Icon
Kaksi poikkeavaa viranomaistulkintaa evästesuostumuksista - miten toimia? IABlogi

Kaksi poikkeavaa viranomaistulkintaa evästesuostumuksista - miten toimia?

09.06.2020 | Jari Puhakka

TAUSTAA

Yleistä tietosuoja-asetusta (GDPR) alettiin soveltamaan 25.5.2018 , minkä jälkeen sekä EU:ssa ja kansallisella tasolla Suomessa on käyty paljon julkista keskustelua siitä, miten GDPR:n vaatimukset suostumukselle vaikuttavat internet-sivustojen evästekäytäntöihin.

Tietosuojan kannalta suostumuksen osalta on erotettava kaksi asiaa:

  • Sähköisen viestinnän palvelulain mukaisesti tietojen (esim. eväste) tallentaminen käyttäjän päätelaitteelle vaatii käyttäjän suostumuksen,
  • Tietosuoja-asetuksen (GDPR) mukaan henkilötietojen käsittelylle tarvitaan käsittelyperuste ja suostumus on yksi kuudesta mahdollisesta käsittelyperusteesta.

Toisin sanoen, ensimmäisessä käsitellään suostumusta evästeiden käytön edellytyksenä ja toisessa suostumusta henkilötietojen käsittelyn oikeusperusteena. On huomioitava, että EU:n yleinen tietosuoja-asetus ei erikseen sääntele evästeiden käyttöä.

Suomessa sähköisen viestinnän palveluista annetun lain noudattamista valvoo Traficom. Yleinen tietosuoja-asetus puolestaan kuuluu tietosuojavaltuutetun toimiston toimivaltaan. Kyseiset viranomaiset ovat olleet julkisuudessa eri mieltä evästekäytännöistä, nimenomaan suostumuksen osalta.

Viranomaisten tulkinnat eroavat kahdessa asiassa:

  1. Mikä on sähköisen viestinnän palveluista annetun lain ja siinä säädetyn evästeiden suostumusvaatimuksen suhde tietosuoja-asetukseen?
  2. Mikä ymmärretään tietosuoja-asetuksen mukaiseksi aktiiviseksi, yksiselitteiseksi ja vapaaehtoiseksi suostumukseksi?

Seuraavassa käsitellään asiaa tarkemmin.

LAKI SÄHKÖISEN VIESTINNÄN PALVELUISTA JA TRAFICOMIN TULKINTA EVÄSTEISTÄ

Evästeitä koskeva säätelykehikko EU:ssa on vuonna 2002 voimaantullut sähköisen viestinnän tietosuojadirektiivi eli ns. ePrivacy-direktiivi, jota täydennettiin erityisesti evästeiden osalta vuonna 2009. Suomessa kyseinen direktiivi on täytäntöönpantu kansallisessa lainsäädännössä sähköisen viestinnän palveluista annetulla lailla (2014/917), jonka valvonta kuuluu Traficomin toimivaltaan.

Kyseisen lain 205 §:n mukaan:

"Evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos käyttäjä on antanut siihen suostumuksensa ja palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta."

Traficomin tulkinta evästeistä on vuosia ollut selkeä:

  • Evästeistä, käyttötietojen tallentamisesta ja niiden käyttötarkoituksesta on kerrottava selkeästi ja kattavasti sivuston käyttäjälle. Lisäksi sivuston käyttäjiä olisi hyvä ohjeistaa keinoista hallita evästeitä.
  • Evästesuostumuksen voi toteuttaa ohjeistamalla käyttäjät käyttämään selainasetuksia.
  • Evästeistä informoimista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa.
  • Kaikkiin evästeisiin suostumusta ei tarvitse pyytää. Evästeille, jotka ovat palveluntarjoajalle välttämättömiä pyydetyn palvelun toteuttamiseksi, ei tarvitse pyytää suostumusta. Välttämättömiä evästeitä ovat esimerkiksi ne, jotka mahdollistavat verkkokaupassa ostosten valitsemisen ostokoriin taikka evästeet, jotka mahdollistavat kirjautumisen sähköisiin palveluihin kuten verkkopankkiin.

