Legal Watch nro 90 – joulukuu 2025. 

 

Data, tekoäly, kyberturvallisuus: kuka kukin on vuonna 2026 noudatettavista ohjeista ja määräyksistä.

Monet viime vuosina hyväksytyt asetukset tulevat nyt täysimääräisesti voimaan tai niiden täytäntöönpano on ratkaisevassa vaiheessa.

Samaan aikaan Euroopan komission uudet aloitteet, erityisesti Digital Omnibus ja Digital Fairness Bill, ilmoittavat uusista sääntelymuutoksista, joilla on tarkoitus täydentää tai muuttaa olemassa olevia säännöksiä.

Vuodesta 2018 voimassa ollut GDPR on edelleen tietosuojakehyksen kulmakivi yhdessä sähköisen viestinnän tietosuojadirektiivin kanssa, jonka tarkistaminen on tällä hetkellä hylätty.

Komissio aikoo ehdotuksellaan yksinkertaistaa Omnibus useita tekoälyn (AI) kehittämiseen liittyviä GDPR:n näkökohtia: siinä suunnitellaan tekoälyjärjestelmien kehittämisen ja toiminnan tunnustamista GDPR:n tarkoittamaksi "oikeutetuksi eduksi" ja uuden oikeusperustan käyttöönottoa tekoälymallien kouluttamiseen tarkoitettujen arkaluonteisten tietojen käsittelylle.

Laajemmin ottaen, Digitaalinen omnibus vähentäisi yritysten vaatimustenmukaisuusrasitusta esimerkiksi lieventämällä kynnystä, josta alkaen tietomurrosta on ilmoitettava, ja laajentamalla tilanteita, joissa tietoja voidaan pitää "anonyyminä".

Digitaalipaketin asetukset, erityisesti digitaalisten markkinoiden asetus (DMA) ja digitaalisten palvelujen asetus (DSA), selventävät digitaalitalouteen sovellettavia sääntöjä ja alustojen vastuuta.

Ne ovat olleet voimassa vuodesta 2024, ja komissio alkoi määrätä pakotteita vuonna 2025.

DSA koskee erittäin suuria verkkoalustoja (VLOP) ja erittäin suuria hakukoneita (VLOSE) sekä kaikkia välittäjiä, jotka tarjoavat palvelujaan EU:ssa toimiville käyttäjille.

Useat DSA:n velvoitteet ovat päällekkäisiä GDPR:n velvoitteiden kanssa.

Esimerkiksi on olemassa samankaltaisia tai täydentäviä velvoitteita, jotka koskevat "pimeitä kuvioita", arkaluonteisiin tietoihin perustuvaa tai alaikäisiin kohdistuvaa kohdennettua mainontaa, läpinäkyvyyttä, profilointia, riskianalyysiä ja laittoman sisällön poistamista.

Vuonna 2025 Euroopan tietosuojaneuvosto (EDPB) julkaisi ohjeet näistä päällekkäisistä kysymyksistä.

Ensisijainen tavoite DMA:n tarkoituksena on estää teknologiajättejä tai "portinvartijoita" hyödyntämästä määräävää asemaansa.

Jotkin näistä velvoitteista vahvistavat digitaalisen palvelun lainsäädännössä säädettyjä velvoitteita käyttäjän suojan osalta, erityisesti profiloinnin osalta.

EU:n datastrategian tavoitteena on luoda yhtenäiset datamarkkinat, edistää innovointia ja varmistaa turvallinen ja tehokas datan jakaminen kaikkialla Euroopan unionissa.

Seuraavilla teksteillä on vaikutusta henkilötietoihin: tiedonhallinta-asetus (DGA), tietosuoja-asetus (DA), sähköisiä transaktioita koskeva asetus (eIDAS) ja eurooppalaisesta terveysdata-avaruudesta (EHDS) annettu asetus. 

Komission koontiehdotuksen tavoitteena on yksinkertaistaa lainsäädäntökehystä tällä alalla.

Tekstissä määrätään erityisesti kumoamisesta DGA ja vuoden 2019 avoimen datan direktiivi.

THE DA pysyisi keskeisenä viitteenä ja sisältäisi muista teksteistä säilytetyt olennaiset elementit.

Määritelmien yhdenmukaistamisen lisäksi pienet ja keskisuuret yritykset (enintään 750 työntekijää) vapautettaisiin tietyistä velvoitteista.

