Legal Watch nro 91 – tammikuu 2026. 

 

Tietojen suojaaminen "France Travail" -pakotteen valossa.

CNIL:n 29. tammikuuta France Travailia vastaan määräämä pakote on esimerkillinen, koska se muistuttaa meitä tehokkaan turvallisuuspolitiikan olennaisista elementeistä.

Laajamittaisten tietomurtojen lisääntyessä CNIL korostaa tietosuojan kolmea perustavanlaatuista näkökohtaa:

• Vankka todennus,
• Tehokas puunkorjuu,
• Agenttien vastuisiin räätälöity valtuutuskäytäntö.

CNIL:n määräämä viiden miljoonan euron sakko on viimeisin teko vuonna 2024 alkaneessa tapauksessa, jossa hakkerit onnistuivat pääsemään Cap Emploin neuvonantajien tileille.

Tämän ansiosta he pystyivät yhdistämään kaikkien France Travailiin rekisteröityneiden tai viimeisten 20 vuoden aikana rekisteröityneiden henkilöiden tiedot sekä niiden henkilöiden tiedot, joilla on ehdokaspaikka francetravail.fr-sivustolla.

Tämä tarkoittaa, että hakkerit pystyivät lataamaan yli 36 miljoonan ihmisen tiedot.

Vastuun osalta on huomattava, että vaikka CNIL ei välttele Cap Emploin neuvonantajien vastuuta, se korostaa France Travailin pääasiallista vastuuta.

• France Travail vastaa "aloitteesta ottaa käyttöön ja hallinnoida toimenpiteitä, joilla varmistetaan tietojärjestelmän turvallisuus, johon se on avannut pääsyn Cap Emploille (...)."
• France Travail päätti myös jättää huomiotta vaikutusanalyysin aiemmat suositukset todentamisesta.

Aikarajoitteet, jotka liittyivät toteutuksen teknisiin vaikeuksiin, olisivat pakottaneet hänet jättämään nämä varotoimet huomiotta.

Tässä suhteessa CNIL toistaa todennusta koskevan oppinsa ja täsmentää, että salasanojen käyttöä on täydennettävä lisätoimenpiteillä (captcha, pääsyn viive tai tilin estäminen enintään kymmenen väärän yrityksen jälkeen), ellei salasana koostu: joko vähintään 12 merkistä, jotka sisältävät isoja kirjaimia, pieniä kirjaimia, numeroita ja erikoismerkkejä; tai vähintään 14 merkistä, jotka sisältävät isoja kirjaimia, pieniä kirjaimia ja numeroita, ilman pakollisia erikoismerkkejä; tai lausekkeesta, joka sisältää vähintään 7 sanaa.

Tässä nimenomaisessa tapauksessa salasana oli vain kahdeksan merkkiä pitkä, ja todennuskäytäntö määräsi 50 epäonnistuneen yrityksen kynnyksen ennen neuvonantajien virtuaalikoneiden käytön lukitsemista. 

France Travail, joka käsittelee suurta määrää arkaluonteista tietoa, joka liittyy esimerkiksi vammaisuuden alkuperään, työaseman rajoituksiin, vammaisen tilanteen kehitykseen, käyttöehtojen olisi pitänyt olla paljon tiukemmat.

Erityisesti niiden olisi pitänyt säätää monivaiheisesta todennuksesta, joka CNIL:n mukaan on olennainen erityisesti arkaluonteisten tietojen käsittelyssä ja käsittelyissä tai toimissa, jotka aiheuttavat riskin asianomaisille henkilöille.

”Puhelimen käytön vaikeus toisena tekijänä Cap Emploin itsenäisyyden vuoksi olisi voitu ratkaista muilla toimenpiteillä, esimerkiksi jakamalla työntekijöille OTP-laskimia (kertakäyttöisiä salasanoja) (…).”

Myös CNIL korostaa hakkuutoimenpiteiden keskeistä roolia.

Nämä toimenpiteet eivät mahdollistaneet tietojärjestelmän poikkeavan toiminnan havaitsemista, tässä tapauksessa poikkeavia tiedonlatausmääriä.

CNIL:n esittelijä kritisoi France Travailia lokien säännöllisen automaattisen valvonnan puutteesta, jonka avulla voitaisiin havaita ja analysoida tietoturvapoikkeamia sekä reagoida niihin nopeasti ja tehokkaasti.

