Legal Watch nro 81 – maaliskuu 2025. 

Tietomurrot: mitä lainvalvontaa ja mitä seuraamuksia?

Kukapa ei olisi äskettäin saanut sähköpostia telepalveluntarjoajaltaan tai kansalaisjärjestöltä, jolle hän tekee kuukausittaisen lahjoituksen, jossa hänelle ilmoitetaan yhteystietojensa, tunnistetietojensa ja joskus myös pankkitietojensa joutumisesta vääriin käsiin?

Tietomurtojen lisääntyessä IT-järjestelmien suojaamisesta on tulossa merkittävä kysymys yrityksille.

GDPR:n ja NIS2-direktiivin voimaantulon jälkeen tietojenkäsittelyn turvallisuutta on säännelty tiukasti, ja rikkomuksista voidaan määrätä rekisterinpitäjille ankaria seuraamuksia.

Velvoitteista on mainittava velvollisuus ilmoittaa CNIL:lle ja asianomaisille henkilöille rikkomuksesta tietyin edellytyksin, korjata rikkomus ja ryhtyä kaikkiin hyödyllisiin toimenpiteisiin sen seurausten lieventämiseksi.

CNIL:llä on laajat tutkintavaltuudet, ja sen tehtävänä on tukea, mutta myös määrätä seuraamuksia rekisterinpitäjille, kun tietoturvaloukkaus on tietoturvaloukkauksen syynä.

Komissio on määrännyt useita seuraamuksia viime vuosina:

• Bouygues Telecomille määrättiin 250 000 euron sakko vuonna 2017 riittämättömän turvallisuuden vuoksi sen B&You-asiakassivustolla, joka mahdollisti pääsyn kahden miljoonan asiakkaan sopimuksiin URL-osoitteen muokkauksen kautta.
• Vuonna 2016 Uber sai 400 000 euron sakot tietoturvaloukkauksesta, joka vaaransi 57 miljoonaa tiliä, ja siitä, ettei se ilmoittanut asiasta CNIL:lle lainmukaisessa määräajassa.
• Hiljattain Dedalus Biologie paljasti 500 000 potilaan terveystiedot alihankkijan palvelimen virheellisen konfiguroinnin vuoksi, ja CNIL määräsi sille 1,5 miljoonan euron sakot.
• Lopulta viime lokakuussa kryptovaluuttojen tietoturvayritys Ledger sai 750 000 euron sakot asiakkaidensa tietojen riittämättömästä suojaamisesta. Yritys oli kärsinyt – ja pysynyt hiljaa – useista henkilötietomurroista vuonna 2020, jotka vaikuttivat lukuisiin asiakkaisiin ja potentiaalisiin asiakkaisiin.

Komissio näyttää kuitenkin tällä hetkellä suosivan tukea pakotteiden sijaan.ja julkaisee verkkosivuillaan lukuisia suosituksia rekisterinpitäjille.

Vuoden alussa se reagoi vuonna 2024 miljooniin ihmisiin vaikuttaneisiin laajamittaisiin tietomurtoihin ja ehdotti turvallisuuden vahvistamistoimenpiteitä hyökkäysriskien torjumiseksi.

CNIL vaatii yrityksen sisäisiä menettelytapoja sekä varotoimia alihankinnan yhteydessä.

Muualla Euroopassa, Monet yritykset saavat sakkoja muutamasta tuhannesta useisiin satoihin tuhansiin euroihin esimerkiksi siitä, että ne "unohtavat" poistaa entisten työntekijöiden tietokonejärjestelmän käyttöoikeudet, tekevät virheen pankkisovelluksen suunnittelussa tai verkkosivuston kokoonpanossa, lähettävät vahingossa SIM-kortin väärälle asiakkaalle, lataavat asiakastiedoston WhatsAppiin tai eivät valvo riittävästi alihankkijan käytäntöjä.

Ylikansallisella tasollaMyös Euroopan unionin tuomioistuin antaa selvennyksiä, erityisesti uhrien korvausten osalta.

Jos henkilön on näytettävä toteen tietomurron aiheuttama haitta, haitta ei saa saavuttaa tiettyä vakavuusastetta (asiat C-300/21, C-590/22).

