Sähköisen viestinnän tietosuoja-asetuksen myötä WhatsApp-viestisi nauttivat vastaavaa viestinnän luottamuksellisuuden suojaa kuin tekstiviestisi

ePrivacyEhdotettu sähköisen viestinnän tietosuoja-asetus, lyhyemmin ePrivacy-asetus, tulee uudistamaan sähköisen viestinnän tietosuojasääntelyä kaikissa unionin alueella tarjottavissa sähköistä viestintää sisältävissä palveluissa. Vaikka sähköisen viestinnän tietosuojaa ja yksityisyyden suojaa koskeva sääntely on Suomessa kohtuullisen modernia vuoden 2015 alussa voimaan tulleen tietoyhteiskuntakaaren (myöhemmin myös TYK) jäljiltä, tulee ePrivacy-asetus aiheuttamaan muutoksia myös meillä. Tässä artikkelissa tarkastellaan ePrivacy-asetuksen niitä säännöksiä, jotka ehdotetussa muodossaan voimaan tultuaan tulisivat tuomaan kaiken unionin alueella olevien kuluttajien toteuttaman sähköisen kohdeviestinnän asetuksen soveltamisalan piiriin, ja näin ollen aiheuttavat mullistuksia ns. pikaviestipalveluiden, kuten WhatsAppin, iMessagen tai Facebook Messengerin, sääntely-ympäristössä myös Suomessa.

Ennen vuodenvaihdetta 2015 voimassa ollut, sähköisen viestinnän tietosuojalakiin (myöhemmin SVTSL) perustunut tietosuojaa ja yksityisyyden suojaa koskeva kotimainen sääntely koski lähinnä perinteisiä suomalaisten teleyritysten tarjoamia viestintäpalveluita. Esimerkiksi osana teleyrityksen viestintäpalvelua lähetetty tekstiviesti oli jo aiemmin ollut SVTSL:n soveltamisalan piirissä, kun taas ulkomaalaisen palveluntarjoajan sovelluksen avulla internetyhteyden päällä lähetetty pikaviesti jäi jokseenkin poikkeuksetta lain soveltamisalan ulkopuolelle. Näin oli päädytty tilanteeseen, jossa perinteisemmät viestintätavat olivat yksityisyyden suojaa koskevien säännösten näkökulmasta olennaisesti eri asemassa kuin uudenlaiset. Koska palvelun ”peruskäyttäjä” ei välttämättä näe mitään eroa erilaisten viestintään käytettävien palveluiden välillä, on eriasteinen suojan taso käytetystä palvelutyypistä riippuen vaikeasti perusteltavissa.

Tietoyhteiskuntakaaren säännöksillä otettiinkin oikeita askelia tämän epäkohdan korjaamisen suuntaan. Ensinnäkin tietoyhteiskuntakaaressa lanseerattiin termi viestinnän välittäjä, jolla tarkoitetaan paitsi mm. tekstiviestejä välittävää teleyritystä, myös muuta tahoa, joka välittää muuta sähköistä viestintää muutoin kuin henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiin. Koska viestinnän välittäjän on tehtävänsä vuoksi pakko käsitellä viestejä ja välitystietoja, ovat nämä kriittisessä asemassa luottamuksellisen viestinnän suojan toteutumisen kannalta, mistä syystä näiden toimijoiden tietojen käsittelyoikeuksia koskevat säännökset lisättiin tietoyhteiskuntakaareen (17 luku).

Toisekseen tietoyhteiskuntakaaren eräiden säännösten soveltamista koskeva 2 § tuo tietyissä tilanteissa myös ulkomaiset sähköisiä viestejä välittävät palveluntarjoajat, kuten kansainväliset pikaviestijätit, lain erikseen yksilöityjen yksityisyyden suojaa koskevien säännösten soveltamisalan piiriin. Mikäli tietoyhteiskuntakaaren 2 § soveltuu, sovelletaan myös lain viestinnän luottamuksellisuutta ja yksityisyyden suojaa koskevia säännöksiä (17 luku) sekä palvelun tietoturvaa koskevaa 247 §:ää viestinnän välittäjiin näiden sijoittautumisvaltiosta riippumatta.

