Legal Watch nro 77 – marraskuu 2024. 

Tekoäly työvälineenä: millainen viitekehys tarvitaan?

Tekoälyn käyttö työpaikoilla on nykyään räjähdysmäisessä kasvussa, usein ilman ennakkosuunnittelua ja ilman, että työnantaja tietää tarkalleen, miten hänen työntekijänsä käyttävät käytössään olevia uusia työkaluja.

Olipa kyse sitten jo klassisista kielimalleista, kuten ChatGPT, tai työkaluista, joiden avulla voit luoda graafisen suunnittelun (Canva), poimia tietoja verkosta (Browse AI) tai tehdä automaattisesti muistiinpanoja kokouksen aikana (Fireflies), mahdollisuudet ovat valtavat.

IFOP:n Learnthingsin joulukuussa 2023 tekemän tutkimuksen mukaan lähes joka neljäs työntekijä on jo käyttänyt tekoälytyökalua ammatillisessa kontekstissa, ja heistä yli puolet (55 %) on tehnyt niin ilmoittamatta siitä esimiehelleen.

Näiden työkalujen sisäisen käytön ymmärtäminen on kuitenkin olennaista, jotta voidaan varmistaa sovellettavan lainsäädännön ja erityisesti tekoälyä koskevan eurooppalaisen asetuksen ja yleisen tietosuoja-asetuksen noudattaminen.

Useat viranomaiset, mukaan lukien ANSSI ja CNIL, ovat julkaisseet suosituksia, joilla pyritään lisäämään ammattikäyttäjien tietoisuutta. Tässä ovat pääkohdat:

Tekoälyperuskirjan toteuttaminen yrityksen sisällä, jotta

• Listaa sallitut työkalut;
• Kartoita nämä työkalut riskien mukaan tekoälyasetuksen mukaisesti;
• Korkean riskin järjestelmien sääntely (esim. ammatillinen koulutus ja henkilöstöhallinnon rekrytointi, joissa tekoälyn käyttö voi johtaa "syrjinnän automatisointiin").

Järjestä sosiaalinen vuoropuhelu, kuulee CSE:tä ja muuttaa sisäisiä työsääntöjä, jotta niistä tulee sisäisesti täytäntöönpanokelpoisia.

Tietoturvan varmistaminen Henkilötietojen (esim. asiakas- tai työntekijätietojen) tai arkaluonteisten tai strategisten asiakirjojen toimittaminen tekoälyjärjestelmälle voi aiheuttaa merkittäviä seurauksia luottamuksellisuuden kannalta.

Lisäksi tällaisen järjestelmän käyttö voi vaikuttaa sen tietojärjestelmän eheyteen, johon se on yhdistetty.

CNIL suosittelee priorisoimaan paikan päällä tehtävien ratkaisujen käyttöönottoa, jotka rajoittavat tietojen keräämisen riskejä kolmannelta osapuolelta.

Vaikka pilvipalvelun käyttö voi olla taloudellisempaa, tarvitaan alihankintasopimus, jossa määritellään eri vastuut ja valtuutetut käyttöoikeudet käsiteltyihin tietoihin. 

Tässä tapauksessa on suositeltavaa rajoittaa henkilötietojen toimittamista tekoälyjärjestelmälle.

Kouluttaa ja lisätä tietoisuutta loppukäyttäjien tulisi noudattaa näitä parhaita käytäntöjä:

• Anna vain tietoja, joiden jakamiseen sinulla on lupa, pois lukien periaatteessa kaikki luottamukselliset tiedot;
• Varmista järjestelmän tuottaman datan oikeellisuus ja laatu, plagioinnin puuttuminen ja syrjintäriski;
• Älä toista järjestelmän tuloksia täsmälleen sellaisinaan kriittisen näkökulman säilyttämiseksi.

Läpinäkyvyyden varmistaminen käsittelyssä, erityisesti sellaisia, jotka tuottavat automatisoituja päätöksiä työntekijöistä ja yrityksen ulkopuolisista kolmansista osapuolista.

Hallinnon luominen nimeä tietosuojavastaava, komitea tai edustaja (johon osallistuu myös tietoturvajohtaja) tarjoamaan loppukäyttäjille yhteyshenkilön eettisten kysymysten tai vaikeuksien esiin nostamiseksi ja sääntöjen noudattamisen tarkistamiseksi.

