EUROOPAN KOMISSIO

Bryssel 10.1.2017

COM(2017) 10 final

2017/0003(COD)

Ehdotus

EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

yksityiselämän kunnioittamisesta ja henkilötietojen suojasta sähköisessä viestinnässä ja direktiivin 2002/58/EY kumoamisesta (sähköisen viestinnän tietosuoja-asetus)

(ETA:n kannalta merkityksellinen teksti)

{SWD(2017) 3 final}
{SWD(2017) 4 final}
{SWD(2017) 5 final}
{SWD(2017) 6 final}

PERUSTELUT

1.EHDOTUKSEN TAUSTA

1.1.Ehdotuksen perustelut ja tavoitteet

Digitaalisten sisämarkkinoiden strategian, jäljempänä ’DSM-strategia’, 1 tavoitteena on lisätä luottamusta digitaalipalveluihin ja parantaa niiden turvallisuutta. Tietosuojasäännöstön uudistus ja erityisesti asetuksen (EU) 2016/679, jäljempänä ’yleinen tietosuoja-asetus’ 2 , hyväksyminen oli tärkeä askel kohti tätä tavoitetta. DSM-strategiassa ilmoitettiin myös direktiivin 2002/58/EY, jäljempänä ’sähköisen viestinnän tietosuojadirektiivi’ 3 , uudelleentarkastelusta, jotta voidaan tarjota korkeatasoinen yksityisyyden suoja sähköisten viestintäpalvelujen käyttäjille ja tasapuoliset toimintaedellytykset kaikille markkinatoimijoille. Nyt käsillä oleva ehdotus koskee sähköisen viestinnän tietosuojadirektiivin uudelleentarkastelua DSM-strategian tavoitteiden mukaisesti. Ehdotuksessa varmistetaan yhdenmukaisuus yleisen tietosuoja-asetuksen kanssa.

Sähköisen viestinnän tietosuojadirektiivillä varmistetaan perusoikeuksien ja -vapauksien suojelu ja erityisesti yksityiselämän kunnioittaminen, viestinnän luottamuksellisuus ja henkilötietojen suoja sähköisen viestinnän alalla. Sillä myös taataan sähköisen viestinnän tietojen, laitteiden ja palvelujen vapaa liikkuvuus unionissa. Sillä pannaan unionin sekundaarilainsäädännössä viestinnän osalta täytäntöön yksityiselämän kunnioittamista koskeva perusoikeus, joka turvataan Euroopan unionin perusoikeuskirjan, jäljempänä ’perusoikeuskirja’, 7 artiklassa.

Paremman säädöskäytännön vaatimuksia noudattaen komissio on tehnyt sähköisen viestinnän tietosuojadirektiivistä jälkiarvioinnin sääntelyn toimivuutta ja tuloksellisuutta koskevan ohjelman puitteissa, jäljempänä ’REFIT-arviointi’. Arvioinnin perusteella voidaan todeta, että nykyisen säännöstön tavoitteet ja periaatteet pätevät edelleen. Markkinoilla on kuitenkin tapahtunut merkittävää teknologista ja taloudellista kehitystä sen jälkeen, kun sähköisen viestinnän tietosuojadirektiiviä edellisen kerran tarkistettiin vuonna 2009. Kuluttajat ja yritykset käyttävät perinteisten viestintäpalvelujen sijasta yhä enemmän uusia henkilöiden välisen viestinnän mahdollistavia internet-välitteisiä palveluja, kuten VoIP-palveluja, pikaviestintäpalveluja ja verkkopohjaisia sähköpostipalveluja. Näihin internetin kautta välitettäviin viestintäpalveluihin (Over-the-Top), jäljempänä ’OTT-palvelut’, ei yleensä sovelleta nykyistä unionin sähköisen viestinnän sääntelyjärjestelmää, ei myöskään sähköisen viestinnän tietosuojadirektiiviä. Direktiivi ei ole pysynyt teknisen kehityksen tasalla, mikä on jättänyt tietosuojatyhjiön uusien palvelujen välityksellä tapahtuvaan viestintään.

1.2.Yhdenmukaisuus muiden alaa koskevien politiikkojen säännösten kanssa

1.3.Yhdenmukaisuus unionin muiden politiikkojen kanssa

Sähköisen viestinnän tietosuojadirektiivi on osa sähköisen viestinnän sääntelyjärjestelmää. Komissio hyväksyi vuonna 2016 ehdotuksen direktiiviksi eurooppalaisesta sähköisen viestinnän säännöstöstä 4 . Ehdotuksella on määrä tarkistaa sääntelyjärjestelmää. Tämä ehdotus ei ole erottamaton osa eurooppalaista sähköisen viestinnän säännöstöä, mutta se nojautuu osittain siinä säädettyihin määritelmiin, kuten ”sähköisten viestintäpalvelujen” määritelmään. Eurooppalaisen sähköisen viestinnän säännöstön tavoin tämä ehdotus tuo piiriinsä myös OTT-palvelujen tarjoajat markkinarealiteetteja vastaavasti. Lisäksi eurooppalainen sähköisen viestinnän säännöstö täydentää tätä ehdotusta varmistamalla sähköisten viestintäpalvelujen turvallisuuden.

Radiolaitteista annetulla direktiivillä 2014/53/EU, jäljempänä ’radiolaitedirektiivi’ 5 , varmistetaan sisämarkkinat radiolaitteille. Erityisesti siinä vaaditaan, että radiolaitteisiin sisältyy ennen niiden markkinoille saattamista turvalaitteita, jotka takaavat käyttäjän henkilötietojen ja yksityisyyden suojan. Komissiolla on radiolaitedirektiivin ja eurooppalaisesta standardoinnista annetun asetuksen (EU) 1025/2012 6 nojalla valta hyväksyä toimenpiteitä. Tämä ehdotus ei vaikuta radiolaitedirektiiviin.

Ehdotus ei sisälly erityisiä säännöksiä tietojen säilyttämisestä. Sähköisen viestinnän tietosuojadirektiivin 15 artiklan asiasisältö pidetään voimassa ja mukautetaan vastaamaan yleisen tietosuoja-asetuksen 23 artiklan sanamuotoa. Kyseisessä artiklassa säädetään perusteista, joiden mukaisesti jäsenvaltiot voivat rajoittaa sähköisen viestinnän tietosuojadirektiivin yksittäisissä artikloissa säädettyjen oikeuksien ja velvollisuuksien soveltamisalaa. Näin ollen jäsenvaltioilla on vapaus pitää voimassa tai luoda kansallisia tietojen säilyttämistä koskevia säännöstöjä, jotka mahdollistavat muun muassa kohdennetut tietojen säilyttämistä koskevat toimenpiteet, sikäli kuin tällaiset säännöstöt ovat unionin oikeuden mukaisia ottaen huomioon unionin tuomioistuimen oikeuskäytäntö sähköisen viestinnän tietosuojadirektiivin ja Euroopan unionin perusoikeuskirjan tulkinnasta 7 .

Ehdotusta ei sovelleta unionin toimielinten, elinten, virastojen ja laitosten toimintaan. Sen periaatteet ja asiaankuuluvat velvoitteet, jotka koskevat oikeutta nauttia yksityiselämän ja viestinnän kunnioitusta sähköisen viestinnän tietojen käsittelyssä, on kuitenkin sisällytetty ehdotukseen asetukseksi asetuksen (EY) N:o 45/2001 kumoamisesta 8 .

2.OIKEUSPERUSTA, TOISSIJAISUUSPERIAATE JA SUHTEELLISUUSPERIAATE

2.1.Oikeusperusta

Ehdotuksen oikeusperustan muodostavat Euroopan unionin toiminnasta tehdyn sopimuksen, jäljempänä ’SEUT-sopimus’, 16 ja 114 artikla.

SEUT-sopimuksen 16 artikla muodostaa erityisen oikeusperustan, jonka nojalla voidaan antaa sääntöjä yksilöiden suojelusta unionin toimielinten suorittamassa henkilötietojen käsittelyssä ja jäsenvaltioiden suorittamassa henkilötietojen käsittelyssä silloin, kun ne toteuttavat unionin oikeuden soveltamisalaan kuuluvia toimia, sekä sääntöjä, jotka koskevat näiden tietojen vapaata liikkuvuutta. Koska sähköinen viestintä, johon osallistuu luonnollinen henkilö, luokitellaan yleensä henkilötiedoiksi, luonnollisten henkilöiden yksityisyyden suojelun viestinnässä ja tällaisten tietojen käsittelyssä olisi perustuttava 16 artiklaan.

Ehdotuksen tavoitteena on myös oikeushenkilöiden viestinnän ja tähän liittyvien oikeutettujen etujen suojelu. Perusoikeuskirjan 7 artiklan mukaisten oikeuksien merkitys ja ulottuvuus ovat perusoikeuskirjan 52 artiklan 3 kohdan mukaisesti samat kuin ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn eurooppalaisen yleissopimuksen, jäljempänä ’Euroopan ihmisoikeussopimus’, 8 artiklan 1 kohdassa. Perusoikeuskirjan 7 artiklan ulottuvuudesta Euroopan unionin tuomioistuimen 9 ja Euroopan ihmisoikeustuomioistuimen 10 oikeuskäytännössä todetaan, ettei oikeushenkilöiden ammatillista toimintaa voida sulkea pois perusoikeuskirjan 7 artiklassa ja Euroopan ihmisoikeussopimuksen 8 artiklassa turvatun oikeuden suojelusta.

Koska aloitteella pyritään kahtalaiseen tarkoitukseen ja koska oikeushenkilöiden viestinnän suojaamisen liittyvää osatekijää ja pyrkimystä aikaansaada sisämarkkinat kyseiselle sähköiselle viestinnälle ja varmistaa niiden toiminta ei voida tässä yhteydessä pitää pelkästään liitännäisenä, aloitteen oikeusperustaksi pitäisi ottaa myös SEUT-sopimuksen 114 artikla.

2.2.Toissijaisuusperiaate

Viestinnän kunnioittaminen on perusoikeuskirjassa tunnustettu perusoikeus. Sähköisen viestinnän sisältö voi paljastaa hyvin arkaluontoisia tietoja viestintään osallistuvista loppukäyttäjistä. Myös sähköisestä viestinnästä johdettu metadata voi paljastaa arkaluonteisia ja henkilökohtaisia tietoja, kuten Euroopan unionin tuomioistuin on nimenomaisesti todennut 11 . Useimmat jäsenvaltiot tunnustavat tarpeen suojata viestintää erillisenä perustuslaillisena oikeutena. Vaikka jäsenvaltiot voivat toteuttaa toimenpiteitä varmistaakseen, ettei tätä oikeutta loukata, tähän ei päästäisi yhdenmukaisella tavalla ilman unionin sääntöjä, vaan se loisi rajoituksia sähköisten viestintäpalvelujen käyttöön liittyvien henkilötietojen ja muiden tietojen liikkumiselle yli rajojen. Lisäksi jotta voidaan säilyttää johdonmukaisuus suhteessa yleiseen tietosuoja-asetukseen, sähköisen viestinnän tietosuojadirektiiviä on tarpeen tarkistaa ja hyväksyä toimenpiteitä näiden kahden säädöksen linjaamiseksi keskenään.

Tekniikan kehitys ja DSM-strategian päämäärät ovat korostaneet tarvetta unionin tason toiminnalle. EU:n digitaalisten sisämarkkinoiden menestys riippuu siitä, kuinka tehokkaasti EU:ssa kyetään irtautumaan kansallisista siiloista ja esteistä ja tarttumaan Euroopan laajuisten digitaalisten sisämarkkinoiden mahdollisuuksiin ja mittakaavaetuihin. Lisäksi koska internet ja digitaaliteknologiat eivät tunne rajoja, ongelman laajuus ylittää yksittäisen jäsenvaltion alueen. Jäsenvaltiot eivät nykytilanteessa voi käytännössä korjata näitä puutteita yksinään. Digitaalisten sisämarkkinoiden moitteettoman toiminnan ehtoina ovat tasapuoliset kilpailuedellytykset korvattavissa olevia palveluja tarjoaville talouden toimijoille ja yhtäläinen suojelu loppukäyttäjille unionissa.

2.3.Suhteellisuusperiaate

Jotta yksityisyyden ja viestinnän kunnioittamiselle voidaan taata tehokas oikeudellinen suoja, soveltamisalaa on tarpeen laajentaa kattamaan OTT-palvelujen tarjoajat. Vaikka monet suositut OTT-palvelujen tarjoajat jo noudattavat viestinnän luottamuksellisuuden periaatetta kokonaan tai osittain, perusoikeuksien suojelua ei voida jättää toimialan itsesääntelyn varaan. Myös päätelaitteiden yksityisyyden tehokas suojaaminen käy yhä tärkeämmäksi, koska siitä on tullut edellytys yksityis- ja työelämässä luottamuksellisen tietojen tallentamiselle. Sähköisen viestinnän tietosuojadirektiivin täytäntöönpanolla ei ole kyetty tehokkaasti valtaistamaan loppukäyttäjiä. Jotta tähän päästäisiin, periaate on tarpeen panna täytäntöön keskittämällä suostumuksen antaminen ohjelmistoihin ja antamalla käyttäjille kehotetiedot ohjelmistojen yksityisyysasetuksista. Tämän asetuksen täytäntöönpanon valvonnassa nojaudutaan yleisen tietosuoja-asetuksen valvontaviranomaisiin ja yhdenmukaisuusmekanismiin. Lisäksi ehdotus jättää jäsenvaltioille mahdollisuuden kansallisiin poikkeustoimenpiteisiin tietyissä perustelluissa tarkoituksissa. Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti ehdotuksessa ei ylitetä sitä, mikä on tarpeen tavoitteiden saavuttamiseksi. Kohteena oleviin palveluihin kohdistettavat velvoitteet pidetään mahdollisimman vähäisinä, rajoittamatta kuitenkaan asianomaisia perusoikeuksia.

2.4.Toimintatavan valinta

Komissio ehdottaa asetusta, jotta voidaan varmistaa johdonmukaisuus yleisen tietosuoja-asetuksen kanssa ja oikeusvarmuus käyttäjille ja yrityksille välttäen toisistaan poikkeavat tulkinnat jäsenvaltioissa. Asetuksella voidaan varmistaa samantasoinen suoja käyttäjille koko unionissa ja alentaa säännösten noudattamisesta aiheutuvia kustannuksia yrityksille, jotka toimivat yli rajojen.

3.JÄLKIARVIOINTIEN, SIDOSRYHMIEN KUULEMISTEN JA VAIKUTUSTENARVIOINTIEN TULOKSET

3.1.Jälkiarvioinnit/toimivuustarkastukset

REFIT-arvioinnissa tarkasteltiin, miten tehokkaasti sähköisen viestinnän tietosuojadirektiivi on edistänyt yksityiselämän kunnioituksen ja viestinnän luottamuksellisuuden asianmukaista suojaa EU:ssa. Siinä kartoitettiin myös mahdollisia päällekkäisyyksiä.

REFIT-arvioinnissa todettiin, että edellä mainitut direktiivin tavoitteet ovat edelleen merkityksellisiä. Yleinen tietosuoja-asetus varmistaa henkilötietojen suojan ja sähköisen viestinnän tietosuojadirektiivi viestinnän luottamuksellisuuden, ja jälkimmäinen kattaa myös muut kuin henkilötiedot ja koskee myös oikeushenkilöitä. Tästä syystä erillisellä säädöksellä voitaisiin taata tehokas suoja perusoikeuskirjan 7 artiklan periaatteille. Myös muut säännökset, kuten ei-toivotun markkinointiviestinnän lähettämistä koskevat säännöt, osoittautuivat edelleen merkityksellisiksi.

