11. lokakuuta 2019 | Max Atallah

Tietosuoja & Uutishuone

Planet49-tapaus – Evästeet ja suostumus

Asia

Euroopan unionin tuomioistuin (jäljempänä ”EUT”) otti ns. Planet49-tapauksen ennakkoratkaisussa kantaa niihin edellytyksiin, joita voidaan asettaa evästeiden tallentamiselle käyttäjän päätelaitteelle. Asia koski pääasiallisesti suostumus-käsitteen tulkintaa ePrivacy-direktiivin, GDPR:ää edeltäneen henkilötietodirektiivin ja GDPR:n näkökulmasta.

Evästeiltä vaadittavan suostumuksen on täytettävä GDPR:n mukaisen suostumuksen vaatimukset

Koska EU-jäsenvaltioiden on tullut implementoida ePrivacy-direktiivi osaksi heidän kansallista lainsäädäntöänsä, jokaisen jäsenvaltion kansallinen lainsäädäntö edellyttää, että pääsääntöisesti evästeitä voi tallentaa käyttäjän päätelaitteelle laillisesti ainoastaan käyttäjän antamalla suostumuksella. Suostumusta ei kuitenkaan edellytetä esim. sellaisten evästeiden tallentamiselle, jotka ovat ehdottoman välttämättömiä palvelun tarjoamiseksi. Tällaisia evästeitä voivat olla esim. evästeet, jotka mahdollistavat verkkokaupan ostoskorin käyttämisen verkkosivuilla.

EPrivacy-direktiivin mukaan käyttäjän suostumuksella tarkoitetaan samaa kuin rekisteröidyn suostumuksella henkilötietodirektiivissä. Tässä kohtaa on kuitenkin tärkeää huomata, että henkilötietodirektiivi on kumottu 25.5.2018 voimaantulleen GDPR:n myötä. Tämän johdosta katse on siirrettävä GDPR:ään, jonka artiklassa 94(2) säädetään, että viittauksia kumottuun henkilötietodirektiiviin pidetään viittauksina GDPR:ään. Näin ollen evästeiden tallentamiseen on ePrivacy-direktiivin mukaisesti saatava GDPR:n edellytysten mukainen suostumus.

Tapauksen taustat

Tapauksessa saksalainen Planet49-yhtiö oli järjestänyt internetissä mainostarkoituksessa arvontoja, joiden yhteyteen se oli asettanut evästeitä koskevan valmiiksi rastitetun ruudun, johon asetetun tekstin perusteella valmiiksi rastitettu ruutu ilmensi käyttäjän suostumusta evästeiden tallentamiselle.

Saksan kuluttajaneuvontajärjestöjen keskusjärjestö riitautti Planet49:n evästekäytännön, sillä sen mielestä valmiiksi rastitettu ruutu ei täytä lain suostumukselta edellytettäviä vaatimuksia.

Asia eteni Saksan liittovaltion ylimpään tuomioistuimeen (Bundesgerichtshof), joka vuorostaan pyysi EUT:ta tulkitsemaan asiaa ennakkoratkaisulla.

EUT:n ennakkoratkaisu

EUT:n 1.10.2019 antamassa ennakkoratkaisussa todettiin, että evästeiltä vaadittavan suostumuksen tulee täyttää GDPR:n artiklan 7 suostumuksen vaatimukset. Ratkaisussa myös yksiselitteisesti todettiin, että valmiiksi rastitettu ruutu ei täytä suostumukselta edellytettäviä vaatimuksia, sillä lainmukaiselta suostumukselta edellytetään aina aktiivista toimenpidettä. Näin ollen EUT totesi, että käyttäjät eivät olleet antaneet lainmukaista suostumustaan evästeiden tallentamiselle.

Planet49-tapauksen vaikutus evästeitä koskevaan oikeustilaan Suomessa

Sinänsä, kuten yllä tuodaan ilmi, Planet49-tapaus ei tuonut mitään uutta lainmukaiseen tapaan soveltaa evästeitä koskevaa lainsäädäntöä EU:ssa. Huomattakoon kuitenkin, että ennen Planet49-tapausta Suomessa ei ollut yleistä tietoisuutta siitä, kuinka evästeitä koskeva suostumus tulisi lainmukaisesti antaa, eikä evästeitä koskevaa lainsäädäntöä käytännössä valvottu.

Planet49-tapaus selvensi ja vahvisti sen, mitä edellytetään lainmukaiselta suostumukselta evästeiden tallentamiseen, ja tapaus on lisännyt valtavasti tietoisuutta siitä, kuinka suostumus evästeiden tallentamiseen annetaan lainmukaisesti. Lisäksi, kentältä kuullun perusteella Planet49-tapauksen myötä tietosuojavaltuutetun toimisto on ryhtynyt kartoittamaan yrityksiä, jotka eivät pyydä lainmukaista suostumusta käyttäjiltä evästeiden tallentamiseen. Planet49-tapauksella on siten ollut jo nyt merkittävä oikeusvaikutus Suomeen.

On tärkeää kuitenkin huomata, että evästeitä koskeva oikeuskäytäntö tulee (lähi)tulevaisuudessa muuttumaan, jos ja kun ePrivacy-asetuksen sisällöstä päästään yksimielisyyteen. Palaamme myöhemmissä artikkeleissamme ePrivacy-asetukseen, jotta evästeitä koskevat tulevaisuuden muutokset eivät pääsisi yllättämään ketään meidän sivuilla vierailevaa!

Kommentaarin laatimiseen osallistui myös toimistomme lakimiesharjoittelija Jere Lehtimäki.

11.10.2019 MAX

Nordic LawWeb3- ja Fintech-oikeuden pioneeri