13.10.2017   

FI

Euroopan unionin virallinen lehti

C 345/138

Esittelijä:

Laure BATUT

1.1

ETSK pitää hyvin valitettavana, että tietosuojaa käsittelevien tekstien lukeminen ja täytäntöönpano on lähes mahdotonta muille kuin asiaan vihkiytyneille tekstien monilukuisuuden, pituuden ja toisiinsa lomittumisen vuoksi ja koska niiden ymmärtäminen edellyttää hyppimistä tekstistä toiseen. Niiden lisäarvo ei myöskään aukene kansalaisille, ja tämä on puutteena asetusehdotuksessa kauttaaltaan. Komitea suosittaa, että niistä julkaistaan kuvaileva ja helppotajuinen tiivistelmä verkossa.

1.2

ETSK korostaa, että komissio on valinnut vaikutustenarvioinnissa ehdotetuista vaihtoehdoista sen, jossa yksityisyyttä lisätään ”kohtuullisesti”. Onko taustalla pyrkimys tasapainoon teollisuuden etujen kanssa? Komissio ei ilmoita, mitkä yksityisyyden ”pitkälle viedyn” lisäämisen osatekijät olisivat olleet haitallisia teollisuuden etujen kannalta. Tämä lähtökohta heikentää tekstiä jo heti alkuun.

1.3

ETSK suosittaa, että komissio

2.1

Sähköisen viestinnän verkot ovat kehittyneet huomattavasti sen jälkeen, kun direktiivit 95/46/EY ja 2002/58/EY (2) yksityisyyden suojasta sähköisessä viestinnässä ovat tulleet voimaan.

2.2

Vuonna 2016 annetusta yleisestä tietosuoja-asetuksesta (asetus (EU) N:o 2016/679) on tullut toiminnan perusta, jossa asetetaan perusperiaatteet myös siviili- ja rikosoikeudellisten tietojen käsittelyä varten. Asetuksen mukaan henkilötietoja saa kerätä vain tiukoin edellytyksin, perusteltua tarkoitusta varten ja luottamuksellisesti (yleisasetuksen 5 artikla).

2.2.1

Komissio esitti lokakuussa 2016 ehdotuksen direktiiviksi eurooppalaisesta sähköisen viestinnän säännöstöstä (3) (300 sivua). Sitä ei ole vielä hyväksytty, mutta komissio viittaa siihen kun on kyse tietyistä määritelmistä, jotka eivät sisälly yleisasetukseen eivätkä tarkasteltavaan tekstiin.

2.2.2

Tammikuussa 2017 annetuissa kahdessa ehdotuksessa täsmennetään eräitä kohtia yleisasetuksen pohjalta. Ne ovat ehdotus asetukseksi yksilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä (COM(2017) 8 final, esittelijä Jorge Pegado Liz) ja käsiteltävänä oleva teksti (COM(2017) 10 final) yksityiselämän kunnioittamisesta ja henkilötietojen suojasta.

2.3

Kolmea edellä mainittua tekstiä aletaan soveltaa samaan aikaan eli 25. toukokuuta 2018, ja niiden tarkoituksena on yhdenmukaistaa oikeuksia ja valvontamenettelyjä.

2.4

On syytä huomata, että toimintatavan helpottamiseksi on päätetty, että yksityisyyden suojasta annetaan EU:n asetus eikä enää direktiiviä.

3.1

Kansalaisyhteiskunta haluaa tietää, tuoko unioni uudessa täysin digitaalisessa maailmassa lisäarvoa takaamalla elämänalueita, joilla yksityiselämä on täysin turvattu.

3.2

Jatkuvasti tuotettava tieto tekee kaikista käyttäjistä jäljitettäviä ja tunnistettavia kaikkialla. Huolta herättää tietojen käsittely keskuksissa, jotka useimmiten sijaitsevat fyysisesti Euroopan ulkopuolella.

3.3

Massadatasta on tullut valuuttaa: sen älykkään käsittelyn avulla pystytään profiloimaan luonnollisia henkilöitä ja oikeushenkilöitä ja tekemään heistä kauppatavaraa ja tekemään näin voittoa usein käyttäjien tahdon vastaisesti.

