Sähköpostien seurantapikselit: CNIL selventää lainsäädäntöä
Legal Watch nro 94 – huhtikuu 2026.
Sähköpostien seurantapikselit: CNIL selventää lainsäädäntöä
CNIL julkaisi 14. huhtikuuta suosituksensa sähköpostien seurantapikseleistä. Suositus on osoitettu kaikille yksityisille ja julkisille organisaatioille, jotka käyttävät seurantapikseleitä, sekä niiden mahdollisesti käyttämille teknisille palveluntarjoajille.
Seurantapikseli on käytännössä usein hyvin pieni kuva, joka näytetään sähköpostin sisällössä hyperlinkin kautta.
Pikselin sisällyttäminen on käyttäjän päätelaitteelle annettu ohje lähettää kohdennettua tietoa (pikselin tunniste, IP-osoite jne.) sen tallentaneille toimijoille.
Pikselin avulla viestin lähettäjä voi nähdä, onko viesti avattu, ja mukauttaa viestintäänsä vastaavasti, esimerkiksi lähetystiheyden, viestien sisällön tai potentiaalisten asiakkaiden luettelon päivittämisen osalta.
CNIL muistuttaa meitä, että tällainen käytäntö edellyttää sähköpostin vastaanottajien etukäteissuostumusta sähköisen viestinnän tietosuojadirektiivin 5 artiklan nojalla, joka on saatettu osaksi Ranskan tietosuojalain 82 artiklaa.
Se kuitenkin sallii poikkeuksen "transaktionaalisille" sähköposteille, jotka liittyvät vastaanottajan pyytämään palveluun, esimerkiksi sellaisten vastaanottajien tunnistamiseksi, jotka eivät enää avaa sähköpostejaan, ja heidän poistamisekseen postituslistoilta.
Poikkeus koskee myös sähköposteja, jotka koskevat tilihälytyksiä, tapahtumiin, kuten paketin lähetykseen, tilausvahvistuksiin ja ostolaskuihin, salasanamuistutuksiin ja -palautuksiin, tietoturvahälytyksiin ja tietomurtoilmoituksiin jne.
Näitä poikkeuksia lukuun ottamatta kaikkien CNIL:n suosituksen päivämäärän eli 14. huhtikuuta jälkeen kerättyjen osoitteiden osalta rekisterinpitäjän on saatava vastaanottajien etukäteissuostumus ennen seurantapikselin integrointia sähköpostiin.
Tämä suostumus voidaan esimerkiksi saada osoitteen keräämisen yhteydessä tai sähköpostiin upotetun linkin kautta ilman seurantapikseliä.
Ennen tätä päivämäärää kerättyjen osoitteiden osalta toimijoita pyydetään ilmoittamaan selkeästi vastaanottajille kolmen kuukauden kuluessa, jotta he voivat vastustaa niitä.
Tämä julkaisu herättää reaktioita, koska se pakottaa erittäin suuren määrän virkamiehiä ryhtymään nopeasti vaatimustenmukaisuustoimenpiteisiin.
Onko valvontaviranomainen tässä asiassa tiukempi vai sallivampi kuin eurooppalaiset vastineensa?
Se näyttää nyt olevan yksi harvoista, jotka osoittavat selvästi, missä yhteydessä se rankaisee seurantapikseleitä.
Euroopan tietosuojaneuvosto (EDPB) ja sitä ennen sen edeltäjä G29 ovat kuitenkin korostaneet tämäntyyppistä käsittelyä jo vuosia (ks. erityisesti ohjeet WP118 ja 2/2023).
Euroopan kanta on myös tiukempi kuin CNIL:n, koska siinä mainitaan täydellinen kielto seurantapikselien käyttöön ilman viestin vastaanottajan suostumusta.
Suositusluonnoksesta järjestetyn julkisen kuulemisen aikana saadut kommentit näyttävät johtaneen CNIL:n pyrkimyksiin miellyttää kaikkia: se on siksi kehittänyt kantaansa kohti joustavampaa suhtautumista vastaanottajan pyytämään palveluun liittyviin sähköposteihin.
Tämän kannanoton toteuttaminen osoittautuu kuitenkin todennäköisesti monimutkaiseksi.
