|
20.7.2017 |
FI |
Euroopan unionin virallinen lehti |
C 234/3 |
Tiivistelmä Euroopan tietosuojavaltuutetun lausunnosta, joka koskee ehdotusta asetukseksi yksityiselämän kunnioittamisesta ja henkilötietojen suojasta sähköisessä viestinnässä (sähköisen viestinnän tietosuoja-asetus)
(Koko lausunto on luettavissa englanniksi, ranskaksi ja saksaksi Euroopan tietosuojavaltuutetun verkkosivuilla www.edps.europa.eu)
(2017/C 234/03)
Tässä lausunnossa esitetään pääpiirteittäin Euroopan tietosuojavaltuutetun kanta yksityiselämän kunnioittamista ja henkilötietojen suojaa sähköisessä viestinnässä koskevaan asetusehdotukseen, jolla on määrä kumota ja korvata sähköisen viestinnän tietosuojadirektiivi.
Yksityisyyttä ja tietosuojaa koskeva EU:n lainsäädäntökehys ei olisi täydellinen ilman sähköisen viestinnän tietosuoja-asetusta. Yleinen tietosuoja-asetus on kieltämättä suuri saavutus, mutta tarvitaan erityinen oikeudellinen väline suojaamaan oikeuttamme perusoikeuskirjan 7 artiklan takamaan yksityisyyteen, jonka olennainen osatekijä viestinnän luottamuksellisuus on. Näin ollen Euroopan tietosuojavaltuutettu suhtautuu ehdotukseen myönteisesti ja tukee sitä. Euroopan tietosuojavaltuutettu kannattaa myös valittua oikeudellista välinettä eli asetusta, joka on suoraan sovellettavissa ja parantaa siten osaltaan lainsäädäntökehyksen yhdenmukaisuutta ja johdonmukaista täytäntöönpanoa. Tietosuojavaltuutettu on tyytyväinen pyrkimykseen tarjota korkea suojan taso sekä sisällölle että metadatalle ja tukee tavoitetta laajentaa luottamuksellisuusvelvoite koskemaan yhä laajempaa valikoimaa palveluja – myös niin sanottuja avoimen internetin kautta (over the top) tarjottavia palveluja – mikä vastaa teknologian edistymistä. Tietosuojavaltuutettu katsoo myös, että päätös antaa valvontavaltuudet yksinomaan tietosuojaviranomaisille ja mahdollisuus turvautua tulevan Euroopan tietosuojaneuvoston yhteistyö- ja yhdenmukaisuusmekanismiin edistävät valvonnan johdonmukaisuutta ja tehokkuutta koko EU:ssa.
Samalla Euroopan tietosuojavaltuutettu kuitenkin epäilee, pystytäänkö ehdotuksella sen nykymuodossa täyttämään lupaus korkeatasoisesta yksityisyyden suojasta sähköisessä viestinnässä. Sähköisen viestinnän tietosuojan alalla tarvitaan uutta lainsäädäntökehystä, joka on entistä älykkäämpi, selkeämpi ja vankempi. Edelleen on paljon tehtävää: ehdotuksen mukaisten sääntöjen monimutkaisuus on häkellyttävää. Viestintä on jaettu metadataan, sisältödataan ja päätelaitteista lähetettävään dataan. Kullekin on asetettu erilainen luottamuksellisuuden taso, ja kullekin säädetään erilaisia poikkeuksia. Monimutkaisuus saattaa johtaa riskiin, että suojeluun jää – kenties tahattomasti – aukkoja.
Useimmista ehdotukseen sovellettavista määritelmistä neuvotellaan ja päätetään eri säädöksen eli eurooppalaisen sähköisen viestinnän säännöstön yhteydessä. Kahden säädöksen linkittämiselle näin läheisesti yhteen ei ole nykyisin mitään oikeudellista perustetta, eivätkä säännöstön kilpailu- ja markkinakeskeiset määritelmät yksinkertaisesti sovi perusoikeusyhteyteen. Siitä syystä Euroopan tietosuojavaltuutettu vetoaa sen puolesta, että sähköisen viestinnän tietosuoja-asetukseen sisällytetään tarvittavat määritelmät ottamalla huomioon sen tarkoitettu soveltamisala ja tavoitteet.
