EU:n yleisen tietosuoja-asetuksen eli GDPR:n soveltaminen alkaa 25.5.2018, ja yritykset viimeistelevät hurjaa vauhtia GDPR:n implementointiin liittyviä prosesseja ja dokumentaatiota. Lähivuosina on kuitenkin odotettavissa lisää muutoksia, sillä EU:ssa valmistellaan parhaillaan sähköisen viestinnän tietosuoja-asetusta eli ePrivacy -asetusta.
Taustaa
ePrivacy liittyy GDPR:n tapaan EU:n digitaalisten sisämarkkinoiden kehittämiseen. Digitaalisten sisämarkkinoiden kehittämisessä on kyse kansallisten esteiden poistamisesta verkossa tapahtuvilta liiketoimilta EU:ssa. Digitaalisten sisämarkkinoiden rakentamiseen liittyy paljon lainsäädäntötyötä, ja tietosuojasääntely muiden säädösten ohella on tärkeässä roolissa yksityiselämän ja henkilötietojen suojan varmistamiseksi.
Sähköisestä viestinnästä säädetään tällä hetkellä sähköisen viestinnän tietosuojadirektiivissä, jonka sisältö on Suomessa implementoitu lakiin sähköisistä palveluista (lain nimi on 31.5.2018 asti tietoyhteiskuntakaari).
Nyt tarkoituksena on korvata sähköisen viestinnän tietosuojadirektiivi uudella asetuksella. Myös viestinnän tietosuoja on haluttu säätää direktiivin sijaan asetuksen tasolla, jotta sääntely harmonisoidaan entistä kattavammin EU:ssa. Tällä hetkellä on epäselvää, miten paljon kansallista liikkumavaraa ePrivacy -asetus tulee jättämään jäsenvaltioille.
Mitä ePrivacy muuttaa?
ePrivacy muuttaa muiden sähköisen viestinnän osa-alueiden ohella muun muassa sähköisen suoramarkkinoinnin sekä evästeiden asettamisen ja hyödyntämisen sääntelyä. Sähköisellä suoramarkkinoinnilla tarkoitetaan esimerkiksi sähköpostitse ja tekstiviesteillä suoritettua suoramarkkinointia. ePrivacyn valmisteluversioissa on erityisesti tuotu sääntelyn piiriin myös muut viestintäpalvelut, kuten Skypen ja WhatsAppin kaltaiset pikaviestintäpalvelut.
Sähköisen suoramarkkinoinnin harmonisointi sähköisen viestinnän tietosuojadirektiivin perusteella on suoritettu osin eri tavoilla eri EU-maissa. Esimerkiksi sähköinen suoramarkkinointi B2B -kontakteille on monissa maissa luvanvaraista, mutta Suomessa se on tietyin ehdoin sallittua ilman etukäteen annettua suostumusta. ePrivacy kuitenkin on muuttamassa B2B -markkinointia luvanvaraisuuden suuntaan.
Sähköisen viestinnän tietosuoja-asetuksessa muutetaan myös evästeiden ja vastaavien seurantateknologioiden käyttämiseen liittyvää sääntelyä. Sähköisen viestinnän tietosuojadirektiivi on implementoitu Suomessa siten, että henkilön katsotaan antaneen suostumuksensa evästeiden asettamiselle, jos henkilön käyttämän selaimen asetuksissa on annettu suostumus evästeiden asettamiselle. Selainten asetuksissa on tyypillisesti oletusasetuksena annettu suostumus evästeiden asettamiselle. Siten Suomen lainsäädäntö on tällä osa-alueella Euroopan tasolla erittäin kevyttä evästeiden asettamista varten edellytettyjen evästeiden osalta.
ePrivacyn valmistelussa evästeisiin vaaditun suostumuksen antamisen muoto on vaihdellut jatkuvasti. Suostumuksen antaminen on ehdotettu tehtäväksi mm. sivustokohtaisesti tai (aktiivisesti) selaimen asetusten perusteella. Vaikka lopullisen tekstin muoto onkin epäselvä, on suositeltavaa varautua siihen, että jatkossa käyttäjän passiivisuutta ei voida tulkita suostumukseksi, vaan aktiivisen, GDPR:n edellytysten mukaisen suostumuksen pyytäminen on tarpeen.
Koska ePrivacy-asetuksen soveltaminen alkaa ja mitä nyt tulisi tehdä?
On vielä liian aikaista sanoa, koska ePrivacyn soveltaminen alkaa. ePrivacy -asetuksen lopullinen tekstimuoto tarkentunee aikaisintaan loppuvuodesta 2018. Lopullisen tekstiversion hyväksymistä voi seurata siirtymäaika, jonka pituudesta ei ole vielä tietoa. GDPR:n kohdalla siirtymäaika on ollut kaksi vuotta, mutta ePrivacyn osalta voidaan sopia muustakin menettelystä.
Yritysten on järkevää ottaa huomioon sääntelymuutos jo tässä vaiheessa. Esimerkiksi evästeiden ja muiden seurantatekniikoiden hyödyntäminen ja käyttöönotto kannattaa suorittaa tuleva todennäköisesti tiukentuva sääntely huomioon ottaen.
Sähköiseen suoramarkkinointiin ja digimarkkinointiin panostavien mainostajien on erityisen kannattavaa seurata sääntelyn kehittämistä, sillä erilaisten suostumusvaatimusten ja -muutosten tuominen omiin prosesseihin ja liiketoimintaan voi edellyttää merkittäviä ajallisia ja taloudellisia panostuksia markkinointibudjettiin.
Elli Laine työskentelee lakimiehenä ICT ja IPR Eversheds Sutherland -lakitoimistossa ja on erikoistunut tietosuojaan, IT-alan juridiikkaan ja kansainvälisiin kaupallisiin sopimuksiin.
Uutiskirjeen tilaajana saat markkinoinnin ja viestinnän uutiset sekä uusimman MRKTNG-lehden ensimmäisten joukossa. Saat myös viikottain koulutuksistamme kerättyjä vinkkejä käyttöösi sekä tietoa järjestämistämme koulutuksista.