Komissio julkaisi sähköisen viestinnän tietosuoja-asetuksen luonnoksen 10.1.2017. Kyse on asetuksesta eli se on jäsenvaltioissa suoraan sovellettavaa lainsäädäntöä samalla tavoin kuin viime vuonna hyväksytty EU:n yleinen tietosuoja-asetus. Komission mukaan tavoitteena on päivittää nykyisiä sääntöjä ja laajentaa niiden soveltamisalaa niin, että siihen kuuluvat kaikki sähköisten viestintäpalvelujen tarjoajat. Toimenpiteillä pyritään myös luomaan uusia mahdollisuuksia viestintätietojen käsittelyyn sekä lujittamaan luottamusta digitaalisiin sisämarkkinoihin ja parantamaan niiden turvallisuutta. Ehdotuksessa yhdenmukaistetaan sähköisen viestinnän säännöt EU:n yleiseen tietosuoja-asetukseen sisältyvien uusien, maailman tiukimpiin kuuluvien normien kanssa. Komissio on kirjannut keskeisimpiä kohtia omassa yhteenvedossaan, mutta nostan tässä kirjoituksessa esiin erityisesti evästeitä ja sähköistä suoramarkkinointia koskevat ehdotukset.

Evästeiden osalta lainsäätäjän huolena on erityisesti seuranta, jota tehdään ilman käyttäjän tietoa lukuisin eri teknisin keinoin, ei siis vain evästeiden avulla. Ehdotuksessa laajennetaankin evästesääntelyn soveltamisalaa muihin vastaaviin tekniikoihin, kuten ns. device fingerprintingiin. Ehdotuksessa myös huomioidaan, että nykysääntely, joka on johtanut siihen, että käyttäjä kohtaa evästeiden käyttöön suostumuksen pyytäviä tai niiden käytöstä informoivia bannereita tai pop-upeja lähes kaikilla vierailemillaan verkkosivuilla, ei ole ollut toimivaa. Komission näkemyksen mukaan ratkaisuna on, että selainvalmistajille asetetaan velvollisuus tarjota käyttäjille valinnanmahdollisuuksia evästeiden suhteen, ja näin ollen valintoja voitaisiin teoriassa tehdä yksittäisen nettisivun sijaan selaimen tasolla. Kun käyttäjä ottaa käyttöön tietyn selaimen, häneltä kysyttäisiin esimerkiksi, hyväksyykö kaikki evästeet, estääkö kolmannen osapuolen evästeet vai estääkö kaikki evästeet. Nämä käyttäjän valinnat olisivat sitovia kolmansia osapuolia kohtaan.

Todennäköisesti käyttäjä kuitenkin kohtaisi lupapyyntöjä nettisivuilla, sillä asetus edelleen asettaa suostumuksen edellytykseksi suurimmalle osalle evästeiden käyttötarkoituksia. Ainoastaan evästeet, joiden niiden ainoana tarkoituksena on toteuttaa viestin välittämistä viestintäverkoissa taikka jotka ovat tarpeen käyttäjän pyytämän tietoyhteiskunnan palvelun tarjoamiseksi tai kävijämittaukseen, jonka tietoyhteiskunnan palveluiden tarjoaja tekee, on vapautettu suostumuksen pyytämiseltä. Näin ollen kolmannet osapuolet, joiden tarkoituksena on esimerkiksi käyttäjien profilointi tai mainonnan kohdentaminen, joutuisivat aina perustamaan evästeiden asettamisen suostumukseen.

