• Facebook
  • Twitter
  • Google+
  • LinkedIn

Sähköisen viestinnän tietosuoja-asetus

Euroopan komissio on julkaissut uuden, sähköisen viestinnän tietosuojaa koskevan asetuksen (e-Privacy Regulation) virallisen luonnoksen. Sen on tarkoitus korvata Sähköisen viestinnän tietosuojadirektiivi (2002/58 EY), joka on koskenut vain perinteisiä teleoperaattoreita.

Mistä asetuksessa on kyse?

Asetuksella pyritään suojaamaan koneiden, yksityishenkilöiden tai yritysten sähköisen viestinnän luottamuksellisuus. Asetuksen mukaan kaikenlainen, muiden kuin asianomaisten loppukäyttäjien suorittama sähköisen viestinnän tietoihin puuttuminen esim. kuuntelemalla, tallentamalla, seuraamalla tai lukemalla on kielletty.

Asetuksessa määritellään myös edellytykset loppukäyttäjään kohdistuvalle sähköiselle markkinoinnille ja mainonnalle.

Sähköisen viestinnän tietosuoja-asetus on EU:n tietosuoja-asetuksen ”sisarasetus”

Sähköisen viestinnän tietosuoja-asetus on EU:n uuden tietosuoja-asetuksen ”sisarasetus”, joten molempien asetusten vaatimukset on pyritty harmonisoimaan yhteensopiviksi. Sähköisen viestinnän tietosuoja-asetus on lähtökohtaisesti vaikutukseltaan laajempi, siinä missä EU:n tietosuoja-asetus on tarkoitettu suojaamaan luonnollisten henkilöiden henkilötietoja, sähköisen viestinnän tietosuoja-asetus suojaa kaikkea sähköistä viestintää, tapahtui se sitten pelkästään koneiden (IoT), yritysten tai henkilöiden välillä.

Ketä asetus koskettaa?

Uusi asetus koskettaa erittäin laajasti erityyppisiä sähköisen viestinnän laitteita, palveluita tai sovelluksia tarjoavia toimijoita:

• VoIP, pikaviestintä ja verkkopohjaiset sähköpostipalvelut

Kaikki erityyppiset, viestinnän mahdollistavat ohjelmistot ja palvelut kuuluvat asetuksen piiriin. Mm. WhatsApp, Twitter, Facebook Messenger, Snapchat, Periscope tai Gmail ovat tällaisia.

• IoT-laitteet

IoT-Laitteiden välinen viestintä tapahtuu yleensä internetin välityksellä. Näin ollen ne muodostavat viestintäpalvelun, joihin asetusta sovelletaan.

• Avoimet Wlan-verkot

Jos langaton verkko (Wlan) on avoin kaikille käyttäjille (esim. sairaalassa, lentokentällä tai ostoskeskuksessa), niin niihin on sovellettava asetuksen vaatimuksia.

• Chat-liitännäiset

Peleissä tai verkkosivuilla olevat chat-liitännäiset ovat myös asetuksen soveltamisen piirissä.

Palveluntarjoajan oikeudet ja viestien poistaminen/anonymisointi

Vaikka viestiliikenne on luottamuksellista, asetuksessa on kuvattu poikkeuksia, joiden mukaisesti palveluntarjoajien on sallittua käsitellä viestiä. Asetuksessa tehdään selvä ero itse viestin sisällön ja sen metadatan välille, ja niiden käsittelyoikeudet poikkeavat toisistaan:

• Viestin sisällön ja metadatan sallittu käsittely

Käsittely on sallittua, jos se on tarpeen viestinnän välittämiseksi, viestinnän turvallisuuden takaamiseksi tai teknisten virheiden havaitsemiseksi.

• Viestin metadatan sallittu käsittely

Käsittely on sallittua, jos se on tarpeen palvelun laadun takaamiseksi, laskusta varten, laittoman käytön estämiseksi tai muuhun tarkoitukseen johon käyttäjältä on saatu suostumus.

