Icon
Kaksi poikkeavaa viranomaistulkintaa evästesuostumuksista - miten toimia? Uutiset & blogi

Kaksi poikkeavaa viranomaistulkintaa evästesuostumuksista - miten toimia?

09.06.2020 | Jari Puhakka

TAUSTAA

Yleistä tietosuoja-asetusta (GDPR) alettiin soveltamaan 25.5.2018 , minkä jälkeen sekä EU:ssa ja kansallisella tasolla Suomessa on käyty paljon julkista keskustelua siitä, miten GDPR:n vaatimukset suostumukselle vaikuttavat internet-sivustojen evästekäytäntöihin.

Tietosuojan kannalta suostumuksen osalta on erotettava kaksi asiaa:

  • Sähköisen viestinnän palvelulain mukaisesti tietojen (esim. eväste) tallentaminen käyttäjän päätelaitteelle vaatii käyttäjän suostumuksen,
  • Tietosuoja-asetuksen (GDPR) mukaan henkilötietojen käsittelylle tarvitaan käsittelyperuste ja suostumus on yksi kuudesta mahdollisesta käsittelyperusteesta.

Toisin sanoen, ensimmäisessä käsitellään suostumusta evästeiden käytön edellytyksenä ja toisessa suostumusta henkilötietojen käsittelyn oikeusperusteena. On huomioitava, että EU:n yleinen tietosuoja-asetus ei erikseen sääntele evästeiden käyttöä.

Suomessa sähköisen viestinnän palveluista annetun lain noudattamista valvoo Traficom. Yleinen tietosuoja-asetus puolestaan kuuluu tietosuojavaltuutetun toimiston toimivaltaan. Kyseiset viranomaiset ovat olleet julkisuudessa eri mieltä evästekäytännöistä, nimenomaan suostumuksen osalta.

Viranomaisten tulkinnat eroavat kahdessa asiassa:

  1. Mikä on sähköisen viestinnän palveluista annetun lain ja siinä säädetyn evästeiden suostumusvaatimuksen suhde tietosuoja-asetukseen?
  2. Mikä ymmärretään tietosuoja-asetuksen mukaiseksi aktiiviseksi, yksiselitteiseksi ja vapaaehtoiseksi suostumukseksi?

Seuraavassa käsitellään asiaa tarkemmin.

LAKI SÄHKÖISEN VIESTINNÄN PALVELUISTA JA TRAFICOMIN TULKINTA EVÄSTEISTÄ

Evästeitä koskeva säätelykehikko EU:ssa on vuonna 2002 voimaantullut sähköisen viestinnän tietosuojadirektiivi eli ns. ePrivacy-direktiivi, jota täydennettiin erityisesti evästeiden osalta vuonna 2009. Suomessa kyseinen direktiivi on täytäntöönpantu kansallisessa lainsäädännössä sähköisen viestinnän palveluista annetulla lailla (2014/917), jonka valvonta kuuluu Traficomin toimivaltaan.

Kyseisen lain 205 §:n mukaan:

"Evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos käyttäjä on antanut siihen suostumuksensa ja palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta."

Traficomin tulkinta evästeistä on vuosia ollut selkeä:

  • Evästeistä, käyttötietojen tallentamisesta ja niiden käyttötarkoituksesta on kerrottava selkeästi ja kattavasti sivuston käyttäjälle. Lisäksi sivuston käyttäjiä olisi hyvä ohjeistaa keinoista hallita evästeitä.
  • Evästesuostumuksen voi toteuttaa ohjeistamalla käyttäjät käyttämään selainasetuksia.
  • Evästeistä informoimista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa.
  • Kaikkiin evästeisiin suostumusta ei tarvitse pyytää. Evästeille, jotka ovat palveluntarjoajalle välttämättömiä pyydetyn palvelun toteuttamiseksi, ei tarvitse pyytää suostumusta. Välttämättömiä evästeitä ovat esimerkiksi ne, jotka mahdollistavat verkkokaupassa ostosten valitsemisen ostokoriin taikka evästeet, jotka mahdollistavat kirjautumisen sähköisiin palveluihin kuten verkkopankkiin.

