Icon
Kaksi poikkeavaa viranomaistulkintaa evästesuostumuksista - miten toimia? IABlogi

Kaksi poikkeavaa viranomaistulkintaa evästesuostumuksista - miten toimia?

09.06.2020 | Jari Puhakka

evästeet, evästesuostumukset, tietosuoja, tietosuoja-asetus,

TAUSTAA

Yleistä tietosuoja-asetusta (GDPR) alettiin soveltamaan 25.5.2018 , minkä jälkeen sekä EU:ssa ja kansallisella tasolla Suomessa on käyty paljon julkista keskustelua siitä, miten GDPR:n vaatimukset suostumukselle vaikuttavat internet-sivustojen evästekäytäntöihin.

Tietosuojan kannalta suostumuksen osalta on erotettava kaksi asiaa:

  • Sähköisen viestinnän palvelulain mukaisesti tietojen (esim. eväste) tallentaminen käyttäjän päätelaitteelle vaatii käyttäjän suostumuksen,
  • Tietosuoja-asetuksen (GDPR) mukaan henkilötietojen käsittelylle tarvitaan käsittelyperuste ja suostumus on yksi kuudesta mahdollisesta käsittelyperusteesta.

Toisin sanoen, ensimmäisessä käsitellään suostumusta evästeiden käytön edellytyksenä ja toisessa suostumusta henkilötietojen käsittelyn oikeusperusteena. On huomioitava, että EU:n yleinen tietosuoja-asetus ei erikseen sääntele evästeiden käyttöä.

Suomessa sähköisen viestinnän palveluista annetun lain noudattamista valvoo Traficom. Yleinen tietosuoja-asetus puolestaan kuuluu tietosuojavaltuutetun toimiston toimivaltaan. Kyseiset viranomaiset ovat olleet julkisuudessa eri mieltä evästekäytännöistä, nimenomaan suostumuksen osalta.

Viranomaisten tulkinnat eroavat kahdessa asiassa:

  1. Mikä on sähköisen viestinnän palveluista annetun lain ja siinä säädetyn evästeiden suostumusvaatimuksen suhde tietosuoja-asetukseen?
  2. Mikä ymmärretään tietosuoja-asetuksen mukaiseksi aktiiviseksi, yksiselitteiseksi ja vapaaehtoiseksi suostumukseksi?

Seuraavassa käsitellään asiaa tarkemmin.

LAKI SÄHKÖISEN VIESTINNÄN PALVELUISTA JA TRAFICOMIN TULKINTA EVÄSTEISTÄ

Evästeitä koskeva säätelykehikko EU:ssa on vuonna 2002 voimaantullut sähköisen viestinnän tietosuojadirektiivi eli ns. ePrivacy-direktiivi, jota täydennettiin erityisesti evästeiden osalta vuonna 2009. Suomessa kyseinen direktiivi on täytäntöönpantu kansallisessa lainsäädännössä sähköisen viestinnän palveluista annetulla lailla (2014/917), jonka valvonta kuuluu Traficomin toimivaltaan.

Kyseisen lain 205 §:n mukaan:

"Evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos käyttäjä on antanut siihen suostumuksensa ja palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta."

Traficomin tulkinta evästeistä on vuosia ollut selkeä:

  • Evästeistä, käyttötietojen tallentamisesta ja niiden käyttötarkoituksesta on kerrottava selkeästi ja kattavasti sivuston käyttäjälle. Lisäksi sivuston käyttäjiä olisi hyvä ohjeistaa keinoista hallita evästeitä.
  • Evästesuostumuksen voi toteuttaa ohjeistamalla käyttäjät käyttämään selainasetuksia.
  • Evästeistä informoimista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa.
  • Kaikkiin evästeisiin suostumusta ei tarvitse pyytää. Evästeille, jotka ovat palveluntarjoajalle välttämättömiä pyydetyn palvelun toteuttamiseksi, ei tarvitse pyytää suostumusta. Välttämättömiä evästeitä ovat esimerkiksi ne, jotka mahdollistavat verkkokaupassa ostosten valitsemisen ostokoriin taikka evästeet, jotka mahdollistavat kirjautumisen sähköisiin palveluihin kuten verkkopankkiin.

