Vers une Europe de la protection des données

Kohti tietosuojan Eurooppaa: tie on pitkä.

Oikeudellinen valvonta nro 36 – Kesäkuu 2021

Kohti tietosuojan Eurooppaa: tie on pitkäYleinen tietosuoja-asetus herätti paljon toiveita selkeyden ja tehokkuuden suhteen tullessaan voimaan.

Vaikka sen korvaama EU-direktiivi tarjosi jo suhteellisen tarkan ja sitovan oikeudellisen kehyksen, GDPR:n tarkoituksena oli mahdollistaa näiden periaatteiden yhdenmukainen täytäntöönpano riippumatta siitä, missä kyseiset yritykset sijaitsevat Euroopan unionissa.

Valvontaviranomaisten oli myös arvioitava ylöspäin tarkistettuja sovellettavia seuraamuksia käyttämällä yhtenäistä analyysiruutua.

Itse asiassa näyttää siltä, että tätä kauan odotettua yhdenmukaistamista rajoittavat edelleen monet sudenkuopat.

Saksalainen komissaari Johannes Caspar, jonka toimikausi Hampurin osavaltion valvontaviranomaisen johdossa on päättymässä kahdentoista vuoden jälkeen, jatkaa kesäkuussa ja tuomitsee GDPR:n täytäntöönpanon puutteet.

Syynä ovat pitkät ja monimutkaiset prosessit, jotka kestävät ennen kuin kaikki Euroopan tietosuojaneuvostossa (EDPB) kokoontuvat viranomaiset löytävät yhteisen kannan.

GDPR on ottanut käyttöön niin sanotun "yhden luukun" menettelyn, jossa määrätään johtavan viranomaisen eli tutkinnan kohteena olevan yrityksen päätoimipaikan maan viranomaisen toimivallasta.

Tämän johtavan viranomaisen on kuitenkin tehtävä yhteistyötä muiden asianomaisten kansallisten viranomaisten kanssa menettelyn eri vaiheissa.

Käytännössä tutkinnat on keskitetty Irlannin viranomaiselle, jolla on toimivalta johtaa useimpia GAFAMia vastaan nostettuja tapauksia sen alueella. Viranomaisen kerrotaan olevan käynnissä 28 menettelyä. Viranomaista kritisoidaan sen hitaista ja lievistä menettelyistä suurten teknologiayritysten, kuten Facebookin ja Twitterin, suhteen, minkä kerrotaan aiheuttaneen pitkiä ja vaikeita keskusteluja Euroopan tietosuojavaltuutetun kollegoiden kanssa.

Hampurin viranomaisen komissaari kehottaa valvontaviranomaisia antamaan selkeitä ja varoittavia signaaleja hyvissä ajoin, jotta rekisterinpitäjät noudattavat sääntöjä samalla tavalla riippumatta siitä, missä Euroopan unionissa ne sijaitsevat, ja ilman kilpailun vääristymistä.

On huomattava, että komitea itse tunnisti tämän ongelman vuoden 2020 vuosikertomuksessaan ja että viranomaisten välisen yhteistyön parantaminen on yksi sen prioriteeteista vuosina 2021–2022.

Lisättäköön, että vaikka "yhden luukun" järjestelmä kärsiikin menettelyllisestä hankaluudesta, sillä on kuitenkin se etu, että jokainen Euroopan unionin kansalainen voi tehdä valituksen kansalliselle valvontaviranomaiselleen, vaikka rekisterinpitäjä olisi sijoittautunut toiseen maahan, ja toimivaltaiset viranomaiset ovat vastuussa yhteistyöstä valituksen käsittelyssä.

Jos valittaja ei ole tyytyväinen tutkinnan tulokseen, hän voi myös hakea muutosta omassa maassaan.

Euroopan unionin tuomioistuin muistutti myös 15. kesäkuuta antamassaan tuomiossa niiden viranomaisten liikkumavarasta, jotka eivät ole johtavia viranomaisia rajat ylittävien valitusten käsittelyssä.

Irlantiin sijoittautuneen Facebookin ja Belgian tietosuojaviranomaisen välisessä riita-asiassa tuomioistuin katsoi, että Belgian viranomainen, vaikkakaan ei johtava viranomainen, voi saattaa tietyt Facebookin tekemät GDPR:n rikkomukset Belgian tuomioistuinten käsiteltäväksi.

Nämä ehdot rajoittuvat kuitenkin hätätilanteisiin (yleisen tietosuoja-asetuksen 66 artikla) tai paikallisiin tapauksiin (yleisen tietosuoja-asetuksen 56 artiklan 2 kohta). Tämä päätös ei siis merkitse yhden luukun periaatteen loppua, vaan siinä pyritään täsmentämään sen soveltamisen poikkeukset. Viranomaisten välisen yhteistyön periaate pysyy siis normina.