Syyskuun 12. päivästä 2025 alkaen sovelletun DA:n velvoitteista merkittävä osa tulee voimaan 12. syyskuuta 2026: asetus velvoittaa suunnittelemaan verkkoon kytketyt tuotteet ja niihin liittyvät palvelut siten, että tuotteisiin ja niihin liittyviin palveluihin liittyvät tiedot ovat oletusarvoisesti käyttäjien saatavilla, ja syyskuusta alkaen valmistajien on varmistettava, että tietojen saatavuus on teknisesti varmistettu tuotekehitys- ja suunnitteluvaiheista lähtien.

Määräysten osalta eIDAS-koodiVuodesta 2026 alkaen jäsenvaltioiden on tarjottava kansalaisilleen ja yrityksilleen vähintään yksi EU:n standardien mukainen digitaalinen henkilöllisyyslompakko, jonka avulla käyttäjät voivat turvallisesti tallentaa henkilöllisyystietojaan, tunnisteitaan ja ominaisuuksiaan (henkilökortti, ajokortti, maksutiedot jne.) ja välittää niitä valikoidusti viranomaisille ja yksityisille palveluntarjoajille.

Yritysten, verkkoalustojen ja hallintopalvelujen on myös sopeuduttava näihin uusiin digitaalisen tunnistamisen ja todentamisen muotoihin.

LEHDS tuli voimaan 26. maaliskuuta 2025, mutta sen tärkeimmät säännökset tulevat kokonaisuudessaan sovellettaviksi maaliskuusta 2029 alkaen.

Tekoälyasetus, joka on ollut voimassa elokuusta 2024 lähtien, tulee yrityksille ratkaisevaksi 2. elokuuta 2026 alkaen.

Joitakin velvoitteita on jo voimassa, kuten läpinäkyvyys chatbottien kanssa vuorovaikutuksessa tai tekoälyn tuottaman sisällön merkitseminen sekä riittävän tekoälyosaamisen varmistaminen tekoälyjärjestelmien kanssa työskentelevien työntekijöiden keskuudessa.

Elokuusta alkaen kattavampia vaatimuksia pitäisi kuitenkin soveltaa korkean riskin tekoälyjärjestelmiin, joita käytetään herkillä aloilla, kuten henkilöstöhallinnossa, suorituskyvyn arvioinnissa tai keskeisten palvelujen saatavuudessa.

Komissio aikoo kuitenkin Omnibus-ehdotuksessaan lykätä näiden sääntöjen soveltamista joulukuuhun 2027 asti.

Joitakin velvoitteita yksinkertaistettaisiin myös tässä tapauksessa pienille ja keskisuurille yrityksille, joilla on enintään 750 työntekijää.

Turvallisuuden saralla mainitsemme mm. verkkojen ja tietojärjestelmien turvallisuutta koskeva direktiivi (NIS2) voimassa lokakuusta 2024 lähtien, digitaalisen toiminnan kestävyyttä koskeva sääntely (DORA) voimassa tammikuusta 2025 lähtien, sekä Kyberturvallisuusasetus (CRA)).

Jälkimmäisen osalta digitaalisia elementtejä sisältävien tuotteiden valmistajien tärkeimmät velvoitteet tulevat voimaan 11. syyskuuta 2026, mukaan lukien velvollisuus ilmoittaa aktiivisesti hyödynnetyistä haavoittuvuuksista ja vakavista tietoturvapoikkeamista.

Valmistajien on siksi ilmoitettava havaituista haavoittuvuuksista ja tietoturvahäiriöistä, jotka merkittävästi vaarantavat tuoteturvallisuuden, asianomaisille markkinavalvontaviranomaisille hyvin lyhyessä ajassa.

Tämän säännösluettelon päätteeksi mainittakoon lopuksi ehdotus digitaalisen oikeudenmukaisuuden asetukseksi minkä odotetaan entisestään monimutkaistavan verkkopalveluntarjoajien oikeudellista kehystä.

Heinäkuussa 2025 komissio käynnisti julkisen kuulemisen tästä hankkeesta, jonka tavoitteena on torjua "epäreiluja kaupallisia käytäntöjä", kuten synkkiä kuvioita, riippuvuutta aiheuttavia ominaisuuksia ja väärennettävää personointia, mukaan lukien tekoälyagentteihin liittyvät käytännöt.

