Apulaistietosuojavaltuutettu: Evästeiden käyttöön ei voi antaa suostumusta selainasetuksissa

Apulaistietosuojavaltuutettu antoi 14.5.2020 merkittävän päätöksen siitä, millä tavalla yritykset voivat pyytää suostumusta evästeiden tallentamiseen. Päätöksen mukaan yritykset eivät voi enää pyytää suostumusta evästeiden käyttöön Liikenne- ja viestintävirasto Traficomin ohjeistuksen mukaisesti selainasetusten kautta, eivätkä "jatkamalla sivun selailua hyväksyt evästeet" -ilmoituksella.

Taustaa

Evästeitä koskeva sääntely on viime vuosina ollut keskustelussa paitsi tietosuojasäännösten muututtua, myös kansallisen ja eurooppalaisen tulkinnan eroavaisuuksien vuoksi.

Kansallisen, sähköisen viestinnän tietosuojadirektiiviin perustuvan viestintäpalvelulain (917/2014) mukaan evästeiden tallentaminen käyttäjän päätelaitteelle edellyttää, että käyttäjä on antanut siihen suostumuksensa. Evästeitä saa kuitenkin tallentaa ilman suostumusta, jos niiden ainoana tarkoituksena on tekninen tallentaminen tai ne ovat välttämättömiä sellaisen palvelun tarjoamiseksi, jota käyttäjä on nimenomaisesti pyytänyt. Traficomin vakiintuneen tulkinnan mukaan käyttäjä on voinut antaa suostumuksensa ei-välttämättömien evästeiden tallentamiseen esimerkiksi selaimen tai muun sovelluksen asetusten avulla, eikä sitä ole tarvinnut pyytää sivustokohtaisesti.

Yleinen tietosuoja-asetus (2016/679) sisältää tiukat edellytykset sille, milloin henkilön antamaa suostumusta hänen henkilötietojensa käsittelyyn voidaan pitää pätevänä: suostumus on annettava aktiivisella toimella, eikä sitä voi antaa esimerkiksi vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. Tietosuoja-asetuksen rinnalle oli tarkoitus saada myös uusi sähköisen viestinnän tietosuoja-asetus, jossa muun muassa evästeitä koskevaa sääntelyä olisi käsitelty tarkemmin. Lainsäädäntötyö on kuitenkin viivästynyt, mistä johtuen evästeitä koskeva sääntelykehys on ollut epäselvää. Lisäksi epäselvyyttä tuottaa toimivaltuuksien jakautuminen Suomessa: karkeasti voidaan sanoa, että tietosuojavaltuutettu valvoo henkilötietojen käsittelyä, joita voidaan kerätä esimerkiksi evästeiden kautta, mutta evästeiden teknisen asentamisen lainmukaisuus on Traficomin toimivallassa.

Euroopan unionin tuomioistuin antoi syksyllä evästekäytäntöä selkeyttävän tuomion niin sanotussa Planet 49 -ratkaisussa (C-673/17). Tuomioistuin katsoi, että evästeitä koskevaan suostumukseen on sovellettava tietosuoja-asetuksen mukaisia suostumuksen edellytyksiä. Tuomiosta huolimatta Traficom ei muuttanut ohjeistustaan, jonka mukaan evästesuostumuksen voi antaa selainasetuksissa ja vahvisti tämän esimerkiksi vielä 24.4.2020 antamassaan päätöksessä.

Apulaistietosuojavaltuutetun päätös

Nyt ratkaistussa tapauksessa yritys oli käyttänyt evästeitä muun muassa palveluiden kehittämiseksi ja mainonnan kohdentamiseksi ja sivustolla oli ollut kolmansien osapuolten asettamia evästeitä. Yritys oli noudattanut Traficomin ohjeistusta, jonka mukaan suostumus ei-välttämättömiin evästeisiin voidaan antaa selaimen asetusten avulla.

