Legal Watch nro 67 – tammikuu 2024.

Tietosuojavastaavien rooli ja resurssit: vuoden tarkastusten tulokset

CNIL ja sen eurooppalaiset vastineet julkaisivat 17. tammikuuta tutkimustensa tulokset tietosuojavastaavien (DPO) roolista ja resursseista GDPR:n soveltamisen yhteydessä.

Euroopan tietosuojaneuvosto (EDPB) toteutti koordinoituja eurooppalaisia toimia tämän aiheen parissa vuonna 2023.

Tietosuojavastaavan päätehtäviin, kuten yleisen tietosuoja-asetuksen 37–39 artiklassa säädetään, kuuluvat rekisterinpitäjän tiedottaminen ja neuvominen tietosuoja-asioissa (mukaan lukien vaikutustenarviointien suorittaminen), henkilöstön tiedottaminen ja kouluttaminen sekä tietoturvaloukkausten seuranta.

Tietosuojavastaava tekee yhteistyötä valvontaviranomaisen kanssa ja toimii yhteyshenkilönä henkilöille, joiden tietoja käsitellään.

Tietosuojaviranomaisten tutkimukset perustuivat kaikkien siihen kuuluvien viranomaisten yhdessä laatimaan kyselylomakkeeseen.

Ranskassa CNIL tarkasti 14 rekisterinpitäjää ja täydensi kyselylomakkeen lähettämistä useilla paikan päällä tehtävillä tarkastuksilla.

Tarkastukset koskivat julkisia toimijoita, kuten sairaaloita, yliopistoja, kuntia, hallintokeskuksia sekä yksityisiä toimijoita luksus- ja kuljetusaloilla.

Tarkastettujen virkamiesten erityisen pieni määrä on huomionarvoista.

Kuten useat eurooppalaiset viranomaiset, CNIL on päättänyt suorittaa rajoitetun määrän perusteellisia tutkimuksia, kun taas toiset viranomaiset ovat ottaneet yhteyttä kymmeniin tuhansiin johtajiin suorittamatta kuitenkaan yhtä perusteellisia tarkastuksia.

Euroopan tietosuojaneuvoston raportissa otetaan nämä lähestymistapojen erot huomioon analyysissään.

CNIL antaa kaiken kaikkiaan myönteisen arvion tietosuojavastaavan roolista ja resursseista.

Hän huomauttaa, että heillä on yleensä riittävästi resursseja.

Hän kuitenkin korostaa suuria eroja julkisten rakenteiden tietosuojavastaaville osoitettujen resurssien välillä, sillä he työskentelevät usein yksin, erityisesti pienissä yhteisöissä, kun taas yksityisen sektorin tietosuojavastaavilla on yleensä tiimi.

Tämä havainto on vahvistettu Euroopan tasolla.

Havaittuihin puutteisiin kuuluu eturistiriitojen riski tietosuojavastaavan tehtävien ja muiden hänelle annettujen tehtävien välillä sekä tietosuojavastaavan puuttuminen tietosuojaa koskevaan päätöksentekoon.

CNIL ilmoittaa tässä yhteydessä, että se on (tämän tutkinnan ulkopuolella) määrännyt sosiaalialan organisaatiolle 10 000 euron sakon, koska valtuutettu ei kyennyt hoitamaan tehtäviään asianmukaisesti: hän ei ollut riittävästi mukana henkilötietojen suojaan liittyvissä asioissa ja hänen tehtävistään puuttui näkyvyyttä organisaation työntekijöille.

Eurooppalainen raportti päättää tämän analyysin toteamalla, että tietosuojavastaavat ottavat yhä useammin GDPR:ään liittyvien rooliensa lisäksi keskeisiä rooleja uusien eurooppalaisten säännösten, kuten tekoälyä, digitaalisia palveluita, digitaalisia markkinoita tai dataa koskevien säännösten, yhteydessä. 

Heille annetaan myös uusia rooleja, jotka liittyvät etiikkaan, tiedonhallintaan ja data-avaruuksiin.

Tämän suuntauksen valossa komitea varoittaa eturistiriitojen lisääntyneestä riskistä tai tietosuojavastaavien käytettävissä olevien resurssien riittämättömyydestä.

Hän korostaa, että tietosuojaviranomaisilla ja rekisterinpitäjillä on keskeinen rooli, jotta tietosuojavastaava voi hoitaa tehtävänsä täysimääräisesti.

