Legal Watch nro 84 – kesäkuu 2025. 

Lisäkamerat: CNIL asettaa uudet ohjeet.

CNIL katsoi 11. heinäkuuta, että "laajennettujen" kameroiden käyttö tupakkakauppojen asiakkaiden iän arvioimiseksi alaikäisille kiellettyjen tuotteiden myynnin valvomiseksi ei ole välttämätöntä eikä oikeasuhtaista.

Näitä kameroita esitetään päätöksentekovälineenä. Ne perustuvat oletusarvoisesti aktivoituun tekoälyalgoritmiin, joka skannaa kaikkien näkökentässään olevien kasvot arvioidakseen, ovatko he alaikäisiä vai aikuisia.

Ranskan tietosuojaviranomainen CNIL huomauttaa, että koska "laajennettu" kamera suorittaa vain arvion, tupakkakauppiaiden on järjestelmällisesti pyydettävä asiakkailtaan iän todistamista velvoitteidensa täyttämiseksi. "Näin ollen kameran tekemä kasvojen esianalyysi iän arvioimiseksi ei vaikuta tarpeelliselta: se vain lisäisi lain edellyttämiä tarkastuksia."

CNIL huomauttaa käyttötarkoituksen olevan suhteeton tavoiteltuun päämäärään nähden, mikä johtaa kaikkien ihmisten, jopa selvästi aikuisten, kuvaamiseen ja estää ihmisiä käyttämästä vastustusoikeuttaan.

Hän uskoo myös, että kameroiden sijoittaminen asuintiloihin, kuten tupakkakauppoihin, lisää riskiä, että tällaisia välineitä käytetään yhä enemmän, ja että ne trivialisoituvat ja tottuvat valvontaan.

Tämä ei ole ensimmäinen kerta, kun sääntelyviranomainen on ottanut kantaa tähän asiaan. Toukokuun lopussa se herätti Nizzan pormestarin vihan kieltämällä lisätyn todellisuuden kameroiden asentamisen kaupungin koulujen eteen, korostamalla henkilötietojen keräämistä ja toistamalla tarpeen vähentää ihmisten valvontaa julkisilla paikoilla minimiin.

Joissakin yhteyksissä CNIL kuitenkin suosii lisäkameroiden käyttöä: se on siksi katsonut, että näiden kameroiden käyttöönotto supermarkettien automaattisissa kassoissa voisi olla oikeutettu intressi rajoittaa kassoilla tapahtuvien virheiden tai varkauksien aiheuttamia tulonmenetyksiä, mutta tietyin ehdoin: järjestelmä on välttämätön tavoitellun tavoitteen saavuttamiseksi, se ei loukkaa suhteettomasti henkilöiden oikeuksia ja sitä ei voida saavuttaa vähemmän puuttuvalla tavalla.

Tiedon minimointitoimenpiteitä on toteutettava, kuten tallennusalueen rajaaminen itsepalvelukassoihin ja tallennuksen keston, resoluution ja tiheyden rajoittaminen. Lisäksi käyttäjille on tiedotettava järjestelmästä ja tarjottava heille kameraton vaihtoehto.

CNIL aikoo säännellä näiden järjestelmien käyttöä varmistamalla niiden tarpeellisuuden ja oikeasuhteisuuden tapauskohtaisesti. Se suosittelee myös sisäänrakennetun yksityisyyden suojan periaatteen soveltamista.

On syytä muistaa, että algoritmisen videovalvonnan sääntelykehys on kehittyvä aihe, johon sovelletaan monimutkaista sääntelykehystä.

Tämä viitekehys eroaa biometristen kameroiden viitekehyksestä, jotka käsittelevät järjestelmällisesti ihmisten fyysisiin ominaisuuksiin liittyviä tietoja tavoitteenaan tunnistaa tai todentaa heidät yksiselitteisesti.

Nämä arkaluonteisia tietoja koskevat käsittelytoimet ovat kiellettyjä paitsi poikkeuksellisissa olosuhteissa.

"Laajennetuista" kameroista ei ole tällä hetkellä erityistä tekstiä lukuun ottamatta kokeellista kehystä, josta säädetään 19. toukokuuta 2023 annetussa olympia- ja paralympiakisoja koskevassa laissa.

CNIL muistuttaa meitä siitä, että "mekanismeja, jotka todennäköisesti vaikuttavat kansalaisille tarjottuihin perusoikeuksiin julkisten vapauksien harjoittamiseksi, voidaan käyttää vain, jos laki valtuuttaa ja nimenomaisesti sääntelee niitä".

