27.4.2021   

FI

Euroopan unionin virallinen lehti

C 149/3

Tiivistelmä Euroopan tietosuojavaltuutetun lausunnosta, joka koskee ehdotusta digipalvelusäädökseksi

(Koko lausunto on luettavissa englanniksi, ranskaksi ja saksaksi Euroopan tietosuojavaltuutetun verkkosivustolla www.edps.europa.eu)

(2021/C 149/03)

Komissio antoi 15. joulukuuta 2020 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi digitaalisten palvelujen sisämarkkinoista (digipalvelusäädös) ja direktiivin 2000/31/EY muuttamisesta, jäljempänä ”digipalvelusäädös”.

Euroopan tietosuojavaltuutettu tukee komission tavoitetta edistää avointa ja turvallista verkkoympäristöä määrittämällä vastuut ja vastuuvelvollisuuden välityspalvelujen tarjoajille ja erityisesti verkkoalustoille, kuten sosiaaliselle medialle ja markkinapaikoille.

Euroopan tietosuojavaltuutettu suhtautuu myönteisesti siihen, että ehdotuksella pyritään täydentämään asetuksen (EU) 2016/679 ja direktiivin 2002/58/EY mukaisia suojakeinoja eikä korvaamaan niitä. Ehdotus kuitenkin vaikuttaa väistämättä henkilötietojen käsittelyyn. Euroopan tietosuojavaltuutettu katsoo, että on välttämätöntä varmistaa täydentävyys verkkoalustojen ja muiden säilytyspalvelujen tarjoajien valvonnassa.

Tietyt verkkoalustoihin liittyvät toimet lisäävät riskejä sekä yksilöiden oikeuksien että koko yhteiskunnan kannalta. Vaikka ehdotukseen sisältyy riskinhallintatoimenpiteitä, tarvitaan lisäsuojatoimia, erityisesti sisällön moderoinnin, verkkomainonnan ja suosittelujärjestelmien osalta.

Sisällön moderoinnissa olisi noudatettava oikeusvaltioperiaatetta. Koska yksilöiden käyttäytymistä seurataan jo kattavasti etenkin verkkoalustojen yhteydessä, digipalvelusäädöksessä olisi rajattava, milloin ”laittoman sisällön” torjuntatoimet oikeuttavat automaattisten keinojen käytön, jotta voidaan havaita, tunnistaa ja käsitellä laitonta sisältöä. Profilointi sisällön moderointia varten olisi kiellettävä, ellei palveluntarjoaja pysty osoittamaan, että kyseiset toimenpiteet ovat ehdottoman välttämättömiä digipalvelusäädöksessä nimenomaisesti määritettyjen järjestelmäriskien käsittelemiseksi.

Kohdennettuun verkkomainontaan liittyvien useiden riskien vuoksi Euroopan tietosuojavaltuutettu kehottaa molempia lainsäätäjiä harkitsemaan lisäsääntöjä, joissa käsitellään muutakin kuin vain avoimuutta. Tällaisiin toimenpiteisiin pitäisi kuulua sulautettuun seurantaan perustuvan kohdennetun mainonnan asteittainen poistaminen ja lopulta kieltäminen. Olisi myös rajoitettava tietoryhmiä, joita voidaan käsitellä kohdennusta varten, ja tietoryhmiä, joita voidaan luovuttaa mainostajille tai kolmansille osapuolille kohdennetun mainonnan tekemistä tai sen helpottamista varten.

Sisäänrakennetun ja oletusarvoisen tietosuojan vaatimusten mukaisesti suosittelujärjestelmien ei pitäisi oletusarvoisesti perustua profilointiin. Suosittelujärjestelmien merkittävän vaikutuksen vuoksi Euroopan tietosuojavaltuutettu kehottaa myös toteuttamaan lisätoimenpiteitä, joilla lisätään entisestään niiden avoimuutta ja käyttäjävalvontaa.

Yleisemmin ottaen Euroopan tietosuojavaltuutettu kehottaa ottamaan käyttöön yhteentoimivuutta koskevat vähimmäisvaatimukset erittäin suurille verkkoalustoille ja edistämään teknisten standardien kehittämistä EU:n tasolla eurooppalaista standardointia koskevan sovellettavan unionin lainsäädännön mukaisesti.

