Legal Watch nro 73 – heinäkuu 2024.  

Pilvipalvelut: millä kriteereillä kukakin valitaan?

Covid-pandemian jälkeen pilvipalveluiden käyttö on kasvanut sekä julkisella että yksityisellä sektorilla.

Vaikka eurooppalainen kehys tällä alalla on selkeytymässä, on edelleen monia epävarmuustekijöitä.

• Pitäisikö meidän valita ranskalainen, eurooppalainen pilvipalvelu, joka täyttää itsenäisen pilven vaatimukset?
• Mitä riskejä liittyy tietojen hallinnan uskomiseen GAFAM-yrityksille?

Vaikka suvereenille pilvelle ei ole olemassa laillista määritelmää, yleisesti katsotaan, että sen on varmistettava suvereniteetti kolmella perustasolla:

• Tiedot,
• Toiminnot,
• Infrastruktuuri.

Pilvipalveluiden on siksi asetettava korkeat vaatimukset digitaalisen turvallisuuden ja tietosuojan osalta teknisestä, operatiivisesta ja oikeudellisesta näkökulmasta, ja erityisesti niillä on oltava yksinomainen toimivalta kansallisella alueella.

Siksi on oltava varovainen eurooppalaisten ulkopuolisten yritysten väitteiden suhteen "suvereenista eurooppalaisesta pilvipalvelusta".

Ranska erottuu Euroopan unionissa erityisen tiukkojen vaatimustensa ansiosta. erityisesti SecNumCloud-kehyksen käyttöönoton ja 21. toukokuuta hyväksytyn SREN-lain jälkeen, jonka tavoitteena on digitaalisen tilan turvaaminen ja sääntely.

Tämä laki edellyttää, että valtionhallinnot ja niiden operaattorit, jotka käyttävät yksityisen palveluntarjoajan tarjoamaa pilvipalvelua, ottavat käyttöön erityiset turvallisuus- ja suojauskriteerit erityisen arkaluonteisia tietoja käsittelevien tietokonejärjestelmien toiminnalle.

Tavoitteena on estää kolmansien osapuolten viranomaisten luvaton pääsy tietoihin.

Tämä on erityisen tärkeää ottaen huomioon Cloud Act -lain, joka antaa Yhdysvaltain turvallisuuspalveluille oikeuden käyttää niiden alueen ulkopuolella sijaitsevien yritysten hallussa olevia tietoja ilman ennakkolupaa.

Nämä velvoitteet ovat linjassa Ranskan valtion hallinnoilleen kehittämän "pilvi keskellä" -opin hengen kanssa.

Vaikka ne eivät ole pakollisia yksityiselle sektorille, ne ovat edelleen hyödyllisiä suosituksina, erityisesti silloin, kun kyseessä on arkaluonteisten tietojen käsittely, esimerkiksi terveydenhuollon tai tutkimuksen alalla.

Entä pilvipalveluiden kehitys muualla Euroopassa?

Laadukkaita palveluita on saatavilla esimerkiksi Saksassa ja Sveitsissä.

Näyttää kuitenkin siltä, että suvereenin pilven käsitettä tulkitaan usein laajemmin kuin Ranskan kontekstissa: Saksan malli määrittelee suvereeniksi minkä tahansa EU:n alueella sijaitsevan pilven, jota markkinoi eurooppalainen yritys, jonka työntekijät ovat EU:n kansalaisia ja jolla on erityisiä tietoturvavaatimuksia tiedonsaannin suhteen, vaikka pilvipalvelun käytännössä tarjoaisikin esimerkiksi amerikkalaisen yrityksen tytäryhtiö.

Tämä on suunta, johon Euroopan unionin pilvipalveluiden sertifiointihanke (EUCS) on parhaillaan menossa.

Maaliskuussa julkaistussa uusimmassa versiossaan tämä projekti "ei enää salli palveluntarjoajien osoittaa, että he suojaavat tallennettuja tietoja ulkovallan käytöltä, toisin kuin SecNumCloud-petitiossa Ranskassa".

Näillä sanoilla CNIL varoittaa Ursula von der Leyenin johtamaa uutta Euroopan komissiota, joka on mukana EUCS:ää koskevassa päätöksentekoprosessissa.

Yksi syy, jonka perusteella suvereniteettivaatimuksia ei ole poistettu hankkeesta, on Yhdysvaltojen tai Kiinan mahdolliset protektionismin syytökset.

