Kysy IABlta: Vastauksia TCF:stä, ePrivacysta ja tietosuojasta

IAB Finlandin 23.1.2020 järjestämässä Master Your GDPR -seminaarissa oli painavaa asiaa tietosuojasta ja sen vaikutuksista alati muuttuvaan digitaalisen mainonnan ekosysteemiin. Alan polttavia uutisia kuultiin tietosuojaviranomaisen edustajalta, web-alustojen asiantuntijalta sekä IAB:n tietosuojaryhmän puheenjohtajalta.

Ylitarkastaja Anna Hänninen avasi tietosuojavaltuutetun toimiston vuoden 2020 painopisteitä ja kävi läpi GDPR:n suostumuksen määritelmää. Jake Laisi Gravitolta valotti insinöörin näkökulmasta, mitä tiedämme tänään TCF 2.0 -toteutuksesta ja sen vaikutuksesta verkkopalveluiden asiakaskokemukseen. Anna Paimela Iconicsilta kertoi mm. ePrivacyn uusimmista tuulista ja siitä, miten luovia erilaisten tulkintojen kiemuroissa ja miten viedä ratkaisujen opit käytäntöön.
Tilaisuudessa yleisöllä oli myös mahdollisuus kysyä puhujilta aiheeseen liittyviä kysymyksiä. IAB:n toimisto ja Anna Paimela koostivat näistä Q&A:t:

Onko Suomessa jo annettu tietosuojasakkoja?

Ei vielä. Hallinnollisia sanktioita voi määrätä tietosuojavaltuutetusta ja apulaistietosuojavaltuutetusta muodostuva seuraamuskollegio, joka on aloittanut työnsä vasta viime elokuussa. Ensimmäisiä ratkaisuja on kuitenkin jo annettu, ja ne ovat luettavissa Finlex-palvelusta.

Mikä on Suomen viranomaisten linjaus evästesuostumuksesta?

Tällä hetkellä julkinen kannanotto on Traficomin ohjeistus, jonka mukaan evästeisiin voidaan jatkossakin antaa suostumus selainasetusten kautta. Evästeistä tulee informoida käyttäjiä selkeästi ja kattavasti. Tärkeä tieto käyttäjälle voi olla myös se, miten hän voi halutessaan kieltäytyä evästeiden käytöstä. Lisäksi sivuston käyttäjiä olisi hyvä ohjeistaa keinoista hallita evästeitä. Evästeille, jotka ovat palvelun tarjoajalle välttämättömiä pyydetyn palvelun toteuttamiseksi, ei tarvitse pyytää suostumusta.

Tilaisuudessa TSV:n edustaja kertoi, että suostumus voidaan antaa selaimen asetusten avulla edellyttäen, että suostumus on hankittu GDPR:n mukaisesti eli rekisteröity on tehnyt vapaaehtoisen, yksilöidyn, tietoisen ja yksiselitteisen tahdonilmaisun tai toteuttanut suostumusta ilmaisevan toimen, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn.

Ajaako tietosuojalainsäädännön ja -viranomaisten ”rajoittuneisuus” mainosrahoitteisen digin kuluttajamaksulliseksi?

Kukaan ei toki osaa sanoa varmaksi mitä tulevaisuus tuo tullessaan, mutta voisi ajatella, että kirjautuminen ja maksullisuus tulevat yleistymään. Toisaalta, mainonnan kohdistamisteknologiat kehittyvät käyttäjän yksityisyys huomioiden, joten mainosrahoitteiset palvelut eivät ole mihinkään katoamassa.

Mikä on TCF?

Transparency and Consent Framework on IAB Europen yhdessä julkaisijoiden ja adtech-vendoreiden kanssa kehittämä standardoitu keino evästesuostumuksen pyytämiseksi ja välittämiseksi. Se pyrkii varmistamaan, että digitaalisen mainonnan toimitusketjuun osallistuvat tahot noudattavat GDPR:ää ja ePrivacy-sääntelyä. Sen toinen versio pyrkii edelleen parantamaan läpinäkyvyyttä ja verkkosivujen käyttäjien vaikutusmahdollisuuksia.

Jos käyttäjä ei anna konsenttia, voiko media kysyä sitä heti seuraavalla kerralla uudestaan? Toisin sanoen, toimiiko ns. väsytystaktiikka?

Tulisi olla yhtä helppoa antaa suostumus, olla antamatta suostumusta kuin peruuttaa suostumus. Esimerkiksi Ranskan tietosuojaviranomaisen (CNIL) evästeohjeistuksesta voi vetää johtopäätöksen, että kun suostumus voidaan muistaa 6 kuukauden ajan, tulee vastaavasti suostumuksen antamatta jättäminen muistaa 6 kuukauden ajan. Näin ollen verkkosivuston käyttäjää ei olisi suositeltavaa pommittaa jatkuvilla suostumuspyynnöillä.

