Legal Watch nro 85 – heinäkuu 2025. 

 

GDPR:n noudattaminen: mitkä ovat taloudelliset hyödyt?

Aikuiskoulutusyhdistyksen (AFPA) ja CNIL:n tekemät tutkimukset vahvistavat nyt tietosuojavastaavan (DPO) läsnäoloon yrityksissä liittyvät taloudelliset hyödyt.

AFPE:n tammikuussa 2024 tekemä tilastollinen kyselytutkimus, joka perustui yli 3600 tietosuojavastaavan vastaukseen, täydensi CNIL:n tekemiä perusteellisia haastatteluja kymmenen Ranskan tietosuojavastaavan yhdistyksen (AFCDP) ehdottaman tietosuojavastaavan kanssa.

CNIL:n heinäkuun lopussa esittelemien analyysien tulokset tunnistavat neljä keskeistä hyötyä yrityksille, joilla on tietosuojavastaava: kilpailukyky, pakotteiden välttäminen, tietovuotojen välttäminen ja tiedonhallinnan järkeistäminen.

Näitä hyötyjä huomaavat kaikenkokoiset yritykset, erityisesti tutkimus-, IT- ja konsultointi- sekä pankki-, vakuutus- ja keskinäiset yhtiöt -aloilla.

• Kilpailukyvyn kannalta GDPR:n noudattaminen näyttää siis olevan vipuvarsi tarjouskilpailujen voittamiseen, erityisesti silloin, kun ne liittyvät dataan.

Tässä yhteydessä tietosuojavastaava on ostajille tärkeä yhteyshenkilö.

• Vaikka tietosuojavastaava auttaa rajoittamaan seuraamusten riskejä, nämä hyödyt eivät rajoitu ainoastaan sakkojen määrään, vaan myös maineeseen liittyviin näkökohtiin.

Yritysten tuloihin kohdistuvien vaikutusten lisäksi pakotteet voivat vaikuttaa myös yritysten luottoluokituksiin ja siten niiden rahoituskykyyn.

• Tietoturvan osalta tietosuojavastaavalla on yhdessä tietoturvajohtajan (CISO) kanssa keskeinen rooli henkilöstön tietoisuuden lisäämisessä ja sisäisten tietosuoja- ja tapausten hallintakäytäntöjen toteuttamisessa.

Tässä yhteydessä CNIL huomauttaa, että tietomurron keskimääräiset kustannukset ovat 5 miljoonaa dollaria IBM:n vuonna 2024 tekemän tutkimuksen mukaan.

• Lopuksi, tiedonhallinnan virtaviivaistaminen mahdollistaa useiden satojen tuhansien eurojen säästöt palvelimilla ja parantaa päätöksenteon tehokkuutta.

Tässä yhteydessä vuoden 2023 vuosikatsauksessa digitaalisen yksityisyyden taloudellisia näkökohtia käsittelevässä tutkimuksessa todettiin myös, että "liiallinen datamäärä voi vähentää yrityksen markkinavoimaa".

CNIL-raportissa otetaan huomioon, miten rekisterinpitäjä tulkitsee säännökset. 

Mitä vakuuttuneempia tietosuojavastaava ja yritys ovat GDPR:n noudattamisen eduista ja integroivat sen periaatteet sisäisiin prosesseihinsa, sitä enemmän myönteiset vaikutukset tuntuvat, toisin kuin yrityksissä, jotka pitävät noudattamista rajoitteena.

Näin ollen asetuksen periaatteet huomioon ottaen syntyisi motivaation ja hyötyjen hyveellinen kierre.

Ranskassa tehty tutkimus ei ole ainoa, joka tunnistaa datan sääntelyn taloudelliset hyödyt. 

Myös muita näkökohtia korostetaan, esimerkiksi Euroopan tietosuojaneuvoston (EDPB) toimesta, joka korostaa luottamusta, jota näkyvän tietosuojapolitiikan toteuttaminen luo yksilöiden keskuudessa tarjouskilpailujen ulkopuolella.

OECD julkaisi aiemmin tänä vuonna myös kansainvälisiä tietovirtoja koskevan analyysin, jossa se totesi, että "suojatoimia tarjoavat järjestelmät löytävät tasapainon datan sääntelyyn liittyvien kauppakustannusten ja datan suojatoimien tarjoamien luottamukseen liittyvien hyötyjen välillä".