Vaikuttavuuden ja tehokkuuden suhteen REFIT-arvioinnissa voitiin todeta, ettei direktiivi ole kaikilta osin täyttänyt sille asetettuja tavoitteita. Eräiden säännösten epäselvä sanamuoto ja oikeudellisten käsitteiden moniselitteisyys ovat vaarantaneet yhdenmukaisen tulkinnan ja näin luoneet haasteita yrityksille niiden toimiessa rajojen yli. Arvioinnissa kävi lisäksi ilmi, että eräät säännökset ovat luoneet tarpeettoman rasitteen yrityksille ja kuluttajille. Esimerkiksi päätelaitteiden luottamuksellisuutta suojaava sääntö, jonka mukaan loppukäyttäjä antaa suostumuksensa evästeiden käytölle, ei ole saavuttanut tavoitteitaan, koska loppukäyttäjät saavat pyyntöjä hyväksyä seurantaevästeitä ymmärtämättä niiden merkitystä ja joissakin tapauksissa voivat altistua evästeille jopa ilman suostumustaan. Suostumusta koskeva sääntö on yhtäältä ylimitoitettu, sillä sen piiriin kuuluu myös yksityisyyttä loukkaamattomia käytäntöjä, ja toisaalta liian poissulkeva, koska se ei selvästikään kata eräitä seurannan tekniikoita (esim. laitesormenjäljet), joihin ei välttämättä liity pääsyä/tallennusta laitteelle. Lisäksi sen täytäntöönpano voi olla kallista yrityksille.

3.2.Sidosryhmien kuuleminen

Komissio järjesti julkisen sidosryhmäkuulemisen 12.4.–5.7.2016 ja sai 421 kannanottoa 12 . Tärkeimmät havainnot ovat seuraavat 13 :

–Tarve ottaa käyttöön erityissääntöjä sähköisen viestinnän alalla sähköisen viestinnän luottamuksellisuutta varten: 83,4 % vastanneista kansalaisista ja kuluttaja- ja kansalaisjärjestöistä ja 88,9 % viranomaisista piti tällaisia sääntöjä tarpeellisina, kun taas 63,4 % toimialaa edustavista vastaajista oli vastakkaisella kannalla.

–Soveltamisalan laajentaminen uusiin viestintäpalveluihin (OTT-palvelut): 76 % kansalaisista ja kansalaisjärjestöistä ja 93,1 % viranomaisista kannatti tätä, mutta vain 36,2 % toimialaa edustavista vastaajista puolsi tällaista laajennusta.

–Suostumusta koskevien poikkeusten tarkistaminen liikenne- ja paikkatietojen käsittelyä varten: 49,1 % kansalaisista ja kuluttaja- ja kansalaisjärjestöistä ja 36 % viranomaisista ei halua laajentaa näitä poikkeuksia. Toimialaa edustavista vastaajista 36 % puolsi niiden laajentamista ja 2/3 kyseisten säännösten kumoamista.

–Tuki ehdotetuille ratkaisuille liittyen evästeitä koskevaan suostumukseen: 81,2 % kansalaisista ja 63 % viranomaisista kannatti päätelaitteiden valmistajien velvoittamista saattamaan tuotteet markkinoille oletusarvoiset yksityisyysasetukset aktivoituina, kun taas 58,3 % toimialaa edustavista vastaajista kannatti itse- tai yhteissääntelyä.

Euroopan komissio järjesti huhtikuussa 2016 kaksi seminaaria, joista toinen oli avoin kaikille sidosryhmille ja toinen kansallisille toimivaltaisille viranomaisille. Seminaareissa käsiteltiin julkisen sidosryhmäkuulemisen tärkeimpiä kysymyksiä. Esitetyt näkemykset heijastelivat julkisen kuulemisen tuloksia.

–78 % pitää erittäin tärkeänä sitä, että heidän tietokoneellaan, älypuhelimessaan tai tabletillaan oleviin henkilötietoihin pääsee vain heidän luvallaan.

–72 % ilmoittaa pitävänä erittäin tärkeänä sitä, että heidän sähköpostiviestiensä ja verkossa lähetettyjen pikaviestien luottamuksellisuus taataan.

–89 % on puoltaa ehdotettua vaihtoehtoa, jonka mukaan selaimen oletusarvoasetusten olisi estettävä heidän tietojensa jakaminen.

3.3.Asiantuntijatiedon keruu ja käyttö

Komissio on nojautunut seuraavaan ulkopuoliseen asiantuntija-apuun:

–Kohdennetut EU:n asiantuntijaryhmien kuulemiset, 29 artiklan mukaisen työryhmän lausunto, Euroopan tietosuojavaltuutetun lausunto, REFIT-foorumin lausunto, BERECin näkemykset, ENISAn näkemykset ja kuluttajansuoja-asioiden yhteistyöverkoston jäsenten näkemykset.

–Ulkopuolisen asiantuntemuksen hyödyntäminen, erityisesti seuraavat selvitykset:

–ePrivacy Directive: assessment of transposition, effectiveness and compatibility with proposed Data Protection Regulation (sähköisen viestinnän tietosuojadirektiivi: arviointi täytäntöönpanosta, tehokkuudesta ja yhteensopivuudesta ehdotetun tietosuoja-asetuksen kanssa (SMART 2013/007116).

–Evaluation and review of Directive 2002/58 on privacy and the electronic communication sector (sähköisen viestinnän tietosuojadirektiivin 2002/58 arviointi ja uudelleentarkastelu) (SMART 2016/0080).

3.4.Vaikutustenarviointi

Seuraavia toimintavaihtoehtoja tarkasteltiin niiden vaikuttavuuden, tehokkuuden ja johdonmukaisuuden kannalta:

–Vaihtoehto 1 – Muut kuin lainsäädäntötoimet (ei-sitovat toimenpiteet);

–Vaihtoehto 2 – Yksityisyyden/luottamuksellisuuden rajallinen lisääminen sekä yksinkertaistaminen;

–Vaihtoehto 3 – Yksityisyyden/luottamuksellisuuden kohtuullinen lisääminen sekä yksinkertaistaminen;

–Vaihtoehto 4 – Yksityisyyden/luottamuksellisuuden pitkälle viety lisääminen sekä yksinkertaistaminen;

–Vaihtoehto 5 Sähköisen viestinnän tietosuojadirektiivin kumoaminen.

Vaihtoehto 3 katsottiin useimmissa suhteissa suositeltavimmaksi vaihtoehdoksi tavoitteiden saavuttamiseksi ottaen huomioon sen tehokkuus ja johdonmukaisuus. Pääasialliset hyödyt ovat seuraavat:

–Sähköisen viestinnän luottamuksellisuuden suojaa tehostetaan laajentamalla säädöksen soveltamisalaa siten, että siihen lisätään uudet toiminnallisesti vastaavat sähköiset viestintäpalvelut. Lisäksi ehdotus parantaa loppukäyttäjän mahdollisuuksia valvontaan selventämällä, että suostumus voidaan antaa käyttämällä asianmukaisia teknisiä asetuksia.

–Suoja ei-toivotun viestinnän varalta paranee, kun käyttöön otetaan velvoite kutsuvan tilaajan tunnistukseen tai pakollinen tunnus/prefiksi markkinointipuheluille sekä aiempaa paremmat mahdollisuudet estää puhelut ei-toivotuista numeroista.

–Sääntely-ympäristö yksinkertaistuu ja selkeytyy, kun jäsenvaltioille jäävää liikkumavaraa vähennetään, vanhentuneita säännöksiä kumotaan ja poikkeuksia suostumusta koskevista säännöistä laajennetaan.

Vaihtoehdon 3 taloudellisten vaikutusten odotetaan olevan kaiken kaikkiaan oikeassa suhteessa ehdotuksen tavoitteisiin. Perinteisille sähköisille viestintäpalveluille avautuu viestintädatan käsittelyyn liittyviä liiketoimintamahdollisuuksia, ja OTT-palvelujen tarjoajat tulevat samojen sääntöjen piiriin. Tämä tuo joitakin säännösten noudattamisesta aiheutuvia lisäkustannuksia näille toimijoille. Muutos ei kuitenkaan vaikuta merkittävästi niihin OTT-palveluihin, jotka jo toimivat suostumuksen perusteella. Lisäksi vaihtoehdon vaikutus ei tuntuisi niissä jäsenvaltioissa, jotka ovat jo laajentaneet nämä säännöt koskemaan OTT-palveluja.

Keskittämällä suostumuksen antaminen ohjelmistoihin, kuten internet-selaimiin, ja kehottamalla käyttäjiä valitsemaan yksityisyysasetuksensa sekä laajentamalla poikkeuksia säännöstä, joka koskee suostumuksen antamista evästeiden käyttöön, merkittävä osa yrityksistä voisi luopua evästebannereiden ja -ilmoitusten käytöstä. Tämä johtaisi potentiaalisesti merkittäviin kustannussäästöihin ja yksinkertaistamiseen. Suostumuksen hankkiminen voi kuitenkin vaikeutua kohdennettua verkkomainontaa harjoittaville, jos suuri osa käyttäjistä valitsee asetukseksi ”Estä kolmannen osapuolen evästeet”. Suostumuksen antamisen keskittäminen ei kuitenkaan poistaisi sivustojen ylläpitäjien mahdollisuutta hankkia suostumus yksittäisillä loppukäyttäjille esitettävillä pyynnöillä ja tällä tavoin säilyttää nykyinen liiketoimintamallinsa. Lisäkustannuksia aiheutuisi osalle selainten tai vastaavien ohjelmistojen tarjoajista näiden joutuessa huolehtimaan yksityisyydensuojan takaavista asetuksista.

Ulkoisessa selvityksessä yksilöitiin kolme erillistä täytäntöönpanoskenaariota vaihtoehdolle 3 sen mukaan, mikä taho antaa käyttöön valintaikkunan käyttäjälle, joka on valinnut asetukseksi ”Estä kolmannen osapuolen evästeet” tai ”Älä seuraa”, tämän vieraillessa verkkosivuilla, jotka haluavat internetin käyttäjän harkitsevan uudelleen tekemäänsä valintaa. Tästä teknisestä tehtävästä voivat vastata seuraavat tahot: 1) ohjelmistot, kuten internet-selaimet; 2) kolmannen osapuolen seurain; 3) yksittäiset verkkosivustot (ts. käyttäjän pyytämä tietoyhteiskunnan palvelu). Ensimmäisessä täytäntöönpanoskenaariossa (selainratkaisussa), joka toteutettaisiin tällä ehdotuksella, vaihtoehto 3 johtaisi kaiken kaikkiaan 70 prosentin (948,8 miljoonan euron) säästöihin säännösten noudattamisesta aiheutuvissa kustannuksissa verrattuna perusskenaarioon. Muissa täytäntöönpanoskenaarioissa kustannussäästöt olisivat pienemmät. Koska kokonaisuutena katsoen säästöt johtuvat paljolti siitä, että kohteena olevien yritysten määrä pienenee hyvin merkittävästi, säännösten noudattamisesta yksittäiselle yritykselle aiheutuvien kulloistenkin kustannusten ennakoidaan – keskimäärin – kasvavan nykyisestä.

3.5.Sääntelyn toimivuus ja yksinkertaistaminen

Suositeltavimmassa vaihtoehdossa esitetyt toimenpiteet tähtäävät tavoitteeseen yksinkertaistaa menettelyjä ja vähentää hallinnollista rasitetta REFIT-arvioinnin päätelmien ja REFIT-foorumin lausunnon mukaisesti 17 .

REFIT-foorumi antoi komissiolle kolme suositusta:

–Kansalaisen yksityiselämän suojelua olisi tehostettava huolehtimalla siitä, että sähköisen viestinnän tietosuojadirektiivi on linjassa yleisen tietosuoja-asetuksen kanssa.

–Kansalaisten suojaa ei-toivotulta markkinoinnilta olisi parannettava lisäämällä poikkeuksia sääntöön, joka koskee suostumuksen antamista evästeiden käyttöön.

–Komission olisi tarkasteltava kansallisen täytäntöönpanon ongelmia ja helpotettava parhaiden käytäntöjen vaihtoa jäsenvaltioiden välillä.

Ehdotus sisältää erityisesti seuraavat toimet:

–Teknologianeutraalien määritelmien käyttö, jotta ne kattaisivat myös uudet palvelut ja teknologiat sen varmistamiseksi, että asetus on tulevaisuuden vaatimukset huomioon ottava.

–Turvallisuusvelvoitteiden kumoaminen kaksinkertaisen sääntelyn poistamiseksi.

–Soveltamisalan selventäminen, jotta voidaan poistaa/vähentää riskiä siitä, että jäsenvaltiot soveltavat asetusta eri tavoin (lausunnon kohta 3).

–Suostumuksen antamista evästeiden ja muiden tunnisteiden käyttöön koskevan säännön selkeyttäminen ja yksinkertaistaminen, kuten kohdissa 3.1 ja 3.4 selostetaan (lausunnon kohta 2).

–Täytäntöönpanon valvonnan antaminen tehtäväksi samoille viranomaisille, jotka vastaavat yleisen tietosuoja-asetuksen täytäntöönpanosta, sekä nojautuminen yleisen tietosuoja-asetuksen yhdenmukaisuusmekanismiin.

3.6.Vaikutus perusoikeuksiin

4.TALOUSARVIOVAIKUTUKSET

5.LISÄTIEDOT

5.1.Toteuttamissuunnitelmat, seuranta, arviointi ja raportointijärjestelyt

5.2.Ehdotukseen sisältyvien säännösten yksityiskohtaiset selitykset

I luku sisältää yleiset säännökset: kohde (1 artikla), soveltamisala (2 ja 3 artikla) ja määritelmät viittauksineen sovellettaviin määritelmiin, jotka sisältyvät muihin EU:n säädöksiin, kuten yleiseen tietosuoja-asetukseen.

II luku sisältää keskeiset säännökset, joilla varmistetaan sähköisen viestinnän luottamuksellisuus (5 artikla) ja rajataan sallitut tarkoitukset ja edellytykset viestintätietojen käsittelylle (6 ja 7 artikla). Se koskee myös päätelaitteiden suojaamista i) takaamalla niihin tallennettujen tietojen eheyden ja ii) suojaamalla päätelaitteista lähetettävät tiedot, koska ne voivat mahdollistaa loppukäyttäjän tunnistamisen (8 artikla). 9 artiklassa säädetään yksityiskohtaisesti loppukäyttäjien suostumuksesta asetuksen keskeisenä laillisena perusteena viittaamalla nimenomaisesti sen määritelmään ja edellytyksiin, joista säädetään yleisessä tietosuoja-asetuksessa, ja 10 artiklassa sähköisen viestinnän mahdollistavien ohjelmistojen tarjoajille asetetaan velvoite auttaa loppukäyttäjiä tekemään tehokkaita valintoja yksityisyysasetuksissa. 11 artiklassa säädetään tarkoituksista ja edellytyksistä, joiden mukaisesti jäsenvaltiot voivat rajoittaa edellä mainittuja säännöksiä.

III luku koskee loppukäyttäjien oikeuksia valvoa sähköisen viestinnän lähettämistä ja vastaanottamista yksityisyytensä suojelemiseksi, mihin sisältyvät i) loppukäyttäjien oikeus estää kutsuvan tilaajan tunnistus nimettömyyden takaamiseksi (12 artikla) rajoituksineen (13 artikla) ja ii) velvoite, jonka mukaan yleisesti saatavilla olevien, henkilöiden välisten numeroihin perustuvien viestintäpalvelujen tarjoajien on huolehdittava mahdollisuudesta rajoittaa ei-toivottujen puhelujen vastaanottamista (14 artikla). Tässä luvussa säädetään myös edellytyksistä, joiden mukaisesti loppukäyttäjät voidaan sisällyttää yleisesti saatavilla oleviin luetteloihin (15 artikla), sekä ei-toivotun suoramarkkinoinnin harjoittamisen ehdoista (17 artikla). Se koskee myös turvallisuusriskejä ja velvoittaa sähköisten viestintäpalvelujen tarjoajat varoittamaan loppukäyttäjiä erityisistä riskeistä, joka saattavat vaarantaa verkkojen ja palveluiden turvallisuuden. Sähköisten viestintäpalvelujen tarjoajiin sovelletaan yleisen tietosuoja-asetuksen ja eurooppalaisen sähköisen viestinnän säännöstön turvallisuusvelvoitteita.

IV luvussa säädetään asetuksen seurannasta ja täytäntöönpanon valvonnasta ja annetaan tämä yleisestä tietosuoja-asetuksesta vastaavien valvontaviranomaisten tehtäväksi ottaen huomioon vahvat synergiat yleisten tietosuojakysymysten ja viestinnän luottamuksellisuuden välillä (18 artikla). Euroopan tietosuojaneuvoston valtuuksia laajennetaan (19 artikla), ja tähän asetukseen liittyvien rajatylittävien asioiden tapauksessa sovelletaan yleisen tietosuoja-asetuksen mukaista yhteistyö- ja yhdenmukaisuusmekanismia (20 artikla).

