Miten sähköisen viestinnän tietosuoja-asetus etenee?

Data Protection Alert

EU:n komissio on tammikuussa 2017 julkaissut ehdotuksen Sähköisen viestinnän tietosuoja-asetukseksi (ePrivacy Regulation), joka korvaisi ja uudistaisi aiemman sähköisen viestinnän tietosuojadirektiivin. Direktiivi on saatettu voimaan Suomessa kansallisesti tietoyhteiskuntakaaren säännöksillä. Tarkoitus on, että asetus astuisi voimaan samaan aikaan kuin EU:n yleisen tietosuoja-asetuksen (General Data Protection Regulation, GDPR) soveltaminen alkaa 25.5.2018, jolloin kansalaiset ja yritykset saisivat kerralla käyttöönsä kattavan EU:n tietosuojakehyksen. Ehdotus yhdenmukaistaisi sähköisen viestinnän säännöt tietosuoja-asetuksen säännösten kanssa. Komissio onkin pyytänyt Euroopan parlamenttia ja neuvostoa käsittelemään ehdotuksen ripeästi, että tähän aikatauluun päästäisiin.

Sähköisen viestinnän tietosuoja-asetus tulee olemaan erityissäädös suhteessa yleiseen tietosuoja-asetukseen. Ehdotetulla erityissäädöksellä täsmennetään ja täydennetään tietosuoja-asetuksen säännöksiä niiden sähköisen viestinnän tietojen osalta, jotka ovat henkilötietoja. Kaikki henkilötietojen käsittelyyn liittyvät kysymykset, joita ehdotus ei nimenomaisesti kata, kuuluvat yleisen tietosuoja-asetuksen soveltamisalaan.

Sähköisen viestinnän tietosuoja-asetuksen tarkoitus on lujittaa yksityisyyden suojaa sähköisen viestinnän alalla ja luoda uusia liiketoimintamahdollisuuksia. Näin ollen sähköinen tietosuoja-asetus tulisi koskemaan kaikkia viestintäpalvelujen tarjoajia, ei enää vain perinteisiä teleoperaattoreita, ja kaikkea sähköistä viestintää eli myös uusia viestintämuotoja, kuten esimerkiksi Skype-, WhatsApp-, Facebook Messenger-, Gmail- ja iMessage-viestintää. Ehdotuksen on sanottu yhdistävän kuluttajansuojan korkean tason sekä yrityksille avautuvat innovointimahdollisuudet.

Sähköisen viestinnän tiedot ovat luottamuksellisia, ellei asetuksessa toisin säädetä. Ehdotuksen mukaan tietosuoja koskee, ei vain sähköisen viestinnän sisältöä, vaan myös viestinnän metatietoja kuten esimerkiksi viestinnän lähteen ja määränpään jäljittämiseksi ja tunnistamiseksi käytettäviä tietoja sekä laitteen sijaintitietoja ja viestinnän päivämäärää, ajankohtaa, kestoa ja tyyppiä. Sisältö- ja metatiedot ovat erittäin yksityisluoteisia tietoja, jotka olisi ehdotuksen mukaan lähtökohtaisesti anonymisoitava tai poistettava, mikäli käyttäjä ei ole antanut suostumustaan niiden jatkokäsittelylle ja säilyttämiselle. Poikkeuksena tästä on esimerkiksi tilanne, kun tietoja tarvitaan mm. laskutusta varten.

Suostumuksen nojalla perinteisillä teleoperaattoreilla olisi mahdollisuus käyttää tietoja ja tarjota niiden perusteella erilaisia lisäpalveluja, kuten lämpökarttoja ihmisten kulkureiteistä, jolloin viranomaisten ja liikennöintiyritysten saattaa olla helpompi kehittää uusia infrastruktuurihankkeita. Asetusehdotus myös yksinkertaistaa ja keventää evästeitä koskevaa sääntelyä. Jatkossa käyttäjien olisi mahdollista hyväksyä tai hylätä evästeitä ja muita tunnisteita käyttäjäasetustensa avulla koko EU:n alueella. Erillistä suostumusta ei edellytetä, jos evästeellä ainoastaan varmistetaan internetin käyttäjien käyttökokemus, kuten esimerkiksi ostoskorin historiatietojen muistaminen, tai jos evästeen tarkoitus on verkkosivuston kävijämäärän laskenta. Ehdotuksessa esitetään kiellettäväksi kokonaan sähköinen, ei-toivottu markkinointiviestintä viestintävälineestä riippumatta (esim. sähköpostit, tekstiviestit, puhelut), jos käyttäjä ei ole antanut suostumustaan tähän. Lisäksi puhelinmarkkinoijien olisi näytettävä puhelinnumeronsa asiakkaille tai käytettävä myyntipuhelut osoittavaa erityistä etuliitenumeroa.

