Euroopan unionin neuvosto Bryssel, 25. toukokuuta 2018 (OR. en)

Conseil UE Euroopan unionin neuvosto Bryssel, 25. toukokuuta 2018 (OR. en) Toimielinten välinen asia: 2017/0003 (COD) 9079/18 LIMITE ILMOITUS Lähettäjä: Vastaanottaja: Puheenjohtajavaltio Pysyvien edustajien komitea / Neuvosto TELECOM 144 COMPET 322 MI 362 DATAPROTECT 97 CONSOM 146 JAI 438 DIGIT 98 FREMP 78 CYBER 106 CODEC 798 Kom:n asiak. nro: 5358/17 TELECOM 12 COMPET 32 MI 45 DATAPROTECT 4 CONSOM 19 JAI 40 DIGIT 10 FREMP 3 CYBER 10 IA 12 CODEC 52 Asia: Ehdotus Euroopan parlamentin ja neuvoston asetukseksi yksityiselämän kunnioittamisesta ja henkilötietojen suojasta sähköisessä viestinnässä ja direktiivin 2002/58/EY kumoamisesta (sähköisen viestinnän tietosuojaasetus) Tilannekatsaus/Periaatekeskustelu PUBLIC Puheenjohtajavaltio on valmistellut edellä mainittua aihetta koskevan tilannekatsauksen ja periaatekeskustelun 8. kesäkuuta 2018 pidettävää TTE-neuvostoa varten. Puheenjohtajavaltio on laatinut oheisen tilannekatsauksen tiedottaakseen ministereille tähänastisesta edistymisestä ja määritelläkseen lisäkeskusteluja edellyttävät kysymykset (liite I). Ministerien periaatekeskustelua silmällä pitäen valtuuskunnille toimitetaan liitteessä II ehdotetut kysymykset. Pysyvien edustajien komiteaa / neuvostoa pyydetään panemaan merkille liitteessä I oleva tilannekatsaus. Neuvostoa pyydetään keskustelemaan liitteessä II olevista kysymyksistä. 9079/18 vpy/paf/mh 1 DGE2B LIMITE FI

LIITE I Tilannekatsaus ehdotuksesta asetukseksi sähköisen viestinnän tietosuojasta Tämä tilannekatsaus on laadittu puheenjohtajavaltio Bulgarian vastuulla. Se ei rajoita yksittäisten valtuuskuntien mahdollisuutta tuoda esiin erityisiä näkökohtia ja esittää lisäkannanottoja. Katsauksessa esitellään asiakohdassa mainittua ehdotuksen tähänastista käsittelyä neuvoston valmisteluelimissä ja annetaan yhteenveto ehdotuksen käsittelystä. I JOHDANTO 1. Komissio antoi 10. tammikuuta 2017 ehdotuksen sähköisen viestinnän tietosuojaa koskevaksi asetukseksi, jolla on tarkoitus korvata nykyinen sähköisen viestinnän tietosuojadirektiivi 1. Ehdotus on yksi digitaalisten sisämarkkinoiden strategiaan 2 kuuluvista toimista, joilla vahvistetaan luottamusta digitaalisiin sisämarkkinoihin ja niiden turvallisuutta. 2. Euroopan parlamentissa asian käsittelystä vastaava kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunta antoi 19. lokakuuta 2017 asiaa koskevan mietinnön ja valtuutuksen aloittaa toimielinten väliset neuvottelut, mikä vahvistettiin täysistunnossa 26. lokakuuta 2017 pidetyssä äänestyksessä. Asian esittelijä on Birgit Sippel (S&D, Saksa). 3. Neuvostossa ehdotusta on käsitelty televiestintä- ja tietoyhteiskuntatyöryhmässä. TTEneuvostossa käsittelyn edistymistä on tarkasteltu 9. kesäkuuta 2017 3 Maltan puheenjohtajakaudella ja 4. joulukuuta 2017 4 Viron puheenjohtajakaudella. 1 Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi). 2 Asiak. 8672/15. 3 Asiak. 9324/17. 4 Asiak. 14374/17 + COR 1. 9079/18 KM/ek 2