Muiden järjestelmien osalta on otettava käyttöön vahvat suojatoimet.

Olympialain kokeiluaikaa jatkettiin hiljattain vuoteen 2027 asti, vaikka arviota pidettiin kiistanalaisena.

Tämä laki sallii lisäominaisuuksilla varustettujen kameralaitteiden kokeellisen käytön tiettyjen suurten urheilu-, virkistys- ja kulttuuritapahtumien turvallisuuden varmistamiseksi hyvin erityisin ehdoin: vain laissa määritellyt tapahtumat voidaan havaita, eikä kasvojentunnistusta saa suorittaa.

Poliittisemmasta näkökulmasta CNIL kehottaa viranomaisia vetämään rajan sen välille, mikä demokraattisessa yhteiskunnassa tulisi sallia ja mikä ei: kaikki teknisesti mahdollista ei ole välttämättä toivottavaa eettisestä ja sosiaalisesta näkökulmasta.

 

 

Syrjinnän vastaisen taistelun tietoisuuden lisääntymisen yhteydessä CNIL julkaisee suosituksen monimuotoisuuden mittaamisesta työpaikalla.

Hän korostaa, että tällainen toimenpide on arkaluontoinen ja edellyttää, että työnantajat noudattavat tarkasti perustuslakineuvoston 15. marraskuuta 2007 tekemää päätöstä, jota on säännöllisesti ja virheellisesti tulkittu alkuperätilastojen ehdottomaksi kielloksi.

Komissio korostaa erityisesti, että tutkimusten on oltava vapaaehtoisia ja että työntekijöille tai edustajille on tiedotettava asianmukaisesti ja heidän oikeuksiaan on kunnioitettava.

Se suosittelee myös anonyymien kyselyjen priorisointia ja suljettujen kysymysten avulla kerätyn tiedon rajoittamista.

CNIL julkaisi myös kaksi usein kysyttyä kysymystä tekoälyn käytöstä kouluissa ja mangan, jonka tarkoituksena oli lisätä nuorten tietoisuutta henkilötietojensa suojasta.

Se on myös julkaissut suosituksia internet-yleisön mittaustyökaluista ja itsearviointityökalusta, jolla arvioidaan niiden yhdenmukaisuutta lainsäädännön kanssa.

Se on julkaissut tekoälyjärjestelmien kehittämistä koskevia suosituksia, joissa täsmennetään oikeutetun edun käytön ehdot erityisesti tiedonkeruun (verkkotietojen kaavintaan) yhteydessä, ja avasi 12. kesäkuuta julkisen kuulemisen suositusluonnoksestaan seurantapikselien käytöstä sähköposteissa.

Tavoitteena on auttaa näitä seurantalaitteita käyttäviä toimijoita ymmärtämään paremmin velvollisuutensa, erityisesti käyttäjän suostumuksen hankkimisen osalta.

Kyberturvallisuusmedia Cybernewsin 30. kesäkuuta julkaiseman raportin mukaan verkossa on tällä hetkellä saatavilla 16 miljardia varastettua käyttäjätunnusta ja salasanaa.

Vaarantuneisiin tietoihin kuuluu tunnisteita, kuten käyttäjätunnuksia ja sähköpostiosoitteita, sekä salasanoja.

Hakemistot sisältävät myös käyttöoikeustunnuksia, kirjautumisevästeitä ja metatietoja.

 Kyseessä ei olisi uusi tietovuoto, vaan useiden aiempien tietovuotojen kasautuminen, mikä voi lisätä tietovarkauksien riskejä helpottamalla pahantahtoisten toimijoiden työtä.

Googlea uhkaa ennätykselliset 525 miljoonan euron sakot evästeiden ja mainosten käsittelystä Gmail-postilaatikoissa.

Päätösluonnoksessaan CNIL syyttää Googlea EU:n sähköisen viestinnän tietosuojadirektiivin täytäntöönpanoperiaatteiden rikkomisesta, koska se ei ole pyytänyt käyttäjän suostumusta evästeiden lataamiseen Gmail-tiliä luotaessa ja sähköpostimainosten näyttämiseen Gmail-postilaatikoissa.

