Kun EU:n yleinen tietosuoja-asetus GDPR julkaistiin vuonna 2018 tuntui, ettei verkkosivujen ja markkinoinnin osalta mistään muusta puhuttukaan. Nyt tulossa on toinen verkkosivuja merkittävästi koskeva asetus, ePrivacy, joka korvaa nykyisen ePrivacy-direktiivin. Mistä siinä on kyse?
Asetus? Direktiivi? Laki?
EU:n korkeimman tason keino säädellä jäsenmaiden lainsäädäntöä on asetus. Se tulee sellaisenaan voimaan jokaisessa jäsenmaassa. GDPR on tietosuoja-asetus, eli GDPR on suoraan kirjain kirjaimelta voimassa jokaisessa EU:n jäsenvaltiossa. Direktiivi on ohje, jonka mukainen lainsäädäntö jokaisen jäsenmaan on säädettävä. ePrivacy on tällä hetkellä direktiivi, jonka pohjalta on siis tehty suomalainen lainsäädäntö. Jotta asiat eivät olisi näin yksinkertaisia, on EU nyt säätämässä uutta ePrivacy-asetusta korvaamaan vanhan direktiivin. Ja koska kyseessä on asetus, tulee se siis valmistuessaan suoraan voimaan. Helppoa, eikö vain?
Mikä on GDPR?
Olemme kirjoittaneet GDPR:stä blogiimme kokonaisen kategorian verran, joten ei siitä tällä kertaa pitkälti. GDPR on nimensä mukaisesti tietosuoja-asetus, joka ottaa kantaa siihen, miten ja miksi henkilötietoja kerätään ja säilytetään, millaisia oikeuksia yksittäisellä henkilöllä on tietojensa saamiseen ja poistamiseen, ja esimerkiksi miten tietoturvaloukkaustilanteessa tulee toimia. Toisin kuin välillä kuvitellaan, GDPR ei ota suoraan kantaa esimerkiksi evästeisiin, tai siihen, kenelle sähköpostimarkkinointia saa lähettää. Näistä säädetään sähköisen viestinnän tietosuojadirektiivi ePrivacyssä.
Mitä nykyinen ePrivacy-direktiivi säätää?
Vaikka nykyinen ePrivacy-direktiivi on GDPR:ää vanhempi, voidaan sitä ajatella tietyllä tavalla GDPR:n täydentävänä osana. Direktiivi ottaa kantaa sähköiseen viestintään, riippumatta käsitelläänkö siinä henkilötietoja. Direktiivin teemoista näkyvimmät ovat evästeet sekä suoramarkkinointi sähköpostilla. Suomessa ePrivacy-direktiivi on sisällytetty lakiin sähköisen viestinnän palveluista. Olemme kirjoittaneet sähköpostimarkkinoinnin säännöistä sekä evästeistä omat blogipostauksensa, joten ei niiden nykytilanteesta tällä kertaa sen enempää.
Mitä uusi ePrivacy-asetus tulee muuttamaan?
Asetuksen tärkein tavoite on yhtenäistää sähköisen viestinnän lainsäädäntö koko Euroopan Unionin laajuisesti. Pääpaino on yksityisyydessä, ja tavoitteena on vaatia jatkossa verkkoviestinnässä samanlaista yksityisyyden suojaa kuin perinteisessä televiestinnässä. Tarkka sisältö ei vielä ole tiedossa, mutta asetuksesta on julkaistu luonnos.
Luonnoksessa korostuvat sääntöjen ulottaminen kaikkeen sähköiseen viestintään, sisältäen esimerkiksi WhatsApp-viestimen kaltaiset toimijat. Metadatan käyttöä tullaan mahdollisesti säätelemään, ja toisaalta perinteisille teleoperaattoreille mahdollisuus hyödyntää keräämäänsä tietoa paremmin. Evästeisiin tullaan julkaisemaan yhtenäiset säännöt EU:n laajuisesti, jotka ovat luonnoksen mukaan hyvin Traficomin nykyisen ohjeistuksen kaltaiset.
Lisäksi spammausta, sähköpostin, tekstiviestien tai soittorobottien osalta tullaan nykyisen luonnoksen mukaan rajoittamaan. Markkinointi ilman kohdehenkilön lupaa on luonnoksessa kielletty sähkö- ja tekstiviesteillä sekä soittoroboteilla.
Asetuksen luonnoksessa korostuvat sääntöjen ulottaminen kaikkeen sähköiseen viestintään
Milloin ePricacy-asetus tulee voimaan?
ePrivacy-asetus tulee julkaisunsa jälkeen voimaan koko Euroopan Unionissa samanaikaisesti. Itse julkaisupäivä ei ole julkisesti tiedossa, ja asetuksen valmistuminen on lykkääntynyt jo useita vuosia. Alkuperäisen julkaisupäivän piti olla GDPR:n kanssa samanaikaisesti vuonna 2018, mutta ainakaan tänä vuonna asetusta ei varmastikaan tulla julkaisemaan neuvotteluiden ollessa parhaillaan käynnissä. Asiantuntijoiden yleinen mielipide tuntuu olevan, että voimaantulossa puhutaan ainakin vuodesta, todennäköisesti kahdesta.
Mitä käytännön vaikutuksia ePrivacyllä on verkkosivuille ja digimarkkinointiin?
Traficomin otettua tiukan tulkinnan evästeisiin uuden ohjeistuksensa myötä, ei verkkosivuille näillä näkymin ole tulossa suuria muutoksia ePrivacy-asetuksen myötä. Suostumuksen kerääminen evästeisiin on kuitenkin selvästi mainittu luonnoksessa, eli evästehyväksynnästä ei tulla pääsemään eroon. Helpottavaa toisaalta on se, että ePrivacy-asetuksen jälkeen säännöt ovat selkeät ja samat koko Euroopan unionin alueella.
Evästehyväksynnästä ei tulla pääsemään eroon
Myöskään GDPR:n kaltaista juristirumbaa ei välttämättä tarvita, mutta todennäköistä on, että digitaalista markkinointia ja verkkosivuilla olevan datan keräämistä tulee tarkastella jossain määrin tarkemmin kuin ennen. Paras tapa valmistautua ePrivacyn julkaisemiseen onkin huolehtia, että toimintatavat ovat nykyisen lainsäädännön ja ohjeistuksen mukaisia. Erityisesti evästeet ovat asia, joka tulee todennäköisesti korostumaan myös ePrivacy:ssä ja mediassa sen julkaisemisen jälkeen. Siksi verkkosivuston evästeiden kuntoon laittaminen Traficomin uuden ohjeistuksen mukaisesti on erityisen suositeltua – ei vain kansallisen ohjeistusten takia, vaan tulevaan ePrivacyyn valmistautumiseksi.
Me Karhulla rakennamme helppokäyttöisiä verkkosivuja ja teemme digimarkkinointia, jotka kasvattavat asiakkaidemme myyntiä. Lainopillisia neuvoja emme kuitenkaan anna, emme myöskään tässä blogissa, joten jos ePrivacyn juridiset asiat mietityttävät, suosittelemme olemaan yhteydessä juristiinne. Sen sijaan jos esimerkiksi evästeet tai markkinointi aiheuttavat harmaita hiuksia, autamme mielellämme.