Tämä tulkinta on myös useamman kerran Traficomin puolelta julkisesti tarkennettu ja vahvistettu (esim. 20.11.2019 liittyen EU-tuomioistuimen ns. Planet49-ratkaisuun, ja viimeksi 24.4.2020 liittyen innowise.fi-päätökseen).

Traficomin tärkeimmät viimeaikaiset tulkintalinjan tarkennukset ovat seuraavat:

  • Käyttäjälle on ilmoitettava tiedot evästeiden toiminta-ajasta ja tieto siitä, saavatko kolmannet osapuolet mahdollisuuden käyttää evästeitä.
  • Suostumusta ei saa pyytää ja toteuttaa valmiiksi rastitetun ruudun kautta.

Traficomin sivustolla on 7.5.2020 päivätty yhteenveto evästetulkinnasta.

TIETOSUOJAVALTUUTETUN TOIMISTON PÄÄTÖS EVÄSTESTEIDEN SUOSTUMUKSESTA

Tietosuojavaltuutetun toimisto (TSV) antoi 14.5.2020 merkittävän päätöksen ei-välttämättömien evästeiden suostumusvaatimuksia koskien. TSV tulkitsi ns. Planet49-ratkaisun ja EU:n tietosuojaneuvoston linjausten perusteella, että TSV:llä on toimivalta tulkita evästesuostumusta GDPR-kytkennän kautta.

Päätöksen kohteena oleva yritys ilmoitti evästeiden käytöstä verkkosivuilleen ilmestyvällä ilmoitusruudulla, niin sanotun evästebannerin kautta. Ilmoituksessa sanottiin, että jatkamalla sivuston käyttöä käyttäjä hyväksyy evästeiden käytön. Valitsemalla OK-painikkeen sijasta Lisätietoja-painikkeen, käyttäjä pääsi lukemaan rekisterinpitäjän tietosuojaselosteen. Selosteessa todettiin, että käyttäjä voi selainasetuksia muuttamalla kieltää evästeiden käytön. Lisäksi tietosuojaselosteessa todettiin, että käyttäjä voi kieltää rekisterinpitäjän yhteistyökumppaneiden tallentamat ja käyttämät evästeet kunkin yhteistyökumppanin verkkosivuilla erikseen. Selosteessa oli linkit 11 kumppanin tietosuojasivustoille ja mainosvalintoihin sekä maininta Your Online Choices -sivuston kautta tapahtuvasta evästehallinnasta.

Päätöksessään apulaistietosuojavaltuutettu katsoi, ettei rekisterinpitäjän tapaa kerätä evästeisiin annettavaa suostumusta voitu pitää EU:n yleisen tietosuoja-asetuksen mukaisena.

TSV katsoi huomautuksen yritykselle olevan riittävä seuraamus, "sillä oikeustila ei ole ollut yleisen tietosuoja-asetuksen soveltamisen alettua selvä". Lisäksi TSV antoi määräyksen yritykselle muuttaa 1.9. mennessä käsittelytoimet suostumuksen keräämisessä GDPR-säännösten mukaisiksi jättäen toimenpiteet rekisterinpitäjän harkintaan.

EUROOPAN TIETOSUOJANEUVOSTON PÄIVITETTY OHJEISTUS

Euroopan tietosuojaneuvosto vastaa EU:n yleisen tietosuoja-asetuksen yhdenmukaisesta soveltamisesta Euroopan unionissa ja tietosuojaneuvosto hyväksyi 4. toukokuuta 2020 päivitetyn version suostumusta koskevasta ohjeesta. Ohje säilyi pääosin ennallaan, mutta siinä selvennettiin uusien esimerkkien kautta kysymyksiä evästeistä ja tavoista pyytää rekisteröidyn suostumus. Ohje on linjassa em. TSV:n antaman ratkaisun kanssa.

MITEN SIVUSTOJEN OMISTAJIEN PITÄISI EDETÄ?

Edellä mainittu TSV:n päätös on osaltaan ristiriidassa evästeitä koskevan valvontaviranomaisen Traficomin linjauksesta. Selkeän ja yksiselitteisen viranomaisohjeistuksen puuttuessa sivustojen omistajat (rekisterinpitäjät) joutuvat itse päättämään miten tilanteessa pitäisi toimia.