Tämä tulkinta on myös useamman kerran Traficomin puolelta julkisesti tarkennettu ja vahvistettu (esim. 20.11.2019 liittyen EU-tuomioistuimen ns. Planet49-ratkaisuun, ja viimeksi 24.4.2020 liittyen innowise.fi-päätökseen).

Traficomin tärkeimmät viimeaikaiset tulkintalinjan tarkennukset ovat seuraavat:

  • Käyttäjälle on ilmoitettava tiedot evästeiden toiminta-ajasta ja tieto siitä, saavatko kolmannet osapuolet mahdollisuuden käyttää evästeitä.
  • Suostumusta ei saa pyytää ja toteuttaa valmiiksi rastitetun ruudun kautta.

Traficomin sivustolla on 7.5.2020 päivätty yhteenveto evästetulkinnasta.

TIETOSUOJAVALTUUTETUN TOIMISTON PÄÄTÖS EVÄSTESTEIDEN SUOSTUMUKSESTA

Tietosuojavaltuutetun toimisto (TSV) antoi 14.5.2020 merkittävän päätöksen ei-välttämättömien evästeiden suostumusvaatimuksia koskien. TSV tulkitsi ns. Planet49-ratkaisun ja EU:n tietosuojaneuvoston linjausten perusteella, että TSV:llä on toimivalta tulkita evästesuostumusta GDPR-kytkennän kautta.

Päätöksen kohteena oleva yritys ilmoitti evästeiden käytöstä verkkosivuilleen ilmestyvällä ilmoitusruudulla, niin sanotun evästebannerin kautta. Ilmoituksessa sanottiin, että jatkamalla sivuston käyttöä käyttäjä hyväksyy evästeiden käytön. Valitsemalla OK-painikkeen sijasta Lisätietoja-painikkeen, käyttäjä pääsi lukemaan rekisterinpitäjän tietosuojaselosteen. Selosteessa todettiin, että käyttäjä voi selainasetuksia muuttamalla kieltää evästeiden käytön. Lisäksi tietosuojaselosteessa todettiin, että käyttäjä voi kieltää rekisterinpitäjän yhteistyökumppaneiden tallentamat ja käyttämät evästeet kunkin yhteistyökumppanin verkkosivuilla erikseen. Selosteessa oli linkit 11 kumppanin tietosuojasivustoille ja mainosvalintoihin sekä maininta Your Online Choices -sivuston kautta tapahtuvasta evästehallinnasta.

Päätöksessään apulaistietosuojavaltuutettu katsoi, ettei rekisterinpitäjän tapaa kerätä evästeisiin annettavaa suostumusta voitu pitää EU:n yleisen tietosuoja-asetuksen mukaisena.

TSV katsoi huomautuksen yritykselle olevan riittävä seuraamus, "sillä oikeustila ei ole ollut yleisen tietosuoja-asetuksen soveltamisen alettua selvä". Lisäksi TSV antoi määräyksen yritykselle muuttaa 1.9. mennessä käsittelytoimet suostumuksen keräämisessä GDPR-säännösten mukaisiksi jättäen toimenpiteet rekisterinpitäjän harkintaan.

EUROOPAN TIETOSUOJANEUVOSTON PÄIVITETTY OHJEISTUS

Euroopan tietosuojaneuvosto vastaa EU:n yleisen tietosuoja-asetuksen yhdenmukaisesta soveltamisesta Euroopan unionissa ja tietosuojaneuvosto hyväksyi 4. toukokuuta 2020 päivitetyn version suostumusta koskevasta ohjeesta. Ohje säilyi pääosin ennallaan, mutta siinä selvennettiin uusien esimerkkien kautta kysymyksiä evästeistä ja tavoista pyytää rekisteröidyn suostumus. Ohje on linjassa em. TSV:n antaman ratkaisun kanssa.

MITEN SIVUSTOJEN OMISTAJIEN PITÄISI EDETÄ?

Edellä mainittu TSV:n päätös on osaltaan ristiriidassa evästeitä koskevan valvontaviranomaisen Traficomin linjauksesta. Selkeän ja yksiselitteisen viranomaisohjeistuksen puuttuessa sivustojen omistajat (rekisterinpitäjät) joutuvat itse päättämään miten tilanteessa pitäisi toimia.