Näin ollen henkilön kokema pelko siitä, että hänen henkilötietojaan on luovutettu kolmansille osapuolille, voi johtaa oikeuteen korvaukseen, edellyttäen että henkilö esittää näyttöä pelostaan ja sen kielteisistä seurauksista (asia C-340/21, asia C-687/21, asia C-590/22).

EU-tuomioistuin totesi myös, että henkilötietojen varastamisesta aiheutuneen henkisen vahingon korvaaminen ei rajoitu tapauksiin, joissa osoitetaan, että se tosiasiallisesti johti identiteettivarkauteen.

Korvattavaa vahinkoa voi siis olla olemassa ilman identiteettivarkauden toteamista. (Asiat C-182/22 ja C-189/22).

Kollektiivisten kanteiden kehittyessä yritykset, jotka eivät ota tietomurtojen riskejä vakavasti, altistavat itsensä paitsi CNIL:n sanktioille myös yksityishenkilöiden oikeustoimille.

 

 

Kansalliskokous äänesti torstai-iltana 20. maaliskuuta salattujen viestipalveluiden luottamuksellisuuden säilyttämisen puolesta..

Toimenpide mahdollisti vaatia näitä viestintäalustoja (Signal, WhatsApp jne.) välittämään ihmiskauppiaiden viestintää tiedustelupalveluille.

"Parlamentin jäsenet poistivat viime viikolla lakivaliokunnassa tämän toimenpiteen, joka on yhdistänyt monia kyberturvallisuusalan toimijoita ja asiantuntijoita sitä vastaan. Heidän näkemyksensä mukaan on liian suuri riski luoda haavoittuvuus, joka vaarantaisi kaikkien näiden alustojen käyttäjien keskustelut."

Jotta asianomaiset ammattilaiset "pystyvät valmistautumaan tuleviin kuulemisiin tai keskusteluihin", CNIL esitteli 27. maaliskuuta työohjelman ja suuntaviivat, jotka se haluaa hyväksyä vuonna 2025.

Käsiteltävien aiheiden joukossa ovat tekoälyä koskevat käytännön oppaat, alihankkijoita, terveydenhuoltoa, pankkialaa, markkinoinnin ja henkilöstöhallinnon alojen tietojen säilytysaikoja koskevat luonnokset, kolme suositusluonnosta "usean laitteen" suostumuksesta, sähköpostien pikseleistä ja senioritaloudesta. Lopuksi CNIL jatkaa työtään kojelautakameroiden ja poliittisen vaalikampanjan parissa.

CNIL:n päätös, jolla Euroopan lääkevirastolle annetaan tietyin ehdoin lupa käyttää SNDS:n tietokantoja DARWIN-hankkeen puitteissa (Data Analysis and Real-World Interrogation Network) EU, julkaistiin Légifrance-sivustolla.

Komissio kritisoi ekstraterritoriaalisen lain alaisen hosting-palveluntarjoajan valintaa, joka altistaa sen arkaluonteisten tietojen luovuttamisen riskille ulkovalloille, mutta sallii kuitenkin käsittelyn kolmeksi vuodeksi tietootoksen osalta ja yhteen vuoteen tutkimuksen julkaisemisen jälkeen.

Ranskan kilpailuviranomainen määräsi Applelle 150 miljoonan euron sakon 28. maaliskuuta päivätyllä päätöksellä. "määräävän markkina-aseman väärinkäytöstä mobiilisovellusten jakelusektorilla iOS- ja iPadOS-laitteilla."

Toimenpide kohdistuu erityisesti Applen sovellusten seurannan läpinäkyvyyteen (ATT), jonka avulla käyttäjät voivat helposti valita, haluavatko he ottaa kolmannen osapuolen seurannan käyttöön vai eivät.

Viranomainen katsoo, että itse kehys "ei ole perustavanlaatuisesti ongelmallinen", mutta huomauttaa, että ATT tekee kolmannen osapuolen sovellusten käytöstä iOS-ympäristössä kohtuuttoman monimutkaista vaatimalla useita suostumusponnahdusikkunoita.

Hakemus rankaisisi erityisesti pienempiä kustantajia, "jotka ovat pitkälti riippuvaisia kolmannen osapuolen tiedonkeruusta liiketoimintansa rahoittamiseksi".

Päätöksessä, joka on päivätty 1. huhtikuuta, Uuden-Kaledoniassa sijaitsevan valtioneuvoston päätös TikTokin estämisestä viime kevään mellakoiden aikana on ratkaistu.