Lisäksi on kiinnitettävä erityistä huomiota tilanteeseen, jossa muut tietojen käsittelystä vastaavat tahot kuin sähköisten viestintäpalvelujen tarjoajat käsittelevät sähköisen viestinnän tietoja. Sähköisen viestinnän tietojen lisäsuoja olisi merkityksetön, jos se olisi helposti kierrettävissä esimerkiksi siirtämällä tietoja kolmansille osapuolille. Olisi myös varmistettava, ettei sähköisen viestinnän tietosuojasäännöissä sallita alempaa suojelun tasoa kuin yleisessä tietosuoja-asetuksessa. Esimerkiksi annettavan suostumuksen tulisi olla aito niin, että käyttäjä voi tehdä valinnan vapaasti, kuten yleisessä tietosuoja-asetuksessa edellytetään. Seurantaan suostuminen ei saisi olla sivustolle pääsyn edellytys. Lisäksi uusissa säännöissä on asetettava vahvat sisäänrakennettua ja oletusarvoista yksityisyyden suojaa koskevat vaatimukset. Lopuksi Euroopan tietosuojavaltuutettu käsittelee lausunnossa muita huolestuttavia kysymyksiä, kuten oikeuksien ulottuvuuden rajoituksia.
1. JOHDANTO JA TAUSTA
Lausunto annetaan, koska Euroopan komissio (jäljempänä ”komissio”) on pyytänyt Euroopan tietosuojavaltuutettua (jäljempänä ”tietosuojavaltuutettu”), joka on riippumaton valvontaviranomainen ja neuvoa-antava elin, antamaan lausunnon yksityiselämän kunnioittamista ja henkilötietojen suojaa sähköisessä viestinnässä koskevasta asetusehdotuksesta (1) (jäljempänä ”ehdotus”). Ehdotuksella on tarkoitus kumota ja korvata henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annettu direktiivi 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi) (2). Komissio on pyytänyt lausuntoa myös tietosuojatyöryhmältä (WP29), ja tietosuojavaltuutettu osallistui kyseisen lausunnon (3) laatimiseen työryhmän täysivaltaisena jäsenenä.
Tämä lausunto on jatkoa sähköisen viestinnän tietosuojadirektiivin (2002/58/EY) tarkistamisesta 22. heinäkuuta 2016 annetulle alustavalle lausunnolle 5/2016 (4). Tietosuojavaltuutettu voi myös antaa lisäohjeita lainsäädäntömenettelyn tulevia vaiheita varten.
Ehdotus on eräs digitaalisten sisämarkkinoiden strategian (5) keskeisistä aloitteista, ja sillä pyritään lisäämään luottamusta digitaalisiin palveluihin sekä tällaisten palveluiden turvallisuutta EU:ssa painottamalla kansalaisten suojan korkeaa tasoa ja yhtenäisiä toimintaedellytyksiä kaikille markkinoiden toimijoille eri puolilla Euroopan unionia.
Ehdotuksen tavoitteena on nykyaikaistaa sähköisen viestinnän tietosuojadirektiiviä ja saattaa sääntely ajan tasalle osana laajempaa pyrkimystä säätää Euroopan unioniin johdonmukainen ja yhdenmukaistettu tietosuojan lainsäädäntökehys. Sähköisen viestinnän tietosuojadirektiivi täsmentää ja täydentää direktiiviä 95/46/EY (6), jonka vastikään hyväksytty yleinen tietosuoja-asetus (7) korvaa.