Mikä on näiden ehdotusten tulevaisuus? Lähikuukausien tulisi olla ratkaisevia: puheenjohtajamaa Kypros pyrkii saamaan maaliskuun loppuun tai huhtikuun alkuun mennessä valtuutuksen neuvotella Omnibus-säädöksestä Euroopan parlamentin kanssa, mikä heijastaa halua hyväksyä se ennen kuin tekoälyasetuksen korkean riskin vaatimukset tulevat voimaan elokuussa.

 

Panemme merkille useita merkittäviä CNIL:n asettamia pakotteita juuri ennen vuoden 2026 siirtymää ja sen jälkeen, jotka kaikki liittyvät tietoturvaan.

Ranskan tietosuojaviranomainen CNIL määräsi 13. tammikuuta 2026 Free Mobilelle ja Freelle 27 miljoonan euron ja 15 miljoonan euron sakot. ottaen huomioon tilaajien tietojen turvallisuuden varmistamiseksi toteutettujen toimenpiteiden riittämättömyyden.

Lokakuussa 2024 hyökkääjä onnistui tunkeutumaan yritysten tietojärjestelmiin ja pääsemään käsiksi 24 miljoonan tilaajasopimuksen henkilötietoihin, mukaan lukien IBAN-numeroihin.

Se sakotti Nexpublica France -yhtiötä 1 700 000 eurolla 22. joulukuuta 2025.koska se ei ole toteuttanut riittäviä turvatoimenpiteitä PCRM-ohjelmistolleen, joka on työkalu käyttäjäsuhteiden hallintaan sosiaalisen toiminnan alalla

Se määräsi 11. joulukuuta 2025 seuraamuksia Mobius Solutions Ltd:lle, alihankkijalle, joka oli vastuussa Deezerin käyttäjiin vaikuttaneesta tietomurrosta.Sille määrättiin miljoonan euron sakko sovellettavien alihankintasääntöjen noudattamatta jättämisestä: tietojen säilyttämisestä sopimuksen päättymisen jälkeen, luvattomasta käsittelystä ja käsittelyn kirjaamisen laiminlyönnistä.

Kolme yrityksen työntekijää oli säilyttänyt kopion yli 46 miljoonan Deezer-käyttäjän tiedoista sopimussuhteensa päättymisen jälkeen, mikä altisti heidät tietoturva-aukkoille, jotka johtivat tietojen julkaisemiseen pimeässä verkossa.

Versailles'n hallinto-oikeus päätti 11. joulukuuta, ettei potilas voi pyytää sairaalaa korjaamaan lääketieteellistä arviotaan, koska se on subjektiivinen mielipide.

Tämä periaate pätee myös silloin, kun hoidosta vastaavan henkilön diagnoosi eroaa myöhemmistä diagnooseista.

Tuomarit suhtautuvat joskus tekoälyn hallusinaatioihin lakimiesten johtopäätöksissä suopeasti, ainakin Périgueux'n tuomioistuin katsoi näin 18. joulukuuta antamassaan päätöksessä.

Jälkimmäinen toteaa "(...), että hakijan mainitsemat oikeuskäytäntöviittaukset, joita ei ole esitetty hänen asiakirjoissaan, eivät näytä vastaavan julkaistuja päätöksiä. (...)."

Siksi oikeus pyytää hakijaa ja hänen asianajajaansa tulevaisuudessa varmistamaan, että hakukoneista tai tekoälyn avulla löytämänsä viittaukset eivät ole "hallusinaatioita".

Tämä kanta on ristiriidassa jäljempänä mainitun Belgian hiljattain tekemän päätöksen kanssa.

Sisäministeriö joutui laajamittaisen kyberhyökkäyksen kohteeksi joulukuun puolivälissä.

Sisäministeri vahvisti keskiviikkona 17. joulukuuta, että "sisäministeriön yksiköt olivat massiivisen kyberhyökkäyksen kohteena ja kuvaili sitä erittäin vakavaksi teoksi, joka johti tiedostojen, mukaan lukien rikosrekisteritietojen, julkaisemiseen" ja etsintäkuulutettujen henkilöiden löytämiseen. Kyberhyökkäys tapahtui ministeriön henkilöstön sähköpostitilien kautta.

