Tämä on ensimmäinen reaktio kehittyvään juttuun. Tarkista tämä sivu uudelleen, jos lausuntoomme tulee muutoksia ja/tai päivityksiä.
Huolimatta kansalaisyhteiskunnan ja EU:n parlamentin suurten osien voimakkaasta kritiikistä EU:n komissio on nyt julkaissut ehdotuksensa "digitaalisesta kokonaispaketista". Toisin kuin komission virallisessa lehdistötiedotteessa todetaan, nämä muutokset eivät ole "henkilötietojen korkeimman mahdollisen tietosuojan säilyttämistä", vaan heikentävät huomattavasti eurooppalaisten tietosuojaa. Vaikka ehdotetuista muutoksista ei ole mitään todellista hyötyä eurooppalaisille pienille ja keskisuurille yrityksille, ne ovat lahja yhdysvaltalaisille suurille teknologiayrityksille, sillä ne avaavat monia uusia porsaanreikiä, joita niiden lakiosastot voivat hyödyntää. Schrems: "Tämä on suurin hyökkäys eurooppalaisten digitaalisia oikeuksia vastaan vuosiin. Kun komissio toteaa, että se "pitää yllä korkeimpia standardeja", se on, se ei selvästikään pidä paikkaansa. Se ehdottaa näiden standardien heikentämistä."
Suurin leikkaus yksityisyydensuojaan vuosiin. Teollisuuden eturyhmät ovat menestyksekkäästi käyttäneet Euroopan pelkoa maailmanlaajuisesta talouspaineesta hyväkseen ja vaatineet massiivisia leikkauksia Euroopan digitaalisiin oikeuksiin. Tänään ehdotetut äkilliset muutokset saattavat heikentää yli 40 vuotta kestänyttä selkeää eurooppalaista kantaa yksityisten toimijoiden harjoittamaa kaupallista valvontaa vastaan, joka on kirjattu myös Euroopan unionin perusoikeuskirjan 8 artiklaan ja jota Euroopan kansalaiset kannattavat laajasti.
Max Schrems: "Digital Omnibus hyödyttäisi lähinnä suuria teknologiayrityksiä, mutta ei toisi mitään konkreettista hyötyä EU:n keskivertoyrityksille. Tämä uudistusehdotus on merkki paniikista Euroopan digitaalisen tulevaisuuden muotoilun suhteen, ei merkki johtajuudesta. Tarvitsemme oikeasti strategisen, hyvin suunnitellun pitkän aikavälin suunnitelman, jolla Eurooppaa viedään eteenpäin."
Poliittinen tuki muutoksille vähäinen. Euroopan komissio on vetänyt tämän GDPR-uudistuksen hatusta huolimatta siitä, että useimmat EU:n jäsenvaltiot olivat nimenomaisesti pyytäneet, ettei GDPR:ää otettaisi uudelleen käsiteltäväksi. Lisäksi viime viikolla vuotaneet tekstit aiheuttivat voimakasta vastustusta Euroopan parlamentin keskustan ja vasemmiston ryhmissä (S&D, Renew ja Vihreät), jotka nimenomaisesti kehottivat komissiota lopettamaan nämä tietosuoja-asetuksen massiiviset leikkaukset. Lisäksi, 127 kansalaisyhteiskunnan järjestöä (mukaan lukien noyb) kritisoivat voimakkaasti komission odottamatonta hyökkäystä ja vuodettua tekstiä.
Kuitenkin tänään komission puheenjohtajan Ursula von der Leyenin johdolla, Varapuheenjohtaja Henna Virkkunen ja Oikeuskomissaari Michael McGrath, komissio päätti jatkaa tietosuoja-asetuksen merkittäviä leikkauksia. Komission sisällä on puhuttu massiivisesta poliittisesta painostuksesta leikata lakeja - ilman asianmukaista prosessia tai analyysiä.
Max Schrems: "Yleisön, jäsenvaltioiden ja Euroopan parlamentin poliittinen tuki näille leikkauksille on vähäinen. Vaikuttaa siltä, että Euroopan komissio yrittää yksinkertaisesti ajaa kaikki muut ohi "nopeutetulla" menettelyllä, joka näyttää pikemminkin paniikkireaktiolta kuin harkitulta, näyttöön perustuvalta lainvalmistelulta."
Taustaa: Saksan vai Yhdysvaltojen vaikutusvalta? Yksi uudistuksen liikkeellepanevista voimista, jonka puolesta "paperitodiste" on olemassa, on Saksa. Jotkut äänet viittaavat myös politicon hiljattain julkaisemaan raporttiinmukaan Virkkusen viesti yhdysvaltalaisille yrityksille suorissa tapaamisissa oli, että EU:sta tulee "yritysystävällisempi". Myös raportoidaan Trumpin hallinnon kasvavasta painostuksesta eU:hun, jotta se vähentäisi suojatoimia tullitariffien välttämiseksi.
