Metaverse Fashion Week Decentralandissa, yhdessä suosituimmista virtuaalimaailmoista.

Oikeudellinen valvonta nro 48 – Kesäkuu 2022

Uljas uusi maailmaMaaliskuussa 2022 Metaverse Fashion Week -tapahtuma järjestettiin Decentralandissa, yhdessä suosituimmista virtuaalimaailmoista.

Fortnite-pelialustalla suoratoistettu nettikonsertti houkutteli hiljattain 12 miljoonaa katsojaa.

Virtuaalimaailma kehittyy tänä päivänä, mutta sen inhimillisiä, taloudellisia ja sosiaalisia vaikutuksia ei ole vielä täysin ymmärretty.

Euroopan parlamentin hiljattain julkaisemassa raportissa tästä aiheesta todetaan, että vuoteen 2026 mennessä 25 prosenttia ihmisistä viettää vähintään tunnin päivässä metaversumissa työn, ostosten tekemisen, koulutuksen, sosiaalisten aktiviteettien ja/tai viihteen merkeissä.

Monet kaupalliset yritykset ovat alkaneet kehittää siellä omia alustojaan, jopa silloin, kun niiden toiminnalla on vain hyvin etäinen yhteys digitaaliseen teknologiaan.

Metaversumia voidaan kuvailla mukaansatempaavaksi, jatkuvaksi 3D-virtuaalimaailmaksi, jossa ihmiset ovat vuorovaikutuksessa avatarin kautta nauttiakseen viihteestä, tehdäkseen ostoksia ja transaktioita tai työskennelläkseen poistumatta kotoaan.

Taloudellinen metaversumiekosysteemi hyödyntää lohkoketju- ja kryptovaluuttateknologioita, kuten ei-vaihdettavia tokeneita (NFT), transaktioiden rahaksi muuttamiseen digitaalisessa ympäristössä.

Tämä verkon kehitys herättää monia kysymyksiä, erityisesti lain soveltamisesta.

Miten voimme käytännössä säännellä verkossa tapahtuvia fuusioita ja yritysostoja, häirintää, kryptovaluutoilla tehtyjä enemmän tai vähemmän laillisia liiketoimia, massiivista tiedonkeruuta yksilöiden käyttäytymisestä heidän avatariensa kautta tai jopa yksilöiden valvontaa verkossa lainvalvonnan toimesta?

GDPR:n osalta panokset ovat korkeat, kuten Le Monde -lehdessä 20. toukokuuta julkaistussa artikkelissa korostetaan ja kuten Euroopan parlamentti huomauttaa, ottaen huomioon kerätyn datan ennennäkemättömän laadun ja määrän.

Näitä voivat olla ilmeet, eleet tai muunlaiset fyysiset tai emotionaaliset reaktiot, joita avatar voi tuottaa vuorovaikutuksen aikana reaaliajassa ja tiedostamattaan.

Näin voidaan kerätä arkaluonteisia tietoja, kuten biometrisiä tietoja.

Näiden tietojen avulla yritykset voivat esimerkiksi ymmärtää paremmin käyttäjien käyttäytymistä ja mukauttaa mainoskampanjoitaan erittäin kohdennetulla tavalla.

Ovatko nykyiset säännöt mukautettu tähän uuteen universumiin?

Miten voimme saada yksilöiden suostumuksen tällaiseen tiedonkeruuseen, ja kuka on vastuussa tiedonkeruusta ympäristössä, jossa rooleja on useita ja jossa rekisterinpitäjän tunnistaminen on entistä vaikeampaa?

Kuinka hallita vuorovaikutusta tekoälyn kanssa, joka on luontainen metaversumin toimintaan, ja siitä johtuvia automatisoituja päätöksiä?

Useita kehitysmahdollisuuksia tutkitaan parhaillaan, paitsi GDPR:n myös tekoälyä ja datanhallintaa koskevien ehdotettujen eurooppalaisten asetusten pohjalta.

Mainittakoon esimerkiksi tiedonvälittäjien rooli, jotka voisivat keskittää käyttäjien valtuutukset heidän datansa käyttöön.