Euroopan tietosuojavaltuutettu ottaa huomioon digitaalisiin clearinghouse-alustoihin liittyvän kokemuksen ja kehityksen ja kehottaa voimakkaasti luomaan nimenomaisen ja kattavan oikeusperustan toimivaltaansa kuuluvalla alalla toimivien valvontaviranomaisten yhteistyölle ja asiaankuuluvien tietojen vaihdolle. Digipalvelusäädöksellä olisi varmistettava rakenteellinen ja jäsennelty yhteistyö toimivaltaisten valvontaviranomaisten, myös tietosuojaviranomaisten, kuluttajansuojaviranomaisten ja kilpailuviranomaisten, välillä.

1.   JOHDANTO JA TAUSTA

1.

 Komissio antoi 15. joulukuuta 2020 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi digitaalisten palvelujen sisämarkkinoista (digipalvelusäädös) ja direktiivin 2000/31/EY muuttamisesta (1).

2.

 Ehdotus on jatkoa tiedonannolle Euroopan digitaalista tulevaisuutta rakentamassa, jossa komissio vahvisti aikomuksensa laatia uudet ja tarkistetut säännöt, joilla syvennetään digitaalisten palvelujen sisämarkkinoita lisäämällä ja yhdenmukaistamalla verkkoalustojen ja tietopalvelujen tarjoajien vastuita ja vahvistamalla verkkoalustojen sisältöpolitiikan valvontaa EU:ssa (2).

3.

 Perustelujen mukaan uudet ja innovatiiviset digitaaliset palvelut ovat vaikuttaneet syvästi yhteiskunnan ja talouden muutoksiin unionissa ja kaikkialla maailmassa. Samaan aikaan niiden käytöstä aiheutuu uusia riskejä ja haasteita niin yhteiskunnalle kuin palveluja käyttäville ihmisille. (3)

4.

 Ehdotuksen tavoitteena on varmistaa parhaat edellytykset innovatiivisten digitaalisten palvelujen tarjoamiselle sisämarkkinoilla, edistää verkkoturvallisuutta ja perusoikeuksien suojelua sekä luoda vankka ja kestävä hallintorakenne välityspalvelujen tarjoajien tehokasta valvontaa varten (4). Sitä varten ehdotuksessa

on säännöksiä välityspalvelujen tarjoajien vastuuvapautuksesta (II luku)

säädetään huolellisuusvelvoitteista, jotka on mukautettu kyseessä olevan välityspalvelun tyypin ja luonteen mukaan (III luku)

on säännöksiä ehdotetun asetuksen täytäntöönpanosta ja täytäntöönpanon valvonnasta (IV luku).

5.

 Euroopan tietosuojavaltuutettua kuultiin digipalvelusäädöstä koskevasta ehdotusluonnoksesta epävirallisesti 27. marraskuuta 2020. Euroopan tietosuojavaltuutettu suhtautuu myönteisesti kuulemiseen menettelyn varhaisessa vaiheessa.

6.

 Digipalvelusäädöstä koskevan ehdotuksen lisäksi komissio on antanut myös ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi kilpailullisista ja oikeudenmukaisista markkinoista digitaalialalla (digimarkkinasäädös) (5). Euroopan tietosuojavaltuutettua on asetuksen (EU) 2018/1725 42 artiklan 1 kohdan mukaisesti kuultu myös digimarkkinasäädöstä koskevasta ehdotuksesta. Sitä käsitellään erillisessä lausunnossa.

3.   PÄÄTELMÄT

93.

 Edellä esitetyn perusteella Euroopan tietosuojavaltuutettu esittää seuraavat suositukset:

Suhde asetukseen (EU) 2016/679 ja direktiiviin 2002/58/EY:

Yhdenmukaistetaan ehdotuksen 1 artiklan 5 kohdan i alakohdan sanamuoto direktiivin 2000/31/EY 1 artiklan 5 kohdan b alakohdan voimassa olevan sanamuodon kanssa.

Selvennetään, että ehdotusta ei sovelleta rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuuta koskeviin kysymyksiin.

Sisällön moderointi ja rikoksia koskevista epäilyistä ilmoittaminen:

Selvennetään, että kaikki sisällön moderoinnin muodot eivät edellytä tietyn rekisteröidyn määrittämistä ja että tietojen minimoinnin ja sisäänrakennetun ja oletusarvoisen tietosuojan vaatimusten mukaisesti sisällön moderointiin ei mahdollisuuksien mukaan pitäisi kuulua henkilötietojen käsittelyä.

