Legal Watch nro 93 – maaliskuu 2026. 

 

Henkilötietojen saatavuus: oikeuksien väärinkäytön tunnistaminen?

Euroopan unionin tuomioistuimen (CJEU) äskettäinen päätös selventää yksilöiden oikeuden saada henkilötietojaan koskevia edellytyksiä ja erityisesti niitä olosuhteita, joissa rekisterinpitäjä voi pitää tiedonsaantipyyntöä väärinkäytöksenä.

Vaikka yleisen tietosuoja-asetuksen 12 artikla yhdistää pyyntöjen väärinkäytön niiden toistuvuuteen, EU-tuomioistuin selvensi 19. maaliskuuta asiassa C-526/24 – Brillen Rottler, että tämä toistumisen kriteeri on havainnollistava: pyyntöjen lukumäärä ei ole ratkaiseva, ja alkuperäistä tiedonsaantipyyntöä voidaan pitää väärinkäytöksenä, jos rekisteröity käyttää tätä oikeutta edun saamiseksi, esimerkiksi jos hän pyrkii keinotekoisesti luomaan oikeuden korvaukseen rekisterinpitäjää vastaan. Tällaisessa tapauksessa kyseessä on oikeuksien väärinkäyttö.

Tietojen tarkastuspyyntöön vastaamatta jättämisen on kuitenkin oltava GDPR:n mukaan poikkeuksellista, ja rekisterinpitäjän on kyettävä osoittamaan pyynnön esittäjän aikomus käyttää tietoja väärin.

Tässä nimenomaisessa tapauksessa rekisterinpitäjän piti osoittaa konkreettisten todisteiden perusteella, että pyynnön tarkoituksena ei ollut varmistaa tietojen käsittelyä, vaan keinotekoisesti luoda olosuhteet vahingonkorvausvaatimukselle.

Hakijan tiedettiin todellakin tehneen useita pyyntöjä useille rekisterinpitäjille saatuaan heille tietonsa saadakseen hyvitystä.

Oikeus toistaa, että korvauksen myöntämiseksi on täytettävä kolme ehtoa:

• GDPR:n rikkomus,
• Vahingoittaa
• Ja syy-seuraussuhde näiden kahden välillä.

Aineeton vahinko voi johtua tietojenkäsittelyn hallinnan menetyksestä tai epävarmuudesta, mutta vahinko on korvauksen hakijan näytettävä toteen, eikä se voi johtua korvauksen hakijan toiminnasta.

Tässä nimenomaisessa tapauksessa syy-yhteys katkesi asianomaisen henkilön käyttäytymisen vuoksi, jonka tarkoituksena oli keinotekoisesti luoda vahingon olosuhteet.

Kun edellä mainitut kolme ehtoa täyttyvät, tiedonsaantioikeuden loukkaus voi siten johtaa oikeuteen oikeussuojakeinoihin, vaikka loukkaus ei johtuisikaan suoraan tietojenkäsittelystä sanan varsinaisessa merkityksessä.

Tietopyyntöön vastaamatta jättäminen voi altistaa vastuullisen osapuolen hyvitysvaatimuksille vilpittömässä mielessä toimivan pyynnön esittäjän taholta.

Rekisterinpitäjän, joka epäilee pyynnön olevan väärin, on siksi noudatettava erityistä varovaisuutta ja säilytettävä todisteet pyynnön väärinkäytöstä ennen kuin se evää pääsyn tietoihin. 

Euroopan unionin tuomioistuimen antamat selvennykset ovat yhdenmukaisia Euroopan tietosuojaneuvoston (EDPB) vuonna 2022 aiheesta julkaisemien ohjeiden kanssa, jotka tarjoavat lisäohjeita.

Näin ollen pyyntöjen kohtuuttomuus voi riippua rekisterinpitäjän toiminta-alan erityispiirteistä.