Jos UK ei ole EU:ssa, koskeeko ePrivacy myös heitä?

Brexitin jälkeen Iso-Britanniassa noudatetaan 11 kuukauden siirtymäkauden ajan EU:n tietosuojalainsäädäntöä, kuten GDPR:ää ja ePrivacy-direktiiviä. Käytännössä Iso-Britanniassa noudetaan vastaavaa lainsäädäntöä myös siirtymäkauden jälkeen, sillä vastaavat tietosuojasäännöt on viety osaksi kansallista lainsäädäntöä.

Ketkä tarjoavat tällä hetkellä TCF V2.0:n kanssa yhteensopivaa CMP:ta?

TCF 2.0-validointi valmistui vasta tammikuussa 2020 viikolla 4, joten asia on vielä auki. Useammat CMP:t ovat kyllä kertoneet olevansa valmiita.

Esityksissä käytettiin sanaa ”kuluttaja” – soveltuvatko säännöt vain kuluttajiin?

Rekisteröity viittaa kenen tahansa luonnolliseen henkilöön, jonka henkilötietoja käsitellään. Dataa käytetään myös B2B-maailmassa, esimerkiksi käsitellään asiakasyrityksen yhteyshenkilön tietoja, joten sääntely ei rajoitu pelkästään B2C-kontekstiin.

Mikä on DSP?

Demand side platform eli järjestelmä, joka mahdollistaa keskitetyn ostamisen useammalta medialta, mainospörssiltä, mainosverkostoilta sekä SSP-palveluista.

Mikä on EDPB?

European Data Protection Board.

Nyt puhutaan evästeistä, miten on fingerprinttien laita?

ePrivacyssä ja GDPR:ssä puhutaan laajasti tunnisteista, kattaen kaikki tunnisteet, joilla rekisteröity voidaan suoraan tai epäsuorasti tunnistaa. Arkikeskustelussa puhutaan usein hieman harhaanjohtavasti pelkästään "evästeistä", mutta tällä tarkoitetaan myös muita vastaavia teknologioita, kuten fingerprintejä.

Onko ePrivacy ja GDPR vain EU-tasoisia juttuja? Miten USA ja Kiina?

GDPR:n soveltamisala on hyvin laaja. GDPR:ää sovelletaan mm. silloin, kun EU:n ulkopuolinen yritys seuraa verkkosivuston käyttäjiä EU:ssa. Näin ollen esimerkiksi suuret amerikkalaiset yhtiöt, kuten Google ja Facebook ovat sääntelyn piirissä.
Näyttää myös siltä, että GDPR:ssä on muodostumassa globaali tietosuojastandardi, ja mm. Kaliforniassa julkaistiin osavaltiotasoinen sääntely, jossa on paljon yhtäläisyyksiä GDPR:n kanssa. Myös Kiina on ottanut askeleita yksityisyyden suojaamiseksi lainsäädännön keinoin.

Pitääkö ulkomainonnassa kysyä konsentti?

Jos ulkomainonnassa kerättäisiin dataa, joka on yhdistettävissä tunnistettavissa olevaan henkilöön, niin silloin GDPR ja mahdollisesti myös suostumusta edellyttävä ePrivacy-sääntely tulisi sovellettavaksi. Vaikka useimmissa Digital Out-Of-Home (DOOH) toteutuksissa todetaan hyödynnettävän anonyymia dataa, kannattaa tietosuojalainsäädännön soveltuminen arvioida tapauskohtaisesti.

Voiko keksejä ladata lainkaan ennen konsentin hyväksymistä? Koska ekat keksit siis ladataan?

Suostumus ei koske välttämättömiä evästeitä, joten ne voi ladata heti. Viranomaiset vaikuttavat suosittavan sitä, että ei-välttämättömät evästeet ladataan vasta sen jälkeen, kun suostumus on saatu.

Lataa seminaarimateriaalit tästä:

IAB Master your GDPR TS_Anna-Hanninen_230120

IAB Master your GDPR Gravito 230120.pdf

IAB Master your GDPR Iconics 230120.pdf

Lue myös Iconicsin Anna Paimelan blogi

Anna Paimela on Iconicsin osakas ja IAB Finlandin tietosuojatyöryhmän puheenjohtaja, jolla on yli 12 vuoden kokemus mediaan, mainontaan, markkinointiin ja digitaalisen kehitykseen liittyvästä juridiikasta.