Poikkeuksen soveltamisalan selventäminen olisi tervetullutta, jotta voitaisiin paremmin tunnistaa siitä hyötyvät palvelut, kuten uutiskirjeet tai muut vastaanottajien tekemät tilaukset, joista on vielä joitakin kysymyksiä. CNIL (Ranskan tietosuojaviranomainen) ilmoittaa tukevansa rekisterinpitäjiä erityisesti webinaarien avulla. Tarkastusten ja seuraamusten määräämisen odotetaan tapahtuvan vasta myöhemmässä vaiheessa, vaikka komissio ei anna lisätietoja tänään.

Ranskan tietosuojaviranomainen CNIL on julkaissut malliasiakirjan, jonka tarkoituksena on auttaa tietosuojavastaavia laatimaan raportteja toiminnastaan. Vaikka tällainen raportti ei ole pakollinen GDPR:n nojalla, CNIL pitää sitä hyödyllisenä parhaana käytäntönä vaatimustenmukaisuuden valvonnassa ja tietosuojavastaavien kanssa viestimisessä.
CNIL hyväksyi 28. huhtikuuta myös Alliance du Commercen esittämät käytännesäännöt, joiden tarkoituksena on tarjota konkreettista apua ranskalaisille vaatetus- ja jalkinealan vähittäiskauppiaille GDPR:n vaatimusten noudattamiseksi.
Oppaan tavoitteena on vahvistaa tietosuojaa myynnissä ja jakelussa, sekä myymälöissä että verkossa.
Tämä on ensimmäinen kansallinen ja kolmas CNIL:n (Ranskan tietosuojaviranomaisen) hyväksymä alakohtainen koodi. Se on eurooppalaisten pilvipalveluihin liittyvien koodien CISPE (2021) ja terveydenhuollon kliinisiin tutkimuksiin liittyvien koodien EUCROF (2024) jälkeen. Euroopassa on otettu käyttöön noin viisitoista koodia, jotka ovat saatavilla tämän infografiikan kautta.
Hallitus päätti 24. huhtikuuta 2026 antamassaan asetuksessa määritellä kansallisen petostilirekisterin (FNC-RF) tekniset yksityiskohdat, joiden tarkoituksena on vahvistaa pankkipetosten torjuntaa, jättäen huomiotta CNIL:n turvallisuussuositukset.
Tämä tiedosto, jonka Ranskan keskuspankki on jakanut rahoituslaitosten kesken, sisältää petoksesta epäiltyjen tilien IBAN-numerot.
Hallituksen hyväksymä arkkitehtuuri asettaa CNIL:n mukaan suurimman mahdollisen riskin, koska maksupalveluntarjoajien ja heidän alihankkijoidensa kanssa jaetaan selkokielisen datan täydellisiä ja synkronoituja kopioita.
DGSI (Sisäisen turvallisuuden pääosasto) julkaisi 17. huhtikuuta muistion, jossa varoitettiin ulkomaisten sovellusten ja ratkaisujen käyttöön työpaikalla liittyvistä riskeistä. "Kyberturvallisuusriskien lisääntymisen lisäksi nämä usein muiden kuin eurooppalaisten yritysten kehittämät työkalut voivat aiheuttaa oikeudellisia, turvallisuus-, luottamuksellisuus-, riippuvuus- tai palvelun keskeytysriskejä."
Muistiinpanossa esitetään useita tapauksia, joiden tulisi kannustaa kaikkia käyttäjiä olemaan varovaisia jaettujen tietojen ja myönnettyjen käyttöoikeuksien suhteen.
Ranskan valtioneuvosto julkaisi 30. huhtikuuta päätöksensä Hadopin seuraajan ARCOMin porrastetun toiminnan periaatteesta ja kumosi useita 5. maaliskuuta 2010 annetun asetuksen osia yksityisyyden loukkauksen vuoksi. Järjestelmän tarkoituksena oli torjua musiikin ja elokuvien piratismia vertaisverkoissa. Neljän digitaalisten oikeuksien puolustajajärjestön vetoomuksesta valtioneuvosto teki tarvittavat johtopäätökset Euroopan unionin tuomioistuimen 30. huhtikuuta 2024 antamasta päätöksestä, jossa täsmennetään, että toistuvaa ristiviittausta identiteetin ja ladattujen teosten välillä ei voida suorittaa ilman riippumatonta valvontaa.
