18 touko Verkkosivuston evästeisiin tarvitaan käyttäjän aktiivinen suostumus
Tähän asti verkkosivustojen evästeiden osalta on ohjeistettu toimimaan Liikenne- ja viestintävirasto Traficomin mallia noudattaen, jossa käyttäjän selainasetusten kautta annettu suostumus on riittänyt evästeiden käyttöön Suomessa. Nyt Apulaistietosuojavaltuutetun 14.5.2020 antaman päätöksen mukaan se ei enää riitä vaan tarvitaan käyttäjän aktiivinen suostumus evästeiden käyttöön. Muualla Euroopassa viranomaiset ovat jo vaatineet pidempään käyttäjiltä aktiivista suostumusta.
Melkein kaikki verkkosivustot asettavat käyttäjien päätelaitteille evästeitä, jotka tallentavat tietoja. Esimerkiksi yleisimmin verkkosivujen kävijätilastointiin käytettävä Google Analytics asettaa niitä jo useita.
Suomessa evästeiden käyttöön liittyvä suostumus vaaditaan sähköisen viestinnän palvelulain (917/2014) pykälässä 205. Suostumus tulee siis kerätä aina, kun tallennetaan ja luetaan jotain käyttäjän omistamalta ja hänen yksityisyytensä piiriin kuuluvalta laitteelta – on kyse sitten henkilötietojen käsittelystä tai ei. Suostumus evästeiden käyttöön vaaditaan, kun kyse ei ole palvelun käytön osalta välttämättömistä evästeistä. Tällainen toimivuuden kannalta välttämätön eväste on esimerkiksi kirjautumiseväste, jonka avulla käyttäjä kirjataan verkkokauppaan sisään tai eväste, jonka avulla verkkokauppa muistaa käyttäjän ostoskorin sisällön. Suurin osa evästeistä ei kuitenkaan ole välttämättömiä, vaan ne liittyvät sivujen kävijäseurantaan tai mainontaan.
Sähköisen viestinnän palvelulaki ei kuitenkaan kerro, miten suostumus tulee kerätä. Se on ohjeistettu tietosuoja-asetuksessa. Suostumuksella tarkoitetaan: “mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen”. Tuon määrittelyn viimeinen lause on se, mikä nyt korostuu. Jos käyttäjä jättää selainasetukset ennalleen, kyse ei ole selkeästä suostumusta ilmaisevasta toimesta. Jatkossa siis vaaditaan käyttäjän oma aktiivinen toimenpide, että suostumus evästeiden käyttöön on pätevä. Käytännössä tämä tarkoittaa sitä, että verkkosivustolla on joko jätettävä kokonaan analytiikka- ja markkinointievästeet asentamatta tai sitten niihin tulee kysyä suostumus vierailijalta hänen saapuessaan sivustolle. Tämä vaatii lähes kaikkiin verkkosivustoihin teknisiä muutoksia, sillä evästeitä ei saa tallentaa, ennen kuin suostumus on saatu. Sivuille pääsyä ei saa myöskään estää, vaikka vierailija ei suostuisi evästeiden tallentamiseen. Tällöin suostumus ei olisi enää vapaaehtoisesti annettu.
Apulaistietosuojaviranomaisen päätös ei ole vielä lainvoimainen valitusmahdollisuuden vuoksi. Jos asiassa kuitenkin edetään samoin kuin muualla Euroopassa, kannattaa nyt jo alkaa valmistautumaan asiaan. Ensiksi kannattaa ainakin kartoittaa, miten oman yrityksen verkkosivut toimivat ja mitä mahdollisia muutoksia niihin tullaan tarvitsemaan. Muutoksilla on kuitenkin aina kustannuksia, joten päätös on helpompi tehdä, kun on hyvissä ajoin tiedossa eri vaihtoehtojen hintalappu.
Apulaistietosuojavaltuutetun päätökseen perusteluineen voi tutustua täällä. Euroopan tietosuojaneuvosto on julkaissut myös päivitetyt ohjeet suostumukseen liittyen ja niihin voi tutustua täällä. Näitä uusia päivitettyjä ohjeita ei löydy vielä suomeksi, mutta vanhemmat ohjeet löytyvät. Uusi ohje ei ole merkittävästi muuttanut suostumuksen käyttöön liittyvää ohjeistusta muutoin kuin selkeämmillä esimerkeillä. Vanhat ohjeet löytyvät suomeksi täältä.
Jos tarvitset apua verkkosivuston tietosuojaan liittyvissä asioissa, ota yhteyttä asiantuntjoihimme. Opsec Oy:n tietosuojavastaava Jari Ala-Varvin tavoittaa sähköpostilla jari.ala-varvi@opsec.fi.