Tilanteessa, jossa tietovarkaudet lisääntyvät ja tekoälyn kehitys herättää yhä enemmän eettisiä kysymyksiä, yksilöiden luottamuksen saaminen – ja säilyttäminen – on merkittävä etu yleisön silmissä.

 

        

Perustuslakineuvosto julisti 8. elokuuta 2025 päivätyssä päätöksessä perustuslain vastaiseksi CNIL:n suppean kokoonpanon käytännön olla ilmoittamatta kuulemisten tai huomautuspyyntöjen aikana kuultavien henkilöiden vaitiolo-oikeudesta.

Tämä päätös perustuu ihmisoikeuksien ja kansalaisten oikeuksien julistuksen 9 artiklaan perustuvaan oikeuteen olla todistamatta itseään vastaan.

Tämän perustuslainvastaisuuden lopettamiseksi päätöksensä julkaisemispäivästä lukien perustuslakineuvosto päätti, että uuden lain voimaantuloon tai syyksi luettujen säännösten kumoamiseen asti asianomaiselle rajoitetussa kokoonpanossa olisi ilmoitettava hänen oikeudestaan pysyä vaiti.

Euroopan unionin tuomioistuimen (CJEU) päätöksen jälkeen korkein oikeus (CE) julkaisi 31. heinäkuuta päätöksensä Mousse-tapauksessa, joka on nimetty SNCF:ää vastaan kanteen nostaneen yhdistyksen mukaan.

Hän uskoo, että SNCF Connect "ei voi pakottaa asiakkaitaan ilmaisemaan kohteliaisuuttaan".

Tämä tietojenkäsittely ei ole GDPR:n mukaista, sillä se edellyttää, että vain ehdottoman välttämättömät henkilötiedot kerätään.

Euroopan komissio katsoo, että kohteliaisuuden osoittaminen ei ole välttämätöntä lippujen myynnissä tai henkilöllisyyden tarkastuksissa matkan aikana, ja sen tulisi olla valinnaista lukuun ottamatta tiettyjä palveluita, kuten yksinhuoltajille varattuja makuuhyttejä.

Siksi se kumoaa CNIL:n 23. maaliskuuta 2021 tekemän päätöksen, jonka mukaan CNIL:n on tutkittava Mousse-yhdistyksen valitus uudelleen.

Bouygues Telecom vahvisti 6. elokuuta 2025, että siihen oli hyökätty tietokoneelle, jonka avulla kyberrikolliset pääsivät käsiksi yli kuuden miljoonan asiakkaan henkilötietoihin.

Salasanoihin ja pankkikorttinumeroihin ei vaikutettu, mutta hakkerit saivat haltuunsa paljon tietoja, kuten nimiä, posti- ja sähköpostiosoitteita, syntymäaikaa, sopimusnumeroa ja IBAN-tilinumeroa. 

Myös France Travail kärsi toisesta henkilötietomurrosta heinäkuun puolivälissä, joka vaikutti 340 000 työnhakijan tiedostoon, mukaan lukien henkilötiedot, osoite, syntymäaika ja puhelinnumero. Tietomurtojen määrän kasvun vuoksi CNIL (Ranskan tietosuojaviranomainen) on päivittänyt ohjeitaan yksityishenkilöille.

 

Euroopan unionin toimielimet ja elimet

Euroopan komissio julkaisi 7. elokuuta hyvän käytännön ohjeet yleiskäyttöisiä tekoälyjärjestelmiä (GPAI) käyttäville yrityksille.

Tämä asiakirja on laadittu yhteistyössä teollisuuden ja kansalaisyhteiskunnan kanssa, ja sen tarkoituksena on helpottaa tekoälyasetuksen noudattamista.

Allekirjoittajien listalla on 26 yritystä, mukaan lukien Amazon, Anthropic, Google, Microsoft, Mistral ja OpenAI.

Elon Muskin yritys xAI on allekirjoittanut koodista vain turvallisuuskysymyksiä koskevan osan. Siksi xAI:n on osoitettava noudattavansa säännösten avoimuus- ja tekijänoikeusvelvoitteita sopivilla vaihtoehtoisilla tavoilla.

