Legal Watch nro 82 – huhtikuu 2025. 

Tietosuoja ja standardien yksinkertaistaminen: mitä meidän pitäisi odottaa?

Standardien yksinkertaistaminen, joka on toistuva keskustelunaihe Euroopassa, on saanut erityisen tärkeän aseman Valkoisen talon johdon vaihtumisen jälkeen.

Pariisin tekoälyhuippukokouksessa viime helmikuussa kilpailukyky nousi näin ollen yhdeksi prioriteetiksi Yhdysvaltojen sääntelyn purkamisen edessä.

Myös Euroopan komission työohjelmassa vuodelle 2025 pyritään nimenomaisesti edistämään talouskasvua tukemalla innovointia.

Miten tämä käytäntö vaikuttaa eurooppalaisiin tietosuojastandardeihin?

Tekoälyn alalla Eurooppa on ensinnäkin sitoutunut saavuttamaan asetuksen päätavoitteet ja samalla tarkastelemaan yritysten hallinnollista taakkaa.

Komissio pyytää toimialalta näkemyksiä silloin, kun sääntelyyn liittyvä epävarmuus haittaa tekoälyn kehitystä, ja sisällyttää ne laajempaan pyrkimykseen tarkistaa ja mahdollisesti poistaa joukko digitaalisia sääntöjä vuoden loppuun mennessä.

Tekoälyvastuudirektiivi, jonka tarkoituksena oli päivittää EU:n tuoteturvallisuussäännöt kattamaan tekoäly ja automaatio, on jo vedetty pois.

CCIA, Yhdysvaltojen tärkein suurten teknologiayritysten lobbausryhmä Brysselissä, suhtautui myönteisesti tähän lähestymistapaan ja vaati "suoraa hyökkäystä" asetusta vastaan.

Euroopan komissio tiedotti myös jäsenvaltioille huhtikuun lopussa luonnoksestaan ohjeiksi, jotka koskevat tekoälyasetuksen ja muiden asetusten, mukaan lukien GDPR:n, välistä suhdetta.

Hän työstää mallia tekoälyasetuksen edellyttämille perusoikeusvaikutusten arvioinneille (FRIA), jotta vältetään päällekkäisyys GDPR:n tietosuojavaikutusten arvioinnin kanssa.

Jäsenvaltiot puolestaan korostavat tarvetta tehostaa yhteistyötä muiden viranomaisten kanssa, jotta estetään kahden lippulaivalain johtaminen ristiriitaisiin päätöksiin tai päällekkäisiin tutkimuksiin.

Euroopan tietosuojaneuvosto (EDPB) valmistelee myös ohjeita GDPR:n ja tekoälyasetuksen välisestä vuorovaikutuksesta ja tutkii komission kanssa synergiamahdollisuuksia varmistaakseen tulkinnan johdonmukaisuuden, oikeusvarmuuden ja selkeyden toimijoille.

Entä GDPR? Komissio julkaisi viime heinäkuussa aiheesta arviointiraportin, joka paljasti erityisesti pk-yritysten huomattavan turhautumisen useissa eri suhteissa:

• Liialliset dokumentointivaatimukset,
• Tietosuojavastaavan palkkaamisen tai nimittämisen kustannukset
• Vaikeudet oikeusperustan valinnassa (oikeutettu etu / suostumus),
• Rajoitukset uusille teknologioille ja startup-yrityksille.

Tämä kritiikki heijastelee Italian entisen pääministerin Mario Draghin mielipidettä, jonka viime syyskuun talousraportti viittaa monimutkaisiin eurooppalaisiin lakeihin, jotka estävät maan taloutta saavuttamasta Yhdysvaltojen ja Kiinan eroa, ja mainitsee erityisesti tekoälyasetuksen ja GDPR:n.