”Suoritetut toiminnot olivat erittäin epätavallisia ottaen huomioon pyyntöjen ajoituksen ja tiheyden, huomattavan kerätyn datan määrän (25 Gt tekstityyppistä dataa), tiettyjen pyyntöjen virhetason (69 % yhdellä vaarantuneella tilillä (...)) ja sen, että tiedot kerättiin, vaikka Cap Emploin neuvonantajien toiminta ei vaadi merkittävää resurssien kulutusta tai merkittävää tiedonkeruua (esimerkiksi pelkästään tiistaina 6. helmikuuta 2024 kerättiin 9 Gt tietoa, mikä vastaisi yli 13 miljoonaa tietuetta yhdeltä neuvonantajalta yhdessä päivässä).”

Lopuksi CNIL korostaa, että käyttöoikeudet on tärkeää rajoittaa työntekijöiden tarpeisiin ja tehtäviin.

Hän huomauttaa, että neuvonantajien tiliasetukset oli määritelty liian laajoiksi, minkä ansiosta he pääsivät käsiksi sellaisten ihmisten tietoihin, joita he eivät tukeneet, mikä lisäsi hyökkääjien saatavilla olevan datan määrää.

CNIL perustelee seuraamuksen määrää France Travail -järjestön päätöksellä olla panematta täytäntöön vaikutustenarviointinsa suosituksia, mikä johti yli 36,8 miljoonan ihmisen henkilötietojen vaarantumiseen. Tämä koskee myös erityissuojelun piiriin kuuluvia tietoja, kuten NIR-tietoja, joihin liittyy erityisiä väärinkäytös- tai yhteenliittämisriskejä merkittävän, ainutlaatuisen ja pysyvän luonteensa vuoksi.

Saattaa tuntua itsestään selvältä johtopäätökseltä, että järjestelmän turvallisuuden varmistamiseksi ei pitäisi odottaa tietomurtoa.

On myös huomattava, että CNIL määrää säännöllisesti seuraamuksia tietoturvavelvoitteiden rikkomisista, vaikka rikkomukset eivät välttämättä olisikaan tietomurron syynä, kuten riittämättömästi vankka salasanakäytäntö.

Tietoturva oli myös yksi valvontaviranomaisen vuonna 2025 määräämien pakotteiden pääkohteista, kuten helmikuun alussa julkaistussa raportissa todetaan.

 

Yhteen Ranskan suurimpiin digitaalisiin luottamusyrityksiin on iskenyt tietovuoto, joka pysyi huomaamatta 18 kuukautta.

Henkilöllisyyden varmennus- ja petostentorjunta-alusta Sumsub raportoi kärsineensä "tietoturvahäiriöstä" heinäkuussa 2024.

Yritys on tullut tietoiseksi tunkeutumisesta tammikuussa 2026 tehdyn tietoturvatarkastuksen jälkeen. Kyberhyökkäys perustuu, kuten France Travailin tapauksessa, kolmannen osapuolen tietomurtoon.

Vaarantuneisiin tietoihin kuuluvat nimet, sähköpostiosoitteet ja puhelinnumerot.

CNIL määräsi 3,5 miljoonan euron sakon 30. joulukuuta 2025. yritykselle, jonka nimeä se valitettavasti salaa, koska se on välittänyt kanta-asiakasohjelmansa jäsenten tietoja säännöllisin väliajoin kuuden vuoden ajan sosiaaliseen verkostoon mainonnan kohdentamista varten ilman pätevää suostumusta.

Julkisen kuulemisen jälkeen CNIL julkaisi suosituksensa useiden laitteiden suostumuksen keräämisestä 16. tammikuuta. (laitteiden välinen) evästeiden ja muiden seurantatyökalujen käytön yhteydessä.

Tavoitteena on auttaa sidosryhmiä hankkimaan GDPR-vaatimusten mukainen suostumus ja erityisesti varmistaa läpinäkyvä suostumuksen kerääminen.

Komissio julkaisi myös 14. tammikuuta kaksi karttaa, joissa luetellaan hyväksytyt sertifikaatit ja käytännesäännöt. kansallisten viranomaisten tai Euroopan tietosuojaneuvoston (EDPB) toimesta GDPR:n voimaantulon jälkeen, jotta voidaan helpottaa käytettävissä olevien vaatimustenmukaisuuden työkalujen tunnistamista.

Lopuksi, 15. ja 22. maaliskuuta pidettävien kunnallisvaalien yhteydessä CNIL muistuttaa meitä poliittisen vaalityön hyvistä käytännöistä ja aktivoi uudelleen vaalitarkkailukeskuksensa.

Vuonna 2012 perustetun viranomaisen tavoitteena on varmistaa, että puolueet ja ehdokkaat ottavat tietosuojalainsäädännön huomioon toiminnassaan.

