Haastattelu: Uusi sähköisen viestinnän tietosuojadirektiivi eli ePrivacy-direktiivi on ollut tekeillä jo pitkään, mutta IAPP:n (International Association of Privacy Professionals) Advisory Boardin jäsenen Jose Belon näkemyksen mukaan Euroopan kattava ePrivacy laki saattaa olla lähempänä kuin luulemme, ja vaikuttaa myös yrityksiin Suomessa.
Sijaitseeko yrityksesi EU:ssa? Lue miksi sinunkin yrityksesi kannattaa harkita yhteistyön tekemistä muiden EU:ssa sijaitsevien yrityksien tai EU:n ulkopuolella sijaitsevien yrityksien, jotka ottavat tietoturvan ja GDPR:n tosissaan kanssa.
Milloin ePrivacy-direktiivistä tulee laki?
Hyvä kysymys. GDPR:n (yleinen tietosuoja-asetus) voimaantulon jälkeen ymmärrettiin nopeasti, että GDPR:n vaatimusten noudattaminen vaatii yrityksiltä enemmän kuin mitä alun perin luultiin. Tämän takia halutaan selvyyttä siitä, miten uuden ePrivacyn tietosuojavaatimukset vaikuttavat yrityksiin, mikä taas vaikuttaa jäsenvaltioiden prosesseihin.
Meidän on ymmärrettävä, että yrityksien tietoturvabudjetit säilyvät lähes samoina, tai useissa yrityksissä jopa pienempinä, joten taloudellinen paine on kova.
Ja ei siinä kaikki. Uskon myös, että EU haluaa saada sen kerralla oikein. GDPR:stä on tullut globaali mittapuu henkilökohtaisen datan suojelulle. Mutta näimme myös, kuinka kukaan meistä ei ollut valmistautunut täyttämään GDPR:n asettamat vaatimukset. Mielestäni GDPR:n vähäinen valvonta on ollut tietoturvaviranomaisten tietoinen valinta, jotta yritykset saivat lisäaikaa varmistaa, että vaatimukset täyttyvät.
Nyt, vuonna 2022, aikaa on ollut riittävästi, ja GDPR:n valvonta kiristyy.
GDPR itsessään kehittyy. Se näkyy Euroopan unionin tuomioistuimen päätöksissä ja uusien ohjekehyksien tasaisissa julkaisussa, jotka lähestyvät GDPR:ää uusilla tavoilla (kuten EDPB:n työryhmät). Vaikka yrityksillä ja valvovilla viranomaisilla on tieto, kuinka GDPR:n noudattaminen toimii käytännössä, myös EU muokkaa ePrivacyä opitun perusteella.
Jose Belo
- IAPP European Advisory Boardin jäsen
- Tutkija Milanon Yliopiston ISLC-laitoksella
- Head of Data Privacy, Valuer.ai
- Syntynyt Coimbrassa, Portugalissa
- 6.300+ seuraajaa: Seuraa Jose Beloa LinkedInssä
Kuinka ePrivacy vaikuttaa EU:n digitaalistrategiaan?
EU ei voi menettää keskittymistään kokonaiskuvaan – Sen digitaalistrategiaan. Ja ePrivacy on tärkeä osa sitä, aivan kuten Digital Markets Act, Data Act ja AI Act.
Kaikki yllä mainituista yhdessä GDPR:n ja Asetus (EU) 2018/1807 (joka koskee muiden kuin henkilötietojen vapaata liikkuvuutta) kanssa, ePrivacy on osa strategiaa. Strategiaa, joka auttaa EU:ta kuromaan umpeen jo olemassa olevan eron EU:n ja muiden maiden välillä, jotka kilpailevat EU:n kanssa digitaalisessa maailmassa.
Riskeeraavatko yritykset EU:ssa vaatimustenmukaisuutensa, jos he käyttävät EU:n ulkopuolisia myyjiä?