V luvussa täsmennetään erilaiset loppukäyttäjien käytettävissä olevat oikeussuojakeinot (21 ja 22 artikla) sekä seuraamukset, joita voidaan määrätä (24 artikla), muun muassa yleiset edellytykset hallinnollisten sakkojen määräämiselle (23 artikla).

VI luku koskee delegoitujen säädösten ja täytäntöönpanosäädösten hyväksymistä perussopimuksen 290 ja 291 artiklan mukaisesti.

VII luku sisältää loppusäännökset sähköisen viestinnän tietosuojadirektiivin kumoamisesta sekä tämän asetuksen seurannasta, uudelleentarkastelusta, voimaantulosta ja soveltamisesta. Uudelleentarkastelussa komissio aikoo arvioida muun muassa sitä, onko erillinen säädös edelleen tarpeen oikeudellisen, teknisen tai taloudellinen kehityksen valossa ja ottaen huomioon asetuksen (EU) 2016/679 ensimmäisen arvioinnin, jonka määräaika on 25.5.2020.

2017/0003 (COD)

Ehdotus

EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

yksityiselämän kunnioittamisesta ja henkilötietojen suojasta sähköisessä viestinnässä ja direktiivin 2002/58/EY kumoamisesta (sähköisen viestinnän tietosuoja-asetus)

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 16 ja 114 artiklan,

ottavat huomioon Euroopan komission ehdotuksen,

sen jälkeen, kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,

ottavat huomioon Euroopan talous- ja sosiaalikomitean lausunnon 18 ,

ottavat huomioon alueiden komitean lausunnon 19 ,

ottavat huomioon Euroopan tietosuojavaltuutetun lausunnon 20 ,

noudattavat tavallista lainsäätämisjärjestystä,

sekä katsovat seuraavaa:

(1)Euroopan unionin perusoikeuskirjan, jäljempänä ’perusoikeuskirja’, 7 artiklassa turvataan jokaisen perusoikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan. Viestinnän yksityisyyden kunnioittaminen on tämän oikeuden olennainen ulottuvuus. Sähköisen viestinnän luottamuksellisuus takaa sen, että osapuolten välillä vaihdettuja tietoja ja tällaisen viestinnän ulkoisia osatekijöitä – mukaan lukien tieto siitä, milloin, mistä ja kenelle tiedot on toimitettu – ei paljasteta kenellekään muille kuin viestinnän osapuolille. Luottamuksellisuuden periaatetta olisi sovellettava nykyisiin ja tuleviin viestintätapoihin, mukaan lukien puhelut, internetyhteydet, pikaviestintäsovellukset, sähköposti, internetvälitteiset puhelut ja sosiaalisen median kautta tapahtuva henkilökohtainen viestiliikenne.

(2)Sähköisen viestinnän sisältö voi paljastaa hyvin arkaluontoisia tietoja viestintään osallistuvista luonnollisista henkilöistä, kuten henkilökohtaisista kokemuksista ja tunteista, sairauksista, seksuaalisista taipumuksista ja poliittisista näkemyksistä. Tällaisten tietojen paljastaminen voisi aiheuttaa henkilökohtaista ja sosiaalista haittaa, taloudellisia menetyksiä tai häpeää. Myös sähköisestä viestinnästä johdettu metadata voi paljastaa hyvin arkaluonteisia ja henkilökohtaisia tietoja. Tämä metadata sisältää muun muassa soitetut numerot, vieraillut verkkosivut, maantieteellisen sijainnin sekä henkilön soittaman puhelun kellonajan, päivämäärän ja keston. Sen perusteella voidaan tehdä täsmällisiä päätelmiä sähköiseen viestintään osallistuvien henkilöiden yksityiselämästä, kuten sosiaalisista suhteista, tottumuksista, jokapäiväisistä toimista, kiinnostuksen kohteista ja mieltymyksistä.

(3)Sähköisen viestinnän tiedot voivat myös paljastaa oikeushenkilöihin liittyviä tietoja, kuten liikesalaisuuksia tai muita luottamuksellisia tietoja, joilla on taloudellista arvoa. Sen vuoksi tämän asetuksen säännöksiä olisi sovellettava sekä luonnollisiin henkilöihin että oikeushenkilöihin. Lisäksi tässä asetuksessa olisi varmistettava, että Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 21 säännöksiä sovelletaan myös sellaisiin loppukäyttäjiin, jotka ovat oikeushenkilöitä. Tähän sisältyy asetuksen (EU) 2016/679 mukainen suostumuksen määritelmä. Kun viitataan loppukäyttäjän, mukaan lukien oikeushenkilöt, antamaan suostumukseen, olisi sovellettava kyseistä määritelmää. Lisäksi oikeushenkilöillä olisi oltava valvontaviranomaisten osalta samat oikeudet kuin sellaisilla loppukäyttäjillä, jotka ovat luonnollisia henkilöitä. Samoin tässä asetuksessa tarkoitettujen valvontaviranomaisten olisi vastattava tämän asetuksen soveltamisen valvonnasta myös oikeushenkilöiden osalta.

(4)Perusoikeuskirjan 8 artiklan 1 kohdan ja Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan. Asetuksella (EU) 2016/679 vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta. Sähköisen viestinnän tietoihin voi kuulua asetuksessa (EU) 2016/679 määriteltyjä henkilötietoja.

(5)Tämän asetuksen säännöksillä täsmennetään ja täydennetään henkilötietojen suojasta asetuksessa (EU) 2016/679 säädettyjä yleissääntöjä henkilötiedoiksi luokiteltavien sähköisen viestinnän tietojen osalta. Näin ollen tämä asetus ei alenna luonnollisille henkilöille asetuksen (EU) 2016/679 nojalla kuuluvaa suojelun tasoa. Sähköisen viestinnän tietojen käsittely olisi sallittava sähköisten viestintäpalvelujen tarjoajille ainoastaan tämän asetuksen mukaisesti.

(6)Vaikka Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY 22 periaatteet ja keskeiset säännökset ovat edelleen yleisesti päteviä, kyseinen direktiivi ei ole pysynyt kaikilta osin tekniikan ja markkinarealiteettien kehityksen tasalla, minkä vuoksi yksityisyyden ja luottamuksellisuuden suoja on sähköisen viestinnän osalta jäänyt epäjohdonmukaiseksi tai toimivuudeltaan riittämättömäksi. Tähän kehitykseen kuuluu sellaisten sähköisten viestintäpalvelujen tulo markkinoille, jotka ovat kuluttajan näkökulmasta korvattavissa perinteisten palvelujen kanssa, mutta joiden ei tarvitse täyttää samoja sääntöjä. Toinen kehityssuunta liittyy uusiin tekniikoihin, jotka mahdollistavat loppukäyttäjien verkkokäyttäytymisen seurannan mutta jotka eivät kuulu direktiivin 2002/58/EY soveltamisalaan. Tämän vuoksi direktiivi 2002/58/ETY olisi kumottava ja korvattava tällä asetuksella.

(7)Jäsenvaltioilla olisi oltava mahdollisuus tässä asetuksessa asetetuissa rajoissa pitää voimassa tai ottaa käyttöön kansallisia säännöksiä, joissa täsmennetään ja selkeytetään tässä asetuksessa vahvistettujen sääntöjen soveltamista sääntöjen tehokkaan soveltamisen ja tulkinnan varmistamiseksi. Näin ollen harkintavallassa, joka jäsenvaltioilla on tältä osin, olisi säilytettävä tasapaino yhtäältä yksityiselämän ja henkilötietojen suojelun ja toisaalta sähköisen viestinnän tietojen vapaan liikkuvuuden välillä.

(8)Tätä asetusta olisi sovellettava sähköisten viestintäpalvelujen tarjoajiin, yleisesti saatavilla olevien luettelojen julkaisijoihin ja sähköisen viestinnän mahdollistavien ohjelmistojen tarjoajiin, mukaan lukien tietojen haku ja esittäminen internetissä. Tätä asetusta olisi sovellettava myös luonnollisiin henkilöihin ja oikeushenkilöihin, jotka käyttävät sähköisiä viestintäpalveluja suoramarkkinointiin tai kerätäkseen loppukäyttäjien päätelaitteisiin liittyvää tai niille tallennettua tietoa.

(9)Tätä asetusta olisi sovellettava unionin sähköisten viestintäpalvelujen tarjoamisen ja käytön yhteydessä käsiteltäviin sähköisen viestinnän tietoihin riippumatta siitä, tapahtuuko tämä käsittely unionissa vai ei. Lisäksi jotta unionin loppukäyttäjät eivät jäisi vaille tehokasta suojaa, tätä asetusta olisi sovellettava myös sellaisten sähköisten viestintäpalvelujen tarjoamisen yhteydessä käsiteltäviin sähköisen viestinnän tietoihin, joita tarjotaan unionin ulkopuolelta unionin loppukäyttäjille.

(10)Unionin sisämarkkinoille saatettavien radiolaitteiden ja niiden ohjelmistojen on oltava Euroopan parlamentin ja neuvoston direktiivin 2014/53/EU 23 mukaisia. Tämä asetus ei saisi vaikuttaa direktiivin 2014/53/EU vaatimusten sovellettavuuteen eikä komission valtaan antaa direktiivin 2014/53/EU nojalla delegoituja säädöksiä, joiden mukaan tiettyyn luokkaan kuuluviin radiolaitteisiin on sisällyttävä turvalaitteita, jotka takaavat loppukäyttäjien henkilötietojen ja yksityisyyden suojan.

(11)Viestintätarkoitukseen käytettävät palvelut ja niiden tekninen toimittaminen ovat kehittyneet huomattavasti. Loppukäyttäjät käyttävät yhä enemmän perinteisten puhelinpalvelujen, tekstiviestien ja sähköpostin siirtopalvelujen sijasta toiminnallisesti vastaavia verkkopalveluja, kuten VoIP-palveluja, pikaviestintäpalveluja ja verkkopohjaisia sähköpostipalveluja. Jotta voidaan varmistaa tehokas ja yhtäläinen suoja loppukäyttäjille näiden käyttäessä toiminnallisesti vastaavia palveluja, tässä asetuksessa käytetään [eurooppalaisesta sähköisen viestinnän säännöstöstä annetussa Euroopan parlamentin ja neuvoston direktiivissä 24 ] vahvistettua sähköisten viestintäpalvelujen määritelmää. Kyseinen määritelmä kattaa paitsi internetyhteyspalvelut ja kokonaan tai pääosin signaalien siirtämisestä koostuvat palvelut myös henkilöiden väliset viestintäpalvelut, olivatpa ne numeroihin perustuvia vai eivät, kuten VoIP-palvelut, pikaviestintäpalvelut ja verkkopohjaiset sähköpostipalvelut. Viestinnän luottamuksellisuus on olennaista suojata myös jollekin toiselle palvelulle liitännäisissä henkilöiden välisissä viestintäpalveluissa, minkä vuoksi tämäntyyppisten palvelujen, jotka käsittävät myös viestintätoiminnon, olisi kuuluttava tämän asetuksen soveltamisalaan.

(12)Verkkoon liitetyt laitteet ja koneet viestivät yhä enemmän keskenään käyttämällä sähköisen viestinnän verkkoja (esineiden internet). Laitteiden välisen viestinnän välittäminen edellyttää signaalien siirtämistä verkossa, minkä vuoksi se muodostaa yleensä sähköisen viestintäpalvelun. Jotta voidaan varmistaa täydellinen suoja oikeuksille viestinnän yksityisyyteen ja luottamuksellisuuteen sekä edistää luotettua ja turvallista esineiden internetiä digitaalisilla sisämarkkinoilla, on tarpeen selventää, että tätä asetusta olisi sovellettava laitteiden välisen viestinnän välittämiseen. Näin ollen tässä asetuksessa turvattua luottamuksellisuuden periaatetta olisi sovellettava myös laitteiden välisen viestinnän välittämiseen. Voitaisiin myös vahvistaa erityiset suojatoimet alakohtaisen lainsäädännön, kuten direktiivin 2014/53/EU, nojalla.

(13)Nopeiden ja tehokkaiden langattomien teknologioiden kehitys on mahdollistanut sen, että yleisön saatavilla on yhä paremmin internetyhteyksiä langattomien verkkojen kautta, jotka ovat kaikkien käytössä julkisissa ja osittain yksityisissä tiloissa, kuten kaupunkien, tavaratalojen, ostoskeskusten ja sairaalojen eri pisteissä sijaitsevilla langattomilla alueilla. Siltä osin kuin nämä viestintäverkot ovat tarjolla määrittelemättömälle ryhmälle loppukäyttäjiä olisi huolehdittava siitä, että tällaisten verkkojen kautta välitettävän viestinnän luottamuksellisuus suojataan. Se, että langattoman sähköisen viestinnän palvelut voivat olla liitännäisiä muille palveluille, ei saisi olla esteenä viestintätietojen luottamuksellisuuden suojan varmistamiselle ja tämän asetuksen soveltamiselle. Sen vuoksi tätä asetusta olisi sovellettava sähköisen viestinnän palveluja ja yleisiä viestintäverkkoja käyttävän sähköisen viestinnän tietoihin. Tätä asetusta ei sitä vastoin tulisi soveltaa suljettuihin loppukäyttäjien ryhmiin, kuten yritysverkkoihin, joihin on pääsy vain yrityksen jäsenillä.

(14)Sähköisen viestinnän tiedot olisi määriteltävä riittävän laajasti ja teknologiasta riippumattomalla tavalla, jotta määritelmä kattaisi kaikki mahdolliset lähettävää tai vaihdettavaa sisältöä (sähköisen viestinnän sisältöä) koskevat tiedot ja sähköisten viestintäpalvelujen loppukäyttäjää koskevat tiedot, jotka käsitellään sähköisen viestinnän sisällön siirtoa, jakelua tai vaihtoa varten, mukaan lukien tiedot viestinnän lähteen ja määränpään jäljittämiseksi ja tunnistamiseksi, sijaintitiedot sekä viestinnän päivämäärä, ajankohta, kesto ja tyyppi. Riippumatta siitä, siirretäänkö tällaiset signaalit ja niihin liittyvät tiedot johtojen välityksellä, radioteitse, optisesti tai sähkömagneettisella tavalla, mukaan lukien satelliittiverkot, kaapeliverkot, maanpäälliset kiinteät (piiri- ja pakettikytkentäiset, mukaan lukien internet) ja mobiiliverkot sekä sähkökaapelijärjestelmät, tällaisiin signaaleihin liittyvät tiedot olisi katsottava sähköisen viestinnän metadataksi ja niihin olisi näin ollen sovellettava tämän asetuksen säännöksiä. Sähköisen viestinnän metadata voi sisältää tietoja, jotka kuuluvat osana palvelun tilaukseen, kun kyseiset tiedot käsitellään sähköisen viestinnän sisältöä siirtoa, jakelua tai vaihtoa varten.

(15)Sähköisen viestinnän tietoja olisi käsiteltävä luottamuksellisina. Tämä tarkoittaa, että kaikenlainen joko suoraan ihmisen toimesta tai laitteiden suorittaman automaattisen käsittelyn välityksellä tapahtuva puuttuminen sähköisen viestinnän tietojen välittämiseen ilman viestinnän kaikkien osapuolten suostumusta olisi kiellettävä. Viestintätietojen kuuntelua koskevaa kieltoa olisi sovellettava viestintätietojen siirron ajan eli kunnes aiottu vastaanottaja vastaanottaa sähköisen viestinnän sisällön. Sähköisen viestinnän tietojen kuuntelu voi tapahtua esimerkiksi silloin, kun joku muu kuin viestinnän osapuoli kuuntelee puheluja tai lukee, läpikäy tai tallentaa sähköisen viestinnän sisältöä tai siihen liittyvää metadataa muihin tarkoituksiin kuin viestinnän välittämiseksi. Kuuntelusta on kyse myös silloin, kun kolmannet osapuolet seuraavat muun muassa vierailuja verkkosivuilla, vierailujen ajoitusta ja kanssakäymistä muiden osapuolten kanssa ilman asianomaisen loppukäyttäjän suostumusta. Teknologian kehittyessä myös tekniset keinot harjoittaa telekuuntelua ovat lisääntyneet. Tällaiset keinot voivat vaihdella päätelaitteilta tietoja aluekohtaisesti kokoavien laitteiden, kuten ns. IMSI-sieppareiden (International Mobile Subscriber Identity), asentamisesta aina ohjelmiin ja tekniikoihin, jotka esimerkiksi seuraavat salaa selaustottumuksia loppukäyttäjäprofiilien luomiseksi. Muita esimerkkejä kuuntelusta ovat hyötykuorma- tai sisältödatan keruu suojaamattomista langattomista verkoista ja reitittimistä, mukaan lukien selaustottumukset, ilman loppukäyttäjien suostumusta.