Vaikka se katsoo, että tässä nimenomaisessa tapauksessa pätevyyden edellytyksiä ei täyttynyt, se kuitenkin määrittelee ehdot, joiden täyttyessä tällainen sosiaalisen verkoston estäminen voisi olla laillista, ja katsoo, että hallintoviranomainen "voi (...) turvautua tällaiseen [esto]toimenpiteeseen poikkeuksellisissa olosuhteissa, jos se on välttämätöntä hetkellisten tarpeiden täyttämiseksi".

Mittarin tulisi olla:

• Välttämätön erityisen vakavien tapahtumien käsittelyssä;
• Ilman teknisiä keinoja, jotka mahdollistaisivat vaihtoehtoisten toimenpiteiden välittömän toteuttamisen;
• Ja otettu "rajoitetuksi ajaksi, joka on tarpeen näiden vaihtoehtoisten toimenpiteiden tutkimiseksi ja toteuttamiseksi".

 

Kassaatiotuomioistuimen sosiaalijaosto vahvisti 26. maaliskuuta antamassaan päätöksessä työntekijän oikeuden saada osittainen kopio joidenkin kollegoidensa palkkakuiteista osoittaakseen epäoikeudenmukaisen kohtelun. hänen uransa etenemisessä.

Oikeus toistaa tiedon minimoinnin periaatteen ja täsmentää, että käräjäoikeuden tuomarin vastuulla on "varmistaa, että tiedot, joiden on pysyttävä näkyvissä, ovat riittäviä, olennaisia ja rajoittuvat tiukasti siihen, mikä on olennaista työntekijöiden vertailun kannalta, ottaen huomioon väitetyn syrjinnän perusteen tai perusteet".

 

Euroopan unionin toimielimet ja elimet

Politico ilmoitti huhtikuun 3. päivänä julkaistussa artikkelissa, että Euroopan komissio aikoo esittää lähiviikkoina ehdotuksen GDPR:n yksinkertaistamiseksi..

Julkaisun mukaan tämä on "yksi EU:n toimeenpanovallan puheenjohtajan Ursula von der Leyenin prioriteeteista, joka pyrkii tekemään vanhan mantereen yrityksistä kilpailukykyisempiä verrattuna kilpailijoihinsa Yhdysvalloissa, Kiinassa ja muualla".

Komissio julkisti 1. huhtikuuta etenemissuunnitelmansa "uudelle Euroopan sisäisen turvallisuuden strategialle" nimeltä ProtectEU, jonka tavoitteena on erityisesti laajentaa Europolin ja Frontexin valtuuksia.

Komissio aikoo arvioida tietojen säilyttämistä koskevien sääntöjen vaikutusta EU:n tasolla ja laatia teknologiaa koskevan etenemissuunnitelman salauksesta "tunnistaakseen ja arvioidakseen teknologisia ratkaisuja, jotka mahdollistaisivat lainvalvontaviranomaisten pääsyn salattuihin tietoihin laillisesti samalla suojaten kyberturvallisuutta ja perusoikeuksia".

Euroopan unionin tuomioistuimen (CJEU) julkisasiamies katsoo 27. maaliskuuta antamissaan päätelmissä, että WhatsApp, koska asia koskee sitä suoraan, voi riitauttaa Euroopan tietosuojaneuvoston sitovan päätöksen Euroopan tuomioistuimessa SEUT-sopimuksen 263 artiklan nojalla.

Muistutuksena, Euroopan tietosuojaneuvoston 28. heinäkuuta 2021 tekemän päätöksen jälkeen Irlannin tietosuojavaltuusto hyväksyi GDPR:n yhdenmukaisuusmekanismin puitteissa päätöksen, jossa se totesi rikkomukset ja määräsi korjaavia toimenpiteitä ja hallinnollisia sakkoja yhteensä 225 miljoonan euron arvosta.

WhatsApp oli riitauttanut Euroopan tietosuojaneuvoston päätöksen Euroopan unionin tuomioistuimessa ja samanaikaisesti Irlannin APD:n lopullisen täytäntöönpanopäätöksen irlantilaisessa tuomioistuimessa.

