Kaksi poikkeavaa viranomaistulkintaa evästesuostumuksista - miten toimia?

TAUSTAA

Yleistä tietosuoja-asetusta (GDPR) alettiin soveltamaan 25.5.2018 , minkä jälkeen sekä EU:ssa ja kansallisella tasolla Suomessa on käyty paljon julkista keskustelua siitä, miten GDPR:n vaatimukset suostumukselle vaikuttavat internet-sivustojen evästekäytäntöihin.

Tietosuojan kannalta suostumuksen osalta on erotettava kaksi asiaa:

• Sähköisen viestinnän palvelulain mukaisesti tietojen (esim. eväste) tallentaminen käyttäjän päätelaitteelle vaatii käyttäjän suostumuksen,
• Tietosuoja-asetuksen (GDPR) mukaan henkilötietojen käsittelylle tarvitaan käsittelyperuste ja suostumus on yksi kuudesta mahdollisesta käsittelyperusteesta.

Toisin sanoen, ensimmäisessä käsitellään suostumusta evästeiden käytön edellytyksenä ja toisessa suostumusta henkilötietojen käsittelyn oikeusperusteena. On huomioitava, että EU:n yleinen tietosuoja-asetus ei erikseen sääntele evästeiden käyttöä.

Suomessa sähköisen viestinnän palveluista annetun lain noudattamista valvoo Traficom. Yleinen tietosuoja-asetus puolestaan kuuluu tietosuojavaltuutetun toimiston toimivaltaan. Kyseiset viranomaiset ovat olleet julkisuudessa eri mieltä evästekäytännöistä, nimenomaan suostumuksen osalta.

Viranomaisten tulkinnat eroavat kahdessa asiassa:

1. Mikä on sähköisen viestinnän palveluista annetun lain ja siinä säädetyn evästeiden suostumusvaatimuksen suhde tietosuoja-asetukseen?
2. Mikä ymmärretään tietosuoja-asetuksen mukaiseksi aktiiviseksi, yksiselitteiseksi ja vapaaehtoiseksi suostumukseksi?

Seuraavassa käsitellään asiaa tarkemmin.

LAKI SÄHKÖISEN VIESTINNÄN PALVELUISTA JA TRAFICOMIN TULKINTA EVÄSTEISTÄ

Evästeitä koskeva säätelykehikko EU:ssa on vuonna 2002 voimaantullut sähköisen viestinnän tietosuojadirektiivi eli ns. ePrivacy-direktiivi, jota täydennettiin erityisesti evästeiden osalta vuonna 2009. Suomessa kyseinen direktiivi on täytäntöönpantu kansallisessa lainsäädännössä sähköisen viestinnän palveluista annetulla lailla (2014/917), jonka valvonta kuuluu Traficomin toimivaltaan.

Kyseisen lain 205 §:n mukaan:

"Evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos käyttäjä on antanut siihen suostumuksensa ja palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta."

Traficomin tulkinta evästeistä on vuosia ollut selkeä:

• Evästeistä, käyttötietojen tallentamisesta ja niiden käyttötarkoituksesta on kerrottava selkeästi ja kattavasti sivuston käyttäjälle. Lisäksi sivuston käyttäjiä olisi hyvä ohjeistaa keinoista hallita evästeitä.
• Evästesuostumuksen voi toteuttaa ohjeistamalla käyttäjät käyttämään selainasetuksia.
• Evästeistä informoimista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa.
• Kaikkiin evästeisiin suostumusta ei tarvitse pyytää. Evästeille, jotka ovat palveluntarjoajalle välttämättömiä pyydetyn palvelun toteuttamiseksi, ei tarvitse pyytää suostumusta. Välttämättömiä evästeitä ovat esimerkiksi ne, jotka mahdollistavat verkkokaupassa ostosten valitsemisen ostokoriin taikka evästeet, jotka mahdollistavat kirjautumisen sähköisiin palveluihin kuten verkkopankkiin.

Tämä tulkinta on myös useamman kerran Traficomin puolelta julkisesti tarkennettu ja vahvistettu (esim. 20.11.2019 liittyen EU-tuomioistuimen ns. Planet49-ratkaisuun, ja viimeksi 24.4.2020 liittyen innowise.fi-päätökseen).

Traficomin tärkeimmät viimeaikaiset tulkintalinjan tarkennukset ovat seuraavat:

• Käyttäjälle on ilmoitettava tiedot evästeiden toiminta-ajasta ja tieto siitä, saavatko kolmannet osapuolet mahdollisuuden käyttää evästeitä.
• Suostumusta ei saa pyytää ja toteuttaa valmiiksi rastitetun ruudun kautta.

Traficomin sivustolla on 7.5.2020 päivätty yhteenveto evästetulkinnasta.

