Evästeet nettisivuilla ja GDPR - miten pitää ilmoittaa?

30.01.2019     Innowise    

EU:n tietosuoja-asetus eli GDPR synnytti viime vuonna kaikenlaisia väärinkäsityksiä. Yksi laajasti levinnyt väärinkäsitys on, että GDPR vaatisi nettisivuille evästeiden (eng. cookies) käytöstä ilmoittavan bannerin tai popup-ikkunan.

Päivitys 15.5.2020: apulaistietosuojavaltuutettu on tänään linjannut evästeille pyydettäviä suostumuksia, ks. https://tietosuoja.fi/artikkeli/-/asset_publisher/apulaistietosuojavaltuutettu-maarasi-yrityksen-muuttamaan-tapaa-jolla-se-pyytaa-suostumusta-evasteiden-kayttoon

HUOM! TÄMÄ KIRJOITUS EI PÄDE ENÄÄ, LUE UUDEMPI KIRJOITUS AIHEESTA.

 

 

 

 

 

 

Todellisuudessa GDPR ei sisällä sivustojen ylläpitäjille mitään uusia velvollisuuksia, mitä tulee evästeiden käytön ilmoittamisesta nettisivuilla. Itse asiassa tietosuoja-asetuksen tekstissä mainitaan evästeet tasan yhden kerran ja sekin asetuksen niin sanotuissa resitaaleissa, jotka selittävät asetuksen tarkoitusta:

Toisin sanoen evästeet mainitaan vain yhtenä esimerkkinä verkkotunnistetiedoista, joita käyttäjästä voi jäädä palvelimelle ja joita joissain tapauksessa voidaan käyttää yhdessä muiden tietojen kanssa luonnollisen henkilön tunnistamiseen. Tunnistamisen mahdollisuus riippuu lopulta siitä, mitä a) evästeisiin tallennetaan ja b) mihin muihin tietoihin se yhdistetään. Tämä lienee selvää jokaiselle, joka tuntee evästeiden käyttöä.

Rautalangasta: GDPR ei sisällä suoranaista uutta sääntelyä siitä, miten evästeiden käytöstä nettisivuilla tulee ilmoittaa.

Edellyttääkö EU:n yleinen tietosuoja-asetus eli GDPR kysymään suostumuksen evästeiden käytölle?

Vaikka GDPR ei suoraan sisällä määräyksiä evästeiden käytöstä, on silti hyvä kysymys, aiheuttaako sen määräykset kuitenkin välillisesti jotain uusia velvollisuuksia evästeisiin liittyen. Usein kuuluu väitettävän, että koska evästeitä saatetaan käyttää henkilön tunnistamiseen, pitää niille kysyä suostumus.

Tässäkin on kyse väärinkäsityksestä.

GDPR sääntelee henkilötietojen käsittelyä yleisesti ja erityisesti henkilörekisterien pitoa. Asetuksen mukaan henkilötietojen käsittelylle pitää olla jokin oikeusperuste. Suostumus on yksi kuudesta mahdollisesta perusteesta.

Henkilötietojen käsittely voi perustua:

  • Henkilön suostumukseen
  • Sopimukseen, jossa rekisteröity on osapuolena
  • Rekisterinpitäjän lakisääteiseen velvoitteeseen
  • Elintärkeiden etujen suojaamiseen (esim. hätätilanne)
  • Julkisen tehtävän hoitamiseen tai yleiseen etuun
  • Rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun (esim. asiakassuhde tai työsuhde)

Oikeusperuste pitää olla ennen henkilötietojen käsittelyn aloittamista. Henkilötiedoilla tarkoitetaan asetuksen mukaan "tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön" (rekisteröityyn) liittyviä tietoja.

Rautalangasta: Suostumus on yksi mahdollinen peruste henkilötietojen käsittelylle, ja sen sekoittaminen evästeiden hyväksyntään on puhdas väärinkäsitys.