Tanska on äskettäin Euroopan unionin neuvoston puheenjohtajuuskauden alkaessa etuoikeutetussa asemassa muokkaamaan EU:n politiikkaa seuraavan kuuden kuukauden aikana.

Tanskan hallitus julkaisi 4. heinäkuuta epävirallisen asiakirjan, jossa se ilmoitti aikovansa ehdottaa GDPR:n ja sähköisen viestinnän tietosuojadirektiivin kohdennettua tarkistusta yritysten vaatimustenmukaisuustaakan vähentämiseksi ja niiden kilpailukyvyn varmistamiseksi.

Euroopan komission odotetaan myös julkaisevan tulevina kuukausina EU:n digitaalilainsäädännön laatuarvioinnin sekä digitaalisen kokonaispaketin.

GDPR:n tarkistaminen ei vaikuta itsestäänselvyydeltä, jos on uskominen komission heinäkuun puolivälissä järjestämän "täytäntöönpanovuoropuhelun" yhteenvetoon, jonka päätelmät julkaistiin elokuun alussa.

Yksityinen sektori ilmoitti, että se oli "investoinut vaatimustenmukaisuuteen ja että yleinen uudelleenavaaminen voisi aiheuttaa epävarmuutta, erityisesti kansainvälisten tiedonsiirtojen yhteydessä".

Ruotsin julkista liikennettä koskevassa tapauksessa EU-tuomioistuimen julkisasiamies selvensi 1. elokuuta GDPR:n 13 ja 14 artiklan soveltamisalaa rekisteröityjen tietojen osalta.

Konkreettinen tapaus koski lennonjohtajien lentokoneiden kameroiden kuvaamaa kuvaa.

Yleisen tietosuojavaltuutettu katsoo, että 13 artiklaa sovelletaan aina, kun rekisteröity on tietojen lähde (”kerätty rekisteröidyltä”), riippumatta rekisteröidyn osallistumisesta tietojen keräämiseen ja siitä hetkestä lähtien, kun rekisteröidyn ja rekisterinpitäjän välillä ei ole välikäsiä.

Artiklaa 14 sovelletaan aina, kun tietoja kerätään muualta kuin rekisteröidyltä itseltään.

Siksi ajoneuvokameroilla kerättyjen kuvien tapauksessa velvollisuuden ilmoittaa asianomaisille henkilöille on oltava välitön, eikä siihen sovelleta 14 artiklan poikkeuksia.

Euroopan tietosuojavaltuutettu (EDPS) päätti 28. heinäkuuta myönteisesti tutkintansa Euroopan komission Microsoft 365:n käytöstä.

Lausunnossaan se toteaa, että komission Microsoft 365:n käytössä on tapahtunut merkittävä parannus tietosuojan noudattamisessa, ja tunnustaa ja arvostaa myös "Microsoftin pyrkimyksiä noudattaa Euroopan tietosuojavaltuutetun maaliskuussa 2024 tekemästä päätöksestä johtuvia komission vaatimuksia".

Euroopan unionin kyberturvallisuusviraston (ENISA) 26. kesäkuuta julkaisema raportti tarjoaa teknistä ohjausta NIS2-direktiivin täytäntöönpanon tueksi useille erityyppisille toimijoille NIS2-digitaalisen infrastruktuurin, ICT-palvelujen hallinnan ja digitaalisten palveluntarjoajien aloilla.

Se kokoaa luettelon asiaankuuluvista eurooppalaisista ja kansainvälisistä standardeista ja viitekehyksistä (ISO 27001, NIST, ETSI tai CEN).

 

Uutisia Euroopan unionin jäsenmaista.

Saksassa Düsseldorfin tuomioistuin myönsi 200 euroa korvauksia aineettomista vahingoista yksityishenkilölle tietomurron jälkeen, joka johtui siitä, että rekisterinpitäjä ei varmistanut alihankkijansa käsittelemien henkilötietojen poistamista lain edellyttämässä aikataulussa.

Edellä mainitun Mousse-tapauksen tapauksen mukaisesti Frankfurtin tuomioistuin päätti, että Saksan kansallinen rautatieyhtiö oli laittomasti vaatinut asiakkaitaan antamaan sähköpostiosoitteensa tai matkapuhelinnumeronsa lippujen ostamista varten.