Jos CNIL:n rajoitettu komitea vahvistaa sakon, se on CNIL:n historian suurin sakko ja suurin koskaan sähköisen viestinnän tietosuojadirektiivin rikkomisesta määrätty sakko. Lopullinen päätös julkistetaan muutaman viikon kuluttua.

GDPR:n noudattamatta jättäminen on peruste sopimuksen irtisanomiselle, erityisesti digitaalisen viestinnän kehityspalveluiden alalla: aiempien päätösten mukaisesti Bordeaux'n muutoksenhakutuomioistuin vahvisti 11. kesäkuuta 2025 antamassaan tuomiossa reCAPTCHA-suojausmenetelmän olemassaolon useiden ilman loppukäyttäjän suostumusta asetettujen evästeiden yhteydessä.

Palveluntarjoajan jatkuvien sopimusrikkomusten vuoksi asiakkaalla on oikeus vaatia sopimuksen irtisanomista siviililain pykälien 1610, 1217 ja 1224 mukaisesti.

 

Euroopan unionin toimielimet ja elimet

EU:n tekoälyasetuksen täytäntöönpanoaikataulu julkaistiin kesäkuun puolivälissä.

Mahdollisesta lisäajasta esitettyjen huhujen jälkeen komissio selvensi, että tekstiä sovellettaisiin asetettujen määräaikojen mukaisesti.

Asetusta sovelletaan tekoälyjärjestelmiin niiden aiheuttamien riskien perusteella ja yleiskäyttöisiin tekoälymalleihin (GPAI) niiden ominaisuuksien perusteella.

GPAI:ta koskevat säännöt tulevat voimaan 2. elokuuta 2026; olemassa olevien järjestelmien soveltaminen alkaa 2. elokuuta 2027.

Lisäksi yleiskäyttöisen tekoälyn hyvien käytäntöjen ohjeet julkaistiin 10. heinäkuuta.

Se käsittää 3 lukua.

Läpinäkyvyyttä ja tekijänoikeuksia koskevat luvut tarjoavat kaikille yleiskäyttöisten tekoälymallien tarjoajille keinon osoittaa, että ne noudattavat tekoälylain 53 §:n mukaisia velvoitteitaan.

Turvallisuutta koskeva luku koskee vain pientä määrää erittäin kehittyneiden mallien toimittajia, joihin sovelletaan tekoälylain 55 §:ssä säädettyjä systeemiriskin aiheuttavien yleiskäyttöisten tekoälymallien toimittajille asetettuja velvoitteita.

Euroopan komission ehdotusta "digitaalisesta omnibusista" odotetaan tällä hetkellä 10. joulukuuta mennessä, MLexin näkemän sisäisen asiakirjan mukaan.

Se on osa pakettia, johon kuuluvat digitaalisten verkkojen asetus, kyberturvallisuusasetuksen tarkistus ja eurooppalainen sähköinen lompakko.

Pilvi- ja tekoälykehitystä koskevat määräykset on alustavasti suunniteltu julkaistavaksi ensi viikolla.

Kesäkuun lopussa EU:n toimielimet hyväksyivät yhteisen kannan GDPR:n täytäntöönpanoon liittyvistä lisämenettelysäännöistä. Teksti on nyt virallisesti hyväksyttävä Euroopan parlamentin äänestyksellä.

Euroopan tietosuojaneuvosto (EDPB) ilmoitti kaksipäiväisessä kokouksessaan Helsingissä 1. ja 2. heinäkuuta auttavansa organisaatioita ymmärtämään GDPR-velvoitteitaan paremmin julkaisemalla yksinkertaistetut ohjeet. Lausunnossaan neuvostoneuvoston puheenjohtaja totesi, että "ytimekkäiden ja ajankohtaisten ohjeiden sekä käyttövalmiiden työkalujen, kuten yhteisen tietoturvaloukkauksen ilmoitusmallin, tarkistuslistojen, käytännön oppaiden ja usein kysyttyjen kysymysten, avulla teemme GDPR-vaatimustenmukaisuudesta jatkossakin saavutettavissa ja kaikkien saatavilla".

Transatlanttiset tietovirrat ovat toistaiseksi voimassa "tietosuojakehyksen" puitteissa huolimatta Trumpin hallinnon toimenpiteistä, jotka heikentävät Yhdysvaltojen tietosuojakehystä.