Tämä tulkinta on myös useamman kerran Traficomin puolelta julkisesti tarkennettu ja vahvistettu (esim. 20.11.2019 liittyen EU-tuomioistuimen ns. Planet49-ratkaisuun, ja viimeksi 24.4.2020 liittyen innowise.fi-päätökseen).

Traficomin tärkeimmät viimeaikaiset tulkintalinjan tarkennukset ovat seuraavat:

  • Käyttäjälle on ilmoitettava tiedot evästeiden toiminta-ajasta ja tieto siitä, saavatko kolmannet osapuolet mahdollisuuden käyttää evästeitä.
  • Suostumusta ei saa pyytää ja toteuttaa valmiiksi rastitetun ruudun kautta.

Traficomin sivustolla on 7.5.2020 päivätty yhteenveto evästetulkinnasta.

TIETOSUOJAVALTUUTETUN TOIMISTON PÄÄTÖS EVÄSTESTEIDEN SUOSTUMUKSESTA

Tietosuojavaltuutetun toimisto (TSV) antoi 14.5.2020 merkittävän päätöksen ei-välttämättömien evästeiden suostumusvaatimuksia koskien. TSV tulkitsi ns. Planet49-ratkaisun ja EU:n tietosuojaneuvoston linjausten perusteella, että TSV:llä on toimivalta tulkita evästesuostumusta GDPR-kytkennän kautta.

Päätöksen kohteena oleva yritys ilmoitti evästeiden käytöstä verkkosivuilleen ilmestyvällä ilmoitusruudulla, niin sanotun evästebannerin kautta. Ilmoituksessa sanottiin, että jatkamalla sivuston käyttöä käyttäjä hyväksyy evästeiden käytön. Valitsemalla OK-painikkeen sijasta Lisätietoja-painikkeen, käyttäjä pääsi lukemaan rekisterinpitäjän tietosuojaselosteen. Selosteessa todettiin, että käyttäjä voi selainasetuksia muuttamalla kieltää evästeiden käytön. Lisäksi tietosuojaselosteessa todettiin, että käyttäjä voi kieltää rekisterinpitäjän yhteistyökumppaneiden tallentamat ja käyttämät evästeet kunkin yhteistyökumppanin verkkosivuilla erikseen. Selosteessa oli linkit 11 kumppanin tietosuojasivustoille ja mainosvalintoihin sekä maininta Your Online Choices -sivuston kautta tapahtuvasta evästehallinnasta.

Päätöksessään apulaistietosuojavaltuutettu katsoi, ettei rekisterinpitäjän tapaa kerätä evästeisiin annettavaa suostumusta voitu pitää EU:n yleisen tietosuoja-asetuksen mukaisena.

TSV katsoi huomautuksen yritykselle olevan riittävä seuraamus, "sillä oikeustila ei ole ollut yleisen tietosuoja-asetuksen soveltamisen alettua selvä". Lisäksi TSV antoi määräyksen yritykselle muuttaa 1.9. mennessä käsittelytoimet suostumuksen keräämisessä GDPR-säännösten mukaisiksi jättäen toimenpiteet rekisterinpitäjän harkintaan.

EUROOPAN TIETOSUOJANEUVOSTON PÄIVITETTY OHJEISTUS

Euroopan tietosuojaneuvosto vastaa EU:n yleisen tietosuoja-asetuksen yhdenmukaisesta soveltamisesta Euroopan unionissa ja tietosuojaneuvosto hyväksyi 4. toukokuuta 2020 päivitetyn version suostumusta koskevasta ohjeesta. Ohje säilyi pääosin ennallaan, mutta siinä selvennettiin uusien esimerkkien kautta kysymyksiä evästeistä ja tavoista pyytää rekisteröidyn suostumus. Ohje on linjassa em. TSV:n antaman ratkaisun kanssa.