 

     

• CNIL on määrännyt viime viikkoina useita merkittäviä pakotteita.
• Se määräsi Yahoolle 29. joulukuuta 2023 10 miljoonan euron sakon, koska se ei kunnioittanut verkkosivustollaan evästeistä kieltäytyneiden internetin käyttäjien valintaa eikä antanut viestipalvelun käyttäjien vapaasti peruuttaa evästesuostumustaan.
• Ranskan tietosuojaviranomainen (CNIL) havaitsi 27. joulukuuta useita GDPR-rikkomuksia Amazon France Logistiquen varastoissa tehtyjen tarkastusten jälkeen ja määräsi monikansalliselle yritykselle 32 miljoonan euron sakon. CNIL:n mukaan Amazon on ottanut käyttöön "liian tunkeilevan" valvontajärjestelmän, joka toimii antamatta tietoja eikä ole riittävän turvallinen.
• CNIL määräsi 29. joulukuuta myös 105 000 euron sakon sähköisen rahan jakelijalle NS Cards Francelle henkilötietojen liiallisesta säilyttämisestä, puutteellisista tietosuojakäytännöistä, riittämättömistä turvatoimenpiteistä ja käyttäjän suostumuksen puutteesta ei-välttämättömien evästeiden osalta.
• Lopuksi se käynnistää julkisen kuulemisen luonnoksesta ohjeesta, joka koskee Euroopan talousalueen ulkopuolelle tehtävien tiedonsiirtojen vaikutustenarviointia: vastaanottajamaan tietosuojan tasoa on arvioitava ennen siirtoa maahan, jolla ei ole tietosuojan riittävyyttä koskevaa päätöstä, sekä arvioitava tälle siirrolle tarjottavia suojatoimia. Vastauksia voi lähettää 12. helmikuuta 2024 asti.
• Ranskan kansallinen kyberturvallisuusvirasto (ANSSI) on ilmoittanut Hackropolen käynnistämisestä. Hackropole on uusi alusta, jonka tarkoituksena on perehdyttää ihmisiä kyberturvallisuuden uraan. Alusta tarjoaa yli 300 kaikille avointa haastetta, jotka kattavat kaikki kyberturvallisuuden osa-alueet kryptografiasta hakkerointiin.

 

Euroopan unionin toimielimet ja elimet 

• Belgia otti haltuunsa Euroopan unionin neuvoston puheenjohtajuuden tammikuun alussa kuudeksi kuukaudeksi iskulauseella "Suojella, vahvistaa ja valmistautua".

Vuonna 2024 käsiteltäviin aiheisiin kuuluvat verkottuneiden tuotteiden kyberturvallisuus, digitaalinen identiteetti, data-avaruudet, GDPR:n rajat ylittävä soveltaminen ja tekoäly.

 Vuosi 2024 on myös monien viime vuonna viimeisteltyjen lakien täytäntöönpanovuosi, mukaan lukien digitaalisten palveluiden laki, siellä digitaalisten markkinoiden laki ja datanhallintalaki.

• Euroopan unionin 27 maan suurlähettiläät hyväksyivät 2. helmikuuta yksimielisesti, mutta ei vaikeuksitta, tekoälyä koskevat säännötja vahvisti näin hallitustasolla joulukuussa saavutetun poliittisen sopimuksen.

Euroopan parlamentin valiokuntien äänestyksen jälkeen helmikuun puolivälissä täysistunnossa hyväksymisen on alustavasti määrä tapahtua 10. ja 11. huhtikuuta.

Asetus tulee voimaan 20 päivää sen jälkeen, kun se on julkaistu virallisessa lehdessä.

Kiellettyjä käytäntöjä koskevat kiellot tulevat voimaan kuusi kuukautta myöhemmin ja tekoälymalleja koskevat velvoitteet vuoden kuluessa.

• Samanaikaisesti Euroopan komissio ilmoitti 24. tammikuuta perustavansa eurooppalaisen tekoälytoimiston, jonka tarkoituksena on edistää tulevan asetuksen täytäntöönpanoa ja soveltamista.

Tämän toimiston tavoitteena on julkaista ohjeita yhdenmukaisten sääntöjen laatimiseksi kaikkialla EU:ssa sekä kannustaa ja helpottaa käytännesääntöjen ja menettelysääntöjen kehittämistä unionin tasolla.