Suostumuksen tulee ehdotuksen mukaan olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu. Jotta käyttäjät voisivat jatkossakin nauttia ilmaisista, mainosrahoitteisista palveluista, on yhteistyö julkaisijoiden ja kolmansien osapuolien välillä välttämätöntä, ja näin ollen julkaisijat joutuisivat todennäköisesti pyytämään suostumuksia käyttäjältä nimettyjen kolmansien osapuolien asettamille evästeille riippumatta siitä, mikä on käyttäjän valinta selaintasolla. Lisäksi tulisi mahdollistaa suostumuksen peruuttaminen ja muistuttaa käyttäjiä kuuden kuukauden väliajoin peruuttamismahdollisuudesta. Tästä näkökulmasta ei siis vaikuta lainkaan siltä, että käyttökokemus parantuisi, vaan ilman jonkinlaista keskitettyä ratkaisua tai säännöstekstin tarkentamista käyttäjä voisi kohdata yhä enemmän evästeitä koskevia valintoja. Nähtäväksi jää, voisiko selaimen tarjoama mahdollisuus whitelistata joitakin nettisivuja tai kolmansia osapuolia toimia ratkaisuna, mutta joka tapauksessa yhteistyö on kolmansien osapuolien osalta keskeistä, jotta suostumus olisi sääntelyn tarkoittamin tavoin yksilöity ja tietoinen eli käyttäjä ymmärtää, kenelle ja minkälaiseen käsittelyyn hän suostumuksensa antaa.

Sähköisen suoramarkkinoinnin osalta ehdotuksessa edellytetään käyttäjän suostumusta. Poikkeuksena ovat nykysääntelyn mukaisesti tilanteet, joissa yhteystieto on saatu tuotteen tai palvelun myynnin yhteydessä, jolloin ko. taho voisi käyttää ko. yhteystietoa vastaavien tuotteiden tai palveluiden markkinointiin. Yhteystietojen keräämisen ja viestinnän yhteydessä käyttäjälle on annettava mahdollisuus kieltää suoramarkkinointi. B2B-markkinoinnin osalta asetus jättää asian jäsenvaltioiden säädeltäväksi.

Huomionarvoinen yksityiskohta on luonnoksen toteamus, että suoramarkkinointi on mitä tahansa mainontaa, jossa lähetetään sähköistä markkinointia tunnistetulle tai tunnistettavissa olevalle luonnolliselle henkilölle. Perinteisesti käsitteet markkinointi ja mainonta on haluttu pitää erillään: markkinointi on esimerkiksi tunnistetulle kontaktille tehtyä sähköpostiviestintää, kun taas mainonta on enemmän tai vähemmän tuntemattomalle kävijäjoukolle tehtyä display-mainontaa. Termien valinta ei välttämättä ole täysin tietoinen ratkaisu, mutta on mahdollista, että lainsäätäjä on huomannut markkinoinnin ja mainonnan perinteisten rajojen hämärtyneen, ja esimerkiksi Facebookin kohdennettu mainonta, jossa hyödynnetään asiakkaan sähköpostilistoja, tulisi aiempaa selvemmin sähköistä suoramarkkinointia koskevan sääntelyn piiriin.

Asetuksen on tarkoitus tulla voimaan yhtäaikaisesti tietosuoja-asetuksen kanssa 25.5.2018. Seuraamme lainsäädäntötyön edistymistä ja tarkennamme edellä todettu tulkintoja – keskustelu on tältä osin vasta alkamassa.

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Euroopan Unionin tuomioistuin katsoi 19.10.2016 antamassaan ratkaisussa C-582/14, että verkkosivuston käyttäjän dynaaminen IP-osoite on verkkosivuston ylläpitäjään nähden henkilötieto, jos kyseisellä verkkosivuston ylläpitäjällä on käytettävissään oikeudelliset keinot, joiden perusteella se voi tunnistaa kyseisen henkilön sellaisten lisätietojen avulla, jotka ovat käyttäjän internetyhteyden tarjoajan käytettävissä.