MITEN SIVUSTOJEN OMISTAJIEN PITÄISI EDETÄ?

Edellä mainittu TSV:n päätös on osaltaan ristiriidassa evästeitä koskevan valvontaviranomaisen Traficomin linjauksesta. Selkeän ja yksiselitteisen viranomaisohjeistuksen puuttuessa sivustojen omistajat (rekisterinpitäjät) joutuvat itse päättämään miten tilanteessa pitäisi toimia.

Traficomin asiantuntija Heidi Kivekäs totesi Tiville 20.5.2020 TSV-päätöksen jälkeen: ”Annetun ratkaisunkin myötä katsomme, että evästeisiin voidaan antaa ja peruuttaa suostumukset esimerkiksi mainituin bannerein tai selainasetuksin, kunhan ehdot pätevästä suostumuksesta täyttyvät ja rekisteröidyn suostumuksen peruutus on tasapainoinen toimenpide sen antamiseen nähden”.

Vaikka viranomaistulkinnat poikkeavat, voidaan todeta että ”writing is on the wall”. Evästekäytäntöjen muutokseen kannattaa viimeistään nyt alkaa valmistautumaan – ja monella laajemmalla sivustolla se vaatii teknisen taustajärjestelmän muutoksen. Itse sivustolla oleva evästeinformaation esittäminen ja evästesuostumuksen hallinta vaatii ns. CMP (Consent Management Platform) implementoimisen ja mahdollisesti sen integroimisen ohjelmallisen ostamisen järjestelmiin. Tässä yhteydessä kannattaa taas muistaa, että IAB:n TCF 2.0 mukainen CMP on tarkoitettu evästesuostumusten pyytämiseksi, hallinnoimiseksi ja välittämiseksi digitaalisen mainonnan ekosysteemiin.

Jari Puhakka toimii Fonecta-konsernin tietosuojavastaavana sekä IAB Finlandin tietosuojatyöryhmän jäsenenä.

22.05.2024

Alma Media tarjoaa ohjelmallisen mainonnan tilannekatsauksen: Näin Suomi bidaa vuonna 2024

Alman vuoden 2024 alussa toteutettu Näin Suomi bidaa -kyselytutkimus on jälleen saanut paljon huomiota valottaessaan ohjelmallisen mainonnan tilan Suomen markkinoilla. Kyselyyn vastasi yli sata ohjelmallista mainontaa ammattimaisesti toteuttavaa henkilöä, kattavasti niin mediatoimistoista kuin mainostajan trading deskeissä.

lue lisää

22.05.2024

IAB Jäsenesittely: Kuuki ja Ulla Ristkari-Ryynänen

Tässä blogisarjassa tutustumme IAB:n uusiin jäseniin hieman paremmin! Nyt on vuorossa Kuuki ja Ulla Ristkari-Ryynänen

lue lisää

16.05.2024

Vaikuttajamarkkinoinnin määrä 7 % kasvussa vuonna 2023

IAB Finlandin ja vaikuttajatoimistojen yhteisen selvityksen perusteella vaikuttajamarkkinoinnin kokonaismarkkina Suomessa vuonna 2023 oli 56,1 miljoonaa euroa. Vuoteen 2022 verrattuna kasvua oli noin 7 %.

lue lisää

08.05.2024

Datan laadun arviointi: Tekniikoita ja käytäntöjä

Data on nykyaikaisen liiketoiminnan valuutta, ja sen laatu on kriittinen tekijä menestyksen kannalta. Datan arvo määräytyy pitkälti sen laadun kautta, ja jotta siitä saadaan maksimaalinen arvo, tulee sitä hallita tehokkaasti. Näin datan hallinnasta tulee prosessi, joka mahdollistaa organisaation datan hyödyntämisen strategisessa päätöksenteossa ja liiketoiminnan tulosten parantamisessa sen eri prosessien kautta, kuten markkinoinnin ja myynnin.

lue lisää