EU:ssa ollaan herättämässä henkiin yksi unionin kiistellyimmistä valvontahankkeista: anlasslos eli ilman yksilöityä epäilyä tehtävä datan pakkosäilytys (data retention / Vorratsdatenspeicherung). Tällä kertaa signaali ei tule vain yksittäisistä poliitikkopuheista, vaan jäsenmaiden ja neuvoston sisäisestä paperista, joka hahmottelee uuden EU-lain suuntaa – ja se on oleellisesti laajempi kuin monen mielikuva “IP-osoitteista”. (netzpolitik.org)
Tämän analyysin ydinväite on yksinkertainen: EU yrittää rakentaa uutta pakkosäilytyskehikkoa tavalla, jossa painopiste siirtyy “teleoperaattoreista” kohti “melkein kaikkia digipalveluja” – ja samalla yritetään ratkaista oikeudellinen umpikuja siirtämällä suhteellisuus- ja välttämättömyystestiä käytännössä suojamekanismeihin ja pääsyrajoihin. Se on riski: jos lähtökohta on massakeräys ja korjausliikkeet tehdään jälkikäteen “pääsyn tasolla”, lopputulos voi olla laillisesti hauras ja poliittisesti räjähdysherkkä. (netzpolitik.org)
1) Mitä on oikeasti pöydällä?
Netzpolitik.org julkaisi 9.12.2025 neuvoston puheenjohtajamaan “outcome paperin” (WK 16133/2025 INIT), jossa jäsenmaat kuvaavat, millaista uutta EU-tason kehikkoa ne haluavat. Paperi on suora ikkuna siihen, miten ajattelu on muuttunut. (netzpolitik.org)
Laajuus: “mahdollisimman laaja soveltamisala”
Tässä kohtaa tulee se olennaisin muutos: jäsenmaat eivät puhu vain teleoperaattoreista. Paperin mukaan “useimmat valtiot” haluavat mahdollisimman laajan kattavuuden internet-palveluihin, ja osa vaatii eksplisiittisesti velvoitteita myös OTT-palveluille (Over-the-Top) eli käytännössä viestisovelluksille. Perustelu on kylmä: SMS on marginaali, messengerit ovat valtavirta. (netzpolitik.org)
Paperissa luetellaan esimerkkeinä palveluluokkia, joita uusi pakkosäilytys koskisi: domain-rekisteröijät, hosting, filesharing- ja pilvitallennuspalvelut, maksupalvelut, VPN-palvelut, kryptovälittäjät, e-commerce- ja finanssialustojen välittäjät, taksi- ja ruokalähettipalvelut, pelialustat – ja jopa autonvalmistajat. Tämä ei ole “tekninen detalji”. Se on arkkitehtuurimuutos: valvonnan pinta-ala kasvaa. (netzpolitik.org)
Mitä dataa: “minimi” ei jää minimiin
Paperi ei tyydy siihen, että “säilytetään vain IP-osoitteet”. Jäsenmaat kuvaavat “käyttäjän identifiointidatan” (tilaajatiedot, IP-osoitteet) vain minimikategoriaksi, ja osa haluaa mukaan laiteidentiteettejä (esim. sarjanumeroita) sekä yhteys-/liikennetietoja. Käytännön tasolla puhutaan siitä, että tutkija näkisi “kuka, milloin, missä, miten ja kenen kanssa” – eli metadatan klassisen valvontaytimen. (netzpolitik.org)
Lisäksi osa jäsenmaista haluaa yleistä ja erottelematonta sijaintidatan säilyttämistä, jonka arkaluonteisuutta paperissa itsessäänkin sivutaan. Tämä kohta on erityisen herkkä, koska sijaintidata on usein vielä “paljastavampaa” kuin viestimetatieto: se kertoo rutiinit, verkostot, liikkeen ja pysähdykset. (netzpolitik.org)
Säilytysaika: 1 vuosi – ja joillekin mieluiten ilman yläkattoa
Keskeinen headline on “vuosi”. Paperin mukaan “useimmat valtiot” ajavat yhden vuoden säilytysaikaa (ja “ei alle 6 kk”). Osa haluaa pidempiä aikoja “monimutkaisiin tai hyvin vakaviin rikoksiin”. Vielä olennaisempaa: osa haluaa, että EU määrittää vain minimin, ei maksimi-kattoa, jotta jäsenmaat voivat pitää pidempiä aikoja kansallisesti. (netzpolitik.org)
Tässä on tärkeä logiikkasignaali: jos EU-laki tekee vain minimin, “harmonisointi” kääntyy helposti lisenssiksi kiristää.
