Analyyttiset työkalut: tuomioistuimen päätöksen – ja tiedustelupalvelujen – vaikutus verkkosivustoihimme.

Oikeudellinen valvonta nro 44 – Helmikuu 2022

Analyyttiset työkalut: tuomioistuimen päätöksen – ja tiedustelupalveluiden – vaikutus verkkosivustoihimmeEuroopan unionin tuomioistuimen Schrems II -tapauksessa antamaa päätöstä pidettiin jo sen julkaisemishetkellä heinäkuussa 2020 merkittävänä päätöksenä henkilötietojen suojan ja erityisesti Yhdysvaltoihin tehtävien siirtojen yhteydessä.

Nykyään sillä on yhä kauaskantoisempia seurauksia, mikä on looginen seuraus tuomioistuimen havainnoista amerikkalaisen tiedustelupalvelun eurooppalaisten tietojen käyttöön liittyvistä riskeistä.

Nämä seuraukset vaikuttavat nyt yleisesti käytettyihin työkaluihin, kuten yleisön mittausratkaisuihin ja Google-fontteihin.

Mainitsimme jo viime kuussa Itävallan, Alankomaiden, Norjan ja Saksan tietosuojaviranomaisten tekemät ketjureaktiopäätökset, joihin lisätään vielä CNIL ja Liechtenstein.

Nämä päätökset seuraavat Max Schremsin ja hänen yhdistyksensä NOYB:n (European Center for Digital Rights) viranomaisille tekemiä valituksia (yhteensä 101). Valitusten tarkoituksena oli varmistaa, että GAFAM noudattaa unionin tuomioistuimen päätöstä.

Viranomaisten johtopäätökset ovat seuraavat:

• Google Analyticsin käyttämät evästeiden tunnistetiedot ja anonymisoimattomat IP-osoitteet ovat henkilötietoja.

Niitä voidaan myös yhdistää muihin kolmansien osapuolten (tiedustelupalvelujen) hallussa oleviin tunnistettaviin tietoihin.

• Tosiasia Sillä, että tiedot kerätään eurooppalaisen verkkosivuston kautta, ei ole merkitystä kolmansien osapuolten tietoihin pääsyn riskin arvioinnissa. : mitä on, on tietojen siirto Yhdysvaltoihin

• Siirrot Yhdysvaltoihin ovat sallittuja vain, jos asianmukaiset suojatoimet on toteutettu. esimerkiksi vakiosopimuslausekkeiden lisäksi on ryhdyttävä toimenpiteisiin, jotta voidaan poistaa riski siitä, että kolmannet osapuolet pääsevät käsiksi tietoihin.

• Tietosuojaviranomaiset katsoivat, että Googlen antamat lisätakuut eivät riittäneet sulkea pois amerikkalaisten tiedustelupalveluiden pääsyn tietoihin.

Nykyiset seuraamukset koostuvat pääasiassa varoituksista ja määräykset estää syytettyjen työkalujen käyttö verkkosivustojen ylläpitäjien toimesta. CNIL kertoo käynnistäneensä useita virallisia ilmoitusmenettelyjä asiasta.

Vaikka Google Analyticsia käytetään laajalti, näiden päätösten vaikutus ei rajoitu siihen: tietosuojaviranomaiset laajentavat analyysiään "... muut sivustojen käyttämät työkalut, jotka johtavat tietojen siirtoon eurooppalaisilta internetin käyttäjiltä Yhdysvaltoihin ".

Monet eurooppalaiset toimijat, sekä julkisen että yksityisen sektorin työmaapäälliköt, ovat siksi huolissaan.

Tiedämme, että ennaltaehkäisy on parempi kuin hoito, ja tässä tapauksessa meidän tulisi turvautua – jos sellaisia on olemassa – työkaluihin, jotka eivät kerää henkilötietoja tai tallenna niitä paikallisille palvelimille.

Siksi CNIL suosittelee, että työkaluja käytetään vain anonyymin tilastotiedon tuottamiseen, mikä mahdollistaa myös poikkeuksen käyttäjän suostumuksesta.

Se on käynnistänyt menettelyn olemassa olevien ratkaisujen arvioimiseksi ja julkaisee parhaillaan sen verkkosivuilla ratkaisuja, jotka täyttävät nämä vaatimukset, mukaan lukien esimerkiksi Matomo, Wysistat, Beyable tai Compass.

Huomautettakoon, että jopa hyveellisimmätkin työkalut voidaan joskus konfiguroida eri tavoin: Sivuston päällikön vastuulla on varmistaa, että oletuskokoonpano täyttää lain vaatimukset..

Nykytilanteessa kolmansille osapuolille saatavilla olevan datan rajoittaminen on joka tapauksessa kannustettava käytäntö, riippumatta siitä, tulevatko pääsyn riskit Atlantin toiselta puolelta vai muualta.

Ja myös

Ranska:

CNIL jättää luonnoksen kannanotokseen julkiseen kuulemiseen 11. maaliskuuta 2022 asti koskien "älykkäitä" kameroita. tai ”lisätty” julkisissa tiloissa.

Se julkaisee myös uuden strategisen suunnitelmansa vuosille 2022–2024., kolmen luotettavan digitaalisen yhteiskunnan painopistealueen ympärille: ”oikeuksien kunnioittamisen edistäminen, yleisen tietosuoja-asetuksen (GDPR) tunnetuksi tekeminen voimavarana ja sääntelyn kohdentaminen tärkeisiin aiheisiin”.

Sen prioriteettiteemat vuodelle 2022 ovat kaupallinen etsintä, pilvipalvelut ja etätyöskentelyn seuranta.

