Evästeiden käyttöä koskevia vaatimuksia tiukennettiin

Edelle

Artikkelit

25.05.2020

Apulaistietosuojavaltuutettu antoi 14.5.2020 päätöksen, jossa se määräsi yrityksen muuttamaan sen verkkosivuilla käytettävien evästeiden suostumuskäytäntöjä tietosuoja-asetuksen eli GDPR:n mukaiseksi. Miten apulaistietosuojavaltuutetun päätös muutti tätä käytäntöä?

Evästeiden käyttö ennen päätöstä

Kuten GDPR:nkin, myös evästeitä koskevan säätelyn taustalla on EU-lainsäädäntö. Sähköisen viestinnän tietosuojadirektiivin mukaisesti muiden kuin verkkosivuston toiminnan kannalta välttämättömien evästeiden tallentaminen ja niiden käyttäminen edellyttää, että verkkosivuston käyttäjä on antanut siihen suostumuksensa. Säännös on Suomessa saatettu voimaan lailla sähköisen viestinnän palveluista. Kun GDPR tuli voimaan toukokuussa 2018, ei edellä mainittuun lakiin tehty muutoksia. Koska GDPR:n suostumusta koskevat säännökset eivät sisällä mahdollisuutta kansalliseen liikkumisvaraan (eli siitä ei voida kansallisella tasolla säätää toisin), tulee GDPR:n suostumusta koskevaa säännöstöä soveltaa myös evästeiden suostumuksen osalta.

Evästeitä koskevan säätelyn pakottavuudesta riippumatta lainkohdan noudattamista Suomessa valvonut Liikenne- ja viestintävirasto Traficom on aikaisemmin ollut sillä linjalla, että internetsivuston käyttäjää tulee kyllä erikseen informoida evästeiden käytöstä, mutta evästeiden käytön kieltäminen voi tapahtua myös selaimen asetusten kautta. Siten useat verkkosivustot ovat pyrkineet täyttämään velvollisuutensa käyttämällä evästeiden käytöstä lähinnä tiedottavaa banneria. Näin toimittaessa internetsivuston käyttäjä ei ole kuitenkaan voinut antaa GDPR:n edellyttämää selkeästi vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua. Suomessa viranomainen on jatkanut tähän saakka tätä linjaa huolimatta siitä, että niin sanotussa Planet49 -ratkaisussaan lokakuussa 2019 Euroopan unionin tuomioistuin totesi, että sähköisen viestinnän tietosuojadirektiiviä ja yleisen tietosuoja-asetuksen suostumusta koskevia edellytyksiä on luettava yhdessä.

Internetsivuston alalaidassa käytettävä ilmoitushenkinen banneri evästeistä ja mahdollisuus selaimen asetusten kautta hylätä osa evästeistä ei siis ole ollut vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu sivuston käyttäjältä.

Suostumus GDPR:n mukaiseksi

Kuten todettu, GDPR:n mukaan rekisteröidyn suostumuksella tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. Lisäksi rekisterinpitäjän tulee osoittaa rekisteröidyn antaneen tällaisen suostumuksen. Toisaalta GDPR myös edellyttää, että rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa ja peruuttamisen on oltava yhtä helppoa, kuin sen antaminen. Miten helppoa käytännössä on peruuttaa suostumus siinä tilanteessa, kun suostumus on ”annettu” selaimen asetusten kautta? Arvannet jo vastauksen: ei lainkaan yhtä helppoa.

GDPR:n mukaan suostumus ei ole pätevä, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta, jos hän tuntee olevansa pakotettu antamaan suostumuksensa tai jos hänelle aiheutuu kielteisiä seurauksia siitä, ettei hän anna suostumusta. Suostumusta ei myöskään pidetä vapaaehtoisena, jos rekisteröity ei voi kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa. Miten pätevänä suostumuksena pidetään sitä, että rekisteröity hyväksyy esiin ponnahtavan bannerin, joka häiritsee tai jopa kokonaan estää verkkosivun käytön, ellei bannerista klikata ”OK” ilman mahdollisuutta kieltää esimerkiksi yksinomaan markkinointitarkoituksiin käytettävien evästeiden asentamiseen hänen laitteelleen? Ei riittävän pätevänä, ainakaan enää.

Tässä apulaistietosuojavaltuutetun käsittelemässä tapauksessa suostumus siis kerättiin ensinnäkin juuri tällaisen bannerin kautta siten, että käyttäjä klikkaa bannerista ”OK”. Lisäksi bannerin ”lisätietoja” kohdasta pääsi yhtiön tietosuojaselosteeseen, jossa kerrottiin, mihin kerättyjä henkilötietoja käytetään. Tietosuojaselosteessa oli mainittu, että jos käyttäjä olisi halunnut kieltää kolmannen osapuolen evästeet, olisi käyttäjän tullut vierailla erikseen kunkin tietosuojaselosteessa mainitun yhtiön kumppanin verkkosivuilla ja sitä kautta kieltää evästeiden käyttö jokaisen kumppanin osalta erikseen.

Apulaistietosuojavaltuutettu katsoi tässä tapauksessa, että tällainen ilmoitus ei täytä GDPR:n vaatimuksia suostumukselle. Jatkossa muiden kuin verkkosivuston toiminnan kannalta välttämättömien evästeiden käyttämiseen tulee siis saada sivuston käyttäjältä nimenomainen suostumus ja tämän suostumuksen tulee olla yhtä helposti myös peruutettavissa. Suostumusta ei voida antaa vaikenemalla, valmiiksi rastitetulla ruudulla tai jättämällä jokin toimi toteuttamatta, vaan suostumuksen tulee olla nimenomainen tahdonilmaisu.

Mitä päätöksestä seuraa?

Käytännössä monet suomalaiset yritykset ovat luottaneet viranomaisen aikaisempaan linjaukseen evästeiden käytöstä. On selvää, että tällaisten yritysten on nyt muutettava käytäntöjään siten, että evästeitä varten saatu suostumus täyttää kaikki GDPR:n edellytykset. Vaikka apulaistietosuojavaltuutettu ei määrännyt asiassa GDPR:ssä mahdollistettuja sakkoja, on mahdollista, että jatkossa yritykset eivät selviä suostumuksen sivuuttamisesta pelkästään varoituksella.

Evästeiden käyttämiseen tarvittavan suostumuksen hankkimisen tapa on lopulta jätetty sivuston omistajan harkintaan, kunhan se täyttää GDPR:n vaatimukset. Yksi käyttökelpoinen ja viime aikoina entisestään yleistynyt keino suostumuksen hankintaan on yksityiskohtaisempi evästebanneri, jossa sivuston käyttäjä hyväksyy tai jättää hyväksymättä evästeitä niiden käyttötarkoituksen mukaan. Tällaisella laajemmalla bannerilla käyttäjä voi vapaasti valita hyväksyykö hän evästeiden käytön esimerkiksi tilastollisiin tai markkinointiin liittyviin tarkoituksiin tai ei mihinkään niistä. Ainoastaan sivuston toiminnan kannalta välttämättömien evästeiden hyväksymistä voidaan edellyttää käyttäjältä.

Koska voimassaoleva tietosuojalainsäädäntö on valtaosin kohtuullisen tuoretta, tämänhetkinen linjaus saattanee muuttua vielä myöhemminkin, muun muassa suunnitellun ePrivacy-asetuksen johdosta.

Mikäli tarvitsette apua evästeiden tai muutoin GDPR:n kanssa, autamme mielellämme käytäntöjenne ajantasaistamisessa!

Joska Rytkönen ja Laura Jaatinen