GDPR:n ja tekoälyasetuksen mukaisten sanktioiden lisäksi selkeän viitekehyksen käyttöönotto on myös sosiaalinen ja eettinen kysymys, joka on sekä yrityksen ulkopuolisten että sisäisten ihmisten etujen mukaista.

 

        

CNIL julkaisee toimintasuunnitelman tukeakseen hopeatalouden toimijoita. Hopeatalous on sektori, joka on omistettu ikääntyneille suunnatuille toimille.

Hän huomauttaa, että ikääntyneet edustavat noin 24 miljoonaa ihmistä Ranskassa vuoteen 2060 mennessä ja että "käsiteltävien tietojen luonne ja ikään perustuva kohdentaminen herättävät merkittäviä tietosuojaan liittyviä kysymyksiä".

Se aikoo päivittää vaatimustenmukaisuuspakettiaan (tietolomakkeet, suositukset jne.) ja ehdottaa uutta ”testiympäristöä” kolmen innovatiivisen hankkeen tukemiseksi tällä alalla.

CNIL ja DGCCRF ilmoittivat 18. marraskuuta allekirjoittaneensa uuden yhteistyöpöytäkirjan, jolla päivitetään vuoden 2011 sopimus.

Nämä kaksi viranomaista vahvistavat yhteistyötään ja kehittävät uusia tiedonjakokanavia sopeutuakseen lainsäädännön muutoksiin ja digitaalisen aikakauden taloudellisiin haasteisiin.

CNIL toistaa 19. marraskuuta päivätyssä julkaisussa myös tavarankuljetusajoneuvojen matkustamossa käytettävien tehostettujen kameroiden tietosuojaperiaatteet ja vaatii, että työnantajan on ryhdyttävä kaikkiin tarvittaviin toimenpiteisiin varmistaakseen tällaisten kameroiden vaatimustenmukaisuuden ennen niiden asentamista.

CNIL julkaisi 25. marraskuuta sarjan vinkkejä tietojesi suojaamiseksi ääniavustajan kanssa vuorovaikutuksessa ollessasi.

Työntekijä, joka panee täytäntöön GDPR:n vastaisia määräyksiä, altistuu rikosoikeudelliselle vastuulle, vaikka hän toimisi työnantajansa ohjeiden mukaisesti.

Nantesin rikostuomioistuimessa syyttäjä on juuri vaatinut 6 000 euron sakkoa, josta 3 000 euroa on ehdollista, IT-alihankintayrityksen työntekijälle, joka oli asentanut vakoilulaitteen asiakkaidensa tiloihin pomonsa määräyksestä.

Syyttäjä vaatii pomolle yhdeksän kuukauden ehdollista vankeusrangaistusta ja 30 000 euron sakkoja.

Pariisin muutoksenhakutuomioistuin vahvisti 21. marraskuuta 2024 antamallaan päätöksellä Meaux'n työtuomioistuimen 23. heinäkuuta 2021 antaman tuomion: Messengerissä käytyä yksityistä keskustelua, jota ei alun perin ollut tarkoitettu julkiseksi, ei voida pitää työntekijän sopimusvelvoitteiden rikkomisena, eikä kurinpidollista irtisanomista tällaisiin syihin perustuen voida perustella laillisesti.

Hovioikeus vetoaa kassaatiotuomioistuimen 22. joulukuuta 2023 samasta aiheesta antamaan päätökseen.

Tämä perustelu pätee, vaikka työnantaja ei olisi pyrkinyt käsiksi näihin tietoihin, kuten tässä tapauksessa: työntekijän poissaolon aikana hän oli pyytänyt tätä toimittamaan tunnisteensa, jotta hänen kollegansa pääsisivät käsiksi hänen työasiakirjoihinsa, ja viestit olivat ilmestyneet, kun keskustelu oli automaattisesti avautunut näytölle.

 

Euroopan unionin toimielimet ja elimet

Euroopan tietosuojaneuvosto (EDPB) pyytää lausuntoja GDPR:n 48 artiklaan liittyvistä ohjeistaan.

Ohjeet liittyvät kolmannen maan viranomaisen (kuten pankkiviranomaisten, veroviranomaisten, lainvalvontaviranomaisten tai kansallisen turvallisuuden viranomaisten) ja Euroopan unionin (EU) yksityisen tahon välisiin suoraa yhteistyötä koskeviin pyyntöihin.