Ensimmäiseksi tietosuojavaltuutettu esittää 2 jaksossa tiivistelmän tärkeimmistä ehdotusta koskevista havainnoistaan keskittymällä ehdotuksen myönteisiin puoliin. Toiseksi hän esittää 3 jaksossa keskeiset edelleen ratkaisematta olevat ongelmakohdat ja suosituksia niiden käsittelemiseksi. Ehdotusta käsitellään yksityiskohtaisemmin lausunnon liitteessä, jossa esitetään lisää ongelmakohtia ja parannussuosituksia. Lausunnossa ja sen liitteessä esitettyjen ongelmakohtien ratkaiseminen ja sähköisen viestinnän tietosuoja-asetuksen tekstin parantaminen edelleen auttaisi suojelemaan nykyistä paremmin käyttäjiä ja muita asianomaisia rekisteröityjä, minkä lisäksi oikeusvarmuus paranisi kaikkien sidosryhmien kannalta.
4. PÄÄTELMÄT
Euroopan tietosuojavaltuutettu suhtautuu myönteisesti nykyaikaista, ajantasaistettua ja entistä vahvempaa sähköisen viestinnän tietosuoja-asetusta koskevaan komission ehdotukseen. Tietosuojavaltuutettu yhtyy näkemykseen, jonka mukaan erityissääntöjä tarvitaan edelleen sähköisen viestinnän luottamuksellisuuden ja tietoturvan suojaamiseksi EU:ssa ja yleisen tietosuoja-asetuksen vaatimusten täydentämiseksi ja tarkentamiseksi. Tietosuojavaltuutettu katsoo myös, että tarvitaan yksinkertaisia, kohdennettuja ja teknisesti neutraaleja säännöksiä, joilla voidaan varmistaa vahva, älykäs ja tehokas suoja tulevina vuosina.
Tietosuojavaltuutettu suhtautuu myönteisesti ilmoitettuun tavoitteeseen tarjota korkeatasoista suojaa sekä sisällölle että metadatalle ja erityisesti 2 jakson 1 kohdassa esitettyihin keskeisiin myönteisiin elementteihin.
Vaikka tietosuojavaltuutettu on ehdotukseen tyytyväinen, hän on edelleen huolissaan useista säännöksistä, jotka uhkaavat rapauttaa komission aikomuksen varmistaa korkeatasoinen yksityisyyden suoja sähköisessä viestinnässä. Tietosuojavaltuutetun tärkeimmät huolenaiheet:
|
— |
Ehdotukseen liittyvät määritelmät eivät saa riippua erillisestä lainsäädäntömenettelystä, joka koskee eurooppalaisesta sähköisen viestinnän säännöstöstä annettavaa direktiiviehdotusta (8). |
|
— |
Käyttäjän suostumusta koskevia säännöksiä on vahvistettava. Suostumus on pyydettävä palveluja käyttäviltä henkilöiltä siitä riippumatta, ovatko he tilanneet palvelun vai ei, samoin kuin kaikilta viestinnän osapuolilta. Lisäksi myös rekisteröityjä, jotka eivät ole viestinnän osapuolia, on suojeltava. |
|
— |
On varmistettava, ettei henkilötietojen suojeluun jää yleisen tietosuoja-asetuksen ja sähköisen viestinnän tietosuoja-asetuksen suhteeseen liittyviä aukkoja. Käyttäjän suostumuksen tai sähköisen viestinnän tietosuoja-asetuksen mukaisen muun laillisen perusteen mukaisesti kerättyjä henkilötietoja ei saa myöhemmin käsitellä tällaisen suostumuksen soveltamisalan ulkopuolella eikä sellaisen laillista perustetta koskevan poikkeuksen perusteella, joka saattaisi olla muutoin käytettävissä yleisen tietosuoja-asetuksen muttei sähköisen viestinnän tietosuoja-asetuksen mukaisesti. |
|
— |
Ehdotus ei ole riittävän kunnianhimoinen merkityksettömien suostumuskäytäntöjen suhteen (tracking walls, cookie walls). Verkkosivustojen käytön edellytykseksi ei saa asettaa sitä, että henkilön on annettava ”suostumus” siihen, että häntä seurataan muilla verkkosivustoilla. Toisin sanoen tietosuojavaltuutettu kehottaa lainsäätäjiä varmistamaan, että suostumus on aidosti vapaaehtoinen. |