Yleiskokous katsoi samana päivänä myös, että päivittäisen uutiskirjeen lähettäminen on "suoramarkkinointia" "samankaltaisille tuotteille tai palveluille" sähköisen viestinnän tietosuojadirektiivin tarkoittamalla tavalla, ja katsoi, että jos henkilötietojen käsittely on laillista tämän säännöksen perusteella, yleisen tietosuoja-asetuksen 6 artiklaa ei sovelleta: jos sähköisen viestinnän tietosuojadirektiivissä on erityinen säännös, joka sisältää velvoitteita, joilla on sama tavoite kuin vastaavilla yleisen tietosuoja-asetuksen säännöksillä, on sovellettava sähköisen viestinnän tietosuojasäännöstä.

Maaliskuun 20. päivänä tuomioistuin päätti lopulta, että yleinen tietosuoja-asetus antaa rekisteröidyille oikeuden kieltomääräykseen laittoman käsittelyn tapauksissa. Tämä ennaltaehkäisevä kieltomääräyksen hakemisen vaihtoehto ei lievennä tällaisesta laittomasta käsittelystä aiheutuvia korvaavia aineettomia vahinkoja.

Euroopan unionin tuomioistuin päätti 13. maaliskuuta, että yleisen tietosuoja-asetuksen 16 artikla edellyttää julkiseen rekisteriin virheellisesti merkityn transsukupuolisen henkilön sukupuolen oikaisua.

Vaikka toimivaltainen viranomainen voi pyytää todisteita tietojen epätarkkuudesta, sen vaatiminen, että asianomaiselle henkilölle on tehty sukupuolenkorjausleikkaus, on hänen ihmisoikeuksiensa loukkaus.

 

Uutisia Euroopan unionin jäsenmaista.

Saksassa liittovaltion korkein oikeus vahvisti 500 euron korvauksen kantajalle hänen maineensa vahingoittumisesta aineettomina vahinkoina. GDPR:n 82 artiklan mukaisesti.

Lisäksi se totesi, että tuomioistuin ei voi ottaa huomioon GDPR-rikkomuksen vakavuutta eikä syyllisyyskysymystä vahingonkorvausten määrää määrittäessään.

Itävallan tietosuojaviranomainen (APD) on määrännyt valokuvaajan ottamat kuvat tuhottaviksi, koska ne eivät ole GDPR:n mukaisia..

Valokuvaaja oli julkaissut julkisella verkkosivustolla kadulla otettuja kuvia tunnistettavista ihmisistä, erityisesti lapsista ja naisista, arkaluontoisissa yhteyksissä ilman pätevää oikeudellista perustetta tai riittäviä takeita (tiedonanto, vastustusoikeus).

Noyb-yhdistys on juuri kärsinyt takaiskun Brysselin muutoksenhakutuomioistuimessa..

Maaliskuun 19. päivänä antamassaan päätöksessä oikeus totesi, että...Yhdistyksen välittämien valitusten on osoitettava, että asia koskee asianomaisen henkilökohtaista etua..

Tässä nimenomaisessa tapauksessa markkinaoikeus toteaa, ettei se ole löytänyt kantajien taholta mitään perustetta tällaiselle edulle evästeisiin liittyvien sääntöjen rikkomisen osalta.

Hän mainitsee muiden viitteiden ohella, että Noyb ei väitä missään vaiheessa oikeudenkäyntiä, että kantajat olisivat olleet säännöllisiä tai edes satunnaisia kävijöitä kyseisillä verkkosivustoilla/sanomalehdissä.

Myös Belgiassa eroottinen sauna sai varoituksen APD:n oikeudenkäyntikamarilta erityisesti verkkosivuston vieraskirjan pitämisestä, joka mahdollisti asiakkaita koskevien arkaluonteisten tietojen levittämisen julkisesti.

APD pani merkille tietosuojakäytännön läpinäkyvyyden puutteen, tietojenkäsittelyn oikeusperustan puuttumisen ja käsittelytoimien rekisteriin liittyvien velvoitteiden noudattamatta jättämisen.

Espanjassa APD sakotti pankkia 3 500 000 eurolla vakavasta pankkisovelluksen suunnitteluvirheestä, joka mahdollisti asiakkaiden pääsyn tileille, joihin heillä ei ollut valtuutusta.