Ehdotettu tiedonhallinta-asetus tarjoaa suojaa henkilökohtaisille data-avaruuksille eli dataportfolioille sääntelemällä tiedon jakamista ja valvomalla yksilöiden suostumusta.

Siltä osin kuin välittäjät käyttävät tekoälyä tiedonhallinnassa, suojatoimet ovat kuitenkin tarpeen väärinkäytösten ja kavallusten estämiseksi.

On muistettava, että Euroopan tietosuojavaltuutettu ja Euroopan tietosuojaneuvosto ovat antaneet huomautuksia näistä kahdesta asetusehdotuksesta. Ne korostavat tarkoituksenmukaisuuden periaatteen kunnioittamista tietojen käytössä ja vaativat toimenpiteitä, jotka tarjoavat enemmän valvontaa ja takeita rekisteröidylle, esimerkiksi käytännesäännöt tai sertifiointimekanismit.

Viranomaisilla on myös varauksia sosiaalisen pisteytyksen suhteen sosiaalisten verkostojen yhteydessä yleensä ja vielä enemmän Metaversumissa.

Erityistä huomiota olisi kiinnitettävä myös haavoittuvien ryhmien, erityisesti lasten, suojeluun, jotta heidän ikänsä voidaan varmistaa ja heitä voidaan estää antamasta henkilötietojaan.

Jotkut kannattavat edelleen avointa ja hajautettua metaversumia, jota käyttäjät itse hallitsevat hajautettujen autonomisten organisaatioiden (DAO) muodossa.

Tällaisessa mallissa, joka eroaa keskitetystä liiketoimintamallista, käyttäjillä olisi enemmän hallintaa dataansa ja sen jakamiseen.

Tässäkin tapauksessa sääntelyohjeiden lisäksi käytännesäännöt ja sertifiointimekanismit edistäisivät oikeusvarmuutta.

Muutama vastaus moneen kysymykseen...

Lain soveltaminen ei joka tapauksessa onnistu ilman asianomaisten toimijoiden suurempaa vastuuvelvollisuutta.

Ja myös

Ranska:

CNIL julkaisi 7. kesäkuuta kysymyksiä ja vastauksia Google Analyticsin käytöstä.

Komissio on määrännyt useita organisaatioita noudattamaan GDPR:ää, koska mikään sille esitetyistä lisäsuojatoimista ei ole riittänyt estämään Yhdysvaltain tiedustelupalveluja pääsemästä eurooppalaisten käyttäjien henkilötietoihin.

Ratkaisu, joka mahdollistaisi välityspalvelimen käytön suoran yhteyden välttämiseksi internetin käyttäjän päätelaitteen ja mittaustyökalun palvelimien välillä, voisi hänen mukaansa olla mahdollinen, jos palvelin täyttäisi Euroopan tietosuojaneuvoston (EDPB) 18. kesäkuuta 2021 julkaisemien suositusten mukaiset kriteerit.

Valtioneuvosto vahvisti, että CNIL:llä oli toimivalta määrätä seuraamuksia eurooppalaisen keskitetyn luukun mekanismin ulkopuolella.

Kyseinen tapaus koskee Amazon online France -yritystä, jolla on toimipaikka Ranskan alueella ja joka käsittelee Ranskassa asuvien henkilöiden tietoja.

Vuonna 2020 määrätty 35 miljoonan euron sakko, joka rankaisi evästeiden käytöstä ilman käyttäjän suostumusta, on näin ollen vahvistettu.

CNIL määräsi 30. kesäkuuta 1 miljoonan euron sakon Total Energies Electricité et Gaz de France -yritykselle. erityisesti siitä, ettei se ole noudattanut kaupallista etsintää koskevia velvoitteita ja yksilöiden oikeuksia.

CNIL käynnisti 13. kesäkuuta tutkimuksen mobiilisovellusten keräämistä geolokaatiotiedoista.

