Evästeitä (engl. cookies) käytetään vakiintuneesti useilla nettisivuilla ja tuskin kukaan on välttynyt erilaisilta ponnahdusikkunoilta, joissa joko ilmoitetaan evästeiden käytöstä tai pyydetään hyväksymään evästeiden käyttö. Käytäntö on evästeiden suhteen varsin kirjavaa, mikä on osittain johtunut tulkintaeroista eri viranomaisten kesken kansallisesti ja EU-tasolla.

Apulaistietosuojavaltuutettu on viime perjantaina 14.5.2020 antanut uuden ratkaisun ¹ , jossa se määräsi yrityksen muuttamaan tapaa, jolla käyttäjien suostumusta evästeiden käyttöön nettisivuilla pyydetään. Käytännössä kansallista tulkintalinjaa vietiin nyt lähemmäksi eurooppalaista näkemystä. Ratkaisun mukaisesti suostumusta evästeiden käyttöön ei voi jatkossa pyytää selainasetusten kautta, vaan pätevältä suostumukselta edellytetään tietosuoja-asetuksen mukaisesti aktiivista ja vapaaehtoista toimenpidettä, kuten esimerkiksi rasti ruutuun -tekniikkaa.

Kansallisesti evästeiden käyttöä säännellään sähköisen viestinnän palveluista annetussa laissa (917/2014), josta vastaa Traficom. Kyseisen lain mukaan evästeiden tallentaminen käyttäjän päälaitteelle ja näiden tietojen käyttö palvelun tarjoajalle edellyttää, että käyttäjä on antanut siihen suostumuksensa. Lisäksi palvelun tarjoajan on tullut antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta. Suostumusta ei kuitenkaan tarvita, jos tallentamisen ainoa tarkoitus on toteuttaa viestin välittämistä viestintäverkoissa tai se on välttämätöntä sellaisen palvelun tarjoamiseksi, jota käyttäjä on nimenomaisesti pyytänyt.

Traficom on vakiintuneesti katsonut, että niissä tapauksissa, joissa suostumus vaaditaan, on käyttäjä voinut antaa suostumuksensa evästeiden tallentamiseen esimerkiksi selaimen tai muun sovelluksen asetusten avulla. Eli suostumusta ei ole tarvinnut pyytää sivustokohtaisesti eikä se ole edellyttänyt mitään erityisiä toimenpiteitä käyttäjältä. Traficomin tulkinnan mukaan erillistä evästebanneria ei siis tarvittaisi. Tähän tulkintaan ovat Suomessa nojanneet monet eri toimijat, ja tapa onkin varsin yleisesti käytössä.

Traficom ei kuitenkaan ole ainoa viranomainen, jolla on valtaa evästeiden suhteen. Kansallisen työnjakomme mukaan tietosuojavaltuutetulla on oikeus tehdä päätöksiä koskien evästeitä siltä osin, kuin kyse on käyttäjän suostumuksesta ja henkilötietojen käsittelystä. Muutoin vastuu on edellä mainitusti Traficomilla. Apulaistietosuojavaltuutetun tuoreessa päätöksessä on nyt siis käytetty tätä tietosuojavaltuutetun tontille kuuluvaa valtaa ja poikettu Traficomin vakiintuneesta tulkintalinjasta.

Apulaistietosuojavaltuutettu on pohjannut ratkaisunsa EU:n yleiseen tietosuoja-asetukseen (2016/679, ”GDPR”), jossa suostumuksen pätevyydelle on asetettu tiukat edellytykset. Tietosuoja-asetuksen lähtökohtana on, että suostumus tulee antaa aktiivisella toimenpiteellä, eli esimerkiksi rastittamalla ruutu. Sen sijaan valmiiksi rastitettu ruutu, vaikeneminen tai jonkin toimen tekemättä jättäminen eivät täytä tietosuoja-asetuksen vaatimuksia pätevälle suostumukselle.

