Quo vadis, evästesääntely?
Jäsenistöä puhuttaa edelleen aihe, onko eväste henkilötieto. Viranomaiset ja tietosuoja-asiantuntijat ovat pitäneet evästeillä ja muilla vastaavilla tekniikoilla kerättyjä, yksilölliseen tunnisteeseen liittyviä tietoja henkilötietoina jo pitkään, mutta digitaalisen mainonnan toimialalla on argumentoitu, että tiedot ovat anonyymeja, sillä ne liittyvät laitteeseen tai selaimeen, eikä toimijalle ole kiinnostavaa, minkä niminen henkilö laitetta käyttää. Ovatko nämä kaksi löytäneet tietosuoja-asetuksen myötä yhteisymmärryksen, ja miten uunituore luonnos sähköisen viestinnän tietosuoja-asetukseksi vaikuttaa asiaan?
Tietosuoja-asetuksen mukaan henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (rekisteröityyn) liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen tekijän perusteella.
Asetuksen esitöiden mukaan tunnistaminen riippuu rekisterinpitäjän käytettävissä olevista keinoista. Jos rekisterinpitäjällä tai muulla henkilöllä olisi käytössä keinot, joita se voisi myös kohtuullisen todennäköisesti käyttää rekisteröidyn tunnistamiseksi, kyse olisi henkilötietojen käsittelystä. Tunnistamisen osalta riittävää olisi henkilön erottaminen muista eli henkilöä ei tarvitse suoraan tunnistaa esimerkiksi nimen tai henkilötunnuksen perusteella. Tarkastelussa arvioidaan myös sitä, onko rekisterinpitäjän tarkoitus tunnistaa henkilö tai profiloida käyttäjä.
Vastaavia tunnistamiseen liittyviä kannanottoja ovat tietosuojaviranomaiset esittäneet jo aiemmin. Henkilötiedon käsitettä koskevassa suosituksessaan Working Party 29 (WP29) totesi, että tieto henkilön nimestä ei ole välttämätöntä tunnistamiseksi, vaan tunnistaminen – vaikkakin epäsuora sellainen – voidaan tehdä käyttäen erilaisia tunnisteita, kuten eväste- tai mobiilitunnisteita, joilla pyritään erottelemaan käyttäjä muista. Kohdennettua mainontaa koskevassa suosituksessa kerrottiin arviointiin vaikuttavan se, mihin tietoja käytetään: koska kohdennetussa mainonnassa pyritään nimenomaan erottelemaan käyttäjä muista, jotta voitaisiin vaikuttaa ko. käyttäjään, kyse olisi henkilötietojen käsittelystä. Hakukoneita koskevassa suosituksessaan WP29 taas totesi, että mikäli eväste sisältää uniikin käyttäjä-ID:n, kyse on selkeästi henkilötietojen käsittelystä.
IAB Europe on analysoinut tarkkaan tietosuoja-asetuksen tekstiä ja kääntänyt katseen evästeiden käyttöä sääntelevän sähköisen viestinnän tietosuojadirektiviin uudistustyöhön. Tässä yhteydessä IAB Europe on todennut, että evästeet pääosin ovat henkilötietoja. Valinta on tietoinen, ja sillä luodaan pohjaa sääntelyn yksinkertaistamiseen ja evästesääntelyn kumoamiseen liittyvälle tavoitteelle: koska evästeitä sääntelee jo tietosuoja-asetus, ei erillistä lainsäädäntöä alati kehittyvän teknologian sääntelyyn tarvittaisi. Tämä johtaisi siihen, että evästeiden käyttöön olisi käytettävissä kaikki tietosuoja-asetuksen määrittämät käsittelyperusteet – ei vain suostumusbanneri, jonka klikkaamiseen eurooppalaiset ovat jo tyystin kyllästyneet.
Komissio julkaisi viime tiistaina sähköisen viestinnän tietosuoja-asetuksen luonnoksen. Luonnos tunnistaa suostumusbannerien ongelmat, mutta ei lopulta kykene vastaamaan niihin toimialan toivomalla, käyttäjäystävällisellä tavalla. Se asettaa selainvalmistajien tehtäväksi rakentaa teknisiä ominaisuuksia, joilla käyttäjä voi hallita evästevalintojaan, esimerkiksi estää kokonaan kolmannen osapuolen evästeet. Jatkuvilta lupapyynnöiltä ei todennäköisesti kuitenkaan vältyttäisi, sillä suostumus olisi edelleen käsittelyperuste suurelle osaa ei-välttämättömiä evästeitä. Suostumuksen tulisi olla vapaaehtoinen, yksilöity ja tietoinen tahdonilmaisu, jonka peruuttamisen tulisi olla helppoa. Peruuttamismahdollisuudesta tulisi lisäksi muistuttaa käyttäjää kuuden kuukauden väliajoin. On siis mahdollista, että käyttäjää pommitettaisiin yhä useammin erilaisin pyynnöin ja muistutuksin.
