Kun EU:n tietosuoja-asetus (GDPR) tuli voimaan vuonna 2018, Medialuotsissa päätettiin nimetä tietosuojavastaava. Sain kunnian ryhtyä tähän tehtävään ja tuosta päivästä alkaen olen paininut todella sekavien ohjeistusten kanssa. Kaiken keskiössä on ollut kysymys siitä, että tuleeko sivuilla olla suostumustyökalu vai ei. Nyt näyttäisi siltä, että kujanjuoksu on päättymässä, sillä Traficom julkaisi 13.9.2021 uudet evästeohjeistukset palveluntarjoajille. Evästeohjeistuksissa kerrotaan selvästi, että suostumustyökalu tulee olla.
Onko kaikki sittenkään niin selvää? Kurkataan, mitä on tapahtunut ja mitä tulee ehkä tapahtumaan.
GDPR-aikajana
Ennen kuin GDPR tuli voimaan, oli Suomessakin monella sivustolla evästeistä kertova banneri. Nämä eivät toki useinkaan olleet nykyisten vaatimusten mukaisia, sillä niissä kerrottiin vain ympäripyöreästi, että sivusto kerää evästeitä ja käyttämällä sivua hyväksyt sen. Sinänsä nuo bannerit olivat yhtä tyhjän kanssa, mikäli yritys toimi vain Suomen markkinoilla. Suomessa evästebannerit eivät ole olleet pakollisia ennen vuotta 2020 tai 2021 (tämä on tulkintakysymys, johon vastaan myöhemmin).
On totta, että joissain Euroopan maissa tulkittiin silloisia EU:n tietosuojamääräyksiä eri tavalla, ja evästeistä kertovat bannerit olivat joissain maissa pakollisia. Suomessa näin ei kuitenkaan ole koskaan ollut. Varmistin tämän aikanaan tietosuojavaltuutetulta.
Jo ennen GDPR:ää voimassa ollut laki sähköisen viestinnän palveluista kertoo näin: ”Evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos käyttäjä on antanut siihen suostumuksensa ja palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta.” [2]
Lakia tulkittiin Suomen viranomaisten toimesta kuitenkin siten, että selaimessa annettu suostumus on riittävä. Tällä tarkoitetaan sitä, että jokaisessa selaimessa on mahdollisuus estää evästeiden kerääminen, eikä siksi ole tarpeen pyytää suostumusta evästebannereilla jokaisella sivustolla erikseen.
Itse olen henkilökohtaisesti ollut aina evästebannereita vastaan, sillä ne hankaloittavat sivuston käyttöä. Etenkin ”käyttämällä sivustoa hyväksyt evästeet” bannerit ovat kaiken lisäksi täysin turhia. Kyllä jokaisen pitää tietää, että sivustoilla kerätään evästeitä ja tuskin kukaan on jättänyt käyttämättä sivustoa tuollaisen bannerin vuoksi.
Edellä mainitusta syystä minun kantani on aina ollut, että evästebannereita ei kannata käyttää ennen kuin on pakko.
GDPR:n voimaantulo, 2018
Kun GDPR tuli voimaan, oli jonkin verran keskustelua siitä, onko evästeistä saatu tieto henkilötietoa. Aika nopeasti tuli yhteisymmärrys siitä, että evästedata on henkilötietoa ja siksi sitä kerätessä on noudatettava GDPR:ää.
GDPR:ssä kerrotaan, että henkilötietojen keräämiseen tulee olla peruste. Perusteita ovat:
- rekisteröity suostumus
- sopimus
- rekisterinpitäjän lakisääteinen velvoite
- elintärkeiden etujen suojaaminen
- yleistä etua koskeva tehtävä ja julkinen valta
- rekisterin pitäjän tai kolmannen osapuolen oikeutettu etu [3]
Aluksi jotkut lainoppineet pitivät markkinoinnin evästeitä oikeutettuna etuna, jolloin erillistä suostumusta ei tarvittaisi. Euroopan tuomioistuimista alkoi kuitenkin tulla päätöksiä, jossa markkinointia ei katsottu oikeutetuksi eduksi ja lopulta Suomessakin päädyttiin tähän tulkintaan.
Apulaistietosuojavaltuutetun määräys, 2020
Toukokuussa 2020 apulaistietosuojavaltuutettu määräsi yritykset muuttamaan käytäntöjään suostumuksen keräämiselle. Määräyksessä kerrottiin, ettei selaintasolla annettu suostumus ole riittävä. Samalla kerrottiin, että suostumus pitää pystyä jälkikäteen kieltämään, ja että ”Pätevää suostumusta ei voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. Kieltäytymisen ja suostumuksen peruuttamisen on oltava yhtä helppoa kuin suostumuksen antamisen.” [4].
En vielä tässäkään vaiheessa kääntänyt kelkkaani suostumustyökalun pakollisuudesta.