Komissio aikoo ehdottaa pienille ja keskisuurille yrityksille tarkoitettua "yksinkertaistamispakettia" toukokuun lopussa, vaikka päivämäärä esitetäänkin suuntaa antavana: ehdotus yksityisyyden suojaa koskevien sääntöjen yksinkertaistamiseksi toimitettaisiin joka tapauksessa kesäkuuhun mennessä.

Muutoksiin voisi sisältyä tietojenkäsittelytoimien kirjaamista koskevien vaatimusten rajoittaminen tai tietosuojaa koskevien vaikutustenarviointien uudistaminen – kaksi sääntöä, joita pidetään erityisen rasittavina pk-yrityksille.

On myös syytä muistaa, että kansanedustaja Axel Voss ja kansalaisjärjestö Noybin puheenjohtaja Max Schrems – kaksi henkilöä, joiden näkemykset aiheesta ovat historiallisesti olleet vastakkaisia – yhdistivät voimansa viime maaliskuussa ehdottaakseen GDPR:n merkittävää tarkistusta, jonka tavoitteena on

• Yksinkertaistetaan pk-yritysten ja voittoa tavoittelemattomien organisaatioiden vaatimustenmukaisuutta,
• Laadi selkeämmät ja helpommin hallittavat säännöt suurille organisaatioille,
• Vahvista valvontakykyä tehokkaamman tietosuojan varmistamiseksi.

Vaikka tämä ehdotus heijastaa siirtymistä kohti pragmaattisia ratkaisuja, jotka yhdistävät yksityisyyden suojan ja liiketoiminnan realiteetit, toiset tuovat esiin tekstin uudelleen avaamisen riskit, sillä se saattaa kaatua lobbauspaineen alla, kuten digitaalisten oikeuksien puolustajaryhmä EDRi on korostanut.

On syytä muistaa, että GDPR:n kehitystä koskevat neuvottelut käynnistivät yhden Brysselissä koskaan nähdyistä suurimmista lobbausyrityksistä.

Teknologiayritykset käyttivät miljoonia dollareita yrittäessään vaikuttaa sääntöihin luonnosteluprosessin aikana, ja ehdotukseen oli tehty ennätysmäärä yli 3 000 tarkistusta Euroopan parlamentissa.

Nykyinen työ GDPR-menettelyasetuksen parissa, jonka tavoitteena on vahvistaa tietosuojaviranomaisten välistä yhteistyötä ja nopeuttaa päätöksentekoa rajat ylittävissä tapauksissa, saattaa hyvinkin vahvistaa, että tie helvettiin on päällystetty hyvillä aikomuksilla.

Komission, Euroopan parlamentin ja neuvoston välisten keskustelujen (kolmikantaneuvottelujen) jatkuessa jotkut varoittavat kompromissin syntymisen riskistä, joka paitsi epäonnistuu tarvittavien uudistusten toteuttamisessa, myös voi aiheuttaa uusia haavoittuvuuksia.

Kansalaisjärjestö Noyb totesi 17. huhtikuuta, että kolmikantaneuvottelut ovat johtaneet lainsäädännölliseen kaaokseen, joka todennäköisesti tekee menettelyistä monimutkaisempia, hitaampia ja alttiimpia oikeudellisille haasteille.

 

    

CNIL julkaisi vuoden 2024 vuosiraporttinsa 29. huhtikuuta.

Keskeisiä teemoja ovat kyberturvallisuus, josta on tulossa strateginen prioriteetti tulevina vuosina tietomurtojen huomattavan lisääntymisen (+20 %) ja torjuvien toimien vahvistumisen myötä.

Raportissa korostetaan myös alaikäisten oikeuksien kunnioittamisen, kaupallisen etsintätoiminnan valvonnan ja videovalvonnan sääntelyn tärkeyttä.

Samanaikaisesti CNIL vahvistaa eurooppalaista yhteistyötään suurten digitaalisten alustojen sääntelyn parantamiseksi ja jatkaa työtään tekoälyn parissa.