|
— |
Ehdotuksessa ei onnistuta varmistamaan sitä, että henkilöiden digitaalisten jalanjälkien seuranta on oletusarvoisesti estetty selainten ja muiden markkinoilla olevien sähköisen viestinnän ohjelmistojen asetuksissa. |
|
— |
Päätelaitteen sijainnin seurantaa koskevat poikkeukset ovat liian laajoja, eikä riittäviä takeita ole. |
|
— |
Ehdotukseen sisältyy jäsenvaltioiden mahdollisuus ottaa käyttöön rajoituksia, mikä edellyttää erityisiä takeita. |
Lausunnossa tuodaan esiin nämä tärkeimmät ongelmakohdat, samoin kuin suositukset niiden käsittelemiseksi. Lausunnon päätekstissä esitettyjen yleisten huomautusten ja keskeisten ongelmakohtien lisäksi Euroopan tietosuojavaltuutettu esittää lausunnon liitteessä osittain teknisempiä lisähuomautuksia ja suosituksia tarkoituksenaan erityisesti helpottaa lainsäätäjien ja muiden sellaisten sidosryhmien työtä, jotka ovat halukkaita parantamaan tekstiä lainsäädäntöprosessin aikana. Lopuksi tietosuojavaltuutettu toteaa olevan tärkeää, että lainsäätäjät käsittelevät tämän tärkeän asian nopeasti, jotta voidaan varmistaa sähköisen viestinnän tietosuoja-asetuksen soveltaminen tarkoitetulla tavalla 25. toukokuuta 2018 alkaen eli siitä päivästä, josta alkaen yleistä tietosuoja-asetustakin sovelletaan.
Perusoikeuskirjan 7 artiklassa vahvistetun viestinnän luottamuksellisuuden merkitys kasvaa, kun sähköinen viestintä valtaa jalansijaa yhteiskunnassa ja taloudessa. Lausunnossa esiin tuoduilla takeilla on keskeinen merkitys, jotta digitaalisten sisämarkkinoiden strategiassa asetettujen komission pitkän aikavälin strategisten tavoitteiden toteutuminen voidaan varmistaa.
Tehty Brysselissä 24. huhtikuuta 2017.
Giovanni BUTTARELLI
Euroopan tietosuojavaltuutettu
(1) Ehdotus Euroopan parlamentin ja neuvoston asetukseksi yksityiselämän kunnioittamisesta ja henkilötietojen suojasta sähköisessä viestinnässä ja direktiivin 2002/58/EY kumoamisesta (sähköisen viestinnän tietosuoja-asetus), COM(2017) 10 final, 2017/0003 (COD).
(2) Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (EYVL L 201, 31.7.2002, s. 37).
(3) Tietosuojatyöryhmän lausunto 1/2017 ehdotuksesta sähköisen viestinnän tietosuoja-asetukseksi, (2002/58/EY) (WP247), 4.4.2017. Ks. myös tietosuojatyöryhmän lausunto 3/2016 sähköisen viestinnän tietosuojadirektiivin (2002/58/EY) arvioinnista ja tarkistamisesta (WP240), 19.7.2016.
(4) Ks. https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-07-22_Opinion_ePrivacy_EN.pdf.
(5) Digitaalisten sisämarkkinoiden strategia Euroopalle. Komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle, 6.5.2015, COM(2015) 192 final. Saatavana osoitteessa: http://eur-lex.europa.eu/legal-content/FI/TXT/PDF/?uri=CELEX:52015DC0192&from=FI.
(6) Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 281, 23.11.1995, s. 31).
(7) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).
(8) Ehdotus Euroopan parlamentin ja neuvoston direktiiviksi eurooppalaisesta sähköisen viestinnän säännöstöstä, COM (2016) 590 final/2, 2016/0288(COD), 12.10.2016.