CNIL puolestaan paheksuu henkilötietojen tietoturvaloukkausten riskien lisäksi tämän eurooppalaisten vaatimusten alaspäin tarkistuksen vaikutusta eurooppalaisen pilvipalvelutarjonnan edistämiseen.

Ottaen huomioon nykyisen epävarmuuden Euroopassa, SecNumCloud-kehys on hyödyllinen viitekehys, erityisesti arkaluonteisten tai strategisten tietojen käsittelyssä. 

ANSSI:n verkkosivusto julkaisee luettelon "SecNumCloud"-luokitelluista pilvipalveluista: se sisältää 17. heinäkuuta päivitetyn luettelon 14:stä kelpuutusvaatimukset täyttävästä pilvipalvelusta ja kahdeksasta muusta kelpuutusprosessissa olevasta palvelusta.

SecNumCloud-kehyksestä riippumatta muut eurooppalaiset pilvipalvelut ovat edelleen houkuttelevia verrattuna kansainvälisiin kilpailijoihinsa nykyisessä oikeudellisessa kontekstissa.

Vaikka Yhdysvaltojen tietosuojan tasoa pidetään tällä hetkellä riittävänä, on syytä muistaa, että Euroopan yhteisöjen tuomioistuin mitätöi kaksi ensimmäistä EU:n välistä sopimusta ja että kaksi ensimmäistä toimenpidettä aloittanut Max Schrems aikoo kokea saman kohtalon myös "tietosuojakehykselle".

 

         

Euroopan unionin tuomioistuimen (CJEU) julkisasiamies otti 11. heinäkuuta antamissaan päätelmissä kantaa sukupuoleen ("herra tai rouva") liittyvien tietojen käsittelyn tarpeeseen SNCF:n junapalvelun tarjoamiseksi.

Koska näiden tietojen kerääminen SNCF:n lomakkeilla on pakollista, Mousse-yhdistyksen haastattelema valtioneuvosto oli kysynyt EU-tuomioistuimelta, voisiko tietojen kerääminen perustua GDPR:n 6.1.a artiklaan (suostumus) tai 6.1.b artiklaan (sopimuksen täytäntöönpanon edellyttämä).

Yleiskokouksen mukaan tällainen käsittely ei ole tarpeen palvelun tarjoamiseksi, koska tässä tapauksessa ei ole kyse erillisistä vaunuista miehille tai naisille, ja SNCF on myöntänyt, ettei se käytä näitä tietoja järjestelmällisesti viestinnässään asiakkaidensa kanssa.

Yleiskokous tuo mieleen erityisesti minimoinnin periaatteen soveltamisen ja mainitsee Bundeskartellamt-päätöksen, jossa tuomioistuin totesi, että "jotta henkilötietojen käsittelyä voidaan pitää sopimuksen täytäntöönpanemiseksi tarpeellisena, (...) sen on oltava objektiivisesti välttämätöntä sellaisen tarkoituksen kannalta, joka on olennainen osa rekisteröidyn sopimusvelvoitetta".

Rekisterinpitäjän on siksi kyettävä osoittamaan, miten sopimuksen pääasiallista tarkoitusta ei voida saavuttaa, jos kyseistä käsittelyä ei suoriteta.

Yleiskokous päättelee, että käyttäjän sukupuoli ei ole tässä nimenomaisessa tapauksessa välttämätön.

Digitaalisen alan luotettujen kolmansien osapuolten liitto on julkaissut oppaan "Opas digitaalisten asiakasmatkojen ja suostumuksen hyviin käytäntöihin".

Digitaalisten allekirjoitusten sääntelykontekstissa tavoitteena on "varmistaa, että kaikkien komponenttien yhdistäminen laajennettuun luottamusketjuun koko prosessin ajan tarjoaa tarvittavat todisteet prosessin johdonmukaisuuden ja luotettavuuden osoittamiseksi jälkikäteen".

Valtioneuvosto kumosi 21. kesäkuuta osittain vuoden 2021 asetuksen, joka koski lainvalvontaviranomaisten droonien käyttöä..

Valtioneuvosto katsoi, että tietyt tämän asetuksen säännökset loukkasivat suhteettomasti oikeutta yksityiselämän kunnioittamiseen ja kokoontumisvapauteen.

Droonien käyttö mielenosoitusten kuvaamiseen voidaan sallia vain, jos yleisen järjestyksen häiriintyminen on todennäköistä ja jos tallennetut kuvat ovat ehdottoman välttämättömiä tällaisten häiriöiden estämiseksi tai vastuussa olevien syytteeseenpanoa varten.