Kuten CNIL ilmoitti vuosien 2022–2024 strategisessa suunnitelmassaan, se haluaa lisätä yleisön ja ammattilaisten tietoisuutta mobiilisovellusten suorittamaan geolokaatiotietojen keräämiseen liittyvistä ongelmista.

Kyse on myös kaupallisen etsintäalan ammattilaisten GDPR:n noudattamisen varmistamisesta.

Eurooppa:

Euroopan tietosuojavaltuutettu (EDPS) ilmaisee huolensa Europol-asetuksen muutoksista, jotka tulivat voimaan 28. kesäkuuta 2022.

Euroopan tietosuojavaltuutettu korostaa, että ne heikentävät tietosuojaa koskevaa perusoikeutta, eivät varmista viraston asianmukaista valvontaa ja laajentavat merkittävästi Europolin toimeksiantoa henkilötietojen vaihdon osalta yksityisten tahojen kanssa, tekoälyn käytön ja suurten tietojoukkojen käsittelyn osalta.

Euroopan tietosuojaneuvosto (EDN) päätti 14. kesäkuutaEuroopan tietosuojaneuvosto) julkaisi vastauksensa Euroopan komission kuuleminen digitaalisen euron luomisesta.

Kesäkuun 16. päivänäEuroopan tietosuojaneuvosto hyväksyi ohjeet sertifiointi henkilötietojen siirtojen välineenä kolmansiin maihin, jotka eivät tarjoa riittävää tietosuojan tasoa.

Kesäkuussa järjestetty konferenssi, jonkaEuroopan tietosuojavaltuutettu, jota yli 2 000 ihmistä seurasi verkossa ja henkilökohtaisesti, päätyi kriittisiin havaintoihin Eurooppalainen yhteistyö tutkinnassa.

Euroopan tietosuojavaltuutetun mielestä kaikkiin hyviin malleihin tulisi sisältyä vahvat kollegiaalisuusmekanismit, ja strategisia tutkimuksia voitaisiin suorittaa keskitetysti, mikä ratkaisisi "yhteensopimattomasta kansallisesta lainsäädännöstä tai erilaisista yhdenmukaistamisyrityksistä johtuvat ongelmat".

THE Euroopan neuvosto julkaisee tutkimuksen aiheesta Pegasuksen vakoiluohjelma ja sen vaikutusta perusoikeuksiin. On muistettava, että myös Euroopan parlamentti tutkii tätä vakoiluohjelmaa.

THE Kuluttajansuojan yhteistyöverkosto (CPC) on yhteistyössä tietosuojaviranomaisten kanssa hyväksynyt viisi keskeistä periaatetta reilua mainontaa lapsilles.

THE Sveitsin liittovaltion tietosuoja- ja tiedotusvaltuutettu (FDPIC) neuvoi Suvaa (Sveitsin kansallinen tapaturmavakuutusrahasto, joka tarjoaa työntekijöilleen terveydenhuollon) harkitsee uudelleen päätöstään ulkoistaa henkilötietojensa käsittely Yhdysvaltoihins – tarkemmin sanottuna Microsoftin pilvipalvelussa, vaikka tiedot sijaitsevatkin MS:n palvelimella Sveitsissä.

Euroopan ulkopuoliset siirrot ovat myös keskeisessä asemassa komission äskettäisessä päätöksessä Belgian valtioneuvosto, joka keskeytti päätöksen valita yhdysvaltalainen urakoitsija julkisen hankintamenettelyn yhteydessä sillä perusteella, että tämä viranomainen ei ollut riittävästi tutkinut, noudattiko urakoitsija GDPR:n vaatimuksia, erityisesti siirtoja koskevia säännöksiä.

Päätös kyseenalaistaa myös toisen venäläisen yrityksen, Smart Analyticsin (GDPRhubin kautta), suorittaman jatkokäsittelyn.