Useimmat verkkosivustot tallentavat kaikki sivuston käynnit lokitietoihin. Tietoihin tallennetaan käynnin päätyttyä haetun sivuston tai tiedoston nimi, hakukentissä käytetyt hakusanat, käynnin päivämäärä ja kellonaika, siirrettyjen tietojen määrä, ilmoitus sivustolle pääsyn onnistumisesta ja sen tietokoneen IP-osoite, jolta sivustolle on pyritty. Perinteisesti on katsottu, että dynaaminen IP-osoite eli IP-osoite, joka vaihtuu jokaisen uuden internetyhteyden ottamisen myötä, ei muodosta henkilötietoa, sillä verkkosivuston ylläpitäjällä ei ole käytettävissään tietoja dynaamisen IP-osoitteen liittämiseksi yksittäiseen päätelaitteeseen tai käyttäjään. Vain sivullisella, eli verkkoyhteyden tarjoajalla, on käytettävissään tunnistamiseen tarvittavia lisätietoja.

Henkilötiedoilla tarkoitetaan tietosuoja-asetuksen mukaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, kuten kyseisen henkilön erottaminen muista.

Tuomiossa todettiin, että dynaaminen IP-osoite ei ole ”tunnistettua luonnollista henkilöä” koskeva tieto, koska tällaisesta osoitteesta ei käy suoraan ilmi, kenelle luonnolliselle henkilölle tietokone, jolta internetsivustolla on käyty, kuuluu, eikä tällainen osoite paljasta suoraan muun mahdollisesti tätä tietokonetta käyttävän henkilön henkilöllisyyttä. Dynaamista IP-osoitetta voidaan kuitenkin pitää ”tunnistettavissa olevaa luonnollista henkilöä” koskevana tietona, koska on olemassa laillisia keinoja, joiden avulla verkkosivuston ylläpitäjä voi kääntyä erityisesti kyberhyökkäystilanteessa toimivaltaisen viranomaisen puoleen, jotta tämä ryhtyy tarvittaviin toimiin näiden tietojen hankkimiseksi internetyhteyden tarjoajalta ja käynnistää rikosoikeudellisen menettelyn. Toisin sanoen, verkkosivuston ylläpitäjällä on käytettävissään kohtuullisesti toteutettavissa olevat keinot rekisteröidyn tunnistamiseksi tallennettujen IP-osoitteiden perusteella muiden tahojen eli toimivaltaisen viranomaisen ja internetyhteyden tarjoajan avulla. Jos taas rekisteröidyn tunnistaminen ei ole käytännössä toteutettavissa, koska se veisi suhteettomasti aikaa ja aiheuttaisi suhteettomasti kustannuksia ja työtä, kyse ei olisi henkilötietojen käsittelystä. Arviointi on näin ollen tehtävä tapauskohtaisesti.

Vaikka tuomioon sovellettiin henkilötietodirektiiviä, on tietosuoja-asetuksen määritelmä verrattain samanlainen kuin sitä edeltävän henkilötietodirektiivin. Tietosuoja-asetuksen henkilötiedon määritelmässä uutta on eksplisiittinen viittaus verkkotunnisteisiin sekä sen korostaminen, että epäsuoraan tunnistamiseen riittää henkilön erottelu muista. Tämä laaja henkilötiedon määritelmä – joka saanee yllä kuvatusta tuomiosta yhä vahvistusta – tulee ottaa huomioon valmistautuessa tietosuoja-asetuksen voimaantuloon. Käytännössä se tarkoittaa, että suuri osa yritysten liiketoiminnasta on tietosuoja-asetuksen piirissä, ja aikaisempi argumentti siitä, että yritys käsittelee vain laitteisiin liitettäviä anonyymeja tietoja, ei ole enää yhtä laajalti käytettävissä.

Rekisterinpitäjien kannalta hyvä asia on, että tuomiossa vahvistettiin myös se, että rekisterinpitäjällä voi olla oikeutettu etu tietojen käsittelyyn mm. sivustojen turvallisuuden ja toiminnan jatkuvuuden takaamiseksi, ja arvioitu Saksan lainsäädäntö, joka korosti suostumusta tietojen käsittelyyn, oli tältä osin liian rajoittava.