Sääntelyllä voi toteutuessaan olla dramaattinen vaikutus julkaisijoiden ja kolmansien osapuolien väliseen suhteeseen sekä mainosrahoitteisten palveluiden ja kaupallisen median toimintaedellytyksiin. IAB Europe pyrkii edelleen aktiivisesti vaikuttamaan säännöstekstiin, ja luomaan keinoja, joilla suojataan käyttäjien yksityisyyttä mutta turvataan eurooppalaisen dataohjautuvan liiketoiminnan kehitys ja kasvu sekä käyttäjäystävälliset palvelut. Yritysten tehtävänä on puolestaan lieventää tiukan sääntelyn taustalla olevia huolia piilossa olevasta seurannasta (hidden tracking). Tämä tapahtuu mm. kertomalla avoimesti datan käsittelystä ja profiloinnin logiikasta, toimimalla vastuullisesti käyttäjien valinnanmahdollisuuksia kunnioittaen sekä lopettamalla piiloutuminen anonyymiyden verhon taakse.
IAB:n sivuilta löydät pähkinänkuoressa sähköisen viestinnän tietosuoja-asetusluonnoksen.
Lue myös:
IAB Europen tiedote
EMMA:n ja ENPA:n tiedote
Komission tiedote
Kirjoittaja Anna Paimela on tietosuoja- ja markkinointijuridiikkaan ja teknologiasopimuksiin erikoistunut lakimies, joka johtaa IAB Finlandin tietosuojatyöryhmää. Iconics Consultingin osakkaana hän auttaa yrityksiä selviämään digitaalisen liiketoiminnan juridisista haasteista tarjoamalla heille liiketoimintaa tukevia, käytännönläheisiä ratkaisuja.
Annan aiempi blogikirjoitus Tietosuojaryhmän kuulumisia.
IABLogin kommentointi
Nuo näytölle hyppäävät suostumusbannerit ovat kyllä puuduttavia. Eiköhän suurin osa tiedä, että sivustot tallentavat kävijöistään tietoja.
Nämä suostumusbannerit eivät kuitenkaan ole pakollisia. Viestintäviraston sivuilla sanotaan, että "Suomessa evästeistä tiedottamista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. Evästekäytännöt on kuitenkin mainittava verkkosivuilla niin, että käyttäjän on mahdollista saada niistä lisätietoa."
Olen itse toteuttanut tämän sivujen alapalkissa staattisesti näkyvällä tekstillä sekä erillisellä henkilötietojen käsittelystä kertovalla sivulla.
What a great initiative here. I'll look around the site and see if I can offer any additional ideas. Thanks.
It allows your app
Get instagram hack for free. Use this hack in getting free followers for instagram account. Visit to know more.
Millions of people are using this App, and within a short period, it has become one of the most popular free Android App as it allows you to watch free online movies, latest videos and TV shows in High-Resolution quality.
http://www.nfljerseys.us/ NFL Jerseys
http://www.yeezyboost350.us.com/ Yeezy Boost 350
http://www.longchampbags.us.com/ Longchamp Outlet
http://www.adidas-uk.org.uk/ Adidas UK
http://www.yeezys.org/ Yeezys
http://www.nike-stores.fr/ Nike Fr
http://www.underarmouroutlet.us.com/ Under Armour Outlet
http://www.timberlanduk.org.uk/ Timberland
http://www.jordan12.us/ Jordan 12
http://www.yeezy-shoes.us.com/ Yeezy Shoes
http://www.nikehuarache.us/ air huarache
http://www.kedsshoesforwomen.com/ Keds Shoes
http://www.yeezy.com.co/ Yeezy
http://www.nikeairmax.us/ Nike Air Max
http://www.outlettoms.us/ Toms Outlet
http://www.ultraboostuncaged.us/ Ultra Boost Uncaged
http://www.mlb-jerseys.us/ MLB Jerseys
http://www.adidas-nmds.com/ Adidas NMD
http://www.oakleyoutlet.net.co/ Oakley Outlet
http://www.rayban-canada.ca/ Ray Ban
http://www.katespadeoutlets.us/ Kate Spade Outlet
http://www.adidas-outlet.org/ Adidas Outlet
http://www.nikeairmax-90.com/ Nike Air Max 90
http://www.timberland-outlet.us/ Timberland Outlet
http://www.rayban-sunglasses.ca/ Ray Ban Sunglasses
http://www.adidas-nmd.org.uk/ Adidas NMD
http://www.adidaseqt.com/ Adidas EQT
http://www.ralphlaurens.org.uk/ Ralph Lauren
http://www.jordan4.us/ Jordan 4
http://www.cheapjordan-shoes.com/ Cheap Jordan Shoes
http://www.adidasnmdoutlet.com/ NMD Outlet