Käyttötarkoitus: “vakava rikos” vuotaa heti
Paperissa jäsenmaat sanovat suoraan, että metadata voi olla relevanttia “käytännössä kaikkien rikosten” tutkinnassa. Vaikka retoriikassa toistuu “vakava rikos”, määritelmä jäisi pitkälti jäsenmaille, ja mukaan halutaan myös “kansallinen turvallisuus” erillisenä ulkopuolisena polkuna. Lisäksi esiin nostetaan myös “rikokset, joita tehdään pääosin verkossa” (esim. stalking, viharikokset) silloinkin, kun rangaistusasteikko on “moderaatti” – perusteluna se, että ilman dataa tutkinta olisi käytännössä mahdoton. (netzpolitik.org)
Tämä on se klassinen “scope creep” -mekanismi: aloitus perustellaan ääripäällä, mutta käyttö laajenee nopeasti kohti arkea.
2) Miksi tämä palaa nyt?
Komissio on jo virallisesti asettanut data retention -kysymyksen osaksi laajempaa “lawful access to data” -agendaa. Kesäkuussa 2025 komissio julkaisi tiekartan, jossa todetaan suoraan: vuonna 2025 tehdään vaikutusarvio EU:n data retention -sääntöjen päivittämiseksi. (Migration and Home Affairs)
Tämä kytkeytyy ProtectEU-sisäisen turvallisuuden strategiaan sekä laajempaan “digital traces” -kehykseen: komissio korostaa, että suuri osa rikostutkinnoista nojaa sähköiseen todistusaineistoon ja että viranomaisilla pitää olla “tehokas ja laillinen” pääsy dataan. (Migration and Home Affairs)
Lisäksi julkinen konsultaatio näyttää olleen massiivinen: Bird & Birdin mukaan komissio sai yli 5 000 vastausta vaikutusarvion “call for evidence” -vaiheeseen, ja vastustus oli monissa vastauksissa vahvaa. Tämä on tärkeää kahdesta syystä: 1) aihe on poliittisesti herkkä, 2) komissio tietää sen – ja silti prosessi jatkuu. (twobirds.com)
3) Oikeudellinen ongelma: EU yritti jo kerran – ja kaatui
EU:n ensimmäinen yhteinen Data Retention Directive (2006/24/EY) kumottiin 2014. Sen jälkeen EU-tuomioistuin (CJEU) on jatkuvasti asettanut rajoja yleiselle ja erottelemattomalle säilyttämiselle. Euroopan parlamentin tutkimuspalvelun (EPRS) kooste kuvaa, miten oikeuskäytäntö on rakentanut tiukat ehdot: yleinen, erottelematon säilytys on lähtökohtaisesti kielletty, ja sallittavuus nojaa kohdentamiseen, vakavuuskriteereihin, välttämättömyyteen ja suojamekanismeihin. (Euroopan parlamentti)
Netzpolitikin julkaisema neuvoston paperi tunnistaa itsekin, miksi vanha järjestelmä oli laiton: se “kattoi pauschal kaikki henkilöt ja kaikki viestintävälineet sekä kaikki liikennetiedot ilman erottelua, rajausta tai poikkeusta”. Mutta heti perään paperi ajaa mallia, jossa enemmän palveluja säilyttää enemmän dataa pidempään ja käyttötilanteet laajenevat. Oikeudellinen ristiriita ei katoa sillä, että sen nimeää. (netzpolitik.org)
Tässä näkyy uusi strategia: osa jäsenmaista haluaa “tulkita” oikeuskäytäntöä uudelleen ja “arvioida välttämättömyys ja suhteellisuus uudestaan” teknologisen kehityksen ja rikosten muuttuneiden tekotapojen valossa. Se on poliittinen yritys siirtää tuomioistuimen asettamaa rajaa. On täysin mahdollista, että tämä päätyy taas EU-tuomioistuimeen – ja silloin peli on pitkä. (netzpolitik.org)