Erityisesti se mahdollistaa CNIL:lle vaalikampanjoiden yhteydessä osoitettujen pyyntöjen seurannan, kuten ehdokkaiden neuvontapyyntöjen tai huonoista käytännöistä tehtyjen ilmoitusten.

Helmikuun alussa valtio teki kolme sitoumusta digitaalisen itsemääräämisoikeuden puolesta:

• Terveystietojen osalta hän käynnisti tarjouskilpailun Ranskan kansalaisten terveystietojen luovuttamiseksi "turvalliselle eurooppalaiselle alustalle".
• Yleisemmin valtio on sitoutunut suuntaamaan julkisia hankintojaan massiivisesti ranskalaisiin ja eurooppalaisiin ratkaisuihin investoimalla niihin 4,5 miljardia euroa.

Valtionhallinnosta vastaavan ministeri David Amielin mukaan "on kiireellisesti vieroitettava itsemme amerikkalaisista ratkaisuista".

• Lopuksi, pääministerin äskettäin julkaisemassa kiertokirjeessä täsmennetään, että hallintojen tulisi suosia markkinaratkaisuja (sen sijaan, että ne kehitettäisiin itse) edellyttäen, että ne täyttävät itsemääräämisoikeuden ja turvallisuuden kriteerit.

Valtioneuvosto päätti 30. tammikuuta 2026 CNIL:n hyväksi algoritmista valvontaa koskevassa kiistassa, jossa sen ja Nizzan kaupungin välillä oli vastakkain.

Hän vahvistaa, että kunnan toteuttama koulujen sisäänkäynneille sijoitettujen valvontakameroiden kuvien algoritminen käsittely ei ole nykyisen lain sallimaa. 

Vaikka sisäinen turvallisuuslaki sallii videovalvontajärjestelmien käyttöönoton julkisissa tiloissa, sitä ei voida sen hiljaisuuden vuoksi "tulkita niin, että se valtuuttaisi algoritmisen käsittelyn toteuttamisen, joka mahdollistaisi tällaisten järjestelmien avulla julkisissa tiloissa kerättyjen kuvien systemaattisen ja automaattisen analysoinnin. Mikään muu säännös ei valtuuta tällaisen käsittelyn toteuttamista".

"Tahtaiset" amerikkalaiset pyytävät CNIL:ää keskeyttämään pankkitietojensa siirron Yhdysvaltoihin.

Ulkomaisten tilien verosäännösten noudattamista koskevan lain (FATCA) mukaisesti ranskalaisten pankkilaitosten on toimitettava paljon arkaluonteisia tietoja itsestään Yhdysvaltain veroviranomaisille mahdollisten petosten torjumiseksi – amerikkalaisten on todellakin ilmoitettava tulonsa Yhdysvalloissa riippumatta siitä, missä päin maailmaa he asuvat.

Accidental Americans Association irtisanoutuu Yhdysvaltojen ja Ranskan välisestä nykyisestä sopimuksesta, joka säätelee näiden tietojen jakamisen ehtoja.

 

Euroopan unionin toimielimet ja elimet

Euroopan komissio ehdotti 20. tammikuuta 2026 uutta kyberturvallisuuspakettia, jonka tarkoituksena on vahvistaa EU:n sietokykyä ja parantaa sen kykyä hallita uhkia.

Hankkeeseen sisältyy ehdotus kyberturvallisuusasetuksen tarkistamiseksi, mikä vahvistaa EU:n tieto- ja viestintätekniikan (ICT) toimitusketjujen turvallisuutta.

Se varmistaa, että EU:n kansalaisille tarkoitetut tuotteet ovat kyberturvallisia suunnitteluvaiheesta lähtien yksinkertaistetun sertifiointiprosessin avulla.

Se myös helpottaa EU:n nykyisten kyberturvallisuussääntöjen noudattamista ja vahvistaa Euroopan unionin kyberturvallisuusvirastoa (ENISA) sen roolissa tukea jäsenvaltioita ja EU:ta kyberturvallisuusuhkien hallinnassa.

Euroopan komissio ja Brasilia hyväksyivät 27. tammikuuta kaksi keskinäistä tietosuojan riittävyyttä koskevaa päätöstä, joissa vahvistettiin, että niiden tietosuojan tasot ovat vertailukelpoisia.

"Nämä sopimukset tunnustavat molempien osapuolten kuluttajia ja kansalaisia suojaavat korkeat tietosuojastandardit ja sallivat nyt yritysten, viranomaisten ja tutkijoiden vaihtaa tietoja vapaasti EU:n ja Brasilian välillä."

Komissio aloitti uuden muodollisen tutkinnan X:ää vastaan 26. tammikuuta digitaalisten palvelujen asetuksen (DSA) nojalla.