3.4

Tekstien tarkistamista edellyttää kuitenkin ennen kaikkea uusien toimijoiden ilmaantuminen tietojenkäsittelyalalle internetpalveluntarjoajien rinnalle.

4.1

Komissio pyrkii tekstin avulla luomaan tasapainon kuluttajien ja liike-elämän välille:

4.2

Ehdotuksen tarkoituksena on varmistaa yleisen tietosuoja-asetuksen soveltaminen yleisesti – yleisesti sovellettavia ovat myös yksityisten tietojen luottamuksellisuus ja oikeus tietojen poistamiseen –, ja siinä on kyse erityisesti yksityiselämän kunnioittamisesta ja henkilötietojen suojasta televiestinnässä. Tekstissä ehdotetaan tiukempien sääntöjen asettamista yksityisyyden suojan alalla sekä valvonnan koordinoimista ja seuraamuksia.

4.3

Siinä ei säädetä erityisiä toimenpiteitä käyttäjien itsensä antamien henkilötietojen suojan loukkauksista mutta vahvistetaan heti ensimmäisissä artikloissa (5 artikla) sähköisen viestinnän luottamuksellisuuden periaate.

4.4

Palveluntarjoajat voivat käsitellä sähköisen viestinnän sisältöä

4.5

Palveluntarjoajat ovat velvollisia poistamaan tai anonymisoimaan sisällöt vastaanottajan saatua ne.

4.6

Yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan mukaan henkilön ”suostumuksella” tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla henkilö hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen.

4.7

Luonnoksessa on säilytetty yleisen tietosuoja-asetuksen mukainen vaatimus erikseen ilmaistavasta suostumuksesta, jonka todistaminen on palveluntarjoajan vastuulla.

4.8

Tietojen käsittely perustuu tähän suostumukseen. Tietojenkäsittelystä vastaavan tahon ”on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn” (yleisen tietosuoja-asetuksen 7 artiklan 1 kohta).

4.9

Luottamuksellisuutta voidaan rajoittaa (velvollisuudet ja oikeudet) unionin tai jäsenvaltioiden säätämillä laeilla yleisen edun takaamiseksi tai tarkastustehtävän vuoksi.

4.10

Luonnollisten henkilöiden on täytynyt antaa suostumuksensa henkilötietojensa julkaisemiseen yleisesti saatavilla olevassa sähköisessä luettelossa, ja heillä on oltava mahdollisuus tarkistaa ja oikaista itseään koskevat tiedot (15 artikla).

4.11

Kaikilla käyttäjillä on oikeus vastustaa kolmannelle osapuolelle (esim. kauppias) luovuttamiensa tietojensa käyttöä, ja oikeus on annettava jokaisen viestin yhteydessä (16 artikla). Uudet säännöt antavat käyttäjille paremmat mahdollisuudet hallita asetuksiaan (evästeet, tunnisteet), ja ei-toivottu viestintä (roskaposti, viestit, tekstiviestit, puhelut) voidaan estää, ellei käyttäjä ole antanut niihin suostumustaan.

4.12

Puhelujen tunnistus ja ei-toivottujen puhelujen estäminen (12 ja 14 artikla) ovat asetuksen mukaan myös oikeushenkilöille kuuluvia oikeuksia.

4.13

Valvontajärjestelmän rakenne on yleisen tietosuoja-asetuksen mukainen (VI luku valvontaviranomaisista ja VII luku valvontaviranomaisten yhteistyöstä).

4.13.1

Tietosuojasta ovat vastuussa jäsenvaltiot ja niiden kansalliset viranomaiset, joiden on valvottava luottamuksellisuussääntöjen noudattamista. Muut valvontaviranomaiset voivat vastavuoroisen avun puitteissa laatia vastalauseita, jotka saatetaan mahdollisesti kansallisten valvontaviranomaisten käsiteltäväksi. Ne tekevät yhteistyötä viimeksi mainittujen ja Euroopan komission kanssa yhdenmukaisuusmekanismin puitteissa (yleisen tietosuoja-asetuksen 63 artikla).

4.13.2

Euroopan tietosuojaneuvoston tehtävänä on puolestaan varmistaa, että asetusta sovelletaan yhdenmukaisesti (yleisen tietosuoja-asetuksen 68 ja 70 artikla).

