top of page
Etsi

Ajankohtaista digimainonnan tietosuojasta

Eilen 23.1.2020 IAB Finlandin tietosuojaseminaarissa puhuttiin verkkosivujen, markkinoinnin ja mainonnan tietosuojasäännöistä sekä IAB:n Transparency & Consent Frameworkista (TCF). Alla muutamia nostoja digimainonnan tietosuojasta.


Tietosuojavaltuutetun ensimmäiset ratkaisut julkaistu


Päivän teeman kannalta erityisen mielenkiintoinen oli tietosuojavaltuutetun (TSV) suoramarkkinointisuostumuksen pätevyyttä koskeva ratkaisu. Yhtiön käytäntö, jossa asiakasohjelmaan ei voinut liittyä ilman, että hyväksyy samalla suoramarkkinoinnin vastaanottamisen ja joka suostumusta antamatta jättäneiden osalta johti siihen, ettei henkilö voinut varata elokuvalippuja tai ostaa e-sarjalippuja, katsottiin lainvastaiseksi. Rekisteröidyltä saatu suostumus ei ollut vapaaehtoinen eikä riittävän yksilöity EU:n yleisen tietosuoja-asetuksen (GDPR) edellyttämällä tavalla.


Muihin TSV:n antamiin ratkaisuihin voi tutustua Finlex-palvelussa.


Suostumuksen määritelmä puhuttaa


Edellä mainitussa ratkaisussa TSV katsoi, että sähköisen viestinnän palveluista annetussa laissa edellytettyyn suostumukseen sovelletaan GDPR:ssä määriteltyjä suostumuksen edellytyksiä. Vaikka ratkaisu koski suoramarkkinointia, voi siitä vetää johtopäätöksen, että myös evästeitä koskevan suostumuksen tulee olla GDPR:n mukainen.


Useat eurooppalaiset tietosuojaviranomaiset ovat katsoneet, että tämä tarkoittaa aktiivista toimenpidettä (opt-in suostumusta, ei passiivisuuteen perustuvaa op-out suostumusta) yksilöityyn käyttötarkoitukseen ja riittävään informaation perustuen (ks. aiempi kirjoitus täältä). Valmiiksi rastitettuja ruutuja vastaan puhuu myös unionin tuomioistuimen Planet 49 -ratkaisu. Täysin yksimielisiä viranomaiset eivät kuitenkaan ole: Suomessa Traficom pitää edelleen kiinni valtavirrasta poikkeavasta tulkinnastaan, että selainasetukset ovat riittävät suostumuksen antamiseksi – tämä siitä huolimatta, että suosituimmat selaimet eivät oletusarvoisesti estä evästeitä (eikä mitään käyttäjän aktiivista toimenpidettä siis tapahdu evästeiden sallimiseksi).


TCF on IAB Europen, julkaisijoiden ja adtech-toimijoiden yhdessä kehittämä keino evästesuostumusten pyytämiseksi ja suostumukseen tai sen puuttumiseen liittyvän tiedon välittämiseksi digitaalisen mainonnan ekosysteemissä. Sen toinen versio pyrkii parantamaan edelleen läpinäkyvyyttä ja tekemään kuluttajille tarjottavista valinnoista mahdollisimman helppokäyttöisiä. Digitaalisen mainonnan maailma on hyvin monimutkainen, joten TCF joutuu väistämättä tasapainottelemaan ymmärrettävyyden ja riittävän tarkan informaation välillä.


Digimainonta vaikeuksissa?


TCF vaikuttaa perustuvan olettamukseen siitä, että digitaalinen mainonta toimii jatkossakin pitkälti samalla tavoin kuin nyt – hyödyntäen pääosin kolmansien osapuolien evästeitä ja vertaamalla eri toimijoiden eväste-ID:tä keskenään mainostilaan tai dataan liittyvän kaupankäynnin mahdollistamiseksi.

Viime viikolla toimiala kuitenkin havahtui, kun Google ilmoitti poistavansa kolmannen osapuolen evästeet Chrome-selaimestaan seuraavan kahden vuoden kuluessa. Osa hätääntyi, kun taas toiset ovat ennakoineet evästeiden kuolemaa jo useamman vuoden. Nyt katse saattaa suuntautua mm. kontekstuaaliseen mainontaan, omaan ensimmäisen osapuolen dataan, mahdollisiin ensimmäisen osapuolen evästeitä hyödyntäviin universaaleihin ID-ratkaisuihin tai eri toimialojen konsortioihin, jotka voivat luoda Googlen ja Facebookin kanssa kilpailevia kirjautumiseen perustuvia ratkaisujaan. Ehkä syntyy uusia innovaatioitakin?


Mitä tehdä?


Verkkosivujen ja digimainonnan osalta moni on tuntunut odottavan sähköisen viestinnän tietosuojadirektiivin uudistusta, jo vuonna 2017 ehdotettua ePrivacy-asetusta. Sen valmistelu on viivästynyt, mutta selväksi on käynyt, että GDPR:n voimaantulo on vaikuttanut myös ePrivacy-sääntelyyn (eli Suomessa sähköisen viestinnän palveluista annettuun lakiin), erityisesti muuttanut suostumuksen määritelmää yllä kuvatuin tavoin. Nyt on siis viimeistään aika lähteä korjaamaan käytäntöjä digimainonnan ja erityisesti evästesuostumuksen pyytämisen osalta.


Tiiviit toimenpidesuositukset, jotka esitin IAB:n tietosuojaseminaarissa, löydät alta:


  • Tiedä, mitä sivustollasi tapahtuu: tee evästeaudit

  • Määritä roolisi ja ymmärrä riskitasosi: suomalainen verkkosivusto vs. ohjelmallisesti mainostilaa/dataa myyvä julkaisija tai yritys, joka muutoin tarjoaa palveluitaan Euroopan laajuisesti

  • Varaudu muutoksiin: panosta 1st party dataan ja/tai pohdi tekeväsi digimainontaa ilman henkilötietoja

  • Kartoita eri suostumustenhallintamekanismeja (CMP), testaa ja ota käyttöön, erityisesti jos haluat toimia kansainvälisessä ohjelmallisen mainonnan markkinassa (huom. hoida suostumus myös niille evästeille, jotka eivät ole TCF:ssä mukana)

  • Päivitä tietosuoja- ja/tai evästekäytännöt (esim. yhteisrekisterinpitäjyys Facebookin kanssa, jos käytössä on FB-painikkeita; evästeiden käyttötarkoitukset ja elinkaari; kumppaneiden yksilöinti; suostumuksen hallinta)

  • Dokumentoi: mm. sopimukset, vaikutustenarvioinnit, oikeutettuun etuun liittyvät tasapainotestit

  • Seuraa viranomaisratkaisuja ja -suosituksia sekä alan markkinakäytännön muutoksia


Lopuksi vielä muistutus siitä, että evästesääntely on teknologianeutraalia, joten ”evästeillä” tarkoitetaan myös muita vastaavia teknologioita (esim. beaconit, pikselit selaimen paikallinen tietovarasto, fingerprintit, mobiilisovellusten SDK:t). On siis suositeltavaa katsoa koko kävijäseurantaan liittyvä kokonaisuus kuntoon.


Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

bottom of page