• Lainsäädäntöprosessi, joka liittyy CSAR-määräykset Koska (”chatin hallinta”) on vielä kesken, Euroopan unioni on ehdottanut väliaikaisen ratkaisun jatkamista, jonka avulla teknologiayritykset voivat vapaaehtoisesti skannata asiakkaidensa laitteita lapsipornografian varalta.

Tämä toimenpide on herättänyt kritiikkiä erityisesti Euroopan tietosuojavaltuutetulta (EDPS). Tammikuun 29. päivänä julkaistussa lausunnossa Euroopan tietosuojavaltuutettu ilmaisi huolensa asetuksen tavoitteista, jotka rajoittaisivat yksilöiden oikeutta viestintänsä luottamuksellisuuteen.

• Euroopan komissio julkaisi 31. tammikuuta digitaalisten palveluiden säädöstä (DSA) koskevan avoimuustulostaulun. Se tarjoaa yleiskatsauksen suurimpien verkkoalustojen tekemistä sisällön moderointipäätöksistä.
• Euroopan unionin tietosuoja-asetus astui voimaan tammikuussa 2024.

Sen tavoitteisiin kuuluvat tiedon oikeudenmukaisen jakamisen edistäminen, yksityisen sektorin hallussa olevien tietojen käytön mahdollistaminen julkisen sektorin elimille yleisen edun mukaisiin erityistarkoituksiin sekä asiakkaiden helpon tiedonkäsittelypalveluntarjoajan vaihtamisen mahdollistaminen Euroopan pilvipalvelumarkkinoiden edistämiseksi.

• Euroopan komissio aikoo tutkia asiaa Microsoftin ja OpenAI:n kumppanuus, jonka puitteissa MS aikoo integroida tekoälytyökaluja omiin tuotteisiinsa.

Komissio pyytää 9. tammikuuta päivätyssä lehdistötiedotteessa kaikkia asiasta kiinnostuneita jakamaan kokemuksiaan ja kommenttejaan virtuaalimaailmojen ja generatiivisen tekoälyn kilpailun tasosta sekä ajatuksiaan siitä, miten kilpailulainsäädäntö voi auttaa varmistamaan, että nämä uudet markkinat pysyvät kilpailukykyisinä.

• Euroopan komissio julkaisi raporttinsa 15. tammikuuta. 11 soveltuvuuspäätöksen arviointi vuoden 1995 tietosuojadirektiivin nojalla hyväksytty.

Se toteaa, että Euroopan unionista Andorraan, Argentiinaan, Kanadaan, Färsaarille, Guernseyhin, Mansaarelle, Israeliin, Jerseyhin, Uuteen-Seelantiin, Sveitsiin ja Uruguayhin siirretyt henkilötiedot hyötyvät edelleen GDPR:n mukaisesta tietosuojan riittävyyspäätöksestä.

• Euroopan tietosuojaneuvosto (EDPB) on julkaissut verkkosivuston tarkastustyökalu EU:n yleisen tietosuoja-asetuksen noudattamiseksi.

Euroopan tietosuojaneuvoston asiantuntijaryhmä kehitti työkalun, ja tietosuojaviranomaiset sekä rekisterinpitäjät ja henkilötietojen käsittelijät voivat käyttää sitä tarkastusten valmistelun, toteutuksen ja arvioinnin tehostamiseen. Se on ilmainen ja avoimen lähdekoodin ohjelmisto, jolla on EUPL 1.2 -lisenssi ja joka voidaan ladata osoitteesta code.europa.eu.

• Euroopan tietosuojaneuvosto julkaisi myös 18. tammikuuta tiedosto tietojenkäsittelyn turvallisuudesta ja tietoturvaloukkauksista ilmoittamisesta.

Asiakirjassa analysoidaan valvontaviranomaisten GDPR:n 60 artiklan mukaisesti tekemiä päätöksiä yhden luukun mekanismin puitteissa tietojenkäsittelyn turvallisuuden ja henkilötietojen tietoturvaloukkausten alalla.

