Legal Watch nro 70 – huhtikuu 2024.

Tiedonsiirrot EU:n ulkopuolelle: nykytilanne.

Kansainvälisten tiedonsiirtojen tilanne selkeytyy institutionaalisten päätösten ja kantojen ottamisen myötä. 

Olemme siksi pannut merkille useita viimeaikaisia aloitteita sekä Euroopan että kansallisella tasolla, joiden tarkoituksena on helpottaa tiedonsiirtoa perusoikeuksia kunnioittaen.

Euroopan komissio osoitti 4. maaliskuuta pidetyssä kokouksessa, jossa olivat mukana viidentoista jo riittäviksi tunnustetun maan edustajat, halukkuutensa laajentaa EU:n kansainvälisen yhteistyön muotoja.

Vaikka komissio on aiemmin suosinut yhteistyötä Euroopan neuvoston kanssa ihmisoikeuksiin keskittyen, oikeusasioista vastaava komissaari mainitsi maaliskuussa myös tiiviimmän yhteistyön OECD:n kanssa, jonka näkemykset keskittyvät talouskehitykseen.

 Kyseisillä mailla Amerikassa ja Aasiassa on lähestymistavat yksityisyyden suojaan, jotka eroavat merkittävästi Euroopan unionin lähestymistavoista.

On syytä muistaa, että Euroopan komissio uusi tammikuussa kaikkien niiden maiden tietosuojan riittävyyspäätökset, jotka olivat jo hyötyneet myönteisestä päätöksestä.

Tämä on herättänyt reaktioita myös nykyisessä poliittisessa kontekstissa, ja 11 kansalaisyhteiskunnan järjestöä tuki 22. huhtikuuta julkaistussa avoimessa kirjeessä, jossa pyydettiin Euroopan oikeusasioista vastaavaa komissaaria selventämään päätöstään uusia Israelia koskeva tietosuojan riittävyyspäätös.

 Kirjeessä kyseenalaistetaan erityisesti riittävyyskriteerien noudattaminen kansallisen turvallisuuden tarkoituksia varten tapahtuvassa tietojen käsittelyssä, ihmisoikeuksien kunnioittaminen, oikeusvaltioperiaate ja oikeussuojan saatavuus.

Siirrot maihin, jotka eivät hyödy tietosuojan riittävyyspäätöksestä, ovat luonnollisesti edelleen mahdollisia, edellyttäen esimerkiksi, että on hyväksytty mallisopimuslausekkeet tai että yritysten ryhmässä on otettu käyttöön sitovia sääntöjä tiedonsiirtojen sääntelemiseksi.

Tukeakseen ryhmiä tässä prosessissa CNIL on juuri julkaissut itsearviointityökalun.

Tämä on kyselylomake, jonka avulla voimme varmistaa projektin kypsyystason suhteessa Euroopan tietosuojaneuvoston (EDPB) hyväksymien BCR-standardien vaatimuksiin.

CNIL suosittelee projektin testaamista ennen BCR-sääntöjen toimittamista hyväksyttäväksi.

Työkalun avulla voidaan varmistaa seuraavien sitoumusten tehokas täytäntöönpano:

• Vastuujärjestelmä, joka perustuu tietosuojasta vastaavaan eurooppalaiseen pääkonttoriin tai eurooppalaiseen tytäryhtiöön, jonka tehtävänä on delegoida se;
• Henkilöstön koulutusmenettely;
• Auditointimenettely yleisten sääntöjen noudattamisen varmistamiseksi;
• Sisäinen valitusten käsittelymenettely;
• Tietosuojavastaavien tai pätevien työntekijöiden verkosto sääntöjen noudattamisen valvomiseksi;
• Menettely yksityisyyden suojaa koskevan vaikutustenarvioinnin (PIA) suorittamisen asianmukaisuuden määrittämiseksi;
• BCR-sääntöjen osalta "alihankkijan" osalta alihankkijan velvoitteet rekisterinpitäjää kohtaan;
• Asianmukaiset tekniset ja organisatoriset toimenpiteet tietosuojaperiaatteiden noudattamisen varmistamiseksi.

CNIL tarjoaa interaktiivisen maailmankartan, josta voi nähdä kunkin maan tietosuojatilanteen, ja luettelo maista, joille on annettu tietosuojan riittävyyspäätös, on saatavilla Euroopan komission verkkosivuilla.