Varmistetaan, että sisällön moderointi tehdään oikeusvaltioperiaatteen mukaisesti rajaamalla, milloin ”laittoman sisällön” torjuntatoimet oikeuttavat automaattisten keinojen käytön ja henkilötietojen käsittelyn, jotta voidaan havaita, tunnistaa ja käsitellä laitonta sisältöä.

Täsmennetään, että profilointi sisällön moderointia varten olisi kiellettävä, ellei palveluntarjoaja pysty osoittamaan, että kyseiset toimenpiteet ovat ehdottoman välttämättömiä ehdotuksessa nimenomaisesti määritettyjen järjestelmäriskien käsittelemiseksi.

Selvennetään, voivatko välityspalvelujen tarjoajat ilmoittaa vapaaehtoisesti rikoksia koskevista epäilyistä lainvalvonta- tai oikeusviranomaisille ja missä määrin se voidaan tehdä, ehdotuksen 21 artiklassa tarkoitetun tapauksen lisäksi.

Täsmennetään, että kaikkien säilytyspalvelujen tarjoajien, jotka käyttävät sisällön moderointiin automaattisia keinoja, on varmistettava, että kyseisillä keinoilla saatavat tulokset eivät ole syrjiviä tai perusteettomia.

Laajennetaan ehdotuksen 12 artiklan 2 kohdan vaatimusta kaikkiin sisällön moderoinnin muotoihin riippumatta siitä, tehdäänkö moderointi tarjoajan ehtojen mukaisesti tai muulla perusteella, ja täsmennetään, että kyseisten toimenpiteiden on oltava ”tarpeellisuuden” lisäksi ”oikeassa suhteessa” tavoitteeseen nähden.

Vahvistetaan ehdotuksen 14 artiklan 6 kohdassa ja 15 artiklan 2 kohdan c alakohdassa esitettyjä avoimuusvaatimuksia ilmoittamalla vielä yksityiskohtaisemmin, mitä tietoja kyseessä oleville ihmisille on annettava etenkin, jos kyseistä sisällön moderointia varten käytetään automaattisia keinoja, sanotun rajoittamatta asetuksen (EU) 2016/679 ilmoittamisvelvollisuutta ja rekisteröityjen oikeuksia.

Muokataan ehdotuksen 15 artiklan 2 kohtaa siten, että siinä todetaan yksiselitteisesti, että laittoman sisällön havaitsemiseksi ja tunnistamiseksi käytetyistä automaattisista keinoista on joka tapauksessa annettava tietoa riippumatta siitä, liittyikö sitä seuranneeseen päätökseen automaattisten keinojen käyttöä vai ei.

Vaaditaan kaikkia säilytyspalvelujen tarjoajia, ei vain verkkoalustoja, tarjoamaan ehdotuksen 17 artiklassa tarkoitetut helposti käytettävissä olevat valitusmekanismit.

Lisätään ehdotuksen 17 artiklaan määräaika alustan valituksesta tekemälle päätökselle sekä maininta siitä, että perustettava valitusmekanismi ei saa vaikuttaa asetuksen (EU) 2016/679 ja direktiivin 2002/58/EY mukaisesti rekisteröityjen käytettävissä oleviin oikeuksiin ja oikeussuojakeinoihin.

Esitetään liitteessä annettavan luettelon avulla vielä tarkemmin kaikki muut rikokset (paitsi lasten seksuaalinen hyväksikäyttö), jotka täyttävät ehdotuksen 21 artiklan kynnysarvon ja joista on ehkä tehtävä ilmoitus.

Pohditaan sellaisten lisätoimenpiteiden käyttöönottoa, joilla voidaan varmistaa avoimuus ja rekisteröityjen oikeuksien käyttö ja joihin sovelletaan silloin, kun se on ehdottoman välttämätöntä, suppeasti määritettyjä rajoituksia (esim. kun on suojeltava käynnissä olevan tutkimuksen luottamuksellisuutta) asetuksen (EU) 2016/679 23 artiklan 1 ja 2 kohdassa esitettyjen vaatimusten mukaisesti.

Määritellään selkeästi ehdotuksen 21 artiklassa tarkoitettu käsite ”asiaankuuluvat tiedot” esittämällä tyhjentävä luettelo tietoryhmistä, jotka olisi ilmoitettava, sekä kaikki tietoryhmät, jotka olisi tarvittaessa säilytettävä asiaankuuluvien lainvalvontaviranomaisten tulevien tutkimusten tueksi.