"Mitä useammin rekisterinpitäjän tietokantaan tehdään muutoksia, sitä todennäköisemmin rekisteröity voi pyytää pääsyä tietoihinsa ilman, että sitä pidettäisiin liiallisena."

Toistuvien pyyntöjen tapauksessa rekisterinpitäjä voi evätä pääsyn tietoihin ja periä asianomaiselta maksun, joka vastaa pyyntöjen aiheuttamien hallinnollisten menettelyjen kustannuksia.

Lopuksi on huomattava, että Euroopan komissio aikoo digitaalisen Omnibus-asetuksen ehdotuksessaan myös tarjota rekisterinpitäjille enemmän oikeusvarmuutta tilanteissa, joissa rekisteröidyt loukkaavat oikeuksiaan.

Vaikka Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu tukevat tätä selvennystarpetta 10. helmikuuta antamassaan lausunnossa, ne katsovat, että tiedonsaantioikeuden käyttäminen muihin tarkoituksiin kuin henkilötietojen suojaan ei saisi olla väärinkäytön määrittävä tekijä… niin kauan kuin hakijan vilpitöntä mieltä ei kyseenalaisteta.

 

SREN-lain täytäntöönpanoasetus, joka julkaistiin 24. maaliskuuta, tuo mukanaan lisävaatimuksia terveystietojen (HDS) ylläpitoon yksinomaan EU:n tai ETA:n alueellaCNIL suhtautuu myönteisesti näihin vaatimuksiin, koska niiden tavoitteena on lisätä läpinäkyvyyttä asianomaisia henkilöitä kohtaan sekä vahvistaa terveystietojen hallintaa hosting-sopimuksen osapuolten toimesta Euroopan ulkopuolisen käytön riskin osalta.

Yleisemmin koko valtion IT-järjestelmä aikoo siirtyä kohti itsenäisiä ratkaisuja.

Niinpä viikko sen jälkeen, kun LaSuite-yhteistyöalustan käyttöönotosta sairausvakuutuslaitoksen 80 000 asiamiehelle oli ilmoitettu, ministeriöiden välinen digitaalinen osasto (DINUM) ilmoitti virallisesti 9. huhtikuuta aikomuksestaan hylätä Windows Linuxin hyväksi ja siirtyä itsenäiseen ratkaisuun ennen vuoden loppua.

Nämä tavoitteet ovat konkretisoituneet 8. huhtikuuta pidetyn seminaarin jälkeen, joka kokosi ensimmäistä kertaa yhteen ministeriöitä, julkisia toimijoita ja yksityisiä toimijoita tavoitteenaan tunnistaa, mistä ulkomaisista ohjelmistoista ja palveluista valtio on tänään riippuvainen voidakseen tulla huomenna ilman niitä.

"Tästä syksystä alkaen jokaisen ministeriön (ja siitä riippuvaisten julkisten elinten) on toimitettava oma etenemissuunnitelmansa ulkomaisten digitaalisten riippuvuuksiensa vähentämiseksi."

Valtion digitaalisen turvallisuuden tiekartta vuosille 2026–2027 julkaistiin huhtikuun alussa.

Se on osa pyrkimystä saada valtion virastot noudattamaan NIS2-direktiiviä ja auttaa niitä siirtymään postkvanttikryptografiaan. 

"Suuren uhan ja heikkenevän geopoliittisen tilanteen yhteydessä siinä esitetään ensisijaiset toimet, jotka ministeriöiden on toteutettava digitaalisen turvallisuuden alalla: hallinnon vahvistaminen, pääsynhallintajärjestelmien hallinnan vahvistaminen, tietojärjestelmäympäristön valvonta jne.."

CNIL julkaisi vuoden 2026 prioriteettivalvontateemansa 3. huhtikuuta.  Hän keskittyy

• Rekrytointi,
• Yhteinen äänioikeusrekisteri
• Urheiluliitot.

