Legal Watch nro 88 – lokakuu 2025. 

 

Videovalvonta, CNIL:n pakotteiden pääkohde.

CNIL on tehnyt pointti lokakuussa yksinkertaistetusta seuraamusmenettelystään.

Viime toukokuusta lähtien määrättyihin 16 seuraamukseen on liitetty yhteensä 108 000 euron sakot kymmenestä päätöksestä johtuvien 104 000 euron lisäksi. lausuttu tammikuusta lähtien.

Videovalvonnan lisäksi seuraamukset kattavat kaupallisen etsintätoiminnan, jota harjoitetaan ilman asianomaisten henkilöiden suostumusta, sekä yhteistyön laiminlyönnin pyydettäessä GDPR:n mukaisten oikeuksien (oikeus saada pääsy tietoihin, oikaista ne tai vastustaa niitä) käyttämistä.

Videovalvonta on edelleen sanktioiden pääteema, erityisesti työpaikalla.

CNIL huomauttaa järjestelmällisesti rekisterinpitäjien laiminlyönneistä noudattaa tietojen minimoinnin periaatetta.

Lääkeyhtiölle ja sairaalalle on määrätty seuraamuksia ammattiliiton tilojen ja niiden suoran pääsyn kuvaamisesta. Tämä on yleisen tietosuoja-asetuksen 5.1.c artiklan vastaista, jossa määrätään, että tietojen on oltava riittäviä, olennaisia ja rajoituttava siihen, mikä on tarpeen tavoitellun tarkoituksen kannalta.

CNIL muistuttaa meitä siitä, että työpaikoille asennettujen valvontakameroiden, olivatpa ne avoimia yleisölle tai eivät, on kunnioitettava työntekijöiden yksityisyyttä.

"Kamerat eivät saa missään olosuhteissa kuvata ammattiliiton tiloja tai niiden suoria kulkuyhteyksiä."

Kaikki kuvattavien henkilöiden yksityisyyden liiallinen loukkaus on siten ristiriidassa tämän minimoinnin periaatteen kanssa, kuten CNIL totesi myös sisäoppilaitoksessa, jonka videovalvontajärjestelmä kuvasi oppilaita aamiaisilla ja pihalla.

Työpaikalle ei saa asentaa kameroita.

• Vain jos niillä on oikeutettu tavoite, kuten omaisuuden ja ihmisten turvallisuus,
• Rajatuilla ja ei-tunkeilevilla alueilla, kuten rakennusten sisään- ja uloskäynneillä, käytävillä tai varastoissa.

Myös turvallisuus- ja läpinäkyvyysvelvoitteita vaaditaan:

• Kuvien saatavuuden on oltava turvallista ja vain valtuutetuilla henkilöillä, ja tietoja on säilytettävä rajoitetun ajan, periaatteessa muutamasta päivästä kuukauteen.
• Vastuuhenkilön on tiedotettava ja neuvoteltava työntekijöiden edustajien kanssa etukäteen sekä huolehdittava siitä, että työntekijöille ja yleisölle asetetaan nähtäville ilmoitus.

Läpinäkyvyysvelvoitteisiin on edelleen mahdollista tehdä poikkeuksia: poikkeuksellisissa olosuhteissa ja tietyin edellytyksin rekisterinpitäjä voi tilapäisesti asentaa kameroita, jotka eivät ole työntekijöiden näkyvissä, edellyttäen, että laitteen yhteensopivuus GDPR:n kanssa analysoidaan ja että se pystyy perustelemaan sen.

CNIL määräsi La Samaritainelle viime syyskuussa seuraamuksia tällaisen vaikutusanalyysin puuttumisen ja sen tietosuojavastaavan puutteellisen osallistumisen vuoksi piilotetun videovalvontajärjestelmän käyttöönottoon.

Yhtiö oli raportoinut reservaateissa tehdyistä varkauksista ja selittänyt järjestelmän olevan väliaikainen, mutta se ei ollut tehnyt ennakkoanalyysiä eikä dokumentoinut asennuksen väliaikaisuutta.

Tämä tavoitteen ja työntekijöiden yksityisyyden suojan välisen tasapainon laiminlyönti johti yritykselle 100 000 euron sakkoihin.

Lopuksi on huomattava, että yleisölle avoimissa paikoissa laitteen on oltava osaston prefektin tai Pariisin poliisiprefektin hyväksymä.

 

      

Tilintarkastustuomioistuin julkaisi 31. lokakuuta raportin "valtion siviilitietojärjestelmien suvereniteettikysymyksistä".