On selvää, että EU:ssa ei ole omaa laajasti käytettyä älypuhelinta, pilvipalvelun tarjoajaa, sosiaalista mediaa tai laajasti käytettyä viestintäsovellusta. Yleisellä tasolla EU tukeutuu palveluihin ja tuotteisiin, jotka ovat tuotettu EU:n ulkopuolella.
Fakta on, että yritykset EU:ssa käyttävät EU:n ulkopuolisia yrityksiä tarpeisiinsa, vaikka monet niistä eivät noudata GDPR:ää. Silti monet yritykset ottavat riskin. Mutta yritysten riski kasvaa joka kerta, kun valvovat viranomaiset määräävät seuraamusmaksuja tai huomautuksia. Tämä tarkoittaa, että kunnollisesta tietosuojasta on tullut erittäin tärkeä kysymys yksityisyys- ja tietoturvaosastoille ympäri Euroopan johtuen EU:n ulkopuolisista myyjistä ja kansainvälisistä datasiirroista.
Siispä, yritykset EU:ssa, jotka käyttävät EU:n ulkopuolisia tuotteita ilman sekä teknisiä että järjestelmällisiä lisäpalveluita, jotka tekisivät niistä GDPR:n ja Euroopan tuomioistuimen silmissä hyväksyttäviä, eivät itsessään noudata GDPR:ää
EU:n vaatimukset – mitä ne käytännössä tarkoittavat?
Kyse ei ole siitä, että olemassa ei olisi EU:ssa sijaitsevia palveluita, jotka ovat ePrivacyn mukaisia. Kyllä niitä on. Ongelma on se, että yritykset EU:ssa ovat liian tottuneita käyttämään EU:n ulkopuolisia tuotteita.
Muutosta on nähtävissä myös kulttuurissa, kun kyse on kolmannen osapuolen hallinnoimisesta, jonka tietoturvalakien kehittyminen on vaatinut tekemällä kansainvälisen tiedonsiirron vaikeammaksi:
EU:ssa sijaitseville yrityksille on taloudellisesti parempi ratkaisu tehdä yhteistyötä joko toisten EU:ssa sijaitsevien yritysten tai EU:n ulkopuolella sijaitsevien yritysten kanssa, jotka ovat tosissaan tietosuojasta ja GDPR:stä.
Koska ePrivacyn päätavoite on, että sähköinen viestintä on turvattu EU:n alueella (erityisesti tiedon käsittely ja evästeiden yms. samanlaisten teknologioiden, joita käytetään seuramaan laitteita verkossa ja sen ulkopuolella, puhelinlinjojen tunnistaminen, ja suoramarkkinointi), EU:n puutteista johtuen ePrivacy vaatii, että EU:ssa sijaitsevat yritykset varmistavat, että yhteistyökumppanit täyttävät GDPR:n rajojen ylittävät vaatimukset.
Tai hyväksyä riskit, jotka tulevat yritysten tai palveluiden käytöstä, jotka eivät täytä näitä vaatimuksia, kun valvovat viranomaiset ovat kiristäneet tahtiaan.
Tämä tilanne ei ole hyvä. Tietoturvaviranomaisten täytyisi pystyä ymmärtämään trendit valvonnassa ja muuttamaan riskitasojaan sen mukaisesti. Lähestymistavan pitäisi olla proaktiivinen, eikä reaktiivinen.
Kaiken tämän takia uskon, että ePrivacyn päivitys on tulossa. Kysymys on enemmänkin, milloin se tapahtuu, eikä jos se tapahtuu.
Miten ePrivacy näkyy suomalaisissa evästevaatimuksissa?
Tämänhetkinen ePrivacy ohjeistaa jokaista jäsenmaata säätämään omat ohjeensa ja valvovat viranomaiset. Itse laki evästeistä Suomessa löytyy Sähköisen Viestinnän Palveluiden Laista (917/2014) artiklasta 205 ja Tietosuojalaista (1050/2018). EU:n puutteista johtuen ePrivacy vaatii, että EU:ssa sijaitsevat yritykset varmistavat, että yhteistyökumppanit täyttävät GDPR:n rajojen ylittävät vaatimukset.