Hän epäilee, että X:ään integroituihin Grok-ominaisuuksiin liittyy arvioimattomia ja lieventämättömiä riskejä laittoman sisällön, kuten seksuaalisesti eksplisiittisten manipuloitujen kuvien, mukaan lukien lapsipornografiaa mahdollisesti sisältävän sisällön, luomisesta ja levittämisestä.

Se myös jatkoi joulukuussa 2023 X:ää vastaan aloitettua virallista menettelyä sen selvittämiseksi, onko yhtiö arvioinut ja lieventänyt asianmukaisesti kaikkia sisällönsuositusjärjestelmiinsä liittyviä systeemisiä riskejä.

Myös Euroopan komissio nimesi WhatsAppin 26. tammikuuta virallisesti erittäin suureksi verkkoalustaksi (VLOP) DSA:n nojalla, koska sen "Kanavat"-ominaisuus saavuttaa vaaditun vähintään 45 miljoonan käyttäjän kynnyksen EU:ssa.

Metalla on neljä kuukautta aikaa, toukokuun puoliväliin 2026 asti, varmistaa, että WhatsApp noudattaa DSA:n asettamia lisävelvoitteita.

Näihin velvoitteisiin kuuluu mahdollisten systeemisten riskien arviointi ja lieventäminen, kuten perusihmisoikeuksien ja sananvapauden loukkaukset, vaalimanipulaatio, laittoman sisällön levittäminen ja yksityisyyden suojaan liittyvät kysymykset, jotka johtuvat sen palveluista.

Euroopan tietosuojaneuvosto (EDPB) ja Euroopan tietosuojavaltuutettu (EDPS) hyväksyivät 21. tammikuuta yhteisen lausunnon Euroopan komission ehdotuksesta "tekoälyä koskevaksi digitaaliseksi omnibus-säädökseksi", jonka tavoitteena on yksinkertaistaa tekoälyasetuksessa säädettyjen tiettyjen yhdenmukaistettujen sääntöjen täytäntöönpanoa sen tehokkaan soveltamisen varmistamiseksi.

Molemmat viranomaiset tukevat tavoitetta puuttua lainsäädännön täytäntöönpanoon liittyviin käytännön haasteisiin, mutta korostavat, että hallinnollinen yksinkertaistaminen ei saa heikentää perusoikeuksien suojaa. Sääntelyviranomaiset uskovat, että jotkin ehdotetuista muutoksista voisivat vaarantaa yksilöiden suojan tekoälyn yhteydessä.

 

Uutisia Euroopan unionin jäsenmaista.

Kreikan tietosuojaviranomainen (DPA) on antanut varoituksen "älykkään poliisitoiminnan" järjestelmän käyttöönotosta, jossa partiot käyttävät älykkäitä puettavia laitteita kansalaisten henkilöllisyyden selvittämiseen ja varmentamiseen paikan päällä tehtävien tarkastusten avulla biometristen tietojen avulla. Tietosuojaviranomainen pitää tätä käsittelyä laittomana, koska sitä ei nimenomaisesti säädetä nykyisessä lainsäädännössä.

Espanjan tietosuojaviranomainen (APD) on määrännyt IDCQ Hospitals and Health -konsernille 1 200 000 euron sakon. potilastietojen liian nopeasta poistamisesta, mikä esti sitä täyttämästä velvollisuuttaan ilmoittaa asianomaisille henkilöille.

Norjan tietosuojaviranomainen (APD) on määrännyt Timegrip AS:lle 250 000 Norjan kruunun (noin 25 000 euron) sakon, koska se kielsi laittomasti entisiltä työntekijöiltä pääsyn työaikatietoihinsa työnantajansa mentyä konkurssiin ja esiintyi virheellisesti pelkänä alihankkijana, vaikka sillä oli tosiasiallinen määräysvalta henkilötietoihin.

Erityisesti Timegripistä tuli vastuullisen osapuolen asema konkurssin jälkeen, koska se oli ainoa taho, jolla oli tekninen ja käytännön määräysvalta tietoihin.

Puolan tietosuojaviranomaisen (APD) puheenjohtaja määräsi Poczta Polska SA:lle 978 000 zlotyn (250 000 euron) hallinnollisen sakon, koska se ei ollut taannut tietosuojavastaavan riippumattomuutta.

Valvontaviranomainen totesi, että yhtiö oli sallinut eturistiriidan tietosuojavastaavan tehtävien suorittamisessa.