Kyberhyökkäysten alueella on myös huomattava, että CNIL vaati 18. joulukuuta 2025 rajoitetussa kokoonpanossaan France Travailia vastaan 5 miljoonan euron seuraamusta tietoturvan puutteesta, joka johti 36,8 miljoonaan ihmiseen vaikuttaneeseen tietomurtoon.

 

Euroopan unionin toimielimet ja elimet

EU-asetus, jolla vahvistetaan GDPR:n soveltamiseen liittyviä lisämenettelysääntöjä, julkaistiin 12. joulukuuta, ja sitä sovelletaan 2. huhtikuuta 2027 alkaen.

Tämän tekstin tarkoituksena on virtaviivaistaa kansallisten tietosuojaviranomaisten (DPA) rajat ylittävien tapausten käsittelyä yleisen tietosuoja-asetuksen nojalla, parantaa tietosuojaviranomaisten välistä yhteistyötä jäsenneltyjen menettelyjen, selkeämpien roolien ja määriteltyjen aikarajojen avulla sekä vahvistaa valittajien ja tutkinnan kohteena olevien osapuolten menettelyllisiä takeita ja oikeusvarmuutta, mukaan lukien oikeus tulla kuulluksi, oikeus tutustua asiakirjoihin ja oikeussuojakeinojen tehokkuus.

Euroopan komissio julkaisi 17. joulukuuta ensimmäisen luonnoksensa tekoälyn tuottaman sisällön merkitsemistä ja luokittelua koskeviksi hyviksi käytännesäännöiksi.

Hanke käsittää kaksi osiota.

Ensimmäinen osio käsittelee tekoälyn tuottaman sisällön merkitsemistä ja havaitsemista koskevia sääntöjä, joita sovelletaan generatiivisten tekoälyjärjestelmien tarjoajiin.

• Toinen kattaa syväväärennösten ja tiettyjen tekoälyn luomien tai manipuloimien tekstien merkitsemisen yleistä etua koskevissa asioissa ja koskee generatiivisten tekoälyjärjestelmien käyttöönottajia.

Komissio kerää kommentteja 23. tammikuuta asti, ja tavoitteena on viimeistellä koodi kesäkuuhun mennessä.

Euroopan komissio ilmoitti 19. joulukuuta 2025 Yhdistynyttä kuningaskuntaa koskevien kahden tietosuojan riittävyyspäätöksen uusimisesta alun perin vuonna 2021 hyväksytty asetus, jossa vahvistettiin, että henkilötiedot voivat edelleen liikkua vapaasti Euroopan talousalueen ja Yhdistyneen kuningaskunnan välillä.

Euroopan unionin tuomioistuin selvensi 18. joulukuuta annetussa Storstockholms Lokaltrafik (C-422/24) -tuomiossa henkilötietojen suoran keräämisen käsitettä.

Tämä laki "ei vaadi asianomaista henkilöä tietoisesti antamaan tietoja tai ryhtymään mihinkään tiettyyn toimenpiteeseen omalta osaltaan. Siksi tiedot, jotka on saatu havainnoimalla henkilöä, joka on tiedon lähde, katsotaan kerätyiksi suoraan kyseiseltä henkilöltä."

Näillä selvennyksillä on vaikutusta tiedonantovelvollisuuden ajoitukseen ja laajuuteen, ja tiedonantovelvollisuuden on oltava välitön ja kattavampi.

Kyseisessä tapauksessa oli kyse matkalipun tarkastamisesta, jonka suoritti vartalokameralla varustettu virkailija.

Tuomioistuin ehdottaa, että tärkeimmät tiedot ilmoitetaan varoituskyltissä ja muut tiedot helposti saatavilla olevassa paikassa.

Trumpin hallinto asetti pakotteita viidelle Euroopan kansalaiselle 23. joulukuuta. Vastauksena Euroopan komission äskettäin digitaalipalvelulain (DSA) nojalla yritykselle X määräämään sakkoon, jonka seurauksena entinen digitaalitaloudesta vastaava komissaari Thierry Breton sekä useat kansalaisyhteiskunnan jäsenet, jotka työskentelevät HateAid-, Center for Countering Digital Hate- ja The Global Disinformation Index -järjestöissä, on saanut maahantulokiellon Yhdysvaltoihin.

Washington tuomitsee DSA:ssa säädetyt alustojen moderointi-, raportointi- ja vastuuvelvollisuusvelvoitteet, joita tässä pidetään ekstraterritoriaalisina sensuuritoimenpiteinä.