Lisää kyberturvallisuuteen liittyviä tiedotteita annetaan, kun sen vuosikertomus julkaistaan toukokuussa.

Hän julkaisi myös työohjelmansa ammattilaisten tukemiseksijoka tulee korostamaan

• Tekoälyn käyttö,
• Terveystiedot,
• Tiedonsaantioikeuden ehdot
• Kyberturvallisuus.

Sen verkkosivuilla on myös uusi opas HR-tietojen säilytysajoista. Lopuksi 20. maaliskuuta päivätyssä julkaisussa CNIL toistaa videovalvontakameroiden äänen tallennukselle asetetut erittäin rajoittavat ehdot.

Vaikka alueellisten terveysvirastojen (ARS) hakkerointi vahvistettiin virallisesti syyskuussa 2025, tilanne on tänään saamassa hälyttävämmän käänteen. Hakkeriryhmä DumpSec ottaa vastuun hyökkäyksestä ja myy nyt massiivista Ranskan terveydenhuoltojärjestelmän tietokantaa.

Yli 35 miljoonaa potilasta kärsisi, ja tiedot sisältäisivät arkaluonteisia tietoja hoitopoluista.

Tietomurto johtuu lääkärin tunnistetietojen varastamisesta GRADeSin (alueellinen sähköisen terveydenhuollon tukiryhmä) palvelimilla.

Euroopan unionin tuomioistuin antoi 19. maaliskuuta päätöksen, joka vaikutti Ranskan poliisin biometristen tietojen keräämisen edellytyksiin.

Asiassa C 371/24 – Comdribus se katsoi, että kansallinen lainsäädäntö on ristiriidassa EU:n poliisioikeuden direktiivin kanssa, kun se valtuuttaa lainvalvontaviranomaisen käsittelemään järjestelmällisesti epäiltyjen biometrisiä tietoja ilman, että toimivaltaisen viranomaisen on perusteltava tämän käsittelyn ehdoton välttämättömyys ja oikeasuhteisuus.

Henkilölle, joka kieltäytyy biometristen tietojensa keräämisestä, voidaan määrätä seuraamus vain, jos suunniteltu kerääminen täyttää nämä ehdot, jotka on arvioitu ottaen huomioon olosuhteet sillä hetkellä, kun toimivaltaiset viranomaiset päättävät tietojen keräämisestä.

Keräämisen perustelu on välttämätön, jotta asianomainen henkilö voi käyttää oikeuttaan tehokkaisiin oikeussuojakeinoihin.

Tässä nimenomaisessa tapauksessa Pariisissa toukokuussa 2020 ilmastoaktivistien toteuttaman mielenosoituksen aikana lainvalvontaviranomaiset pidättivät useita osallistujia, mukaan lukien valittajan, ilmoittamattoman mielenosoituksen järjestämisestä.

Poliisin huostaan otettu asianomistaja kieltäytyi sormenjälkien ottamisesta ja valokuvaamisesta.

Sisäministeri totesi 3. huhtikuuta senaatissa hallituksen kyselytunnin aikana, että lainvalvontaviranomaisten kasvojentunnistusohjelmiston käyttö Neo-henkilöllisyydenvalvontalaitteissaan ei ole laillista, paitsi tuomarin johtaman tutkinnan puitteissa.

Ministeri ilmoitti, että CNIL tutkii parhaillaan asiaa.

Ranskalaisen Tech 2030 -ohjelman voittaneen kyberturvallisuusyrityksen johtaja pidätettiin maaliskuun lopussa osana laajamittaista eurooppalaista lapsipornoalustaa vastaan kohdistettua tukahduttamista.

Kyberuhkien ennakointiin erikoistunutta startup-yritystä – jonka asiakkaisiin kuuluvat FBI ja Euroopan komissio – johtava insinööri epäillään lapsipornografiakuvien ja -videoiden ostamisesta darknet-lapsipornoalustan kautta.