Vakuutusyhtiölle määrättiin myös 1 000 000 euron sakko koodausvirheestä, jonka seurauksena 3 395 henkilön henkilötietoja, mukaan lukien arkaluonteisia tietoja, lähetettiin sähköpostitse 354 vastaanottajayritykselle.

Kreikassa APD sakotti pankkia 3 000 eurolla, koska se ei ollut toteuttanut asianmukaisia turvatoimenpiteitä sisäisen tietomurron jälkeen.

Työntekijä oli säilyttänyt virheellisesti järjestelmänvalvojan oikeudet lähdettyään yrityksestä ja käyttänyt luvattomasti yli 6 000 muun työntekijän tietoja.

Samankaltaisen päätöksen on pannut merkille Italian tietosuojaviranomainen (APD).

Tekstiviestiroskapostia koskevassa tapauksessa Kreikan tietosuojaviranomainen (APD) pyysi kansallista verkkotunnusnimiviranomaista jäädyttämään kyseisen yrityksen verkkotunnuksen sillä perusteella, että verkkotunnusta käytettiin vilpillisesti tai yleisen järjestyksen vastaisesti.

Huomautus että ICANN-tasolla rekisterinpitäjät ovat "jäädyttäneet 2 528 verkkotunnusta ja poistaneet käytöstä 328 tietojenkalasteluoperaatioihin käytettyä verkkosivustoa" osana pyrkimyksiä vaatimustenmukaisuustoimenpiteiden toteuttamiseksi.

Italian tietosuojaviranomainen (APD) on määrännyt energiayhtiölle 300 000 euron sakon henkilötietojen laittomasta käsittelystä suoramarkkinointitarkoituksiin, tietosuojaperiaatteiden laiminlyönnistä ja työnhakijoiden laiminlyönnistä tiedottamisesta heidän tietojensa käsittelystä.

Luxemburgin hallinto-oikeus on vahvistanut APD:n vuonna 2021 Amazonin tytäryhtiölle määräämän 746 000 000 euron sakon verkkosivuston kävijätietojen laittomasta käsittelystä kiinnostuksen kohteisiin perustuvaa mainontaa varten, läpinäkyvän tiedon toimittamatta jättämisestä ja useiden rekisteröityjen oikeuksien loukkaamisesta.

Vaikka Amazonin kerrotaan harkitsevan valitusta, APD ilmoitti, ettei se aio antaa mitään yksityiskohtia päätöksestään valitusjakson aikana tai mahdollisista menettelyistä.

Puolan tietosuojaviranomainen (APD) on määrännyt postilaitokselle 6,3 miljoonan euron sakon, koska se toteutti 30 miljoonaa kansalaista koskevan hallituksen tietojenkäsittelypyynnön Covid-pandemian aikana järjestettyjen vaalien yhteydessä tarkistamatta pyynnön oikeusperustaa. 

La Posten olisi pitänyt odottaa, kunnes kaikki muutoksenhakukeinot tätä päätöstä vastaan oli käytetty, ja tuomioistuimet lopulta kumosivat päätöksen.

 

Ison-Britannian verkkoturvallisuuslaki (Online Safety Act) astui voimaan 17. maaliskuuta. Se velvoittaa verkkoalustoja toteuttamaan useita toimenpiteitä, joilla pyritään vähentämään lapsille aiheutuvia riskejä ja poistamaan haitallista sisältöä yleisemmin.

Brittiläisillä palveluntarjoajilla on 16. maaliskuuta asti aikaa tehdä palveluidensa riskinarviointeja.

Yhdistyneen kuningaskunnan sääntelyviranomainen (Ofcom) on kehittänyt hyviä käytäntöjä koskevan säännöstön ja täytäntöönpano-ohjelman.

Tämän lain kriitikot arvostelevat erityisesti sen soveltamisalaa harmailla alueilla, kuten häirinnässä tai käyttäytymisen valvonnassa, ja siitä johtuvia sensuurin riskejä.

Tämä laki tulee kahden muun brittiläisen säädöksen lisäksi, jotka saattavat hyvinkin heikentää Yhdistyneen kuningaskunnan kesäkuussa tekemän tietosuojan riittävyyspäätöksen uusimista: Euroopan parlamentin tutkimuspalvelun julkaisemassa muistiossa viitataan datalakiin ja tutkintavaltuuksia koskevan lain muutokseen, joilla molemmilla pyritään laajentamaan hallituksen ja lainvalvontaviranomaisten pääsyä käyttäjätietoihin.