Euroopan komissio määräsi 5. joulukuuta X:lle 120 miljoonan euron sakon, koska se ei täyttänyt DSA:n mukaisia avoimuusvelvoitteitaan.

Puutteisiin kuuluvat sen "sinisen validoinnin" harhaanjohtava suunnittelu varmennetuille tileille, mainoshakemiston läpinäkyvyyden puute ja tutkijoille julkisen datan saatavuuden laiminlyönti.

 

Uutisia Euroopan unionin jäsenmaista.

Saksan Darmstadtin aluetuomioistuin alensi 10. marraskuuta päivätyllä päätöksellä nollaan asiantuntijan palkkiot, joka oli käyttänyt laajasti tekoälyä oikeudellisen raportin laatimiseen paljastamatta sitä.

Oikeus perusteli maksujen pienentämisellä seuraavilla perusteilla:

1. Tekoälyn käytön ilmoittamatta jättäminen ja todellisen tekijän puuttuminen muodostivat menettelyvelvoitteiden rikkomisen.
2. Raportti katsottiin käyttökelvottomaksi: henkilökohtaisen arvion puute, asiavirheet ja ilmeiset merkit tekoälyn luomasta tekstistä.
3. Läpinäkyvyys ja vastuuvelvollisuus ovat olennaisia asiantuntijalausunnoissa.

Saksalainen Lyypekin tuomioistuin myönsi kantajalle 5 000 euroa korvauksia Metaa vastaan aineettomista vahingoista, koska se oli käsitellyt henkilötietoja ilman etukäteistä suostumusta Meta Business Toolsin avulla.

Tiedonsiirrot kolmansien osapuolten verkkosivustoilta Metaan tapahtuvat riippumatta käyttäjän Meta-sovellusten aktivoinnista ja heidän suostumuksensa saamisesta.

Oikeus katsoi, että Meta oli rikkonut yleisen tietosuoja-asetuksen 6(1) artiklaa, mikä aiheutti rekisteröidylle riittävän konkreettisen uhan, jolla oli perusteltu syy pelätä henkilötietojensa väärinkäyttöä hallinnan menettämisen muodossa.

Itävallassa korkein oikeus päätti 26. marraskuuta, että Metan on annettava käyttäjilleen täysi pääsy kaikkiin henkilötietoihinsa, mukaan lukien niiden lähteet, vastaanottajat ja tarkoitukset.

Yksinkertainen ohjeellinen luettelo ei riitä.

Tuomioistuin totesi myös, että personoitu mainonta ja (arkaluonteisten) henkilötietojen käsittely kolmansien osapuolten verkkosivustoilta edellytti asianomaisen henkilön suostumusta.

Belgiassa äskettäin tehdyssä päätöksessä kantajille määrättiin yli 25 000 euron sakot generatiivisten tekoälytyökalujen käytöstä valituskirjelmien laatimisessa, ilmeisestä menettelyn väärinkäytöstä, perusteettomasta valituksesta ja väärinkäytöksistä.

Antwerpenin muutoksenhakutuomioistuin toteaa, että asiassa on esitetty "epäjohdonmukaisia ja täysin merkityksettömiä" argumentteja, joita tukevat olematon oikeuskäytäntö ja keksityt oikeuslähteet.

Myös Belgiassa APD antoi yritykselle varoituksen, koska se oli laittomasti välittänyt tietoja entisestä työntekijästään puhelinkeskustelun aikana toisen yrityksen kanssa osana rekrytointiprosessia.

APD antoi myös nuhteen kahdelle yritykselle siitä, etteivät ne olleet vastanneet yksilöiden tiedonsaantipyyntöihin.

Kroatiassa AZOP-pankki sai 1 500 000 euron sakot useista GDPR-rikkomuksista.

Pankki käsitteli 433 922 käyttäjän henkilötietoja ilman laillista perustetta, antamatta käyttäjille tarvittavia tietoja, eikä se ollut toteuttanut asianmukaisia teknisiä ja organisatorisia toimenpiteitä.

 

Britannian tietosuojaviranomainen (DPA) on määrännyt salasanojen hallintaohjelmaa tarjoavalle LastPass UK Ltd:lle 1,2 miljoonan punnan sakon vuonna 2022 tapahtuneen tietomurron jälkeen, jossa lähes 1,6 miljoonan yrityksen käyttäjän henkilötiedot olivat vaarantuneet.