Traficomin asiantuntija Heidi Kivekäs totesi Tiville 20.5.2020 TSV-päätöksen jälkeen: ”Annetun ratkaisunkin myötä katsomme, että evästeisiin voidaan antaa ja peruuttaa suostumukset esimerkiksi mainituin bannerein tai selainasetuksin, kunhan ehdot pätevästä suostumuksesta täyttyvät ja rekisteröidyn suostumuksen peruutus on tasapainoinen toimenpide sen antamiseen nähden”.

Vaikka viranomaistulkinnat poikkeavat, voidaan todeta että ”writing is on the wall”. Evästekäytäntöjen muutokseen kannattaa viimeistään nyt alkaa valmistautumaan – ja monella laajemmalla sivustolla se vaatii teknisen taustajärjestelmän muutoksen. Itse sivustolla oleva evästeinformaation esittäminen ja evästesuostumuksen hallinta vaatii ns. CMP (Consent Management Platform) implementoimisen ja mahdollisesti sen integroimisen ohjelmallisen ostamisen järjestelmiin. Tässä yhteydessä kannattaa taas muistaa, että IAB:n TCF 2.0 mukainen CMP on tarkoitettu evästesuostumusten pyytämiseksi, hallinnoimiseksi ja välittämiseksi digitaalisen mainonnan ekosysteemiin.

Jari Puhakka toimii Fonecta-konsernin tietosuojavastaavana sekä IAB Finlandin tietosuojatyöryhmän jäsenenä.

blogidigimarkkinointiiabfinlandpodcastsisältömarkkinointidatateknologiaSosiaalinen mediajäsenetjäsenesittelymarko siltalaIABloginatiivimainontaDingledigimainonta

04.12.2025

Tekoäly sosiaalisen median markkinoinnissa: Milloin ja miten sen käyttö pitäisi merkitä?

Tekoälystä on tullut markkinoijan oikea ja vasen käsi nopeammin kuin kukaan on osannut ennustaa. Se toimii usein huomaamattomasti taustalla ja auttaa optimoimaan sosiaalisen median kampanjoita. Mutta mitä tapahtuu, kun tekoäly ei ole enää vain apuväline, vaan näkyvä osa mainossisältöjä? Pitääkö tästä kertoa kuluttajille ja jos pitää, niin miten?

lue lisää

27.11.2025

IAB Insider: Miten Tokmanni laajentaa retail median markkinoille ja haastaa perinteisen mediakentän?

Kauppa ei enää tee katetta pelkästään myymällä tuotteita vaan yhä useampi ketju alkaa kaupallistaa myös kaupan dataa, asiakaskohtaamisia ja myymäläympäristöjä. Jaksossa opit, millaisia mahdollisuuksia avoin retail media tarjoaa kaupan toimijoille ja miten brändit voivat tavoittaa kuluttajia hyödyntämällä kaupan ostosdataa. Jakson vieraina ovat retail-median konkari Janne Lehtinen Aller ReTALEsta ja Tokmannin kaupallinen johtaja Veli-Pekka “VeePee” Ääri.

lue lisää

20.11.2025

IAB Insider: Retail median ajankohtaiset trendit

IAB:n tuoreessa podcast-jaksossa syvennytään retail median kuumimpiin ilmiöihin: ekosysteemien avautumiseen, commerce median kiihtyvään kasvuun, datan uusiin rooleihin sekä in-store-median nouseviin mahdollisuuksiin.

lue lisää

19.11.2025

DEI digimarkkinoinnissa – missä Suomi menee?

Suomalaisissa markkinoinnin toimistoissa, julkaisijoilla ja palveluntarjoajilla monimuotoisuuden teemat huomioidaan vaihtelevasti – mutta parhaimmillaan hyvin monipuolisesti. Tämä käy ilmi IAB Finlandin vuonna 2025 toteuttamasta kyselystä, jossa selvitettiin, miten DEI-teemat näkyvät digitaalista markkinointia ostavien, tuottavien ja sen parissa työskentelevien keskuudessa. Kysely toteutettiin anonyymisti IAB:n Vastuullisen digimainonnan työryhmän jäsenten keskuudessa, minkä vuoksi vastaajayritykset edustavat todennäköisesti jo lähtökohtaisesti vastuulliseen toimintaan sitoutuneita toimijoita.

lue lisää