Epäselvää ja tulkinnanvaraista ePrivacy-ehdotusta ei pidä edistää

Eurooppalaisilla lainsäätäjillä on keskeinen rooli EU-alueen kasvun edellytysten ja toimintaympäristön kehittämisessä. Juuri käynnistyneen istuntokauden aluksi on erinomainen tilaisuus vaikuttaa Euroopan digitaaliseen tulevaisuuteen, kun kiistanalainen sähköisen viestinnän tietosuoja-asetus (ePrivacy) on jälleen käsittelyssä.

ePrivacy-hanke on ollut vastatuulessa: asetusta on hiottu jo yli kaksi vuotta eikä ratkaisua ole näkyvissä. Asetusehdotuksen perusongelmia ovat tekstin monimutkaisuus, tulkinnanvaraisuus asetuksen soveltamisalasta  ja sen mukanaan tuomista velvoitteista sekä se, ettei asetus huomioi uusia teknologioita ja digitaalisia liiketoimintamalleja. Tämä on aiheuttanut erityisesti pk-yrityksille epävarmuutta niitä jatkossa koskevasta lainsäädännöstä ja velvoitteista. EU-sääntelyn tulee olla koordinoitua, kannustavaa ja tulevaisuuteen katsovaa. ePrivacy -asetus ei nykyisessä muodossaan ole hyödyksi eurooppalaisten yritysten  kilpailukyvylle, vaan luo päinvastoin epävarmuutta.

ePrivacy ei istu nykyiseen sääntelykokonaisuuteen

Euroopassa on sitouduttu siihen, että lainsäädäntö suojaa tehokkaasti kansalaisia sekä heidän oikeuttaan yksityisyyteen. Tavoitteeseen tulisi pyrkiä kehittämällä EU:n digitaalisia sisämarkkinoita sekä viime vuosien aikana luotua lainsäädännöllistä kokonaisuutta. ePrivacy-asetusehdotus laadittiin jo ennen muita keskeisiä digitaalisia palveluita koskevia säädöksiä, kuten EU:n yleistä tietosuoja-asetusta (GDPR), sähköisen viestinnän säännöstöä (EECC), sähköistä todistusaineistoa rikosasioissa koskevia  eurooppalaisia esittämis- ja säilyttämismääräyksiä (eEvidence) sekä ehdotettua asetusta terroristisen sisällön levittämisen ehkäisemiseksi internetissä.

Ristiriitaista ja liiallista sääntelyä

ePrivacy-asetuksen tarkoitus on täydentää GDPR-asetusta, joten niiden välille ei saa jäädä ristiriitaisuuksia tai tulkintaepäselvyyksiä. Nyt ehdotettua luonnostekstiä on kuitenkin hyvin vaikea sovittaa yhteen GDPR:n kanssa, sillä se perustuu yhä pääosin v. 2002 sähköisen viestinnän tietosuojadirektiivin malliin ja tavoitteisiin, jotka ovat ilmeisen yhteensopimattomia nykyisen digitaalisen ympäristön ja lainsäädännön kanssa mm. sähköisen viestinnän tietojen käsittelyperusteiden ja yksityisyysasetusten määrittelyn osalta. ePrivacy-ehdotus ei huomioi digialan palveluntarjoajien liiketoimintamalleja.

Eurooppalaisen sähköisen viestinnän säännöstö (EECC) määrittelee yksiselitteisesti velvoitteet sähköisten viestintäpalveluiden tarjoajille. Jo nämä velvoitteet yhdessä GDPR:n kanssa toteuttavat ePrivacy-asetusehdotuksen ensisijaisen tavoitteen eli varmistavat korkeatasoisen tietosuojan käyttäjille ja tasapuoliset toimintaedellytykset internetalustoille. Liiallisen lainsäädännön käyttöönotto vain hämärtää nykyistä sääntelykehystä.

Ehdotus ei kannusta innovaatioihin

EU-komissio julkisti tekoälystrategiansa reilu vuosi sitten. Esineiden internetin (IoT) sekä laitteiden väliseen viestintään perustuvien teknologioiden (M2M) kuuluminen ePrivacy-asetuksen soveltamisalaan ei edistä tekoälyn kehittämistä jäsenvaltioissa. Päinvastoin: se lisää epävarmuutta eikä kannusta innovaatioihin, ja on näin ristiriidassa EU-komission esittämien tekoälystrategiatavoitteiden kanssa. FiCom ei näe mitään syytä sille, miksei sääntelyllä voitaisi sekä varmistaa sähköisen viestinnän tietosuoja että taata yrityksille edellytykset kehittää uusia, innovatiivisia teknologioita, kuten tekoälyä. Nyt ehdotettu ePrivacy-asetus ei näitä tavoitteita täytä.

Tulkintaepäselvyydet luovat epävarmuutta

Yksi ePrivacy-asetuksen pääasiallisista tavoitteista on turvata GDPR:n mukainen käyttäjäkeskeinen malli. ePrivacy-teksti ei kuitenkaan tätä mallia tue, sillä se vähentää GDPR:n määrittämät tietojenkäsittelyn oikeusperusteet seitsemästä yhteen, loppukäyttäjän suostumukseen. Koska muut oikeusperusteet tietojen lainmukaiselle hankkimiselle ja käsittelylle jäävät soveltamisalan ulkopuolelle, voi tästä seurata  suostumuspyyntöjen radikaali lisääntyminen. Tässä piilee riski: käyttäjät kyllästyvät suostumuspyyntöihin ja antavat harkitsematta tai vähin tiedoin suostumuksensa aina, kun heidän tietojaan käsitellään.

Yritykset ovat tehneet merkittäviä panostuksia voidakseen noudattaa GDPR:n mukanaan tuomia velvoitteita. GDPR:n ja ePrivacy-sääntelyn keskinäinen suhde ja tulkintaepäselvyydet aiheuttavat yrityksille epävarmuutta siitä, mitä säädöksiä jatkossa tulisi noudattaa ja miten.

Tulkinnanvaraista ehdotusta ei tule edistää

FiCom ymmärtää hyvin tietosuojasääntelyn tärkeän roolin yksityiselämän ja henkilötietojen suojan varmistamiseksi. Nykyinen ePrivacy-asetusehdotus ei kuitenkaan sellaisenaan toimi, vaan asetusta on syytä tarkastella uusin silmin ja ryhtyä toimiin sellaisen lainsäädännön luomiseksi, joka hyödyntää paremmin sekä Euroopan digitaalista ekosysteemiä että eurooppalaisia kuluttajia.

Tavoitteena on, että EU-komissio vetää pois eurooppalaiselle digialalle vaikeasti ennakoitavia seurauksia aiheuttavan ePrivacy-ehdotuksen.

Lisää aiheesta: FiComin lausuntoja

• FiComin lausunto valtioneuvoston kirjelmään komission eEvidence-asetusehdotuksesta
• FiComin lausunto valtioneuvoston jatkokirjelmään komission eEvidence-asetusehdotuksesta
• FiComin lausunto: Valtioneuvoston täydentävä jatkokirjelmä komission eEvidence-direktiiviehdotuksesta
• FiComin lausunto valtioneuvoston kirjelmään verkossa tapahtuvan terroristisen sisällön levittämisen estämistä koskevasta komission asetusehdotuksesta