Quo vadis, evästesääntely?

Jäsenistöä puhuttaa edelleen aihe, onko eväste henkilötieto. Viranomaiset ja tietosuoja-asiantuntijat ovat pitäneet evästeillä ja muilla vastaavilla tekniikoilla kerättyjä, yksilölliseen tunnisteeseen liittyviä tietoja henkilötietoina jo pitkään, mutta digitaalisen mainonnan toimialalla on argumentoitu, että tiedot ovat anonyymeja, sillä ne liittyvät laitteeseen tai selaimeen, eikä toimijalle ole kiinnostavaa, minkä niminen henkilö laitetta käyttää. Ovatko nämä kaksi löytäneet tietosuoja-asetuksen myötä yhteisymmärryksen, ja miten uunituore luonnos sähköisen viestinnän tietosuoja-asetukseksi vaikuttaa asiaan?

Tietosuoja-asetuksen mukaan henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (rekisteröityyn) liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen tekijän perusteella.

Asetuksen esitöiden mukaan tunnistaminen riippuu rekisterinpitäjän käytettävissä olevista keinoista. Jos rekisterinpitäjällä tai muulla henkilöllä olisi käytössä keinot, joita se voisi myös kohtuullisen todennäköisesti käyttää rekisteröidyn tunnistamiseksi, kyse olisi henkilötietojen käsittelystä. Tunnistamisen osalta riittävää olisi henkilön erottaminen muista eli henkilöä ei tarvitse suoraan tunnistaa esimerkiksi nimen tai henkilötunnuksen perusteella. Tarkastelussa arvioidaan myös sitä, onko rekisterinpitäjän tarkoitus tunnistaa henkilö tai profiloida käyttäjä.

Vastaavia tunnistamiseen liittyviä kannanottoja ovat tietosuojaviranomaiset esittäneet jo aiemmin. Henkilötiedon käsitettä koskevassa suosituksessaan Working Party 29 (WP29) totesi, että tieto henkilön nimestä ei ole välttämätöntä tunnistamiseksi, vaan tunnistaminen – vaikkakin epäsuora sellainen – voidaan tehdä käyttäen erilaisia tunnisteita, kuten eväste- tai mobiilitunnisteita, joilla pyritään erottelemaan käyttäjä muista. Kohdennettua mainontaa koskevassa suosituksessa kerrottiin arviointiin vaikuttavan se, mihin tietoja käytetään: koska kohdennetussa mainonnassa pyritään nimenomaan erottelemaan käyttäjä muista, jotta voitaisiin vaikuttaa ko. käyttäjään, kyse olisi henkilötietojen käsittelystä. Hakukoneita koskevassa suosituksessaan WP29 taas totesi, että mikäli eväste sisältää uniikin käyttäjä-ID:n, kyse on selkeästi henkilötietojen käsittelystä.

IAB Europe on analysoinut tarkkaan tietosuoja-asetuksen tekstiä ja kääntänyt katseen evästeiden käyttöä sääntelevän sähköisen viestinnän tietosuojadirektiviin uudistustyöhön. Tässä yhteydessä IAB Europe on todennut, että evästeet pääosin ovat henkilötietoja. Valinta on tietoinen, ja sillä luodaan pohjaa sääntelyn yksinkertaistamiseen ja evästesääntelyn kumoamiseen liittyvälle tavoitteelle: koska evästeitä sääntelee jo tietosuoja-asetus, ei erillistä lainsäädäntöä alati kehittyvän teknologian sääntelyyn tarvittaisi. Tämä johtaisi siihen, että evästeiden käyttöön olisi käytettävissä kaikki tietosuoja-asetuksen määrittämät käsittelyperusteet – ei vain suostumusbanneri, jonka klikkaamiseen eurooppalaiset ovat jo tyystin kyllästyneet.

Komissio julkaisi viime tiistaina sähköisen viestinnän tietosuoja-asetuksen luonnoksen. Luonnos tunnistaa suostumusbannerien ongelmat, mutta ei lopulta kykene vastaamaan niihin toimialan toivomalla, käyttäjäystävällisellä tavalla. Se asettaa selainvalmistajien tehtäväksi rakentaa teknisiä ominaisuuksia, joilla käyttäjä voi hallita evästevalintojaan, esimerkiksi estää kokonaan kolmannen osapuolen evästeet. Jatkuvilta lupapyynnöiltä ei todennäköisesti kuitenkaan vältyttäisi, sillä suostumus olisi edelleen käsittelyperuste suurelle osaa ei-välttämättömiä evästeitä. Suostumuksen tulisi olla vapaaehtoinen, yksilöity ja tietoinen tahdonilmaisu, jonka peruuttamisen tulisi olla helppoa. Peruuttamismahdollisuudesta tulisi lisäksi muistuttaa käyttäjää kuuden kuukauden väliajoin. On siis mahdollista, että käyttäjää pommitettaisiin yhä useammin erilaisin pyynnöin ja muistutuksin.

Sääntelyllä voi toteutuessaan olla dramaattinen vaikutus julkaisijoiden ja kolmansien osapuolien väliseen suhteeseen sekä mainosrahoitteisten palveluiden ja kaupallisen median toimintaedellytyksiin. IAB Europe pyrkii edelleen aktiivisesti vaikuttamaan säännöstekstiin, ja luomaan keinoja, joilla suojataan käyttäjien yksityisyyttä mutta turvataan eurooppalaisen dataohjautuvan liiketoiminnan kehitys ja kasvu sekä käyttäjäystävälliset palvelut. Yritysten tehtävänä on puolestaan lieventää tiukan sääntelyn taustalla olevia huolia piilossa olevasta seurannasta (hidden tracking). Tämä tapahtuu mm. kertomalla avoimesti datan käsittelystä ja profiloinnin logiikasta, toimimalla vastuullisesti käyttäjien valinnanmahdollisuuksia kunnioittaen sekä lopettamalla piiloutuminen anonyymiyden verhon taakse.

IAB:n sivuilta löydät pähkinänkuoressa sähköisen viestinnän tietosuoja-asetusluonnoksen.

Lue myös:
IAB Europen tiedote
EMMA:n ja ENPA:n tiedote
Komission tiedote

Kirjoittaja Anna Paimela on tietosuoja- ja markkinointijuridiikkaan ja teknologiasopimuksiin erikoistunut lakimies, joka johtaa IAB Finlandin tietosuojatyöryhmää. Iconics Consultingin osakkaana hän auttaa yrityksiä selviämään digitaalisen liiketoiminnan juridisista haasteista tarjoamalla heille liiketoimintaa tukevia, käytännönläheisiä ratkaisuja.

Annan aiempi blogikirjoitus Tietosuojaryhmän kuulumisia.