Komissio julkaisi myös 30. huhtikuuta ohjeensa suurten tietokantojen turvallisuuden vahvistamiseksi.

Nämä toimenpiteet laajentavat ja vahvistavat perusturvallisuusmääräyksiä.

Kuten ANSSI:n ensisijaiset kyberturvallisuustoimenpiteet tai tietovuotojen estämiseen tähtäävät toimenpiteet, niiden tarkoituksena ei ole luetella kaikkia riittäviä toimenpiteitä, vaan kiinnittää rekisterinpitäjien huomio turvatoimenpiteisiin, joita CNIL pitää tarpeellisina suurten tietokantojen yhteydessä, erityisesti massiivisen tietovuodon riskien osalta.

Kaksisataa ranskalaista mediaa on tehnyt valituksen Metaa vastaan "laittomista käytännöistä": Le Monden mukaan "useat lehdistöryhmät (Prisma, Les Echos-Le Parisien, CMI), kansalliset ja alueelliset päivälehdet sekä yksityiset ja julkiset yleisradioyhtiöt (TF1, RMC-BFM, France Télévisions ja Radio France) syyttävät Metaa siitä, että se on käyttänyt hyväkseen ajanjaksoa, jolloin he itse ottivat käyttöön käyttäjien suostumuksen henkilötietojen keräämiseen, kohdennettuun mainontaan".

 

Euroopan unionin toimielimet ja elimet

Euroopan komissio antoi 23. huhtikuuta kaksi ensimmäistä sakkoaan digitaalisten markkinoiden asetuksen (DMA) nojalla.

Tarkemmin sanottuna Applelle ja Metalle määrättiin 500 miljoonan ja 200 miljoonan euron sakot.

Komissio katsoo, että Apple ei ole noudattanut velvoitteitaan sovellusten saatavuudesta App Storessa.

Meta puolestaan on saanut 200 miljoonan euron sakot "suostumus tai maksu" -järjestelmänsä vuoksi.

Komissio katsoi, että tämä malli ei antanut käyttäjille erityistä mahdollisuutta valita vastaavaa palvelua, joka käyttäisi vähemmän henkilötietoja.

Huomaa, että tämän tutkinnan jälkeen Meta on ottanut käyttöön kolmannen vaihtoehdon, "vähemmän personoidut mainokset", jota komissio ei ole vielä arvioinut.

Komissio on julkaissut Digitaalinen Eurooppa (DIGITAL) -ohjelman puitteissa neljä uutta tarjouspyyntöä, joiden arvo on 140 miljoonaa euroa. Tavoitteena on edistää tekoälyn käyttöönottoa, edistää edistyneitä digitaalisia taitoja, laajentaa eurooppalaisten digitaalisten innovaatiokeskusten (EDIH) verkostoa ja torjua disinformaatiota.

Tässä yhteydessä se julkaisi 9. huhtikuuta ehdotuspyynnön tulevasta pilvi- ja tekoälylainsäädännöstä (Cloud and AI Development Act – CAIDA).

Tavoitteena olisi puuttua kilpailukykyisten eurooppalaisten pilvipalveluiden puutteeseen riittävässä mittakaavassa erittäin kriittisiin käyttötarkoituksiin, joihin liittyvät erityisen korkeat turvallisuusvaatimukset.

Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu esittelivät vuoden 2024 vuosikertomuksensa huhtikuun lopussa.

Euroopan tietosuojavaltuutettu korosti roolinsa kehittymistä eurooppalaisen tekoälyasetuksen valossa, jossa sen tehtävänä on toimia EU:n toimielinten valvonta- ja ilmoitusviranomaisena.

Euroopan tietosuojaneuvoston raportti tarjoaa yleiskatsauksen vuonna 2024 tehdystä työstä, mukaan lukien vuosien 2024–2027 strategian hyväksyminen, 64(2) artiklan mukaisen yhdenmukaisuusmekanismin mukaisten lausuntojen lisääntyminen sekä jatkuvat toimet ohjauksen ja oikeudellisen neuvonnan tarjoamiseksi erityisesti pk-yrityksille.