Nettisivujen erityyppiset vierailijat tietosuoja-asetuksen näkökulmasta

Kun vierailija tulee esimerkiksi yrityksen nettisivuille, on GDPR:n ja sivuston ylläpitäjän näkökulmasta kyse jostain seuraavista tilanteista:

  1. Satunnainen vierailija, josta yllläpitäjällä ei ole entuudestaan mitään tietoa. Ylläpitäjä ei pysty tunnistamaan evästeiden tai esimerkiksi IP-osoitteen perusteella, kenestä luonnollisesta henkilöstä on kyse.
  2. Palaava vierailija, joka on aiemmin esimerkiksi lähettänyt viestin nettilomakkeen kautta tai keskustellut chatissa asiakaspalvelijan kanssa. Sen myötä hänen henkilötietojaan on voinut päätyä sivuston ylläpitäjälle, ja tuossa tilanteessa on pitänyt olla jokin oikeusperuste henkilötietojen käsittelyn aloittamiselle. Yleensä oikeusperuste on lomakkeella annettu suostumus tai rekisterinpitäjän oikeutettu etu kuten asiakassuhde. Tähän liittyen sivustolla tai lomakkeen yhteydessä tulee olla informointi henkilötietojen käsittelystä, tavallisesti tietosuojaseloste. Mikäli vierailija on mahdollista tunnistaa jatkossa evästeiden avulla, tulee tämä mainita tietosuojaselosteessa.
  3. Kirjautunut käyttäjä, joka kirjautuu esimerkiksi nettisivustolla olevaan extranet-osioon tai muuhun käyttäjätunnuksen vaativaan verkkopalveluun. Tässä tapauksessa hän on luonut (tai pyytänyt/saanut) sivustolle käyttäjätunnuksen jo aiemmin eli rekisteröitynyt sen käyttäjäksi. Rekisteröitymisen yhteydessä sivuston ylläpitäjän on tullut informoida henkilötietojen käytöstä esimerkiksi tietosuojaselosteella, pyytää suostumus henkilötietojen käsittelylle tai pyytää hyväksyntä palvelun käyttöehtosopimukseen, joissa huomioidaan henkilötietojen käsittely sekä henkilön tunnistaminen palvelua käytettäessä.

Rautalangasta: Tilanteissa (2. ja 3. -kohdat), joissa on mahdollista tunnistaa henkilö evästeen avulla, on hänet rekisteröity sivuston ylläpitäjän henkilörekisteriin jo aiemmin ja oikeusperuste henkilötietojen käsittelylle on etukäteen olemassa, joten sitä ei tarvitse hankkia uudestaan.

1. kohdassa ei henkilöä voida tunnistaa, jolloin kyse ei ole GDPR:n tarkoittamasta henkilötietojen käsittelystä ja mitään oikeusperustetta ei edes tarvita.

On vaikea kuvitella mitään tilannetta, jossa nettisivuston ylläpitäjä voisi tunnistaa henkilön pelkän evästeen perusteella - siis ilman aiemmin alkanutta henkilötietojen käsittelyä - mutta jos sellainen tilanne tulisi vastaan, niin silloin sivuston ylläpitäjän tulisi huolehtia, että oikeusperuste henkilötietojen käsittelylle on kunnossa. Silloinkin todennäköisesti riittäisi rekisterinpitäjän oikeutettu etu, jos tiedoilla ei tehdä mitään muuta.

Pitääkö evästeistä silti kertoa bannerilla tai popupilla?

Kuten todettua EU:n yleinen tietosuoja-asetus ei ota kantaa evästeistä kertomiseen. Sen sijaan laki sähköisen viestinnän palveluista sanoo seuraavaa:

 laki sähköisen viestinnän palveluista - evästeet ja GDPR tietosuoja-asetus, miten pitää ilmoittaa?

Laki siis vaatii evästeille suostumuksen, mikäli evästeiden käyttö ei ole puhtaasti teknistä viestin välitystä tai välttämätöntä käyttäjän nimenomaisesti pyytämän palvelun tarjoamiseksi. Lisäksi tulee kertoa, mihin tarkoituksiin evästeitä käytetään.

Viestintäviraston ohje evästeistä ilmoittamiseen ja suostumukseen

Viestintävirasto eli nykyinen Traficom on tehnyt tulkinnan, että evästeiden suostumukseksi riittää se, että evästeiden käyttö on sallittu esimerkiksi selaimen asetuksissa. Muutenhan evästeitä ei ole mahdollistakaan tallentaa.

Päivitys 20.11.2019:

Liikenne- ja viestintävirasto on tänään tarkentanut ohjeistustaan evästeistä johtuen EU-tuomioistuimen päätöksestä asiassa C-673/17. Suomen evästekäytänteiden linjaus on pääosiltaan sama kuin aiemminkin.

Alla on nykyisen voimassaolevan ohjeistuksen olennainen kohta:  

"Suomessa on tulkittu sähköisen viestinnän tietosuojadirektiiviä siten, että käyttäjä voi antaa suostumuksensa evästeiden tallentamiseen esimerkiksi selaimen tai muun sovelluksen asetusten avulla.