Ranska käynnistää kansallinen kyberrikollisuuden tiedotuskampanjayhteistyössä median kanssa, ja sen tavoitteena on ohjata yleisöä kyberturvallisuusratkaisujen pariin. 

Eurooppa:

Täysistunnossaan 22. helmikuuta Euroopan tietosuojaneuvosto (EDPB) on hyväksynyt kirjeen Euroopan neuvoston tietoverkkorikollisuutta koskevasta yleissopimuksesta ja sen toisesta lisäpöytäkirjasta, kirje jossa hän ilmaisee huolensa kolmansien osapuolten hallitusten mahdollisuuksista pyytää tietoja suoraan eurooppalaisilta palveluntarjoajilta.

Se julkaisi myös ohjeet käytännesäännöistä kansainvälisten tiedonsiirtojen välineinä ja kirjeen tekoälyyn liittyvistä vastuukysymyksistä.

Euroopan tietosuojaneuvosto käynnisti 15. helmikuuta myös ensimmäisen koordinoidun valvontatoimensa, joka koskee pilvipalvelujen käyttöä julkisella sektorilla.

Pilvipalvelujen käyttö, joka on kaksinkertaistunut kuudessa vuodessa EU:ssa, on kasvanut entisestään pandemian aikana, millä on ollut vaikutuksia eurooppalaisten lakien noudattamiseen. 22 tietosuojaviranomaista, mukaan lukien CNIL, lähettää kyselylomakkeita 75 viranomaiselle varmistaakseen GDPR:n noudattamisen ja tarvittaessa aloittaakseen virallisia tarkastuksia.

Pilvipalveluiden tarjoajien järjestö CISPE on ilmoittanut, että Euroopan tietosuojavaltuutettu (EDPB) on hyväksynyt sen tietosuojaa koskevat käytännesäännöt..

Useat yritykset ovat jo allekirjoittaneet sen, mukaan lukien Aruba, Amazon Web Services, Elogic, Leaseweb, Outscale ja OVHCloud.

Koodi tarjoaa erityisesti käyttäjille mahdollisuuden valita tietojen tallentamisen Euroopan talousalueella.

Myös kansalaisjärjestöihin voidaan kohdistaa valvontaa: Belgian tietosuojaviranomainen on määrännyt kaksi seuraamusta kansalaisjärjestö EU DisinfoLabille ja yhdelle sen tutkijalle CNIL:n käsittelyn jälkeen. Havaitut GDPR-rikkomukset liittyvät massatiedonkeruuseen osana tutkimusta, jonka tarkoituksena oli tunnistaa "Benalla-tapauksesta" twiittejä julkaisseiden ihmisten poliittiset näkemykset.

Merkittävässä päätöksessä Belgian tietosuojaviranomainen sakotti myös Euroopan interaktiivisen mainonnan toimistoa (IAB Europe) 250 000 eurolla. laillisuuden, lojaalisuuden ja läpinäkyvyyden periaatteiden rikkomisesta, teknisten ja organisatoristen tietosuojatoimenpiteiden puutteesta, rekisterin puutteesta, vaikutustenanalyysin puutteesta ja tietosuojavastaavan nimittämisestä. Näiden rikkomusten luettelon taustalla on "reaaliaikaisen tarjouksen" periaate (internetin käyttäjien tietojen huutokauppaaminen suostumuksenhallintajärjestelmien – CMP:iden – kautta), joka on sanktioitu sen täydellisen läpinäkymättömyyden vuoksi asianomaisille henkilöille.

Italian tietosuojaviranomainen on myöntänyt hyväksynnän yksityiselle klubille jopa 2 000 euroa siitä, että se oli suunnannut valvontakameransa kohti yleistä tietä ilman selkeitä merkintöjä, mikä on yleisen tietosuoja-asetuksen 5(1)(a), 5(1)(c) ja 13 artiklan vastainen. 

Alankomaissa Haagin käräjäoikeus on määrännyt seuraamuksia työnantajalle, joka salaa nauhoitti työntekijänsä puhelinkeskustelun.Oikeuden mukaan työntekijän epäilys siitä, että hän on ottanut yhteyttä asiakkaisiinsa perustaakseen oman yrityksen, ei riitä oikeuttamaan puheluiden salaista nauhoittamista.

Myös Alankomaissa tietosuojaviranomainen sakotti mediayhtiötä 525 000 eurolla: Jälkimmäinen pyysi oikeuttaan tietoihin käyttäviltä ihmisiltä kopion henkilöllisyystodistuksestaan. Pyyntöä pidettiin perusteettomana ja yleisen tietosuoja-asetuksen 12(2) artiklan vastaisena.

Espanjan tietosuojaviranomainen on määrännyt 200 000 euron sakon Espanjan jalkapalloliittoa vastaan videoneuvottelun tallenteen jakamisesta Zoomissa ilman osallistujien ennakkoilmoitusta tai suostumusta. 

Myös Espanjassa Amazonin tieliikenne sai 2 000 000 euron sakot. rikosrekisteritietojen laittomasta keräämisestä osana rekrytointiprosessiaan.

Kansainvälinen:

Punaisen Ristin kansainvälinen komitea on juuri joutunut erittäin kehittyneen kyberhyökkäyksen uhriksi, jolla voi olla merkittäviä seurauksia. ottaen huomioon organisaation käsittelemien tietojen arkaluonteisuuden. Verkkosivusto tarjoaa esimerkillistä tietoa yleisölle 16. helmikuuta tilanteesta, jossa selitetään hyökkäyksen olosuhteet, mahdolliset riskit ja näiden riskien lieventämiseksi toteutetut toimenpiteet.

Anne Christine Lacoste

Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.