4. Käsittely on jatkunut tiiviinä Bulgarian puheenjohtajakaudella. Televiestintä- ja tietoyhteiskuntatyöryhmä on käsitellyt ehdotusta kuudessa koko päivän kestäneessä kokouksessa. Lisäksi puheenjohtaja on järjestänyt kaksi televiestintä- ja tietoyhteiskuntatyöryhmän ja tietojen säilyttämistä käsittelevänä puheenjohtajan tukiryhmänä kokoontuvan tietojenvaihto- ja tietosuojatyöryhmän yhteistä kokousta kummankin kokoonpanon kannalta merkittävistä asioista. Puheenjohtajavaltio on ohjannut keskusteluja useiden vaihtoehtoja sisältävien asiakirjojen 5 avulla ja laatinut joukon kompromissitekstejä 6. Puheenjohtajavaltio katsoo, että asian käsittely on edistynyt merkittävällä tavalla, ja on kiitollinen valtuuskuntien rakentavasta suhtautumisesta siihen. Puheenjohtajavaltio on laatinut tämän tilanneselvityksen televiestintä- ja tietoyhteiskuntatyöryhmässä käytyjen keskustelujen ja valtuuskuntien toimittamien kirjallisten kommenttien pohjalta. II ASIAN KÄSITTELY NEUVOSTOSSA i. Soveltamisala ja yhteys yleiseen tietosuoja-asetukseen 7 5. Keskusteluissa ja jäsenvaltioiden toimittamissa kirjallisissa kommenteissa otettiin toistuvasti esille ehdotuksen soveltamisala ja sen yhteys yleiseen tietosuoja-asetukseen. Esille otettiin kysymyksiä sähköisen viestinnän sisällön suojaamisesta ja erityisesti tilanteesta, jolloin suojelun tarjoaminen sähköisen viestinnän tietosuoja-asetuksessa tarkoitetulla tavalla päättyy. Puheenjohtajavaltion mukaan sisällön suojaaminen olisi varmistettava loppukäyttäjien kesken päästä päähän tapahtuvassa tietojenvaihdossa siihen saakka, kunnes vastaanottaja saa sisällön haltuunsa. Tämän jälkeen sovelletaan yleisen tietosuoja-asetuksen mukaista suojaamista. Vaikka monet valtuuskunnat näyttävät kannattavan tätä periaatetta, on tarpeen löytää sopiva sanamuoto, joka olisi riittävän teknologianeutraali mutta selkeä lainsäädännön näkökulmasta. 5 Asiak. 5165/18, 5569/18, 5827/18. 6 Asiak. 6726/18, 7207/18, 7820/18, 8537/18. 7 Asetus (EU) 2016/679. 9079/18 KM/ek 3

6. Johdanto-osaan lisättiin valtuuskuntien pyynnöstä lisäselvennyksiä sähköisen tietosuojaasetuksen ja yleisen tietosuoja-asetuksen yleisestä suhteesta. Lisäksi puheenjohtajavaltio ehdotti ehdotuksen soveltamisalaa koskevan tekstin selventämistä muun muassa silloin, kun loppukäyttäjät käsittelevät sähköisen viestinnän sisältöä vastaanottamisen jälkeen tai kun käsitellään kuolleiden henkilöiden sähköisen viestinnän tietoja, jotka eivät kuulu sähköisen viestinnän tietosuoja-asetuksen piiriin. ii. Sähköisen viestinnän tietojen käsittely (sisältö ja metadata) (6 artiklan 1 kohta) 7. Keskustelujen jälkeen ja jäsenvaltioiden kirjallisten kommenttien perusteella sähköisen viestinnän tietojen sallittua käsittelyä sähköisten viestintäverkkojen ja -palvelujen turvallisuuden ylläpitämiseksi tai palauttamiseksi on laajennettu niin, että ne sisältävät mahdollisuuden käsitellä turvallisuusriskejä. Johdanto-osan kappaleisiin on sisällytetty lisäselvennyksiä, jotka koskevat turvallisuuden käsitettä sellaisenaan ja sen soveltamista käsittelyyn. Valtuuskunnat olivat tyytyväisiä selvennyksiin, mutta hienosäätö voi edelleen olla tarpeen. iii. Sähköisen viestinnän metadatan käsittely (6 artiklan 2 kohta ja 3 kohdan a alakohta 8. Metadatan sallittu käsittely ja asianmukaisen tasapainon saavuttaminen luottamuksellisuuden korkeatasoisen suojan ja riittävien innovoinnin kannustimien välillä on ollut yksi jäsenvaltioiden suurimmista huolenaiheista. Tämän vuoksi puheenjohtajavaltio on ottanut käyttöön useita uusia lupia käsitellä sähköisen viestinnän metadataa, erityisesti verkon hallinnointia ja optimointia sekä tilastollista laskentaa varten. Näihin uusiin käsittelyn perusteisiin liittyy asianmukaisia suojalausekkeita, ja uudet johdanto-osan kappaleet antavat lisäselvennyksiä niiden soveltamisesta. 9079/18 KM/ek 4