Verkkomainonta:

Pohditaan sellaisten lisäsääntöjen käyttöönottoa, joissa käsitellään muutakin kuin vain avoimuutta, muun muassa sulautettuun seurantaan perustuvan kohdennetun mainonnan asteittaista poistamista ja lopulta kieltämistä.

Pohditaan rajoituksia, jotka koskevat a) tietoryhmiä, joita voidaan käsitellä kohdentamista varten, b) tietoryhmiä tai kriteereitä, joiden perusteella mainoksia voidaan kohdentaa tai toteuttaa, ja c) tietoryhmiä, joita voidaan luovuttaa mainostajille tai kolmansille osapuolille kohdennetun mainonnan tekemistä tai sen helpottamista varten.

Selkeytetään entisestään ehdotuksen 24 ja 30 artiklan viittausta luonnolliseen henkilöön tai oikeushenkilöön, jonka puolesta mainos esitetään.

Lisätään 24 artiklan vaatimuksiin uusi kohta, jossa vaaditaan alustan tarjoajaa ilmoittamaan rekisteröidyille, onko mainos valittu käyttämällä automaattista järjestelmää (esim. mainosten välitysjärjestelmää tai alustaa), ja jos se on valittu siten, määrittämään järjestelmistä vastuussa olevat luonnolliset henkilöt tai oikeushenkilöt.

Selvennetään 30 artiklan 2 kohdan d alakohdassa, että rekisterissä olisi oltava tietoa myös siitä, onko yksi tai useampi palvelun vastaanottajien ryhmä jätetty mainonnan kohderyhmän ulkopuolelle.

Korvataan viittaus ”tärkeimpiin parametreihin” viittauksella ”parametreihin” ja selvennetään entisestään, mitä parametreja vähintään tarvitaan, jotta saadaan ehdotuksen 24 ja 30 artiklassa tarkoitetut ”merkitykselliset tiedot”.

Harkitaan samanlaisia vaatimuksia, joita sovelletaan elinkeinonharjoittajien jäljitettävyyden (ehdotuksen 22 artikla) varmistamiseen, verkkomainontapalvelujen käyttäjien (ehdotuksen 24 ja 30 artikla) osalta.

Suosittelujärjestelmät:

Selvennetään, että sisäänrakennetun ja oletusarvoisen tietosuojan vaatimusten mukaisesti suosittelujärjestelmien ei pitäisi oletusarvoisesti perustua asetuksen (EU) 2016/679 4 artiklan 4 kohdassa tarkoitettuun ”profilointiin”.

Säädetään, että suosittelujärjestelmien tehtävää ja toimintaa koskevat tiedot on annettava erikseen siten, että ne ovat helposti käytettävissä, tavallisen kansalaisen ymmärrettävissä ja tiiviitä.

Säädetään, että sisäänrakennetun ja oletusarvoisen tietosuojan vaatimusten mukaisesti suosittelujärjestelmien ei pitäisi oletusarvoisesti perustua asetuksen (EU) 2016/679 4 artiklan 4 kohdassa tarkoitettuun ”profilointiin”.

Sisällytetään ehdotuksen 29 artiklaan seuraavat lisävaatimukset:

mainitaan alustan näkyvässä osassa, että alustalla käytetään suosittelujärjestelmää ja seurantaa, sekä esitetään käytettävissä olevat vaihtoehdot helppokäyttöisellä tavalla

ilmoitetaan alustan käyttäjälle, onko suosittelujärjestelmä automaattinen päätöksentekojärjestelmä, ja jos se on, määritetään päätöksestä vastuussa oleva luonnollinen henkilö tai oikeushenkilö

annetaan rekisteröidyille mahdollisuus tarkastella helppokäyttöisellä tavalla kaikkia profiileita, joita käytetään alustan sisällön kuratoinnissa palvelun vastaanottajan osalta

annetaan palvelun vastaanottajan mukauttaa suosittelujärjestelmiä vähintään tavanomaisten peruskriteerien (esim. aika, mielenkiinnon kohde) osalta

tarjotaan käyttäjille helposti käytettävissä oleva vaihtoehto poistaa kaikki heidän näkemänsä sisällön kuratoimiseen käytetyt profiilit.