Kommentteja voi lähettää 27. tammikuuta 2025 asti.

Euroopan tietosuojaneuvosto antoi myös joulukuun alussa lausunnon Euroopan komission toisesta GDPR:n soveltamista koskevasta kertomuksesta, jossa se korostaa digitaalisen lainsäädännön ja GDPR:n välisen johdonmukaisuuden merkitystä.

Euroopan tietosuojaneuvosto tehostaa sisällön tuotantoa muille kuin asiantuntijoille, mukaan lukien pienet ja keskisuuret yritykset, ja korostaa tarvetta lisätä taloudellisia ja henkilöstöresursseja, jotta tietosuojaviranomaiset voivat selviytyä yhä monimutkaisemmista haasteista ja hankkia lisäosaamista, myös tekoälyn alalla.

EU-vastaisen oppositioehdokkaan voitolla Romanian presidentinvaalien ensimmäisellä kierroksella 24. marraskuuta on seurauksia Euroopan tasolla.

Vaikka maan perustuslakituomioistuin on juuri mitätöinyt tämän ensimmäisen kierroksen sen jälkeen, kun kansallisen tiedustelupalvelun asiakirjat julkistettiin paljastaen TikTokissa tapahtuneen laajamittaisen operaation tämän ehdokkaan hyväksi. Euroopan komissio pyysi 29. marraskuuta virallisesti tietoa yritykseltä digitaalisten palveluiden lain nojalla.

Euroopan neuvoston tekoälykomitea hyväksyi 28. marraskuuta menetelmän (HUDERIA) tekoälyjärjestelmien riskien ja vaikutusten arvioimiseksi ihmisoikeuksien, demokratian ja oikeusvaltioperiaatteen näkökulmasta.

Julkiset ja yksityiset toimijat voivat käyttää tätä menetelmää näiden riskien ja vaikutusten tunnistamiseen ja ratkaisemiseen tekoälyjärjestelmien koko elinkaaren ajan.

Marraskuun puolivälissä Digital Freedom Fund julkaisi osana digiRISE-hanketta kattavan tietokannan eurooppalaisista kollektiivisista oikeussuojakeinoista. Tietokannan tarkoituksena on edistää kollektiivisia oikeustoimia digitaalisten oikeuksien puolustamiseksi EU:n perusoikeuskirjan nojalla.

Asiakirja sisältää resursseja siitä, miten kymmenen EU:n jäsenvaltiota on pannut täytäntöön kollektiivisia oikeussuojamekanismeja: saatavilla on kansallisia raportteja, vertaileva raportti ja vertailutyökalu tutkittujen lainkäyttöalueiden välisten lähentymisten ja erojen löytämiseksi.

Myös kollektiivisten oikeussuojakeinojen alalla kansalaisjärjestö NOyB ilmoittaa, että se on nyt hyväksytty "päteväksi yksiköksi" nostamaan kollektiivisia oikeussuojakeinoja EU:n tuomioistuimissa.

Tällainen direktiivin (EU) 2020/1828 mukainen toimenpide voi olla "kieltomääräys" tai "korjaava" toimenpide.

Näiden lakien ansiosta tuhansilla käyttäjillä on mahdollisuus tulla edustetuiksi ja vaatia esimerkiksi aineetonta vahinkoa, kun heidän henkilötietojaan on käsitelty laittomasti.

Toisin kuin amerikkalaisissa ryhmäkanteissa, eurooppalainen lainsäädäntö edellyttää, että nämä kanteet on nostettava voittoa tavoittelemattomissa tarkoituksissa.

Meta tarkistaa jälleen suunnitelmiaan personoitujen mainosten jakelusta Euroopan unionissa.

Tämä muutos johtuu EU:n sääntelyviranomaisten kannasta, jotka katsoivat, että Facebookin ja Instagramin eurooppalaisille käyttäjille tarjottu "suostumus tai maksu" -mainontajärjestelmä rikkoi GDPR:ää ja digitaalisten markkinoiden asetusta (DMA).

Uusi tarjous sisältää mainoksettoman tilauksen alennettuun hintaan ja esittelee myös ilmaisen mallin, jolle on ominaista "vähemmän personoitujen mainosten" näyttäminen suostumuksella.