Vaikka on epäselvää, mistä paine tarkalleen ottaen tulee, on selvää, että Euroopan komissio on yllättäen ja salaa astunut pitkälle yli alkuperäisestä suunnitelmasta "digitaalisen omnibussin" osalta, jonka pitäisi ei olisi pitänyt sisältää muutoksia GDPR:ään.
EU:n komissio "liikkuu nopeasti - ja rikkoo asioita". Sen sijaan, että Euroopan komissio olisi pitänyt kiinni alkuperäisestä suunnitelmasta, jonka mukaan vuonna 2026 tehtäisiin "digitaalinen kuntotarkastus" hallinnollisen taakan vähentämiseksi, se näyttää noudattaneen Piilaakson mottoa, jonka mukaan "liikutaan nopeasti ja rikotaan asioita" ja ajaa läpi keskeisten sääntöjen uudistuksia "nopeutetussa" menettelyssä. Vaikutustenarvioinnin tai todisteiden keräämisen puuttuminen heittää yli laidan EU:n lainsäädäntötyön vähimmäisvaatimuksia koskevat vakiintuneet periaatteet ja noudattaa "trumppilaista" tyyppiä, jossa muutokset ovat arvaamattomia. Seurauksena on erittäin huono muotoilu ja lainsäädäntö, joka ei sovellu tarkoitukseensa.
Max Schrems: "Nämä muutokset tapahtuivat ilman asianmukaisia menettelyjä, eivätkä ne perustu näyttöön vaan pikemminkin pelkoon ja teollisuuden väitteisiin. nopeasti liikkeellä ja rikkoa asioita" ei ole motto, jolla voidaan ajaa läpi lainsäädäntöä, joka vaikuttaa 450 miljoonan ihmisen elämään ja viime kädessä myös yhteiskuntiemme ja demokratioidemme moitteettomaan toimintaan."
"Tekoälyn tunnelinäkökulma". Ehdotetulla yleisen tietosuoja-asetuksen uudistuksella näyttää ensisijaisesti pyrittävän poistamaan kaikki esteet, jotka voisivat rajoittaa henkilötietojen, kuten sosiaalisen median tietojen, käyttöä tekoälyssä. Monilla näistä muutoksista olisi kuitenkin massiivisia seurauksia yhteiskunnalle muillakin aloilla kuin tekoälyn alalla, kuten verkkomainonnassa.
Max Schrems: "Tekoäly saattaa olla yksi vaikuttavimmista ja vaarallisimmista teknologioista demokratiamme ja yhteiskuntamme kannalta. Silti narratiivi 'tekoälykilpailusta' on saanut poliitikot jopa heittämään ikkunasta ulos suojauksia, joiden olisi pitänyt juuri suojella meitä siltä, että kaikki tietomme menevät suureen läpinäkymättömään algoritmiin."
Ei hyötyä eurooppalaisille pk-yrityksille - mutta tulvaporttien avaaminen "isoille". Huolimatta usein toistuvista lupauksista, joiden mukaan eurooppalaisten pienyritysten taakkaa pyritään pääasiassa helpottamaan, ehdotetut muutokset on kaikkea kuin yksinkertaistamista. Useimmista artikloista tulee monimutkaisempia, epäselvempiä ja epäloogisempia. Sen sijaan, että komissio pyrkisi vähentämään paperityön tarvetta (joka on eurooppalaisten yritysten suurin ongelma), se ottaa käyttöön oikeudellisia porsaanreikiä, joita vain suuryritykset ja suuret asianajotoimistot voivat hyödyntää.
Max Schrems: "Vaikka komissio väittää jatkuvasti, että tämä uudistus olisi hyväksi pienille yrityksille, nämä muutokset hyödyttävät niitä hyvin vähän. Vakiintuneeseen lainsäädäntöön tehtävät muutokset vain lisäävät markkinoiden keskittymistä, lisäävät oikeudellista epävarmuutta, synnyttävät uusia oikeudenkäyntejä ja edellyttävät kalliimpaa oikeudellista neuvontaa. Ainoa todellinen hyötyjä ovat suuret teknologia- ja asianajotoimistot."
Kuolema 1000 leikkauksen kautta. Komission lokakuussa järjestämän julkisen kuulemisen mukaan ehdotuksen tietosuojaan liittyvissä näkökohdissa olisi pitänyt keskittyä lähinnä "evästebanneriväsymyksen" torjumiseen. Tänään komissio kuitenkin esitti perusteellisia leikkauksia tietosuoja-asetukseen. Monet näistä leikkauksista näyttävät rikkovan EU:n perusoikeuskirjan 8 artiklan mukaista oikeutta tietosuojaan tai ainakin olevan ristiriidassa sen kanssa.