(16)Viestinnän tallentamisen kiellolla ei ole tarkoitus kieltää näiden tietojen automaattista, väliaikaista ja tilapäistä tallentamista tapauksissa, joissa ainoana tarkoituksena on viestinnän välittäminen sähköisissä viestintäverkoissa. Kielto ei saisi estää sähköisen viestinnän tietojen käsittelyä sähköisten viestintäpalvelujen turvallisuuden ja jatkuvuuden varmistamiseksi, mukaan lukien turvallisuusuhkien, kuten haittaohjelmien, ehkäiseminen, eikä metadatan käsittelyä tarvittavien palvelun laatua koskevien vaatimusten täyttämiseksi, esimerkkeinä viive ja viivevaihtelu.

(17)Sähköisen viestinnän tietojen käsittely voi hyödyttää yrityksiä, kuluttajia ja koko yhteiskuntaa. Direktiiviin 2002/58/EY nähden tämä asetus laajentaa sähköisten viestintäpalvelujen tarjoajien mahdollisuuksia käsitellä sähköisen viestinnän metadataa loppukäyttäjien suostumuksen perusteella. Loppukäyttäjät pitävät kuitenkin viestintänsä luottamuksellisuutta erittäin tärkeänä, myös verkkotoiminnoissa, ja haluavat valvoa sähköisen viestinnän tietojen käyttämistä muihin tarkoituksiin kuin viestinnän välittämiseen. Tästä syystä tässä asetuksessa olisi edellytettävä, että sähköisten viestintäpalvelujen tarjoajat hankkivat loppukäyttäjiltä suostumuksen käsitellä sähköisen viestinnän metadataa, johon olisi sisällyttävä palveluun pääsyä ja yhteyden ylläpitoa varten tuotetut laitteen sijaintitiedot. Muussa kuin sähköisten viestintäpalvelujen tarjoamisen yhteydessä tuotettuja sijaintietoja ei pitäisi katsoa metadataksi. Esimerkkinä siitä, miten sähköisten viestintäpalvelujen tarjoajat käyttävät sähköisen viestinnän metadataa kaupallisiin tarkoituksiin, voidaan mainita nk. lämpökartat (heatmap), ihmisten läsnäoloa värien avulla osoittavat graafiset dataesitykset. Tiettyihin suuntiin tiettynä ajanjaksona suuntautuvan liikenteen esittämiseksi tarvitaan tunniste linkiksi ihmisten sijaintiin tietyin aikavälein. Jos käytettäisiin anonyymeja tietoja, tätä tunnistetta ei olisi käytössä ja liikenteestä ei voitaisi tehdä tällaista esitystä. Tällaisesta sähköisen viestinnän metadatan käytöstä voivat hyötyä esimerkiksi viranomaiset ja julkisen liikenteen harjoittajat, koska sen avulla voidaan määritellä kohteita uuden infrastruktuurin kehittämiselle nykyisiin rakenteisiin kohdistuvan käytön ja paineen perusteella. Jos tietyntyyppinen sähköisen viestinnän metadatan käsittely, varsinkin mikäli siinä käytetään uusia teknologioita ja ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset, muodostaa todennäköisesti suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille, ennen käsittelyä olisi tehtävä tietosuojaa koskeva vaikutustenarviointi ja tapauksen mukaan kuultava valvontaviranomaista asetuksen (EU) 2016/679 35 ja 36 artiklan mukaisesti.

(18)Loppukäyttäjät voivat antaa suostumuksensa metadatansa käsittelyyn saadakseen erityisiä palveluja, kuten suojelupalveluja petollisen toiminnan varalta (käyttö- ja sijaintitietojen ja asiakastilin reaaliaikaisen analysoinnin avulla). Digitaalitaloudessa palveluja tarjotaan usein muuta vastiketta kuin rahaa vastaan, esimerkiksi vastikkeeksi siitä, että loppukäyttäjät joutuvat seuraamaan mainoksia. Tätä asetusta sovellettaessa loppukäyttäjän suostumuksella olisi oltava sama merkitys samoin ehdoin kuin asetuksen (EU) 2016/679 mukaisella rekisteröidyn suostumuksella riippumatta siitä, onko loppukäyttäjä luonnollinen vai oikeushenkilö. Peruslaajakaistayhteyttä ja puheviestinnän palveluja on pidettävä olennaisina palveluina, jotta luonnolliset henkilöt voivat kommunikoida ja päästä osallisiksi digitaalitalouden eduista. Suostumus internetin tai puheviestinnän käytöstä saatavien tietojen käsittelyyn ei ole pätevä, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta tai jos rekisteröity ei voi kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa.

(19)Sähköisen viestinnän sisältö kytkeytyy yksityis- ja perhe-elämän, kodin ja viestien kunnioittamista koskevan perusoikeuskirjan 7 artiklassa turvatun perusoikeuden olennaiseen tarkoitukseen. Mahdollinen puuttuminen sähköisen viestinnän sisältöön olisi sallittava vain hyvin selkeästi määritellyissä olosuhteissa, erityisiin tarkoituksiin ja riittävin suojatoimin väärinkäytöksiä vastaan. Tässä asetuksessa säädetään sähköisten viestintäpalvelujen tarjoajien mahdollisuudesta käsitellä siirrettäviä sähköisen viestinnän tietoja kaikkien asianomaisten loppukäyttäjien tietoisella suostumuksella. Palveluntarjoajat voivat esimerkiksi tarjota palveluja, joihin liittyy sähköpostien tarkistaminen tietyn ennalta määritellyn materiaalin poistamiseksi. Viestinnän sisällön arkaluontoisuus huomioon ottaen tässä asetuksessa lähdetään olettamasta, jonka mukaan tällaisen tietosisällön käsittely kohdistaa suuria riskejä luonnollisten henkilöiden oikeuksiin ja vapauksiin. Tämäntyyppisiä tietoja käsitellessään sähköisen viestintäpalvelun tarjoajan olisi aina kuultava valvontaviranomaista ennen käsittelyä. Kuuleminen olisi toteutettava asetuksen (EU) 2016/679 36 artiklan 2 ja 3 kohdan mukaisesti. Olettama ei kata sellaista tietosisällön käsittelyä, joka suoritetaan loppukäyttäjän pyytämän palvelun tarjoamiseksi, mikäli loppukäyttäjä on antanut suostumuksensa kyseiseen käsittelyyn ja käsittely suoritetaan palvelun kannalta ehdottoman välttämättömiin ja oikeasuhteisiin tarkoituksiin ja kestoon rajoittuen. Sen jälkeen, kun loppukäyttäjä on lähettänyt sähköisen viestinnän sisällön ja aiottu loppukäyttäjä tai aiotut loppukäyttäjät ovat vastaanottaneet sen, sen tallentamisesta ja säilyttämisestä voi huolehtia loppukäyttäjä(t) tai kolmas osapuoli, jonka vastuulle ne ovat antaneet kyseisten tietojen tallentamisen tai säilyttämisen. Tällaisten tietojen käsittelyssä on noudatettava asetusta (EU) 2016/679.

(20)Sähköisten viestintäverkkojen loppukäyttäjien päätelaitteet ja tällaisten päätelaitteiden käyttöä koskevat tiedot, jotka voivat muun muassa olla tallennettuina tällaiselle laitteelle, jotka voidaan lähettää siltä tai jotka voidaan pyytää tai käsitellä yhteyden muodostamiseksi toiseen laitteeseen tai verkkolaitteistoon, kuuluvat loppukäyttäjien yksityiselämän piiriin, jonka suojaamista Euroopan unionin perusoikeuskirja ja ihmisoikeuksien ja perusvapauksien suojaamiseksi tehty eurooppalainen yleissopimus edellyttävät. Koska nämä laitteet sisältävät tai käsittelevät tietoa, joka voi paljastaa tietoja yksilön tunne-elämästä ja poliittisesta ja sosiaalisesta elämästä, mukaan lukien viestinnän sisältö, kuvat, henkilöiden sijainti laitteen GPS-toimintojen avulla, yhteystietolistat ja muut laitteelle jo tallennetut tiedot, kyseisiä laitteita koskevat tiedot edellyttävät tehostettua yksityisyyden suojaa. Lisäksi vakoiluohjelmia, jäljitteitä, salattuja tunnisteita, seurantaevästeitä ja muita vastaavia ei-toivottuja seurantatiedostoja voi tulla loppukäyttäjän päätelaitteelle tämän tietämättä tietojen saamiseksi, salatun tiedon tallentamiseksi ja toimien jäljittämiseksi. Loppukäyttäjän laitetta koskevia tietoja voidaan kerätä myös etäältä tunnistamista ja jäljittämistä varten käyttämällä esimerkiksi laitesormenjäljen kaltaisia tekniikoita, usein loppukäyttäjän tietämättä, mikä voi vakavasti loukata näiden loppukäyttäjien yksityisyyttä. Tekniikat, joilla seurataan salaa loppukäyttäjiä esimerkiksi jäljittämällä heidän toimintaansa verkossa tai heidän päätelaitteidensa sijaintia tai joilla heikennetään loppukäyttäjien päätelaitteiden toimintaa, muodostavat vakavan uhan loppukäyttäjien yksityisyydelle. Näin ollen tällainen puuttuminen loppukäyttäjän päätelaitteeseen olisi sallittava ainoastaan loppukäyttäjän suostumuksella ja nimenomaisia ja avoimia tarkoituksia varten.

(21)Poikkeukset velvollisuudesta hankkia suostumus käyttää päätelaitteiden käsittely- ja tallennustoimintoja tai päätelaitteelle tallennettuja tietoja olisi rajoitettava tilanteisiin, joissa yksityisyyden loukkausta ei tapahdu tai se jää hyvin vähäiseksi. Suostumusta ei pitäisi pyytää esimerkiksi sellaiseen tekniseen tallentamiseen tai käyttöön, joka on ehdottoman välttämätöntä ja oikeassa suhteessa perusteltuun tarkoitukseen mahdollistaa sellaisen yksittäisen palvelun käyttö, jota loppukäyttäjä on nimenomaisesti pyytänyt. Tähän voi sisältyä evästeiden tallentaminen yhden yksittäisen istunnon ajaksi verkkosivustolla, jotta voidaan seurata loppukäyttäjän syötteitä tämän täyttäessä sähköisiä lomakkeita useilla sivuilla. Evästeet voi myös olla oikeutettu ja hyödyllinen väline esimerkiksi mitattaessa verkkosivustolle suuntautuvaa verkkoliikennettä. Sitä, että tietoyhteiskunnanpalvelun tarjoajat tarkistavat konfiguraation tarjotakseen palvelun loppukäyttäjien asetusten mukaisesti, ja pelkkää kirjausta siitä, ettei loppukäyttäjän laite voi vastaanottaa loppukäyttäjän pyytämää sisältöä, ei pitäisi katsoa tällaiselle laitteelle pääsyksi tai laitteen käsittelytoimintojen käytöksi.

(22)Tiedon antamiseen ja loppukäyttäjän suostumuksen hankkimiseen käytettävien menetelmien olisi oltava mahdollisimman käyttäjäystävällisiä. Koska seurantaevästeitä ja muita seurantatekniikoita käytetään yleisesti, loppukäyttäjiltä pyydetään yhä useammin suostumusta seurantaevästeiden tallentamiseen päätelaitteelleen. Tämän seurauksena loppukäyttäjiä ylikuormitetaan suostumuspyynnöillä. Ongelmaan voidaan puuttua käyttämällä teknisiä keinoja, jotka mahdollistavat suostumuksen antamisen esimerkiksi avoimien ja käyttäjäystävällisten asetusten avulla. Sen vuoksi tässä asetuksessa olisi säädettävä mahdollisuudesta ilmaista suostumus käyttämällä asianmukaisia selaimen tai muun sovelluksen asetuksia. Valintojen, jotka loppukäyttäjät tekevät selaimensa tai muun sovelluksensa yleisissä yksityisyysasetuksissa, olisi oltava sitovia ja täytäntöönpanokelpoisia kolmansiin osapuoliin nähden. Verkkoselainten tyyppiset ohjelmistosovellukset mahdollistavat tiedon hakemisen ja esittämisen internetissä. Samat toiminnot on myös muuntyyppisillä sovelluksilla, esimerkiksi puheluihin ja viesteihin tai reitinohjaukseen käytettävillä sovelluksilla. Loppukäyttäjän ja verkkosivujen välinen vuorovaikutus tapahtuu suurelta osin verkkoselainten kautta. Tältä kannalta ne ovat erityisasemassa toimiakseen aktiivisessa roolissa loppukäyttäjän auttamiseksi valvomaan tiedon kulkua päätelaitteeseen ja päätelaitteesta. Verkkoselaimia voidaan käyttää portinvartijoina, joiden avulla loppukäyttäjät voivat estää pääsyn päätelaitteellaan (esimerkiksi älypuhelimella, tabletilla tai tietokoneella) oleviin tietoihin ja tietojen asettamisen päätelaitteelle.

(23)Sisäänrakennetun ja oletusarvoisen tietosuojan periaatteet kodifioitiin asetuksen (EU) 2016/679 25 artiklalla. Tällä hetkellä oletusarvoisina evästeasetuksina on useimmissa nykyisissä selaimissa ”Hyväksy evästeet”. Tietojen hakemisen ja esittämisen internetissä mahdollistavien ohjelmistojen tarjoajat olisi sen vuoksi velvoitettava konfiguroimaan ohjelmisto siten, että se tarjoaa vaihtoehdon estää kolmansia osapuolia asettamasta tietoa päätelaitteelle. Tämä esitetään usein vaihtoehtona ”Estä kolmannen osapuolen evästeet”. Loppukäyttäjille olisi tarjottava asetuksissa useita vaihtoehtoja, joissa yksityisyyden taso vaihtelee korkeammasta (esim. ”Älä hyväksy evästeitä”) matalampaan (esim. ”Hyväksy evästeet aina”) ja keskitasoiseen (esim. ”Estä kolmannen osapuolen evästeet” tai ”Hyväksy vain ensimmäisen osapuolen evästeet”). Tällaisia yksityisyysasetukset olisi esitettävä helposti erottuvalla ja ymmärrettävällä tavalla.

(24)Jotta verkkoselaimet voisivat saada asetuksessa (EU) 2016/679 määritellyn loppukäyttäjien suostumuksen esimerkiksi kolmannen osapuolen seurantaevästeiden tallentamiseen, niiden olisi muun muassa vaadittava päätelaitteen loppukäyttäjältä selkeä suostumuksen ilmaiseva toimi, jolla hän antaa vapaaehtoisen, nimenomaisen, tietoisen ja yksiselitteisen suostumuksen tällaisten evästeiden tallentamiseen päätelaitteelle ja lukemiseen päätelaitteelta. Tällaiset toimet voidaan katsoa suostumuksen ilmaiseviksi esimerkiksi silloin, kun loppukäyttäjien edellytetään valitsevan omasta tahdostaan ”Hyväksy kolmannen osapuolen evästeet” ja vahvistavan suostumuksensa ja kun loppukäyttäjät saavat tarpeelliset tiedot valinnan tekemiseksi. Tätä varten on tarpeen edellyttää internet-yhteyden mahdollistavien ohjelmistojen tarjoajilta, että asentamisen yhteydessä loppukäyttäjille annetaan tiedot mahdollisuudesta valita yksityisyysasetukset eri vaihtoehdoista ja pyydetään heitä tekemään valinta. Annetut tiedot eivät saisi varoittaa loppukäyttäjiä valitsemasta korkeamman tason yksityisyysasetuksia, ja niihin olisi sisällyttävä asiaankuuluvat tiedot tietokoneelle tallennettavien kolmannen osapuolen evästeiden sallimiseen liittyvistä riskeistä, mukaan lukien henkilöiden selaushistorioiden kokoaminen pitkältä ajalta ja tällaisten tietojen käyttö kohdennetun mainonnan lähettämiseen. Verkkoselaimia kannustetaan tarjoamaan loppukäyttäjille helppoja tapoja muuttaa yksityisyysasetuksia milloin tahansa käytön aikana ja antamaan käyttäjälle mahdollisuus yksittäisten verkkosivustojen kohdalla tehtäviin poikkeuksiin tai verkkosivustojen valkolistaukseen tai mahdollisuus täsmentää, miltä verkkosivuilta (kolmannen) osapuolen evästeet sallitaan tai estetään kaikissa tapauksissa.