Yrityksen sivuilla oli ollut banneri, jossa se ilmoitti käyttäjälle muun muassa, että "Jatkamalla hyväksyt evästeiden käytön.” Bannerissa oli mahdollista valita joko ”OK” tai ”Lisätietoja”, jonka takaa avautui yrityksen tietosuojaseloste. Tietosuojaselosteen evästeitä koskevassa kohdassa todettiin, että "Mikäli et halua vastaanottaa evästeitä, voit muuttaa selainasetuksiasi". Tietosuojaselosteessa myös ohjeistettiin kieltämään evästeet vierailemalla kolmansien osapuolten sivuilla, jos käyttäjä ei halua kolmansien osapuolten tarjoamaa kohdennettua mainontaa.

Apulaistietosuojavaltuutettu viittasi päätöksessään Euroopan tietosuojaneuvoston 4.5.2020 antamaan ohjeeseen, jonka mukaan suostumus voi olla pätevä vain, jos käyttäjälle tarjotaan aito tilaisuus valita vapaasti, hyväksyykö hän tarjotut ehdot vai hylkääkö hän ne. Suostumus tulee myös olla helppoa peruuttaa, eikä peruuttamisesta saa aiheutua haittaa.

Apulaistietosuojavaltuutettu kiinnitti huomiota siihen, että banneri ei tarjonnut mahdollisuutta kieltäytyä evästeiden tallentamisesta. Voidakseen kieltää kolmansien osapuolien evästeet, käyttäjän olisi tullut vierailla kunkin selosteessa mainitun kumppanin verkkosivuilla ja kieltää evästeiden käyttö jokaisen kumppanin osalta erikseen. Apulaistietosuojavaltuutettu kiinnitti huomiota myös siihen, että näin toimimalla yritys ei antanut käyttäjälle mahdollisuutta antaa, kieltää tai peruuttaa suostumustaan yrityksen omassa palvelussa. Lisäksi apulaistietosuojavaltuutetun mukaan se, että käyttäjä ei tee selainasetuksiinsa muutoksia, ei tarkoita suostumusta evästeiden tallentamiseen.

Apulaistietosuojavaltuutettu katsoi, että suostumus evästeiden tallentamiseen ei ollut pätevä, koska

• se ei ollut vapaaehtoinen,
• suostumuksesta kieltäytyminen ja sen peruuttaminen ei ollut yhtä helppoa kuin sen antaminen, ja
• selainasetuksissa annettu suostumus ei ollut toimi, jolla käyttäjä nimenomaisesti hyväksyy henkilötietojensa käytön.

Tietosuojavaltuutetun toimistossa on toimiston ilmoituksen mukaan vireillä kymmeniä vastaavia tapauksia, jotka tullaan ratkaisemaan nyt annetun päätöksen mukaisesti. Päätös ei kuitenkaan vielä ole lainvoimainen, vaan päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen.

Johtopäätökset

Apulaistietosuojavaltuutetun ratkaisun johdosta jokaisen yrityksen tulisi arvioida oma evästekäytäntönsä ja päivittää sitä tarvittaessa.

Evästeiden käyttöä varten kerättyä suostumusta tulisi päivittää niin, että se on tietosuoja-asetuksen mukainen vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla sivuston käyttäjä hyväksyy henkilötietojensa käsittelyn. Tällainen tahdonilmaisu voisi esimerkiksi olla se, että käyttäjä rastittaa itse ruudun vieraillessaan verkkosivustolla tai valitsee itse asetukset palvelussa.

Suostumusta ei voi enää pyytää selainasetuksilla, valmiiksi rastitetulla ruudulla eikä "jatkamalla sivun selailua hyväksyt evästeiden käytön" -ilmoituksella. Yritysten tulisi myös huolehtia siitä, että suostumuksen peruuttaminen on yhtä helppoa kuin sen antaminen.

Seuraamusten osalta apulaistietosuojavaltuutettu katsoi yrityksen menettelyn olleen moitittavaa, mutta rikkomus ei edellyttänyt huomautusta raskaampaa seuraamusta, sillä oikeustila ei ollut selvä. Oikeustilan nyt selventyessä voidaan vastaavista rikkomuksista jatkossa odottaa myös huomautusta raskaampia seuraamuksia.