26. toukokuuta 2020 | Max Atallah

tietosuoja & uutishuone

Apulaistietosuojavaltuutettu täsmensi oikeustilaa evästeitä koskevan suostumuksen osalta

Kirjoitimme vuoden 2019 lopulla kommentaarin Planet49-tapauksesta, jossa Euroopan Unionin tuomioistuin (EUT) vahvisti, että ei-välttämättömiä evästeitä koskevan suostumuksen on täytettävä EU:n yleisen tietosuoja-asetuksen mukaisen suostumuksen edellytykset. Planet49-tapauksen oikeusvaikutukset ovat nyt viimeistään kirineet Suomeen, sillä apulaistietosuojavaltuutetun 14.5.2020 päivätty päätös käytännössä vahvistaa ja täsmentää Planet49-tapauksessa määrätyn.

Käsittelemme apulaistietosuojavaltuutetun päätöstä alla tarkemmin.

Eri evästetyypeillä on väliä

Ihan aluksi on tärkeää selventää, mitä välttämättömillä ja ei-välttämättömillä evästeillä tarkoitetaan, sillä kuten tarkkasilmäisimmät varmasti johdannosta huomasivat, apulaistietosuojavaltuutetun päätöksessä esitetyt suostumusta koskevat vaatimukset koskevat ei-välttämättömiä evästeitä.

Välttämättömillä evästeillä tarkoitetaan sellaisia evästeitä, jotka ovat olennaisia verkkosivujen toiminnalle. Tällaisia ovat esimerkiksi evästeet, jotka tallentavat tietoja verkkosivujen ostoskorista ja sähköisestä laskutuksesta.

Ei-välttämättömillä evästeillä taas tarkoitetaan sellaisia evästeitä, jotka eivät ole välttämättömiä verkkosivujen toiminnalle. Tällaisia ovat esimerkiksi mainonnan kohdentamiseen tarkoitetut evästeet.

Tapauksesta lyhyesti

Päätöksen kohteena olleen yrityksen verkkosivut käyttivät evästeitä mm. mainonnan kohdentamiseen – eli yrityksen verkkosivut käyttivät ei-välttämättömiä evästeitä – evästebannerin kautta kerättävällä suostumuksella. Evästebannerin teksti oli seuraava:

”Jotta sivuston käyttö olisi sinulle sujuvaa ja mainokset kiinnostavia, rekisterinpitäjä kumppaneineen käyttää sivustolla evästeitä. Jatkamalla hyväksyt evästeiden käytön.”

[”OK”]  [”Lisätietoja”]

Kuten huomataan, evästebanneri ei tarjonnut vierailijalle tosiasiallista mahdollisuutta kieltäytyä ei-välttämättömien evästeiden käytöstä, vaan ainoastaan keinon hyväksyä ne. Evästebanneri ei myöskään tarjonnut selvää tietoa siitä, kuinka vierailija voisi kieltää evästeiden käytön. Tämä toki selvisi ”Lisätietoja”-painiketta klikkaamalla avautuneesta yrityksen tietosuojaselosteesta, jota kahlaamalla vierailija sai loppujen lopuksi tietoa evästeiden kieltämisestä.

Apulaistietosuojavaltuutetun päätöksen nojalla tapauksen kaltainen suostumus ei täyttänyt tietosuoja-asetuksen mukaisen vapaaehtoisen suostumuksen edellytyksiä, sillä suostumuksesta kieltäytymistä tai sen peruuttamista ei oltu tehty yhtä helpoksi kuin suostumuksen antamista.

Lainmukainen suostumus

Vallitsevasta oikeuskäytännöstä voidaan siten johtaa, että lainmukainen ei-välttämättömiä evästeitä koskeva suostumus vaatii kaikkien seuraavien edellytysten täyttymistä:

  • Aktiivinen, nimenomainen ja vapaa tahdonilmaisu (esim. tick the box -käytännössä edellytetään aktiivista ruudun rastittamista -> valmiiksi rastitettu ruutu ei täytä suostumuksen ensimmäistä edellytystä)
  • Suostumuksesta kieltäytymisen on oltava yhtä helppoa kuin sen antamisen
  • Suostumuksen peruuttamisen on oltava yhtä helppoa kuin suostumuksen antamisen

On lisäksi tärkeää huomata, että tietosuoja-asetuksen nojalla rekisterinpitäjän on myös kyettävä osoittamaan, että suostumus täyttää lain vaatimukset. Tämä taas johtaa käytännössä siihen, että suostumuksesta on jäätävä rekisterinpitäjälle dokumentoitu tosite, jolla rekisterinpitäjä voi käytännössä osoittaa suostumuksen täyttävän lain vaatimukset.

Johtopäätöksiä

Annettu ratkaisu ilmentää tietosuojaviranomaisten aktivoitumista evästeasiassa, ja tällä hetkellä Tietosuojavaltuutetun toimistossa on vireillä kymmeniä vastaavia tapauksia, jotka tullaan ratkaisemaan annetun päätöksen linjan mukaisesti. Käytännön tasolla on siis erityisen tärkeä tunnistaa palvelun tarjoamiselle välttämättömien ja ei-välttämättömien evästeiden ero, joista jälkimmäisten tallentamiselle vaaditaan käyttäjän lain vaatimukset täyttävä suostumus.

Kun samalla huomioidaan Euroopan tietosuojaneuvoston 4. toukokuuta hyväksymät päivitetyt henkilötietojen käsittelyperusteen suostumusta koskevat ohjeet, tulisi yritysten viimeistään nyt tarkastettava omat evästekäytäntönsä mahdollisten muutostarpeiden varalta.

Mikäli asian suhteen heräsi kysymyksiä, on Nordic Law kokeneena tietosuojakumppanina mielellään avuksi!

Kommentaarin laadintaan osallistui toimistomme lakimiesharjoittelija Jere Lehtimäki.

26.05.2020 MAX