(25)Pääsy sähköisiin viestintäverkkoihin edellyttää tiettyjen datapakettien säännöllistä lähettämistä, jotta voidaan muodostaa tai säilyttää yhteys verkkoon tai muihin laitteisiin verkossa. Lisäksi laitteilla on oltava yksilöllinen osoite, jotta ne voidaan yksilöidä verkossa. Langattomien ja matkapuhelinten standardit edellyttävät niin ikään aktiivisten signaalien lähettämistä yksilöllisin tunnistein, joihin kuuluvat muun muassa MAC-osoite, IMEI (International Mobile Station Equipment Identity) ja IMSI. Yksittäinen langaton tukiasema (lähetin ja vastaanotin), kuten langaton liityntäpiste, voi vastaanottaa tällaista tietoa tietyllä säteellä. Saataville on tullut seurantapalveluja, jotka laitteisiin liittyvien tietojen lukemisen perusteella tarjoavat erilaisia toimintoja, kuten henkilölaskentaa, tietoa jonossa odottavien henkilöiden lukumäärästä, henkilöiden lukumäärän määritystä tietyllä alueella jne. Tätä tietoa voidaan käyttää myös tarkoituksiin, jotka loukkaavat yksityisyyttä enemmän, kuten loppukäyttäjille suunnattuun kaupalliseen viestintään yksilöllistettyjen tarjousten lähettämiseksi esimerkiksi silloin, kun he saapuvat myymälöihin. Kaikkiin näistä toiminnoista ei liity suuria riskejä yksityisyyden kannalta, mutta osaan liittyy, esimerkiksi silloin kun henkilöitä seurataan pitkällä aikavälillä, myös toistuvia käyntejä yksittäisiin paikkoihin. Tällaisia käytäntöjä harjoittavien palveluntarjoajien olisi asetettava seurannan kattaman alueen reunalle selvästi näkyviin tiedot, jotka kertovat loppukäyttäjille ennen näiden tuloa määritellylle alueelle, että teknologia on käytössä tietyllä säteellä, sekä ilmoittavat seurannan tarkoituksen, seurannasta vastaavan henkilön ja mahdolliset toimenpiteet, joilla päätelaitteen loppukäyttäjä voi minimoida tiedonkeruun tai estää sen. Lisätietoja olisi annettava silloin, kun kerätään henkilötietoja asetuksen (EU) 2016/679 13 artiklan mukaisesti.

(26)Kun sähköisten viestintäpalvelujen tarjoajien suorittama sähköisen viestinnän tietojen käsittely kuuluu tämän asetuksen soveltamisalaan, tässä asetuksessa olisi säädettävä unionin tai jäsenvaltioiden mahdollisuudesta tietyin edellytyksin rajoittaa lailla tiettyjä velvollisuuksia ja oikeuksia silloin kun tällainen rajoittaminen on välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa erityisten yleisten etujen, kuten kansallisen turvallisuuden, puolustuksen tai yleisen turvallisuuden takaamiseksi sekä rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvien syytetoimien tai rikosoikeudellisten seuraamusten täytäntöönpanon takaamiseksi, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhilta suojelu ja tällaisten uhkien ehkäisy sekä muut tärkeät unionin tai jäsenvaltion yleisen edun mukaiset tavoitteet, erityisesti unionille tai jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu tai valvonta-, tarkastus- tai sääntelytehtävä, joka liittyy julkisen vallan käyttämiseen tällaisten etujen osalta. Näin ollen tämä asetus ei saisi vaikuttaa jäsenvaltioiden mahdollisuuteen harjoittaa sähköisen viestinnän laillista kuuntelua tai toteuttaa muita toimenpiteitä, jos se on tarpeen ja oikeassa suhteessa edellä mainittujen yleisten etujen takaamiseksi, Euroopan unionin perusoikeuskirjan ja ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn eurooppalaisen yleissopimuksen mukaisesti, sellaisina kuin niitä on tulkittu Euroopan unionin tuomioistuimen ja Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä. Sähköisten viestintäpalvelujen tarjoajien olisi huolehdittava asianmukaisista menettelyistä toimivaltaisten viranomaisten oikeutettujen pyyntöjen helpottamiseksi, tarvittaessa myös ottaen huomioon 3 artiklan 3 kohdan mukaisesti nimetyn edustajan rooli.

(27)Kutsuvan tilaajan tunnistukseen liittyen on tarpeen suojata soittajan oikeus estää kutsuvan tilaajan tunnistus sekä puhelun vastaanottajan oikeus kieltäytyä vastaanottamasta tunnistamattomia puheluja. Joidenkin loppukäyttäjien – erityisesti puhelinpalvelukeskusten ja vastaavien organisaatioiden – edun mukaista on taata soittajien nimettömyys. Yhdistetyn tilaajan tunnistukseen liittyen on tarpeen turvata puhelun vastaanottajan oikeus ja oikeutettu etu estää sen tilaajan tunnistus, johon soittaja on tosiasiallisesti yhdistetty.

(28)Kutsuvan tilaajan tunnistuksen esto on voitava määrätyissä tapauksissa ohittaa. Loppukäyttäjien oikeutta yksityisyyteen olisi rajoitettava kutsuvan tilaajan tunnistuksen osalta, jos tämä on tarpeen häirintäsoittojen jäljittämiseksi, sekä kutsuvan tilaajan tunnistuksen ja paikkatietojen osalta, jos tämä on tarpeen siksi, että hätäpalvelut, kuten eCall-palvelu, voisivat hoitaa tehtävänsä mahdollisimman tehokkaasti.

(29)Käytössä on teknologiaa, jonka avulla sähköisten viestintäpalvelujen tarjoajat voivat rajoittaa loppukäyttäjien vastaanottamia ei-toivottuja puheluja eri tavoin, muun muassa estämällä ns. mykät puhelut (silent calls) ja muut petos- ja häirintäsoitot. Yleisesti saatavilla olevien, henkilöiden välisten numeroihin perustuvien viestintäpalvelujen tarjoajien olisi käytettävä tätä teknologiaa ja suojattava loppukäyttäjiä häirintäsoitoilta maksutta. Palveluntarjoajien olisi varmistettava, että loppukäyttäjät ovat tietoisia näistä toiminnoista, esimerkiksi julkistamalla se verkkosivustollaan.

(30)Yleisesti saatavilla olevat sähköisten viestintäpalvelujen loppukäyttäjien tilaajaluettelot ovat levinneet laajalle. Yleisesti saatavilla olevilla luetteloilla tarkoitetaan mitä tahansa luetteloa tai palvelua, joka sisältää tietoja loppukäyttäjistä, kuten puhelinnumerot (myös matkapuhelinnumerot) ja sähköpostiyhteystiedot, ja joka käsittää numerotiedustelupalvelut. Luonnollisen henkilön oikeus yksityisyyteen ja henkilötietojen suojaan edellyttää, että loppukäyttäjiltä, jotka ovat luonnollisia henkilöitä, pyydetään suostumus ennen heidän henkilötietojensa sisällyttämistä luetteloon. Oikeushenkilöiden oikeutettu etu edellyttää, että loppukäyttäjillä, jotka ovat oikeushenkilöitä, on mahdollisuus kieltäytyä niitä koskevien tietojen sisällyttämisestä luetteloon.

(31)Jos loppukäyttäjät, jotka ovat luonnollisia henkilöitä, antavat suostumuksensa tietojensa sisällyttämiselle tällaisiin luetteloihin, niiden olisi voitava määrittää suostumuspohjaisesti, mitkä henkilötietojen luokat luetteloon sisällytetään (esim. nimi, sähköpostiosoite, kotiosoite, käyttäjätunnus ja puhelinnumero). Lisäksi yleisesti saatavilla olevien luettelojen julkaisijoiden olisi ilmoitettava loppukäyttäjille luettelon käyttötarkoituksista ja hakutoiminnoista ennen näiden sisällyttämistä luetteloon. Loppukäyttäjien olisi voitava määrittää suostumuksellaan henkilötietoluokat, joiden perusteella heidän yhteystietojaan voidaan hakea. Luetteloon sisällytettyjen henkilötietojen luokkien ja niiden henkilötietojen luokkien, joiden perusteella loppukäyttäjän yhteystietoja voidaan hakea, ei tulisi välttämättä olla samoja.

(32)Tässä asetuksessa suoramarkkinoinnilla tarkoitetaan mitä tahansa mainonnan muotoa, jolla luonnollinen henkilö tai oikeushenkilö lähettää suoramarkkinointiviestejä suoraan yhdelle tai useammalle yksilöidylle tai yksilöitävissä olevalle loppukäyttäjälle sähköisiä viestintäpalveluja käyttämällä. Kaupallisissa tarkoituksissa tarjottavien tuotteiden ja palvelujen lisäksi tämän olisi katettava myös viestit, joita poliittiset puolueet lähettävät luonnollisille henkilöille sähköisen viestintäpalvelujen välityksellä puolueidensa mainostamiseksi. Saman olisi pädettävä myös viesteihin, joita muut voittoa tavoittelemattomat organisaatiot lähettävät organisaationsa tarkoitusten tukemiseksi.

(33)Olisi säädettävä suojatoimista loppukäyttäjien suojelemiseksi suoramarkkinointiin käytettävältä ei-toivotulta viestinnältä, joka loukkaa loppukäyttäjien yksityiselämää. Yksityisyyden loukkaaminen ja häirintä katsotaan suhteellisesti samanasteiseksi riippumatta eri teknologioista ja kanavista, joita kyseiseen sähköiseen viestintään käytetään, kuten automatisoidut soitto- ja viestintäjärjestelmät, pikaviestisovellukset, sähköpostit, tekstiviestit, multimediaviestit ja Bluetooth. Sen vuoksi on perusteltua vaatia, että loppukäyttäjältä hankitaan suostumus ennen suoramarkkinointitarkoituksiin käytettävän kaupallisen sähköisen viestinnän lähettämistä loppukäyttäjille, jotta voidaan tehokkaasti suojella luonnollisia henkilöitä yksityiselämän loukkaamiselta ja oikeushenkilöiden oikeutettuja etuja. Koska on tarpeen taata oikeusvarmuus ja varmistaa, että ei-toivotulta kaupalliselta viestinnältä suojaavissa säännöissä otetaan huomioon tulevaisuuden vaatimukset, on perusteltua määritellä yhdet yhteiset säännöt, jotka eivät vaihtele ei-toivottuun viestintään käytettävän teknologian mukaan taatessaan yhtäläisen suojan kaikille kansalaisille kaikkialla unionissa. On kuitenkin perusteltua sallia sähköpostiyhteystietojen käyttö jo olemassa olevassa asiakassuhteessa samankaltaisten tuotteiden tai palvelujen tarjoamiseksi. Tämä mahdollisuus olisi oltava vain sillä samalla yrityksellä, joka on saanut sähköiset yhteystiedot asetuksen (EU) 2016/679 mukaisesti.

(34)Kun loppukäyttäjät ovat antaneet suostumuksensa ottaa vastaan suoramarkkinointiin käytettävää ei-toivottua viestintää, loppukäyttäjien olisi myös voitava perua suostumuksensa milloin tahansa helpolla tavalla. Suoramarkkinointitarkoituksessa tapahtuvaa ei-toivottua viestintää koskevien unionin sääntöjen tosiasiallisen täytäntöönpanon helpottamiseksi on tarpeen kieltää väärien henkilöllisyyksien tai väärien vastausosoitteiden tai -numeroiden käyttö lähetettäessä ei-toivottua viestintää suoramarkkinointitarkoituksessa. Ei-toivotun markkinointiviestinnän olisi näin ollen oltava selvästi tunnistettavissa tällaiseksi viestinnäksi, ja siinä olisi mainittava viestinnän lähettävän oikeushenkilön tai luonnollisen henkilön identiteetti tai se, kenen puolesta viestintä lähetetään, sekä annettava tarvittavat tiedot vastaanottajille, jotta nämä voivat käyttää oikeuttaan kieltäytyä vastaanottamasta uusia kirjallisia ja/tai suullisia markkinointiviestejä.

(35)Jotta suostumus olisi helppo peruuttaa, suoramarkkinointia sähköpostitse harjoittavien oikeushenkilöiden tai luonnollisten henkilöiden olisi annettava käyttöön linkki tai voimassa oleva sähköpostiosoite, jota loppukäyttäjät voivat helposti käyttää peruuttaakseen suostumuksensa. Oikeushenkilöiden tai luonnollisten henkilöiden, jotka harjoittavat suoramarkkinointia puhelimitse puhelinmyyjien ja automatisoitujen soitto- ja viestintäjärjestelmien kautta, olisi esitettävä linjansa tunnistus, johon yritykselle voidaan soittaa, tai erityinen tunnus, joka yksilöi puhelun markkinointipuheluksi.

(36)Puhelinmyyjän suoramarkkinointipuhelut, joissa ei käytetä automatisoituja soitto- ja viestintäjärjestelmiä, ovat hinnakkaampia lähettäjälle aiheuttamatta kuitenkaan taloudellisia kustannuksia loppukäyttäjille. Jäsenvaltioiden olisi näin ollen voitava perustaa ja/tai pitää voimassa kansallisia järjestelmiä, joissa sallitaan tällaiset puhelut loppukäyttäjille edellyttäen, etteivät nämä eivät ole vastustaneet niitä.

(37)Sähköisiä viestintäpalveluja tarjoavien palveluntarjoajien olisi ilmoitettava loppukäyttäjille toimenpiteistä, joita nämä voivat toteuttaa viestintänsä turvallisuuden suojelemiseksi esimerkiksi käyttämällä erityisiä ohjelmisto- tai salaustekniikoita. Velvollisuus tiedottaa loppukäyttäjille erityisistä turvallisuusriskeistä ei poista palveluntarjoajalta velvoitetta ryhtyä omalla kustannuksellaan välittömiin ja asianmukaisiin toimiin uusien ennakoimattomien turvallisuusriskien poistamiseksi ja palvelun normaalin turvallisuustason palauttamiseksi. Turvallisuusriskejä koskeva tieto olisi annettava tilaajalle veloituksetta. Turvallisuutta arvioidaan asetuksen (EU) 2016/679 32 artiklan mukaisesti.

(38)Täyden yhdenmukaisuuden varmistamiseksi asetuksen (EU) 2016/679 kanssa tämän asetuksen säännösten täytäntöönpanon valvonta olisi annettava tehtäväksi samoille viranomaisille, jotka vastaavat asetuksen (EU) 2016/679 säännösten täytäntöönpanon valvonnasta, ja siinä olisi nojauduttava asetuksen (EU) 2016/679 mukaiseen yhdenmukaisuusmekanismiin. Jäsenvaltioilla olisi voitava olla useampia kuin yksi valvontaviranomainen oman perustuslakinsa, organisaationsa ja hallintorakenteensa mukaisesti. Valvontaviranomaisten olisi myös vastattava tämän asetuksen soveltamisen seurannasta, joka koskee oikeushenkilöihin liittyviä sähköisen viestinnän tietoja. Tällaiset lisätehtävät eivät saisi vaarantaa valvontaviranomaisen kykyä hoitaa henkilötietojen suojeluun liittyvät tehtävänsä asetuksen (EU) 2016/679 ja tämän asetuksen mukaisesti. Jokaiselle valvontaviranomaiselle olisi osoitettava tarvittavat lisäresurssit rahoituksen, henkilöstön, tilojen ja infrastruktuurin osalta, jotta ne voivat hoitaa tehokkaasti tämän asetuksen mukaiset tehtävät.

(39)Jokaisen valvontaviranomaisen olisi oltava oman jäsenvaltionsa alueella toimivaltainen käyttämään valtuuksia ja suorittamaan tehtäviä, jotka sille on annettu tämän asetuksen nojalla. Jotta voidaan varmistaa tämän asetuksen johdonmukainen seuranta ja täytäntöönpano kaikkialla unionissa, valvontaviranomaisilla olisi oltava kaikissa jäsenvaltioissa samat tehtävät ja valtuudet saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja panna vireille oikeustoimet, sanotun kuitenkaan rajoittamatta syyttäjäviranomaisten jäsenvaltion lainsäädännön mukaisia valtuuksia. Jäsenvaltioita ja niiden valvontaviranomaisia kehotetaan ottamaan tämän asetuksen soveltamisessa huomioon mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeet.