Kansallisesti Suomessa sähköisen viestinnän tietosuojadirektiivin uudistamista on käsitelty eduskunnassa hallituksen selvityksen pohjalta. Kansallinen tietosuojavaltuutettumme on antanut asiassa lausunnon, jossa hän on esittänyt täydentäviä ehdotuksia asetuksen valmisteluun. Tietosuojavaltuutetun lausunnon mukaan asetusvalmistelussa olisi edistettävä erityisesti suostumuksen käyttötilanteiden tarkkaa määrittelyä ja opt-in mallin käyttöönottoa kaikissa EU-maissa ei-toivotun viestinnän osalta (ennakkosuostumusmalli) sekä markkinoinnin estopalveluiden (do not call) tekemistä pakollisiksi. Hallitus suhtautuu positiivisesti EU:n komission ehdotukseen sähköisen viestinnän tietosuojalainsäädännön uudistamisesta ja antoi asiaa koskevan kirjelmän eduskunnalle 16.2.2017. Hallituksen mukaan ehdotus edistää luottamuksellisuuden ja yksityisyyden suojan toteutumista sähköisessä viestinnässä sekä vastuullisen digitaalisen liiketoiminnan ja palvelujen kehittymistä. Hallitus korostaa sähköisen viestinnän tietosuojasäännösten teknologianeutraaliutta sekä sääntelyn yleisluontoisuuden edistämistä. Sääntelyn tulee koskea laajasti myös internetin päällä tarjottavia viestintäpalveluja, kuten älypuhelinten pikaviestintäsovelluksia (over-the-top -palvelut). Hallituksen mukaan yksityisyyden suojan tulee soveltua yhtäläisesti kaikkiin palveluihin, joiden avulla kansalaiset ja yritykset voivat viestiä sähköisesti. Kuitenkaan sääntely ei saa aiheuttaa kohtuuttomia hidasteita digitaalisen kasvuympäristön ja digitaalisten palvelujen kehitykselle.

Tällä hetkellä perustuslakivaliokunta ja liikenne- ja viestintävaliokunta ovat antaneet asiassa lausuntonsa suurelle valiokunnalle ja valiokunnat ovat vastaanottaneet useita asiantuntijalausuntoja ministeriöiltä, keskusvirastoilta, etujärjestöiltä ja eri sidosryhmien edustajilta helmi- ja maaliskuun 2017 aikana.

Liikenne- ja viestintävaliokunta on lausunnossaan kiinnittänyt huomiota sääntelyn keskeiseen merkitykseen muun muassa esineiden internetiä (IOT, Internet of Things) koskevan kehityksen kannalta. Erilaisten laitteiden ja esineiden yhdistyessä yhä enemmän viestintäverkkoihin, kuten internetiin, ja niiden viestiessä myös keskenään, on tärkeää ratkaista tämänkin kehityksen verkkojen turvallisuuteen ja yksityisyyden suojaan liittyviä vaikutuksia. Osa laitteiden välisestä tiedonsiirrosta voi sisältää henkilötietoja. Valiokunnan mukaan esineiden internetin ongelmana saattaa olla, että laitteiden valmistajat ja niitä hyödyntävät käyttäjätahot eivät välttämättä ole riittävän tietoisia muun muassa tietoturvaan liittyvistä vaatimuksista. Sääntelyllä tuleekin varmistaa, että viestinnän välittäjillä on riittävät toimintamahdollisuudet ja valvontaviranomaisilla on tarvittavat resurssit mahdollisten ongelmien ratkaisemiseksi. Valiokunta korostaa myös, että todennäköisesti esineiden ja laitteiden välisessä viestinnässä myös siirrettävän tiedon taloudellinen arvo tulee tulevaisuudessa olemaan huomattava, joten siitäkin syystä on tarpeen ratkaista ne periaatteet, joilla tätä tietoa voidaan hyödyntää. IOT:n sääntelyssä tulee tasapainottaa näkökohtia, että sääntelyllä voidaan ehkäistä erityisesti tietoturvaan ja yksityisyydensuojaan liittyviä ongelmia, mutta ei tarpeettomasti rajoiteta alan innovaatioita ja palvelukehitystä.