 

CNIL määräsi HUBSIDE.STORElle 525 000 euron sakon 4. huhtikuuta. sellaisten henkilötietojen hyödyntämisestä, jotka on hankittu harhaanjohtavasti suunniteltujen lomakkeiden avulla, joiden avulla rekisterinpitäjä ei pystynyt hankkimaan pätevää suostumusta.

Digitaaliasioiden valtiosihteeri esitteli 25. maaliskuuta Ranskan strategisen etenemissuunnitelman digitaaliselle vuosikymmenelle. Euroopan komission viestintäverkkojen, sisältöjen ja teknologian pääosaston pääjohtajan (DG Connect) läsnä ollessa.

Etenemissuunnitelma rakentuu neljän digitaalisen vuosikymmenen tavoitteiden saavuttamiseen tähtäävän työalueen ympärille:

• Digitaaliset taidot,
• Digitaalinen infrastruktuuri,
• Yritysten digitaalinen transformaatio ja
• Julkisten palvelujen digitalisointi.

La Quadrature du Net teki 2. toukokuuta valituksen CNIL:lle algoritmisen videovalvonnan (VSA) käyttöönotosta. jota hän pitää laittomana.

Prevent PCP -projektissa SNCF ja RATP yhdistävät joukon yrityksiä, mukaan lukien Atos-konserni ja ChapsVision. Hanke on julkisen sopimuksen muotoinen. Hankkeen avulla yritykset voivat ottaa käyttöön VSA-järjestelmiään Euroopan tärkeimmillä asemilla "hylättyjen matkatavaroiden" havaitsemiseksi matkatavaroiden omistajien tunnistamiseen ja seurantaan perustuvan menetelmän avulla.

Ranskassa näitä VSA-järjestelmiä on käytetty kuukausien ajan Pariisin Gare du Nordissa ja Gare de Lyonissa tai viime aikoina Gare de Marseille-Saint-Charlesissa.

 

Euroopan unionin toimielimet ja elimet

Euroopan tietosuojaneuvosto (EDPB) hyväksyi työohjelmansa vuosille 2024–2027 huhtikuun puolivälissä.

Seuraavien neljän vuoden aikana Euroopan tietosuojaneuvosto jatkaa GDPR:n noudattamisen edistämistä kehittämällä käytännön ohjeita ja materiaaleja laajemmalle yleisölle.

Myös lainsäädännön soveltamista koskeva yhteistyö on edelleen prioriteetti. 

Strategian uutena näkökohtana on painotus vuorovaikutukselle uuden digitaalisen sääntelykehyksen kanssa.

Euroopan tietosuojaneuvosto aikoo jatkossakin kiinnittää erityistä huomiota uusien teknologioiden, kuten tekoälyn, aiheuttamiin haasteisiin.

Euroopan tietosuojaneuvosto otti myös 17. huhtikuuta kantaa "maksa tai hyväksy evästeet" -malliin, jota sovelletaan suurten verkkoalustojen käyttäjiin.

Marraskuussa 2023 Meta otti käyttöön kuukausimaksun käyttäjille, jotka kieltäytyivät seurannasta personoitua mainontaa varten.

Kansalaisoikeusjärjestöt olivat reagoineet jättämällä useita valituksia toimivaltaisille tietosuojaviranomaisille, jotka pyysivät Euroopan tietosuojaneuvostolta sitovaa lausuntoa asiasta.

Tämä lausunto kyseenalaistaa Metan ja vastaavien alustojen asettaman mallin: komitean mukaan "useimmissa tapauksissa suuret verkkoalustat eivät pysty noudattamaan pätevän suostumuksen vaatimuksia, jos ne asettavat käyttäjät vain kahdenlaisen valinnan eteen: suostumuksen antamisen henkilötietojen käsittelyyn käyttäytymiseen perustuvaa mainontaa varten ja maksun maksamisen".

Komitea toistaa, että suostumuksen on oltava vapaaehtoinen ja että vaihtoehtoinen varoittavan maksun määrääminen estäisi vapaaehtoinen suostumus.

Se kehottaa alustoja ottamaan käyttöön vaihtoehtoisen mainontamallin, joka perustuu rajoitetumpaan henkilötietojen keräämiseen.

Euroopan komission aloite kannustaa suuria teknologiayrityksiä sitoutumaan vapaaehtoisesti "evästesitoumukseen", joka vähentäisi internetin käyttäjien seurantaa ja vahvistaisi heidän suostumustaan, ei ole saanut kannatusta.