Euroopan komissio vahvisti kesäkuun puolivälissä vastauksena parlamentin kysymykseen, että PCLOB:n (yksityisyyden ja kansalaisvapauksien valvontakomitea) jäsenten erottaminen ei vaikuta EU:n ja Yhdysvaltojen välisen tietosuojakehyksen pätevyyteen, koska PCLOB pystyy edelleen toimimaan.

 

Uutisia Euroopan unionin jäsenmaista.

Berliinin osavaltion tietosuojaviranomainen (DPA) totesi 27. kesäkuuta päivätyssä päätöksessä, että DeepSeekin tiedonsiirrot Kiinaan ovat laittomia, ja pyysi Googlea ja Applea estämään sovelluksen.

DeepSeekin kerrottiin kyenneen toimittamaan tietosuojaviranomaiselle (DPA) vakuuttavia todisteita siitä, että saksalaisten käyttäjien tietoja suojataan Kiinassa samalla tasolla kuin Euroopan unionissa.

"Kiinan viranomaisilla on laajat oikeudet kiinalaisten yritysten hallussa oleviin henkilötietoihin. Lisäksi DeepSeekin käyttäjillä Kiinassa ei ole Euroopan unionissa taattuja täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja."

Belgian APD hylkäsi 26. kesäkuuta 16 kansalaisjärjestö Noybin viidessä eri tapauksessa tekemää valitusta sillä perusteella, ettei asianomaisilta ollut saatu todellista (ei kuvitteellista) valtuutusta.

Lehdistötiedotteessaan APD korostaa GDPR:n 80(1) ja 80(2) artiklan välistä eroa sekä sitä, että Belgian lainsäätäjä päätti olla sallimatta kuluttajanoikeusjärjestöjen tehdä valituksia ilman valtuutusta.

Hän päätti puheenvuoronsa toteamalla, että "näiden järjestöjen tärkeyden vuoksi hän kannattaa lainsäädännön muutosta, joka mahdollistaisi tämän vaihtoehdon myös Belgiassa".

TanskassaTekijänoikeuslain muutos antaa kansalaisille oikeuden ääneensä, kasvoihinsa ja kehoonsa, vaikka ne olisi digitaalisesti kopioitu generatiivisen tekoälyn avulla.

Tanskan kulttuuriministeri totesi tässä yhteydessä, että "ihmisiä uhkaa muuttaa digitaalisiksi kopiokoneiksi ja käyttää kaikenlaisiin väärinkäytöksiin, enkä ole valmis hyväksymään sitä".

EspanjassaAPD on määrännyt Carrefourille 3 200 000 euron sakon useiden tietomurtojen jälkeen.

Hän totesi, että Carrefour ei ollut toteuttanut riittäviä turvatoimenpiteitä eikä ollut ilmoittanut tietomurrosta asianomaisille.

APD määräsi myös alihankkijalle 12 000 euron sakon, koska se oli tehnyt sopimuksen toissijaisen alihankkijan kanssa ilman rekisterinpitäjän lupaa, mikä on GDPR:n 28(2) artiklan vastaista.

Microsoftia vastaan nostettu ensimmäinen ryhmäkanne Irlannissa Irlannin kansalaisvapausneuvosto (ICCL) nosti toukokuun lopussa kanteen Dublinin korkeimmassa oikeudessa. Kanne, joka on nostettu uuden eurooppalaisen kollektiivisia oikeussuojakeinoja koskevan direktiivin nojalla, väittää, että Microsoftin kohdennettujen verkkomainosten toimittamiseen käyttämä reaaliaikainen tarjousjärjestelmä (RTB) on yhteensopimaton GDPR:n kanssa.

Tietopyyntöihin liittyviä asiakirjoja ei voida säilyttää loputtomiin: käyttäjän aloittaman tutkinnan jälkeen Liettuan virallinen kehitysapu määräsi lääketieteellisten palvelujen tarjoajan asettamaan säilytysajat tiedonsaantipyyntöjen käsittelyyn liittyville asiakirjoille.

Varo seurantapikseleitä: Norjan virallinen kehitysapu määräsi Kristiansandin kunnalle 250 000 Norjan kruunun (21 600 euron) sakon lasten henkilötietojen laittomasta käsittelystä Snap- ja Meta-pikseleiden kautta sen lasten hyväksikäyttöä käsittelevällä auttavalla puhelinverkkosivustolla.