Suurivaliokunta on hyväksynyt eduskunnan kannan samalla huomioiden erikoisvaliokuntien kannanotot, muun muassa esineiden internetiä koskien.

Huhtikuussa 2017 EU:n WP29-tietosuojatyöryhmä julkaisi lausunnon asetusehdotuksesta, jossa se esitti tarkempia näkemyksiään erityisesti neljään eri asetusehdotuksen kohtaan. WP29:n näkemyksen mukaan huomiota tulee jatkovalmistelussa kiinnittää erityisesti 1) päätelaitteen sijainnin paikantamiseen oikeuttaviin perusteisiin (kuten Wi-Fi tai Bluetooth -paikannus), 2) viestinnän sisällön ja metatietojen analysoinnin oikeuttaviin perusteisiin, 3) päätelaitteiden ja ohjelmistojen asetuksien sisäänrakennettuun ja oletusarvoiseen tietosuojaan ja 4) siihen, että yksinomaan ota tai jätä –tyyppiset valintatilanteet kiellettäisiin, kun käyttäjän on mahdollista päästä kyseiselle internet-sivulle tai saada kyseinen palvelu käyttöönsä ainoastaan suostumalla käyttönsä seurantaan myös muilla sivustoilla tai muissa palveluissa. Työryhmä ei katso tällaisissa tilanteissa olevan kyse vapaaehtoisesta suostumuksesta. WP29-tietosuojatyöryhmän näkemyksen mukaan tietosuoja tasoa madallettaisiin asetusehdotuksella näiden aihepiirin osalta yleisen tietosuoja-asetuksen tasoon verrattuna. WP29:n näkemykset tähtäävät sähköisen viestinnän tietojen luottamuksellisuuden suojan tason asettamiseen tietosuoja-asetuksen kanssa samalle tai jopa korkeammalle tasolle.

Asetusehdotuksen käsittely on aluillaan EU:ssa. Seuraavaksi parlamentti ja neuvosto neuvottelevat ehdotuksesta lopullisen asetuksen tekstimuodon saavuttamiseksi.

Lähteet ja lisätietoja:

Euroopan komissio – Lehdistötiedote

Tietosuojavaltuutettu, blogi-kirjoitus ’ePrivacy Regulation – sähköisen viestinnän tietosuojasta’

Tietosuojavaltuutetun Lausunto sähköisen viestinnän tietosuojadirektiivin uudistamisesta (E 55/2016 vp)

Ehdotus sähköiseksi tietosuoja-asetukseksi (Proposal for a Regulation on Privacy and Electronic Communications, myös suomenkielinen käännös)

Liikenne- ja viestintäministeriö, ’Hallitus kannattaa EU:n sähköisen viestinnän tietosuojalainsäädännön uudistamista’

Valtioneuvoston kanslia, ’Valtioneuvoston yleisistunto 16.2.2017’

Eduskunta, ’U 19/2017 vp, Valtioneuvoston kirjelmä eduskunnalle komission ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi yksityiselämän ja henkilötietojen suojaamisesta sähköisessä viestinnässä ja sähköisen viestinnän tietosuojadirektiivin kumoamisesta’

Valiokunnan lausunto LiVL 6/2017 vp─ U 19/2017 vp

WP29, ’Opinion 01/2017 on the Proposed Regulation for the ePrivacy Regulation (2002/58/EC)’


For further information, please contact:

Salla Turkkinen, Associate
[email protected]