Australian tiedotusvaltuutetun toimisto julkaisi 19. maaliskuuta tutkimuksen Australian julkisen sektorin virastojen viestintäsovellusten käyttöön liittyvistä käytännöistä ja toimintatavoista.

Raportissa todetaan, että viestintäsovelluksia käytetään yleisesti Australian julkishallinnossa ilman asianmukaista valvontaa tai menettelytapoja. Tutkimuksessa esitetään luettelo suosituksista tämän korjaamiseksi.

Kanadan tietosuojavaltuutettu on juuri julkaissut työkalun, jolla voidaan arvioida, aiheuttaako henkilötietojen tietoturvaloukkaus todellisen merkittävän vahingon riskin yksilöille.

Kiinassa "Kansallinen internet-tietotoimisto" julkaisi 13. maaliskuuta biometristen teknologioiden soveltamista koskevat turvallisuusnhallintatoimenpiteet, jotka edellyttävät, että kasvojentunnistustoiminnoissa noudatetaan sovellettavia lakeja, toteutetaan turvatoimenpiteitä ja minimoidaan vaikutus ihmisoikeuksiin.

Saksalainen sanomalehti Der Spiegel ilmoitti 26. maaliskuuta päässeensä käsiksi joidenkin amerikkalaisten turvallisuusviranomaisten, kuten puolustusministerin ja entisen Fox Newsin juontaja Pete Hegsethin, henkilötietoihin, verkkoyhteystietoihin ja jopa salasanoihin.

Toimittajat käyttivät julkisia hakukoneita sekä "hakkeroineet asiakastietoja", jotka oli julkaistu verkossa.

Myös kansallisen turvallisuuden neuvonantaja Mike Waltzin ja kansallisen tiedustelupalvelun johtajan Tulsi Gabbardin uskotaan olevan niiden joukossa, joiden tietoja vuoti verkkoon.

Myös Yhdysvalloissa tekoälyn sääntely on lisääntymässä merkittävästi: vuonna 2024 tunnistettiin yli 600 tekoälyyn liittyvää lakiesitystä, joista lähes 100 on säädetty.

Suojaustaso kuitenkin vaihtelee suuresti osavaltioittain.

"Multistate"-verkkosivuston tarjoaman seurantatyökalun avulla voit visualisoida vuoden 2025 määräysten tilan.

Samaan aikaan presidentti Trump erotti 18. maaliskuuta kaksi demokraattijäsentä Yhdysvaltain liittovaltion kauppakomissiosta (FTC), mikä lisäsi epävarmuutta Yhdysvaltojen kuluttajansuojan ja valvontamekanismien tehokkuudesta ja heikensi entisestään transatlanttisen tietosuojasopimuksen vakautta.

Vietnamissa tietosuojalaki voitaisiin hyväksyä keväällä.

Hallitus hyväksyi äskettäin päätöslauselman lainsäädäntöprosessin nopeuttamiseksi, ja yleisen turvallisuuden ministeriölle annettiin tehtäväksi toimittaa lakiesitys kansalliskokoukselle virallista hyväksyntää varten toukokuussa 2025.

Edistyneillä tekoälykuvageneraattoreilla on merkittäviä vaikutuksia tietosuojaan, kuten L. Jarosvkyn artikkeli osoittaa.

• ”Ghibli”-efekti, jonka avulla voi luoda kuvia kuuluisien Myasakin sarjakuvien tyyliin, on viime päivinä saanut tuhannet ihmiset lataamaan vapaaehtoisesti kasvojaan ja henkilökohtaisia valokuviaan ChatGPT:hen, antaen näin OpenAI:lle suoran ja ilmaisen pääsyn useisiin tuhansiin uusiin kasvoihin tekoälymalliensa kouluttamiseksi.
• Kuvageneraattorit tekevät myös väärennettyjen todisteiden luomisesta erittäin helppoa, halpaa ja saatavilla olevaa. Kuka tahansa pahantahtoinen voi siis luoda väärennettyjä laskuja, henkilöllisyystodistuksia, osoitetodistuksia tai jopa pankkiasiakirjoja minuuteissa ja käytännössä ilmaiseksi, mikä lisää identiteettivarkauden riskiä.