(40)Tämän asetuksen sääntöjen täytäntöönpanon vahvistamiseksi kullakin valvontaviranomaisella olisi oltava valtuudet määrätä seuraamuksia, kuten hallinnollisia sakkoja, tämän asetuksen rikkomisesta muiden tämän asetuksen mukaisten toimenpiteiden lisäksi tai niiden sijasta. Tässä asetuksessa olisi mainittava nämä rikkomiset ja niistä määrättävien sakkojen enimmäismäärä ja määrän asettamisen perusteet, jotka toimivaltaisen valvontaviranomaisen olisi vahvistettava kussakin tapauksessa erikseen ottaen huomioon kaikki erityisen tilanteen kannalta merkittävät olosuhteet ja ottaen asianmukaisesti huomioon erityisesti rikkomisen luonne, vakavuus ja kesto ja rikkomisen seuraukset sekä toimenpiteet, jotka on toteutettu tämän asetuksen mukaisten velvoitteiden noudattamiseksi ja rikkomisen seurausten estämiseksi tai lieventämiseksi. Määrättäessä sakkoja tämän asetuksen nojalla yritys olisi ymmärrettävä SEUT-sopimuksen 101 ja 102 artiklan mukaiseksi yritykseksi.

(41)Jotta voidaan saavuttaa tämän asetuksen tavoitteet eli suojata luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan sekä varmistaa henkilötietojen vapaa liikkuvuus unionissa, komissiolle olisi siirrettävä valta hyväksyä SEUT-sopimuksen 290 artiklan mukaisesti säädösvallan siirron nojalla annettavia delegoituja säädöksiä, joilla täydennetään tätä asetusta. Erityisesti olisi hyväksyttävä delegoituja säädöksiä, jotka koskevat esille pantavaa tietoa, mukaan lukien vakiomuotoiset kuvakkeet helposti erottuvan ja ymmärrettävän yleiskuvan saamiseksi päätelaitteen lähettämien tietojen keruusta, sen tarkoituksesta, siitä vastaavasta henkilöstä ja mahdollista toimenpiteistä, joilla päätelaitteen loppukäyttäjä voi minimoida keruun. Delegoidut säädökset ovat myös tarpeen, jotta voidaan täsmentää tunnus suoramarkkinointipuhelujen tunnistamiseksi, myös silloin kun ne tulevat automatisoitujen soitto- ja viestintäjärjestelmien kautta. On erityisen tärkeää, että komissio toteuttaa asianmukaiset kuulemiset paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa 25 vahvistettujen periaatteiden mukaisesti. Jotta voitaisiin erityisesti varmistaa Euroopan parlamentin ja neuvoston tasavertainen osallistuminen delegoitujen säädösten valmisteluun, niille olisi toimitettava kaikki asiakirjat samaan aikaan kuin jäsenvaltioiden asiantuntijoille, ja Euroopan parlamentin ja neuvoston asiantuntijoilla olisi oltava järjestelmällisesti oikeus osallistua komission asiantuntijaryhmien kokouksiin, joissa valmistellaan delegoituja säädöksiä. Jotta voidaan varmistaa tämän asetuksen yhdenmukainen täytäntöönpano, komissiolle olisi siirrettävä täytäntöönpanovalta tässä asetuksessa säädetyn mukaisesti. Tätä valtaa olisi käytettävä asetuksen (EU) N:o 182/2011 mukaisesti.

(42)Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän asetuksen tavoitetta eli varmistaa luonnollisten henkilöiden ja oikeushenkilöiden yhdenmukaista suojelua ja sähköisen viestinnän tietojen vapaata liikkuvuutta unionissa, vaan ne voidaan toiminnan laajuuden ja vaikutusten vuoksi saavuttaa paremmin unionin tasolla. Sen vuoksi unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tämän tavoitteen saavuttamiseksi tarpeen.

(43)Direktiivi 2002/58/EY olisi kumottava,

OVAT HYVÄKSYNEET TÄMÄN ASETUKSEN:

I LUKU
YLEISET SÄÄNNÖKSET

1 artikla
Kohde

1.Tässä asetuksessa vahvistetaan säännöt, jotka koskevat luonnollisten henkilöiden ja oikeushenkilöiden perusoikeuksien ja -vapauksien suojelua sähköisten viestintäpalvelujen tarjoamisessa ja käytössä, mukaan lukien erityisesti oikeudet yksityiselämän ja viestien kunnioittamiseen ja luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä.

2.Tällä asetuksella varmistetaan sähköisen viestinnän tietojen ja sähköisten viestintäpalvelujen vapaa liikkuvuus unionissa ja säädetään, ettei sitä saa rajoittaa eikä kieltää syistä, jotka liittyvät luonnollisten henkilöiden ja oikeushenkilöiden yksityiselämän ja viestien kunnioittamiseen ja luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä.

3.Tämän asetuksen säännöksillä täsmennetään ja täydennetään asetusta (EU) 2016/679 säätämällä erityisistä säännöistä 1 ja 2 kohdan soveltamiseksi.

2 artikla
Aineellinen soveltamisala

1.Tätä asetusta sovelletaan sähköisten viestintäpalvelujen tarjoamisen ja käytön yhteydessä suoritettavaan sähköisen viestinnän tietojen käsittelyyn ja loppukäyttäjien päätelaitteita koskeviin tietoihin.

2.Tätä asetusta ei sovelleta

(a)unionin oikeuden soveltamisalan ulkopuolelle jäävään toimintaan;

(b)Euroopan unionista tehdyn sopimuksen V osaston 2 luvun soveltamisalaan kuuluviin jäsenvaltioiden toimiin;

(c)sähköisiin viestintäpalveluihin, jotka eivät ole yleisesti saatavilla;

(d)toimivaltaisten viranomaisten toimiin, joiden tarkoituksena on rikosten ennalta estäminen, tutkinta, paljastaminen tai rikoksiin liittyvät syytetoimet tai rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy.

3.Unionin toimielinten, elinten, virastojen ja laitosten suorittamaan sähköisen viestinnän tietojen käsittelyyn sovelletaan asetusta (EU) 00/0000 [uusi asetuksen 45/2001 korvaava asetus].

4.Tämä asetus ei vaikuta direktiivin 2000/31/EY 26 soveltamiseen eikä etenkään tuon direktiivin 12–15 artiklassa säädettyihin välittäjinä toimivien palveluntarjoajien vastuuta koskeviin sääntöihin.

5.Tämä asetus ei rajoita direktiivin 2014/53/EY säännösten soveltamista.

3 artikla
Alueellinen soveltamisala ja edustaja

1.Tätä asetusta sovelletaan

(a)sähköisten viestintäpalvelujen tarjoamiseen loppukäyttäjille unionissa, riippumatta siitä, vaaditaanko loppukäyttäjältä maksu;

(b)kyseisten palveluiden käyttöön;

(c)unionissa olevien loppukäyttäjien päätelaitteita koskevien tietojen suojaamiseen.

2.Jos sähköisen viestintäpalvelun tarjoaja ei ole sijoittautunut unioniin, sen on nimettävä kirjallisesti edustaja unionin aluetta varten.

3.Edustajan on oltava sijoittautunut johonkin jäsenvaltioista, joissa tällaisten sähköisten viestintäpalvelujen loppukäyttäjät ovat.

4.Tällä edustajalla on oltava valtuudet vastata kysymyksiin ja antaa tietoja sen palveluntarjoajan ohella tai sijasta, jota se edustaa, erityisesti valvontaviranomaisille ja loppukäyttäjille kaikissa sähköisen viestinnän tietojen käsittelyyn liittyvissä asioissa tämän asetuksen noudattamisen varmistamiseksi.

5.Edustajan nimeäminen 2 kohdan nojalla ei rajoita oikeustoimia, joita voidaan panna vireille sellaista luonnollista henkilöä tai oikeushenkilöä vastaan, joka käsittelee sähköisen viestinnän tietoja sellaisten sähköisten viestintäpalvelujen tarjoamisen yhteydessä, joita tarjotaan unionin ulkopuolelta loppukäyttäjille unionissa.

4 artikla
Määritelmät

1.Tässä asetuksessa sovelletaan seuraavia määritelmiä:

(a)asetuksen (EU) 2016/679 määritelmät;

(b)’sähköisen viestintäverkon’, ’sähköisen viestintäpalvelun’, ’henkilöiden välisen viestintäpalvelun’, ’henkilöiden välisen numeroihin perustuvan viestintäpalvelun’, ’henkilöiden välisen numeroista riippumattoman viestintäpalvelun’, ’loppukäyttäjän’ ja ’puhelun’ määritelmät, joista säädetään [eurooppalaisesta sähköisen viestinnän säännöstöstä annetun direktiivin] 2 artiklan 1, 4, 5, 6, 7, 14 ja 21 alakohdassa;

(c)’päätelaitteen’ määritelmä, josta säädetään komission direktiivin 2008/63/EY 27 1 artiklan 1 kohdassa.

2.Edellä olevan 1 kohdan b alakohdan soveltamiseksi ’henkilöiden välisen viestintäpalvelun’ määritelmä kattaa myös palvelut, jotka mahdollistavat henkilöiden välisen interaktiivisen viestinnän pelkästään toiseen palveluun olennaisesti liittyvänä vähäisenä liitännäistoimintona.

3.Lisäksi tässä asetuksessa tarkoitetaan

(a)’sähköisen viestinnän tiedoilla’ sähköisen viestinnän sisältöä ja sähköisen viestinnän metadataa;

(b)’sähköisen viestinnän sisällöllä’ sähköisten viestintäpalvelujen välityksellä vaihdettua sisältöä, kuten tekstiä, puhetta, videota, kuvia ja ääntä;

(c)’sähköisen viestinnän metadatalla’ tietoja, jotka käsitellään sähköisessä viestintäverkossa sähköisen viestinnän sisällön siirtoa, jakelua tai vaihtoa varten, mukaan lukien viestinnän lähteen ja määränpään jäljittämiseksi ja tunnistamiseksi käytettävät tiedot, sähköisten viestintäpalvelujen tarjoamisen yhteydessä tuotetut laitteen sijaintitiedot sekä viestinnän päivämäärä, ajankohta, kesto ja tyyppi;

(d)’yleisesti saatavilla olevalla luettelolla’ sähköisten viestintäpalvelujen loppukäyttäjien luetteloa, joka julkaistaan tai annetaan yleisön tai sen osan saataville paperilla tai sähköisesti, myös numerotiedotuspalvelun välityksellä;

(e)’sähköpostilla’ mitä tahansa sähköisessä viestintäverkossa lähetettävää sähköistä viestiä, joka sisältää tietoja, kuten tekstiä, puhetta, videota, ääntä tai kuvia, ja joka voidaan tallentaa verkkoon tai siihen liittyviin tietojenkäsittelylaitteisiin tai viestin vastaanottajan päätelaitteelle;

(f)’suoramarkkinoinnilla’ mitä tahansa joko kirjallista tai suullista mainontaa, joka lähetetään yhdelle tai useammalle yksilöidylle tai yksilöitävissä olevalle sähköisten viestintäpalvelujen loppukäyttäjälle, mukaan lukien muun muassa automatisoitujen soitto- ja viestintäjärjestelmien käyttö asiakaspalvelijan tai automaatin välityksellä, sähköposti ja tekstiviestit; 

(g)’puhelinmyyjän suoramarkkinointipuheluilla’ manuaalipuheluja, joissa ei käytetä automaattisia soitto- ja viestintäjärjestelmiä;

(h)’automatisoiduilla soitto- ja viestintäjärjestelmillä’ järjestelmiä, joilla voidaan käynnistää automaattisesti puheluja yhdelle tai useammalle vastaanottajalle järjestelmän ohjelmoinnin mukaisesti ja lähettää ääntä, joka ei ole reaaliaikaista puhetta, mukaan lukien automatisoiduista soitto- ja viestintäjärjestelmistä soitetut puhelut, jotka yhdistävät soiton vastaanottajan luonnolliselle henkilölle.

II LUKU
LUONNOLLISTEN HENKILÖIDEN JA OIKEUSHENKILÖIDEN SÄHKÖISEN VIESTINNÄN JA NÄIDEN PÄÄTELAITTEILLE TALLENNETTUJEN TIETOJEN SUOJAAMINEN

5 artikla
Sähköisen viestinnän tietojen luottamuksellisuus

Sähköisen viestinnän tiedot ovat luottamuksellisia. Muiden kuin asianomaisten loppukäyttäjien suorittama sähköisen viestinnän tietoihin puuttuminen, kuten kuuntelu, salakuuntelu, tallennus, seuranta, lukeminen tai sähköisen viestinnän tietojen sieppaaminen, valvominen tai käsittely muulla tavalla, on kielletty, paitsi jos se sallitaan tässä asetuksessa.

6 artikla
Sähköisen viestinnän tietojen sallittu käsittely

1.Sähköisten viestintäverkkojen ja -palvelujen tarjoajat voivat käsitellä sähköisen viestinnän tietoja,

(a)jos se on tarpeen viestinnän välittämiseksi ja kyseiseen tarkoitukseen tarvittavaan kestoon rajoittuen; tai

(b)jos se on tarpeen sähköisten viestintäverkkojen ja -palvelujen turvallisuuden ylläpitämiseksi tai palauttamiseksi tai teknisten vikojen ja/tai virheiden havaitsemiseksi sähköisen viestinnän välittämisessä ja kyseiseen tarkoitukseen tarvittavaan kestoon rajoittuen.

2.Sähköisten viestintäpalvelujen tarjoajat voivat käsitellä sähköisen viestinnän metadataa,

(a)jos se on tarpeen pakollisten palvelun laatua koskevien vaatimusten täyttämiseksi [eurooppalaisesta sähköisen viestinnän säännöstöstä annetun direktiivin] tai asetuksen (EU) 2015/2120 28 mukaisesti ja kyseiseen tarkoitukseen tarvittavaan kestoon rajoittuen; tai

(b)jos se on tarpeen laskutusta, yhteenliittämismaksujen laskentaa tai sähköisten viestintäpalvelujen laittoman tai vilpillisen käytön tai tilaamisen havaitsemista tai lopettamista varten; tai

(c)asianomainen loppukäyttäjä on antanut suostumuksensa viestintänsä metadatan käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, mukaan lukien erityisten palvelujen tarjoaminen tällaisille loppukäyttäjille, edellyttäen että samaan tarkoitukseen tai tarkoituksiin ei voitaisi päästä käsittelemällä anonymisoituja tietoja.

3.Sähköisten viestintäpalvelujen tarjoajat voivat käsitellä sähköisen viestinnän sisältöä ainoastaan

(a)tietyn palvelun tarjoamiseksi loppukäyttäjälle, jos kyseinen loppukäyttäjä tai loppukäyttäjät ovat antaneet suostumuksensa sähköisen viestintänsä sisällön käsittelyyn ja kyseisen palvelun tarjoamista ei voida toteuttaa ilman tällaisen sisällön käsittelyä; tai

(b)jos kaikki kyseiset loppukäyttäjät ovat antaneet suostumuksensa sähköisen viestintänsä sisällön käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, johon ei voida päästä käsittelemällä anonymisoituja tietoja, ja palveluntarjoaja on kuullut valvontaviranomaista. Valvontaviranomaisen kuulemiseen sovelletaan asetuksen (EU) 2016/679 36 artiklan 2 ja 3 kohtaa.

7 artikla
Sähköisen viestinnän tietojen tallentaminen ja poistaminen

1.Sähköisen viestintäpalvelun tarjoajan on poistettava sähköisen viestinnän sisältö tai anonymisoitava kyseiset tiedot sen jälkeen, kun aiottu vastaanottaja tai aiotut vastaanottajat ovat vastaanottaneet sähköisen viestinnän sisällön, sanotun kuitenkaan rajoittamatta 6 artiklan 1 kohdan b alakohdan ja 3 kohdan a ja b alakohdan soveltamista. Tällaiset tiedot voi tallentaa tai säilyttää loppukäyttäjä tai kolmas osapuoli, jolle loppukäyttäjät ovat antaneet tehtäväksi tallentaa tai säilyttää ne tai käsitellä ne muulla tavoin, asetuksen (EU) 2016/679 mukaisesti.