9. Lisäksi puheenjohtajavaltio on muuttanut tai muotoillut uudelleen muita, jo tekstissä olevia käsittelyn perusteita, kuten käsittelyä elintärkeiden intressien suojaamiseksi tai käsittelyä sopimuksen toteuttamista varten. 10. Muutamat valtuuskunnat totesivat, että nämä muutokset ovat oikeasuuntaisia. Tarvitaan kuitenkin lisätoimia ja mahdollisesti uusien käsittelyn perusteiden harkitsemista. Tämä on yksi arkaluontoisimmista kysymyksistä. iv. Päätelaitteisiin liittyvien tietojen suojaaminen (8 artikla) 11. Myös päätelaitteisiin liittyvien tietojen osalta valtuuskunnat korostivat tarvetta varmistaa asianmukainen yksityisyyden suoja ilman, että heikennetään laillisia liiketoimintamalleja. Televiestintä- ja tietoyhteiskuntatyöryhmässä käytyjen keskustelujen tuloksena 8 artiklan yleinen rakenne, joka mahdollistaa loppukäyttäjien päätelaitteisiin liittyvien tietojen suojaamisen, säilytettiin ennallaan. Muiden kuin asianomaisen loppukäyttäjän suorittama päätelaitteen käsittely- ja tallennustoimintojen käyttö ja tiedonkeruu loppukäyttäjien päätelaitteilta, mukaan lukien päätelaitteen ohjelmistoa ja laitteistoa koskeva tieto, on kielletty asianmukaisesti määriteltyjä tilanteita lukuun ottamatta. 12. Puheenjohtajavaltio on sisällyttänyt kieltoon uuden poikkeuksen tietoyhteiskunnan palveluja koskevien tietojen turvallisuuden ylläpitämiseksi tai palauttamiseksi, petosten torjumiseksi ja teknisten vikojen jäljittämiseksi. Uusi johdanto-osan teksti antaa lisäselvennyksiä esimerkiksi tilanteista, joissa suostumus ei ole tarpeen, tai verkkosivuille pääsyn edellyttäessä evästeiden hyväksymistä. 9079/18 KM/ek 5

v. Yksityisyysasetukset 13. Puheenjohtajavaltio on keskustelujen pohjalta sisällyttänyt merkittäviä muutoksia yksityisyysasetuksia koskevaan 10 artiklaan. Vaikka tekstissä säilytetään vaatimus siitä, että markkinoille saatettujen ohjelmistojen, jotka mahdollistavat sähköisen viestinnän, on tarjottava yksityisyysasetuksia, ohjelmistojen toimittajat ovat ehdotuksen viimeisimmän version mukaisesti velvollisia ainoastaan asennuksen tai ensimmäisen käytön aikana ja yksityisyysasetusten muuttuessa päivitysten yhteydessä tiedottamaan loppukäyttäjille näistä asetuksista ja siitä, millä tavalla loppukäyttäjä voi käyttää niitä. Säännös edellyttää, että ohjelmisto tarjoaa mahdollisuuden muistuttaa loppukäyttäjää yksityisyysasetusten vaihtoehdoista. Lisäksi tekstissä selvennetään, että tätä säännöstä ei sovelleta ohjelmistoihin, joita ei enää tueta. Johdanto-osaan on sisällytetty lisäselvennyksiä sellaisten verkkosivuston ylläpitäjien osalta, jotka edellyttävät evästeitä yksityisyysasetuksista riippumatta. 14. Vaikka valtuuskunnat yleisesti ottaen olivat tyytyväisiä tekstin uuteen muotoon, joillakin niistä on vielä epäilyksiä säännöksen lisäarvon suhteen. vi. Tietojen säilyttämiseen liittyvät seikat (2 ja 11 artikla) 15. Tietojen säilyttämistä koskeva kysymys on ensisijaisesti kuulunut oikeus- ja sisäasioiden neuvoston toimivaltaan, ja sitä on työryhmätasolla analysoitu tietojen säilyttämistä käsittelevänä puheenjohtajan tukiryhmänä kokoontuvassa tietojenvaihto- ja tietosuojatyöryhmässä. Tietyistä seikoista, joihin liittyy yhteisiä intressejä erityisesti velvoitteisiin ja oikeuksiin tehtävistä rajoituksista sähköisen viestinnän tietosuoja-asetuksen soveltamisalan osalta on kuitenkin keskusteltu kahdessa televiestintä- ja tietoyhteiskuntatyöryhmän ja tietojen säilyttämistä käsittelevänä puheenjohtajan tukiryhmänä kokoontuvan tietojenvaihto- ja tietosuojatyöryhmän yhteisessä kokouksessa. 9079/18 KM/ek 6