Seuraavassa on ensimmäinen yleiskatsaus tärkeimpiin ongelmiin:
(1) Uusi GDPR:n porsaanreikä "pseudonyymien" tai "tunnusten" kautta. Komissio ehdottaa, että "henkilötietojen" määritelmää kavennetaan merkittävästi - mikä johtaisi siihen, että yleistä tietosuoja-asetusta ei sovellettaisi moniin eri alojen yrityksiin. Esimerkiksi alat, jotka tällä hetkellä toimivat "pseudonyymien" tai satunnaisten tunnistenumeroiden avulla, kuten tiedonvälittäjät tai mainosalalla toimivat yritykset, eivät enää kuuluisi (kokonaan) tietosuoja-asetuksen soveltamisalaan. Tämä tehtäisiin lisäämällä "subjektiivinen lähestymistapa" yleisen tietosuoja-asetuksen tekstiin.
Sen sijaan, että henkilötiedoille olisi objektiivinen määritelmä (esim. tiedot, jotka liittyvät suoraan tai epäsuorasti tunnistettavissa olevaan henkilöön), subjektiivinen määritelmä tarkoittaisi sitä, että jos tietty yritys väittää, että se ei voi (vielä) tai ei pyri (tällä hetkellä) tunnistaa henkilöä, tietosuoja-asetusta ei enää sovelleta. Tällainen tapauskohtainen päätös on luonnostaan monimutkaisempi ja kaikkea muuta kuin "yksinkertaistaminen". Se tarkoittaa myös sitä, että tiedot voivat olla "henkilökohtaisia" tai olla olematta riippuen yrityksen sisäisestä ajattelutavasta tai olosuhteista, jotka sillä on kulloinkin. Tämä voi myös tehdä yritysten välisestä yhteistyöstä monimutkaisempaa, koska jotkut kuuluisivat GDPR:n soveltamisalaan ja toiset eivät.
Lisäksi tällainen "subjektiivinen" määritelmä tekee käyttäjien tai viranomaisten mahdottomaksi tietää, sovelletaanko GDPR:ää kussakin tapauksessa. Käytännössä tämä voi tehdä GDPR:stä vaikeasti täytäntöönpanokelpoisen, koska yrityksen todellisista aikeista ja suunnitelmista syntyy loputtomia keskusteluja ja erimielisyyksiä.
Max Schrems: "Se on kuin aselaki, jota sovelletaan aseisiin vain silloin, kun omistaja vahvistaa pystyvänsä käsittelemään asetta ja aikoo ampua jonkun. On ilmeistä, miten absurdeja tällaiset subjektiiviset määritelmät ovat."
(2) Henkilökohtaisten tietojen poimiminen laitteestasi? Tähän mennessä sähköisen viestinnän tietosuojalainsäädännön 5 artiklan 3 kohta on suojannut käyttäjiä "päätelaitteisiin", kuten tietokoneisiin tai älypuhelimiin, tallennettujen tietojen etäkäytöltä. Tämä perustuu EU:n perusoikeuskirjan 7 artiklan mukaiseen oikeuteen viestinnän suojaan ja varmisti, etteivät yritykset voi "etähaulla" laitteita.
Komissio lisää nyt päätelaitteisiin pääsyä varten "valkoisen listan" käsittelytoiminnot, joita ovat esimerkiksi "yhteenlasketut tilastot" ja "turvallisuustarkoitukset". Vaikka muutosten yleinen suunta on ymmärrettävä, sanamuoto on erittäin salliva ja mahdollistaisi myös käyttäjien laitteiden liiallisen "etsimisen" (pienistä) turvallisuustarkoituksista.
(3) Meta tai Googlen tekoälykoulutus EU:n henkilötiedoilla? Kun Meta tai LinkedIn alkoivat käyttää sosiaalisen median tietoja, se oli laajalti epäsuosittua. Tuoreessa tutkimuksessa esimerkiksi vain 7 prosenttia saksalaisista sanoo haluavansa, että Meta käyttää heidän henkilötietojaan tekoälyn kouluttamiseen. Komissio haluaa kuitenkin nyt sallia erittäin henkilökohtaisten tietojen (kuten yli 15 vuoden sosiaalisen median profiilin sisällön) käytön tekoälyn kouluttamiseen Big Tech -yrityksissä.
Max Schrems: "Yleisö ei missään nimessä tue sitä, että Meta tai Google käyttäisi eurooppalaisten henkilötietoja algoritmeissaan. Vuosien ajan meille kerrottiin, että ihmisten ei pitäisi olla huolissaan, koska henkilötietojamme käytetään 'yhdistämään' meidät tai parhaimmillaan niitä käytetään jonkin mainoksen kohdentamiseen. Nyt kaikki tietosi työnnetään Metan, Googlen tai Amazonin algoritmeihin. Näin tekoälyjärjestelmien on helpompi tietää kaikkein intiimeimmätkin yksityiskohdat - ja näin ollen manipuloida ihmisiä. Tämä hyödyttää ensisijaisesti biljoonien dollareiden arvoista yhdysvaltalaista teollisuutta, joka rakentaa henkilötietojemme pohjalta perustuvia malleja."
