Euroopan Unionissa on valmisteltu sähköisen viestinnän tietosuoja-asetusta eli ns. ePrivacy-asetusta nyt jo useamman vuoden. Euroopan komission vuonna 2017 laatiman asetusluonnoksen piti alkuperäisten suunnitelmien mukaan tulla voimaan jo pian GDPR:n jälkeen, mutta eri osapuolten toisistaan kaukana olevat näkemykset ovat viivästyttäneet hanketta nyt jo useammalla vuodella.
Asetusluonnoksen tavoitteet
ePrivacy-asetuksen yleisenä tavoitteena on tarjota verkkoviestinnässä samanlaista yksityisyyden suojaa kuin perinteisessä televiestinnässä, eli tuoda verkkoviestintäpalveluja tarjoavat yritykset niin sanotusti samalle viivalle perinteisten teleoperaattoreiden kanssa. Asetuksessa määritellään ehdot, joilla palveluntarjoajat voivat käsitellä sähköisen viestinnän tietoja. Tällaisia tietoja ovat kaikenlaisten verkkopalvelujen käytön aikana lähetetyt tiedot, mukaan lukien esimerkiksi WhatsApp-viestit ja videopuhelut Zoomin ja Teamsin kaltaisilla alustoilla.
ePrivacy-asetuksen on tarkoitus korvata nykyinen sähköisen viestinnän tietosuojadirektiivi. e-Privacy-asetus katsotaan GDPR:ää täsmentäviksi ja täydentäviksi erityissäännöiksi. Toisin kuin GDPR:ssä, monia ePrivacy-asetuksen säännöksiä tultaisiin soveltamaan sekä luonnollisiin henkilöihin että oikeushenkilöihin.
Köydenvetoa EU:ssa…
Valmistelu Euroopan neuvostossa onkin tähän saakka muistuttanut köydenvetoa, jossa vaihtuvien EU-puheenjohtajamaiden pöydälle tuomat uudet esitykset vetävät asetusluonnosta vuoroin yksityisyydensuojaa korostavaan ja vuoroin kaupallisia intressejä puolustavaan suuntaan. Eri EU-maiden välillä on merkittäviäkin näkemyseroja asetusluonnoksen sisällöstä, mistä syystä valmistelu onkin viivästynyt paljon ennalta odotettua pidemmäksi. Erimielisyyksiä ovat aiheuttaneet esimerkiksi kysymykset lasten seksuaalisen hyväksikäytön torjumista koskevien säännösten sisällyttämisestä asetukseen, suostumusta koskevat ehdot sekä verkkokäyttäytymisen seurantaa ja evästekäytäntöjä koskevat kysymykset. Viimeisimmän asetusluonnoksen esitteli vuorossaan jo yhdeksäs puheenjohtajamaa Portugali tämän vuoden alussa. Eräänlainen nytkähdys eteenpäin tapahtui, kun Portugali haki ja sai helmikuussa Coreperista (Neuvoston pysyvien edustajien komiteasta) valtuutuksen aloittaa neuvottelut lopullisesta tekstistä Euroopan parlamentin kanssa. Kauan odotetut trilogineuvottelut alkavatkin vihdoin tällä viikolla (20.5.).
…ja Suomessa
ePrivacy-asetusta odotellessa Suomessa on meneillään oma paikallinen köydenvetonsa evästeitä koskevan suostumuksen antamisesta. Traficom on ohjeistuksissaan ja päätöskäytännössään noudattanut linjaa, jonka mukaan evästeisiin voidaan antaa suostumus myös selainasetusten kautta. Tämä linja on ollut sinänsä pragmaattinen, pyrkien vähentämään ylimääräistä klikkailua. Samalla näkemys on eronnut monien muiden EU-maiden sekä myös Suomen tietosuojavaltuutetun toimiston näkemyksestä, jonka mukaan GDPR:n vaatimukset täyttävää suostumusta evästeiden käytölle ei voida antaa niin, että käyttäjä jättää tekemättä muutoksia selainasetuksiinsa. Tähän näkemyseroon Traficomin ja tietosuojavaltuutetun välillä saatiin vihdoin tuomioistuimen kannanotto, kun Helsingin hallinto-oikeus antoi huhtikuussa ratkaisunsa kahdesta Traficomin evästepäätöksestä. Traficom oli päätöksissään katsonut linjauksensa mukaisesti, että Suomessa evästeisiin voitaisiin antaa suostumus sekä evästebannereiden että verkkoselaimen asetusten kautta. Hallinto-oikeus kuitenkin totesi jokseenkin odotetusti, että evästeiden käyttöön annettavan suostumuksen tulee olla GDPR:n tarkoittamalla tavalla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, eikä selainten kautta annettua suostumusta evästeiden käytölle voida pitää GDPR:n mukaisesti yksilöitynä ja tietoisena suostumuksen ilmaisuna. Traficom onkin jo päivittänyt ainakin verkkosivujensa ohjeistuksen ratkaisun mukaiseksi ja on ilmoittanut uudistavansa evästeitä koskevan ohjeistuksensa. Hallinto-oikeuden linjauksesta on helppo olla samaa mieltä GDPR:n sanamuodon ja tarkoituksen valossa. Samalla ei voi olla miettimättä, että kun jatkuva evästebannereiden kliksuttelu on rasittavaa näin asiasta kiinnostuneellekin, niin miten sitten laajemmalle joukolle?
Mitä seuraavaksi?
ePrivacy-asetuksen osalta kaikki pallot ovat vielä ilmassa ja trilogineuvottelut alkutekijöissään. ePrivacy ei kuitenkaan ole ainoa EU-lakihanke, joka tulee vaikuttamaan sähköiseen viestintään. Vireillä olevat EU:n digipalvelu- ja digimarkkinasäädöshankkeet tulevat asettamaan omat vaatimuksensa myös sähköisen viestinnän tarjoajille. Näiden hankkeiden keskiössä on tietosuojan sijaan turvallisen ja vastuullisen verkkoympäristön sekä oikeudenmukaisten ja avointen digimarkkinoiden varmistaminen.