Hän katsoi, ettei tämä ollut välttämätöntä sopimuksen täytäntöönpanemiseksi ja että annettu suostumus ei ollut vilpitön ja vapaaehtoinen.

Kroatian tietosuojaviranomainen (APD) on määrännyt 320 000 euron sakon sähköyhtiölle, koska se ei ollut toteuttanut vaadittuja turvatoimenpiteitä myöntäessään käyttäjilleen uusia salasanoja ja koska se ei tehnyt yhteistyötä viranomaisen kanssa.

Espanjan tietosuojaviranomainen (APD) on määrännyt urheilukeskuksia ylläpitävälle yritykselle 96 000 euron sakon pakollisten kasvojentunnistusjärjestelmien käyttöönotosta tiloihin saapuessa ja sieltä poistuttaessa ilmoittamatta asiasta jäsenilleen etukäteen tai hankkimatta heidän suostumustaan.

Myös Espanjassa APD sakotti energiantoimittajaa 1 380 000 eurolla, koska se oli erehdyksessä myöntänyt kaasuntoimitussopimuksen väärälle asiakkaalle ja veloittanut tältä asiakkaalta maksuja, mikä on vastoin tietojen tarkkuuden ja käsittelyn turvallisuuden periaatteita.

Irlannin korkein oikeus totesi, että korvausvaatimukset ahdistukseen, järkytykseen tai ahdistukseen liittyvästä henkisestä kärsimyksestä voivat kuulua suoraan GDPR:n piiriin, ja että kansalliset säännökset, jotka edellyttävät riippumattoman elimen lupaa ennen henkilövahingonkorvausten vaatimista, eivät ole sovellettavissa.

Italian kilpailuviranomainen aloitti 22. heinäkuuta tutkinnan Meta Platformsista, joka on lisännyt tekoälypalveluita WhatsAppiin ilman käyttäjän suostumusta.

Muistutuksena, Kölnin korkein alueoikeus hylkäsi 23. toukokuuta 2025 Metaa vastaan nostetun kieltomääräyksen, joka koski Metan tekoälyn kouluttamista.

Tuomioistuin oli katsonut, että Facebookin ja Instagramin anonymisoitujen tietojen yhdistäminen harjoitusdatassa ei ollut digitaalisten markkinoiden asetuksen (DMA) 5(2) artiklan tarkoittama laiton tietojen "fuusio".

Liettuan tietosuojaviranomainen (DPA) katsoi kahta naapuria koskevassa tapauksessa, että satunnainen henkilötietojen kerääminen dronella oikeudenkäyntiä varten todisteiden keräämiseksi kuului GDPR:n mukaisen kotimaisen poikkeuksen piiriin.

APD ilmoittaa viitanneensa tässä asiassa Euroopan tietosuojaneuvoston vuoden 2020 ohjeisiin.

Puolassa liittovaltion hallinto-oikeus asettui oikeusasiamiehen puolelle ja totesi, että Puolan lainsäädäntö, joka velvoittaa tuomareita ja syyttäjiä paljastamaan yhteytensä uskonnollisiin, ammattiliitto- ja poliittisiin järjestöihin, oli ristiriidassa heidän EU:n perusoikeuskirjan ja Euroopan ihmisoikeussopimuksen mukaisten oikeuksiensa kanssa.

Myös Puolassa McDonald's Polska Sp. z oo:lle määrättiin 3 955 000 euron sakko, koska se ei noudattanut tietojenkäsittelyä koskevia yleisiä periaatteita, erityisesti siksi, että se ei toteuttanut riittäviä toimenpiteitä henkilötietojen suojaamiseksi.

 

Isossa-Britanniassa hallitus saattaa Yhdysvaltojen painostuksesta luopua Applen edistyneeseen tietosuojaominaisuuteen kohdistuvasta määräyksestä.

Sisäministeriön pyyntö tehtiin tutkintavaltuuksia koskevan lain (IPA) nojalla, joka valtuuttaa Yhdistyneen kuningaskunnan hallituksen "antaa salaisia määräyksiä, jotka vaativat toimittajia kiertämään salausta lisäämällä takaportteja ohjelmistotuotteisiinsa".

