close
Share with your friends

Hallinto-oikeuden ratkaisut selvensivät yritysten evästeisiin liittyviä toiminta- ja dokumentointivelvollisuuksia

Hallinto-oikeuden ratkaisut ovat jatkoa Suomessa jo pitkään jatkuneelle keskustelulle verkkosivustojen evästeitä koskevan suostumuksen osalta.

Evästeiden käyttöön annettavan suostumuksen tulee olla EU:n tietosuoja-asetuksen mukainen.

Ratkaisut koskettavat käytännössä kaikkia yrityksiä, joilla on verkkosivut. Evästeet ovat käyttäjän päätelaitteelle tallennettavia pieniä tiedostoja, joita voidaan käyttää muun muassa verkkosivujen käytön seurantaan ja käyttäjäkokemuksen parantamiseen sekä kohdennettuun suoramarkkinointiin. Jokaisen yrityksen tulisi arvioida omat evästekäytäntönsä ja päivittää ne ratkaisujen mukaisiksi.

Hallinto-oikeus linjasi ratkaisuissaan, että evästeiden käyttöön annettavan suostumuksen tulee olla EU:n yleisen tietosuoja-asetuksen suostumusta koskevien vaatimusten mukainen, eli vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu.

Evästehyväksyntä selainasetuksissa ei muodosta tietosuoja-asetuksen mukaista suostumusta

Hallinto-oikeuden päätöksissä (H1515/2021 ja H1516/2021) oli kyse kahdesta Liikenne- ja viestintäviraston (Traficom) tekemästä päätöksestä, jotka koskivat verkkosivustojen evästekäytäntöjä.

Tapauksessa oli kyse siitä, että kantajan mukaan eräät verkkosivustot olivat tallentaneet hänen päätelaitteelleen evästeitä ja muita palvelun käyttöä kuvaavia tietoja ilman, että henkilö olisi antanut siihen aktiivista suostumustaan voimassa olevan lainsäädännön mukaisesti.

Liikenne- ja viestintävirasto oli kumotuissa päätöksissä tulkinnut lakia evästeitä koskevan ohjeistuksensa mukaisesti niin, että suostumus verkkosivustolla olevien evästeiden käytölle voidaan antaa käyttäjän päätelaitteen internetselaimen asetuksilla. Hallinto-oikeus kuitenkin totesi ratkaisuissaan, että viestintäpalvelulain 205 §:ssä tarkoitetun evästeiden käyttöön annettavan suostumuksen on vastattava yleisessä tietosuoja-asetuksessa tarkoitettua suostumusta.  Näin ollen selainasetusten kautta annettua suostumusta evästeiden käytölle ei voitu pitää yleisen tietosuoja-asetuksen mukaisesti vapaaehtoisena, yksilöitynä, tietoisena ja yksiselitteisenä tahdonilmaisuna.

Liikenne- ja viestintävirasto on ratkaisujen jälkeen ilmoittanut tiedotteessaan uudistavansa evästeitä koskevan ohjeistuksena ja kuulevansa sen valmistelussa Tietosuojavaltuutetun toimistoa. Liikenne- ja viestinviraston tavoitteena on julkaista uudistettu ohjeistus kesän 2021 aikana.

Välttämättömät evästeet eivät jatkossakaan edellytä käyttäjän suostumusta

Hallinto-oikeuden ratkaisujen osalta on hyvä huomata, että vaatimus käyttäjän suostumuksesta koskee ainoastaan ei-välttämättömiä evästeitä. Käytännössä suurin osa evästeistä on nimenomaan ei-välttämättömiä evästeitä, joita käytetään esimerkiksi kohdennettuun markkinointiin ja profilointiin. Käyttäjän suostumusta ei jatkossakaan edellytetä viestintäpalvelulain 205 § 2 momentin mukaisesti välttämättömien evästeiden osalta. Välttämättömiä evästeitä ovat esimerkiksi evästeet, jotka mahdollistavat verkkosivuston perustoiminnot ja turvallisuuteen liittyvät toimenpiteet.

Evästekäytännöt ja -bannerit

Organisaation tulisi ymmärtää, mitä evästeitä organisaation verkkosivuilla käytetään ja keräävätkö organisaation käyttämät evästeet henkilötietoja. 

Kartoita käytettävät evästeet

  • Kartoita mitä evästeitä käytät ja millaisiin kategorioihin ne jakautuvat.
  • Mikäli evästeiden avulla kerättyjen tietojen (esimerkiksi IP-osoite) avulla voidaan yksin tai yhdessä muiden tietojen kanssa tunnistaa luonnollinen henkilö, evästeiden avulla kerättyjä tietoja on pidettävä henkilötietoina. Usein esimerkiksi verkkokaupan kautta kerättyjä tietoja on mahdollista yhdistää yksittäiseen henkilöön. 
  •  Siltä osin kuin evästeiden kautta kerätään ja käsitellään henkilötietoja, organisaation on huomioitava myös Schrems II -ratkaisun myötä kiristyneet kansainvälisiä tiedonsiirtoja koskevat vaatimukset.  

Tarkista evästebanneri

  • Varmista, että suostumus evästeiden käyttämiseen täyttää tietosuoja-asetuksen vaatimukset eli se on vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu. 
  • Organisaation tulee kiinnittää huomioita siihen, että suostumusta koskeva pyyntö esitetään helposti ymmärrettävässä muodossa ja että käyttäjällä on milloin tahansa mahdollisuus peruuttaa antamansa suostumus. Suostumus tulisi myös pyytää ennen evästeiden asettamista käyttäjän päätelaitteelle.

Tarkista, että tietosuojaselosteessa tai erillisessa ”cookie policyssä” on tarvittava keksejä koskeva informaatio asetuksen edellyttämällä tavalla

  • Lisäksi organisaation on myös varmistettava, että verkkosivuston käyttäjää informoidaan selkeästi ja kattavasti ei-välttämättömien evästeiden ja muiden palvelun käyttöä koskevien tietojen tallentamisesta.
  • Käyttäjälle tulee kertoa muun muassa evästeiden käyttötarkoitukset, tiedot evästeiden toiminta-ajasta ja mahdollisesta tietojen luovuttamisesta kolmansille osapuolille.

Lisätietoja

Ota yhteyttä, niin keskustellaan lisää!

Jari Piittinen
P. +358 40 162 4687

Kira Ahveninen-Kuha
P. +358 50 330 3375

etunimi.sukunimi@kpmg.fi