Euroopan tietosuojaneuvosto hyväksyi täysistunnossaan huhtikuussa 2025 ohjeet henkilötietojen käsittelystä lohkoketjuteknologioiden avulla.

Asiakirjassa korostetaan teknisten ja organisatoristen toimenpiteiden toteuttamisen tärkeyttä käsittelyn suunnittelun varhaisimmista vaiheista lähtien ja samalla eri toimijoiden roolien ja vastuiden määrittelemistä käsittelyssä.

Se korostaa tietosuojaa koskevien vaikutustenarviointien merkitystä ja antaa esimerkkejä tietojen minimointitekniikoista sekä henkilötietojen käsittelystä ja tallentamisesta. Ohjeet ovat avoinna kuulemiselle 9. kesäkuuta asti.

Hallinnollisten asiakirjojen saatavuuden osalta Euroopan unionin tuomioistuin on antanut tuomion, joka koskee tasapainoa tämän oikeuden ja näissä asiakirjoissa mainittujen henkilöiden tietojen suojan välillä.

Se katsoi, että yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c ja e alakohdat eivät estä lisätiedottamisvelvoitteita ja rekisteröidyn kuulemista ennen häntä koskevien henkilötietojen luovuttamista.

Nämä lisävelvoitteet eivät kuitenkaan saa rajoittaa kohtuuttomasti yleisön oikeutta tutustua näihin asiakirjoihin.

Euroopan unionin tuomioistuin julkaisee päivityksen temaattiseen lomakkeeseensa, jossa käsitellään sen tärkeimpiä tietosuoja-alan päätöksiä.

Asiakirja käsittelee yleisiin tietosuoja-asetuksiin ja alakohtaisiin säännöksiin (sähköinen viestintä ja rikosoikeus) liittyvää oikeuskäytäntöä. Siinä esitetään myös valikoima tuomioita, jotka koskevat monialaisia säännöksiä, ja korostetaan samalla perusoikeuskirjan roolia oikeuskäytännön kehittämisessä.

Meta-alustojen eurooppalaiset käyttäjät saivat huhtikuussa ilmoituksen, jossa heille kerrottiin Facebookin ja Instagramin käyttävän heidän tietojaan tekoälyn koulutustarkoituksiin. Ilmoituksessa oli myös linkki vastalauselomakkeeseen.

Norjan tietosuojaviranomainen (APD) julkaisi blogikirjoituksen, jossa selitettiin tämän päätöksen seurauksia ja yksilöiden käytettävissä olevia oikeussuojakeinoja. Se totesi myös, että se oli kysynyt Metalta ja muilta tietosuojaviranomaisilta, oliko se tutkinut tekoälykoulutuksen yhteensopivuutta alkuperäisen tavoitteen, käyttäjien viestien ja kuvien keräämisen, kanssa.

Kansainvälinen yksityisyyden suojan ammattilaisten yhdistys (IAPP) julkaisee taulukon, jossa esitetään yleiskatsaus digitaalisen turvallisuuden poikkeamien ilmoittamista ja tietojen jakamista koskevista vaatimuksista useissa eurooppalaisissa säädöksissä.

Se ottaa huomioon GDPR:n, poliisidirektiivin, sähköisen viestinnän tietosuojadirektiivin, tiedonhallinta-asetuksen, tietosuoja-asetuksen, NIS2-direktiivin, digitaalisen toiminnan kestävyyttä koskevan asetuksen, maksupalveludirektiivin 2, kyberturvallisuusasetuksen ja tekoälyasetuksen.

Microsoft on virallisesti ottanut käyttöön eurooppalaisen datan rajaamisen periaatteen pilvipalveluissa ja sitoutunut säilyttämään ja käsittelemään asiakkaidensa henkilötietoja yksinomaan EU:n ja EFTA-maiden sisällä.