Yli 200 pidätystä eri puolilla Eurooppaa on tehty koordinoidussa operaatiossa tutkijoiden jäljittämien ja anonymisoimien kryptovaluuttamaksujen ansiosta.

 

Euroopan unionin toimielimet ja elimet

Euroopan parlamentti suostui 11. maaliskuuta jatkamaan sähköisen viestinnän valvontaa (poikkeus)sääntöjä ("keskustelujen hallinta"). samalla rajoittaen niiden soveltamisalaa.

Sen sijaan, että parlamentti olisi myöntänyt skannaustekniikoille yleisen luvan, se pyysi, että näitä työkaluja käytettäisiin vain tunnettuja epäiltyjä vastaan ja ainoastaan tunnetun lapsipornografian havaitsemiseen.

Samaan aikaan Google, Meta, Microsoft ja Snap (Chat) vahvistivat kuitenkin yhteisessä lehdistötiedotteessa, että "ne jatkavat vapaaehtoisia toimiaan koskien kyseisiä ihmissuhdeviestintäpalveluitaan".

Toimielinten väliset neuvottelut ovat edelleen käynnissä: neuvoston puheenjohtajamaa Kypros pyrkii saamaan hankkeen päätökseen heinäkuuhun 2026 mennessä, ja asiasta neuvotellaan parhaillaan parlamentin, neuvoston ja komission välisten kolmikantaneuvottelujen puitteissa.

Euroopan parlamentin jäsenet ottivat 26. maaliskuuta täysistunnossa kantaa Digital Omnibus -paketin tekoälykomponenttiin.

He äänestivät useiden tekoälyasetuksen säännösten voimaantulon lykkäämisestä.

Biometriikan sisältävät tekoälyjärjestelmät ja kriittisen infrastruktuurin, koulutuksen, työllisyyden, välttämättömien palvelujen, lainvalvonnan, oikeuslaitoksen ja rajavalvonnan sovellukset lykättäisiin näin ollen elokuusta 2026 2. joulukuuta 2027.

Parlamentin jäsenet ehdottavat muiden toimialakohtaisen sääntelyn alaisten järjestelmien (turvallisuus ja markkinavalvonta) vaatimustenmukaisuuden lykkäämistä 2. elokuuta 2028 asti.

Euroopan komission, parlamentin ja neuvoston välisten kolmikantaneuvottelujen tavoitteena on alustava sopimus tekstistä 28. huhtikuuta mennessä.

On syytä huomata, että asetuksen ydinperiaatteet ovat jo tulleet voimaan ja CNIL:n valvonnan alaisia.

Euroopan komissio havaitsi 24. maaliskuuta kyberhyökkäyksen, joka vaikutti sen Europa.eu-alustalla sijaitsevaan verkkosivustoon liittyvään pilvi-infrastruktuuriin. Hyökkäys osoittautui vakavammaksi kuin lehdistötiedotteessa alun perin annettiin ymmärtää.

Tiedot vaikuttavat 71 Europa-hostingpalvelun asiakkaaseen. EU:n tietoturvapalvelu CERT-EU vahvistaa, että vuodossa on nimiä, käyttäjätunnuksia, sähköpostiosoitteita ja sähköpostisisältöä.

Pimeässä verkossa julkaistiin 340 Gt dataa ja lähes 52 000 sähköpostitiedostoa.

Kaksi tärkeää EU-tuomioistuimen 19. maaliskuuta antamaa päätöstä, Brillen Rottler ja Comdribus, on käsitelty edellä pääkirjoituksessa ja Ranskan uutisissa.

Euroopan digitaalisen infrastruktuurin konsortio ”Digital Commons” (EDIC) muotoutuu uusien maiden liittymisen ja ensimmäisten hankkeiden käynnistämisen myötä, mukaan lukien eurooppalaisen valtion teknologiarahaston pilottihanke.