4.14

Luonnollisilla henkilöillä ja oikeushenkilöillä on loppukäyttäjinä käytettävissään oikeussuojakeinoja etujensa puolustamiseksi, jos niitä on rikottu, ja oikeus saada korvaus aiheutuneesta vahingosta.

4.15

Hallinnollisten sakkojen summat on tarkoitettu varoittaviksi, sillä ne voivat olla kaikille oikeudenloukkaajille jopa 10 miljoonaa euroa ja yritykselle 2 prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi (23 artikla). Jäsenvaltiot vahvistavat seuraamuksia sellaisia tapauksia varten, joissa ei sovelleta hallinnollista sakkoa, ja ilmoittavat niistä komissiolle.

4.16

Uutta tekstiä yksityiselämän kunnioittamisesta ja henkilötietojen käytöstä aletaan soveltaa 25. toukokuuta 2018 eli samaan aikaan kuin vuoden 2016 yleistä tietosuoja-asetusta, asetusta yksilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja ehdotusta direktiiviksi eurooppalaisen sähköisen viestinnän säännöstön uudelleenlaadinnasta (COM(2016) 590 final), jos ne hyväksytään.

4.17

Yleisen tietosuoja-asetuksen täytäntöönpanosäädöksen soveltamisala:

—

Henkilöllinen soveltamisala:

—

Aineellinen soveltamisala: tiedot

—

Alueellinen soveltamisala

4.18

EU:n tavoitteet: digitaaliset sisämarkkinat

5.1

Komitea pitää tervetulleena sitä, että koko unionissa otetaan samaan aikaan käyttöön johdonmukaiset säännöt, joilla suojellaan sähköisessä viestinnässä käytettäviin digitaalisiin tietoihin liittyviä luonnollisten henkilöiden ja oikeushenkilöiden oikeuksia.

5.1.1

Komitea on tyytyväinen siihen, että unioni hoitaa tehtäväänsä kansalaisten ja kuluttajien oikeuksien puolustajana.

5.1.2

Komitea korostaa, että vaikka tavoitteena on yhdenmukaistaminen, monien käsitteiden tulkitseminen jää jäsenvaltioiden vastuulle. Tämä tekee asetuksesta direktiivimäisen ja jättää paljon mahdollisuuksia yksityisten tietojen kaupalliseen hyödyntämiseen. Erityisesti terveysala on avoin portti suurimittaiseen yksityisten tietojen keräämiseen.

5.1.3

Säädöksen 11 artiklan 1 kohta, 13 artiklan 2 kohta, 16 artiklan 4 ja 5 kohta ja 24 artikla ovat luokiteltavissa lähinnä säännöksiksi, joilla EU:n säännökset saatetaan osaksi kansallista lainsäädäntöä, ja ne sopisivat siksi direktiiviin eivätkä asetukseen. Talouden toimijoille on jätetty liikaa liikkumavaraa palvelujen laadun parantamista varten (5 ja 6 artikla). Asetus tulisi sisällyttää osaksi eurooppalaisesta sähköisen viestinnän säännöstöstä annettavaa direktiiviehdotusta (COM(2016) 590 final).

5.1.4

ETSK pitää erittäin valitettavana sitä, että tekstien moninaisuus, laajuus ja toisiinsa lomittuminen tekevät niiden lukemisesta lähes mahdotonta muille kuin asiaan vihkiytyneille. Jatkuva hyppiminen tekstistä toiseen on välttämätöntä. Lisäksi niiden lisäarvoa ei ole tuotu ilmi kansalaisille. Ehdotuksen vaikealukuisuus ja monimutkaisuus ovat sääntelyn toimivuutta ja tuloksellisuutta koskevan REFIT-ohjelman ja paremman lainsäädännön tavoitteen vastaisia ja tekevät siitä vaikeatulkintaisen. Tämä jättää aukkoja suojaan.