TIETOSUOJAVALTUUTETUN TOIMISTON PÄÄTÖS EVÄSTESTEIDEN SUOSTUMUKSESTA

Tietosuojavaltuutetun toimisto (TSV) antoi 14.5.2020 merkittävän päätöksen ei-välttämättömien evästeiden suostumusvaatimuksia koskien. TSV tulkitsi ns. Planet49-ratkaisun ja EU:n tietosuojaneuvoston linjausten perusteella, että TSV:llä on toimivalta tulkita evästesuostumusta GDPR-kytkennän kautta.

Päätöksen kohteena oleva yritys ilmoitti evästeiden käytöstä verkkosivuilleen ilmestyvällä ilmoitusruudulla, niin sanotun evästebannerin kautta. Ilmoituksessa sanottiin, että jatkamalla sivuston käyttöä käyttäjä hyväksyy evästeiden käytön. Valitsemalla OK-painikkeen sijasta Lisätietoja-painikkeen, käyttäjä pääsi lukemaan rekisterinpitäjän tietosuojaselosteen. Selosteessa todettiin, että käyttäjä voi selainasetuksia muuttamalla kieltää evästeiden käytön. Lisäksi tietosuojaselosteessa todettiin, että käyttäjä voi kieltää rekisterinpitäjän yhteistyökumppaneiden tallentamat ja käyttämät evästeet kunkin yhteistyökumppanin verkkosivuilla erikseen. Selosteessa oli linkit 11 kumppanin tietosuojasivustoille ja mainosvalintoihin sekä maininta Your Online Choices -sivuston kautta tapahtuvasta evästehallinnasta.

Päätöksessään apulaistietosuojavaltuutettu katsoi, ettei rekisterinpitäjän tapaa kerätä evästeisiin annettavaa suostumusta voitu pitää EU:n yleisen tietosuoja-asetuksen mukaisena.

TSV katsoi huomautuksen yritykselle olevan riittävä seuraamus, "sillä oikeustila ei ole ollut yleisen tietosuoja-asetuksen soveltamisen alettua selvä". Lisäksi TSV antoi määräyksen yritykselle muuttaa 1.9. mennessä käsittelytoimet suostumuksen keräämisessä GDPR-säännösten mukaisiksi jättäen toimenpiteet rekisterinpitäjän harkintaan.

EUROOPAN TIETOSUOJANEUVOSTON PÄIVITETTY OHJEISTUS

Euroopan tietosuojaneuvosto vastaa EU:n yleisen tietosuoja-asetuksen yhdenmukaisesta soveltamisesta Euroopan unionissa ja tietosuojaneuvosto hyväksyi 4. toukokuuta 2020 päivitetyn version suostumusta koskevasta ohjeesta. Ohje säilyi pääosin ennallaan, mutta siinä selvennettiin uusien esimerkkien kautta kysymyksiä evästeistä ja tavoista pyytää rekisteröidyn suostumus. Ohje on linjassa em. TSV:n antaman ratkaisun kanssa.

MITEN SIVUSTOJEN OMISTAJIEN PITÄISI EDETÄ?

Edellä mainittu TSV:n päätös on osaltaan ristiriidassa evästeitä koskevan valvontaviranomaisen Traficomin linjauksesta. Selkeän ja yksiselitteisen viranomaisohjeistuksen puuttuessa sivustojen omistajat (rekisterinpitäjät) joutuvat itse päättämään miten tilanteessa pitäisi toimia.

Traficomin asiantuntija Heidi Kivekäs totesi Tiville 20.5.2020 TSV-päätöksen jälkeen: ”Annetun ratkaisunkin myötä katsomme, että evästeisiin voidaan antaa ja peruuttaa suostumukset esimerkiksi mainituin bannerein tai selainasetuksin, kunhan ehdot pätevästä suostumuksesta täyttyvät ja rekisteröidyn suostumuksen peruutus on tasapainoinen toimenpide sen antamiseen nähden”.

Vaikka viranomaistulkinnat poikkeavat, voidaan todeta että ”writing is on the wall”. Evästekäytäntöjen muutokseen kannattaa viimeistään nyt alkaa valmistautumaan – ja monella laajemmalla sivustolla se vaatii teknisen taustajärjestelmän muutoksen. Itse sivustolla oleva evästeinformaation esittäminen ja evästesuostumuksen hallinta vaatii ns. CMP (Consent Management Platform) implementoimisen ja mahdollisesti sen integroimisen ohjelmallisen ostamisen järjestelmiin. Tässä yhteydessä kannattaa taas muistaa, että IAB:n TCF 2.0 mukainen CMP on tarkoitettu evästesuostumusten pyytämiseksi, hallinnoimiseksi ja välittämiseksi digitaalisen mainonnan ekosysteemiin.

Jari Puhakka toimii Fonecta-konsernin tietosuojavastaavana sekä IAB Finlandin tietosuojatyöryhmän jäsenenä.