Konsortion tavoitteena on auttaa Euroopan unionin jäsenvaltioita kehittämään avoimia digitaalisia infrastruktuureja ja vahvistamaan Euroopan digitaalista suvereniteettia.

 

Uutisia Euroopan unionin jäsenmaista.

Saksalainen tuomioistuin on päättänyt, että Meta käsitteli laittomasti rekisteröitymättömien henkilöiden henkilötietoja Facebookin "Etsi ystäviä" -toiminnon kautta.

Lisäksi yrityksellä ei olisi laillista perustetta käsitellä käyttäjien henkilötietoja omalta alustaltaan mainostarkoituksiin.

Äskettäisessä tapauksessa itävaltalainen tuomioistuin katsoi, että tietosuojaviranomainen oli oikeassa kieltäytyessään käsittelemästä valitusta GDPR:n 57(4) artiklan nojalla sen jälkeen, kun henkilö oli yrittänyt väärinkäyttää valitusmekanismia viivästyttääkseen velan perintää.

Belgian tietosuojaviranomainen (APD) katsoi, että työnantaja oli tyydyttänyt työntekijän pyynnön saada tietoja riittävästi toimittamalla työntekijälle tiedot kopioimalla ne sen sijaan, että kyseessä olevat sähköpostit olisi ommeltu kokonaan.

Suomessa tietosuojaviranomainen antoi luottoluokituslaitokselle varoituksen tietopyyntöjen virheellisestä käsittelystä.

Rekisterinpitäjä ohjasi rekisteröidyt tietojensa saatavuusportaaliinsa ilman jatkotoimenpiteitä ja ilmoitti, että useamman kuin yhden kerran kahdentoista kuukauden aikana tehdyistä pyynnöstä veloitettaisiin maksu.

Espanjan tietosuojavirasto (APD) on määrännyt digitaalisen tunnistus- ja iänvarmistuspalveluntarjoajalle (YOTI) 950 000 euron sakon biometristen tietojen keräämisestä ilman voimassa olevaa suostumusta (riittävän tarkkuuden ja suojatoimien puute alaikäisiin liittyvien tietojen osalta) ja tietojen säilytysajan rajoittamatta jättämisestä.

Belgian tietosuojaviranomainen (APD) määräsi Hyundaille myös 2 000 000 euron sakon sen jälkeen, kun kyberhyökkäys paljasti yli miljoonan ihmisen tiedot, mukaan lukien heidän nimensä, yhteystietonsa ja ajoneuvojen tunnistenumeronsa. Viranomainen totesi, että rekisterinpitäjä ei ollut varmistanut riittävää turvallisuustasoa, erityisesti siksi, että kyseisiä tietoja ei ollut salattu.

Lopuksi Belgian tietosuojaviranomainen (APD) määräsi lentokenttäoperaattori Aenalle erityisen suuren sakon (10 miljoonaa euroa) tavasta, jolla se oli ottanut käyttöön kasvojentunnistusjärjestelmän koneeseen nousuun. Järjestelmän avulla matkustajat voivat nousta koneeseen yksinkertaisesti katsomalla kameraa. Viranomainen totesi, että tämä biometrinen järjestelmä oli otettu käyttöön ilman ennakkoon tehtyä tietosuojavaikutusten arviointia.

Italian tietosuojaviranomainen (APD) on määrännyt pankille 31 800 000 euron sakon, koska se ei ollut toteuttanut riittäviä turvatoimenpiteitä estääkseen työntekijäänsä pääsemästä yli 3 500 ihmisen taloustietoihin työtehtäviinsä liittymättömiin tarkoituksiin.

Rekisterinpitäjä ei myöskään ilmoittanut APD:lle ja rekisteröidyille tästä tietomurrosta ajoissa.

Toiselle pankille määrättiin 17 628 000 euron sakko 275 000 asiakkaan tilien siirtämisestä tytäryhtiölleen ilman heidän suostumustaan. Pankki oli käyttänyt profilointia valitakseen henkilöitä, joita pidettiin "pääasiassa digitaalisina" asiakkaina.