5.1.5

Asetusehdotuksessa ei esimerkiksi määritellä talouden toimijan käsitettä, vaan määritelmä löytyy luonnoksesta eurooppalaiseksi sähköisen viestinnän säännöstöksi (4), joka ei vielä ole voimassa ja joka tulee muuttamaan alan sääntöjä digitaalisten sisämarkkinoiden yhteydessä eli puitedirektiiviä 2002/21/EY, valtuutusdirektiiviä 2002/20/EY, yleispalveludirektiiviä 2002/22/EY ja käyttöoikeusdirektiiviä 2002/19/EY sellaisina kuin ne ovat muutettuina, asetusta (EY) N:o 1211/2009 BERECin perustamisesta, radiotaajuuspäätöstä 676/2002/EY, päätöstä 2002/622/EY radiotaajuuspolitiikkaa käsittelevän ryhmän perustamisesta ja päätöstä 243/2012/EU monivuotisen radiotaajuuspoliittisen ohjelman perustamisesta. Perusasiakirjana säilyy tietenkin yleinen tietosuoja-asetus (ks. kohta 2.2), jota tarkasteltava ehdotus täydentää ja jolle se siis on alisteinen.

5.2

ETSK mainitsee asiaan vihkiytymättömälle lukijalle sisällöltään hankalatajuisina artikloina erityisesti loppukäyttäjien päätelaitteille tallennettujen tietojen suojaamista ja mahdollisia poikkeuksia käsittelevän 8 artiklan – kyse on perustavasta artiklasta, sillä siinä tietoyhteiskunnalle annetaan mahdollisuus päästä käsiksi yksityisiin tietoihin – sekä kutsuvan ja yhdistetyn tilaajan tunnistuksen rajoittamista käsittelevän 12 artiklan.

5.2.1

Vuoden 1995 direktiivissä (2 artikla) ”henkilötietojen” määriteltiin tarkoittavan ”kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (’rekisteröity’) liittyviä tietoja”. Tarkasteltavaa asetusta, jolla tietosuoja laajennetaan koskemaan metadataa, sovelletaan vastedes sekä luonnollisiin henkilöihin että oikeushenkilöihin. On syytä korostaa jälleen, että ehdotuksella on kahtalainen tavoite: toisaalta suojella henkilötietoja ja toisaalta varmistaa sähköisen viestinnän tietojen ja sähköisten viestintäpalvelujen vapaa liikkuvuus (1 artikla).

5.2.2

ETSK korostaa, että pyrkimys suojella oikeushenkilöiden tietoja (1 artiklan 2 kohta) on ristiriidassa muiden tekstien kanssa, sillä niissä tätä ei ole mainittu eikä niissä todeta erikseen, että tekstejä tulee soveltaa oikeushenkilöihin (vrt. yleinen tietosuoja-asetus, tiedot unionin toimielimissä).

5.3

ETSK pohtii, onko ehdotuksen todellisena tavoitteena pikemminkin 1 artiklan 2 kohdan korostaminen eli pyrkimys ”varmistaa sähköisen viestinnän tietojen ja sähköisten viestintäpalvelujen vapaa liikkuvuus unionissa”, sillä tätä ei rajoiteta eikä kielletä luonnollisten henkilöiden yksityiselämän ja viestien kunnioittamiseen liittyvin perustein, sen sijaan että ehdotuksella aidosti turvattaisiin 1 artiklan 1 kohdan mukaisesti ”oikeudet yksityiselämän ja viestien kunnioittamiseen ja luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä”.

5.4

Kaikki perustuu luonnollisen henkilön tai oikeushenkilön suostumuksen ilmaisuun. ETSK:n mielestä käyttäjille tulee siksi jakaa tiedotusta ja koulutusta ja näiden tulee pyrkiä varovaisuuteen, sillä kun suostumus on annettu, palveluntarjoaja voi käsitellä sisältöjä ja metadataa mahdollisimman monenlaisten toimien ja mahdollisimman suuren hyödyn saavuttamiseksi. Kuinka moni tietää ennen evästeen hyväksymistä, että sen tehtävänä on jäljittää käyttäjän liikkeitä? Asetuksessa tulisi olla etusijalla käyttäjille suunnattu oikeuksien harjoittamiseen keskittyvä koulutus sekä anonymisointi ja salaus.

6.1

Pitäisi varmistaa, että yksityisiä tietoja saavat kerätä vain tahot, jotka noudattavat itse hyvin tiukkoja ehtoja ja joilla on tiedossa olevat ja legitiimit tavoitteet (yleinen tietosuoja-asetus).