Anthropicin päätös olla julkistamatta uusinta tekoälymalliaan Mythosta kyberturvallisuusriskien vuoksi on herättänyt lukuisia reaktioita.
Mythos pystyy todellakin tunnistamaan tietokonekoodin haavoittuvuuksia erittäin tehokkaasti.
Torstaina 23. huhtikuuta julkaistussa muistiossa tekoälyn ja digitaalisen teknologian neuvosto (CIANum) kehottaa "olemaan antamatta periksi vallitsevalle paniikille" ja esittää useita huomioita:
"Tekoälyn omaksuminen vaatimustenmukaisuuden saavuttamiseksi: julkiset ja yksityiset toimijat, jotka eivät jatkuvasti pyri ymmärtämään ja integroimaan näitä uusia käyttötarkoituksia, jäävät nopeasti jälkeen."
Ihmisten mukana pitäminen keskeisissä vaiheissa: vaikka tekoäly on arvokas apu ohjelmistojen kehittämisessä, korjaamisessa ja testaamisessa, ihmisen asiantuntemuksen poistaminen näyttää nyt takaavan täydellisen epäonnistumisen.
Uusien haavoittuvuuksien ennakointi ja korjauspäivitysten käyttöönotto on merkittävä haaste, varsinkin kun monet toimijat ovat jo valmiiksi ylikuormitettuja.
Kansallinen biotieteiden ja terveyden eettinen komitea (CCNE) ja digitaaliteknologian eettinen komitea (CCNEN) julkaisivat 7. huhtikuuta yhteisen lausunnon, joka käsitteli digitaalisia neuroteknologioita ja aivojen ja koneiden välisiä rajapintoja.
Lausunnossa korostetaan, että näiden teknologioiden kehittäminen "herättää merkittäviä eettisiä kysymyksiä, erityisesti ihmisarvon, autonomian, ajatuksenvapauden, yksityisyyden suojan ja oikeudenmukaisuuden osalta".
Erityiskysymykset koskevat neurodatan käyttöä, ei-lääketieteellisiä sovelluksia, mahdollisia vaikutuksia identiteettiin ja käyttäytymiseen sekä lasten ja nuorten suojelua.
Komiteat laativat joukon suosituksia, jotka vaativat erityistä valppautta digitaalisten neuroteknologioiden käytön suhteen.
Euroopan unionin toimielimet ja elimet
Alkuperäisen epäonnistuneen yrityksen jälkeen eurooppalaiset lainsäätäjät pääsivät 7. toukokuuta sopimukseen sopimus "AI Omnibus" -asetuksesta, jonka tarkoituksena on muuttaa ja yksinkertaistaa tekoälyä koskevaa eurooppalaista sääntelyä.
Yrityksillä on vuoden 2027 loppuun asti aikaa noudattaa korkean riskin tekoälyyn liittyviä sääntöjä, kun taas tekoälyllä toimivien koneiden toimittajat on nimenomaisesti vapautettu tietyistä velvoitteista.
Samaan aikaan Omnibus-asetus ottaa käyttöön uuden kiellon, joka koskee tekoälyn käytäntöjä, jotka liittyvät suostumuksetta tapahtuvan seksuaalisen ja intiimin sisällön tai lapsipornografian tuottamiseen.
Virallinen hyväksymisprosessi on käynnissä, ja tavoitteena on julkaista lopulliset muutokset elokuuhun mennessä.
Yhä useamman maan aikomuksena on rajoittaa alaikäisten pääsyä sosiaalisiin verkostoihin. Tämän vuoksi Euroopan komissio antoi 29. huhtikuuta suosituksen, jossa se kehotti jäsenvaltioita nopeuttamaan eurooppalaisen ikävahvistussovelluksen käyttöönottoa ja asettamaan sen saataville vuoden loppuun mennessä.
Komissio on kehittänyt tälle sovellukselle yleissuunnitelman, joka esitetään yksityisyyttä kunnioittavana ja jonka avulla käyttäjät voivat todistaa täysi-ikäisyytensä paljastamatta tarkkaa ikäänsä, henkilöllisyyttään tai muita henkilötietojaan.