Lisäksi kuvattavien ihmisten on saatava riittävästi tietoa dronejen käytöstä ja heidän tietosuojaoikeuksistaan (AFCDP:n kautta).

Valtioneuvosto on vahvistanut sukusolujen luovuttajien oikeuden vastustaa henkilötietojensa siirtämistä luovutuspaikkaan keskitetylle luovuttajarekisterille GDPR:n 21 artiklan nojalla.

 

Euroopan unionin toimielimet ja elimet

Euroopan komission ja Euroopan tietosuojavaltuutetun (EDPS) välillä on parhaillaan käynnissä kiista Microsoft Office 365:n käytöstä.

Komissio todellakin nosti toukokuun puolivälissä oikeustoimet riitauttaakseen Euroopan tietosuojavaltuutetun tutkimuksen tulokset, jotka koskivat sen näiden palvelujen käyttöä.

Euroopan tietosuojavaltuutettu arvostelee komissiota erityisesti siitä, ettei se ole antanut takeita tietojen siirrosta Yhdysvaltoihin. 

Komissio ei väitetysti myöskään määritellyt Microsoftin kanssa tekemässään sopimuksessa riittävästi kerättyjen henkilötietojen tyyppejä ja käsittelyn tarkoituksia, mikä on EU:n yleisen tietosuoja-asetuksen vastaista.

Euroopan tietosuojavaltuutettu kehotti komissiota keskeyttämään kyseiset siirrot ja noudattamaan lakia 9. joulukuuta mennessä. Komission päätelmät julkaistiin heinäkuun puolivälissä EU:n virallisessa lehdessä.

Euroopan komissio lähetti 12. heinäkuuta alustavat havaintonsa X:lle (entinen Twitter) Euroopan digitaalisten palvelujen asetuksen (DSA) noudattamisesta.

Joulukuussa 2023 aloitetut menettelyt kohdistuvat erityisesti "pimeisiin kuvioihin", mainonnan läpinäkyvyyteen ja tutkijoiden tiedonsaantiin.

Elon Musk on jo ilmoittanut haastavansa komission havainnot oikeuteen.

Euroopan tietosuojaneuvosto hyväksyi heinäkuun puolivälissä pidetyssä täysistunnossaan julistuksen tietosuojaviranomaisten roolista tekoälyasetuksen yhteydessä.

Asetuksessa säädetään, että jäsenvaltioiden on nimettävä kansalliset ”markkinavalvontaviranomaiset” 2. elokuuta 2025 mennessä, joiden tarkoituksena on valvoa sen soveltamista ja täytäntöönpanoa.

Euroopan tietosuojaneuvoston mukaan tietosuojaviranomaisilla on jo kokemusta tekoälyn vaikutuksista perusoikeuksiin, ja ne olisi siksi nimettävä markkinavalvontaviranomaisiksi, mikä varmistaisi paremman koordinoinnin eri sääntelyviranomaisten välillä ja suuremman oikeusvarmuuden kaikille sidosryhmille.

On huomattava, että tekoälyasetus, joka julkaistiin 12. heinäkuuta EU:n virallisessa lehdessä, tuli voimaan 1. elokuuta.

Euroopan tietosuojaneuvosto hyväksyi myös kaksi asiakirjaa (usein kysyttyjä kysymyksiä) Euroopan unionin ja Yhdysvaltojen välisestä henkilötietojen suojaa koskevasta sopimuksesta antaakseen lisätietoja sopimuksen toiminnasta.

Nämä asiakirjat on tarkoitettu toisaalta yksityishenkilöille ja toisaalta yrityksille.

Euroopan unionin tuomioistuin otti 11. heinäkuuta kantaa tapaukseen, jossa Meta-yhtiötä vastaan nostettiin kanne saksalaista kuluttajajärjestöjen liittoa vastaan.

Tuomioistuin muistutti, että rekisterinpitäjän velvollisuus antaa tietoja rekisteröidyille on suora seuraus näiden henkilöiden oikeudesta saada tietoa yleisen tietosuoja-asetuksen 12 ja 13 artiklan nojalla ja on siten yksi oikeuksista, joihin voidaan vedota edustajakanteella yleisen tietosuoja-asetuksen 80(2) artiklan mukaisesti.

Tuomioistuin totesi myös, että tiedonantovelvoitteiden rikkominen voi estää rekisteröityä antamasta "tietoista" suostumustaan ja siten tehdä käsittelystä laitonta asetuksen 5(1)(a) artiklan nojalla (GDPRhubin kautta).