Euronewsille puhuneen komission tiedottajan mukaan enemmistö yrityksistä katsoi, että vapaaehtoisen lähestymistavan käyttöönotto digitaalisessa mainonnassa oli "ennenaikaista, kun otetaan huomioon alan uuden lainsäädännön, kuten digitaalisten palvelujen asetuksen (DSA) ja digitaalisten markkinoiden asetuksen (DMA), äskettäin voimaantulo".

Euroopan unionin tuomioistuin totesi 11. huhtikuuta, että rekisterinpitäjää ei vapauteta GDPR:n mukaisesta vahingonkorvausvastuusta pelkästään sillä perusteella, että heidän alaisuudessaan toimiva henkilö ei noudattanut heidän ohjeitaan.

Korvauksena maksettavan vahingon määrän arvioinnissa ei pidä ottaa huomioon hallinnollisten sakkojen määräämiselle vahvistettuja kriteerejä.

Euroopan unionin tuomioistuimen julkisasiamies antoi 25. huhtikuuta lausuntonsa asiassa, joka koski Metan tapaa käyttää valittajan julkistamia tietoja.

Tietosuojavaltuutetun mukaan "tietojen minimoinnin periaatteen" soveltaminen rajoittaa henkilötietojen käyttöä mainontatarkoituksiin, vaikka käyttäjät olisivat antaneet suostumuksensa mainonnalle.

Tämä periaate on voimassa riippumatta käsittelyn oikeusperusteesta: edes käyttäjän, joka suostuu personoituun mainontaan, henkilötietoja ei voida käyttää loputtomiin.

Lisäksi yleisen tietosuoja-asetuksen 5(1) artiklan mukainen käyttötarkoituksen rajoittamisen periaate soveltuu edelleen verkkotietojen kaappaukseen: julkisesti saatavilla olevia tietoja (tässä tapauksessa arkaluonteisia) ei voida kerätä ja käsitellä muihin tarkoituksiin, kuten kohdennettuun mainontaan.

Kansalaisjärjestö noyb on tehnyt valituksen Itävallan tietosuojaviranomaiselle (APD) ChatGPT:n "hallusinaatioista", jotka rikkoisivat GDPR:n periaatteita.

noybin johtaja Max Schrems sanoi, että hänen valituksensa laukaisi ChatGPT, joka ei antanut tarkkaa syntymäaikaansa ja korvasi sen kaukaa haetulla arvauksella. Chatbot ei myöskään ilmoita käyttäjille, ettei sillä ole oikeita tietoja pyyntöön vastaamiseksi.

Tekoälyyrityksen kerrotaan kieltäytyneen korjaamasta tai poistamasta virheellisiä vastauksia eikä paljasta mitään tietoja käsitellyistä tiedoista, niiden lähteistä tai vastaanottajista.

DSA:n tultua voimaan elokuussa 2023 suurten verkkoalustojen ja hakukoneiden (”VLOP” ja ”VLOSE”) on tarjottava julkisesti saatavilla olevia ja läpinäkyviä mainosarkistoja.

Mozillan ja CheckFirstin yhteistyössä laatima uusi raportti tarkastelee tätä ongelmaa 11 yrityksen, kuten AliExpressin, Applen App Storen, Bingin, Booking.comin, Alphabetin (Google-haku ja YouTube), LinkedInin ja Metan (Facebook ja Instagram), tarjoamien palveluiden osalta.

Raportissa todetaan "alustojen välillä olevan suuria eroja" ja todetaan, ettei millään niistä ole "täysin toimivaa mainosarkistoa eikä mikään tarjoa tutkijoille ja kansalaisyhteiskunnan ryhmille työkaluja ja dataa, joita he tarvitsevat VLOP-mainosten vaikutuksen tehokkaaseen seurantaan tulevissa Euroopan vaaleissa" (GDPRtoday-sivuston mukaan).

  

Uutisia Euroopan jäsenmaista.

Belgian tietosuojaviranomainen (APD) katsoi 2. huhtikuuta, että käyttäjän päätelaitteen digitaalisen sormenjäljen keräämisen ("online-sormenjälkien ottaminen") tulisi periaatteessa perustua kyseisen henkilön suostumukseen.