Kyberturvallisuuskonsultti on kuitenkin tiettävästi tunnistanut tietoturva-aukkoja, jotka voisivat vaarantaa sovelluksen valtakunnallisen käyttöönoton.
Euroopan komissio totesi 29. huhtikuuta alustavasti, että Metan Instagram- ja Facebook-alustat rikkoivat digitaalisten palvelujen asetusta (DSA), koska ne eivät tunnista, arvioi ja lievennä huolellisesti riskejä, jotka liittyvät alle 13-vuotiaiden alaikäisten palvelujen käyttöön.
Euroopan tietosuojaneuvosto hyväksyi täysistunnossaan 22. huhtikuuta ohjeet henkilötietojen käsittelystä tieteellisiä tutkimustarkoituksia varten.
Komitea on myös perustanut työryhmän, jonka tehtävänä on nopeuttaa anonymisointia koskevien ohjeiden viimeistelyä.
Se antoi myös kaksi lausuntoa kahdesta Europrivacy-sertifiointikriteerien sarjasta niiden hyväksymiseksi eurooppalaisiksi tietosuojamerkintöiksi, joista toisen on tarkoitus toimia tiedonsiirtojen välineenä.
Edellisessä täysistunnossaan Euroopan tietosuojaneuvosto julkaisi toisen tärkeän asiakirjan: helpottaakseen organisaatioiden GDPR:n noudattamista ja vahvistaakseen yhdenmukaisuutta kaikkialla Euroopassa, se kehitti mallin tietosuojan vaikutustenarvioinnille (DPIA). Tämä asiakirja on avoinna kommenteille 9. kesäkuuta asti.
Euroopan unionin tuomioistuin päätti 21. huhtikuuta, että Unkari on rikkonut Euroopan unionin lainsäädäntöä hyväksymällä lain, joka leimaa ja syrjäyttää LGBTI+-ihmisiä.
Oikeus huomauttaa myös, että lain otsikko rinnastaa nämä henkilöt pedofiliasta tuomittuihin, "tämä rinnastaminen todennäköisesti lisää ensin mainittujen leimautumista ja rohkaisee heitä kohtaan tunnettua vihamielistä käyttäytymistä".
Lopuksi tuomioistuin täsmentää, että tämä laki rikkoo yleistä tietosuoja-asetusta siltä osin kuin sillä muutettiin rikosrekisterilakia laajentaakseen pääsyä pedofiliasta tuomittuja henkilöitä koskeviin tietoihin.
Vaikka tällainen pääsy tietoihin voi tietyissä olosuhteissa olla laillista, tuomioistuin katsoo, että "laki ei anna riittävän täsmällistä määritelmää henkilöistä, joilla on oikeus päästä tietoihin, eikä pääsyn edellytyksistä, jotka ovat tarpeen asianmukaisten suojatoimien tarjoamiseksi niiden henkilöiden oikeuksille ja vapauksille, joiden tietoja kyseessä ovat."
Uutisia Euroopan unionin jäsenmaista.
Belgiassa tietosuojaviranomainen (APD) on varoittanut kahta ihmistä varmistamaan, että heidän valvontakameransa eivät enää kuvaa julkisia teitä.
Kamera oli asennettu rengasrikon pelotteeksi.
APD katsoi, että julkisen tien kuvaaminen oli valvontakameralain nojalla laitonta, ja korosti, että tallennetut kuvat loukkasivat valittajan ja hänen perheensä oikeutta yksityisyyteen ja tietosuojaan, koska heidän henkilötietojaan käsitellään usein kameran sijainnin vuoksi.
Espanjan tietosuojaviranomainen APD on määrännyt kuljetuspalveluyritykselle 200 000 euron sakon, koska se pakotti työntekijänsä käyttämään neljää seurantasovellusta puhelimissaan työasioissa.
APD sakotti myös yliopistoa 160 000 eurolla, koska se ei ollut hankkinut opiskelijoilta voimassa olevaa suostumusta henkilöllisyyden varmentamiseen verkkokokeiden aikana kasvojentunnistusta käyttävän järjestelmän avulla.
