Sijoittajille
Siirry MyFondiaan

Nyt se on selvää - evästekäytännöt uusiksi Suomessa

Privacy

EU-tuomioistuin antoi viime syksynä odotetun päätöksensä evästeiden käytöstä ns. Planet 49 -tapauksessa. Nyt EU-tuomioistuimen päätöksen sisältö konkretisoitui myös Suomessa. Mitä vaatimus aktiivisin toimenpitein annettavasta suostumuksesta sitten edellyttää evästebannerilta ja voidaanko suostumus evästeiden tallentamiseen edelleen pätevästi antaa selaimen asetuksissa?

Kirjoitin aiemmin syksyllä EU-tuomioistuimen evästeiden käyttöä koskevasta päätöksestä ns. Planet 49 -tapauksesta. Siinä todettiin, että evästeitä koskevaa suostumusta ei voi pätevästi antaa valmiiksi rastitetulla ruudulla, vaan suostumuksen antaminen edellyttää käyttäjältä aktiivisia toimenpiteitä. Nyt EU-tuomioistuimen päätöksen sisältö konkretisoitui myös Suomessa.

Apulaistietosuojavaltuutettu on tuoreessa päätöksessään linjannut, mitä vaatimus aktiivisin toimenpitein annettavasta suostumuksesta edellyttää evästebannerilta ja voidaanko suostumus evästeiden tallentamiseen edelleen pätevästi antaa selaimen asetuksissa, kuten Traficom on tähän asti ohjeistanut.

Apulaistietosuojavaltuutetun ratkaisemassa asiassa oli kyse kantelusta koskien yrityksen evästekäytäntöjä. Kantelija katsoi, että hänellä ei käytännössä ollut mahdollisuutta kieltää evästeiden käyttöä yrityksen verkkosivuilla. Yritys oli ilmoittanut evästeiden käytöstä ns. evästebannerilla, jossa se ilmoitti, että jatkamalla sivuston käyttöä käyttäjä hyväksyy evästeiden käytön. Tietosuojaselosteessa todettiin, että käyttäjä voi kieltää rekisterinpitäjän yhteistyökumppaneiden tallentamat ja käyttämät evästeet kunkin yhteistyökumppanin verkkosivuilla erikseen. Tietosuojaseloste sisälsi listan yhteistyökumppaneista, joita oli yhteensä 11 sekä linkit näiden tietosuojasivustoille ja mainosvalintoihin.

Päätöksessään apulaistietosuojavaltuutettu katsoi, että yrityksen käyttämä evästebanneri ei todellisuudessa antanut käyttäjälle mahdollisuutta kieltäytyä evästeiden tallentamisesta. Myöskään suostumuksen peruuttamismenettelyn ei katsottu täyttävän GDPR:n vaatimuksia, koska rekisterinpitäjä edellytti, että käyttäjä vierailee kunkin selosteessa mainitun kumppanin verkkosivuilla erikseen, jossa se voi kieltäytyä evästeiden tallentamisesta. Sen sijaan rekisteröidyn tulisi voida antaa suostumus, kieltäytyä siitä, tai peruuttaa suostumus rekisterinpitäjän omassa palvelussa.

Apulaistietosuojavaltuutetun päätöksessä otettiin kantaa myös Suomessa tähän asti sovellettuun Traficomin ohjeistukseen, jonka mukaan suostumus voitaisiin pätevästi antaa selaimen asetusten avulla. Tältä osin katsottiin, että selainasetusten muuttamiseen viittaamista ei voida pitää sellaisena GDPR:n edellyttämänä aktiivisena ja nimenomaisena tahdonilmaisuna, jota pätevän suostumuksen antaminen edellyttää. Se, että käyttäjä ei tee selainasetuksiinsa muutoksia tai jättää jonkin toimen toteuttamatta ei päätöksen mukaan tarkoita, että käyttäjä olisi antanut suostumuksensa eväisteiden tallentamiseen ja käyttöön.

Päätöksen myötä tähän asti noudatetut evästekäytännöt vaativat nyt kriittistä tarkastelua. Tietosuojavaltuutetun toimisto kertoo, että sillä on tällä hetkellä vireillä kymmeniä vastaavia tapauksia. Tämä osoittaa, että käyttäjät ovat aktivoituneet puuttumaan verkkosivujen ylläpitäjien harjoittamiin evästekäytäntöihin. Jatkossa evästeiden käytöltä vaaditaan läpinäkyvyyttä, jotta käyttäjä voi helposti ymmärtää, mitä evästeitä kulloinkin käytetään. Nyt onkin viimeistään aika tarkastaa omat evästekäytännöt, jotta ne täyttävät lain vaatimukset viranomaisen linjaamalla tavalla.