16. Puheenjohtajavaltio on tehnyt valtuuskuntien kommenttien pohjalta useita muutoksia. Uudessa muodossa ehdotuksen soveltamisalan ulkopuolelle on jätetty toimet, jotka liittyvät kansalliseen turvallisuuteen ja puolustukseen. Ehdotukseen on lisätty uusia yleisiä etuja, jotka antavat kansalliselle tai unionin lainsäädännölle mahdollisuuden rajoittaa ehdotuksessa rekisteröityjen suojaksi säädettyjä oikeuksia tai velvollisuuksia tai muiden henkilöiden oikeuksia ja vapauksia ja yksityisoikeuteen liittyvien vaatimusten täytäntöönpanoa. Lisäksi puheenjohtajavaltio on sisällyttänyt ehdotukseen erityisen viittauksen yleisen tietosuojaasetuksen tarjoamiin suojalausekkeisiin. 17. Valtuuskunnat olivat tyytyväisiä puheenjohtajavaltion näkemyksiin, mutta jatkokäsittely on tarpeen. vii. Poikkeukset kutsuvan ja yhdistetyn tilaajan tunnistuksen tarjoamiseen ja sen rajoittamiseen sekä hätäpalveluja koskevat poikkeukset (13 artikla) 18. 13 artiklan käsittely ja siihen ehdotetut muutokset keskittyvät pääasiassa siihen, että loppukäyttäjän mahdollisuus jättää vastaamatta saapuvaan puheluun, jossa ei ole kutsuvan tilaajan tunnistusta, voidaan ohittaa hätäpuheluiden yhteydessä. Muut muutokset mahdollistavat myös hätäviestinnästä vastaavaan organisaatioon soittavan loppukäyttäjän päätelaitteen tunnistamisen, jotta soittajan sijainti voidaan selvittää ja tällaisiin puheluihin reagoida. vii. Yleisesti saatavilla olevat luettelot (15 artikla) 19. Artiklassa säilytettiin teksti, joka velvoittaa henkilöiden välisten numeroihin perustuvien viestintäpalvelujen tarjoajia saamaan loppukäyttäjiltä, jotka ovat luonnollisia henkilöitä, suostumus sisällyttää heidän henkilötietonsa luetteloon. Lisäkeskustelujen tuloksena jäsenvaltioille annettiin mahdollisuus poiketa suostumusta koskevasta vaatimuksesta ja määrätä lain nojalla, että tietojen sisällyttäminen voi tapahtua sillä edellytyksellä, että asianomaisilla luonnollisilla henkilöillä on oikeus vastustaa sitä. 9079/18 KM/ek 7

20. Loppukäyttäjille, jotka ovat oikeushenkilöitä, on säilytetty tekstissä mahdollisuus vastustaa sisällyttämistä luetteloon. Uudessa johdanto-osan kappaleessa selvennetään, että loppukäyttäjiä, jotka ovat ammattia harjoittavia luonnollisia henkilöitä, olisi tässä säännöksessä kohdeltava oikeushenkilöinä. 21. Jäsenvaltiot ottivat vastaanottajien osalta esille huolenaiheita, jotka liittyvät velvoitteeseen antaa loppukäyttäjille keino tarkistaa, korjata tai poistaa yleisesti saatavilla olevassa luettelossa olevia tietojaan. Uusimmassa tekstissä velvoite koskee edelleen henkilöiden välisten numeroihin perustuvien viestintäpalvelujen tarjoajia. Jäsenvaltioiden kommenttien pohjalta puheenjohtajavaltio on kuitenkin sisällyttänyt jäsenvaltioita varten mahdollisuuden säätää lailla, että vaatimus koskee yleisesti saatavilla olevien luettelojen julkaisijoita joko henkilöiden välisten numeroihin perustuvien viestintäpalvelujen tarjoajien lisäksi tai heidän sijastaan, mikä antaa uudelleen joustavuutta direktiiville. 22. Lisäksi uudessa siirtymäkauden säännöksessä selvennetään, että tiedot, jotka on sisällytetty yleisesti saatavilla olevaan luetteloon ennen sähköisen viestinnän tietosuoja-asetuksen voimaantuloa, voidaan säilyttää luettelossa, ellei loppukäyttäjä ilmoita vastustavansa sitä. 23. Valtuuskunnat näyttävät tällä hetkellä pääosin kannattavan säännöstä. viii. Ei-toivottu viestintä ja suoramarkkinointi (16 artikla) 24. Kattavien keskustelujen ja jäsenvaltioiden kirjallisten kommenttien jälkeen ei-toivottua viestintää ja suoramarkkinointia koskevaa säännöstä yksinkertaistettiin entisestään. Omille asiakkaille suunnatun suoramarkkinoinnin osalta uusi teksti antaa jäsenvaltioille mahdollisuuden säätää lailla enimmäisajan, jona asiakkaiden yhteystietoja voidaan käyttää suoramarkkinointiin. 9079/18 KM/ek 8