Traficom oikeudessa, 2021
Tietosuojavaltuutetun toimisto ei ole kuitenkaan toimivaltainen viranomainen evästesääntelyyn ja evästeiden käytön valvontaan. Tämä rooli kuuluu Liikenne ja viestintävirasto Traficomille.
Traficom piti aina syyskuun 2021 puoliväliin asti linjan, jonka mukaan selaimen kautta annettu suostumus on riittävä. Syy kurssimuutokseen oli se, että Traficom sai itse langettavan tuomion hallinto-oikeudessa koskien omia evästekäytäntöjään [5].
Uusi ohjeistus, 13.9.2021
Traficom julkaisi 13.9.2021 uuden evästeohjeistuksen palveluntarjoajille, joka ei juuri jätä tulkinnan varaa. Suostumus on kysyttävä sivustolla, mikäli käytössä on muita kuin vain välttämättömiä evästeitä. Suostumus edellyttää myös aktiivisia toimia. Ei voi siis enää käyttää bannereita, joissa on valmiiksi valittuna ”hyväksyn evästeet”, saati sitten bannereita, joissa lukee ”käyttämällä sivustoa hyväksyt evästeiden keräämisen”. Voit lukea tarkemmin Traficomin linjauksista toisesta kirjoituksestani: 2021 ohjeistus.
Loppuiko kujanjuoksu?
Olen vuosien saatossa saanut kuulla monestakin suunnasta, että Medialuotsin sivuilla rikotaan lakia, koska siellä ei ole suostumustyökalua. Kertoipa näin jopa yksi konsulttikin, keneltä ostimme palveluita. Toki tässä kaiken kaikkiaan sekavassa ohjeistusviidakossa on voinut tehdä muitakin tulkintoja, mutta minä ja sitä kautta Medialuotsi olemme aina toimineet Traficomin ohjeistuksen mukaisesti. Nyt kun Traficomilta vihdoin tuli selkeät ohjeet, myös me muutimme tapojamme ja asiakkaillemme suunnattuja ohjeistuksia. Jopa minäkin käänsin kelkkani sen suhteen, että evästebanneri on pakko olla.
Toki pitää vieläkin muistaa, että Traficomin ohjeet eivät ole laki. Edelleenkään ei ole yksikään evästetapaus edennyt korkeimpaan oikeuteen, joten on pieni mahdollisuus, että palataan vielä ajassa taaksepäin. Tähän en kuitenkaan usko, eli sanoisin, että evästebanneri pitää löytyä sivustolta jatkossakin.
Jännityksellä odotan, miten EU:n ePiracy-asetus tulee sotkemaan tätä kenttää. Tämä vuonna 2017 aloitettu hanke on pahassa vastatuulessa, sillä EU:ssa ei meinaa löytyä tähän asiaan yhteistä säveltä. ePiracyn tarkoituksena on selkeyttää sähköisen viestinnän tietosuojaa. Tämä selkeytys olisikin ollut paikallaan pari vuotta sitten, mutta nyt kun eri maiden lainsäädännöt ovat mukautumassa GDPR:ään tällaisenaan, niin saattaa olla, että ePiracy sekoittaa kuviot uudelleen.
Oman lusikkansa soppaan tuovat selaintoimittajat. Apple ja Firefox kieltävät jo nyt kolmannen osapuolen evästeiden keräämisen selaimissaan ja Google tekee Chromelle saman näillä näkymin vuonna 2023. Aiheesta voi lukea lisää täältä: https://medialuotsi.fi/evasteet-kuolee-mika-muuttuu/
Tämä tietosuojavastaava on nyt saapunut ensimmäiseltä kujalta aukiolle, jossa voi hetken hengähtää. Seuraavan kujan suu kuitenkin jo pilkistää edessäpäin ja taas tulee jotakin uutta.
Ovatko evästeasetuksesi kunnossa?
Jos vastauksesi kysymykseen on ei, meillä on sinulle helppo ratkaisu: evästeiden hallintatyökalu Cookiebot valmiiksi asennettuna. Cookiebot maksaa vain alk. 9 €/kk https://www.cookiebot.com/en/pricing. Meidän kauttamme tilattuna Cookiebot laskuttaa kuukausikustannukset suoraan sinulta, eli kuukausimaksusi on sama, tilaat sitten palvelun meiltä tai suoraan Cookiebotilta.
Cookiebotin oletusbanneri on melko tökerö ja se ohjaa käyttäjää olemaan jättämättä suostumusta. Siksi tarjoamme asennuspakettia kertakustanteella 490 € + alv. Olemme tehneet toteutuksen sinulle helpoksi – riittää kun annat asiantuntijoillemme tunnukset verkkosivustosi tai verkkokauppasi hallintaan. Teemme sinulle evästeselostesivun ja muokkaamme evästebannerin suomeksi ja sivustosi ulkoasuun sopivaksi. Sivustosi on siten kertaheitolla uusien evästekäytäntöjen mukainen.
[1] https://www.traficom.fi/fi/saadokset/evasteohjeistus-palveluntarjoajille
[2] https://www.finlex.fi/fi/laki/ajantasa/2014/20140917