Hyväksyttyjen tutkijoiden pääsystä tietoihin:

Säädetään, että sisäänrakennetun ja oletusarvoisen tietosuojan vaatimusten mukaisesti suosittelujärjestelmien ei pitäisi oletusarvoisesti perustua asetuksen (EU) 2016/679 4 artiklan 4 kohdassa tarkoitettuun ”profilointiin”.

Muotoillaan ehdotuksen 26 artiklan 1 kohdan c alakohta uudelleen siten, että siinä viitataan tosiasiallisiin tai ennakoitavissa oleviin kielteisiin vaikutuksiin kansanterveyden suojeluun, alaikäisiin tai kansalaiskeskusteluun taikka tosiasiallisiin tai ennakoitavissa oleviin vaikutuksiin vaalimenettelyihin ja yleiseen turvallisuuteen erityisesti niiden palvelun tahallisen manipuloinnin, mukaan lukien palvelun epäaidon käytön tai automatisoidun hyödyntämisen, riskin osalta.

Laajennetaan 31 artiklaa vähintään siten, että riskinhallintatoimenpiteiden tehokkuus ja oikeasuhteisuus voidaan tarkastaa.

Pohditaan, miten yleisen edun mukaista tutkimusta voidaan edistää yleisemmin, myös ehdotuksen noudattamisen seurannan ulkopuolella.

Alustojen yhteentoimivuudesta:

Harkitaan yhteentoimivuutta koskevien vähimmäisvaatimusten käyttöön ottamista erittäin suurille verkkoalustoille ja edistetään teknisten standardien kehittämistä EU:n tasolla eurooppalaista standardointia koskevan sovellettavan unionin lainsäädännön mukaisesti.

Täytäntöönpanosta, yhteistyöstä, seuraamuksista ja täytäntöönpanon valvonnasta:

Varmistetaan täydentävyys verkkoalustojen ja muiden säilytyspalvelujen tarjoajien valvonnassa etenkin

säätämällä nimenomaisesta oikeusperustasta toimivaltaansa kuuluvalla alalla toimivien viranomaisten väliselle yhteistyölle

edellyttämällä rakenteellista ja jäsenneltyä yhteistyötä toimivaltaisten valvontaviranomaisten, myös tietosuojaviranomaisten, välillä

viittaamalla yksiselitteisesti yhteistyössä mukana oleviin toimivaltaisiin viranomaisiin ja määrittämällä olosuhteet, joissa yhteistyötä olisi tehtävä.

Viitataan ehdotuksen johdanto-osan kappaleissa kilpailulainsäädännön alalla toimivaltaisiin viranomaisiin sekä Euroopan tietosuojaneuvostoon.

Varmistetaan, että digitaalisten palvelujen koordinaattoreilla, toimivaltaisilla viranomaisilla ja komissiolla olisi valtuudet ja velvollisuus kuulla myös asiaankuuluvia toimivaltaisia viranomaisia, muun muassa tietosuojaviranomaisia, niiden tutkiessa ja arvioidessa ehdotuksen noudattamista.

Selvennetään, että ehdotuksessa tarkoitettujen toimivaltaisten valvontaviranomaisten olisi pystyttävä antamaan asetuksessa (EU) 2016/679 tarkoitettujen toimivaltaisten valvontaviranomaisten pyynnöstä tai omasta aloitteesta kaikki tiedot, jotka on saatu henkilötietojen käsittelyyn liittyvien tarkastusten ja tutkimusten yhteydessä, ja sisällytetään sitä varten ehdotukseen nimenomainen oikeusperusta.

Varmistetaan ehdotuksen 41 artiklan 5 kohdan, 42 artiklan 2 kohdan ja 59 artiklan kriteerien yhdenmukaisuuden parantaminen.

Annetaan Euroopan digitaalisten palvelujen lautakunnalle mahdollisuus antaa oma-aloitteisia lausuntoja ja annetaan tietosuojaneuvostolle mahdollisuus antaa lausuntoja muista asioista kuin komission toteuttamista toimenpiteistä.

Brysselissä 10. helmikuuta 2021.

Wojciech Rafał WIEWIÓROWSKI

(1)  COM (2020) 825 final.

(2)  COM(2020) 67 final, s. 12.

(3)  COM (2020) 825 final, s. 1.

(4)  COM (2020) 825 final, s. 2.

(5)  COM(2020) 842 final.