Ads 468x60px

torstai 9. helmikuuta 2017

Euroopan komissio ehdottaa parannuksia sähköisen viestinnän tietosuojaan

Komissio on ehdottanut uutta Euroopan Unionin (”EU”) lainsäädäntöä sähköisen viestinnän tietosuojadirektiivin (2002/58 EY) uudistamiseksi.

Direktiivin korvaajaksi ehdotetun sähköisen viestinnän tietosuoja-asetuksen on tarkoitus yhdenmukaistaa sähköisen viestinnän lainsäädäntöä EU:n yleisen tietosuoja-asetuksen – yleisessä keskustelussa käytetyllä lyhenteellä ilmaistuna ”GDPR:n” – mukaiseksi sekä täydentää EU:n tietosuojakehystä. EU:n tietosuojalainsäädännön uudistus on osa EU:n digitaalisten sisämarkkinoiden strategiaa, jolla pyritään synnyttämään aidot ja kilpailukykyiset digitaaliset sisämarkkinat ja niin toimien tukemaan jäsenvaltioiden kilpailukykyä ja taloudellista kasvua. Kuten GDPR, myös ehdotettu sähköisen viestinnän tietosuoja-asetus tulisi olemaan suoraan sovellettavaa oikeutta kaikissa EU:n jäsenvaltioissa. Komission mukaan asetusmuotoinen säännös takaa sen, että kaikki palvelujen käyttäjät ja yritykset EU:ssa hyötyvät samantasoisesta suojasta sähköisessä viestinnässään.

Sähköisen viestinnän tietosuoja-asetuksen lisäksi komissio on ehdottanut uusia tiukempia sääntöjä EU:n toimielimille. Tällaisilla määräyksillä on tarkoitus varmistaa, että EU:n toimielimissä yksityisyyden suojaamisesta huolehditaan yleistä tietosuoja-asetusta vastaavasti.

Uudistuksen tavoitteena on yksityisyyden turvaamiseksi laajentaa tietosuojasääntelyn soveltamisalaa siten, että sääntelyn piiriin kuuluisivat perinteisten teleoperaattoreiden lisäksi jatkossa kaikki sähköisten viestintäpalveluiden tarjoajat. Sähköisen viestinnän tietosuoja-asetuksen yksityisyyttä suojaavia säännöksiä sovellettaisiin jatkossa esimerkiksi Facebook Messengerin, WhatsAppin sekä Skypen kaltaisiin sähköisiä viestintäpalveluja tarjoaviin toimijoihin. Tietosuojavaltuutettu Reijo Aarnio on asiaa koskevassa lausunnossaan korostanut näiden uudenlaisten perinteisistä teleoperaattoripalveluista eroavien viestintämuotojen ja -palveluiden huomioon ottamista.
Ehdotetulla sähköisen viestinnän tietosuoja-asetuksella pyritään turvaamaan sähköisen viestinnän sisällön ja viestintään kytkeytyvien metatietojen luottamuksellisuus. Metatietojen voidaan laajasti määritellä olevan tietoa tiedostosta tai tiedoston sisällöstä, kuten teknisiä tietoja, liitännäistietoja ja sisältöä kuvailevia tietoja. Metatietojen käsittely on sallittua vain silloin, kun käsittely on välttämätöntä esimerkiksi tilatun viestintäpalvelun, tietoturvan, laskutuksen tai lakisääteisten palvelun laatua koskevien vaatimusten toteuttamiseksi. Käyttäjän suostumuksen perusteella metatietoja voidaan käsitellä myös muihin tarkasti määriteltyihin tarkoituksiin; kuitenkin vain silloin, kun metatietoja ei voida esimerkiksi tarjotun palvelun toteuttamisen vuoksi käsitellä anonyymeinä. Mikäli käyttäjä ei ole antanut suostumustaan tällaisten viestintätietojen metatietojen käsittelyyn, eikä niiden säilyttäminen ole edellä mainittujen käsittelytarkoitusten toteuttamiseksi  tarpeen, ne olisi pääsääntöisesti anonymisoitava tai poistettava. Toisaalta, mikäli metatietojen käsittelyyn olisi annettu suostumus, teleoperaattoreilla olisi enemmän mahdollisuuksia käyttää tietoja ja tarjota lisäpalveluita, mikä luo uusia liiketoimintamahdollisuuksia. Itse viestinnän sisältöä voitaisiin ehdotuksen mukaan käsitellä pääasiassa vain kaikkien viestinnän osapuolienantamalla suostumuksella ja mikäli palvelua tai sen osaa ei voida tuottaa ilman tällaisen sisällön käsittelyä.
Ehdotetulla sähköisen viestinnän tietosuoja-asetuksella on tarkoitus keventää evästeiden käyttöä koskevia sääntöjä. Uusien sääntöjen myötä evästeiden hallintaa koskevat asetukset, ja näin ollen yksityisyyden suojaan kohdistuvat riskit, olisivat paremmin käyttäjiensä hallinnassa. Tarkoituksena on, että käyttäjien on jatkossa helpompi hyväksyä ja hylätä sähköisiä tunnisteita.  Asetusehdotuksen mukaan käyttäjän suostumusta ei kuitenkaan edellytettäisi, jos kyseessä ovat niin kutsutut ei-tungettelevat evästeet, kuten paremman käyttökokemuksen varmistavat tai kävijämäärän laskentaan tarkoitetut verkkosivustojen evästeet. Ehdotuksella on myös tarkoitus parantaa suojaa roskapostilta kieltämällä ei-toivottu sähköinen viestintä viestintävälineestä riippumatta, mikäli käyttäjät eivät ole antaneet suostumustaan tällaiselle viestinnälle.
Uudistus liittyy tiiviisti GDPR:ään, sillä viestinnässä ja viestintätietojen käsittelyssä on korostumassa yhä voimakkaammin henkilötietojen käsittely. Henkilötiedot ovatkin hyvin olennainen osa viestintää ja perinteisten henkilötietojen, kuten nimen ja osoitteen ohella myös yhä moninaisemmat tunnisteet tunnistetaan henkilötiedoiksi. Esimerkiksi tuoreehkon EU-tuomioistuimen ratkaisun mukaan myös dynaaminen IP -osoite voi olla henkilötieto. Tietosuojavaltuutettu Reijo Aarnio on huomauttanut, että tällä hetkellä ehdotuksen suhde muuhun lainsäädäntöön kuten tietoyhteiskunnan palveluiden tarjoamista koskevaan lainsäädäntöön aiheuttaa eri toimijoissa tarpeetonta epätietoisuutta. Kun useimmiten viestintään liittyvissä oikeudellisissa kysymyksissä on myös kysymys henkilötietojen käsittelystä, epäselvä tilanne eri säännösten välillä voi johtaa jopa tarpeettomaan kahdenkertaiseen lainvalvontamekanismiin. Aarnion lausunnon mukaan ehdotettujen säännösten suhdetta GDPR:ään ja muuhun sääntelyyn tulisikin selventää.
Komission tavoitteena on, että ehdotetut sähköisen viestinnän tietosuojasäännökset hyväksyttäisiin viimeistään 25. toukokuuta 2018 eli samana päivänä jona GDPR:n määräyksiä aletaan soveltamaan. Näin ollen sähköisen viestinnän tietosuoja-asetuksen säätämistyö tullee etenemään vauhdilla.

Asetusehdotus on luettavissa täältä.
Komission lehdistötiedote on luettavissa täältä.
Tietosuojavaltuutetun lausunto on luettavissa täältä.

Kirjoittanut Emma Swahne ja Krista Oinonen.

Ei kommentteja:

Lähetä kommentti