Euroopan komissio ennakoi, että käyttäjät voivat kieltäytyä, mutta yritykset ja käyttäjät eivät yleensä tiedä, kenen tietoja harjoitustietokannassa on. Vaikka he tietäisivätkin, käyttäjien pitäisi kieltäytyä siitä tuhansia kertoja vuodessa, kun toinen yritys kouluttaa algoritmia heidän tiedoillaan.
Max Schrems: "Opt-out-lähestymistapa ei toimi käytännössä. Yrityksillä ei ole käyttäjien sopimustietoja, eivätkä käyttäjät tiedä, kuka harjoittelee heidän tietojensa perusteella. Opt-out-lähestymistapa on komission yritys peittää viikunanlehdellä tämä ilmeisen laiton käsittelytoiminta."
Komissio ei halua etuoikeuttaa ainoastaan tekoälyjärjestelmien koulutusta vaan myös tällaisten järjestelmien "toimintaa". Tämä merkitsisi sitä, että muutoin laittomasta käsittelystä tulisi laillista vain siksi, että se tehdään tekoälyn avulla.
Max Schrems: "Yleensä riskialttiimpien teknologioiden on täytettävä korkeammat vaatimukset. Komission ehdotus avaa nyt sulut, kun tekoälyä käytetään - kun taas perinteinen tietojenkäsittely kuuluisi edelleen nykyisen lainsäädännön piiriin. Tämä on järjetöntä."
(4) Käyttäjäoikeudet leikataan lähes nollaan - Saksan vaatimuksesta? Perustuen kansalliseen keskusteluun, jonka mukaan GDPR:n käyttöoikeuksia voidaan käyttää esimerkiksi työsopimusten maksamatta jättämisen todistamiseen, on Saksan hallitus vaati näiden oikeuksien massiivista rajoittamista - ja piti tällaista käyttöä "väärinkäytöksenä", vaikka GDPR:ssä on jo väärinkäyttöä koskeva lauseke. Komissio on noudattanut Saksan vaatimusta ja ehdottaa, että rekisteröidyn tiedonsaantioikeuden käyttö rajoitetaan koskemaan vain "tietosuojaa koskevia tarkoituksia".
Käänteisesti tämä tarkoittaa, että jos työntekijä käyttää tiedonsaantipyyntöä työriidassa palkattomista työtunneista - esimerkiksi saadakseen selvityksen tekemistään työtunneista - työnantaja voisi hylätä pyynnön "väärinkäytöksenä". Sama pätee toimittajiin tai tutkijoihin. Laajassa tulkinnassa tämä voisi mennä vieläkin pidemmälle. Jos henkilö pyytää pääsyä omiin tietoihinsa poistaakseen myöhemmin väärät luottotiedot saadakseen halvemman lainan pankista, tällaisia oikeuksia ei ehkä käytetä pelkästään "tietosuojasyistä" vaan taloudellisen edun vuoksi.
Tämä rajoitus on selvästi vastoin EU:n tuomioistuimen oikeuskäytäntöä ja perusoikeuskirjan 8 artiklan 2 kohtaa. Tietoista itsemääräämisoikeutta koskevalla oikeudella on nimenomaisesti tarkoitus tasoittaa käyttäjien ja tietoja hallussaan pitävien yritysten välistä tiedonsaantikuilua, sillä yhä enemmän tietoja on piilotettu yritysten palvelimille (esim. kopio työaikakirjanpidosta). EU:n tuomioistuin on useaan otteeseen todennut, että näitä oikeuksia voidaan käyttää mihin tahansa tarkoitukseen - myös oikeudenkäyntiin tai todisteiden hankkimiseen.
Max Schrems: "Tämä muutos rikkoo selvästi perusoikeuskirjaa ja EU:n tuomioistuimen oikeuskäytäntöä. Rekisterinpitäjät kaikkialla Euroopassa käyttävät sitä käyttäjien oikeuksien heikentämiseen entisestään. Todellisuudessa kansalaiset eivät käytä laajalti väärin GDPR:n mukaisia oikeuksiaan, vaan yritykset eivät noudata niitä laajalti. Käyttäjien oikeuksien leikkaaminen entisestään osoittaa, miten etäällä komissio on käyttäjien päivittäisestä kokemuksesta."
noybin työ on mahdollista vain 5287 kannatusjäsenemme ansiosta. Haluaisitko sinäkin tukea meitä?