6.2

Komitea pitää jälleen valitettavina ”ehdotuksen liian monia poikkeuksia ja rajoituksia, jotka vahingoittavat vahvistettuja periaatteita oikeudesta henkilötietojen suojaan” (5). Euroopan unionin tavaramerkkinä tulisi olla vapauden ja turvallisuuden välinen tasapaino eikä yksilön perusoikeuksien ja teollisuuden välinen tasapaino. 29 artiklan mukainen tietosuojatyöryhmä varoitti vakavasti asetusehdotusta koskevassa analyysissaan (WP247, 4.4.2017, lausunto 1/2017, kohta 17), että ehdotus alentaa yleisessä tietosuoja-asetuksessa vahvistettua suojan tasoa etenkin päätteen sijainnin ja kerättävien tietojen rajattoman soveltamisalan suhteen eikä siinä oteta käyttöön oletusarvoista yksityisyyden suojaa (kohta 19).

6.3

Tiedot ovat kuin henkilön jatke, varjoidentiteetti. Ne kuuluvat henkilölle, joka ne on tuottanut, mutta käsittelyn jälkeen ne poistuvat hänen vaikutusvaltansa piiristä. Kukin valtio on edelleen vastuussa tietojen säilyttämisestä ja siirtämisestä, eikä tätä yhdenmukaisteta, sillä tekstiluonnos mahdollistaa oikeuksien rajoittamisen. Komitea korostaa erilaisen kohtelun riskiä, kun jäsenvaltiot saavat vapaasti päättää oikeuksien rajoittamisesta.

6.4

Yksi kysymys liittyy erityisesti yritysten työntekijöihin: kenelle kuuluvat tiedot, joita he tuottavat työssään? Miten ne suojataan?

6.5

Valvontarakenne ei ole kovin selkeä (6) huolimatta Euroopan tietosuojavaltuutetun harjoittamasta valvonnasta. Turvatakeet mielivaltaista kohtelua vastaan eivät vaikuta riittäviltä, eikä määräaikaa, joka tarvitaan menettelyjen viemiseen seuraamusvaiheeseen asti, ole arvioitu.

6.6

ETSK kehottaa luomaan eurooppalaisen portaalin, johon kootaan kaikki EU:n ja jäsenvaltioiden ajantasaiset tekstit, oikeudet, oikeussuojakeinot, oikeustapaukset ja käytännön tiedot, jotta kansalaiset ja kuluttajat löytäisivät tiensä tekstien ja täytäntöönpanosäännösten viidakossa ja voisivat harjoittaa oikeuksiaan. Portaalin tulisi perustua ainakin julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuudesta 26. lokakuuta 2016 annetun direktiivin (EU) 2016/2012 säännöksiin ja EU:n esteettömyyssäädökseksi kutsutun ehdotetun direktiivin 2015/0278(COD) johdanto-osan 12, 15 ja 21 kappaleessa esitettyihin periaatteisiin ja tarjota sisältöä, joka on kaikkien loppukäyttäjien saatavilla ja ymmärrettävissä. ETSK olisi valmis osallistumaan portaalin määrittelyvaiheisiin.

6.7

Asetuksen 22 artiklasta puuttuu viittaus ryhmäkanteisiin, kuten ETSK on jo todennut lausunnossaan eurooppalaisesta sähköisen viestinnän säännöstöstä.

6.8

Aineellisen soveltamisalan rajaaminen (2 artiklan 2 kohta), laajemmat mahdollisuudet käsitellä tietoja ilman oikeudenhaltijan suostumusta (6 artiklan 1 ja 2 kohta), epärealistinen käsite KAIKKIEN käyttäjien suostumuksen saamisesta (6 artiklan 3 kohdan b alakohta ja 8 artiklan 1, 2 ja 3 kohta) sekä jäsenvaltioiden mahdollisuudet rajoittaa oikeuksia, jos rajoitusten katsotaan olevan ”ehdottoman välttämättömiä, tarkoituksenmukaisia ja oikeasuhtaisia”, ovat kaikki säännöksiä, joiden sisältöä voidaan tulkita niin monin tavoin, että todellinen yksityisyyden suoja ei toteudu. Erityistä huomiota tulisi lisäksi kiinnittää alaikäisiä koskevien tietojen suojeluun.

