13.3.2019

Jatkamalla sivustolla ET anna suostumustasi evästeiden käyttöön

GDPR:n näkyvin muutos oli www-sivustoille ilmestyneet ilmoitukset, joissa kerrotaan sinun antavan suostumuksen evästeisiin ja tietojesi käsittelyyn jatkaessasi sivuston käyttöä. Qubital Oy on järjestelmällisesti varoittanut asiakkaitaan koulutuksissa ja muissa tietosuojaan liittyvissä toimeksiannoissa tällaisesta suostumuskäytännöstä. GDPR:n tarkoittama suostumus on aina täysin vapaaehtoinen. Mikäli suostumuksesta kieltäytymisestä seuraa, ettei sivustoa voi käyttää, suostumus ei enää ole vapaaehtoinen. Suostumukselle ei saa asettaa minkäänlaisia ehtoja.

Nyt tämä tulkinta on vahvistettu Hollannin tietoturvaviranomaisten toimesta. Annetussa tulkinnassa todetaan yksiselitteisesti, että ns. evästemuuri (cookie wall) on GDPR:n vastainen. Ohjeessa nimenomaisesti todetaan, että mikäli sivustolle ei pääse antamatta suostumusta evästeelle, ei suostumusta voida pitää vapaaehtoisena. Silloinhan sivuston käyttäjällä ei ole tosiasiallisesti valinnanvaraa. Hollannissa osalle yrityksistä on lähetetty kehotus korjata toimintaansa. Viranomainen on ilmoittanut ryhtyvänsä tarvittaviin toimenpiteisiin, mikäli tilanne ei korjaannu.

Henkilötietojen käsittelyn täytyy perustua aina johonkin GDPR:n luettelemista laillisuusperusteista. Satunnaisen sivustolla käyvän henkilötietojen käsittelyn suhteen käsittelyperusteena voi olla ainoastaan suostumus tai oikeutettu etu.

Suostumus laillisuusperusteena on usein monella tavalla rekisterinpitäjän kannalta haastava. Suostumuksen vapaaehtoisuuden vaatimus on tiukka. Lisäksi rekisteröidyllä on koska tahansa halutessaan oikeus perua suostumuksensa. Suostumuksen perumisen tulee olla yhtä helppoa kuin suostumuksen antaminenkin. Jos suostumus olisi annettu sivustolle tultaessa koko sivun peittävällä suostumuskysymyksellä, tulisi tiukasti tulkittuna mahdollisuus suostumuksen perumiseenkin olla jatkuvasti tyrkyllä. Ei voi olla niin, että suostumus syntyy sivustolle tultaessa puoliautomaattisesti, mutta sen peruminen vaatii pitkällistä etsiskelyä ja kymmeniä klikkejä sivustolla. Väittäisin myös, että mikäli suostumusta kysyttäessä vaihtoehtoina on ainoastaan kyllä ja huomattavasti monimutkaisempi asetusvalikko, suostumusta ei voida pitää vapaaehtoisena. Rekisterinpitäjän on myös pystyttävä todistamaan jälkikäteen, että rekisteröity on antanut suostumuksensa. Tämäkään ei ole aivan triviaalia tavanomaisella www-sivulla rekisteröitymättömien käyttäjien osalta. Suostumusta laillisuusperusteena tulisikin näistä syistä yleensä välttää.

Aiemmat viranomaisten tulkinnat tuntevat yhden tilanteen, jossa suostumus voi olla käyttökelpoinen. Sellaisessa tilanteessa, jossa palvelu on maksullinen, voi maksuttoman version ehtona olla suostumus jonkinlaiseen rajalliseen henkilötietojen käsittelyyn. Tätäkään ei tietenkään voi käyttää keinotekoisena järjestelynä. Mikäli palvelulla ei tosiasiallisesti ole merkittävää määrää maksavia asiakkaita, ei suostumusta voida enää pitää vapaaehtoisena. Tämänkaltaisia ratkaisuja on joillakin musiikki- ja videopalveluilla. Maksamalla saa mainoksettoman version vähemmällä seurannalla.

Ovatko siis www-sivujen evästeet kokonaan GDPR:n vastaisia? Eivät tietenkään. Evästeille on aivan perusteltuja käyttötarkoituksia. Esimerkiksi www-istunnon toteuttamisessa evästeiden käyttö on teknisesti käytännössä välttämätöntä. Silloin kysymyksessä on kiistatta rekisteröidyn oikeuksien kanssa tasapainoisesta rekisterinpitäjän oikeutetusta edusta. Oikeutettu etu voi tulla kysymykseen myös joissain muissa tapauksissa. Hollannissa annettu ohjeistus jättää mainitsematta ne tilanteet, joissa evästeiden käyttö ei vaadi suostumusta. WP29:n vuonna 2014 antamassa tulkinnassa oikeutetusta edusta on mielenkiintoinen esimerkki (oma käännös):

Esimerkki 24: WWW-sivusto teini-ikäisille

Yleishyödyllisen yhteisön www-sivusto tarjoaa teineille tietoa huumausaineiden vaaroista, ei-toivotuista raskauksista ja alkoholin väärinkäytöstä. Sivuston kävijöistä kerätään tietoa. Kerätyt tiedot anonymisoidaan välittömästi ja muunnetaan yleisiksi tilastoiksi, joista käy ilmi sivuston eri osien käyttäjien maantieteellinen jakauma.