Hän tekee useita havaintoja:

• Jotkut ministeriöt käyttävät eurooppalaisten ulkopuolisia IT-ratkaisuja, joskus arkaluonteisten tietojen käsittelyyn, digitaalisen itsemääräämisoikeuden kustannuksella.

Raportissa mainitaan tässä yhteydessä terveystietoalusta, jota yhdysvaltalainen yritys on isännöinyt yli viiden vuoden ajan.

Hän huomauttaa myös, että yksityiset toimijat tarjoavat julkisen palvelun sovelluksia ilman samoja velvoitteita kuin valtio.

• Hallinto ei kartoita arkaluonteisia tietoja, mikä muodostaisi viitekehyksen, jonka avulla voitaisiin tunnistaa ne, joiden suvereniteetti on ensisijaisesti säilytettävä.
• Valtionhallinnon virastojen suvereniteettipilvilaskennan käyttöönotto on edelleen rajallista, sisäisten valtioiden pilvipalveluiden riittävän skaalautuvuuden saavuttaminen on vaikeaa, ja suvereniteettivaatimusten yhteensovittaminen suorituskykyvaatimusten kanssa on monimutkaista.
• DINUM hallinnoi kahta itsenäistä infrastruktuuria: valtion ministeriöiden välistä verkostoa (RIE) ja digitaalisen identiteetin järjestelmää (FranceConnect), joita pidetään onnistumisina, vaikka edistystä tarvitaankin vielä, erityisesti järjestelmien sietokyvyn osalta.
• Arkaluonteisten tietojen hallinnan lisäksi valtio ei pyri täydelliseen itsemääräämisoikeuteen, vaan pikemminkin riittävän korkean luottamustason luomiseen käyttämällä julkisia hankintoja, hankintojen yhdistämistä ja ANSSI:n validointia riskien rajoittamiseksi.

Lokakuun 15. päivänä valtioneuvosto vahvisti CNIL:n Applelle määräämän 8 000 000 euron sakon ranskalaisten käyttäjien tietojen käsittelystä personoitua mainontaa varten ilman heidän suostumustaan.

• Valtioneuvosto katsoi, että seuraamus ei ollut suhteeton, kun otetaan huomioon asianosaisten määrä – lähes 27,5 miljoonaa käyttäjää heinäkuun 2020 ja heinäkuun 2021 välisenä aikana – ja ryhmän taloudellinen painoarvo.
• Hän vahvisti myös CNIL:n toimivallan päättää sen toiminnasta Ranskassa ja hylkäsi siten yhtiön väitteen, jonka mukaan vain sen irlantilainen yksikkö kuului eurooppalaisen sääntelyviranomaisen toimivallan piiriin.

Työ- ja solidaarisuusministeriö, CNIL ja AFCDP ovat antaneet Afpalle tehtäväksi laatia uuden DPO:n ammatillisen seurantakeskuksen tutkimuksen tekoälyn vaikutuksesta tähän ammattiin.

Kyselyssä tarkastellaan tekoälyn hallintamalleja organisaatioissa, tietosuojavastaavan (DPO) roolia, tietosuojavastaavien kohtaamia tärkeimpiä haasteita sekä heidän työkalu- ja koulutustarpeitaan. Tulokset julkaistaan vuoden 2026 alkupuoliskolla.

CNIL julkaisi 28. lokakuuta raportin 20. toukokuuta pidetystä tapahtumastaan "GDPR: mitä taloudellisia vaikutuksia?". 

Tapahtuma kokosi yhteen ekonomisteja sekä ranskalaisia (CNIL) ja eurooppalaisia (Yhdistyneen kuningaskunnan tietosuojaviranomainen, Euroopan komissio) sääntelyviranomaisia osallistumaan GDPR:n täytäntöönpanon jälkiarviointiin.

Jakelualan toimijoiden takavarikoima kanta-asiakasohjelmiin liittyvien tietojen siirrettävyydestä se myös täsmensi lokakuun puolivälissä, mitä tietoja on toimitettava, erityisesti viivakoodin ja asiakkaiden käyttämiin kampanjoihin liittyvien tietojen osalta.

 

Euroopan unionin toimielimet ja elimet

Lehdistön levittämän epävirallisen version mukaan Digital Omnibus -laissa suunnitellut GDPR:n muutokset saattavat mennä pidemmälle kuin alun perin ilmoitettiin.

Ehdotus, jonka odotetaan julkaistavan virallisesti 19. marraskuuta, selventäisi (ja samalla rajoittaisi) tiettyjä keskeisiä määritelmiä, lieventäisi tiettyjä luottamuksellisuutta koskevia sääntöjä ja valtuuttaisi henkilötietojen käytön tekoälyn koulutuksessa.