6.9

ETSK on tyytyväinen 12 artiklassa mainittuun valvontaoikeuteen, mutta pitää asian muotoilua erityisen vaikeaselkoisena: vaikuttaa siltä, että etusijalle asetetaan ”tuntemattomat” tai ”salatut” puhelut, niin kuin anonyymiys olisi suosituksena, vaikka periaatteena pitäisi olla puhelujen tunnistaminen.

6.10

Ei-toivottua viestintää (16 artikla) ja suoramarkkinointia käsitellään jo sopimattomista kaupallisista menettelyistä annetussa direktiivissä (7). Oletusarvoisena lähtökohtana tulisi olla opt-in (hyväksyminen) eikä opt-out (kieltäytyminen).

6.11

Säädöksen mukaan komissio tekee arvion kolmen vuoden välein, mutta aikaväli on digitaalialalla liian pitkä. Kahden arvioinnin jälkeen digitaalimaailma on jo muuttunut täysin. Sen sijaan säädösvallan siirrolle (25 artikla), jota voidaan laajentaa, olisi asetettava määrätty kesto, joka voidaan mahdollisesti uusia.

6.12

Lainsäädännön on turvattava käyttäjien oikeudet (EU:sta tehdyn sopimuksen 3 artikla) ja taattava samalla kaupalliseen toimintaan tarvittava oikeudellinen vakaus. ETSK pitää valitettavana, että laitteiden välistä tiedonvälitystä ei käsitellä ehdotuksessa, vaan sitä varten on perehdyttävä eurooppalaiseen sähköisen viestinnän säännöstöön (direktiiviehdotuksen 2 ja 4 artikla).

6.12.1

Esineiden internetin (8) myötä massadata (big data) kehittyy: seuraavia vaiheita ovat huge data ja all data. Tämä on tulevien innovaatioaaltojen avain. Pienet ja suuret laitteet viestittävät ja välittävät toisilleen yksityisiä tietoja (esim. rannekellon rekisteröimät sydämenlyönnit välittyvät lääkärin tietokoneelle jne.). Monet digitaalialan toimijat ovat avanneet oman alustansa verkotettuja esineitä varten (Amazon, Microsoft, Intel tai Ranskassa Orange ja La Poste).

6.12.2

Arkipäivän esineiden internetiin voi helposti kohdistua tunkeilevia hyökkäyksiä, ja etäyhteyden kautta kerättävissä olevien henkilötietojen määrä kasvaa (geopaikannus, terveystiedot, video- ja äänilähetykset suoratoistona). Tietosuojan aukot kiinnostavat muun muassa vakuutusyhtiöitä, jotka ovat alkaneet ehdottaa asiakkailleen verkotettujen esineiden hankkimista ja käyttäytymisen vastuullistamista.

6.13

Monet internetjätit pyrkivät kehittämään alkuperäisiä sovelluksiaan alustoiksi: onkin aiheellista erottaa toisistaan Facebook-sovellus ja Facebook-alusta, jolla kehittelijät voivat suunnitella käyttäjäprofiilien käytettävissä olevia sovelluksia. Amazon oli puolestaan verkkomyyntiin erikoistunut verkkosovellus, mutta siitä on tullut alusta, jolla kolmannet osapuolet – yksityishenkilöistä suuryrityksiin – voivat asettaa tuotteitaan myyntiin hyödyntäen Amazonin resursseja eli tunnettuutta, logistiikkaa jne. Kaikki tämä edellyttää henkilötietojen siirtämistä.

6.14

Yhteistyötaloudessa alustat moninkertaistuvat: alusta ”luo yhteyden nimenomaan sähköisin välinein useiden tavaroita tai palveluita tarjoavien ja useiden käyttäjien välille” (9). Vaikka alustat ovat toivottuja niiden aikaansaaman toimeliaisuuden ja työllisyysvaikutuksen vuoksi, ETSK pohtii, miten niissä tapahtuva tiedonsiirtoja voidaan valvoa yleisen tietosuoja-asetuksen tai käsiteltävänä olevan asetuksen soveltamisen puitteissa.