ICO havaitsi, että LastPass ei ollut toteuttanut riittävän vankkoja teknisiä ja turvatoimenpiteitä, minkä seurauksena hakkeri pääsi luvattomasti käsiksi sen varmuuskopiotietokantaan.

Yhdysvallat on uudistanut vaatimuksensa päästä käsiksi viisumivapausohjelmaan (VWP) osallistuvien EU-maiden kansallisiin biometrisiin tietokantoihin ja aikoo tehdä asiasta sopimuksen ennen vuoden 2026 loppua.

Washington on pyytänyt tätä pääsyä vuodesta 2022 lähtien osana Yhdysvaltojen "tehostettuja rajaturvallisuuskumppanuuksia" (EBSP) ja uhkaa poistaa viisumivapauden, jos se evätään.

Pääsymahdollisuuksien laajuus on edelleen epävarma.

Euroopan unionin kanta tässä vaiheessa näyttää haluavan rajoittaa sen Yhdysvaltoihin matkustaviin ihmisiin.

Pääsy koskisi biometrisiä tietoja, kuten sormenjälkiä ja kasvokuvia, mutta myös muita arkaluonteisia tietoja, jotka paljastavat rodullisen tai etnisen alkuperän, poliittiset mielipiteet, uskonnolliset tai filosofiset vakaumukset, ammattiliiton jäsenyyden tai terveyttä tai seksuaalielämää koskevat tiedot, kun se on tarpeen ja oikeasuhtaista "rikosten ja terrorismin rikosten ehkäisemiseksi tai torjumiseksi".

Euroopan pääkaupungit sopivat joulukuussa myöntävänsä Euroopan komissiolle valtuudet neuvotella tämän sopimuksen puitteista, joiden yksityiskohdista päättävät jäsenvaltiot.

Yhdysvalloissa tekoälyn käytöllä poliisin vartalokameroiden raporttien litteroinnissa Heber Cityssä, Utahissa, on ollut ristiriitaisia seurauksia.

Open AI:n LLM-pohjainen Draft One -ohjelmisto raportoi agentin muuttuneen sammakoksi.

Ohjelmisto oli itse asiassa havainnut taustalla pyörivän elokuvan, joka sattui olemaan "Prinsessa ja sammakko".

Tilanteen ironian lisäksi tämä tapaus herättää kysymyksiä, joita Cybernews on korostanut. "Vaikka tavoitteena on vähentää paperityön määrää, Heber Cityssä tehdyn kaltaisten virheiden vuoksi agentit saattavat käyttää entistä enemmän aikaa raporttien tarkasteluun." Electronic Frontier Foundationin (EFF) viime vuonna tekemä tutkimus paljasti, että Draft One "näyttää olevan tarkoituksella suunniteltu välttämään tarkastuksia, jotka voisivat varmistaa julkisen vastuullisuuden".

"Usein on mahdotonta tietää, mitkä osat poliisiraportista on tekoälyn luomia ja mitkä osat virkamiehen kirjoittamia."

Lopuksi, Privacy Laws & Businessin raportti osoittaa, että yksityisyyden suojaa koskeva sääntely on kuitenkin vahvistumassa Yhdysvalloissa, jossa 19 osavaltiota on nyt seurannut Kalifornian esimerkkiä ja ottanut käyttöön yksityisyyden suojaa koskevia lakeja, jotka usein keskittyvät lapsiin liittyviin kysymyksiin.

Harvat osavaltiot ovat kiinnostuneita biometristen tietojen keräämisestä ja käytöstä.

Illinois on pitkään ollut johtavassa asemassa, ja nyt Texas ja Washingtonin osavaltio seuraavat perässä.

Uusista liittovaltion yksityisyydensuojasäännöksistä ei ole vieläkään yksimielisyyttä, "mutta FTC on ryhtynyt täytäntöönpanotoimiin, joihin liittyy satojen miljoonien dollarien vahingonkorvauksia ja rahallisia sakkoja sovinnoissa suurten verkkoyritysten Epic Gamesin, Amazonin ja Microsoftin kanssa" tai äskettäin Disney Worldwide Servicesin kanssa, jolla on 10 miljoonan dollarin sovinto lasten verkkosuojalain (COPPA) rikkomisesta.