Ja myös

Ranska:

CNIL julkaisi 30. kesäkuuta kolmannen version ohjelmistostaan, joka on suunniteltu helpottamaan yksityisyyden suojaan liittyviä vaikutusten analyysejä.

Tämä uusi versio ohjaa johtajia vaikutusanalyysien suorittamisessa ja mahdollistaa CNIL:n tarjoamien tietokantojen rinnakkaisten tietokantojen kehittämisen.

CNIL:n rajoitettu komitea määräsi yritykselle 500 000 euron sakon. Bricoprivé varten

  • Sähköpostien lähettäminen etsintäkuulutuksille ilman yksilöiden suostumusta ja useiden muiden GDPR-velvoitteiden noudattamatta jättäminen:
    • Yrityksen itselleen asettamien tietojen säilytysaikojen noudattamatta jättäminen,
    • Tiedonantovelvollisuuksien ja tietojen poistamiseen liittyvän oikeuden laiminlyönti ja
    • Vahvojen salasanojen puute tietoturvallisuuden näkökulmasta.

CNIL huomautti myös evästeiden käytöstä ilman käyttäjän suostumusta.

Eurooppa:

Euroopan komissio julkaisi 4. kesäkuuta uuden version mallisopimuslausekkeista, joiden tarkoituksena on helpottaa kansainvälisiä tiedonsiirtoja.

Näissä lausekkeissa otetaan huomioon Euroopan unionin tuomioistuimen Schrems II -tapauksessa antaman päätöksen seuraukset kolmansien maiden viranomaisten tietoihin pääsyn riskeistä, erityisesti kansallisen turvallisuuden yhteydessä.

Samaan aikaan Euroopan tietosuojaneuvosto antoi 18. kesäkuuta suosituksia, joiden tarkoituksena on ohjata rekisterinpitäjiä analysoimaan tällaisia tietojen sieppaamisen riskejä ja antaa heille mahdollisuus ottaa käyttöön lisäsuojatoimenpiteitä.

Tekoäly:

Euroopan tietosuojavaltuutettu ja Euroopan tietosuojaneuvosto ovat yhdessä julkaisseet kehotuksen kieltää tekoälyn käyttö

  • Biometristen tietojen automaattinen tunnistus julkisissa tiloissa,
  • Sosiaalinen pisteytys, mukaan lukien sosiaalisen median kautta, ja
  • Tekoälyn käyttö ihmisten tunnetilojen tunnistamiseen.

Tämä kanta heijastelee Euroopan komission 21. huhtikuuta julkaisemaa tekoälyä koskevaa ehdotusta.

Kansainväliset tiedonsiirrot:

Euroopan komissio julkaisi suosituksensa 28. kesäkuuta Yhdistynyttä kuningaskuntaa koskevat tietosuojan riittävyyspäätökset.

Toinen koskee GDPR:n vaatimuksia ja toinen poliisin suorittamaa henkilötietojen käsittelyä koskevaa EU-direktiiviä.

Uutena elementtinä on, että komissio lisää säännöksen "auringonlaskulauseke" ...joka rajoittaa päätösten voimassaoloajan neljään vuoteen.

Päätöksiä voidaan uusia, jos Ison-Britannian suojan taso täyttää edelleen eurooppalaiset vaatimukset.

Huolenaiheita ovat Britannian suunnitelmat uusista kauppa- ja datan vapaata virtausta koskevista sopimuksista kehittyvien talouksien kanssa.

Belgia on Euroopan komission tähtäimessä, ja komissio on aloittanut GDPR-rikkomusmenettelyn koskien sen tietosuojaviranomaisen riippumattomuutta.

Syynä on useiden sen jäsenten jäsenyys valtion yksiköissä.

Kansainvälinen:

Yli 55 kuluttajansuoja-, kansalaisoikeus- ja kansalaisjärjestön kansainvälinen koalitio vaatii yksilöiden seurantaan ja profilointiin perustuvan mainonnan kielto.

Syynä tähän kantaan oli Norjan kuluttajaneuvoston raportti, joka paljasti kauppaoikeudellisten valvontakäytäntöjen seuraukset yhteiskunnalle.

Euroopan komissio käynnisti 16. kesäkuuta menettelyn, jonka tarkoituksena on tunnustaa tietosuojan riittävyys Etelä-Koreassa.

Kiinan viranomaiset ilmoittivat 10. kesäkuuta tietoturvaa koskevan lain hyväksymisestä. jonka tarkoituksena on myös suojata niiden henkilöiden oikeuksia ja etuja, joiden tietoja käsitellään.

Anne Christine Lacoste

Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.

Tutustu Viqtoriin®
fiFI
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET lvLV lt_LTLT sk_SKSK sl_SISL fiFI