Evästeiden suostumus nettisivuilla GDPR:n ja uusien linjausten mukaan

03.09.2020     Innowise    

Aiemmassa blogikirjoituksessa v. 2019 kerroin, että GDPR ei edellytä nettisivuille evästeiden suostumusta kysyvää banneria tai popup-ikkunaa, vaan Traficomin kansallisen linjauksen mukaan evästeistä kertominen riittää. Traficomin ohjeistus on edelleen sama, mutta Tietosuojavaltuutetun toimiston päätöksessään tekemä uusi linjaus pakottaa miettimään asiaa täysin uudestaan. Lopputulos on, että jos haluaa varmasti toimia määräysten mukaisesti, on evästeille useimmiten kysyttävä käyttäjän suostumus - eikä vain niille, vaan kaikille muillekin käyttäjän seurannan mahdollistaville tekniikoille.

Milloin ja miksi evästeille tarvitaan suostumus?

Evästeiden suostumuksessa ei ensisijaisesti ole kysymys henkilötietojen käsittelystä, vaan siitä, että 1) tietoja tallennetaan vierailijan laitteelle ja 2) käytetään laitteelle tallennettuja tietoja.

Toki evästeillä voidaan usein myös tunnistaa tietty henkilö, jolloin kyse on GDPR:n mukaisesta henkilötietojen käsittelystä. Siitä lisää jäljempänä.

Tietojen tallentamista ja käyttöä vierailijan laitteelta säännellään EU:n sähköisen viestinnän tietosuojadirektiivissä, tarkemmin sen 5. artiklan 3. kohdassa:

"Jäsenvaltioiden on varmistettava, että sähköisten viestintäverkkojen käyttö tietojen tallentamiseksi tai tilaajan tai käyttäjän päätelaitteelle tallennettujen tietojen käyttämiseen sallitaan ainoastaan sillä edellytyksellä, että kyseiselle tilaajalle tai käyttäjälle annetaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta direktiivin 95/46/EY mukaisesti ja että hänelle annetaan oikeus kieltää tietojen käsittelystä vastaavaa tahoa suorittamasta tällaista käsittelyä. Tämä ei estä teknistä tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestinnän välittäminen sähköisissä viestintäverkoissa tai helpottaa sitä tai joka on ehdottoman välttämätöntä sellaisen tietoyhteiskunnan palvelun tarjoamiseksi, jota tilaaja tai käyttäjä on erityisesti pyytänyt."

Määräykset käytännössä:

1. Käyttäjälle on kerrottava selkeästi tietojen käsittelyn - kuten evästeiden käytön - tarkoituksesta.

2. Käyttäjälle on annettava oikeus kieltää tietojen käsittely tai kääntäen häneltä täytyy saada suostumus käsittelylle.

3. Palvelun välttämättömälle tietojen käsittelylle ei tarvitse olla käyttäjän kieltomahdollisuutta.

Sähköisen viestinnän tietosuojadirektiivin mukainen käyttäjän suostumus tarkoittaa nykyisin yleisen tietosuoja-asetuksen eli GDPR:n mukaista suostumusta. Suostumuksella tarkoitetaan siten mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity antaa suostumusta ilmaisevan lausuman tai tekee selkeästi suostumusta ilmaisevan toimen.

Eli:

4. Evästeille - mikäli ne eivät ole yksinomaan palvelun käytölle välttämättömiä - tarvitaan yhtä "vahva" GDPR:n mukainen suostumus kuin henkilötietojen käsittelylle.

Suostumusta ei yksinkertaisesti ole ennen kuin käyttäjä on sen itse aktiivisesti antanut. Evästeitä ja muita seurantekniikoita ei saada nettisivustolla käyttää tai ladata ennen kuin käyttäjä on esimerkiksi klikannut "hyväksyn evästeet" -painikkeesta. Suostumus tulisi myös tallentaa niin, että palveluntarjoaja voi osoittaa, että se on saatu.

Riittääkö selaimen asetus evästeiden suostumukseksi?

Tällä hetkellä Suomessa on erikoinen tilanne, nimittäin selaimen asetuksen riittävyys evästeiden tallentamisen ja käytön suostumukseksi riippuu siitä, kysyykö asiasta Traficomilta (ent. Viestintävirasto) vai Tietosuojavaltuutetun toimistolta.

Traficomilta on olemassa päätös - sattumoisin juuri tätä sivustoa koskeva - jonka mukaan selaimen asetus riittää suostumukseksi. Mainittakoon, että vaikka kyseinen vapauttava päätös oli näin sivuston omistajan näkökulmasta tervetullut, niin luettuani sen ylimääräiset evästeet saivat lähteä tältä sivustolta samana päivänä.