2.Sähköisen viestintäpalvelun tarjoajan on poistettava sähköisen viestinnän metadata tai anonymisoitava kyseinen data, kun sitä ei enää tarvita viestinnän välittämiseksi, sanotun kuitenkaan rajoittamatta 6 artiklan 1 kohdan b alakohdan ja 2 kohdan a ja c alakohdan soveltamista.

3.Jos sähköisen viestinnän metadatan käsittely tapahtuu laskutuksen tarkoituksiin 6 artiklan 2 kohdan b alakohdan mukaisesti, asiaankuuluva metadata voidaan säilyttää sen ajanjakson loppuun asti, jona lasku voidaan laillisesti riitauttaa tai maksu periä kansallisen lainsäädännön mukaisesti.

8 artikla
Loppukäyttäjien päätelaitteille tallennettujen ja loppukäyttäjien päätelaitteita koskevien tietojen suojaaminen

1.Muiden kuin asianomaisen loppukäyttäjän suorittama päätelaitteen käsittely- ja tallennustoimintojen käyttö ja tiedonkeruu loppukäyttäjien päätelaitteilta, mukaan lukien päätelaitteen ohjelmistoa ja laitteistoa koskeva tieto, on kielletty paitsi seuraavin perustein:

(a)se on tarpeen yksinomaan sähköisen viestinnän välittämiseen sähköisessä viestintäverkossa; tai

(b)loppukäyttäjä on antanut suostumuksensa; tai

(c)se on tarpeen loppukäyttäjän pyytämän tietoyhteiskunnan palvelun tarjoamiseksi; tai

(d)jos se on tarpeen verkkosivustojen yleisömittausta varten, edellyttäen että mittauksen suorittaa loppukäyttäjän pyytämän tietoyhteiskunnan palvelun tarjoaja.

2.Yhteyden muodostamiseksi päätelaitteelta toiseen laitteeseen ja/tai verkkolaitteistoon lähetettävien tietojen keruu on kielletty, paitsi jos

(a)tämä tehdään yksinomaan yhteyden muodostamiseksi ja vain tähän tarkoitukseen tarvittavalta ajalta; tai

(b)esille pannaan selkeä ja näkyvä tieto ainakin tiedonkeruun ehdoista, sen tarkoituksesta ja siitä vastaavasta henkilöstä sekä muut asetuksen (EU) 2016/679 13 artiklan nojalla vaadittavat tiedot, kun on kyse henkilötietojen keruusta, sekä tiedot mahdollisista toimenpiteistä, joilla päätelaitteen loppukäyttäjä voi estää tai minimoida tiedonkeruun.

Näiden tietojen keruun edellytyksenä on oltava, että sovelletaan asianmukaisia teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan asianmukainen turvallisuuden taso suhteessa riskeihin siten kuin asetuksen (EU) 2016/679 32 artiklassa esitetään.

3.Edellä olevan 2 kohdan b alakohdan mukaisesti annettavat tiedot voidaan antaa vakiomuotoisten kuvakkeiden avulla, jotta tiedonkeruusta voidaan antaa havainnollinen yleiskuva helposti erottuvalla, ymmärrettävällä ja selvästi luettavissa olevalla tavalla.

4.Siirretään komissiolle valta hyväksyä 27 artiklan mukaisesti delegoituja säädöksiä, jotta voidaan määrittää vakiomuotoisilla kuvakkeilla annettavat tiedot sekä menettelyt, joilla vakiomuotoisia kuvakkeita tarjotaan käyttöön.

9 artikla
Suostumus

1.Sovelletaan suostumuksen määritelmää ja edellytyksiä, joista säädetään asetuksen (EU) 2016/679 4 artiklan 11 kohdassa ja 7 artiklassa.

2.Edellä olevan 8 artiklan 1 kohdan b alakohtaa sovellettaessa suostumus voidaan ilmaista käyttämällä internetiin pääsyn mahdollistavan ohjelmistosovelluksen asianmukaisia teknisiä asetuksia, jos se on teknisesti mahdollista ja toteutettavissa, sanotun kuitenkaan rajoittamatta 1 kohdan soveltamista.

3.Loppukäyttäjille, jotka ovat antaneet suostumuksensa sähköisen viestinnän tietojen käsittelyyn 6 artiklan 2 kohdan c alakohdan ja 6 artiklan 3 kohdan a ja b alakohdan mukaisesti, on annettava mahdollisuus peruuttaa suostumuksensa milloin tahansa asetuksen (EU) 2016/679 7 artiklan 3 kohdan mukaisesti ja muistutus tästä mahdollisuudesta säännöllisesti 6 kuukauden välein niin kauan kuin käsittely jatkuu.

10 artikla
Yksityissyysasetuksia varten annettavat tiedot ja vaihtoehdot

1.Markkinoille saatetuissa ohjelmistoissa, jotka mahdollistavat sähköisen viestinnän, mukaan lukien tietojen hakeminen ja esittäminen internetissä, on tarjottava vaihtoehto estää kolmansia osapuolia tallentamasta tietoja loppukäyttäjän päätelaitteelle tai käsittelemästä sille jo tallennettuja tietoja.

2.Ohjelmiston on asennuksen yhteydessä ilmoitettava loppukäyttäjälle yksityisyysasetusten vaihtoehdoista ja asennuksen jatkamiseksi vaadittava loppukäyttäjän suostumus yksittäiselle asetukselle.

3.Ohjelmistoissa, jotka on jo asennettu 25 päivänä toukokuuta 2018, 1 ja 2 kohdan vaatimusten on täytyttävä ohjelmiston ensimmäisen päivityksen yhteydessä mutta viimeistään 25 päivänä elokuuta 2018.

11 artikla
Rajoitukset

1.Unionin tai jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa 5–8 artiklassa säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön, asianmukainen ja oikeasuhteinen toimenpide, jotta voidaan taata yksi tai useampi asetuksen (EU) 2016/679 23 artiklan 1 kohdan a–e alakohdassa tarkoitettu yleinen etu tai valvonta-, tarkastus- tai sääntelytehtävä, joka liittyy julkisen vallan käyttämiseen tällaisten etujen suhteen.

2.Sähköisten viestintäpalvelujen tarjoajien on otettava käyttöön sisäiset menettelyt, joiden mukaisesti vastataan pyyntöihin saada tutustua loppukäyttäjien sähköisen viestinnän tietoihin 1 kohdan nojalla vahvistetun lainsäädäntötoimen nojalla. Niiden on pyynnöstä toimitettava toimivaltaiselle valvontaviranomaiselle tiedot näistä menettelyistä, vastaanotettujen pyyntöjen määrästä, sovelletusta oikeudellisesta perustelusta ja vastauksestaan.

III LUKU
LUONNOLLISTEN HENKILÖIDEN JA OIKEUSHENKILÖIDEN OIKEUDET VALVOA SÄHKÖISTÄ VIESTINTÄÄ

12 artikla
Kutsuvan ja yhdistetyn tilaajan tunnistuksen tarjoaminen ja sen rajoittaminen

1.Jos tarjotaan kutsuvan ja yhdistetyn tilaajan tunnistusta [eurooppalaisesta sähköisen viestinnän säännöstöstä annetun direktiivin] [107] artiklan mukaisesti, yleisesti saatavilla olevien, henkilöiden välisten numeroihin perustuvien viestintäpalvelujen tarjoajien on tarjottava

(a)kutsuvalle loppukäyttäjälle mahdollisuus estää kutsuvan tilaajan tunnistus puhelu- tai yhteyskohtaisesti tai pysyvästi;

(b)kutsutulle loppukäyttäjälle mahdollisuus estää tulevien puhelujen kutsuvan tilaajan tunnistus;

(c)kutsutulle loppukäyttäjälle mahdollisuus kieltäytyä vastaanottamasta tulevia puheluja, joissa kutsuva loppukäyttäjä on estänyt kutsuvan tilaajan tunnistuksen;

(d)kutsutulle loppukäyttäjälle mahdollisuus estää yhdistetyn tilaajan tunnistus kutsuvalle loppukäyttäjälle.

2.Edellä 1 kohdan a, b, c ja d kohdassa tarkoitetut mahdollisuudet on annettava loppukäyttäjille yksinkertaisin keinoin ja maksutta.

3.Edellä oleva 1 kohdan a alakohta koskee myös puheluja unionista kolmansiin maihin. Edellä oleva 1 kohdan b, c ja d alakohta koskee myös kolmansista maista tulevia puheluja.

4.Jos kutsuvan tai yhdistetyn tilaajan tunnistusta tarjotaan, yleisesti saatavilla olevien, henkilöiden välisten numeroihin perustuvien viestintäpalvelujen tarjoajien on tiedotettava yleisölle 1 kohdan a, b, c ja d alakohdassa tarkoitetuista vaihtoehdoista.

13 artikla
Poikkeukset kutsuvan ja yhdistetyn tilaajan tunnistuksen tarjoamiseen ja sen rajoittamiseen

1.Riippumatta siitä, onko kutsuva loppukäyttäjä estänyt kutsuvan tilaajan tunnistuksen, hätäpalveluihin soitettaessa yleisesti saatavilla olevien, henkilöiden välisten numeroihin perustuvien viestintäpalvelujen tarjoajien on liittymäkohtaisesti ohitettava kutsuvan tilaajan tunnistuksen esto ja metadatan käsittelyä koskeva loppukäyttäjän kielto tai suostumuksen puuttuminen hätäviestintää käsitteleviä organisaatioita varten, mukaan lukien hätäkeskukset, tällaisiin viesteihin vastaamiseksi. 

2.Jäsenvaltioiden on vahvistettava yksityiskohtaisempia säännöksiä menettelyistä ja olosuhteista, joissa yleisesti saatavilla olevien, henkilöiden välisten numeroihin perustuvien viestintäpalvelujen tarjoajien on ohitettava kutsuvan linjan tunnistuksen esto tilapäisesti, jos loppukäyttäjät pyytävät ilkivaltaisten puhelujen tai häirintäsoittojen jäljittämistä.

14 artikla
Saapuvien puhelujen estäminen

Yleisesti saatavilla olevien, henkilöiden välisten numeroihin perustuvien viestintäpalvelujen tarjoajien on käytettävä uusinta kehitystä edustavia toimenpiteitä, joilla rajoitetaan sitä, että loppukäyttäjät joutuvat vastaamaan ei-toivottuihin puheluihin, ja myös tarjottava kutsutulle loppukäyttäjälle maksutta mahdollisuus

(a)estää tietyistä numeroista tai nimettömistä lähteistä tulevat puhelut;

(b)estää kolmannen osapuolen suorittama automaattinen puhelunsiirto loppukäyttäjän päätelaitteeseen.

15 artikla
Yleisesti saatavilla olevat luettelot

1.Yleisesti saatavilla olevien luettelojen julkaisijoiden on saatava loppukäyttäjiltä, jotka ovat luonnollisia henkilöitä, suostumus sisällyttää heidän henkilötietonsa luetteloon ja näin ollen suostumus näiltä loppukäyttäjiltä tietojen sisällyttämiselle henkilötietoluokittain, siltä osin kuin tällaiset tiedot ovat merkityksellisiä luettelon julkaisijan määrittelemän luettelon tarkoituksen kannalta. Julkaisijoiden on annettava loppukäyttäjille, jotka ovat luonnollisia henkilöitä, keinot tarkistaa, oikaista ja poistaa tällaisia tietoja.

2.Yleisesti saatavilla olevien luettelojen julkaisijoiden on ilmoitettava loppukäyttäjille, jotka ovat luonnollisia henkilöitä ja joiden henkilötiedot ovat luettelossa, käytettävissä olevista luettelon hakutoiminnoista ja saatava loppukäyttäjien suostumus ennen tällaisten hakutoimintojen mahdollistamista heidän omien tietojensa osalta.

3.Yleisesti saatavilla olevien luettelojen julkaisijoiden on annettava loppukäyttäjille, jotka ovat oikeushenkilöitä, mahdollisuus vastustaa näitä koskevien tietojen sisällyttämistä luetteloon. Julkaisijoiden on annettava loppukäyttäjille, jotka ovat oikeushenkilöitä, keinot tarkistaa, oikaista ja poistaa tällaisia tietoja.

4.Loppukäyttäjien mahdollisuus jäädä pois yleisesti saatavilla olevasta luettelosta tai tarkistaa, oikaista ja poistaa heitä koskevia tietoja on annettava maksutta.

16 artikla
Ei-toivottu viestintä

1.Luonnolliset henkilöt tai oikeushenkilöt voivat käyttää sähköisiä viestintäpalveluja suoramarkkinointiin loppukäyttäjille, jotka ovat luonnollisia henkilöitä ja jotka ovat antaneet siihen suostumuksensa.

2.Jos luonnollinen henkilö tai oikeushenkilö saa asiakkaaltaan sähköpostiyhteystietoja tuotteen tai palvelun myynnin yhteydessä asetuksen (EU) 2016/679 mukaisesti, sama luonnollinen henkilö tai oikeushenkilö voi käyttää näitä yhteystietoja omien vastaavien tuotteidensa ja palvelujensa suoramarkkinoinnissa sillä ehdolla, että asiakkaille annetaan selkeästi ja sanatarkasti mahdollisuus veloituksetta ja helposti kieltää tällainen yhteystietojensa käyttö. Oikeus vastustaa henkilötietojensa käsittelyä on annettava yhteystietojen ottamisen ja jokaisen viestin yhteydessä.

3.Rajoittamatta 1 ja 2 kohdan soveltamista luonnollisten henkilöiden tai oikeushenkilöiden, jotka käyttävät sähköisiä viestintäpalveluja suoramarkkinointipuheluihin, on

(a)esitettävä linjan tunnistus, josta niihin saa yhteyden; tai

(b)esitettävä erityinen tunnus tai prefiksi, joka yksilöi puhelun markkinointipuheluksi.

4.Sen estämättä, mitä 1 kohdassa säädetään, jäsenvaltiot voivat säätää lainsäädännössään, että puhelinmyyjän suoramarkkinointipuhelut loppukäyttäjille, jotka ovat luonnollisia henkilöitä, sallitaan vain siinä tapauksessa, etteivät nämä ole ilmaisseet kieltäytyvänsä vastaanottamasta tällaista viestintää.

5.Jäsenvaltioiden on varmistettava unionin oikeuden ja sovellettavan kansallisen lainsäädännön puitteissa, että loppukäyttäjien, jotka ovat oikeushenkilöitä, oikeutetut edut liittyen 1 kohdassa tarkoitetulla tavalla lähetettyyn ei-toivottuun viestintään suojataan riittävällä tavalla.

6.Luonnollisen henkilön tai oikeushenkilön, joka käyttää sähköisiä viestintäpalveluja suoramarkkinointiin, on annettava loppukäyttäjille tieto viestinnän markkinointiluonteesta ja ilmoitettava sen oikeushenkilön tai luonnollisen henkilön henkilöllisyys, jonka puolesta viestintä välitetään, sekä annettava vastaanottajille tarvittavat tiedot näiden oikeudesta peruuttaa helposti suostumuksensa vastaanottaa uusia markkinointiviestejä.

7.Siirretään komissiolle valta hyväksyä 26 artiklan 2 kohdan mukaisesti täytäntöönpanotoimenpiteitä, joilla täsmennetään 3 kohdan b alakohdassa tarkoitettu markkinointipuhelun yksilöivä tunnus tai prefiksi.

17 artikla
Todettuja turvallisuusriskejä koskeva tieto

Jos todetaan erityinen riski, joka voi vaarantaa verkkojen ja sähköisten viestintäpalvelujen turvallisuuden, sähköisen viestintäpalvelun tarjoajan on ilmoitettava loppukäyttäjille tällaisesta riskistä, ja jos palveluntarjoaja ei voi vaikuttaa riskiin, mahdollisista korjauskeinoista, mukaan lukien asiaan liittyvät todennäköiset kustannukset.

IV LUKU
RIIPPUMATTOMAT VALVONTAVIRANOMAISET JA TÄYTÄNTÖÖNPANON VALVONTA

18 artikla
Riippumattomat valvontaviranomaiset

1.Riippumaton valvontaviranomainen tai riippumattomat valvontaviranomaiset, jotka vastaavat asetuksen (EU) 2016/679 soveltamisen seurannasta, vastaavat myös tämän asetuksen soveltamisen seurannasta. Asetuksen (EU) 2016/679 VI ja VII lukua sovelletaan soveltuvin osin. Valvontaviranomaisten tehtäviä ja valtuuksia on hoidettava loppukäyttäjiin nähden.