Microsoft nousi otsikoihin eri yhteydessä 19. heinäkuuta, kun yksi sen alihankkijoista, Crowdstrike, jakoi viallisen päivityksen Falcon Sensor -tietoturvaohjelmistoonsa.

Noin 8,5 miljoonaa ohjelmistoa käyttävää Microsoft Windows -tietokonetta kaatui eivätkä kyenneet käynnistymään uudelleen kunnolla. Kyseessä on "tietotekniikan historian suurin käyttökatkos".

Oikeudellisesta näkökulmasta tällaisen vian aiheuttama datan saatavuuden puute muodostaa tietoturvaloukkauksen, joka edellyttää toimenpiteiden toteuttamista erityisesti eurooppalaisen NIS2-direktiivin (joka tulee voimaan ensi lokakuusta) nojalla.

Euroopan tietosuojaneuvosto (EDPB) katsoo, että kyseessä on myös GDPR:n 4(12) artiklan mukainen henkilötietojen tietoturvaloukkaus, mukaan lukien tietoturvaloukkaukset, jotka johtavat tietojen vahingossa tapahtuvaan tai laittomaan menetykseen.

Seurauksista riippuen tämä tarkoittaa ilmoittamista tietosuojaviranomaisille ja asianomaisille henkilöille.

Tästä kannasta keskustellaan parhaillaan. Jotkut ammattilaiset katsovat, että tietojen saatavuus ei ole GDPR:n tarkoittama tappio, kun taas toiset mainitsevat joskus elintärkeät seuraukset, joita tietojen saatavuuden estämisellä on asianomaisille henkilöille.

 

Uutisia Euroopan jäsenmaista.

Saksalainen tuomioistuin on päättänyt, että Google Ireland Limited on Google-hakukoneen ylläpitäjänä vastuussa hakutulosten näyttämisestä riippumatta siitä, että hakutulokset tarjoaa yhdysvaltalainen yritys Google LLC.

Tanskassa tietosuojaviranomainen antoi maahanmuutto- ja kotouttamisministeriölle nuhteen säilytyksen rajoittamisen periaatteen rikkomisesta, koska se ei noudattanut omaa tietojensäilytyspolitiikkaansa.

Espanjan hallinto-oikeuden "Audiencia Nacional" -jaosto totesi 27. kesäkuuta päivätyssä päätöksessä, että Espanjan tietosuojaviranomainen (APD) oli toimivaltainen käsittelemään yhdysvaltalaista Clearview AI -yritystä vastaan tehtyä valitusta.

Tuomioistuin nojautui useiden tietosuojaviranomaisten aiempiin päätöksiin, mukaan lukien Italian viranomaisen päätökseen ja CNIL:n 26. marraskuuta 2021 tekemään päätökseen, jossa se katsoi Clearview'n kuuluvan yleisen tietosuoja-asetuksen 3 artiklan 2 kohdan b alakohdan soveltamisalaan.

CNIL oli ottanut huomioon Clearview-yrityksen tekemän verkosta tehdyn valokuvien haun, näiden valokuvien URL-osoitteet ja niiden metatiedot, joiden avulla se pystyi tunnistamaan ja luomaan yksityiskohtaisen profiilin kyseisistä henkilöistä ja siten seuraamaan näiden henkilöiden käyttäytymistä.

Italiassa APD sakotti rekisterinpitäjää 30 000 eurolla tietomurron jälkeen, joka johtui vanhentuneen ja kyberhyökkäyksille erittäin alttiin sisällönhallintajärjestelmän käytöstä.

Liettuan tietosuojaviranomainen (APD) on määrännyt Vintedille 2 385 276 euron sakon katsoen, että sen "piilotetut poissulkemiset" (käyttäjän poissulkeminen alustalta ilmoittamatta hänelle) sekä laiminlyönti vastata tietojen poistopyyntöihin olivat oikeudenmukaisuuden ja läpinäkyvyyden periaatteiden vastaisia.

Tässä nimenomaisessa tapauksessa kantajat, jotka olivat kotoisin Ranskasta ja Puolasta, olivat ottaneet yhteyttä maiden viranomaisiin.

Valitukset välitettiin Liettuan viranomaiselle, joka on tässä yhteydessä johtava viranomainen, koska Vintedin päätoimipaikka on Liettuassa.

Luxemburgissa tuomioistuin vahvisti APD:n rekisterinpitäjälle määräämän 18 000 euron sakon, koska tämä ei ollut ottanut konsernin tietosuojavastaavaa suoraan mukaan tietosuoja-asioihin eikä ollut antanut tälle riittäviä resursseja.