Luxemburgissa korkein hallinto-oikeus kumosi Amazonille määrätyn 746 miljoonan euron sakon. Päätös ei kyseenalaista henkilötietojen laitonta käsittelyä kohdennettua mainontaa varten, mutta edellyttää tietosuojaviranomaista (APD) arvioimaan uudelleen rikkomuksen ja sen oikeasuhteisuuden ennen uusien seuraamusten määräämistä.

Alankomaalainen tuomioistuin kielsi yhteenvetona menettelyssä sosiaalisen median alustaa X tuottamasta ja levittämästä Grokin kautta lapsipornoa ja suostumukseen perustumatonta intiimiä sisältöä. Oikeus kielsi myös X:ää tarjoamasta Grokin toimintoja niin kauan kuin nämä rikkomukset jatkuvat.

Romanian tietosuojaviranomainen (APD) on määrännyt Renault Romanialle 637 262,50 leun (125 000 euron) sakon asianmukaisten turvatoimenpiteiden toteuttamatta jättämisestä alihankkijan hallinnoimaan sovellukseen liittyvän tietomurron jälkeen, joka johti henkilötietojen julkaisemiseen verkkoalustalla.

 

Brasilian laki alaikäisten suojelusta verkossa on tullut virallisesti voimaan, ja sen myötä oikeusministerin asetus, joka kohdistuu suoraan teknologiajättien käyttämiin suunnitteluvalintoihin nuorten huomion kiinnittämiseksi.

Asetus siirtää lasten verkkoturvallisuuden reaktiivisesta sisällön moderoinnista alustan arkkitehtuurin ennakkosääntelyyn, mukaan lukien rajoitukset äärettömälle vieritykselle, automaattiselle toistolle, manipuloiville ilmoituksille, alaikäisiin kohdistuvalle profiloinnin avulla kohdennetulle mainonnalle ja tiukemmat ikärajan varmennusvaatimukset.

Huhtikuun alussa Kiinan teollisuus- ja tietotekniikkaministeriö julkaisi kahdeksan muun ministeriön ohella kokeelliset toimenpiteet tekoälyteknologioiden eettiseen arviointiin ja tarjoamiseen liittyen.

Asiakirjassa annetaan yleiskatsaus siitä, mitä Kiina tarkoittaa "eettisellä tekoälyn hallinnolla" ja millaisia politiikkoja ja teknisiä toimenpiteitä se pitää tarpeellisina torjuakseen etiikan trivialisointia markkinointistrategioilla, jotka lupaavat kunnioittavia palveluita, mutta eivät todellisuudessa ole tekoälymääräysten mukaisia.

Yhdysvaltain New Mexicon osavaltiossa valamiehistö määräsi 24. huhtikuuta Metan maksamaan 375 miljoonaa dollaria sakkoja. Oikeus totesi, että yritys ei ollut suojellut lapsia riittävästi alustoillaan. Sakko johtui epäreilun liiketoiminnan lain rikkomisesta.

Washington DC:ssä sijaitseva liittovaltion vetoomustuomioistuin kieltäytyi 8. huhtikuuta estämään tekoälyyritys Anthropicin lisäämisen Pentagonin kansallisen turvallisuuden mustalle listalle, mikä oli voitto Trumpin hallinnolle.

Toinen muutoksenhakutuomioistuin antoi kuitenkin päinvastaisen päätöksen Anthropicin nostamassa erillisessä oikeudenkäynnissä.

Tekoälyavustaja Clauden kehittäjäyritys väittää puolustusministerin ylittäneen toimivaltansa nimeämällä yrityksen kansallisen turvallisuuden toimitusketjuriskiksi.

Anthropic oli kieltäytynyt poistamasta tiettyjä tuotteidensa käyttörajoituksia Yhdysvaltain puolustusvoimien käyttäessä niitä.