Kansalaisyhteiskunta on jo reagoinut korostamalla tällaisen yksinkertaistamisen vaaroja perusoikeuksien kannalta.

Euroopan komissio ilmoitti torstaina 9. lokakuuta käynnistävänsä julkisen kuulemisen digitaalisten markkinoiden asetuksen (DMA) ja GDPR:n välistä vuorovaikutusta koskevista ohjeistaan.

Tämä projekti kehitettiin yhteistyössä Euroopan tietosuojaneuvoston (EDPB) kanssa.

Artikla 5(2) on näiden ohjeiden ydin: DMA edellyttää "portinvartijoilta" käyttäjän suostumuksen hankkimista heidän tietojensa jakamiseen eri palvelujen välillä, mutta siinä ei määritellä tämän suostumuksen tarkkoja ehtoja.

Tekstissä täsmennetään nyt, että tämän suostumuksen on oltava pätevä GDPR:n tarkoittamalla tavalla, mutta ennen kaikkea se on pyydettävä erikseen kutakin erillistä käsittelytarkoitusta (sisällön personointi ja kohdennettu mainonta) varten.

Konsultaatio on avoinna 4. joulukuuta asti.

Euroopan komissio totesi 24. lokakuuta alustavasti, että Meta ja TikTok rikkoivat digitaalisten palveluiden lakia (DSA).

Yritykset eivät anna tutkijoille riittävää pääsyä julkisesti saatavilla olevaan dataan.

Komissio toteaa myös alustavasti, että Facebook ja Instagram ovat laiminlyöneet velvoitteensa (1) tarjota käyttäjille yksinkertaisia mekanismeja laittoman sisällön, kuten lapsipornografian tai terroristisen sisällön, ilmoittamiseen ja (2) antaa käyttäjille mahdollisuus tehokkaasti riitauttaa Metan tekemiä sisällön moderointipäätöksiä.

TikTokilla ja Metalla on mahdollisuus käyttää tutkinta-aineistoa ja vastata siihen.

Euroopan komissio on julkaissut julkisten hankintojen viranomaisten itsenäistä pilvipalvelua koskevan kehyksensä.

Asiakirja pohjautuu useisiin eurooppalaisiin aloitteisiin, mukaan lukien eurooppalainen kyberturvallisuuden sertifiointikehys (ENISA, NIS2, DORA).

Se viittaa myös kansallisiin politiikkoihin, kuten "pilvipalvelu keskiössä" Ranskassa Anssin SecNumCloudin ja Saksan Sovereign Cloudin avulla.

Komissio ehdottaa pilvipalvelutarjousten suvereniteettipisteytystä, joka perustuu erilaisiin kriteereihin. Tämä on herättänyt ristiriitaisia reaktioita.

Menetelmä ei erityisesti tyydytä Cispe-yhdistykseen kokoontuneita eurooppalaisia pilvipalveluntarjoajia, jotka pitävät sitä läpinäkymättömänä ja nykymuodossaan ulkomaisia toimijoita suosivana.

Euroopan parlamentin jäsenet vaativat DSA:n tutkintaa Sheinistä, Temua ja AliExpressiä vastaan.

Euractivin raportin mukaan yli 40 europarlamentaarikkoa on kehottanut komissiota käynnistämään tutkinnan Pariisin syyttäjänviraston aloitettua tutkinnan näistä neljästä yrityksestä, jotka myyvät "lapsenkaltaisia seksinukkeja".

Lasten seksuaalisen hyväksikäytön ehkäisemistä ja torjumista koskeva asetusehdotus CSAM:sta oli jälleen Eurooppa-neuvoston kokouksen esityslistalla 14. lokakuuta.

Koska Saksa, joka oli aiemmin kannattanut lakiesitystä voimakkaasti, veti pois tukensa asetusluonnokselle, äänestystä lykättiin.

Kiistanalainen ehdotus sisälsi viestien skannaamisen käyttäjän päätelaitteella ennen niiden lähettämistä. Neuvoston puheenjohtajavaltio Tanska poisti tämän elementin saadakseen riittävän tuen jäsenvaltioilta.

Tanska aikoo kuitenkin jatkaa nykyistä väliaikaista lupaa lasten seksuaaliseen hyväksikäyttöön tarkoitettujen materiaalien ”vapaaehtoisille” analyyseille toistaiseksi, ja ”korkean riskin palveluntarjoajilta […] voidaan edelleen edellyttää toimien toteuttamista asiaankuuluvien teknologioiden kehittämiseksi palveluissaan tunnistettujen lasten seksuaalisen hyväksikäytön riskin lieventämiseksi”.

