EU:n tietosuojatyöryhmä WP29 antoi lausuntonsa uudesta ehdotuksesta sähköisen viestinnän tietosuoja-asetukseksi

EU:n jäsenvaltioiden tietosuojavaltuutetuista koostuva WP29-tietosuojatyöryhmä antoi lausuntonsa uudesta ehdotuksesta sähköisen viestinnän tietosuoja-asetukseksi, mistä Tietosuojauutiset osuvasti kirjoittikin aivan tuoreeltaan (artikkeli löytyy täältä).

Ehdotettu asetus lähtisi olettamasta, jonka mukaan sähköisen viestinnän tiedot ovat luottamuksellisia, ja kieltäisi “muiden kuin asianomaisten loppukäyttäjien” suorittaman sähköisen viestinnän tietoihin puuttumisen, kuten kuuntelun, salakuuntelun, tallennuksen, seurannan, lukemisen tai sähköisen viestinnän tietojen sieppaamisen, valvomisen tai käsittelyn muulla tavalla, jollei se ole nimenomaisesti asetuksessa sallittu. Tällaisen palvelun tarjoajan olisi siten poistettava sähköisen viestinnän sisältö tai anonymisoitava kyseiset tiedot sen jälkeen, kun aiottu vastaanottaja tai aiotut vastaanottajat ovat vastaanottaneet viestinnän sisällön. ’Sähköisen viestinnän tiedot’ käsittäisivät sekä sähköisen viestinnän sisällön (ml. teksti, puhe, video, kuva, ääni) että metadatan. Käytännössä tietojen anonymisointivelvoite voisi kasvaa paikoin mahdollisesti huomattavastikin. Tältä osin pelkkä tietojen pseydonymisointi ei siis välttämättä riittäisi.

WP29 ottikin tämän mukaisesti lausunnossaan ponnekkaasti esiin sen, että ehdotetun asetuksen tulisi turvata ”vähintäänkin samantasoinen, jollei parempi (pidemmälle menevä) suojan taso kuin mitä yleinen tietosuoja-asetus tarjoaa.

On hyvä huomata, että ehdotettu asetus on luonteeltaan erityissäännös (lex specialis), joten sen soveltaminen saanee etusijan suhteessa yleiseen tietosuoja-asetukseen. Tämä voi antaa merkittävästi valtaa tälle uudelle erityisnormille.

Lausunnossaan WP29 tuntuu ottavan positiivisen kannan uuden asetusehdotuksen laajaan soveltamisalaan, etenkin nimenomaan ”over-the top” suoratoisto-palveluntarjoajiin, ja vastaavasti sen kapeisiin poikkeuksiin.

Toisaalta, WP29 esittää tarkennuksia usean käsitteen määritelmiin, sekä samalla kantaa huolta esimerkiksi siitä, kykeneekö asetusehdotuksen teksti nykyisellään varmistamaan sen, mihin sillä nimenomaan pyritään, eli että niin sisällön kuin meta-datan analysoinnilla ei (enää) olisi mahdollista kuluttajien laajamittainen seuranta, jollei tämä olisi ehdottoman välttämätöntä.

WP29 myös korostaa, kuinka päätelaitteiston tulee täyttää ns. sisäänrakennetun ja oletusarvoisen tietosuojan vaatimukset, kuten yleinen tietosuoja-asetuskin jo edellyttää. Tämä tarkoittaa sitä, että päätelaitteiston tulee oletusarvoisesti, tarjota kuluttajille tietosuojaa vahvistavia vaihtoehtoja mm. ns. ”opt-out” eli ettei hänen tietojaan voida seurata ilman tämän hyväksyntää.

Lisäksi WP29 tuntuu kantavan huolta siitä, että tietoja suojataan kyllä niitä siirrettäessä, mutta ei välttämättä niitä säilytettäessä. Tässä nähdään jälleen mielenkiintoinen jännite lainsäädännön ja eri teknologioiden välillä, mitä tulee eri palveluiden, kuten alusta-palveluiden (SaaS yms. pilvipalveluiden tarjoajat) sekä älypuhelinsovellusten (”applikaatioiden”) tarjoajien rooliin. Joissain alustoissahan tiedot vain kulkevat läpi; kun taas jossain ne myös tallentuvat näihin alustoihin, jolloin tulee pohtia, mitkä ovat tällaisten välityspalvelimien rooli, velvoitteet ja vastuut jatkossa.

Tietojen säilyttäminen olisi mahdollista lähinnä tarpeellisuusvaatimuksen nojalla, esimerkiksi laskutusta varten, tai käyttäjän nimenomaisella suostumuksella (jonka tulisi olla yleisen tietosuoja-asetuksen mukainen). Kuitenkaan ehdotettu ehdotettu asetus ei sisällä mitään tarkennuksia koskien esimerkiksi tietojen säilyttämistä, vaan kuittaa asian toteamalla, että säilyttämisvastuu voi olla kolmannella taholla ja viittaa yleiseen tietosuoja-asetukseen, jota olisi noudatettava tältä osin. Jälkimmäisessä puolestaan annetaan jäsenvaltioille mahdollisuus pitää yhä voimassa kansallisia poikkeuksia tässä(kin) asiassa. Eli vesittyykö harmonisointi kuitenkin jälleen jossain määrin, jää nähtäväksi.

Lisäksi esimerkiksi ”suostumuksen” sekä ”legitiimin intressin” käsitteisiin liittyy vielä epävarmuuksia, jotka WP29 nosti lausunnossaan esiin.

Kaiken kaikkiaan uusia tulkinta-tilanteita tulee varmasti jatkossa riittämään, etenkin ottaen huomioon sen räjähdysmäisen nopeuden millä eri teknologiat kehittyvät.