• Viestin sisällön sallittu käsittely

Käyttäjältä on saatu suostumus viestin sisällön käsittelyyn, ja palvelua ei voi toteuttaa ilman tällaisen tiedon käsittelyä.

Palveluntarjoajilla on velvollisuus anonymisoida tai poistaa viesti ja siihen liittyvä metadata, kun se on välitetty vastaanottajalle joka on sen käsitellyt tai sitä ei enää tarvita ylläolevien poikkeusten käsittelemiseksi (esim. viestintään liittyvä laskutus on hoidettu).

Suoramarkkinointi ja ”kylmät puhelut”

Suoramarkkinoinnille asetus on tuomassa merkittäviä muutoksia. Asetuksessa on kielletty kaikenlainen sähköinen suoramarkkinointi (tekstiviestit, emailit tai puhelut), jos siihen ei ole saatu suostumusta etukäteen. Ainoastaan olemassa oleville asiakkaille on mahdollista tehdä sähköpostimarkkinointia, jos he eivät ole sitä kieltäneet.

Loppukäyttäjällä on oltava mahdollisuus peruuttaa antamansa suoramarkkinointilupa milloin tahansa helpolla tavalla.

Puhelimella tehtävä suoramarkkinointi (”kylmät puhelut”) muuttuu niin, että vastaanottajalle on aina esitettävä numero johon myyjälle voi soittaa takaisin (ei siis puheluita tuntemattomista numeroista) tai joku muu tunnus joka yksilöi puhelun markkinointipuheluksi. Tähän on tulossa vielä tarkempaa ohjeistusta.

Keksien hallinta ja verkkomainonta

Nykyään erilaisten verkkopalvelujen käyttäminen vaatii käyttäjältä jatkuvaa, erilaisten evästeiden eli keksien hyväksyntää. Tämä kuormittaa käyttäjiä, ja alentaa palvelujen käytettävyyttä.

Asetuksessa tämä ongelma on tiedostettu, ja siinä painopistettä halutaan siirtää selainten asetusten puolelle. Jatkossa käyttäjä voi tehdä yksityisyysasetuksensa esim. selaimen asentamisen yhteydessä, ja nämä voidaan välittää verkkopalveluille jolloin keksien hyväksyntöjä tarvittaisiin huomattavasti vähemmän.

Sinänsä asetuksessa edellytetään luvan pyytämistä kaikille kekseille, paitsi niille jotka liittyvät teknisesti palvelun käyttämiseen, kuten esim. ostoskorin sisällön hallintaan tai palvelun liikenteen seurantaan.

Kolmannen osapuolen eli verkkomainontaa harjoittavan tahon keksit vaativat aina käyttäjän hyväksynnän, tai ne voidaan kieltää jo selaimen asetuksissa (”Estä kolmannen osapuolen evästeet”). Näitä ovat mm. erilaiset ”tracking” tai ”fingerprinting” –tyyppiset, käyttäjien toimintaa seuraavat keksit.

Tämä tulee vaikuttamaan merkittävästi mainosrahoitteisten palvelujen ansaintalogiikkaan.

Tietosuojan vaikutustenarviointi

Vastaavasti kuin EU:n tietosuoja-asetuksessa, tässäkin edellytetään tietosuojaa koskevan vaikutustenarvioinnin (Data Protection Impact Assesment, DPIA) tekemistä, kun käyttöön otetaan uusia teknologioita tai käytäntöjä viestien metatietojen käsittelyssä.

Sanktiot asetuksen rikkomisesta

Asetuksen rikkomisesta seuraavat sanktiot ovat yhteneväiset tietosuoja-asetuksen kanssa. Maksimissaan sakko voi olla 20 Miljoonaa euroa tai 4% globaalista liikevaihdosta (kumpi on isompi).

Asetuksen voimaantulo

Asetus on parhaillaan EU-parlamentin sekä Eurooppa-neuvoston käsiteltävänä, ja tarkoituksena on saattaa se voimaan yhtä aikaa EU:n tietosuoja-asetuksen kanssa, eli 25.5.2018.

Jätä sähköpostiosoitteesi ja saat tiedon uusimmista blogikirjoituksista