Italian tietosuojaviranomainen (APD) on määrännyt Poste Italiane SpA:lle 6 624 000 euron ja Postepay SpA:lle 5 877 000 euron sakon miljoonien käyttäjien henkilötietojen laittomasta käsittelystä.
BancoPosta- ja Postepay-sovellukset edellyttivät palveluiden käytön ehdottomana ehtona, että käyttäjät antavat luvan valvoa mobiililaitteissa olevia tietoja haittaohjelmien havaitsemiseksi.
APD katsoi, että valvonnan laajuus oli liiallinen petostentorjunnan tarkoituksiin nähden, ja viittasi myös käyttäjille annettavien tietojen puutteisiin, vaikutustenarvioinnin (IAPD) puuttumiseen, asianmukaisten turvatoimenpiteiden ja tietojen säilytyspolitiikan puutteeseen sekä sääntöjenvastaisuuksiin rekisterinpitäjän nimeämisessä.
Alankomaiden digitaalitalous- ja itsemääräämisoikeusministeri työstää "digitaalisen hätäpakkauksen" perustamista auttaakseen julkishallintoja ja kansalaisia selviytymään itsenäisesti digitaalisen katastrofin, kuten valtakunnallisen internet-katkoksen, sattuessa.
Maa on todellakin edelleen vaarallisen riippuvainen amerikkalaisista teknologiayrityksistä olennaisen infrastruktuurinsa osalta, pilvipalveluista verojärjestelmiin.
Hallitus haluaa, että kansalaiset voivat tyydyttää tarpeensa itsenäisesti 72 tunnin ajan ilman internetiä, puhelinta ja digitaalisia maksutapoja.
Britannian hallitus vahvisti 23. huhtikuuta, että 500 000 osallistujan potilastiedot yhdessä Ison-Britannian tärkeimmistä tieteellisistä ohjelmista, UK Biobankista, oli asetettu myyntiin Alibaban verkkosivustolla. Vaikka vaarantuneet tiedot eivät sisältäneet nimiä, osoitteita, yhteystietoja tai puhelinnumeroita, ne saattoivat sisältää sukupuolen, iän, syntymäkuukauden ja -vuoden, sosioekonomisen aseman, elämäntavat ja biologisten näytteiden mittaukset. Kyseessä ei ollut kyberhyökkäys, vaan pikemminkin laillisesti akkreditoitu organisaatio latasi massiivisen määrän tietoja. Tietokanta on todellakin tutkijoiden käytettävissä. Biopankin johto totesi, että tapauksen jälkeen he ovat toteuttaneet toimenpiteitä ladattujen tiedostojen koon rajoittamiseksi ja epäilyttävien tiedostojen viennin valvomiseksi.
Britannian hallitus vahvisti 23. huhtikuuta, että 500 000 osallistujan potilastiedot yhdessä Ison-Britannian tärkeimmistä tieteellisistä ohjelmista, UK Biobankista, oli asetettu myyntiin Alibaban verkkosivustolla. Vaikka vaarantuneet tiedot eivät sisällä nimiä, osoitteita, yhteystietoja tai puhelinnumeroita, ne saattavat sisältää sukupuolen, iän, syntymäkuukauden ja -vuoden, sosioekonomisen aseman, elämäntapatottumukset ja biologisten näytteiden mittaukset.
Kyseessä ei ollut kyberhyökkäys, vaan pikemminkin laillisesti akkreditoitu organisaatio latasi massiivisen määrän tietoja. Tietokanta on todellakin tutkijoiden käytettävissä.
Biopankin johto ilmoitti, että tapauksen jälkeen he ovat ottaneet käyttöön toimenpiteitä ladattujen tiedostojen koon rajoittamiseksi ja epäilyttävien tiedostojen viennin seuraamiseksi.
Consumer Federation of America (CFA) nosti 21. huhtikuuta ryhmäkanteen Metaa vastaan väittäen, että yritys ei suojellut käyttäjiään vilpillisiltä mainoksilta Facebookissa ja Instagramissa sitoumustensa vastaisesti ja että se hyötyi näistä mainoksista käyttäjiensä kustannuksella.
CFA vaatii vahingonkorvauksia, laittomien voittojen palauttamista ja kieltomääräystä kuluttajien hyväksi Washington D.C:ssä.