• EU-tuomioistuin totesi 30. tammikuuta antamassaan tuomiossa, että rikoksista tuomittujen henkilöiden biometristen ja geneettisten tietojen yleinen ja erotukseton säilyttäminen heidän kuolemaansa asti on EU-lainsäädännön ja erityisesti unohdetuksi tulemista koskevan oikeuden vastaista.
• Euroopan unionin tuomioistuin päätti myös 16. tammikuuta, että GDPR koskee kansallisia parlamentaarisia valiokuntia.

Tuomioistuin selvensi kansallisen turvallisuuden käsitettä ja totesi, että jos kansallisen turvallisuuden tavoitteesta ei ole näyttöä, kansallisten tuomioistuinten on määritettävä, sovelletaanko yleisen tietosuoja-asetuksen soveltamisalaa koskevaa 2(2)(a) artiklaa.

• Teknologiajättien on noudatettava digitaalisia markkinoita koskevan eurooppalaisen asetuksen säännöksiä 6. maaliskuuta asti ja niiden on erityisesti sallittava käyttäjiensä rekisteröityä yhteen palveluun ilman, että se automaattisesti linkitetään toiseen.

Tässä yhteydessä Meta ilmoitti 22. tammikuuta, että Instagramin ja Facebookin käyttäjät voivat hallita tilejään erikseen, joten heidän tietojaan ei enää jaeta näiden kahden tilin välillä.

Google mainitsi myös ohjekeskuksellaan, että eurooppalaiset käyttäjät voivat valita palvelut, jotka he haluavat pitää yhdistettyinä tiedon jakamisen osalta.

 

Uutisia Euroopan jäsenvaltioista

• Alankomaiden tietosuojaviranomainen (APD) antoi 11. joulukuuta 2023 yhteistyössä CNIL:n kanssa päätöksen yrityksiä vastaan. Uber BV ja Uber Technologies

Inc. sai kymmenen miljoonan euron sakot useista kuljettajille annettujen tietojen laiminlyönneistä. 

Nämä puutteet liittyvät erityisesti menettelyihin, jotka koskevat oikeutta saada tietoja, siirtoja EU:n ulkopuolelle, säilytysaikoja ja oikeutta siirtää tiedot järjestelmästä toiseen.

• Alankomaiden tietosuojaviranomainen määräsi myös luottokorttiyhtiö ICS:lle 150 000 euron sakon vaikutustenarvioinnin (DPIA) tekemättä jättämisestä.

Harkinnoissaan APD korosti, että tietosuojavaikutusten arvioinnin puuttuminen itsessään rikkoo GDPR:ää, mutta se lisää myös muiden asetuksen rikkomusten todennäköisyyttä, koska riskejä ei ole otettu huomioon ennen käsittelyn toteuttamista.

• Belgian tietosuojaviranomainen (APD) on määrännyt tietojen välittäjälle 174 640 euron sakon.

Muiden rikkomusten ohella rekisterinpitäjä ei voinut vedota oikeutettuun etuun kerätä tietoja kolmansilta osapuolilta.

Hän ei myöskään ilmoittanut hakijalle tietojen lähteistä ja vastaanottajista tiedonsaantipyynnön yhteydessä. 

• Belgian viranomainen tutki myös rekisterinpitäjän käytäntöjä lähes 90 000 ihmistä koskeneen tietomurron jälkeen.

Se ei määrännyt seuraamuksia, koska tietoturvaloukkaus oli yksittäistapaus ja rekisterinpitäjä oli noudattanut yleisen tietosuoja-asetuksen 33 artiklaa.

• Itävallan tietosuojaviranomainen (APD) on määrännyt rekisterinpitäjälle 10 000 euron sakon, koska se ei ole tehnyt yhteistyötä valitusmenettelyssä ja rikkonut siten yleisen tietosuoja-asetuksen 31 artiklaa.
• Saksassa tietoturvatutkijalle langetettiin 3 000 euron sakko 17. tammikuuta, kun hän löysi ja ilmoitti verkkokauppatietokannassa olevasta tietoturva-aukosta, joka paljasti lähes 700 000 asiakastietoa.

Salasanan löytäminen selkokielisestä tekstistä ja sen käyttäminen luvattomasti haussa on pidetty rikoksena.

Tätä päätöstä, josta valitetaan, kritisoi tietoturva-asiantuntija sen lamauttavasta vaikutuksesta järjestelmien haavoittuvuuksien lailliseen tutkimukseen.

• Tammikuun lopussa Tanskan tietosuojaviranomainen (APD) totesi, että kunta oli rikkonut GDPR:n turvallisuussääntöjä jättämällä salaamatta tietokoneidensa kiintolevyjä.