Suomessa näitä lakeja valvoo kaksi viranomaista: Tietosuojavaltuutetun toimisto ja Liikenne- ja viestintävirasto (Traficom). Näistä kahdesta Traficom säätää vaatimukset (luettavissa täällä). Traficomilla on tällä hetkellä työn alla lisäohjeita evästeistä, erityisesti liittyen evästeisiin ja muuhun dataan, jotka tallentuvat käyttäjän laitteelle, ja siihen mihin tätä dataa voi käyttää. Nämä ohjeet ovat odotettavissa lähiaikoina.
Suomalaisilla viranomaisilla on siis kaksi vaihtoehtoa, kun mietitään evästevaatimusten valvontaa jatkossa.
- Antaa yrityksille aikaa korjata asia
- Tiukentaa valvontaa ja hyökätä verkkosivujen kimppuun, jotka eivät noudata vaatimuksia.
En usko ensimmäisen vaihtoehdon olevan todennäköinen. Uskon näin erityisesti Planet 49 tapauksen jälkeen.
Planet49 sanoi, että evästeissä puhuessa on kaksi rekisterinpitäjää. Ensimmäinen rekisterinpitäjä on se verkkosivusto, joka haluaa asettaa käyttäjän laitteelle evästeitä. Tämä rekisterinpitäjä on vastuussa siitä, että käyttäjä suostuu ei-välttämättömien evästeiden käyttöön (ePrivacy-direktiivi, 5. artikla). Jos ei-välttämätön eväste on kolmannen osapuolen omistama, kaikki rekisterinpitäjän vastuu on tällä kolmannella osapuolella. Ensimmäisen rekisterinpitäjän vastuu loppuu siihen, ku käyttäjä suostuu siihen, että kolmas osapuoli asettaa evästeen. Valitettavasti asia ei ole näin yksinkertainen.
Jos käyttäjä poistaa suostumuksen ensimmäiseltä rekisterinpitäjältä, ensimmäisen rekisterinpitäjän täytyy ilmoittaa toiselle rekisterinpitäjälle, että tämän käyttäjän dataa ei saa enää käsitellä. Jos verkkosivu (tai rekisterinpitäjä) ei tee näin, se on EU-lain vastaista, ja rangaistavaa
Toinen tärkeä asia huomioida on se, että Planet 49 käytti nollatoleranssia. Eli sitä, että evästeitä ei voi asettaa ennen kuin vasta suostumuksen jälkeen. Tämä on ensimmäisen rekisterinpitäjän vastuulla.
Jos esimerkiksi Google Analytics käsittelee käyttäjän henkilökohtaista dataa ja nollatoleranssi ei toteudu (eli evästeitä asetetaan ennen suostumusta), rangaistava osapuoli on ensimmäinen rekisterinpitäjä.
Miksi? Koska Googlen palvelujen käyttämisen ehto on se, että ensimmäinen rekisterinpitäjä pitää huolen siitä, että tietojen kerääminen on lakien mukaista. Ja kun Google Analytics on käytössä, Google olettaa automaattisesti, että verkkosivusto on kerännyt pätevän suostumuksen.
Yksi kysymys on myös, että tietääkö Google suostumuksen poistamisesta, ennen kuin kerrot sen heille. Googlella ei joka tapauksessa ole velvoitetta lopettaa yksilön datan käsittelemistä, ennen kuin sille on ilmoitettu poistetusta suostumuksesta.
Planet49 tapaus näytti, että oletettu suostumus on menneen talven lumia, ja rangaistavaan osapuoleen on tullut selkeyttä. Koska asiassa ei ole enää harmaita alueita, on myös todennäköistä, että Suomalaiset viranomaisetkin ottavat tiukemman kannan.
Suurkiitokset Jose Belolle!
Vastuuvapauslauseke: Tässä artikkelissa esitetyt näkökulmat ja mielipiteet ovat puhujan, eivätkä välttämättä kuvasta Cookie Informationin mielipiteitä tai näkökulmia.