Hollannin tietosuojaviranomainen APD on määrännyt Kruidvat.nl-sivustolle 600 000 euron sakon seurantaevästeiden asettamisesta ennen käyttäjien suostumuksen hankkimista.

Tietosuojaviranomainen katsoi myös, että ennalta rastitettu ruutu seurantaevästeiden hyväksymiseksi ei ole vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä suostumusta.

 

Yhdistyneen kuningaskunnan tietosuojaviranomainen (ICO) julkaisi 19. kesäkuuta päätöksensä Snapin "My AI" -sovelluksesta ja tietosuojaa koskevan vaikutustenarvioinnin (DPIA) suorittamisvelvoitteen noudattamisesta.

Päätös sisältää yksityiskohtaisia kommentteja ICO:n odotuksista vaikutustensuoja-arviointien yksityiskohtaisuuden tasosta yleisesti sekä erityisiä havaintoja yleiskäyttöisen tekoälyn ja lapsiin liittyvän tekoälyn osalta.

Koska näiden säännösten taustalla oleva Britannian lainsäädäntö on edelleen lähes identtinen EU:n lainsäädännön kanssa, näistä havainnoista voi olla hyötyä myös Ison-Britannian ulkopuolella.

ICO julkaisi myös lehdistötiedotteen 30. heinäkuuta, jossa se ilmoitti nuhdelleensa vaalilautakuntaa palvelimiensa suojaamatta jättämisestä, mikä mahdollisti hakkereille pääsyn noin 40 miljoonan ihmisen henkilötietoihin.

Yhdysvalloissa senaatissa on esitetty tekoälyä koskeva lakiesitys ("The Content Origin Protection and Integrity from Edited and Deepfaked Media Act (COPIED ACT)") torjuakseen "syväväärennöksiä", lisätäkseen tekoälyn läpinäkyvyyttä ja antaakseen sisällöntuottajille enemmän valtaa.

Yhdysvaltain senaatti hyväksyi lasten verkkoturvallisuutta ja yksityisyyttä koskevan lain heinäkuun lopussa.

Tämä puolueiden välinen lakiesitys yhdistää useita lakiesityksiä, jotka koskevat turvallisuutta, lasten ja nuorten verkkoyksityisyyden suojaa sekä tekoälyn käyttöön liittyvän suodatuksen läpinäkyvyyttä.

Teksti vaatii nyt edustajainhuoneen hyväksynnän.

Liittovaltion kauppakomissio ilmoitti 23. heinäkuuta päivätyssä lausunnossaan määränneensä kahdeksan yritystä antamaan sille tietoja tuotteista ja palveluista, jotka käyttävät henkilötietoja, mukaan lukien taloustietoja ja selaushistoriaa, hinnoittelun personointiin yksilöille.

Määräysten tarkoituksena on auttaa FTC:tä ymmärtämään paremmin läpinäkymättömiä markkinoita, joilla tuotteita tarjoavat kolmannen osapuolen välittäjät käyttävät edistyneitä algoritmeja sekä käyttäjätietoja (sijainti, väestötiedot, luottotiedot sekä selaus- tai ostohistoria) yksilöiden luokittelemiseen ja heidän hintojensa kohdentamiseen.

Vaikka Google oli alkanut vähitellen poistaa kolmannen osapuolen seurantaevästeitä Chromesta "yksityisyyshiekkalaatikkonsa" kautta (seurantajärjestelmä, joka esitetään yksityisyyttä suojaavana, mutta jota muualla kiistetään), yritys ilmoitti 22. heinäkuuta luopuvansa projektista.

Kolmannen osapuolen evästeiden poistamisen sijaan Google ottaisi käyttöön "uuden käyttökokemuksen Chromessa, jonka avulla käyttäjät voivat tehdä tietoon perustuvia valintoja, jotka koskevat kaikkea heidän verkkoselailuaan", valinnan, jota voitaisiin muuttaa milloin tahansa.

Britannian kehitysapuvirasto ODA on ilmoittanut pahoittelevansa hankkeen hylkäämistä.

Malawin tietosuojalaki tuli voimaan heinäkuussa.

Se liittyy jo pitkään listaan Afrikan maista, joilla on henkilötietojen suojaa koskeva laki.

Lisäksi Afrikan vastuullisen tekoälyn observatorio julkaisi viime maaliskuussa asiakirjan nimeltä "Vastuullisen tekoälyn hallinta Afrikassa: Näkökulmia tulosperusteiseen sääntelyyn".