MyFondia VirtuaaliLakimies
14. lokakuuta, 2019

Evästekäytännöt uusiksi EU-tuomioistuimen päätöksen johdosta?

Lokakuu käynnistyi tietosuojan osalta vauhdikkaasti, kun EU-tuomioistuin antoi odotetun päätöksensä evästeiden käytöstä ns. Planet 49 -tapauksessa.

Tapauksessa arvioitiin verkossa arvontoja järjestävän yhtiön, Planet 49 GmbH:n käyttämää evästekonseptia. Yhtiö pyysi mainostarkoituksessa pitämänsä arvonnan yhteydessä osallistujilta suostumusta evästeiden tallentamiseen ja käyttämiseen valmiiksi rastitetulla suostumuksella. Tällöin osallistujan olisi tullut poistaa valmiiksi lisätty rasti ruudusta, mikäli hän olisi halunnut kieltää evästeiden käytön. Käytössä olleilla evästeillä oli tarkoitus välittää henkilötiedoiksi katsottavia tietoja käyttäjien päätelaitteilta yhtiön sponsoreille ja yhteistyökumppaneille.

Onko valmiiksi rastitettu suostumus pätevä ja täyttääkö se GDPR:n vaatimukset?

Päätöksessään tuomioistuin päätyi kahteen selkeään lopputulemaan. Ensinnäkin se katsoi, että valmiiksi rastitettu suostumus ei ole pätevästi annettu ja toiseksi, että evästeitä koskevan suostumuksen tulee täyttää GDPR:n vaatimukset. Toisin sanoen käyttäjältä edellytettävän suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdon ilmaisu, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn.

Suostumuksen antaminen edellyttää käyttäjältä aktiivisia toimenpiteitä

Tuomioistuin katsoi, että suostumuksen antaminen edellyttää käyttäjältä aktiivisia toimenpiteitä, eikä valmiiksi rastitetulla ruudulla annettu suostumus merkitse internetsivuston käyttäjän aktiivista toimintaa. Lisäksi se linjasi, että käyttäjän aktiivista suostumusta edellytetään kaikkiin päätelaitteelle tallennettuihin tietoihin riippumatta siitä, onko kyse henkilötiedoista vai ei. Tuomioistuin totesi vielä, että palveluntarjoajan on informoitava internetsivuston käyttäjiä siitä, miten pitkään päätelaitteelle tallennettavat evästeet toimivat ja onko kolmansilla osapuolilla mahdollisuus käyttää näitä evästeitä.

Kaikkien evästeiden käyttöön ei tarvita suostumusta

Päätöksestä huolimatta on hyvä pitää mielessä, että kaikkien evästeiden käyttöön ei kuitenkaan tarvita suostumusta. Tällaisia ovat esimerkiksi evästeet, 1) joiden ainoana tarkoituksena on toteuttaa viestin välittäminen sähköisissä tietoverkoissa ja 2) jotka ovat ehdottoman välttämättömiä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on erityisesti pyytänyt. Palveluita, joiden osana ko. evästeitä voidaan käyttää ovat esimerkiksi verkkopankit ja verkkokaupat.

Täyttääkö selainasetuksissa annettava evästesuostumus EU-tuomioistuimen vaatimuksen aktiivisesta suostumuksesta?

Planet 49 -päätös voi olla vaikutuksiltaan merkittävä, sillä EU-tuomioistuimen ennakkopäätökset ovat kansallisiin lakeihin nähden ensisijaisesti sovellettavaa oikeutta. Lisäksi ePrivacy -direktiivi on implementoitu kansallisiin lakeihin jonkin verran toisistaan poikkeavilla tavoilla. Näiden seikkojen johdosta nyt annettu päätös voi edellyttää kansallisia viranomaisia muuttamaan tämänhetkisiä evästeohjeistuksiaan. Suomessa sähköisen viestinnän luottamuksellisuutta valvova Traficom on osaltaan ohjeistanut, millä tavoin evästeitä koskeva suostumus voidaan antaa. Tähän mennessä Traficom on katsonut, että käyttäjä voi pätevästi antaa suostumuksensa päätelaitteensa selainasetuksissa, eikä Suomessa siten ole tarvittu erillistä selainkohtaista ns. cookie banneria. Selainasetuksissa suostumus eväisteiden käyttöön on kuitenkin tyypillisesti jo oletusasetuksena, ja mikäli käyttäjä haluaa kieltää evästeiden käytön, tulisi tämän erikseen muuttaa selainasetusta poistamalla evästeet käytöstä. Näin ollen on kyseenalaista, täyttääkö selainasetuksissa annettava evästesuostumus EU-tuomioistuimen vaatimuksen aktiivisesta suostumuksesta.