Tiettyjen Azure-palveluiden tietoja voidaan kuitenkin siirtää EU:n ulkopuolelle, jos Microsoft katsoo sen tarpeelliseksi kyberturvallisuustutkimuksia varten.

Lisäksi on huomattava, että Cloud Act -laki sallii Yhdysvaltain viranomaisten käyttää amerikkalaisten yritysten tietoja riippumatta siitä, missä ne on tallennettu.

 

Uutisia Euroopan unionin jäsenmaista.

Saksan liittovaltion korkein oikeus katsoi, että oikeutetuilla yksiköillä (kuten kuluttajajärjestöillä) on oikeus nostaa kanteita kuluttajansuojalainsäädännön mukaisten GDPR-tiedonantovelvoitteiden rikkomisesta riippumatta siitä, mistä rikkomuksesta on kyse, ja ilman rekisteröityjen valtuutusta.

Tapaus koski Meta Platforms Ireland Ltd:n (Meta) laiminlyöntiä noudattaa käyttäjän suostumuksen hankkimiseen liittyviä lakisääteisiä vaatimuksia.

BelgiassaPäätöksessä muistutetaan, että GDPR:n soveltamisala ulottuu myös ammatillisiin tietoihin: APD määräsi 20 000 euron sakon yritysten välistä tiedonvälitystä harjoittavalle yritykselle, joka oli kerännyt ja paljastanut yrityksen toimitusjohtajan sähköpostiosoitteen.

APD muistutti myös, että rekisterinpitäjä ei voi pakottaa yksilöä luomaan verkkotiliä, jos se ei ole välttämätöntä, tässä tapauksessa valituksen tekemistä varten.

Yritys on tässä rikkonut tietojen minimoinnin sekä oletusarvoisen ja sisäänrakennetun tietosuojan periaatteita.

Espanjassa Valencian itsehallintoalueen puolesta sairaalatietoja hallinnoiva yritys (Marina Salud) on saanut 500 000 euron sakon nimitettyään toissijaisia alihankkijoita ilman rekisterinpitäjän lupaa, mikä on GDPR:n 28(2) artiklan vastainen.

Myös Espanjassa pankki sai 120 000 euron sakot asiakkaan henkilötietojen laittomasta käsittelystä GDPR:n artiklan 6(1) vastaisesti sen jälkeen, kun työntekijä oli jäljitellyt asiakkaan allekirjoitusta tietosuojasopimuksessa.

TikTok tuomittiin 2. toukokuuta Irlannin tietosuojaviranomainen 530 miljoonan euron sakkoon eurooppalaisten henkilötietojen laittomasta lähettämisestä Kiinaan ja niiden salaamisesta käyttäjiltään.

TikTokilla on kuusi kuukautta aikaa saattaa toimintansa GDPR:n mukaiseksi.

Irlantilainen tuomioistuin on vahvistanut tietosuojaviranomaisen (DPA) päätöksen, jonka mukaan työnantaja ei ollut rekisterinpitäjä työntekijänsä työpuhelimessa olevien ei-ammatillisten tietojen osalta.

Maltan APD julkaisee sarjan usein kysyttyjä kysymyksiä työntekijöiden sähköpostitilien hallinnasta heidän lähtiessään organisaatiosta.

Opas kannustaa työnantajia omaksumaan ennakoivan ja jäsennellyn lähestymistavan asiakkuuksien hallintaan sekä työsuhteen aikana että työntekijän lähdön jälkeen ja käsittelemään keskeisiä kysymyksiä, jotka koskevat yleisiä käytäntöjä, kuten automaattista sähköpostin edelleenlähetystä ja automaattisia vastausviestejä.

Romaniassa 4. ja 18. toukokuuta pidettyjen presidentinvaalien yhteydessä TikTok ilmoitti uusista toimenpiteistä, joilla pyritään estämään disinformaatiokampanja, joka on verrattavissa siihen, jonka väitetään auttaneen ehdokas Călin Georgescua nousemaan ensimmäisen kierroksen kärkeen viime marraskuussa.