EU-maiden sisäministerien on määrä kokoontua uudelleen joulukuun alussa.

Lokakuun täysistunnossaan Euroopan tietosuojaneuvosto valitsi teeman viidennelle koordinoidulle toimelleen tietojenkäsittelyn osalta, joka keskittyy yleisen tietosuoja-asetuksen mukaisten avoimuus- ja tiedonantovelvoitteiden noudattamiseen.

Asetus varmistaa, että rekisteröidyille ilmoitetaan, kun heidän tietojaan käsitellään (12, 13 ja 14 artiklan nojalla).

Euroopan tietosuojaneuvosto toistaa, että tämä oikeus tietoihin on keskeinen osa läpinäkyvyyttä ja takaa yksilöille paremman hallinnan omiin tietoihinsa.

Osallistuvat tietosuojaviranomaiset liittyvät tähän toimintaan vapaaehtoisesti tulevina viikkoina, ja itse toiminta käynnistetään vuoden 2026 aikana.

Belgialaisen L'Echo-sanomalehden, saksalaisen Netzpolitik.org-lehden, hollantilaisen BNR-radioaseman, saksalaisen BR-radioaseman ja Le Monden tekemä tutkimus henkilötietojen välittäjistä osoittaa geolokaatiomainosten mahdollistaman valvonnan laajuuden.

Le Monden ja sen kumppaneiden hankkimat tiedot mahdollistivat useiden Euroopan unionin arvohenkilöiden tunnistamisen ja jäljittämisen, joskus jopa heidän koteihinsa asti.

 

Uutisia Euroopan unionin jäsenmaista.

Saksan Schleswig-Holsteinin osavaltio on luopunut hallituksen sähköposti- ja kalenterijärjestelmistä avoimen lähdekoodin ohjelmistojen hyväksi.

Kuusi kuukautta kestänyt migraatio korvasi Microsoft Exchangen ja Outlookin Open-Xchangella ja Mozilla Thunderbirdillä.

Siirto koski yli 40 000 sähköpostitiliä ja yli 100 miljoonaa viestiä ja kalenterimerkintää.

Itävallassa kansalaisjärjestö Noyb raportoi tietosuojaviranomaisen antaneen päätöksen, jonka mukaan Microsoft 365 Education seuraa laittomasti opiskelijoita ja käyttää heidän tietojaan Microsoftin omiin tarkoituksiin.

Ohjelmistojätti ei myöskään vastannut pyyntöön saada tietoja Microsoft 365 Educationista, jota käytetään laajalti eurooppalaisissa kouluissa.

Itävaltalainen tuomioistuin on vahvistanut IKEAlle määrätyn 1 500 000 euron sakon laittomasta ja liiallisesta videovalvonnasta yhdessä sen toimipisteistä ja niiden ympäristössä, jossa muun muassa tallentui asiakkaiden PIN-koodien syöttäminen.

Näin ollen hän kumosi APD:n päätöksen, jossa ainoastaan myyjä oli vastuussa ostoksen aikana tehdyistä rikkomuksista.

Belgiassa Belgian tietosuojaviranomainen (APD) antoi myös huomautuksen yritykselle entisen työntekijän sähköpostiosoitteen ja puhelinnumeron laittomasta säilyttämisestä työsopimuksen päättymisen jälkeen. APD totesi, että rekisterinpitäjä oli rikkonut useita GDPR:n säännöksiä, mukaan lukien käyttötarkoituksen rajoittamisen periaatetta, tietojen minimoinnin ja säilytyksen rajoittamisen periaatteita, rekisteröidyn tiedottamisen periaatteita ja oikeutta tietojen poistamiseen.

Lopulta näiden tietojen käsittelylle ei enää ollut laillista perustaa.

Espanjassa APD sakotti rahoituspalveluyritystä (Servicios Financieros Carrefour) 1 500 000 eurolla, koska se ei ollut varmistanut tietojenkäsittelyn turvallisuutta ja luottamuksellisuutta tietomurron yhteydessä, joka johti useiden tietojenkalasteluviestien lähettämiseen.

Irlannissa entisen Meta-lobbaajan Niamh Sweeneyn nimitys Irlannin tietosuojaviranomaisen komissaariksi on viime aikoina herättänyt uudelleen huomiota.