Nimittäin siinä on mielestäni yksi ongelma: käyttäjä ei voi selaimen asetuksista tehdä yksittäisiä sivustoja koskevia päätöksiä. Eri sivustoilla evästeitä käytetään eri tarkoituksiin. Siten sähköisen viestinnän tietosuojadirektiivin vaatimus, että käyttäjä voisi kieltää haluamansa tietojen käsittelytarkoitukset, ei toteudu, jos yksittäinen selaimen asetus voidaan tulkita suostumukseksi mihin tahansa evästeiden käyttöön.

Jo alussa viittasin Tietosuojavaltuutetun toimiston päätöksessään (14.5.2020) tekemään uuteen linjaukseen. Sen mukaan on yksiselitteistä - niillä perusteilla, jotka edellä jo esitin - ettei selaimen asetus riitä suostumukseksi mihin tahansa evästeiden käyttöön. Tässä lainaus TSV:n päätöksestä:

"Apulaistietosuojavaltuutettu katsoo, ettei rekisterinpitäjän nykyinen toimintatapa selainasetusten muuttamiseen viittaamalla täytä yleisen tietosuoja-asetuksen 4 artiklan 11 alakohdan eikä 6 artiklan 1 kohdan a alakohdan vaatimuksia."

Tietosuojavaltuutetun toimiston vaatimus evästeiden suostumukselle on käytännössä uusi normi, jonka mukaan tulee jatkossa toimia.

Viime kädessä kyse on siitä, kunnioitetaanko verkkopalvelujen vierailijoiden yksityisyyttä ja oikeutta tehdä valintoja, miten heidän tietojaan käsitellään.

Miten suostumus evästeiden käytölle tulee pyytää?

Esimerkki evästeiden kiellon ja suostumuksen popupista

TSV:n edellä mainitussa päätöksessä on otettu kantaa tarkemminkin siihen, miten suostumus evästeiden käytölle tulee pyytää, jotta saatu suostumus on GDPR:n kriteerien mukaisesti pätevä.

Evästebannerin tai popupin toteutuksessa kannattaa huomioida ainakin nämä seikat:

5. Evästeiden käytöstä kieltäytyminen ei saa aiheuttaa käyttäjälle haittaa.

6. Suostumuksesta kieltäytyminen tai annetun suostumuksen peruminen tulee olla yhtä helppoa kuin sen anto.

7. Suostumuksen peruminen tulee olla mahdollista rekisterinpitäjän omassa verkkopalvelussa.

Euroopan tietosuojaneuvosto (EDPB) on toukokuussa antanut GDPR:n suostumusta koskevia tarkennuksia (PDF). Varsinkin seuraavat kohdat on syytä huomioida:

"40. Example 6a: A website provider puts into place a script that will block content from being visible except for a request to accept cookies and the information about which cookies are being set and for what purposes data will be processed. There is no possibility to access the content without clicking on the “Accept cookies” button. Since the data subject is not presented with a genuine choice, its consent is not freely given.

41. This does not constitute valid consent, as the provision of the service relies on the data subject clicking the “Accept cookies” button. It is not presented with a genuine choice."

Toisin sanoen eväste-popupin toteutus on oltava sellainen, että se ei estä sivuston normaalia käyttöä.

8. Sivustoa on päästävä käyttämään normaalisti myös ilman evästeiden hyväksyntää.

Tällä hetkellä suurin osa näkemistäni evästekyselyistä riikkoo näitä ohjeistuksia vähintään yhdellä tavalla. Esimerkiksi jos eväste-popup peittää koko sivuston näkyvistä, eikä siinä ole "hyväksy"-napin rinnalla myös selkeää "kieltäydy evästeistä" -nappia, se rikkoo annettuja ohjeistuksia jo useammallakin tavalla.

Poikkeuksena ovat maksulliset verkkopalvelut tai muut palvelusopimuksen hyväksymisen vaativat verkkopalvelut, joissa evästeiden käyttö ei perustu käyttäjältä saatavaan suostumukseen, vaan osapuolten väliseen sopimukseen. Siitä jäljempänä lisää.

Milloin evästeille ei tarvitse saada suostumusta?

Evästeille ei tarvita suostumusta, jos ne ovat välttämättömiä kyseisen verkkopalvelun käytölle. Käytännössä tällaisia ovat esimerkiksi käyttäjän tekemien valintojen muistaminen, kirjautumiseen liittyvä eväste jne.