Kohta 7(f) (entisen tietosuojadirektiivin oikeutettu etu) voi olla laillisuusperusteena vaikka kerätyt tiedot koskevat heikossa asemassa olevia, koska käsittelylle on olemassa perusteltu yleinen tarve ja käsittely on suojattu asianmukaisesti (anonyymi käsittely ja käyttö ainoastaan tilastointiin). Näistä syistä rekisterinpitäjän oikeutettu etu on tasapainossa rekisteröityjen oikeuksien ja vapauksien kanssa.

WP29 antaa siis ymmärtää, että joissakin tilanteissa www-sivujen käyttäjien seuranta evästeillä sivuston käyttöön liittyvässä tilastollisessa seurannassa voi perustua oikeutettuun etuun. Itse GDPR -asetuksessa myös todetaan, että yrityksellä voi olla oikeutettu etu markkinointia varten tapahtuvassa tietojen käsittelyssä.

Oikeutettua etua käytettäessä ei riitä, että rekisterinpitäjällä on oikeutettu etu henkilötietojen käsittelyyn. Lisäksi on aina arvioitava käsittelyn vaikutusta rekisteröidyn oikeuksille ja vapauksille. Oikeutettu etu soveltuu laillisuusperusteeksi käsittelylle ainoastaan silloin, kun tämä arvio kallistuu rekisterinpitäjän puolelle.

Yhteenvetona voidaan todeta:

  1. Suostumus ei koskaan synny jatkamalla sivuston käyttöä
  2. Suostumus tarvitaan, mikäli evästeitä käytetään syvällisempään rekisteröidyn käyttäytymisen analysointiin tai mikäli seurantatietoja yhdistellään muiden rekisterinpitäjien kanssa
  3. Oikeutettua etua voidaan käyttää laillisuusperustana esimerkiksi yhden käyntikerran aikana eri sivuston eri osissa käynnin tilastointia varten
  4. Teknisistä syistä välttämättömät evästeet (ns. session cookie) eivät vaadi suostumusta

Viranomaisilta ei vielä ole saatavilla kovin selkeitä tulkintoja. Rekisterinpitäjien on syytä punnita eri vaihtoehtoja huolellisesti ja käyttää arvioinnissa myös problematiikan teknisen puolen ymmärtäviä asiantuntijoita. Erityisen tulkinnanvaraiseksi asiat menevät käytettäessä kolmansien osapuolien analytiikka- ja mainosalustoja. Niiden osalta monet nykyiset yleiset käytännöt eivät kestä kriittistä tarkastelua. Harva rekisterinpitäjä on edes selvillä, onko käytettävä palveluntarjoaja rekisterinpitäjä vai henkilötietojen käsittelijä. Rekisterinpitäjälle asetetut vastuut ovat kuitenkin näissä vaihtoehdoissa hyvin erilaiset. Mitä sinun mainosalustan palvelusopimus asiasta sanoo? Kannattaa tarkistaa, sieltä voi löytyä yllätyksiä.

Suomessa laki sähköisen viestinnän palveluista ja EU:n ePrivacy direktiivi säätelevät evästeiden käyttöä. Laki edellyttää pääsääntöisesti tallennettavan evästeen käytöstä suostumusta. On kuitenkin huomioitava, että henkilötietojen käsittelyn on oltava aina tietosuoja-asetuksen mukaista. Siksi sähköisen viestinnän palveluita koskevan lain suostumus on eri asia kuin tietosuoja-asetuksen suostumus. Valtaosa sivustoista näyttäisi kuitenkin viittaavan evästeitä koskevissa suostumusilmoituksissaan nimenomaan henkilötietojen käsittelyyn.

EU:ssa on valmisteilla uusi ePrivacy säädös. Se tulee ottamaan kantaa evästeiden käytön pelisääntöihin. Säännösteksti elää edelleen, joten sen lopullista sisältöä on mahdotonta vielä arvioida. Suostumuksen osalta näyttäisi kuitenkin, että siinä tullaan viittaamaan suoraan GDPR-asetukseen.

Mikko Pohjala

Kuka kuulee keskustelusi taksin takapenkillä? (14.11.2019) Maailma muuttuu - yritysten tietoturvaongelmat eivät enää ole liikesalaisuuksia (15.1.2019)