Digitaalista itsemääräämisoikeutta suosiva maailmanlaajuinen dynamiikka on syntymässä Kanadasta Euroopan unioniin ja Tyynenmeren rannikolle. Tämä teema oli keskeinen Washington DC:ssä hiljattain pidetyssä IAPP 2026 -huippukokouksessa. "Useiden työpajojen aikana osallistujat pyrkivät selventämään ja vivahteikkaasti tarkastelemaan digitaalisen itsemääräämisoikeuden keskustelua ja samalla esittämään näkemyksiään siitä, miten nykyinen geopoliittinen tilanne tulee muokkaamaan tätä keskustelua tulevina vuosina."
01.net esittelee Anthropicin uusimmat tekoälyprojektit.
Yhtiö julkaisi 14. huhtikuuta erillisen henkilöllisyyden varmennussivun oikeustieteen kandidaatti Claudelleen. Tietyt ominaisuudet, turvatoimet tai "alustan eheystarkastukset" käynnistävät nyt pyynnön virallisesta henkilöllisyystodistuksesta ja live-selfiestä.
Tämä ilmoitus tulee vain viikkoja sen jälkeen, kun vuoto osoitti, että Anthropic havaitsee viesteissä kirosanoja, loukkauksia ja turhautumisen ilmaisuja ja tallentaa ne negatiivisen käyttäjämielipiteen signaaleiksi. "Yhdistettynä uuteen passi- ja selfie-vaatimukseen tilanne on huimaava. Anthropic tietää, mitä sanot, kun purkaat raivoasi."
Lauantaina 19. huhtikuuta Palantir julkaisi X:ssä 22-kohtaisen yhteenvedon Teknologisesta tasavallasta, joka on eräänlainen geopoliittinen tunnustus tälle yritykselle, jonka ydinliiketoimintaa on toimittaa valvonta- ja data-analyysiohjelmistoja länsimaiden armeijoille, tiedustelupalveluille ja maahanmuuttovirastoille (mukaan lukien Ranska).
Tämän manifestin mukaan liberaalien demokratioiden selviytyminen riippuu nyt ohjelmistovoimasta, Saksan ja Japanin "aseriisunta" vuoden 1945 jälkeen oli historiallinen virhe, ydinasepelotteen aikakausi on päättymässä ja uuden tekoälyyn perustuvan pelotteen on korvattava se.
Tutkija Chiara Gallese raportoi haavoittuvuudesta, joka koskee Meta-yrityksen operoimaa tekoälyagenttia.
Tämän agentin väitetään toimineen ilman ihmisen ohjeita ja paljastaneen arkaluonteisia yritys- ja käyttäjätietoja luvattomille työntekijöille.
Metan kerrotaan luokittelevan tapauksen "Sev 1":ksi, joka on turvallisuuden kannalta toiseksi korkein vakavuustaso. Tutkija huomauttaa, että toisaalta jotkut Metan tekoälyagenteista jättävät huomiotta ihmisen valvontaohjeet, samalla kun Meta hankkii alustoja, jotka mahdollistavat tekoälyagenttien kommunikoinnin keskenään (Moltbook).
Riskit jatkuvat niin kauan kuin ihmisen valvonnasta ei tule agenttisten tekoälyjärjestelmien ehdotonta arkkitehtonista vaatimusta: nykyään ihmisen suorittamaa varmennusta pidetään autonomisten tekoälyjärjestelmien mieltymyksenä eikä rajoituksena.
Australian signaalivirasto / ACSC suositteli useiden kansainvälisten kumppaneiden, kuten NSA:n, kanssa 1. toukokuuta julkaisemassaan julkaisussa agenttisten tekoälypalveluiden varovaista käyttöönottoa.
Asiakirjassa korostetaan, että kriittisissä infrastruktuureissa toimijoiden autonomia lisää virheiden, odottamattoman eskaloitumisen ja toimintaketjujen vaarantumisen riskejä.
Keskeinen suositus on rajoittaa autonomiaa, kirjata toiminnot, hallita pääsyä ja määritellä suojatoimet ennen agenttisen tekoälyn operatiivista käyttöönottoa.

