heidän tietämättään ja mahdollisesti pitkän ajan kuluessa.

Hän lisää, että näillä valvontalaitteilla on todennäköisesti suurempi vaikutus kuin perinteisillä kameroilla kansalaisten muiden perusvapauksien (mielenosoitusoikeus, uskonnonvapaus, sananvapaus) käyttöön.

Se kyseenalaistaa myös tiettyihin ajoneuvoihin asennettujen kameroiden käyttöehdot sekä videovalvonnan, erityisesti kuvien reaaliaikaisen siirron lainvalvontaviranomaisille.

Eurooppa:

• Norjan valvontaviranomainen aikoo asettaa Grindr 10 miljoonan euron sakko

Sovellus ei ainoastaan tarjoa vain "ota tai jätä" -ehtoja, jotka estävät käyttäjiä antamasta suostumustaan tietojensa jakamiseen, vaan käyttäjille ei myöskään annettu mitään tietoa tästä (arkaluonteisten) tietojen jakamisesta Twitterin käyttämän MoPub-mainosalustan kanssa, mikä mahdollisti tietojen jakamisen myöhemmin yli sadalle asiakkaalle. 

• Italiassa tietosuojaviranomainen määräsi eston, jonka TikTok dja sellaisten käyttäjien tietojen käyttö, joiden ikää ei ole vahvistettu. 

Hän syyttää TikTokia virheellisestä vahvistusjärjestelmästä, joka voi altistaa alle 13-vuotiaat alaikäiset sopimattomalle sisällölle.

Tämä kiireellinen päätös seuraa tragediaa, jossa kymmenvuotias tyttö menetti henkensä osallistuttuaan sosiaalisessa mediassa viraaliksi levinneeseen haasteeseen (huivipeli).

• Belgian tietosuojaviranomainen on varoittanut hallitusta liian laajoiksi katsotuista ehdoista, joiden mukaisesti kansallinen sosiaaliturvavirasto voi jakaa henkilötietoja. covid-terveystiedot.

Se vaatii kuninkaallisen asetuksen tekstin muuttamista, jossa täsmennetään tietojen jakamisen ehdot.

Kansainvälinen:

New Yorkin osavaltio on juuri säätänyt lain, joka keskeyttää kasvojentunnistusteknologian ja muiden biometristen tunnisteiden käytön ja ostamisen kouluissa heinäkuuhun 2022 asti.

New Yorkin kuvernööri määrää opetuskomissaarin tekemään tutkimuksen tämän teknologian sopivuudesta koulutusympäristöön.

Anne Christine Lacoste

Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.