Max Schrems, joka aloitti useita Metaa vastaan nostettuja toimia, totesi, että "kaiken kaikkiaan tämä näyttää jälleen yritykseltä sivuuttaa eurooppalaista lainsäädäntöä (...) käyttäjillä on oltava todellinen valinnanvaraa mainosten välillä, jotka käyttävät heidän henkilötietojaan, ja sellaisten, jotka eivät käytä".

 

Uutisia Euroopan unionin jäsenmaista.

Saksassa liittovaltion korkein oikeus (Bundesgerichtshof, BGH) kumosi osittain Kölnin korkeimman oikeuden päätöksen, jossa henkisen vahingon korvausvaatimusta ei perusteltu riittävästi.

Tapaus koski tietomurtoa: huhtikuussa 2021 noin 533 miljoonan Facebook-käyttäjän tiedot julkaistiin internetissä.

BGH korosti, että EU-tuomioistuimen oikeuskäytännön mukaan jo kertaluonteinen ja väliaikainen tietojen hallinnan menetys voi olla GDPR:n 82(1) artiklan mukainen aineeton vahinko.

Rekisteröidyn ei tarvitse osoittaa henkilötietojensa konkreettista väärinkäyttöä.

Itävaltalainen tuomioistuin päätti, että avioeroasianajaja voi perustella videomateriaalin lähettämisen vastapuolen asianajajalle sähköpostitse GDPR:n 6(1)(f) ja 9(2)(f) artiklan mukaisen oikeutetun edun perusteella.

Eräs toinen tuomioistuin kuitenkin katsoi, että toisen puolison etu siihen, ettei häntä nauhoitettaisi kotonaan käytävän avioeroriidan aikana, oli tärkeämpi kuin toisen puolison etu käyttää näitä tallenteita avioeromenettelyssä.

Belgiassa APD hyväksyi henkilökorttien käytön kanta-asiakaskortteina 28. marraskuuta: se totesi, että Freedelity-yritys, joka on erikoistunut tietojen keräämiseen sähköisten henkilökorttien (eID) avulla, oli rikkonut useita GDPR:n artikloja, jotka koskevat suostumuksen pätevyyttä, keräämisen minimointia ja tietojen säilytyksen kestoa.

Freedelity kerää sähköisen henkilöllisyyden tietoja erityisesti yhteistyökumppanimyymälöihin sijoitettujen päätteiden kautta.

Nämä tiedot jaetaan ja synkronoidaan sitten palveluitaan käyttävien kauppojen kanssa päivityksen sattuessa.

Espanjassa APD sakotti The Phone House SL:ää 6 500 000 eurolla riittämättömien turvatoimien vuoksi, jotka mahdollistivat kiristysohjelmahyökkäyksen.

Hyökkäys vaikutti noin 13 miljoonaan asiakkaaseen ja paljasti osoitteita, puhelinnumeroita, henkilöllisyystodistuksia ja pankkitietoja.

Suomen postilaitos Posti sai 13. marraskuuta 2 400 000 euron sakot sähköpostitilien jakamisesta asiakkailleen ilman heidän nimenomaista suostumustaan.

Asiakkaille, jotka pyysivät palveluita, kuten postin edelleenlähetystä, annettiin automaattisesti sähköpostitili, josta ei ollut mahdollista kieltäytyä.

Italian tietosuojaviranomainen (APD) teki 27. marraskuuta päätöksen OpenAI:n ja kustantamo GEDIn välisestä lisenssisopimuksesta.

APD vastustaa oikeutetun edun käyttöä tekoälyn koulutustarkoituksiin tapahtuvan henkilötietojen käsittelyn oikeusperustana riippumatta siitä, sisältääkö käsittely arkaluonteisia tietoja vai ei.

APD:n mukaan tekoälykoulutuksessa käytettävää toimituksellista sisältöä koskevien lisenssisopimusten tulisi taata kaikkien käytettyjen henkilötietojen poistaminen tai anonymisointi ilman suostumusta.

Tämä päätös tehdään muutamaa viikkoa ennen Euroopan tietosuojaneuvoston lausuntoa tästä asiasta, jonka odotetaan valmistuvan joulukuun lopussa.

Italian tietosuojaviranomainen (APD) määräsi myös Glovo-konsernin tytäryhtiölle Foodinholle 5 000 000 euron sakon lukuisista ja jatkuvista GDPR-rikkomuksista, jotka liittyivät sen työntekijöiden tietojen käsittelyyn, mukaan lukien jatkuva maantieteellisen sijainnin seuranta ja työvuorojen automaattinen jako.