Irlannin kansalaisvapausneuvosto (ICCL) jätti 25. lokakuuta valituksen Irlantia vastaan Euroopan komissiolle väittäen, ettei Irlanti ollut antanut riittäviä takeita nimitysprosessinsa riippumattomuudesta ja puolueettomuudesta.

Euroopan komission kerrottiin vastanneen toteamalla, ettei sillä ole toimivaltaa kansallisten kehitysapua koskevien nimitysten suhteen.

Hollannin tietosuojaviranomainen (APD) on määrännyt Experian Nederlandille 2,7 miljoonan euron sakot useista GDPR-rikkomuksista.

Experian tarjosi asiakkailleen luottokelpoisuusarviointeja 1. tammikuuta 2025 asti, joita varten se keräsi tietoja esimerkiksi negatiivisesta maksukäyttäytymisestä, maksamattomista veloista tai konkursseista.

APD totesi, että tiedonkeruulle ei ollut pätevää oikeusperustaa eikä asianomaisille henkilöille ollut tiedotettu asiasta.

Yrityksen oli lopetettava toimintansa maassa ja se lupasi poistaa koko henkilötietokantansa ennen vuoden loppua.

 

 

Britannian tietosuojaviranomainen (DPA) on määrännyt eläkehallinnon palveluihin erikoistuneen yrityspalveluntarjoajan ja sen alihankkijan 8 000 000 ja 6 000 000 punnan sakot kyberhyökkäyksen jälkeen, jonka seurauksena luvattomat kolmannet osapuolet pääsivät käsiksi yli kuuden miljoonan ihmisen tietoihin.

APD totesi asianmukaisten turvatoimien puutteen.

IAPP raportoi, että Kansainvälinen standardisoimisjärjestö (IOPC) on päivittänyt ensimmäistä kertaa sitten vuoden 2019 kansainvälisen standardinsa ISO 27701 yksityisyyden suojaa koskevien vaatimustenmukaisuusohjelmien hallintaan.

Standardi on nyt itsenäinen hallintajärjestelmä, mikä tarkoittaa, että organisaatioiden ei enää tarvitse olla ISO 27001 -sertifioitua tietoturvallisuuden hallintajärjestelmää.

SGSI-järjestelmän haltijat voivat kuitenkin integroida molemmat hallintajärjestelmät.

Standardi määrittelee PIMS-järjestelmän käyttöönoton korkean tason vaatimukset, jotka kaikkien sertifiointia hakevien organisaatioiden on täytettävä ja pantava täytäntöön.

Vaikka sitä ei voida pitää lainsäädännön korvikkeena, se on edelleen tiiviisti EU:n ja Yhdistyneen kuningaskunnan GDPR:n mukainen.

Yhdysvalloissa maahanmuuttopoliisi skannaa ihmisten kasvoja kadulla varmistaakseen heidän kansalaisuutensa.

Yhdysvaltalaisen mediayhtiö 404:n mukaan sosiaalisessa mediassa leviävillä videoilla näkyy ICE:n (Immigration and Customs Enforcement) ja CBP:n (Customs and Border Protection) agentteja, jotka käyttävät kasvojentunnistusteknologiaa ohikulkijoihin kentällä.

Käytetty Mobile Fortify -sovellus linkittää kasvot 200 miljoonan kuvan tietokantaan FBI:n, ulkoministeriön ja muiden virastojen tietokannoista.

Sovellus voi myös suorittaa ristiinhakuja ajoneuvoista, puhelimista, osoitteista ja ampuma-aseista.

Vaikka kotimaan turvallisuusministeriö kieltäytyy vahvistamasta tai kiistämästä ”Mobile Fortifyn” ominaisuuksia, CBP:n kerrotaan myöntävän luottavansa ”erilaisiin teknologisiin työkaluihin agenttien tehokkuuden parantamiseksi”.

Kilpailu tekoälyn integroinnista internet-selaimiin ja jo klassisen Google Chromen hallitsevan aseman haastamisesta kasvaa.

Microsoft on siksi integroinut Copilot-tekoälytyökalunsa Edge-selaimeen.

Ehdotetut "toiminnot" antavat Copilotille mahdollisuuden täyttää lomakkeita tai varata hotelleja, ja "Matkat" antavat Copilotille mahdollisuuden jäljittää käyttäjän avaamien välilehtien välisiä linkkejä.

Microsoftin ilmoitus tuli kaksi päivää sen jälkeen, kun OpenAI oli julkistanut vastaavan selaimen, jossa se esitteli uuden Atlas-selaimensa, joka on visuaalisesti hyvin samanlainen kuin Microsoftin.