2.Edellä 1 kohdassa tarkoitet(t)u(je)n valvontaviranomais(t)en on tarvittaessa tehtävä yhteistyötä [eurooppalaisesta sähköisen viestinnän säännöstöstä annetulla direktiivillä] perustettujen kansallisten sääntelyviranomaisten kanssa.  

19 artikla
Euroopan tietosuojaneuvosto

Asetuksen (EU) 2016/679 68 artiklalla perustetulla Euroopan tietosuojaneuvostolla on toimivalta varmistaa tämän asetuksen johdonmukainen soveltaminen. Tätä varten Euroopan tietosuojaneuvosto huolehtii asetuksen (EU) 2016/679 70 artiklassa säädetyistä tehtävistä. Lisäksi Euroopan tietosuojaneuvoston tehtävänä on

(a)antaa komissiolle neuvoja tämän asetuksen mahdollisesta muuttamisesta;

(b)tarkastella omasta aloitteestaan tai jonkin jäsenensä tai komission pyynnöstä kysymyksiä, jotka koskevat tämän asetuksen soveltamista, ja antaa suuntaviivoja, suosituksia ja parhaita käytänteitä, joiden tarkoituksena on tukea tämän asetuksen johdonmukaista soveltamista.

20 artikla
Yhteistyö- ja yhdenmukaisuusmenettelyt

Jokaisen valvontaviranomaisen on myötävaikutettava tämän asetuksen yhdenmukaiseen soveltamiseen kaikkialla unionissa. Tätä varten valvontaviranomaisten on tehtävä yhteistyötä keskenään ja komission kanssa asetuksen (EU) 2016/679 VII luvun mukaisesti tämän asetuksen soveltamisalaan kuuluvissa asioissa.

V LUKU
OIKEUSSUOJAKEINOT, VASTUU JA SEURAAMUKSET

21 artikla
Oikeussuojakeinot

1.Jokaisella sähköisten viestintäpalvelujen loppukäyttäjällä on samat asetuksen (EU) 2016/679 77, 78 ja 79 artiklassa säädetyt oikeussuojakeinot, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.

2.Sellainen muu luonnollinen henkilö tai oikeushenkilö kuin loppukäyttäjä, johon tämän asetuksen säännösten rikkominen vaikuttaa haitallisesti ja jolla on väitettyjen rikkomisten lopettamiseen tai kieltämiseen liittyviä oikeutettuja etuja, mukaan lukien sähköisten viestintäpalvelujen tarjoaja, joka suojelee laillisia kaupallisia etujaan, voi panna vireille oikeudenkäynnin tällaisten rikkomisten osalta.

22 artikla
Vastuu ja oikeus korvauksen saamiseen

Sähköisten viestintäpalvelujen loppukäyttäjällä, jolle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, on oikeus saada rikkomiseen syyllistyneeltä korvausta aiheutuneesta vahingosta, jollei rikkomiseen syyllistynyt voi osoittaa asetuksen (EU) 2016/679 82 artiklan mukaisesti, ettei se ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta.

23 artikla
Hallinnollisten sakkojen määräämisen yleiset edellytykset

1.Tätä artiklaa sovellettaessa asetuksen (EU) 2016/679 VII lukua sovelletaan tämän asetuksen rikkomiseen.

2.Seuraavien säännösten rikkomisesta määrätään 1 kohdan mukaisesti hallinnollinen sakko, joka on enintään 10 000 000 euroa, tai jos kyseessä on yritys, enintään kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

(a)edellä 8 artiklassa tarkoitetut sähköisen viestinnän tietoja käsittelevän oikeushenkilön ja luonnollisen henkilön velvoitteet;

(b)edellä 10 artiklassa tarkoitetut sähköisen viestinnän mahdollistavien ohjelmistojen tarjoajan velvoitteet;

(c)edellä 15 artiklassa tarkoitetut yleisesti saatavilla olevien luetteloiden julkaisijoiden velvoitteet;

(d)edellä 16 artiklassa tarkoitetut sähköisiä viestintäpalveluja käyttävän oikeushenkilön ja luonnollisen henkilön velvoitteet.

3.Edellä 5 artiklassa tarkoitetun viestinnän luottamuksellisuuden periaatteen, 6 artiklassa tarkoitetun sähköisen viestinnän tietojen sallitun käsittelyn ja 7 artiklassa tarkoitettujen tietojen poistamisen määräaikojen rikkomisesta määrätään tämän artiklan 1 kohdan mukaisesti hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, enintään neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

4.Jäsenvaltioiden on vahvistettava säännöt 12, 13, 14, ja 17 artiklan rikkomiseen sovellettavista seuraamuksista.

5.Edellä 18 artiklassa tarkoitetun valvontaviranomaisen määräyksen laiminlyönnistä määrätään 18 kohdan mukaisesti hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

6.Kukin jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaisille tai julkishallinnon elimille määrätä kyseisessä jäsenvaltiossa hallinnollisia sakkoja ja missä määrin, sanotun kuitenkaan rajoittamatta 18 artiklan mukaisia valvontaviranomaisten korjaavia toimivaltuuksia.

7.Valvontaviranomaisen tämän artiklan mukaisien valtuuksien käyttöön sovelletaan unionin oikeuden ja jäsenvaltion lainsäädännön mukaisesti asianmukaisia menettelytakeita, muun muassa tehokkaita oikeussuojakeinoja ja oikeudenmukaista menettelyä.

8.Jos jäsenvaltion oikeusjärjestelmässä ei säädetä hallinnollisista sakoista, tätä artiklaa voidaan soveltaa niin, että sakon panee vireille toimivaltainen valvontaviranomainen ja sen määräävät toimivaltaiset kansalliset tuomioistuimet siten, että samalla varmistetaan, että nämä oikeussuojakeinot ovat tehokkaita ja niillä on vastaava vaikutus kuin valvontaviranomaisten määräämillä hallinnollisilla sakoilla. Määrättävien sakkojen on joka tapauksessa oltava tehokkaita, oikeasuhteisia ja varoittavia. Näiden jäsenvaltioiden on toimitettava säännökset, jotka ne hyväksyvät tämän kohdan nojalla, tiedoksi komissiolle viimeistään [xxx] ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

24 artikla
Seuraamukset

1.Jäsenvaltioiden on vahvistettava säännöt tämän asetuksen rikkomisten vuoksi määrättäviä seuraamuksia varten, erityisesti niiden rikkomisten osalta, joihin ei 23 artiklan nojalla sovelleta hallinnollisia sakkoja, sekä toteutettava kaikki tarvittavat toimenpiteet näiden seuraamusten täytäntöönpanon varmistamiseksi. Tällaisten seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia.

2.Jäsenvaltioiden on toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle 18 kuukauden kuluessa 29 artiklan 2 kohdassa mainitusta päivämäärästä ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

VI LUKU
DELEGOIDUT SÄÄDÖKSET JA TÄYTÄNTÖÖNPANOSÄÄDÖKSET

25 artikla
Siirretyn säädösvallan käyttäminen

1.Komissiolle siirrettyä valtaa antaa delegoituja säädöksiä koskevat tässä artiklassa säädetyt edellytykset.

2.Siirretään komissiolle [tämän asetuksen voimaantulopäivästä] määräämättömäksi ajaksi 8 artiklan 4 kohdassa tarkoitettu valta antaa delegoituja säädöksiä.

3.Euroopan parlamentti tai neuvosto voi milloin tahansa peruuttaa 8 artiklan 4 kohdassa tarkoitetun säädösvallan siirron. Peruuttamispäätöksellä lopetetaan tuossa päätöksessä mainittu säädösvallan siirto. Peruuttaminen tulee voimaan sitä päivää seuraavana päivänä, jona sitä koskeva päätös julkaistaan Euroopan unionin virallisessa lehdessä, tai jonakin myöhempänä, kyseisessä päätöksessä mainittuna päivänä. Peruuttamispäätös ei vaikuta jo voimassa olevien delegoitujen säädösten pätevyyteen.

4.Ennen kuin komissio hyväksyy delegoidun säädöksen, se kuulee kunkin jäsenvaltion nimeämiä asiantuntijoita paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa vahvistettujen periaatteiden mukaisesti.

5.Heti kun komissio on antanut delegoidun säädöksen, komissio antaa sen tiedoksi yhtäaikaisesti Euroopan parlamentille ja neuvostolle.

6.Edellä 8 artiklan 4 kohdan artiklan nojalla annettu delegoitu säädös tulee voimaan ainoastaan, jos Euroopan parlamentti tai neuvosto ei ole kahden kuukauden kuluessa siitä, kun asianomainen säädös on annettu tiedoksi Euroopan parlamentille ja neuvostolle, ilmaissut vastustavansa sitä tai jos sekä Euroopan parlamentti että neuvosto ovat ennen mainitun määräajan päättymistä ilmoittaneet komissiolle, että ne eivät vastusta säädöstä. Euroopan parlamentin tai neuvoston aloitteesta tätä määräaikaa jatketaan kahdella kuukaudella.

26 artikla
Komitea

1.Komissiota avustaa [eurooppalaisesta sähköisen viestinnän säännöstöstä annetun direktiivin] 110 artiklalla perustettu viestintäkomitea. Tämä komitea on asetuksessa (EU) N:o 182/2011 29 tarkoitettu komitea.

2.Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.

VII LUKU
LOPPUSÄÄNNÖKSET

27 artikla
Kumoaminen

1.Kumotaan direktiivi 2002/58/EY 25 päivästä toukokuuta 2018.

2.Viittauksia kumottuun direktiiviin pidetään viittauksina tähän asetukseen.

28 artikla
Seuranta- ja arviointilauseke

Komissio laatii viimeistään 1 päivänä tammikuuta 2018 yksityiskohtaisen ohjelman tämän asetuksen tehokkuuden seuraamiseksi.

Komissio tekee arvioinnin tästä asetuksesta viimeistään kolmen vuoden kuluttua sen soveltamisen alkamispäivästä ja sen jälkeen kolmen vuoden välein ja esittää tärkeimmät havainnot Euroopan parlamentille, neuvostolle ja Euroopan talous- ja sosiaalikomitealle. Kyseinen arviointi otetaan tarvittaessa huomioon ehdotuksessa tämän asetuksen muuttamisesta tai kumoamisesta oikeudellisen, teknisen tai taloudellisen kehityksen perusteella.

29 artikla
Voimaantulo ja soveltaminen

1.Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

2.Sitä sovelletaan 25 päivästä toukokuuta 2018.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä

(1) Komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle Digitaalisten sisämarkkinoiden strategia Euroopalle, COM(2015) 192 final.

(2) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1–88).

(3) Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37).

(4) Komission ehdotus Euroopan parlamentin ja neuvoston direktiiviksi eurooppalaisesta sähköisen viestinnän säännöstöstä (uudelleen laadittu toisinto) (COM/2016/0590 final – 2016/0288 (COD)).

(5) Euroopan parlamentin ja neuvoston direktiivi 2014/53/EU, annettu 16 päivänä huhtikuuta 2014, radiolaitteiden asettamista saataville markkinoilla koskevan jäsenvaltioiden lainsäädännön yhdenmukaistamisesta ja direktiivin 1999/5/EY kumoamisesta (EUVL L 153, 22.5.2014, s. 62–106).

(6) Euroopan parlamentin ja neuvoston asetus (EU) N:o 1025/2012, annettu 25 päivänä lokakuuta 2012, eurooppalaisesta standardoinnista, neuvoston direktiivien 89/686/ETY ja 93/15/ETY sekä Euroopan parlamentin ja neuvoston direktiivien 94/9/EY, 94/25/EY, 95/16/EY, 97/23/EY, 98/34/EY, 2004/22/EY, 2007/23/EY, 2009/23/EY ja 2009/105/EY muuttamisesta ja neuvoston päätöksen 87/95/ETY ja Euroopan parlamentin ja neuvoston päätöksen N:o 1673/2006/EY kumoamisesta (EUVL L 316, 14.11.2012, s. 12–33).

(7) Ks. yhdistetyt asiat C-293/12 ja C-594/12 Digital Rights Ireland ja Seitlinger et al, ECLI:EU:C:2014:238; yhdistetyt asiat C-203/15 ja C-698/15 Tele2 Sverige AB ja Secretary of State for the Home Department, ECLI:EU:C:2016:970.

(8) Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001, s. 1–22).

(9) Ks. C-450/06 Varec SA, ECLI:EU:C:2008:91, 48 kohta.

(10) Ks. Mm. Euroopan ihmisoikeustuomioistuimen tuomiot Niemietz v. Saksa, 16.12.1992, A-sarja, nro 251-B, 29 kohta; Société Colas Est et al v. Ranska, nro 37971/97, 41 kohta; Recueil des arrêts et décisions 2002-III; Peck v. Yhdistynyt kuningaskunta nro 44647/98, 57 kohta, Recueil des arrêts et décisions 2003-I; ja myös Vinci Construction ja GTM Génie Civil et Services v. Ranska, nrot 63629/10 ja 60567/10, 63 kohta, 2.4.2015.

(11) Ks. alaviite 7.

(12) 162 kannanottoa kansalaisilta, 33 kansalais- ja kuluttajajärjestöiltä, 186 toimialalta ja 40 viranomaisilta, muun muassa sähköisen viestinnän tietosuojadirektiivin täytäntöönpanoon toimivaltaisilta viranomaisilta.

(13) Koko raportti on saatavilla osoitteessa https://ec.europa.eu/digital-single-market/news-redirect/37204.

(14) 2016 Eurobarometri-tutkimus (EB) 443 sähköisen viestinnän tietosuojasta (SMART 2016/079).

(15) Koko raportti on saatavilla osoitteessa https://ec.europa.eu/digital-single-market/news-redirect/37205.

(16) http://ec.europa.eu/transparency/regdoc/?fuseaction=ia.

(17) http://ec.europa.eu/smart-regulation/refit/refit-platform/docs/recommendations/opinion_comm_net.pdf.

(18) EUVL C , , s. .

(19) EUVL C , , s. .

(20) EUVL C , , s. .

(21) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1–88).

(22) Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37).

(23) Euroopan parlamentin ja neuvoston direktiivi 2014/53/EU, annettu 16 päivänä huhtikuuta 2014, radiolaitteiden asettamista saataville markkinoilla koskevan jäsenvaltioiden lainsäädännön yhdenmukaistamisesta ja direktiivin 1999/5/EY kumoamisesta (EUVL L 153, 22.5.2014, s. 62).

(24) Komission ehdotus Euroopan parlamentin ja neuvoston direktiiviksi eurooppalaisesta sähköisen viestinnän säännöstöstä (uudelleen laadittu toisinto) (COM/2016/0590 final – 2016/0288 (COD)).

(25) Euroopan parlamentin, Euroopan unionin neuvoston ja Euroopan komission välillä 13 päivänä huhtikuuta 2016 tehty toimielinten sopimus paremmasta lainsäädännöstä (EUVL L 123, 12.5.2016, s. 1–14).

(26) Euroopan parlamentin ja neuvoston direktiivi 2000/31/EY, annettu 8 päivänä kesäkuuta 2000, tietoyhteiskunnan palveluja, erityisesti sähköistä kaupankäyntiä, sisämarkkinoilla koskevista tietyistä oikeudellisista näkökohdista (direktiivi sähköisestä kaupankäynnistä) (EYVL L 178, 17.7.2000, s. 1–16).

(27) Komission direktiivi 2008/63/EY, annettu 20 päivänä kesäkuuta 2008, kilpailusta telepäätelaitemarkkinoilla (EUVL L 162, 21.6.2008, s. 20–26).

(28) Euroopan parlamentin ja neuvoston asetus (EU) 2015/2120, annettu 25 päivänä marraskuuta 2015, avointa internetyhteyttä koskevista toimenpiteistä ja yleispalvelusta ja käyttäjien oikeuksista sähköisten viestintäverkkojen ja -palvelujen alalla annetun direktiivin 2002/22/EY sekä verkkovierailuista yleisissä matkaviestinverkoissa unionin alueella annetun asetuksen (EU) N:o 531/2012 muuttamisesta (EUVL L 310, 26.11.2015, s. 1–18).

(29) Euroopan parlamentin ja neuvoston asetus (EU) N:o 182/2011, annettu 16 päivänä helmikuuta 2011, yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä (EUVL L 55, 28.2.2011, s. 13–18).