Tämän tekniikan avulla rekisterinpitäjä voi tarjota palveluita, jotka tunnistavat verkkosivuston kävijän myös incognito-tilassa tai VPN:ää käytettäessä antamalla heille yksilöllisen tunnisteen.

Yhdessä käyttäjän sijainnin kanssa tämä tunniste mahdollistaa muun muassa käyttäjän käyntien määrän seuraamisen.

APD antoi varoituksen nimenomaisesti tietojen antamatta jättämisestä ja kyseisen henkilön yhteystietojen käyttämisestä markkinointisähköpostien lähettämiseen.

Tšekin tietosuojaviranomainen (APD) on määrännyt kyberturvallisuus- ja virustorjuntayritys Avastille 13,7 miljoonan euron sakon valituksen jälkeen. Kyseessä on suurin APD:n koskaan määräämä sakko.

Yritys ei anonymisoinut yli 100 miljoonan käyttäjän selaustietoja ennen niiden jakamista kolmansille osapuolille markkina-analyysitarkoituksiin.

On syytä muistaa, että Avastille asetettiin myös pakotteita Yhdysvalloissa helmikuussa Yhdysvaltain liittovaltion kauppakomission (FTC) toimesta, ja se joutui maksamaan yli 18 miljoonaa dollaria.

Häntä vastaan on tehty myös kollektiivinen rikosilmoitus Alankomaissa samoista rikoksista.

Suomessa Vastaamon psykoterapiakeskuksen potilastietoihin murtautunut hakkeri, joka vaati varastetuista tiedoista 400 000 euron lunnaita, tuomittiin Uudenmaan läntisessä käräjäoikeudessa kuuden vuoden ja kolmen kuukauden vankeusrangaistukseen. 

Tietomurto koskee noin 33 000 potilaan tietoja, mikä on ennennäkemätön määrä uhreja Suomen oikeushistoriassa. 

Tuolloin APD määräsi Vastaamolle 608 000 euron hallinnollisen sakon GDPR:n rikkomisesta, henkilötietojen turvalliseen käsittelyyn liittyvien velvoitteidensa laiminlyönnistä ja tietomurron ilmoittamisen viivästyttämisestä.

Yhtiön entinen toimitusjohtaja tuomittiin viime vuonna kolmen kuukauden ehdolliseen vankeuteen arkaluonteisten henkilötietojen suojaamatta jättämisestä.

Yhtiö on sittemmin hakeutunut konkurssiin.

Alankomaissa televiestintäkonserni Odido, aiemmin T-Mobile Nederland, sai 175 000 euron sakot. digitaalisen infrastruktuurin tarkastuksen toimesta liikennetietojen virheellisestä käsittelystä osana yhteishanketta kansallisen tilastoviraston kanssa.

Projektin tavoitteena oli kehittää algoritmi, joka pystyisi tarjoamaan tietoa suurten ihmisryhmien liikkeistä, mutta Odidon prosessit rikkoivat yksityisyyden suojaa koskevaa lainsäädäntöä: Odido oli huolehtinut käsiteltyjen tietojen pseudonymisoinnista, mutta ilman, että ketään asiakkaista olisi informoitu tutkimuksesta.

Kreikan tietosuojaviranomainen (APD) on määrännyt Kreikan postille 2 995 140 euron sakon. asianmukaisten turvatoimenpiteiden laiminlyönnistä, mikä johti yli neljään miljoonaan ihmiseen vaikuttaneeseen tietomurtoon.

Espanjan tietosuojaviranomainen AEPD päätti määrätä pankille 2 000 000 euron sakon. koska henkilötietojen käsittelyyn ei ole saatu heidän suostumustaan.

Rekisterinpitäjä myönsi väärinkäytöksensä ja maksoi lopulta alennetun 1 200 000 euron sakon. 

Espanjalainen hallintomenettelyjä koskeva laki (39/2015) sallii rekisterinpitäjän tunnustaa vastuunsa väitetystä rikkomuksesta ja/tai maksaa AEPD:n tutkintavaiheessa ehdottaman sakon vastineeksi 40 %:n alennuksesta sakon määrästä.

AEPD määräsi myös rekisterinpitäjälle 3 500 000 euron sakon asianmukaisen riskinarvioinnin laiminlyönnistä. ja joka oli laiminlyönyt vältettävissä olevia tietoturva-aukkoja, mikä johti 1,3 miljoonaan ihmiseen vaikuttaneeseen tietomurtoon.