Suomessa evästeistä informoimista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. Suostumuksen voi pyytää käyttäen valitsemaansa teknologiaa (esim. selaimen/sovelluksen asetukset tai ponnahdusikkuna), kunhan suostumusta ei pyydetä valmiiksi rastitetun ruudun kautta. Evästekäytännöt on myös mainittava verkkosivuilla niin, että käyttäjän on mahdollista saada niistä lisätietoa.

Tämä tulkintakäytäntö vaihtelee valtioittain. Ulkomaisissa palveluissa evästeitä saatetaankin kysyä sivustokohtaisesti.

Evästeiden käytöstä ei tarvitse informoida tai suostumusta pyytää,

- jos niiden ainoana tarkoituksena on toteuttaa viestin välittäminen teknisesti

- joka on välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.

Tällaisia palveluita ovat esimerkiksi verkkopankit ja verkkokaupat. Käytännössä nämä palvelut eivät toimi ilman evästeitä. Evästeistä ja niiden käyttötarkoituksesta voi kuitenkin kertoa edellä mainituissa tapauksissa."

 

Päivitys 24.4.2020: Traficom on antanut päätöksen koskien nimenomaisesti Innowise.fi-sivuston evästekäytänteitä. Päätös vahvistaa tässä esitetyn käytännön oikeaksi. Voit ladata ja lukea päätöksen tästä (PDF).

Rautalangasta: evästeille ei tarvitse pyytää uudelleen suostumusta käyttäjältä, jos ne ovat selaimen asetuksissa päällä, jolloin käyttäjä on ne jo hyväksynyt, vaan riittää, että evästeiden käyttötarkoituksista kerrotaan.

Esimerkki evästeilmoituksesta

Evästeistä kertova ilmoitus voi näyttää esimerkiksi tältä:

Evästeet, evästeilmoitus, evästekäytäntö, GDPR, tietosuoja-asetus - tee ilmoitus näin

Yhtä hyvin tieto evästeiden käytöstä voi olla vaikkapa sivuston alapalkissa. Missään ei sanota, että ilmoituksen pitäisi olla sivuston päällä kelluva banneri tai popup-ikkuna.

Esimerkiksi Traficomin Kyberturvallisuuskeskuksen (joka em. lakien tulkintaohjeita Suomessa antaa) uudella sivustolla ei ole mainintaa evästeistä edes sivuston alapalkissa, vaan niistä kerrotaan lyhyesti tietoa sivustosta -alasivulla.

Pitääkö evästeiden käytölle kysyä suostumus Google Analyticsin käyttöehtojen vuoksi?

On esitetty, että evästeiden käytölle on pakko pyytää suostumus vierailijoilta erikseen, jos käytetään Google Analytics -kävijäseurantapalvelua. Katsotaan, mitä sen käyttöehdot sanovat asiasta:

Tietosuoja, GDPR, tietosuoja-asetus, Google Analytics käyttöehdot, evästeistä ilmoittaminen

Google Analytics-kävijäseurantaa käytettäessä on asiasta kerrottava vierailijoille ja sivustolla on tarpeen olla ajantasainen kuvaus tietosuojasta. Ylläpitäjän on myös varmistettava, että vierailijat hyväksyvät evästeiden tallentamisen. Erillistä evästeiden suostumuksen kysymistä ehdot eivät kuitenkaan edellytä.

Käytännössä kyse on samasta kuin yllä on jo käyty läpi. Tärkein kohta on viimeisen lauseen lopussa: "kun laki edellyttää näiden tietojen toimittamista ja hyväksynnän saamista".

Rautalangasta: Google Analyticsin käyttöehdot eivät lisää sivustojen ylläpitäjille uusia velvollisuuksia evästeiden käyttöön liittyen, vaan ne edellyttävät yksinkertaisesti olemassa olevien lakien noudattamista.

Yhteenveto: yleensä evästeistä kertominen riittää

Yleensä riittää, kun evästeiden käytöstä ja niiden tarkoituksista kerrotaan vierailijoille. Hyväksy-nappia ei oikeasti tarvita, sillä evästeitä ei edes voi tallentaa, jos ne eivät ole sallittuna käyttäjän selaimessa, mikä nykyisen viranomaisen tulkinnan mukaan on riittävä suostumus käyttäjältä.

Jos lisäksi käsittelet vierailijoiden henkilötietoja, huolehdi GDPR:n mukaisesti rekisterinpitäjän velvollisuuksista.

- Harto Pönkä, 30.1.2019

P.S. Jos tarvitset apua GDPR:n kanssa tai tietosuojakoulutuksen organisaatiollesi, tutustu GDPR-palveluihimme.