Komissio julkaisi sähköisen viestinnän tietosuoja-asetuksen luonnoksen 10.1.2017. Kyse on asetuksesta eli se on jäsenvaltioissa suoraan sovellettavaa lainsäädäntöä samalla tavoin kuin viime vuonna hyväksytty EU:n yleinen tietosuoja-asetus. Komission mukaan tavoitteena on päivittää nykyisiä sääntöjä ja laajentaa niiden soveltamisalaa niin, että siihen kuuluvat kaikki sähköisten viestintäpalvelujen tarjoajat. Toimenpiteillä pyritään myös luomaan uusia mahdollisuuksia viestintätietojen käsittelyyn sekä lujittamaan luottamusta digitaalisiin sisämarkkinoihin ja parantamaan niiden turvallisuutta. Ehdotuksessa yhdenmukaistetaan sähköisen viestinnän säännöt EU:n yleiseen tietosuoja-asetukseen sisältyvien uusien, maailman tiukimpiin kuuluvien normien kanssa. Komissio on kirjannut keskeisimpiä kohtia omassa yhteenvedossaan, mutta nostan tässä kirjoituksessa esiin erityisesti evästeitä ja sähköistä suoramarkkinointia koskevat ehdotukset.
Evästeiden osalta lainsäätäjän huolena on erityisesti seuranta, jota tehdään ilman käyttäjän tietoa lukuisin eri teknisin keinoin, ei siis vain evästeiden avulla. Ehdotuksessa laajennetaankin evästesääntelyn soveltamisalaa muihin vastaaviin tekniikoihin, kuten ns. device fingerprintingiin. Ehdotuksessa myös huomioidaan, että nykysääntely, joka on johtanut siihen, että käyttäjä kohtaa evästeiden käyttöön suostumuksen pyytäviä tai niiden käytöstä informoivia bannereita tai pop-upeja lähes kaikilla vierailemillaan verkkosivuilla, ei ole ollut toimivaa. Komission näkemyksen mukaan ratkaisuna on, että selainvalmistajille asetetaan velvollisuus tarjota käyttäjille valinnanmahdollisuuksia evästeiden suhteen, ja näin ollen valintoja voitaisiin teoriassa tehdä yksittäisen nettisivun sijaan selaimen tasolla. Kun käyttäjä ottaa käyttöön tietyn selaimen, häneltä kysyttäisiin esimerkiksi, hyväksyykö kaikki evästeet, estääkö kolmannen osapuolen evästeet vai estääkö kaikki evästeet. Nämä käyttäjän valinnat olisivat sitovia kolmansia osapuolia kohtaan.
Todennäköisesti käyttäjä kuitenkin kohtaisi lupapyyntöjä nettisivuilla, sillä asetus edelleen asettaa suostumuksen edellytykseksi suurimmalle osalle evästeiden käyttötarkoituksia. Ainoastaan evästeet, joiden niiden ainoana tarkoituksena on toteuttaa viestin välittämistä viestintäverkoissa taikka jotka ovat tarpeen käyttäjän pyytämän tietoyhteiskunnan palvelun tarjoamiseksi tai kävijämittaukseen, jonka tietoyhteiskunnan palveluiden tarjoaja tekee, on vapautettu suostumuksen pyytämiseltä. Näin ollen kolmannet osapuolet, joiden tarkoituksena on esimerkiksi käyttäjien profilointi tai mainonnan kohdentaminen, joutuisivat aina perustamaan evästeiden asettamisen suostumukseen.
Suostumuksen tulee ehdotuksen mukaan olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu. Jotta käyttäjät voisivat jatkossakin nauttia ilmaisista, mainosrahoitteisista palveluista, on yhteistyö julkaisijoiden ja kolmansien osapuolien välillä välttämätöntä, ja näin ollen julkaisijat joutuisivat todennäköisesti pyytämään suostumuksia käyttäjältä nimettyjen kolmansien osapuolien asettamille evästeille riippumatta siitä, mikä on käyttäjän valinta selaintasolla. Lisäksi tulisi mahdollistaa suostumuksen peruuttaminen ja muistuttaa käyttäjiä kuuden kuukauden väliajoin peruuttamismahdollisuudesta. Tästä näkökulmasta ei siis vaikuta lainkaan siltä, että käyttökokemus parantuisi, vaan ilman jonkinlaista keskitettyä ratkaisua tai säännöstekstin tarkentamista käyttäjä voisi kohdata yhä enemmän evästeitä koskevia valintoja. Nähtäväksi jää, voisiko selaimen tarjoama mahdollisuus whitelistata joitakin nettisivuja tai kolmansia osapuolia toimia ratkaisuna, mutta joka tapauksessa yhteistyö on kolmansien osapuolien osalta keskeistä, jotta suostumus olisi sääntelyn tarkoittamin tavoin yksilöity ja tietoinen eli käyttäjä ymmärtää, kenelle ja minkälaiseen käsittelyyn hän suostumuksensa antaa.
Sähköisen suoramarkkinoinnin osalta ehdotuksessa edellytetään käyttäjän suostumusta. Poikkeuksena ovat nykysääntelyn mukaisesti tilanteet, joissa yhteystieto on saatu tuotteen tai palvelun myynnin yhteydessä, jolloin ko. taho voisi käyttää ko. yhteystietoa vastaavien tuotteiden tai palveluiden markkinointiin. Yhteystietojen keräämisen ja viestinnän yhteydessä käyttäjälle on annettava mahdollisuus kieltää suoramarkkinointi. B2B-markkinoinnin osalta asetus jättää asian jäsenvaltioiden säädeltäväksi.
Huomionarvoinen yksityiskohta on luonnoksen toteamus, että suoramarkkinointi on mitä tahansa mainontaa, jossa lähetetään sähköistä markkinointia tunnistetulle tai tunnistettavissa olevalle luonnolliselle henkilölle. Perinteisesti käsitteet markkinointi ja mainonta on haluttu pitää erillään: markkinointi on esimerkiksi tunnistetulle kontaktille tehtyä sähköpostiviestintää, kun taas mainonta on enemmän tai vähemmän tuntemattomalle kävijäjoukolle tehtyä display-mainontaa. Termien valinta ei välttämättä ole täysin tietoinen ratkaisu, mutta on mahdollista, että lainsäätäjä on huomannut markkinoinnin ja mainonnan perinteisten rajojen hämärtyneen, ja esimerkiksi Facebookin kohdennettu mainonta, jossa hyödynnetään asiakkaan sähköpostilistoja, tulisi aiempaa selvemmin sähköistä suoramarkkinointia koskevan sääntelyn piiriin.
Asetuksen on tarkoitus tulla voimaan yhtäaikaisesti tietosuoja-asetuksen kanssa 25.5.2018. Seuraamme lainsäädäntötyön edistymistä ja tarkennamme edellä todettu tulkintoja – keskustelu on tältä osin vasta alkamassa.
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.