Ruotsissa tietosuojaviranomainen (APD) antoi rekisterinpitäjälle huomautuksen siitä, että tämä pyysi rekisteröityjä toimittamaan kopion henkilöllisyystodistuksestaan. sekä postitse allekirjoitetut asiakirjat tietojen poistopyynnön yhteydessä, kun ei ole perusteltua syytä epäillä asianomaisten henkilöiden henkilöllisyyttä.

 

Grindriä vastaan on nostettu ryhmäkanne Yhdistyneessä kuningaskunnassa. väittäen, että LGBTQ-deittisovellus jakoi mainostajien kanssa arkaluonteisia tietoja käyttäjistään, kuten heidän HIV-statuksensa ja seksuaalisen suuntautumisensa.

BBC:n raportin mukaan sovelluksen väitetään käyttäneen "salaista seurantateknologiaa" näiden tietojen laittomaan keräämiseen ja jakamiseen kolmansille osapuolille (GDPRtoday-sivuston mukaan).

OECD:n neuvosto hyväksyi 3. toukokuuta tekoälyperiaatteiden tarkistukset.

Vastauksena tekoälyteknologioiden viimeaikaiseen kehitykseen, mukaan lukien generalistisen ja generatiivisen tekoälyn synty, päivitetyt periaatteet käsittelevät suoremmin tekoälyyn liittyviä haasteita yksityisyyden, immateriaalioikeuksien, turvallisuuden ja tietojen eheyden osalta.

Yhdysvalloissa Yhdysvaltain ulkomaisen tiedustelun valvontalain (FISA) pykälän 702 voimassaoloa on juuri jatkettu kahdeksi vuodeksi.

Tämä pykälä, joka valtuuttaa tiettyjen viestien rajoitetun ja ilman lupaa tapahtuvan valvonnan, on kongressin uusittava säännöllisesti.

Äänestyksen kerrottiin olleen kiistanalainen, sillä kongressi käsitteli useita ehdotuksia lain tekstin päivittämiseksi: Associated Pressin mukaan erimielisyyttä oli siitä, pitäisikö FBI:n lain käyttöä amerikkalaisten vakoiluun rajoittaa.

Senaatti hyväksyi lakiesityksen lopulta 20. huhtikuuta hyvin vähäisin muutoksin tekstiin.

Senaatti hyväksyi 23. huhtikuuta lain, joka suojaa amerikkalaisia ulkomaisilta vastustajilta valvotuilta sovelluksilta, ja jota on laajalti kuvattu TikTokin kielloksi.

Yhdysvaltain presidentti Joe Biden on juuri allekirjoittanut lain, joka pakottaa kiinalaisen alustan erottamaan Yhdysvaltain toimintonsa emoyhtiönsä ByteDancen toiminnoista tai hyväksymään, että Yhdysvaltain kansalaiset eivät enää voi käyttää palvelua. TikTok on jo ilmoittanut oikeustoimista.

Yhdysvaltain liittovaltion kauppakomission (FTC) 15. huhtikuuta antamassa määräyksessä syytetään mielenterveysalan telehealth-yritystä tietosuojakäytäntönsä rikkomisesta ja asiakkaiden harhaanjohtamisesta palvelujensa peruutuskäytännön suhteen.

Yhdysvaltain kauppakomissio FTC aikoo sakottaa Cerebral-yhtiötä ja sen toimitusjohtajaa 7 miljoonalla dollarilla asiakkaidensa henkilötietojen keräämisestä ja niiden myymisestä kolmansille osapuolille.

Euroopan ihmisoikeustuomioistuin käsittelee parhaillaan useita tuhansia tapauksia, jotka koskevat Turkissa annettuja tuomioita aseellisen terroristijärjestön jäsenyydestä. Tuomiot perustuvat väitettyyn Bylock-nimisen salatun viestintäsovelluksen käyttöön.

Hakijoiden mukaan heidän tuomionsa perustuivat heidän väitettyyn tämän sovelluksen käyttöön, joka turkkilaisten tuomioistuinten mukaan oli suunniteltu yksinomaan FETÖ/PDY-jäsenten käyttöön globaalin sovelluksen varjolla.

Heidän mukaansa kuka tahansa Bylockia käyttänyt voitaisiin periaatteessa tuomita pelkästään sillä perusteella aseelliseen terroristijärjestöön kuulumisesta.