APD katsoi myös, että tiedot vierailuista verkkosivuston sivuilla, jotka sisältävät sisältöä tietyistä lääketieteellisistä aiheista, olivat arkaluonteisia tietoja, ja antoi yhtiölle huomautuksen näiden arkaluonteisten tietojen laittomasta käsittelystä Metapikselin kautta.

 

Yhdistyneessä kuningaskunnassa datan käyttöä ja saatavuutta koskeva laki (DUAA) sai kuninkaallisen hyväksynnän 19. kesäkuuta. Tämä laki sisältää säännöksiä, joilla pyritään edistämään digitaalisten varmennuspalveluiden, uusien älykkäiden dataohjelmien, kuten avoimen pankkitoiminnan, ja uuden kansallisen maanalaisten omaisuuserien rekisterin kehittämistä.

Se sisältää myös merkittäviä muutoksia Yhdistyneen kuningaskunnan tietosuojalainsäädäntöön.

DUAA ei korvaa Ison-Britannian GDPR:ää, mutta se tekee joitakin muutoksia "yksinkertaistaakseen organisaatioiden sääntöjä, kannustaakseen innovaatioihin, auttaakseen lainvalvontaviranomaisia torjumaan rikollisuutta ja mahdollistaakseen vastuullisen tiedon jakamisen samalla, kun ylläpidetään korkeita tietosuojastandardeja".

Yhdysvalloissa äskettäinen korkeimman oikeuden päätös Free Speech Coalition v. Paxton -tapauksessa on lähettänyt shokkiaaltoja digitaaliseen maailmaan.IAPP:n artikkelissa ilmaistaan huoli iän varmentamisen, sananvapauden ja yksityisyyden suojaan liittyvien käsitteiden kyseenalaistamisesta.

Kesäkuun 27. päivänä annettu päätös vahvisti Texasin lain, joka vaatii aikuisille suunnattua sisältöä tarjoavia verkkosivustoja varmistamaan kävijöiden iän mahdollisesti tunkeilevilla tekniikoilla, kuten biometrialla. Vaikka tämän päätöksen tarkoituksena on suojella alaikäisiä eksplisiittiseltä sisällöltä, se herättää myös kysymyksiä arkaluonteisten henkilötietojen keräämiseen liittyvistä riskeistä.

Myös Yhdysvalloissa kongressi äänesti heinäkuun alussa "One Big Beautiful Bill" -lain hyväksymisen puolesta.kodifioi presidentti Trumpin kansallisen agendan, yhtä keskeistä poikkeusta lukuun ottamatta: tekoälysääntelyn lykkäämistä, joka alun perin sisältyi lakiesitykseen. Tämä lykkäys olisi pysäyttänyt yli 1 000 tekoälysääntelylakia, jotka olivat edenneet lainsäädäntöprosesseissa osavaltioiden pääkaupungeissa tammikuusta lähtien.

WhatsAppin omistaja Meta ilmoitti 16. kesäkuuta uusien ominaisuuksien julkaisusta WhatsAppin "Päivitykset"-välilehdellä, mukaan lukien kohdennetut mainokset ja tilausmalli.Yhtiö ilmoitti, että nämä ominaisuudet otetaan käyttöön käyttäjille vähitellen "seuraavien kuukausien aikana". Tätä varten Meta käyttää käyttäjien Facebook- ja Instagram-tileiltä WhatsAppiin linkitettyjen "mainosasetuksia ja -tietoja".

Irlannin tietosuojavaltuutettu (DPC) kertoi saaneensa WhatsAppilta tiedon, että sen mainosmallia ei otettaisi käyttöön EU:ssa ennen vuotta 2026 ja että siitä keskusteltaisiin muiden tietosuojaviranomaisten kanssa, jotta ne voisivat eurooppalaisina sääntelyviranomaisina nostaa esiin huolenaiheita.

L'Express-sanomalehden 26. toukokuuta julkaiseman raportin mukaan Venäjä aikoo ottaa 1. syyskuuta 2025 alkaen käyttöön kokeellisen hankkeen, joka edellyttää Moskovassa ja sen alueella tilapäisesti oleskelevilta ulkomaalaisilta mobiilipaikannussovelluksen käyttöä ja biometristen tarkistusten suorittamista.Käyttäjien on rekisteröidyttävä sovellukseen, "suostuttava henkilötietojensa, mukaan lukien maantieteellisen sijainnin, keräämiseen, ilmoitettava asuinpaikkansa sisäministeriölle ja päivitettävä se kolmen päivän kuluessa, jos he muuttavat".