MyFondia VirtuaaliLakimies
9. syyskuuta, 2015

Google muuttaa käyttäjän suostumusta koskevaa käytäntöään EU-alueella

Käyttääkö yrityksesi Googlen tuotteita kuten Google Analytics, DoubleClick tai AdSense sivustoilla, sähköpostijulkaisuissa, sovelluksissa tai muuten? Entä käytättekö evästeitä Googlen tuotteiden yhteydessä?

Jos vastaat toiseen tai molempiin kysymyksiin myöntävästi, yrityksesi on syytä tarkastaa tietosuojakäytäntönsä.

Google on heinäkuussa 2015 ilmoittanut muuttavansa käyttäjien suostumuksia koskevia käytäntöjään EU alueella. Muutoksen taustalla on EU:n tietosuojaviranomaisten Googlen tietosuojakäytäntöihin kohdistama selvitystyö sekä tämän pohjalta annetut suositukset. Samoihin tietosuojakäytäntöihin on lisäksi kohdistunut oikeusprosesseja eri EU maissa.

Googlen muuttuneen käytännön perusteella sen tuotteita käyttävän yrityksen on

  • ”… kaupallisesti kohtuullisin keinoin annettava selkeät tiedot tietojen keräämisestä, jakamisesta ja käytöstä sekä pyydettävä siihen suostumus, mikäli tällainen käsittely johtuu siitä, että käytät Google-tuotteita jollain sivustolla, sovelluksessa, sähköpostijulkaisussa tai muussa ominaisuudessa.
  • ”…varmistettava kaupallisesti kohtuullisin keinoin, että loppukäyttäjälle annetaan selkeät ja kattavat tiedot evästeiden tai muiden tietojen käytöstä ja tallentamisesta loppukäyttäjän laitteelle ja, että loppukäyttäjä suostuu tällaisten tietojen käsittelyyn, kun se tapahtuu tämän käytännön soveltamisalaan kuuluvan tuotteen käytön yhteydessä.”

Googlen muuttunut käytäntö edellyttää, että muutokset tehdään 30.9.2015 mennessä. Katso käytäntö kokonaisuudessaan täältä .

Muutos on käytännön tasolla Suomen osalta todennäköisesti muuta EU aluetta suurempi, koska Suomessa evästeiden käyttöä koskevaa säännöstä on tulkittu siten, että käyttäjä voi antaa evästeiden käytön edellyttämän suostumuksen selainasetuksilla (kts. esim. Viestintäviraston tulkinnasta ). Evästeistä puolestaan on monesti informoitu vain osana laajempaa tietosuoja- tai rekisteriselostetta. Käyttäjä on toisin sanoen voinut antaa suostumuksensa varsin huomaamattomalla tavalla, jos tietokoneen tms. laitteen asetukset ovat sallineet evästeiden käytön. Muissa maissa omaksutut käytännöt ovat edellyttäneet käyttäjien parempaa informointia evästeiden käytöstä sekä käyttäjien aktiivisella toimella antamaa suostumusta evästeiden käytölle. Tässä tarkoituksessa on hyödynnetty esimerkiksi selaimelle ilmestyviä ns. pop-up tekstejä, jotka käyttäjän on täytynyt hyväksymällä sulkea sivua selaillakseen.

Vaikka Googlen ilmoitus jättääkin tältä osin tulkinnan varaa mm. muodossa ”kaupallisesti kohtuullisin keinoin”, Googlen muuttunut käytäntö näyttäisi johtavan tällaisen informoidun suostumuksen pyytämiseen myös Suomessa. Tähän viittaa paitsi julkaistun käytännön sanamuodot: ”pyydettävä suostumus” ja ”varmistettava …että loppukäyttäjä suostuu…” myös se, että Google on luonut käytännön EU:n tietosuojaviranomaisten pyynnöstä ja siten, että se koskee yhtäläisesti kaikkea EU:n aluetta koskevaa tietojen käsittelyä.

EU:n tietosuojatyöryhmän suositukset Googlelle viittaavat suostumuksen osalta tietosuojatyöryhmän aikaisemmin antamiin mielipiteisiin vuosilta 2010 , 2011 ja 2013 , joissa pelkästään selaimen asetusten kautta annettua suostumusta ei pidetä riittävänä kuin hyvin poikkeuksellisissa tilanteissa.

Googlen tarkempia tietoja ja suosituksia mukaan lukien Googlen tekstiehdotuksia suostumuksen pyyntöön ja käytettäviin linkkeihin löydät täältä . Kuten linkin takana olevilla sivuilla mainitaan, tekstejä ei tule kuitenkaan käyttää kritiikittä vaan yrityksen on varmistettava niiden soveltuvuus oman ympäristönsä ja henkilötietojen käsittelyn näkökulmasta.