Sovellus on myös käynnistänyt "vaalikeskuksen", joka tarjoaa tietoa, kuten tärkeitä päivämääriä ja linkkejä pysyvän vaaliviranomaisen verkkosivustolle, sekä julkaissut disinformaatiota koskevia tiedotusvälineitä.

Näihin toimenpiteisiin ryhdytään samaan aikaan, kun Euroopan komissio on käynnistänyt digitaalisten palveluiden säädöksen (DSA) mukaisen tutkinnan marraskuun tapahtumien selvittämiseksi.

 

Kiinassa kyberavaruushallinto on juuri ilmoittanut käynnistävänsä kolmikuukautisen kampanjan tekoälyteknologioiden väärinkäytön torjumiseksi. Internetin sääntelystä vastaavien osastojen on ohjattava verkkoalustoja kampanjan vaatimusten täyttämiseksi vahvistamalla tekoälyn tuottaman sisällön tarkistusmekanismeja, parantamalla havaitsemiskykyä ja varmistamalla korjaavien toimenpiteiden asianmukaisen toteuttamisen.

Yhdysvalloissa edustajainhuoneen energia- ja kauppavaliokunnan jäsenet ovat käynnistäneet tutkinnan Deepseekin kytköksistä Kiinan kommunistiseen puolueeseen. Chatbotin väitetään paitsi lähettävän tietoja Kiinaan, myös jakavan käyttäjien henkilötietoja muille puolueeseen kytköksissä oleville tahoille, kuten ByteDance Ltd:lle. Tekoälysovelluksen epäillään myös keräävän käyttäjiensä syketietoja.

Trumpin hallinto arvostelee Future of Privacy Forumia (FPF). Senaatin kauppavaliokunnan puheenjohtaja Ted Cruz (republikaani, Texas) vaatii FPF:ltä vastauksia väitteisiin, joiden mukaan FPF on käyttänyt liittovaltion avustuksia painostaakseen osavaltioita hyväksymään "vasemmistolaisia" tekoälylakeja. Senaattori Cruz on huolissaan siitä, että ryhmä ajaa avoimesti tekoälysääntelyä, joka on linjassa Bidenin hallinnon poliittisen ohjelman kanssa. Hän tarkastelee myös organisaatiolle myönnettyjä liittovaltion avustuksia.

Euractivin mukaan, joka viittaa Financial Timesin tietoihin, Euroopan komissio varustaa Yhdysvaltoihin lähetettävän henkilöstönsä kertakäyttöisillä puhelimilla valvontaan liittyvien huolenaiheiden vuoksi. "EU:n toimeenpanovallan uudet ohjeet, joissa myös suositellaan peruskannettavien tietokoneiden käyttöä Yhdysvaltoihin matkustettaessa, ovat samanlaisia kuin Ukrainaan tai Kiinaan matkustettaessa. Kaikkia työntekijöitä kehotetaan sammuttamaan laitteensa ja laittamaan ne erilliseen vakoilunestotaskuun maahan saapuessaan."

CNN raportoi, että Trumpin hallinto on Palantirin avustuksella perustamassa "yleistä tietokantaa maahanmuuttovalvonnan ja karkotusten nopeuttamiseksi yhdistämällä arkaluonteisia tietoja koko liittovaltion hallinnosta", luomalla "kohdelistoja" ja pidättämällä kohdennettuja henkilöitä. Wired raportoi aiemmin, että "DOGE kokoaa yhteen maahanmuuttotietokantoja koko kotimaan turvallisuusministeriöltä (DHS) ja lataa tietoja ulkopuolisilta virastoilta, mukaan lukien sosiaaliturvavirastolta (SSA), sekä äänestystietoja", joiden kerrotaan olevan Palantirin kehittämässä ohjelmistossa.