9. Välttämättömät evästeet ovat kyseisen palvelun omia evästeitä, eivät esimerkiksi kolmansien osapuolten seurannan mahdollistavia evästeitä.

Viittasin edellä siihen, että joskus evästeitä käytetään käyttäjän tunnistamiseen, jolloin kyse on suoranaisesti henkilötietojen käsittelystä. Esimerkiksi jos palveluun voi rekisteröityä omalla nimellään, niin sisään kirjautunut käyttäjä voidaan tunnistaa paitsi kirjautumistilanteessa myös sen jälkeen evästeen avulla.

Rekisteröitymisen vaativassa verkkopalvelussa palvelun ylläpitäjälle muodostuu henkilötietorekisteri palvelun käyttäjistä. Siksi jo rekisteröitymisvaiheessa käyttäjälle on esitettävä palvelun tietosuojaseloste, jossa kerrotaan tarkemmin henkilötietojen käsittelystä ja käyttäjän oikeuksista. Oleellista on, että henkilötietojen käsittelylle tulee GDPR:n mukaan aina olla laillinen peruste.

Henkilötietojen käsittely voi perustua:

  • Henkilön suostumukseen
  • Sopimukseen, jossa rekisteröity on osapuolena
  • Rekisterinpitäjän lakisääteiseen velvoitteeseen
  • Elintärkeiden etujen suojaamiseen (esim. hätätilanne)
  • Julkisen tehtävän hoitamiseen tai yleiseen etuun
  • Rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun (esim. asiakassuhde tai työsuhde)

Useimmiten kirjautumisen vaativissa verkkopalveluissa henkilötietojen käsittelyn peruste on joko sopimus tai henkilön suostumus. Rekisterinpitäjän tulee nimetä tietosuojaselosteessa, mihin edellä mainituista käsittely perustuu. Näin siksi, koska rekisteröidyn tarkemmat oikeudet suhteessa rekisterinpitäjään ovat erilaiset riippuen käytetystä perusteesta.

Mikäli verkkopalvelun käyttö perustuu siihen, että käyttäjä hyväksyy tietyt sopimusehdot, on kyseinen sopimus automaattisesti myös henkilötietojen käsittelyn peruste. Tässä tapauksessa verkkopalvelun ei tarvitse erikseen pyytää suostumusta esimerkiksi evästeiden käytölle - edellyttäen, että kaikki se, mitä evästeillä tehdään, sisältyy käyttäjän hyväksymään sopimukseen ja tietojen käsittely on kuvattu selkeästi palvelun tietosuojaselosteessa.

Viimeinen nyrkkisääntö evästeiden käytölle on siten seuraava:

10. Mikäli henkilötietojen käsittelylle on verkkopalvelussa jo valmiiksi oikeusperuste, joka kattaa evästeiden käyttötarkoitukset, ei evästeille tarvitse pyytää erikseen käyttäjän suostumusta.

Yhteenveto evästeiden suostumuksen kysymiselle

  1. Käyttäjälle on kerrottava selkeästi tietojen käsittelyn - kuten evästeiden käytön - tarkoituksesta.
  2. Käyttäjälle on annettava oikeus kieltää tietojen käsittely tai kääntäen häneltä täytyy saada suostumus käsittelylle.
  3. Palvelun välttämättömälle tietojen käsittelylle ei tarvitse olla käyttäjän kieltomahdollisuutta.
  4. Evästeille - mikäli ne eivät ole yksinomaan palvelun käytölle välttämättömiä - tarvitaan yhtä "vahva" GDPR:n mukainen suostumus kuin henkilötietojen käsittelylle.
  5. Evästeiden käytöstä kieltäytyminen ei saa aiheuttaa käyttäjälle haittaa.
  6. Suostumuksesta kieltäytyminen tai annetun suostumuksen peruminen tulee olla yhtä helppoa kuin sen anto.
  7. Suostumuksen peruminen tulee olla mahdollista rekisterinpitäjän omassa verkkopalvelussa.
  8. Sivustoa on päästävä käyttämään normaalisti myös ilman evästeiden hyväksyntää.
  9. Välttämättömät evästeet ovat kyseisen palvelun omia evästeitä, eivät esimerkiksi kolmansien osapuolten seurannan mahdollistavia evästeitä.
  10. Mikäli henkilötietojen käsittelylle on verkkopalvelussa jo valmiiksi oikeusperuste, joka kattaa evästeiden käyttötarkoitukset, ei evästeille tarvitse pyytää erikseen käyttäjän suostumusta.

- Harto Pönkä, 3.9.2020