Isossa-Britanniassa APD määräsi rahoitusvälitys- ja mainostoimisto ZMLUK Limitedille 105 000 punnan (120 000 euron) sakon yli 67 miljoonan pyytämättömän suoramarkkinointisähköpostin lähettämisestä ilman asianomaisten henkilöiden suostumusta tai ilman pätevää poikkeusta.

Ruotsin tietosuojaviranomainen (APD) on määrännyt alihankkijalleen Sportadmin i Skandinavien AB:lle 6 000 000 Ruotsin kruunun (560 000 euron) sakon. urheiluseurojen ja -yhdistysten digitaalisen palveluntarjoajan kyberhyökkäyksen jälkeen, joka paljasti yli 2,1 miljoonan ihmisen henkilötiedot.

Alihankkijan todettiin syyllistyneen riittävien turvatoimenpiteiden laiminlyöntiin, mikä on GDPR:n 32 artiklan vastaista.

Sveitsin hallitus haluaa laajentaa verkkovalvontaa tarkistamalla postin ja televiestinnän valvontaa koskevaa asetusta.

Ehdotus lisäisi merkittävästi säilytettävien henkilötietojen määrää vaatimalla suuria viestintäpalvelujen tarjoajia säilyttämään metatiedot ja asettamalla käyttäjän tunnistamisvaatimuksia käytännössä kaikille palveluntarjoajille.

Näiden organisaatioiden tulisi säilyttää näitä tietoja vähintään kuusi kuukautta ja auttaa lainvalvontaviranomaisia purkamaan niiden sisällön salauksen. Yhdeksäntoista kansalaisyhteiskunnan järjestöä on lähettänyt Sveitsin liittovaltion oikeus- ja poliisiministeriölle kirjeen, jossa he ilmaisevat huolensa.

 

Isossa-Britanniassa APD määräsi rahoitusvälitys- ja mainostoimisto ZMLUK Limitedille 105 000 punnan (120 000 euron) sakon yli 67 miljoonan pyytämättömän suoramarkkinointisähköpostin lähettämisestä ilman asianomaisten henkilöiden suostumusta tai ilman pätevää poikkeusta.

Sveitsin hallitus haluaa laajentaa verkkovalvontaa tarkistamalla postin ja televiestinnän valvontaa koskevaa asetusta.

Ehdotus lisäisi merkittävästi säilytettävien henkilötietojen määrää vaatimalla suuria viestintäpalvelujen tarjoajia säilyttämään metatiedot ja asettamalla käyttäjän tunnistamisvaatimuksia käytännössä kaikille palveluntarjoajille.

Heidän tulisi säilyttää näitä tietoja vähintään kuusi kuukautta ja auttaa lainvalvontaviranomaisia purkamaan niiden sisällön salausta.

19 kansalaisjärjestöä on lähettänyt Sveitsin liittovaltion oikeus- ja poliisiministeriölle kirjeen ilmaistakseen huolensa.

Yhdysvaltain edustajainhuoneen oikeuslaitoksen komitea julkaisi 3. helmikuuta 2026 raportin, jossa se hyökkäsi Euroopan digitaalisten palveluiden lakia (DSA) vastaan ja kutsui sitä sensuurin välineeksi. "Ulkomaisen sensuurin uhka, osa II: Euroopan kymmenvuotinen kampanja globaalin internetin sensuroimiseksi ja sen haitalliset seuraukset sananvapaudelle Yhdysvalloissa"

Tässä raportissa useita eurooppalaisia kansalaisjärjestöjä, mukaan lukien Bits of Freedom ja Justice for Prosperity, kuvataan "sensuuria harjoittaviksi kansalaisjärjestöiksi".

Viisi aiemmin tässä uutiskirjeessä raportoitua pakotetta on jo määrätty maahantulokieltojen muodossa Yhdysvaltoihin eurooppalaisille, jotka ovat osallistuneet DSA:n soveltamiseen, tutkimukseen ja alustojen vallan kritiikkiin.

Euroopan komissio vastasi tiedottajansa kautta muistuttamalla, että digitaalisia palveluja koskeva laki asettaa vastuun sinne, minne se kuuluu, eli verkkoalustoille.

Australian sosiaalisen median kielto alle 16-vuotiaille on muodostunut kansainväliseksi malliksi. huolimatta sen täytäntöönpanon alkuvaiheessa havaituista puutteista. Euroopan unioni, Yhdistynyt kuningaskunta ja Yhdysvallat seuraavat siksi tiiviisti Australian kokemuksia, ja jotkut maat ovat jo ottaneet käyttöön vastaavia lainsäädäntöehdotuksia, kuten IAPP (International Association of Privacy Professionals) totesi 5. helmikuuta päivätyssä artikkelissa.