Tietosuoja sähköisen viestinnän alalla

Tietoa vaihdetaan julkisten sähköisten viestintäpalvelujen, kuten internetin ja matkapuhelin- ja maalinjaliikenteen, sekä niihin kuuluvien verkkojen välityksellä. Nämä palvelut ja verkot edellyttävät erityisiä sääntöjä ja suojatoimia, jotta käyttäjien oikeus yksityisyyteen ja luottamuksellisuuteen voidaan varmistaa.

SÄÄDÖS

Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi).

TIIVISTELMÄ

Tietoa vaihdetaan julkisten sähköisten viestintäpalvelujen, kuten internetin ja matkapuhelin- ja maalinjaliikenteen, sekä niihin kuuluvien verkkojen välityksellä. Nämä palvelut ja verkot edellyttävät erityisiä sääntöjä ja suojatoimia, jotta käyttäjien oikeus yksityisyyteen ja luottamuksellisuuteen voidaan varmistaa.

DIREKTIIVIN TARKOITUS

Direktiivissä määritetään säännöt, jotka koskevat henkilötietojen käsittelyn turvallisuuden varmistamista, henkilötietojen tietoturvaloukkauksista ilmoittamista ja viestinnän luottamuksellisuuden takaamista. Siinä myös kielletään ei-toivottu suoramarkkinointi, johon käyttäjä ei ole antanut suostumustaan.

TÄRKEIMMÄT KOHDAT

Sähköisten viestintäpalvelujen tarjoajien on varmennettava palvelunsa vähintään seuraavilla tavoilla:

• varmistamalla, että ainoastaan siihen luvan saaneet henkilöt pääsevät käsittelemään henkilötietoja,
• suojaamalla henkilötiedot tuhoamiselta, kadottamiselta tai tahattomalta muuttamiselta sekä muulta laittomalta tai luvattomalta käsittelytavalta,
• varmistamalla henkilötietojen käsittelyä koskevan turvapolitiikan toteuttaminen.

Palveluntarjoajan on ilmoitettava kansallisille viranomaisille henkilötietoja koskevista tietoturvaloukkauksista 24 tunnin kuluessa. Jos on todennäköistä, että henkilötietoja tai käyttäjän yksityisyyttä loukataan, palveluntarjoajan on ilmoitettava tästä myös käyttäjille, mikäli tiedon suojaamiseksi ei ole ryhdytty erityisiin teknisiin toimenpiteisiin.

EU-maiden on varmistettava julkisten verkkojen kautta tapahtuvan viestinnän luottamuksellisuus ja erityisesti

• kiellettävä viestinnän ja siihen liittyvien liikennetietojen kuuntelu, salakuuntelu, tallentaminen, kaikenlainen seuranta tai sieppaaminen tai valvonta ilman käyttäjien suostumusta, lukuun ottamatta henkilöitä, jotka ovat tähän laillisesti oikeutettuja ja täyttävät erityiset vaatimukset,
• taattava, että tietojen tallentaminen tai henkilökohtaiselle laitteelle tallennettujen tietojen käyttö on sallittu ainoastaan, jos käyttäjälle on annettu selkeät ja kattavat tiedot muun muassa tarkoituksesta ja hänelle on tarjottu mahdollisuus kieltäytyä.

Kun liikennetietoja ei enää tarvita viestintään tai laskutukseen, ne on poistettava tai tehtävä nimettömiksi. Palveluntarjoajat saavat kuitenkin käyttää näitä tietoja markkinointitarkoituksiin, mikäli käyttäjät antavat tähän suostumuksensa. Suostumus voidaan peruuttaa milloin tahansa.

Käyttäjän suostumus tarvitaan myös moniin muihin tilanteisiin:

• Ei-toivottujen yhteydenottojen (roskaposti) lähettäminen käyttäjille. Tähän kuuluvat myös tekstiviestit ja muut sähköisesti välitettävät sanomat.
• Tietojen (evästeiden) tallentaminen käyttäjien tietokoneelle tai laitteeseen tai ennen kuin lupa tämän tiedon saamiseen on annettu. Käyttäjille on annettava selkeät ja kattavat tiedot muun muassa tiedon tallentamisen tai käytön syistä.
• Puhelinnumeroiden, sähköpostiosoitteiden tai postiosoitteiden julkaiseminen yleisesti saatavilla olevissa hakemistoissa.