Alankomaiden tietosuojaviranomainen (DPA) julkaisi 11. marraskuuta raportin, jossa todettiin, että koulutuksen toimeenpanoviraston petosten torjuntaan käyttämä algoritmi oli syrjivä ja laiton.

Virasto käytti tätä algoritmia tarkistaakseen, väärinkäyttivätkö opiskelijat ulkomaalaisille tarkoitettua apurahaa.

Opiskelijoille annettiin "riskiluokitus" ottaen huomioon koulutuksen tyyppi, ikä ja etäisyys opiskelijan osoitteen ja hänen vanhempiensa osoitteen välillä.

Näillä kriteereillä ei ollut objektiivista perustetta, ja virastosta vastaava opetus-, kulttuuri- ja tiedeministeri myönsi lopulta, että algoritmi oli epäsuorasti syrjivä maahanmuuttajataustaisia opiskelijoita kohtaan.

Puolassa APD sakotti rekisterinpitäjää 353 589 Puolan zlotyn (82 000 euron) sakolla riittämättömistä turvatoimista, jotka mahdollistivat kiristysohjelmahyökkäyksen.

Hakkerit olivat salanneet ja tehneet käyttökelvottomiksi noin 200 asiakkaan ja työntekijän tiedot. Alihankkijalle määrättiin 9 822 Puolan zlotyn (2 200 euron) sakko.

 

Marraskuun lopulla Australian senaatti hyväksyi lakiesityksen, jolla muutettiin yksityisyyden suojaa koskevaa lainsäädäntöä ja joka sisältää useita merkittäviä muutoksia:

• Vakavien yksityisyyden loukkausten siviilioikeudellisen rangaistuksen käyttöönotto.
• APD:n käytettävissä olevien täytäntöönpano- ja tutkintavaltuuksien laajentaminen.
• Tämän valtuudet lasten verkkotietosuojakoodin kehittämiseen.
• Kenraalikuvernöörille avautuu uusi tilaisuus laatia "valkoinen lista" maista, jotka tarjoavat riittävän tietosuojan.
• Tietosuojakäytäntöjen velvollisuus eritellä automatisoidut päätöksentekojärjestelmät, jotka voivat vaikuttaa yksilön oikeuksiin tai etuihin.

Myös Australiassa parlamentti hyväksyi 29. marraskuuta kiistanalaisen lain, joka kieltää alle 16-vuotiaiden lasten ja nuorten pääsyn sosiaaliseen mediaan.

Laki ei täsmennä, miten alustojen on varmistettava kävijöidensä ikä.

Brasilian tietosuojavirasto (APD) julkaisee raportin generatiivisesta tekoälystä ja tietosuojasta.

Alun perin APD-tiimien sisäiseen tukeen kehitetty asiakirja käsittelee tekoälyn käsitteitä, sen suhdetta tietosuojaan, Brasilian kontekstia ja tekoälyn tulevaisuudennäkymiä.

Yhdysvaltain liittovaltion kauppakomissio (FTC) ilmoitti 3. joulukuuta sopimusluonnoksista, joiden tarkoituksena on kieltää kahta suurta tiedonvälityspalvelua, Mobilewallaa ja Gravy Analyticsia, myymästä arkaluonteisia sijaintitietoja, mukaan lukien esimerkiksi läsnäolotiedot kirkoissa, sotilastukikohdissa, lääkäriasemilla tai LGBTQ-baareissa.

Tämä toimenpide on jatkoa aiemmin tänä vuonna toteutetuille toimille vastaavanlaisia käytäntöjä harjoittavia tiedonvälittäjiä vastaan.

Meksikon edustajainhuoneen jälkeen Meksikon senaatti hyväksyi marraskuun lopussa perustuslakiluonnoksen, joka lakkauttaa seitsemän valvontaviranomaisen, mukaan lukien tietosuoja- ja hallinnollisten asiakirjojen saatavuutta valvovan viranomaisen (INAI).

Näiden viranomaisten valtuudet jaettaisiin eri ministeriöille.

INAI:n edustajat siirtyisi korruption vastaisen ja hyvän hallinnon ministeriön vastuulle.

Kommentaattorit uskovat, että Meksikon osavaltioiden lainsäädäntöelinten enemmistön tulisi ratifioida lakiesitys nopeasti, kuten on tapahtunut muiden uudistusehdotusten kohdalla viime kuukausina.