Etusivu Tietosuoja Tietosuoja- ja tekoäly -uutiskirje

Tietosuoja- ja tekoäly -uutiskirje

30.05.2025

TIETOSUOJA- JA TEKOÄLY -UUTISKIRJE

Vuoden toiseen uutiskirjeeseen olemme koonneet alkuvuoden 2025 kiinnostavimmat tietosuojaa ja tekoälyä koskevat uutiset sekä katsauksen oikeuskäytäntöön.

Uutiskatsaus

  • Euroopan unionin julkisasiamieheltä suuntaviivoja sähköpostimarkkinointiin
  • Vantaan kaupunki kuunteli työntekijöidensä puhelutallenteita – tuhansien eurojen korvaukset
  • EU:ssa laaditaan parhaillaan yleiskäyttöisiä tekoälyjärjestelmiä koskevia käytännesääntöjä ja yritysten valmistautuminen tekoälyn käyttöönottoon jatkuu
  • Tietosuojasääntely tarkastelun kohteena – muuttuvatko GDPR ja työelämän tietosuojalaki?
  • Tietosuojavaltuutettu selvittää Helsingin yliopiston geenitietojen siirtoja Kiinaan

Euroopan unionin julkisasiamieheltä suuntaviivoja sähköpostimarkkinointiin

Inteligo Media SA, verkkouutisten julkaisija, sai sakon Romanian tietosuojaviranomaiselta (ANSPDCP) vuonna 2019. Asiassa oli kyse siitä, että käyttäjät rekisteröityivät maksuttomaan palveluun saadakseen pääsyn uutisartikkeleihin ja vastaaviin sisältöihin. Inteligo Media lähetti palveluun rekisteröityneille käyttäjille päivittäisiä uutiskirjeitä ilman käyttäjien nimenomaista suostumusta, ja tämän katsottiin rikkovan GDPR:n määräyksiä.

Yhtiö vei asian Euroopan unionin tuomioistuimen ratkaistavaksi. Julkisasiamies totesi lausunnossaan, että vaikka tilin luominen verkkouutisten julkaisijan palveluun oli ilmaista, kyseessä oli silti kaupallinen palvelu laajemman markkinointitarkoituksensa takia.  Tästä syystä uutiskirjeiden lähettäminen voitiin katsoa tapahtuvan ePrivacy-direktiivin (Suomessa laki sähköisen viestinnän palveluista) perusteella lähettäväksi sähköiseksi suoramarkkinoinniksi olemassa oleville asiakkaille. Näin ollen GDPR:n mukaista erillistä suostumusta ei tarvittu.

Euroopan unionin tuomioistuin ei ole antanut vielä lopullista päätöstään asiassa, mutta julkisasiamiehen lausunto usein ennakoi tuomioistuimen kantaa.

Lisätietoja: EUR-Lex – 62023CC0654 – EN – EUR-Lex,  CURIA – Documents

Vantaan kaupunki tallensi laittomasti työntekijöidensä puheluita – tuhansien eurojen korvaukset

Vantaan kaupunki oli tallentanut ja osin myös kuunnellut kaupungin työntekijöiden soittamia asiakaspalvelupuheluita. Kyseessä oli kuntalaispalvelun asiakaspalvelunumero. Puhelun alussa asiakkaita oli tapauksessa asianmukaisesti informoitu siitä, että puhelu tallennetaan. Vantaan kaupunki ei kuitenkaan ollut informoinut tästä työntekijöitään lainsäädännön vaatimalla tavalla.

Vantaan kaupunki oli rikkonut toiminnallaan lakia yksityisyyden suojasta työelämässä, kun se ei ollut riittävissä määrin tiedottanut työntekijöitään puheluiden tallentamisesta, sen tarkoituksesta ja menetelmistä. Lisäksi kaupunki ei ollut noudattanut yhteistoimintalain vaatimusta vuoropuhelusta.

Vantaan kaupunki päätti maksaa loukkauksesta 400 euron korvauksen työntekijöilleen, joiden puheluita oli tallennettu laittomasti. Kokonaisuudessaan Vantaan kaupunki maksoi korvauksia yli 8 000 euroa. Kaupunki ehti tallentaa asiakaspalvelunumerossa käytyjä puheluita noin kuukauden ajan syyskuussa 2024.

Jos suunnitelmissa on ottaa käyttöön työntekijöiden puheluiden tallennus, kannattaa varmistaa etukäteen, että lainsäädännön vaatimukset on riittävällä tavalla huomioitu.

Lisätietoja: Vantaa nauhoitti ja kuunteli laittomasti työntekijöidensä puheluita – Tuhansien eurojen korvaukset | HS.fi

EU:ssa laaditaan yleiskäyttöisiä tekoälyjärjestelmiä koskevia käytännesääntöjä ja yritysten valmistautuminen tekoälyn käyttöönottoon jatkuu

Euroopan unionissa laaditaan parhaillaan ensimmäisiä yleiskäyttöistä tekoälyä (kuten ChatGPT tai Copilot) koskevia käytännesääntöjä. Näiden tarkoituksena on täydentää tekoälyasetuksen sääntöjä niille tekoälymalleille, joihin voi liittyä systeemisiä riskejä. Käytännesäännöt eivät ole sitovia, mutta niiden tarkoituksena on auttaa mallien tarjoajia täyttämään tekoälyä koskevat oikeudelliset velvoitteet. Ensimmäisten käytännesääntöjen on määrä valmistua elokuuhun 2025 mennessä.