25. Jäsenvaltioiden kommenttien perusteella suoramarkkinointiin liittyvän viestinnän "esittäminen" sellaiseksi poistettiin artiklan ja vastaavien johdanto-osan kappaleiden soveltamisalasta. Lisäksi johdanto-osan tekstissä selvennetään säännöksen soveltamisalaa ja selitetään, että yleisölle suunnatun mainonnan asettaminen verkkosivulle ei kuulu soveltamisalaan. 26. Valtuuskunnat näyttävät yleisesti kannattavan säännöstä. Edellinen kohta edellyttää luultavasti vielä lisäkäsittelyä. ix. Valvontaviranomaiset (18 artikla) 27. Nykymuodossaan artiklassa säädetään, että valvontaviranomaiset, jotka vastaavat asetuksen (EU) 2016/679 soveltamisen seurannasta, vastaavat myös sähköisen viestinnän tietoturvaasetuksen II luvun soveltamisen seurannasta. Jäsenvaltioilla on velvollisuus antaa III luvun soveltamisen seuranta niiden valvontaviranomaisten tehtäväksi, joilla on riittävä kokemus ja riippumattomuus. Niillä pitäisi olla valtuudet säätää oikeussuojakeinoista ja määrätä hallinnollisia sakkoja asetuksen V luvun mukaisesti. 28. Asiasta käytyjen lisäkeskustelujen perusteella, ja vaikka muutamat valtuuskunnat voisivat yleisesti kannattaa nykyistä tekstiä, on selvää, että useimmat valtuuskunnat pyrkivät suurempaan joustavuuteen valvontaviranomaisten suhteen ja asia edellyttää lisäkäsittelyä. Puheenjohtajavaltio haluaisi korostaa, että jatkokäsittelyssä on pidettävä mielessä perusoikeuskirjan 8 artiklan 3 kohdasta ja SEUT 16 artiklan 2 kohdasta johtuvat vaatimukset. 9079/18 KM/ek 9

LIITE II Kysymyksiä TTE-neuvostossa 8. kesäkuuta 2018 käytävää periaatekeskustelua varten Kuten liitteessä I olevassa tilannekatsauksessa todetaan, tekninen käsittely neuvostossa on monitahoisuudestaan ja arkaluonteisuudestaan huolimatta edistynyt merkittävästi viimeisten 16 kuukauden aikana. Puheenjohtajavaltion viimeisin teksti on asiakirjassa 8537/18. Jotta ehdotuksesta voitaisiin muodostaa neuvoston yhteinen kanta, puheenjohtajavaltio haluaisi pyytää ministereiltä ohjeistusta seuraaviin kysymyksin: 1) Onko edellä esitelty puheenjohtajavaltion ehdottama nykyinen lähestymistapa metadatan sallitun käsittelyn osalta (5 ja 6 artikla) mielestänne hyväksyttävä perusta jatkokäsittelylle? Mitä muita parannuksia voitaisiin tehdä? 2) Katsotteko, että päätelaitteiden suojaamista ja yksityisyysasetuksia (8 ja 10 artikla) koskeva lähestymistapa on hyväksyttävä perusta jatkokäsittelylle? 3) Katsotteko, että viimeisin puheenjohtajavaltion ehdottama kompromissi mahdollistaa Euroopan teollisuuden kilpailukyvyn edistämisen innovatiivisten palvelujen tarjoamisessa ja turvaa samalla kansalaisten viestinnän luottamuksellisuuden ja kansalaisten tietosuojan (tai arkaluonteisten tietojen suojan)? 9079/18 vpy/paf/mh 10 LIITE I DGE2B LIMITE FI