TYK 17 luvussa säädetään sähköisen viestinnän (sisällön) ja välitystietojen käsittelystä. TYK 136 §:n mukaan sähköisen viestinnän ja välitystietojen käsittely on sallittua viestinnän osapuolen suostumuksella tai lain säännöksen nojalla. TYK 17 luvussa listataankin joukko perusteita, joiden nojalla viestinnän välittäjän on lupa käsitellä välitystietoja (138–144 §). TYK 145 §:n mukaisesti puolestaan viestinnän välittäjän on tallennettava yksityiskohtaiset tapahtumatiedot viestinnän luottamuksellisuuden ja yksityisyyden suojan kannalta keskeisiä välitystietoja sisältävissä tietojärjestelmissä tapahtuvasta välitystietojen käsittelystä. Tietojen käsittelyä koskevien tietojen tallennusvelvollisuudella turvataan sähköisen viestintää sisältävän palvelun käyttäjän yksityisyyden suojaa: syntyvistä lokitiedoista voidaan jälkikäteen selvittää ne käsittelytoimet, joita palveluntarjoaja on välitystietoihin kohdistanut.

Tallennus- ja säilytysvelvollisuus ei kuitenkaan ole kaikissa tapauksissa sillä tavoin ehdoton velvollisuus, etteikö palveluntarjoaja voisi siitä tietyin edellytyksin vapautua. TYK 145 §:n mukaisen talletus- ja säilytysvelvollisuuden noudattamisen edellytyksenä on, että lokitietojen tallentaminen voidaan toteuttaa teknisesti ja se on ilman kohtuuttomia kustannuksia mahdollista. TYK:n valmistelun yhteydessä Liikenne- ja viestintävaliokunta katsoi saamansa selvityksen perusteella, ettei tietojen tallentaminen kaikissa järjestelmissä ole kohtuullisin kustannuksin toteutettavissa, mistä syystä ”muilta kuin teleyrityksiltä ei ole kohtuullista edellyttää kovinkaan mittavia ja kustannuksia aiheuttavia ratkaisuja lokitietojen tallentamisvelvollisuuden toteuttamiseksi” (LiVM 10/2014 vp, s. 20). Jos lokititetoja ei kuitenkaan ole välttämätöntä tallentaa, ei välitystietojen käsittelyä voida asianmukaisesti valvoa ja jos valvontamahdollisuutta ei ole, voidaan sääntelyn tehokas toteutuminen kyseenalaistaa. Tietoyhteiskuntakaaren sääntely jättääkin muille viestinnän välittäjille kuin teleyrityksille suuremmat mahdollisuudet välitystietojen väärinkäyttöön, eikä näillä siten voida voimassaolevan lainsäädännön perusteella katsoa olevan teleyrityksille säädettyä ehdotonta velvoitetta käyttäjän yksityisyyden ja viestinnän luottamuksellisuuden varmistamiseksi.

Tietoyhteiskuntakaarta koskeva hallituksen esitys (HE 221/2013 vp) tosin indikoi kunnianhimoisia tavoitteita siitä, että SVTSL:n aikana vallinneeseen oikeustilaan tehtäisi muutos ja siirryttäisi tietynlaisten toimijoiden sääntelystä kohti tietynlaisen toiminnan sääntelyä, mutta valiokuntakäsittelyn aikana lakiehdotukseen tehdyt muutokset vesittivät nämä tavoitteet ainakin osittain. Koska kaikki luottamuksellisen viestinnän suojaan liittyvät säännökset eivät aina ole kaikkia viestinnän välittäjiä ehdottomasti velvoittavia, ei näiden tahojen viestinnän luottamuksellisuuden suojan piiriin kajoavien toimien arviointi ja sanktiointi kaikissa tilanteissa ole mahdollista, ja voidaan todeta, ettei viestinnän välittäjän toimia koskeva nykyinen sääntelykokonaisuus ole paras mahdollinen paitsi käyttäjän yksityisyyden suojan, myöskään erilaisten toimijoiden yhdenvertaisen kohtelun takaamisen näkökulmasta. Tietoyhteiskuntakaaren 2 §:n ulkomaisia pikaviestipalveluiden palveluntarjoajia tavoitellut säännös lieneekin jäänyt luonteeltaan lähinnä informatiiviseksi: säännös voi lisätä ulkomaisten palveluntarjoajien tietoisuutta siitä, minkälaista viestinnän luottamuksellisuuden ja tietoturvan toteuttamisen tasoa palvelulta edellytetään Suomessa toimittaessa.