Lisätietoja asiasta antaa Anna Paimela.

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Euroopan komissio hyväksyi heinäkuussa EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn, joka mahdollistaa eurooppalaisten yritysten siirtää EU-kansalaisten henkilötietoja Yhdysvaltoihin. Tällä viikolla, 1.8.2016, Yhdysvaltain kauppaministeriö avasi verkkopalvelun (www.privacyshield.gov), jonka kautta yhdysvaltalaiset yritykset voivat sertifioida itsensä ja sitoutua noudattamaan järjestelyn ehtoja.

Järjestely tuo mukanaan tiukemmat tietosuojastandardit, joiden noudattamista valvotaan aiempaa paremmin. Järjestelmä perustuu seuraaviin periaatteisiin:

• Tiukat velvoitteet tietoja käsitteleville yrityksille: Uudessa järjestelyssä Yhdysvaltojen kauppaministeriö suorittaa järjestelyyn osallistuvia yrityksiä koskevia säännöllisiä päivityksiä ja tarkasteluja sen varmistamiseksi, että yritykset noudattavat sääntöjä, joihin ne ovat sitoutuneet. Jos yritykset eivät noudata sääntöjä käytännössä, niille voidaan määrätä seuraamuksia ja ne voidaan poistaa järjestelyyn osallistujien luettelosta. Tietojen edelleen siirtämistä kolmansille osapuolille koskevien edellytysten tiukentamisella taataan sama suojelun taso, jota vaaditaan Privacy Shield -järjestelyyn osallistuvalta yritykseltä.

• Selkeät suojatoimet ja yhdysvaltalaisten viranomaisten pääsyä tietoihin koskevat avoimuusvelvoitteet: Yhdysvallat on antanut EU:lle vakuutuksen siitä, että viranomaisten mahdollisuuteen päästä tietoihin lainvalvontaan ja kansalliseen turvallisuuteen liittyvistä syistä sovelletaan selkeitä rajoituksia, suojatoimia ja valvontamekanismeja.

• Yksilöiden oikeuksien tehokas suojelu: Kaikilla EU:n kansalaisilla, jotka katsovat, että heidän tietojaan on käytetty väärin Privacy Shield -järjestelyn puitteissa, on käytettävissään useita helposti saatavilla olevia ja kohtuuhintaisia riitojenratkaisumekanismeja.

• Vuotuinen yhteinen tarkastelumekanismi: Mekanismin avulla seurataan Privacy Shield -järjestelyn toimintaa, mukaan lukien sitoumukset ja vakuutukset, jotka koskevat tietoihin pääsyä lainvalvontaan ja kansalliseen turvallisuuteen liittyvistä syistä.

Privacy Shield tuo selkeyttä epäselvään oikeustilaan, joka syntyi, kun aiempi Safe Harbor -järjestely viime lokakuussa todettiin pätemättömäksi. Euroopan Unionin tuomioistuimen päätöksen jälkeen useat yritykset ovat siirtäneet tietoja lainvastaisesti Yhdysvaltoihin, sillä vaihtoehdoksi tarjottuja EU:n mallisopimuslausekkeita on ollut haastavaa sisällyttää voimassaoleviin sopimuksiin. Nyt yritykset voivat siirtää Atlantin yli henkilötietoja Privacy Shield -järjestelyyn liittyneille yrityksille, ja ainakin periaatteessa luottaa siihen, että eurooppalaisten henkilötietoja suojataan riittävällä tavalla. Periaatteessa siksi, että useat tahot ovat jo esittäneet kritiikkiä järjestelmää kohtaan, ja näkevät sen olevan vain Safe Harbor puettuna uusiin vaatteisiin. Oletettavaa on, että kuohunta asian ympärillä vielä jatkuu.

Lisätietoja asiasta antaa Anna Paimela.

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.