4) “Emme riko salausta” – mutta metadatalla voi tehdä lähes kaiken
Tähän liittyvä retorinen temppu on vanha: “emme lue sisältöä, emme riko päästä päähän -salausta”. Se kuulostaa rauhoittavalta, mutta ei ratkaise ydinkysymystä, koska metadatalla pystyy rakentamaan:
- sosiaaliset verkostot (kuka on yhteydessä kehen)
- rytmit ja rutiinit (milloin, miten usein)
- sijaintiin sidotun elämän (missä, kenen lähellä)
- palveluprofiilin (mitä sovelluksia käytät, millä laitteella)
Kun velvoite laajenee “melkein kaikkiin palveluihin”, metadata ei ole enää “teleoperaattorin loki”. Se on kokonaisen digitaalisen elämän varjokopio, joka syntyy pakollisena sivutuotteena. (netzpolitik.org)
Tässä kohtaa on myös käytännöllinen ristiriita: messenger-palveluissa “kuka kommunikoi kenen kanssa” voi tarkoittaa hyvin eri asioita riippuen siitä, mitä palvelu ylipäätään teknisesti lokittaa. Jos EU pakottaa standardoimaan metadatan säilytyksen, se luo paineen muuttaa palvelujen arkkitehtuureja kohti lokitettavuutta. Se ei ole sama asia kuin “sisältöön ei kosketa”. (netzpolitik.org)
5) Kustannukset ja toteutus: sääntely siirtää valvonnan infrastruktuurin yksityisille
Yksi aliarvioitu puoli data retention -malleissa on se, että EU käytännössä rakentaa “valvontavaraston” yksityisen sektorin infrastruktuuriin. Kun velvoitteet laajenevat hostingiin, pilveen, maksupalveluihin ja VPN:iin, kyse ei ole enää “teleoperaattorien compliance-kustannuksesta”. Kyse on siitä, että valtioiden tarvitsemat tutkimuskyvykkyydet ulkoistetaan laajasti palveluntarjoajille.
Tämä johtaa kolmeen ongelmaan:
- Kustannus- ja vastuu-epäsymmetria: yritys rakentaa, ylläpitää ja suojaa varaston – valtio käyttää.
- Turvallisuusriski: mitä enemmän kerätään ja keskitetään, sitä suurempi hyöty hyökkääjälle (rikollinen, vakoilu, sisäpiiri).
- Yhdenmukaistamisen paine: EU-velvoite voi pakottaa erilaiset palvelut lokittamaan yhtenäisellä tavalla, vaikka niiden arkkitehtuuri ei sitä luonnostaan tekisi.
Tähän liittyen on hyvä muistaa “databroker”-todellisuus: jo nyt EU:n mainos- ja välitysekosysteemissä liikkuu valtavasti sijainti- ja käyttäytymisdataa. Se, että EU rakentaa rinnalle virallisen pakkosäilytyskerroksen, ei tapahdu tyhjiössä. (netzpolitik.org)
6) “Suojamekanismit” ratkaisuna – vai siirretäänkö ongelma vain toiseen paikkaan?
Neuvoston paperissa vilahtaa ajatus, että “kokonaisproportionaalius” voidaan varmistaa “access level” -tasolla ja lisäsuojilla. Tämä on kriittinen kohta, koska se vihjaa uuteen perustelurakenteeseen:
Kerätään laajasti, mutta pääsy rajataan tiukasti.
Ongelma: jos keräys on yleinen ja erottelematon, oikeudellinen ja demokraattinen kritiikki ei katoa sillä, että avain on kassakaapissa. Kassakaappi on silti olemassa, ja se on täynnä. (netzpolitik.org)
Lisäksi “pääsyn rajaaminen” on käytännössä aina poliittinen liukuma:
- ensin vain terrorismi
- sitten “vakavat rikokset”
- sitten “verkossa tehdyt rikokset”
- sitten “kun muuten ei saada kiinni”
- ja lopulta “kun data kerran on olemassa”
Tämä ei vaadi pahaa tahtoa. Se on järjestelmän luontainen dynamiikka.