Yksittäisen valtion säätämällä lailla ei olisi tietenkään saatu kohdistettua riittävää muutospainetta kansainvälisillä markkinoilla toimivien palveluntarjoajien toimintaan käyttäjien viestinnän luottamuksellisuuden suojan vahvistamiseksi, mutta lisäksi ajoitus lienee ollut hieman pielessä. Tietoyhteiskuntakaarta säädettäessä aika kaiken sähköisen viestinnän välittämistä sisältävien palveluiden saattamiselle yhtenäisen yksityisyydensuojasääntelyn piiriin ei vain yksinkertaisesti ollut kypsä. Tuolloin kunnianhimoiset tavoitteet näyttäisivät kuitenkin tällä hetkellä toteuttamiskelpoisilta jopa laajemmassa mittakaavassa, ja Euroopan digitaalisten sisämarkkinoiden strategiaa toteuttava EU-lainsäätäjä onkin nyt laajentamassa EU:n sähköisen viestinnän tietosuoja- ja yksityisyydensuojasääntelyn soveltamisalaa huomattavasti ulottamalla sen kaikkeen unionissa oleville loppukäyttäjille tarjottaviin sähköisen viestinnän palveluihin riippumatta sen enempää sähköisen viestintäpalvelun teknologisesta toteutuksesta kuin palveluntarjoajan sijoittautumisvaltiostakaan.

ePrivacy-asetusehdotuksen 2 artiklan mukaisesti asetuksen aineellinen soveltamisala kattaisi kaiken sähköisen viestintäpalvelun tarjoamisen ja käytön yhteydessä suoritettavan sähköisen viestinnän tietojen käsittelyn. Sähköisen viestintäpalvelun määritelmän osalta viitataan ko. termin määritelmään direktiiviehdotuksessa eurooppalaisen sähköisen viestinnän säännöstöstä (ns. puitedirektiivi, joka myös on parhaillaan unionin lainsäätäjän arvioitavana). Markkinarealiteetteja vastaavasti puitedirektiivin kyseinen määritelmä kattaisi jatkossa paitsi internetyhteyspalvelut ja kokonaan tai pääosin signaalien siirtämisestä koostuvat palvelut, myös henkilöiden väliset viestintäpalvelut, olivatpa ne numeroihin perustuvia tai eivät, kuten pikaviestintäpalvelut. Sähköisen viestinnän tiedoilla puolestaan tarkoitettaisiin ePrivacy-asetusehdotuksen määritelmäsäännöksen mukaisesti sekä sähköisen viestinnän (semanttista) sisältöä että sähköisen viestinnän metadataa (eli välitystietoja). Sähköisen viestinnän tiedot olisivat luottamuksellisia, ja palveluntarjoaja saisi käsitellä niitä vain asetusehdotuksen 6 artiklassa esitetyin perustein.

Sääntelyn alueellinen soveltamisala laajenisi yleisessä tietosuoja-asetuksessa asetettua esimerkkiä vastaavasti kaikkeen sähköisten viestintäpalveluiden tarjoamiseen loppukäyttäjille ja näiden palveluiden käyttöön EU:ssa – siis myös sellaisten, joita tarjotaan EU:n ulkopuolelta käsin EU:ssa oleville loppukäyttäjille. Voimaan tultuaan ePrivacy-asetus epäilemättä pakottaisi myös ulkomaiset pikaviestipalvelun tarjoajat pohtimaan viestintäpalveluaan yksityisyyden suojan näkökulmasta.

Mitä tulee edellä esille nostettuun huomioon siitä, että TYK:n välitystietojen käsittelyn lokitusvelvoite ei pakottavasti sovellu kaikkiin sähköisen viestinnän välittäjiin, myöskään ePrivacy-asetusehdotus ei suoranaisesti ole tuomassa muutosta lokitusvelvoitteeseen. Ottaen kuitenkin huomioon, että sähköisen viestinnän metadata eli välitystiedot sisältävät usein myös henkilötietoja, soveltuu näiden käsittelyyn myös yleinen tietosuoja-asetus ja sen osoitusvelvollisuus, jolloin on palveluntarjoajan vastuulla pystyä jälkikäteen osoittamaan, että sen käsittelemät sähköisen viestinnän tiedot ovat säilyneet luottamuksellisina. Tätä silmällä pitäen tietojen käsittelyn lokitus on – mikäli teknisesti toteutettavissa – ainakin varteenotettava tapa varmistua siitä, että tietojen asianmukainen käsittely voidaan jälkikäteen osoittaa.