ePrivacy etenee, GDPR:ssä vieläkin epäselvyyttä

EU:n tämänhetkinen puheenjohtajamaa Kroatia on 21.2. ja 6.3. julkaissut omat ehdotuksensa sähköisen viestinnän tietosuoja-asetuksesta (ePrivacy). Kroatia ehdottaa mm. yleisestä tietosuoja-asetuksesta (GDPR) tuttua oikeutettua etua sähköisen viestinnän metadatan ja loppukäyttäjän päätelaitteella olevien tietojen käsittelyperusteeksi.

Lähtökohta on kannatettava, mutta sähköisen viestinnän tietosuojasäännösten tulee muodostaa eheä ja yhdenmukainen kokonaisuus muun sähköisen viestinnän sääntelyn sekä GDPR:n kanssa.  Oikeutettuun etuun ehdotetut varaumat eivät vastaa yleisessä tietosuoja-asetuksessa säädettyä. Käsittelyperusteen alle on niputettu myös paljon sinne kuulomatonta käyttöä, kuten laskutus, pakollisten palvelun laatua koskevien vaatimusten täyttäminen sekä vilpin tai väärinkäytösten havaitseminen.

Koronavirustilanne on perunut ePrivacya valmistelevan televiestintä- ja tietoyhteiskuntatyöryhmän kokouksia. Tästä huolimatta Suomen tulee nyt puheenjohtajakautensa päätyttyäkin tuoda entistä aktiivisemmin esille kantaansa ePrivacy-asetukseen.  Suomen kanta on kannatettava ja ottaa huomioon teknisen kehityksen

Kotimaan tietosuojaviranomaisen annettava lisää ohjeistusta

Tietosuojavaltuutetun (TSV) toimisto on julkaissut ensimmäisen yleisen tietosuoja-asetuksen perusteella tekemänsä päätöksen. Päätöksessä apulaistietosuojavaltuutettu määräsi rekisterinpitäjänä toimineen yrityksen muuttamaan informointiaan ja tarkastusoikeuden toteuttamista koskevia toimintatapojaan. Yritys ei ollut kertonut kuluttajille puheluiden nauhoittamisesta eikä myöskään tarjonnut kuluttajille mahdollisuutta saada puhelutallenteiden jäljennöksiä.

On hyvä, että tietosuojavaltuutetun toimisto soveltaa GDPR:ää käytännössä. Monessa asetukseen liittyvässä asiassa se on kuitenkin ollut liian pidättyväinen antamaan ohjeistusta.

Muiden maiden tietosuojaviranomaiset ovat linjanneet esimerkiksi henkilötietojen tietoturvaloukkausilmoitusten osalta hyvin seikkaperäisesti ilmoituskynnyksistä ja ilmoitusten sisällöstä.  Kotimainen valvoja sen sijaan tyytyy viittaamaan Euroopan tietosuojaneuvoston ohjeistuksiin, jotka ovat usein englanniksi ja paikoitellen varsin epäselviä.

Kansallisen viranomaisen on uskallettava ottaa kantaa GDPR:n soveltamiseen Suomessa. Tällöin rekisterinpitäjinä toimivat yritykset ja organisaatiot pystyvät varmemmin toimimaan niin, että kansalaisten tietosuoja on turvattu.