Työntekijän kotoa oli varastettu työtietokone, joka sisälsi arkaluonteisia henkilötietoja, sosiaaliturvatietoja ja alaikäisiä koskevia tietoja.

Kiintolevyä ei ollut salattu.

Tutkimuksessa paljastui, että lähes 1 200 kunnan kannettavaa tietokonetta oli myös salaamattomia.

• Ison-Britannian kansallinen kyberturvallisuuskeskus julkaisi 24. tammikuuta huolestuttavan raportin tekoälyn lyhyen aikavälin vaikutuksista kyberuhkiin.

Raportissa todetaan erityisesti, että Tekoäly tulee varmasti lisäämään kyberhyökkäysten määrää ja vaikutusta seuraavien kahden vuoden aikana parantuessaan olemassa oleviin taktiikoihin, tekniikoihin ja menettelytapoihin.

Hän huomauttaa myös, että tekoäly rajoittaa amatööririkollisten kohtaamia vaikeuksia, sillä he pystyvät pian käynnistämään hienostuneita tietojenkalasteluhyökkäyksiä, joita vastaanottajien on vaikea tunnistaa.

 

• Tammikuun lopussa sisämarkkinakomissaari Thierry Breton ja Yhdysvaltain kotimaan turvallisuusministeri Alejandro N. Mayorkas keskustelivat asiasta. EU:n ja Yhdysvaltojen yhteinen toimintasuunnitelma kyberturvallisista tuotteistalokakuussa 2023 pidetyn EU:n ja Yhdysvaltojen huippukokouksen jälkeen.

Tämän komission ja asiaankuuluvien Yhdysvaltain sääntelyvirastojen välisen yhteistyön tavoitteena on tutkia mahdollista vastavuoroista tunnustamista esineiden internetin kuluttajalaitteistoille ja -ohjelmistoille asetettaville kyberturvallisuusvaatimuksille.

Toimintasuunnitelma perustuu EU:n kyberresilienssiä koskevan lainsäädännön kehykseen ja Yhdysvaltojen ehdottamaan kyberturvallisuusmerkintäohjelmaan (Cyber Trust Mark Act).

• Bidenin ja Harrisin hallinto ilmoitti keskeisistä tekoälyyn liittyvistä toimenpiteistä 29. tammikuuta presidentti Bidenin kolme kuukautta sitten hyväksymän toimeenpanomääräyksen jälkeen.

Asetuksessa säädetään erityisesti tehokkaimpien järjestelmien kehittäjille asetettujen keskeisten tiedonantovaatimusten asettamisesta, tekoälyn kriittiselle infrastruktuurille aiheuttamien riskien arvioinnista ja "ulkomaisten toimijoiden pyrkimysten estämisestä kehittää tekoälyä haitallisiin tarkoituksiin".

Asianomaiset liittovaltion virastot ja osastot ilmoittivat saattaneensa päätökseen kaikki asetuksessa säädetyt toimenpiteet 90 päivän kuluessa ja kertoivat pidemmälle aikavälille suunniteltujen toimenpiteiden edistymisestä.

• Kanadan hallitus on luonut "henkilötietojen ja yksityisyyden sanaston", joka sisältää yli 300 käsitteen englannin- ja ranskankieliset termit.

Se sisältää myös muita terminologisia tietoja (jotka voivat vaihdella kohdasta toiseen), kuten muita nimityksiä, määritelmiä, huomautuksia ja käyttöesimerkkejä.

• Kaksi Carnegie Endowment for International Peace -säätiön tutkijaa on kehottanut Etelä-Afrikan hallitusta asettamaan kyberturvallisuuden etusijalle ja omaksumaan vahvemman johtajuuden tällä alalla kansainvälisellä näyttämöllä.

Digitaalisesta riippuvuudestaan huolimatta tutkijat osoittavat, että maan kyberstrategialla on kipeästi rahoituspulaa, eikä hallituksella ole selkeää kantaa kyberhallintoa koskeviin keskusteluihin.

Etelä-Afrikan tieteellisen ja teollisen tutkimuksen neuvoston mukaan Etelä-Afrikka on näiden kyberhyökkäysten kohteena olevista maista Afrikan maista ja on kahdeksanneksi suurin maailmassa.