EU tarttuu kuluttajien digiseurantaan – Komission uusi sähköisen viestinnän tietosuoja-asetus tähtää käyttäjien seurantakäytänteiden harmonisointiin

Ninth-Avenue

Montako ”hyväksyn” ruutua olet jo tänään ehtinyt painaa? Kun surffaamme netissä tai käytämme erilaisia mobiili-sovelluksia jätämme samalla näihin palveluihin monenlaisia digitaalisia jalanjälkiä itsestämme. Kerromme esimerkiksi osoitteemme, syntymäaikamme, tilinumeromme, tai valitsemme mieltymyksiämme vaikkapa viihteen, urheilun, ravitsemuksen tai terveydenhuollon saralla.

EU haluaa puuttua tähän käyttäjien seurantaan entistä järeämmillä keinoilla. Tammikuussa julkaistu ehdotus sähköisen viestinnän tietosuoja-asetukseksi on osa komission digitaalista sisämarkkinastrategiaa. Tavoitteena on sääntelyn yhdenmukaistaminen paitsi jäsenvaltiotasolla, mutta myös sääntelyn yhdenmukaistaminen ja modernisointi EU:n yleisen tietosuoja-asetuksen kanssa. Molempien asetusten soveltaminen on määrä alkaa samanaikaisesti ensi vuoden toukokuussa.

Uudessa asetuksessa todetaan kuinka käyttäjiä seuraavat tekniikat ”muodostavat vakavan uhan loppukäyttäjien yksityisyydelle” ja tämän seurauksena lainsäätäjä haluaa nyt että ”tällainen puuttuminen loppukäyttäjän päätelaitteeseen olisi sallittava ainoastaan loppukäyttäjän suostumuksella ja nimenomaisia ja avoimia tarkoituksia varten.”

Yrityksille nämä ”rasti-ruutuun” valintamme tuottavat monella tapaa arvokasta dataa; niiden mahdollistaessa mm. asiakasprofiilien luontia ja seurantaa, sekä palveluiden räätälöintiä yhä yksityiskohtaisemmin kunkin kuluttajan preferenssien ja tarpeiden mukaan. Tällä voidaan toki tavoittaa potentiaalisesti enemmän relevantteja kuluttajia ja tarjota heille juuri jokaisen mieltymyksiin parhaiten sopivaa palvelua.

Mutta kolikolla on kääntöpuolensa. Kuluttaja voi toisinaan olla (tai ainakin luulla olevansa) tietoinen siitä, mitä kaikkea dataa hänestä kerätään, mutta monesti palvelu tietää kuluttajasta enemmän kuin tämä luuleekaan. Lisäksi moni rastittaa näytölle pomppaavan ”hyväksyn” ruudun lähes oikopäätä, näkemättä (saati lukematta) esimerkiksi sivuston tietosuojakäytänteistä, tai käyttäjäehdoista sen enempää, eikä siis todella voi olla tietoinen, mitä ja mihin hänen tietoja kerätään. Kuluttajien mahdollisuudet myöskään selvittää, mitä tietoja minnekin kerätään, saati puuttua näihin käytänteisiin, ovat usein kovin puutteellisia, ja yritysten käytänteet kuluttajien informoimiseksi ovat kirjavia.

Kuitenkin tilanteet, ”joissa yksityisyyden loukkausta ei tapahdu tai se jää hyvin vähäiseksi“ muodostaisi (yhä) poikkeuksen, eli mahdollistaisi tiedon keräämisen myös käyttäjän suostumuksetta. Mielenkiintoiseksi jää sen seuranta, miten tätä poikkeusta tullaan jatkossa kansallisesti tulkitsemaan. Esimerkiksi joissain jäsenvaltioissa Googlen keräämät sijaintitiedot ovat vaatineet tietosuojaviranomaisen luvan; osassa Google on tuomittu sakkoihin.

Lisäksi mobiilisovellus, joka luovuttaa kuluttajien sijaintitietoja sekä terveyttä koskevia tietoja ilman näiden suostumusta voidaan tulkita kielletyksi.

Tähän saakka direktiivin lisäksi jäsenvaltioissa on ollut lisäksi voimassa kansallisen tason sääntelyä mm. yksityisen kirjeenvaihdon kunnioittamisesta, mikä sääntely voi käytännössä nyt uuden asetuksen myötä tulla uudelleen tarkastelevaksi.

Uusi asetusehdotus tähtää myös siihen, että kuluttajien mahdollisuudet turvata yksityisyyttään esimerkiksi puhelimitse tapahtuvassa markkinoissa kasvaisivat. Myös tällaisia sähköisiä viestintäpalveluita tarjoavien yritysten tulisi tarjota kuluttajille vaihtoehtoja. Tähän liittyen, jo yleisen tietosuoja-asetuksen mukaisesti esimerkiksi evästeiden käyttö olisi mukautettava yhdenmukaisesti yleisen tietosuoja-asetuksen sisäänrakennetun tietosuojan kanssa niin, että oletusarvoisesta ”hyväksy evästeet” -kaatolausekkeesta siirryttäisiin jatkossa jalostetumpiin muotoihin, kuten: ”Älä hyväksy evästeitä”, ”Hyväksy evästeet aina”, ”Estä kolmannen osapuolen evästeet” tai ”Hyväksy vain ensimmäisen osapuolen evästeet”, jotka “olisi esitettävä helposti erottuvalla ja ymmärrettävällä tavalla.”

Tietojen säilyttäminen olisi mahdollista lähinnä tarpeellisuusvaatimuksen nojalla, esimerkiksi laskutusta varten, tai käyttäjän nimenomaisella suostumuksella (jonka tulisi olla yleisen tietosuoja-asetuksen vaatimusten mukainen).

Jää nähtäväksi, minkälaisia vaihtoehtoja ja työkaluja yritykset tulevat jatkossa kehittämään ja kuluttajat jatkossa suosimaan.