Traficomin asiantuntija Heidi Kivekäs totesi Tiville 20.5.2020 TSV-päätöksen jälkeen: ”Annetun ratkaisunkin myötä katsomme, että evästeisiin voidaan antaa ja peruuttaa suostumukset esimerkiksi mainituin bannerein tai selainasetuksin, kunhan ehdot pätevästä suostumuksesta täyttyvät ja rekisteröidyn suostumuksen peruutus on tasapainoinen toimenpide sen antamiseen nähden”.

Vaikka viranomaistulkinnat poikkeavat, voidaan todeta että ”writing is on the wall”. Evästekäytäntöjen muutokseen kannattaa viimeistään nyt alkaa valmistautumaan – ja monella laajemmalla sivustolla se vaatii teknisen taustajärjestelmän muutoksen. Itse sivustolla oleva evästeinformaation esittäminen ja evästesuostumuksen hallinta vaatii ns. CMP (Consent Management Platform) implementoimisen ja mahdollisesti sen integroimisen ohjelmallisen ostamisen järjestelmiin. Tässä yhteydessä kannattaa taas muistaa, että IAB:n TCF 2.0 mukainen CMP on tarkoitettu evästesuostumusten pyytämiseksi, hallinnoimiseksi ja välittämiseksi digitaalisen mainonnan ekosysteemiin.

Jari Puhakka toimii Fonecta-konsernin tietosuojavastaavana sekä IAB Finlandin tietosuojatyöryhmän jäsenenä.

IABlogin Facebook kommentit

Artikkeli Kvartaalitiedotteet Uutiset
IAB Europe Adex 2020 - Digitaalisen mediamainonnan määrä Euroopassa +6,3 % kasvussa

IAB Europe julkaisi vuotuisen AdEx-raportin Euroopan digimarkkinasta toukokuun lopulla osana Interact -webinaaria. Raportin mukaan digimainonta kasvoi vuonna 2020 +6,3 % vuodesta 2019. Kaiken kaikkiaan 56,5 % Euroopan mediamainonnasta oli vuonna digitaalista ja digimainonnan kokonaissumma ylsi 69,4 miljardiin euroon. AdEx-raporttiin toimitti tietoa 28 Euroopan maata.

lue lisää

15.06.2021

IAB Europe Adex 2020 - Digitaalisen mediamainonnan määrä Euroopassa +6,3 % kasvussa

IAB Europe julkaisi vuotuisen AdEx-raportin Euroopan digimarkkinasta toukokuun lopulla osana Interact -webinaaria. Raportin mukaan digimainonta kasvoi vuonna 2020 +6,3 % vuodesta 2019. Kaiken kaikkiaan 56,5 % Euroopan mediamainonnasta oli vuonna digitaalista ja digimainonnan kokonaissumma ylsi 69,4 miljardiin euroon. AdEx-raporttiin toimitti tietoa 28 Euroopan maata.

lue lisää

11.05.2021

Verkkomainonta mukavassa kasvussa vuoden ensimmäisellä kvartaalilla

Verkkomainonnan määrä vuoden 2021 ensimmäisellä kvartaalilla oli 141 milj. euroa. Ennätyksellisesti jo peräti 53 prosenttia kaikesta mediamainonnasta on digitaalista. Kasvu digimainonnan eri momenteissa oli kauttaaltaan positiivista, vaikka on huomionarvoista ettei display- ja outstream-mainonnan vertailu ole mahdollista Kantarin raportointimuutosten johdosta.

lue lisää

10.05.2021

Evästemuutos edessä - oletko valmis?

Mainonnan teknologiayritys Adform ja ja digitaalisen mainonnan ja markkinoinnin yhteisö IAB Finland toteuttivat maalis–huhtikuussa tutkimuksen, jossa selvitettiin suomalaisten mainostajien ajatuksia kolmannen osapuolen evästeiden käytön loppumisesta mainostamisen näkökulmasta. Tutkimukseen osallistui 52 markkinointipäättäjää.

lue lisää

29.01.2021

Verkkomainonta kasvoi 2,2% haastavassa tilanteessa 2020 - verkkomainonta jo lähes puolet koko mainoskakusta

Mediamainonnan kokonaiskakku vuonna 2020 laski -11,3 % ollen 1125,7 miljoonaa euroa. Ainoana kasvavana mediaryhmänä oli verkkomainonta (+2,2 %).

lue lisää