Olemme joskus vastuullisempia kuin luulemme... tai kuin haluaisimme olla.

Legal Watch – syyskuu 2019.

Näin on silloin, kun asennat verkkosivustollesi yksinkertaisen laajennuksen, vaikka sinulla ei olisikaan pääsyä tällä tavoin kerättyihin tietoihin.

Euroopan unionin tuomioistuimen äskettäinen päätös, joka tunnetaan nimellä "Fashion ID", vahvistaa tämän havainnon selventämällä verkkosivustojen ylläpitäjien vastuuta, jotka lisäävät Facebookin tykkäyskuvakkeen sivulleen.

Tämän yksinkertaisen laajennuksen lisääminen voi siis johtaa siihen, että sivuston ylläpitäjä on yhteisvastuussa tietojen käsittelystä tietoja keräävän sosiaalisen verkoston kanssa.

Teknisestä näkökulmasta katsottuna yksinkertainen laajennuksen lisääminen verkkosivulle mahdollistaa sivun kävijöiden yhteystietojen automaattisen välittämisen kyseiselle sosiaaliselle verkostolle riippumatta siitä, napsauttavatko kävijät laajennuksen kuvaketta vai eivät. Tässä tapauksessa saksalaisen muotivaatteiden verkkokaupan Fashion ID -verkkosivuston kävijöiden tiedot välitettiin siis järjestelmällisesti Facebookille. Näin tapahtuu nykyään monille verkkosivustoille, olipa kyseessä sitten verkkokauppa, uutissivustot tai blogit. Ja Facebookiin tässä tapauksessa kohdistettua päättelyä voidaan laajentaa mihin tahansa sosiaaliseen verkostoon tai muuhun samaa teknologiaa käyttävään tahoon.

Unionin tuomioistuin selvensi, että se, ettei sivuston ylläpitäjällä ole pääsyä näin välitettyihin tietoihin, ei vähennä sen vastuuta. Ratkaisevaa on edelleen se, että se yhdessä Facebookin kanssa määrittää käsittelyn tarkoitukset ja keinot. Tuomioistuin päättelee sivuston ja Facebookin mahdollisen yhteisvastuun niistä molemminpuolisista taloudellisista eduista, joita ne saavat tästä yhteistyöstä: Facebookille tietokannan rikastuminen ja sivuston ylläpitäjälle tuotteidensa mainonnan optimointi Facebookin sosiaalisessa verkostossa heti, kun kävijä napsauttaa "tykkäys"-kuvaketta.

Tuomioistuin selventää, että oikeudelliset vastuut ja velvoitteet vaihtelevat käsittelyn eri osa-alueiden mukaan: tässä tapauksessa Fashion ID:tä ei voida pitää vastuussa siitä, miten Facebook myöhemmin käsittelee tietoja. Facebookin on myös esitettävä tälle käsittelylle erityinen oikeusperusta. Verkkosivuston ylläpitäjän on kuitenkin erikseen ilmoitettava kävijöilleen näiden tietojen keräämisestä ja välittämisestä sosiaaliseen verkostoon ja saatava heidän suostumuksensa erikseen.

Tästä tärkeästä päätöksestä voidaan oppia useita asioita. Siksi on suositeltavaa:

• Tarkista järjestelmällisesti verkkosivustosi laajennusten käyttöehdot ja mahdolliset tietojen siirron ehdot kolmansille osapuolille.
• Tarkista näiden kolmansien osapuolten kanssa tehtyjen sopimusten vastuulausekkeet;
• Tiedota vierailijoille erikseen tästä tiedonkeruusta ja pyydä heidän erillinen suostumuksensa.

Nämä varotoimet ovat sitäkin tärkeämpiä, koska CNIL selvensi äskettäin verkkomainonnan kohdentamiseen liittyvän suostumuksen saamisen tiukkoja ehtoja ja ilmoitti keskittävänsä valvontatoimintansa vuonna 2019 henkilötietoja käsittelevien eri osapuolten välisen vastuunjaon kysymyksiin. 

Näihin kysymyksiin puututaan myös Euroopan tasolla. Euroopan unionin tietosuojaviranomaiset (CNIL) yhdistävä Euroopan tietosuojaneuvosto (EDPB) on käynnistänyt keskusteluja eri toimialajärjestöjen kanssa päivittääkseen valvontaviranomaisten viitelausuntoa rekisterinpitäjien, yhteisrekisterinpitäjien ja henkilötietojen käsittelijöiden tunnistamisesta ja roolista.

Ja myös:

• Euroopassa:

Brexit:

Mitkä olisivat ehdot tiedonsiirroille Yhdistyneeseen kuningaskuntaan, jos maa eroaisi Euroopan unionista ilman sopimusta? Euroopan tietosuojaneuvosto julkaisi vuoden 2019 alussa muistion, jossa yksityiskohtaisesti kuvataan ehdot ja sovellettavat oikeusperustat. Britannian tietosuojaviranomainen vastaa myös moniin kysymyksiin virallisella verkkosivustollaan.

Biometriset tiedot:

Ruotsin tietosuojaviranomainen antoi ensimmäisen GDPR:n mukaisen seuraamuksensa 21. elokuuta. Koululle määrättiin 20 000 euron sakko oppilaiden kasvojentunnistusjärjestelmän käyttöönotosta useiden GDPR:n periaatteiden vastaisesti: mitätön suostumus, arkaluonteiset biometriset tiedot, ennakkoarvioinnin puute ja tietosuojaviranomaisen kuulemisen laiminlyönti.

Pilvi- ja tietosuoja:

Yhdenmukaistettujen sääntöjen mukainen eurooppalainen pilvipalvelu lähestyy. Ensimmäinen julkisen ja yksityisen sektorin sidosryhmien kokous Euroopan ja kansainvälisen tason tasolla pidettiin Haagissa 29. elokuuta.

• maailmassa:

Sähköinen todistusaineisto:

Edellytykset, joiden mukaisesti oikeusviranomaiset voivat päästä yritysten hallussa olevaan sähköiseen todistusaineistoon (”e-todistusaineisto”), ovat kehityksen kohteena Euroopassa ja kansainvälisesti. Tavoitteena on yhdenmukaistaa näitä sääntöjä Euroopassa, mutta myös päästä sopimukseen Yhdysvaltojen kanssa näiden tietojen saatavuutta koskevista ehdoista osana rikollisuuden torjuntaa. Yhdysvalloilla on ollut pääsy Euroopassa sijaitsevien amerikkalaisten yritysten tietoihin maaliskuusta 2018 lähtien, ja sen nojalla on tarkoitus päästä sopimukseen näistä saatavuutta koskevista ehdoista Atlantin molemmin puolin tietosuojasääntöjä noudattaen.

ISO-standardi:

Uusi ISO/IEC/27701 -standardi julkaistiin elokuun alussa. Se on ISO/IEC 27001- ja ISO/IEC 27002 -standardien laajennus kattamaan yksityisyyden hallinnan ja ottaa huomioon myös GDPR:n vaatimukset.

1 Tuomiossa sovelletaan direktiiviä 95/46/EY, joka on sittemmin kumottu asetuksella (EU) 2016/679 eli yleisellä tietosuoja-asetuksella. (Yhteis)vastuuta koskevat säännökset ovat kuitenkin pysyneet samoina uudessa asetuksessa.