7) Aikataulu: 2026 ehdotus, 2027+ taistelu
Netzpolitikin julkaisemassa paperissa komissio kertoo tavoitteekseen vaikutusarvion valmistumisen Q1/2026 ja mahdollisen lakiehdotuksen H1/2026 lopulla. Tämä sopii yhteen komission virallisen tiekartan kanssa (vaikutusarvio 2025, päivitystarve). (netzpolitik.org)
Tämän jälkeen todellinen vääntö alkaa:
- neuvosto haluaa laajaa toimivaltaa ja pitkää säilytystä
- parlamentissa tulee vastavoimaa (ainakin osasta ryhmiä)
- oikeudellinen riski (CJEU) roikkuu koko ajan taustalla
- ja palveluntarjoajat tulevat kysymään kustannuksia ja toteutettavuutta
EDRi arvioi jo keväällä 2025, että komission data retention -ehdotus on odotettavissa 2026 ja kytkee keskustelun suoraan EU-tuomioistuimen tuoreisiin ratkaisuihin. (EDRi)
8) Mitä tästä pitäisi ymmärtää lopussa?
Tämä ei ole “tekninen tietosuojakysymys”. Tämä on kysymys siitä, millaisen perusrakenteen EU haluaa digitalisaatiolle:
- Onko oletus, että kansalaisen digitaalinen jälki kuuluu lähtökohtaisesti “säilöön varmuuden vuoksi”?
- Vai onko oletus, että keruu on poikkeus ja kohdistus on normi?
Neuvoston paperi näyttää kallistuvan ensimmäiseen – ja perustelee sen rikollisuuden teknologisoitumisella. Komission tiekartta taas ankkuroidaan “lawful access” -kehykseen, jossa digital evidence on uusi “normaalin” osa. Se kuulostaa rationaaliselta, mutta riskinä on, että normaalista tulee keruupolitiikka, ei tutkintapolitiikka. (netzpolitik.org)
Jos tämä menee läpi laajana, se muuttaa internetin luonnetta EU:ssa: palveluntarjoajien velvoitteet, lokituksen arkkitehtuuri, käyttäjän anonymiteetin rajat ja tutkinnan arkipäiväistyminen siirtyvät kaikki pykäläkirjaan.
Mitä kannattaa seurata (jos haluat nähdä mihin suuntaan tämä oikeasti menee)
- Määritelläänkö säilytys yleiseksi vai aidosti kohdennetuksi?
- Onko “vakava rikos” EU-tasolla rajattu vai jätetäänkö se jäsenmaille (eli käytännössä auki)? (netzpolitik.org)
- Tuleeko säilytysajasta maksimi vai vain minimi (jolloin jäsenmaat voivat pidentää)? (netzpolitik.org)
- Ulottuuko velvoite messengereihin ja muihin OTT-palveluihin (ja mitä metadataa ne pakotetaan säilyttämään)? (netzpolitik.org)
- Kuka maksaa ja kuka vastaa tietoturvasta, kun “kassakaappi” rakennetaan yksityisille?
Kun näihin saa vastaukset, tietää onko kyse “rajatusta korjausliikkeestä” vai EU-tason massakeräyksen paluusta.
📚 Lähteet
- Netzpolitik.org: neuvoston sisäinen paperi ja sen tiivistys (“WK 16133/2025 INIT”, julkaistu 9.12.2025). (netzpolitik.org)
- Euroopan komissio (DG HOME): Roadmap “effective and lawful access to data for law enforcement” (24.6.2025) – sisältää data retention -vaikutusarviolinjauksen. (Migration and Home Affairs)
- Euroopan komission “Data retention” -prosessisivu (vaikutusarvion valmistelu). (Migration and Home Affairs)
- Euroopan parlamentin tutkimuspalvelu (EPRS): “Mapping CJEU limits on data retention frameworks” (2025) – oikeuskäytännön rajat ja kehykset. (Euroopan parlamentti)
- EDRi: data retention -ehdotus odotettavissa 2026, yhteys tuoreisiin CJEU-ratkaisuihin. (EDRi)
- Bird & Bird: konsultaatio ja 5 000+ vastausta vaikutusarvioon (2025). (twobirds.com)
- Netzpolitik.org (tausta): “Going Dark” -kehys ja valvontapolitiikan kytkennät. (netzpolitik.org)