Kymmenen kuluttajajärjestöä, joita koordinoi Euroopan kuluttajajärjestö (BEUC)ilmoitti 30. kesäkuuta ryhtyvänsä toimiin varmistaakseen, että Google noudattaa lakia: teknologiajätti ohjaa kuluttajat seurantajärjestelmäänsä, kun he rekisteröityvät Google-tilille, sen sijaan, että se tarjoaisi heidän tietojensa suojauksen oletusarvoisesti ja sisäänrakennetusti, kuten GDPR edellyttää.

Brexitin jälkeinen Yhdistyneen kuningaskunnan tietosuojalainsäädännön uudistus saavutti uuden virstanpylvään 17. kesäkuuta, kun hallitus antoi lopullisen vastauksensa julkiseen kuulemiseensa.

Asiakirja sisältää useita uudistuksia, kuten tietosuojavastaavan nimittämistä koskevan vaatimuksen poistamisen, suostumusvaatimuksen korvaamisen oikeudella vastustaa internetin käyttäjien seurantaa ja muutoksia tietosuojavaltuutetun toimiston toimintaan.

Suomen virallinen kehitysapu määräsi sairaalan poistamaan työntekijöiden historiatiedot, sijaintilokit ja muut Windows 10:n oletusarvoisen sijainnin tallennustoiminnon luomat henkilökohtaiset tiedot.

Tämä asetus rikkoi GDPR:n 25(2) artiklan mukaista "oletusarvoisen tietosuojan" periaatetta (GDPRhubin kautta). 

Italian tietosuojaviranomainen on määrännyt sairaalalle 70 000 euron sakon kahden lääketieteellisen uutiskirjeen vastaanottajien kopioinnista. CCI:n sijaan paljastamalla henkilötietojaan (mukaan lukien terveystietoja) kaikille vastaanottajille ilman laillista perustetta (GDPRhubin kautta).

Samasta aiheesta Romanian virallinen kehitysapu myös sakotti markkinointikampanjan toteuttamisesta vastaavaa alihankkijaa 1 000 eurolla markkinointisähköpostin lähettämisestä 27 henkilölle salaamatta heidän sähköpostiosoitteitaan.

Muistakaamme, että Belgia päätti 29. huhtikuuta vastaavassa tapauksessa, että tällaisen sähköpostin lähettäminen ei ollut tietoturvaloukkaus, jos siihen oli osallisena alle 16 henkilöä.

Kansainvälinen:

Venäjä: Moskovalainen tuomioistuin on määrännyt Googlelle 15 miljoonan ruplan sakot toistuvasta tietojen lokalisointisäännön noudattamatta jättämisestä.

Googlelle oli jo määrätty hallinnollinen seuraamus vuonna 2021 saman Venäjän henkilötietolain periaatteen rikkomisesta, joka velvoittaa yritykset säilyttämään Venäjän kansalaisten henkilötietoja Venäjän federaation alueella..

YHDYSVALLAT: Korkeimman oikeuden Roe vs. Wade -päätöksen vaikutukset ulottuvat myös tietosuojakysymyksiin. 

Kysymys koskee teknologiayritysten asennetta viranomaisten pääsyyn hedelmällisyystietoihin.

Näitä tietoja voidaan paljastaa lähteistä, kuten selaushistoriasta, hauista, sähköposti- ja tekstiviesteistä, hedelmällisyyssovellusten käytöstä ja muista kaupallisista tuotteista, joiden kanssa monet käyttäjät ovat päivittäin vuorovaikutuksessa.

Tämän tyyppistä tietoa on jo käytetty lainvalvontaviranomaisten toimesta todisteena aborttiin liittyvissä tapauksissa, kuten The Register raportoi.

Kiina: New York Times julkaisee tutkinnan, jossa viitataan satoihin asiakirjoihin, jotka kertovat Kiinan ostamasta ohjelmistosta, jolla seulotaan maan laajoja valvontakantoja ja ennustetaan, kenestä tulee epäilty tai mahdollinen häirikkö.

Kanadassa Digitaalisten oikeuksien peruskirja on suojannut kuluttajien oikeuksia ja henkilötietoja sekä säännellyt tekoälyä 16. kesäkuuta lähtien..

Anne Christine Lacoste

Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.