• Anna Paimela

Selainasetuksilla ei pätevää suostumusta evästeille

Apulaistietosuojavaltuutettu otti päätöksessään 14.5.2020 kantaa evästesuostumuksen pätevyyteen.


Rekisterinpitäjän antaman selvityksen mukaan se noudattaa evästeisiin annettavan suostumuksen osalta Traficomin ohjeistusta. Tämän ohjeen mukaan suostumus ei-välttämättömiin evästeisiin voidaan antaa selaimen asetusten avulla. Lisäksi rekisterinpitäjä kertoo ottaneensa käyttöön niin sanotun evästebannerin, jonka tarkoituksena on lisätä evästeiden käyttöön liittyvää läpinäkyvyyttä ja tehdä vaikutusmahdollisuuksien käyttämisestä mahdollisimman helppoa. Klikkaamalla bannerin kohtaa ”Lisätietoja” käyttäjä pääsee tietosuojaselosteeseen, jossa on lisätietoja evästeistä, rekisterinpitäjän kumppaneista ja vaikutusmahdollisuuksista. ”Lisätietoja” ja ”OK” -napin lisäksi evästebannerissa ei ole erillistä mahdollisuutta kieltää evästeitä.


Apulaistietosuojavaltuutettu katsoi, ettei ko. menettely täytä lainsäädännön edellytyksiä ja antoi rekisterinpitäjälle määräyksen muuttaa sen toimintatavat suostumuksen pyytämisessä yleisen tietosuoja-asetuksen (GDPR) mukaiseksi. Apulaistietosuojavaltuutettu katsoi, että sähköisen viestinnän tietosuojadirektiivin (ja näin ollen sähköisen viestinnän palveluista annetun lain) viittaukset suostumukseen olivat korvautuneet henkilötietodirektiivin kumoamisen johdosta tietosuoja-asetuksella. Sen mukaan suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn. Suostumusta ei voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta.


Tulkinnanvarainen tilanne selkiytyy


Yleiseurooppalainen tulkinta, muutamia poikkeuksia lukuun ottamatta, on jo pitkään ollut se, että evästeille tulee saada GDPR:n mukainen suostumus. Suomessa epävarmuutta on aiheuttanut Traficomin kansallisen lain vanhoihin esitöihin perustuva linja, jonka mukaan suostumus voidaan antaa selainasetusten avulla. Traficomin nettisivuilla olevaan linjaukseen on viitattu laajalti, sillä se on ollut ainoa selvästi julkituotu viranomaisohjeistus evästesuostumukseen liittyen.


Tässä ratkaisuissa tietosuojavaltuutetun toimisto kuitenkin vahvisti, että vaikka evästeitä valvoo Traficom, tietosuojavaltuutetun toimisto on toimivaltainen ottamaan kantaa tiedollisen itsemääräämisoikeuden käyttöön perustuvan suostumuksen antamiseen. Lisäksi EU-oikeuden etusijasta seuraa, että suostumusta on tulkittava yleisen tietosuoja-asetuksen mukaisesti.


Ratkaisun mukaan bannerin kautta annettavan suostumuksen ei voitu katsoa täyttävän vapaaehtoisen suostumuksen edellytyksiä, eikä suostumuksesta kieltäytymistä tai sen peruuttamista ollut tehty yhtä helpoksi kuin suostumuksen antamista. Sitä, että käyttäjälle kerrottiin mahdollisuudesta kieltää evästeiden tallentaminen ja käyttö selainasetuksista, ei voitu pitää sellaisena aktiivisena ja nimenomaisena tahdonilmaisuna, jota pätevän suostumuksen antaminen edellyttää. Apulaistietosuojavaltuutettu katsoi, ettei tietosuoja-asetuksen mukaista suostumusta voida antaa siten, että käyttäjä jättää tekemättä muutoksia selainasetuksiinsa.


Aikataulu ja seuraavat toimenpiteet


Apulaistietosuojavaltuutettu antoi rekisterinpitäjälle määräyksen muuttaa sen käsittelytoimet suostumuksen keräämisessä yleisen tietosuoja-asetuksen säännösten mukaisiksi. Se jätti rekisterinpitäjän harkintaan asianmukaiset toimenpiteet, mutta määräsi toimittamaan selvityksen tehdyistä toimenpiteistä 1.9.2020 mennessä.


Tiedotteen mukaan tietosuojavaltuutetun toimistossa on vireillä kymmeniä vastaavia tapauksia, jotka tullaan ratkaisemaan nyt annetun päätöksen mukaisesti. Yritysten, joilla hyödynnetään evästeitä muihin kuin välttämättömiin tarkoituksiin, kannattaa harkita seuraavia toimenpiteitä kesän ja alkusyksyn aikana:


  1. Tee evästeaudit. Esimerkiksi Webbkoll-palvelulla pääsee alkuun.

  2. Listaa kumppanit sekä luokittele evästeet ja niiden käyttötarkoitukset.

  3. Poista turhat/vanhentuneet skriptit.

  4. Kartoita suostumustenhallintamekanismeja, testaa ja ota käyttöön. Tee samalla tarvittavat muutokset tägienhallintaan, kuten Google Tag Manageriin.

  5. Päivitä sivustosi tietosuoja/evästekäytännöt.


Lue myös aikaisempi kirjoitus: "Ajankohtaista digimainonnan tietosuojasta."


Lisätietoja asiasta antaa: Anna Paimela, anna.paimela@iconics.fi, 040 1648626.

ICONICSIN MISSIO ON YKSINKERTAINEN: LUODA PAREMPIA LIIKEJURIDIIKAN PALVELUITA.

KÄYTÄMME LAKIA LIIKETOIMINNAN MAHDOLLISTAMISEEN.

SINÄ VOIT KESKITTYÄ MENESTYKSEESI.

Iconics Oy

Teollisuuskatu 21, 00510 Helsinki

hello@iconics.fi

  • Black Twitter Icon
  • Black LinkedIn Icon
  • Black Facebook Icon

Tilaa uutiskirjeemme!

© Iconics Oy, 2020