Vaikka käytännesääntöjen valmistuminen on viivästynyt, tulee tekoälyä käyttävien organisaatioiden kartoittaa käyttämänsä tekoälyjärjestelmät ja arvioida niiden riskiluokat. Tämän lisäksi on syytä laatia tekoälyn hallintamalli (AI Governance), jotta organisaatio pystyy osoittamaan hyödyntävänsä tekoälyä vastuullisesti ja lainmukaisesti sekä hallitsemaan siihen liittyviä riskejä.

Lexia auttaa laatimaan riskiarvion ja yrityksen toimintaan sopivan tekoälyn hallintamallin. Lisätietoja: Tekoälyn yleiset käytännesäännöt | Shaping Europe’s digital future

Tietosuojasääntely tarkastelun kohteena – muuttuvatko GDPR ja työelämän tietosuojalaki?

Vuodesta 2018 sovellettava GDPR on koettu kuormittavan yrityksiä erityisesti laajojen dokumentointivaatimusten ja monimutkaisuuden takia. Vaikka GDPR:n ensisijainen tavoite on suojella luonnollisten henkilöiden yksityisyyttä, asetuksen vaikutus pienempiin yrityksiin ja teknologia-alan toimijoihin on koettu haitalliseksi. GDPR:n vaatimusten on katsottu myös rajoittaneen innovaatioita ja kilpailukykyä.

Euroopan komissio on ottanut kilpailukykyä koskevan huolen vakavasti ja tarkastelee nyt uudelleen GDPR:ää. Tavoitteena on helpottaa pienten ja keskisuurten yritysten asemaa.

Suomessa hallituksen puoliväliriihessä huhtikuussa linjattiin, että työelämän tietosuojan sääntelyä pyritään selkeyttämään. Työntekijän henkilötietojen käsittelyssä on noudatettava GDPR:n lisäksi kansallista lainsäädäntöä, kuten työelämän tietosuojalakia. Nämä sisältävät osin keskenään päällekkäistä sääntelyä ja voivat myös johtaa ristiriitaisiin lopputuloksiin. Tarkoituksena on vähentää työantajana toimivien yritysten hallinnollista taakkaa.

Lisätietoja: Simplification measures to save EU businesses €400 million annually | Euroopan komissio, Työelämän tietosuojalain muuttamista arvioiva työryhmä| Valtioneuvosto

Tietosuojavaltuutettu selvittää Helsingin yliopiston geenitietojen siirtoja Kiinaan

Helsingin yliopisto on ostanut geenien analyysipalveluita kiinalaiselta BGI Group -yhtiöltä. Tietosuojavaltuutetuntoimisto on aloittanut selvityksen siitä, onko henkilötietojen siirroissa noudatettu EU:n tietosuojasääntöjä.

EU:n yleinen tietosuoja-asetus (GDPR) sallii henkilötietojen siirrot ulkomaille niin sanottuihin kolmansiin maihin, kunhan tietosuojantaso kohdemaassa on oltava riittävä. Kiina ei tällä hetkellä kuulu Euroopan komission hyväksymien maiden joukkoon. Tällöin henkilötietoja siirtävän tahon olisi pitänyt arvioida siirron oikeusperuste ja varmistaa riittävät suojatoimet.

Lisätietoja: Tietosuojavaltuutettu alkaa selvittää Helsingin yliopiston tiedonsiirtoa kiinalaiselle geeniteknologiayritykselle | Tietosuojavaltuutetun toimisto , Sotilaalliseksi luokiteltu kiinalaisyritys teki yhteistyötä Suomessa yliopistojen kanssa – supo huolissaan geenidatasta | Kotimaa | Yle

Lexia Asianajotoimisto auttaa sinua ja yritystäsi noudattamaan tietosuojalainsäädäntöä. Olethan yhteydessä asiantuntijoihimme, jos voimme tarjota asiantuntemustamme!

Artikkelin kirjoittaja: Erika Leinonen, Counsel, [email protected]

Lisää aiheesta

Saavutettavuusvaatimukset laajenevat yksityiselle sektorille – oletko valmis?

Kesäkuusta 2025 alkaen saavutettavuusvaatimukset koskevat yhä laajemmin […]

Lexia Asianajotoimisto sai jälleen tunnustusta Legal 500 EMEA -tutkimuksessa

Asianajotoimistojen asiantuntijapalveluja ja asiakastyytyväisyyttä vuosittain arvioiva Legal 500 […]

Kooste vuoden 2024 merkittävistä tietosuojaa koskevista asioista

Olemme koostaneet käyttöösi vuoden 2024 merkittävimmät tietosuojaa […]

EU:n tekoälyasetuksen velvoitteita voimaan helmikuussa 2025

Tekoälyasetus (EU 2024/1689) tuli voimaan 1.8.2024. EU:n […]

Back to Top