Ars Technican mukaan Yhdysvaltain virkamiehet, mukaan lukien varapresidentti JD Vance, painostavat Isoa-Britanniaa perumaan päätöksensä. "Tämä on asia, joka ärsyttää varapresidenttiä suuresti ja on ratkaistava", Britannian ulkoministeriön virkamiehen kerrotaan sanoneen.

Wetransfer, jota monet ammattilaiset ja yksityishenkilöt käyttävät asiakirjojen jakamiseen, muutti ehtojaan heinäkuun puolivälissä: yritys oli ilmoittanut käyttävänsä elokuusta lähtien käyttäjiensä dataa tekoälyjärjestelmänsä kouluttamiseen.

Tämän tiedon herättämien reaktioiden ja tietojen luottamuksellisuuteen liittyvien kysymysten seurauksena yhtiön kerrotaan perääntyneen seuraavina päivinä.

ChatGPT:n käyttö voi johtaa tietojen paljastumiseen käyttäjien tietämättä: näin paljastaa Digital Diggingin 31. heinäkuuta julkaisema artikkeli.

Tutkinnassa raportoitiin 512 ChatGPT-keskustelusta, jotka julkistettiin kohdennettujen avainsanahakujen avulla ja jotka paljastivat arkaluontoisia tietoja ja luottamuksellisia tietoja.

"Jaa"-ominaisuuden ansiosta käyttäjät tekivät tietämättään ChatGPT:n kanssa käymästään vuorovaikutuksesta julkisen ja hakukoneiden indeksoitavan.

Yhteiset keskustelut käsittelisivät sisäpiirikauppaa, yritysten yksityiskohtaisia taloudellisia tietoja, petosten tunnustuksia ja todisteita sääntelyrikkomuksista, ja kaikki nämä tiedot säilytetään pysyvästi saatavilla olevien julkisten arkistojen muodossa.

Intiassa geopolitiikan vaikutus digitaaliseen teknologiaan IAPP raportoi, että heinäkuun lopussa Microsoft eväsi Intian kolmanneksi suurimmalta jalostamolta Nayara Energyltä, jolla on 6 000 huoltoasemaa, pääsyn sen tietoihin ilman ennakkoilmoitusta, vaikka se oli maksanut lisenssinsä kokonaan.

Venäläinen Rosneft omistaa 49,13 % Nayara Energystä (%). Tämän siirron uskotaan olevan seurausta Venäjälle Ukrainan sodan yhteydessä asetettavista pakotteista.

Toinen tapaus koskee Intian kansallisen avaruustoiminnan edistämis- ja valtuutuskeskuksen myöntämän palveluluvan peruuttamista kahdelle Asia Satellite Telecommunications Companyn satelliitille 31. maaliskuuta 2026 jälkeen.

AsiaSatin pääosakkeenomistaja on Kiinan hallituksen omistama yritys.

Tällä päätöksellä on seurauksia joillekin Intian suurimmille viihdeyhtiöille, kuten Zeelle ja Jiostarille, joiden on nyt etsittävä vaihtoehtoja.

Nämä tapahtumat heijastelevat Microsoftin viime keväänä tekemää päätöstä estää Kansainvälisen rikostuomioistuimen (ICC) pääsyyttäjän sähköpostitilin käyttö.

Tämä este oli suora seuraus Yhdysvaltain presidentti Donald Trumpin helmikuussa Haagin tuomioistuinta vastaan asuttamista toimista sen jälkeen, kun ICC:n tuomareista koostuva paneeli antoi pidätysmääräykset Israelin pääministeriä Benjamin Netanyahua ja hänen entistä puolustusministeriään Yoav Gallantia vastaan sotarikoksista Gazan alueella.

PL&B International Reportin elokuun numerossa on artikkeli Maria Tzanoulta, oikeustieteen lehtorilta Sheffieldin brittiläisestä yliopistosta ja FemTech-valvontaprojektin johtajalta.

Hän herättää kysymyksiä naisten valvonnasta tuotteiden ja palveluiden, kuten hedelmällisyys- ja kuukautisseurantasovellusten, avulla ja toteaa, että tiedonkeruussa on "ongelmallisia ja usein laittomia käytäntöjä".