EU-mailla on oltava rangaistusjärjestelmä, johon kuuluu laillisia seuraamuksia direktiivin rikkomisesta.

Oikeuksien ja velvollisuuksien soveltamisalaa voidaan rajoittaa ainoastaan kansallisilla lainsäädäntötoimenpiteillä, kun rajoitukset ovat tarpeellisia ja oikeasuhteisia erityisen yleisen edun turvaamiseksi, kuten rikostutkinnan mahdollistamiseksi tai kansallisen turvallisuuden, puolustuksen tai yleisen turvallisuuden suojaamiseksi.

MILLOIN DIREKTIIVIÄ SOVELLETAAN?

Direktiiviä sovelletaan 31. heinäkuuta 2002 alkaen.

TAUSTAA

Tämä direktiivi on yksi viidestä direktiivistä, jotka yhdessä muodostavat televiestintäpaketin, sähköisen viestinnän alan lainsäädäntökehyksen. Muut direktiivit kattavat yleiset puitteet, pääsyn ja yhteenliittämisen, valtuuttamisen ja luvan myöntämisen sekä yleispalvelun.

Pakettia muutettiin vuonna 2009 kahdella direktiivillä, jotka koskevat parempaa lainsäädäntöä ja kansalaisten oikeuksia, sekä asetuksella, jolla perustettiin Euroopan sähköisen viestinnän sääntelyviranomaisten yhteistyöelin.

Lisätietoa on saatavana sähköisen viestinnän tietosuojadirektiiviä käsittelevältä Euroopan komission verkkosivustolta.

COVID-19-kriisin puhkeamisen jälkeen ja osana kriisin vaikutusten hallitsemiseksi toteutettuja toimia Euroopan komissio hyväksyi Komission suositus (EU) 2020/518, annettu 8 päivänä huhtikuuta 2020, unionin yhteisestä välineistöstä teknologian ja datan käyttöä varten covid-19-kriisin torjumiseksi ja siitä ulospääsemiseksi erityisesti mobiilisovellusten ja anonymisoidun liikkuvuusdatan käytön osalta

MUUT ASIAAN LIITTYVÄT ASIAKIRJAT

Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 281, 23.11.1995, s. 31-50).

Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001, s. 1-22).

Euroopan parlamentin ja neuvoston direktiivi 2006/24/EY, annettu 15 päivänä maaliskuuta 2006, yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen yhteydessä tuotettavien tai käsiteltävien tietojen säilyttämisestä ja direktiivin 2002/58/EY muuttamisesta (EUVL L 105, 13.4.2006, s. 54-63). (todettu pätemättömäksi Euroopan unionin tuomioistuimen päätöksellä, katso kohta alapuolella).

Komission asetus (EU) N:o 611/2013, annettu 24. kesäkuuta 2013, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY mukaisten henkilötietojen tietoturvaloukkausten ilmoittamiseen sovellettavista toimenpiteistä (EUVL L 173, 26.6.2013, s. 2-8).

Yhdistetyt asiat C-293/12 ja C-594/12: unionin tuomioistuimen tuomio (suuri jaosto) 8.4.2014 (High Courtin (Irlanti) ja Verfassungsgerichtshofin (Itävalta) esittämät ennakkoratkaisupyynnöt) - (asiassa C-293/12) Digital Rights Ireland Ltd v. Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, Commissioner of the Garda Síochána, Irlanti ja Attorney General, sekä (asiassa C-594/12) Kärntner Landesregierung, Michael Seitlinger ja Christof Tschohl ym. (C-594/12) (Sähköiset viestintäpalvelut - Direktiivi 2006/24/EY - Yleisesti saatavilla olevat sähköiset viestintäpalvelut tai yleiset viestintäverkot - Tällaisten palvelujen yhteydessä tuotettavien tai käsiteltävien tietojen säilyttäminen - Pätevyys - Euroopan unionin perusoikeuskirjan 7, 8 ja 11 artikla) (EUVL C 175, 10.6.2014, s. 6-7).

Viimeisin päivitys: 25.05.2020