Nyt ratkaistavana olleessa tapauksessa yritys oli käyttänyt evästeitä mm. palveluiden kehittämiseen sekä markkinoinnin kohdentamiseen ja sivustolla oli myös kolmansien osapuolten asentamia evästeitä. Evästeistä kerrottiin käyttäjälle bannerin avulla, jossa luki, että: ”Jotta sivuston käyttö olisi sinulle sujuvaa ja mainokset kiinnostavia, rekisterinpitäjä kumppaneineen käyttää sivustolla evästeitä. Jatkamalla hyväksyt evästeiden käytön.” Bannerissa oli tämän lisäksi mahdollisuus valita joko ”Ok” tai ”Lisätietoja”, joista jälkimmäisestä avautui ruudulle tietosuojaseloste. Tietosuojaselosteessa kerrottiin, että mikäli käyttäjä ei halua vastaanottaa evästeitä, voi käyttäjä muuttaa selainasetuksia. Kolmansien osapuolten kohdennetun mainonnan kieltämisen osalta kerrottiin, että käyttäjän tulee vierailla ko. osapuolten sivustoilla.

Apulaistietosuojavaltuutettu korosti ratkaisussaan, että suostumusta ei voi pitää tietosuoja-asetuksen vaatimalla tavalla vapaaehtoisesti annettuna, mikäli käyttäjälle ei ole tarjottu aitoa tilaisuutta vapaasti valita, hyväksyykö hän tarjotut ehdot vai ei. Lisäksi apulaistietosuojavaltuutettu muistutti, että tietosuoja-asetuksen vaatimukset eivät täyty, mikäli suostumuksen peruuttaminen ei ole yhtä helppoa kuin sen antaminen.

Tässä tapauksessa käytetty banneri ei tarjonnut mahdollisuutta kieltäytyä evästeiden tallentamisesta ja niiden käyttämisestä. Lisäksi edellä todetusti kolmansien osapuolien evästeiden kieltäminen vaati sitä, että käyttäjä vierailee näillä sivustoilla ja kieltää käytön kunkin osapuolen osalta erikseen. Apulaistietosuojavaltuutettu totesi, että tällainen toimintatapa ei anna käyttäjälle mahdollisuutta antaa suostumustaan, peruuttaa sitä tai kieltää evästeet yrityksen omassa palvelussa. Lisäksi apulaistietosuojavaltuutettu kiinnitti huomiota siihen, että tietosuojaseloste jättää epäselväksi, keiden muiden kolmansien osapuolien kuin nimettyjen yhteistyökumppaneiden evästeitä yrityksen verkkosivuilla mahdollisesti käytetään ja miten näistä evästeistä voi kieltäytyä.

Apulaistietosuojavaltuutettu totesi, että koska (i) suostumus ei ollut tosiasiassa vapaaehtoinen, (ii) siitä kieltäytyminen tai sen peruuttaminen ei ollut yhtä helppoa kuin suostumuksen antaminen ja (iii) koska se, että käyttäjä ei tee selainasetuksiinsa muutoksia tai jättää kieltämättä evästeiden käytön selainasetuksissaan ei ole toimi, jolla käyttäjä antaa suostumuksensa evästeiden käyttöön, ei yrityksen hankkima suostumus ollut pätevä. Apulaistietosuojavaltuutettu antoi siten yritykselle määräyksen muuttaa toimintatapansa tietosuoja-asetuksen mukaisiksi. Päätös ei ole vielä lainvoimainen, eli on mahdollista, että siihen haetaan muutosta valittamalla hallinto-oikeuteen.

Apulaistietosuojavaltuutetun päätös on linjassa Euroopan unionin tuomioistuimen viimesyksyisen ratkaisun C-673/17 (Planet49) kanssa, jossa tuomioistuin katsoi, että evästeitä koskevaan suostumukseen on sovellettava tietosuoja-asetuksen mukaisia suostumuksen edellytyksiä. Mielenkiintoiseksi tilanteen tekee se, että Traficom on itse katsonut, ettei ko. EU:n tuomioistuimen päätös anna aihetta muuttaa sen tulkintakäytäntöä bannerikäytäntöjen suhteen ja vahvistanut 24.4.2020 antamassaan ratkaisussa² tulkintansa olevan edelleen voimassa.

Edellä todetusti evästeisiin liittyvän suostumuksen arviointi kuuluu kuitenkin tietosuojavaltuutetun tontille. Näin ollen, vaikka tällä hetkellä viranomaisilla on asiasta eriävä näkemys, on oma evästepolitiikka syytä päivittää vastaamaan apulaistietosuojavaltuutetun näkemystä. Tätä tukee sekin, että tapauksessa yritys oli yrittänyt vedota siihen, että sen toimintatapa on Traficomin linjauksen mukainen. Edellä todetusti tästä huolimatta apulaistietosuojavaltuutettu katsoi yrityksen menettelyn tietosuoja-asetuksen vastaiseksi. Viranomaisten osittain sekavalla ohjeistuksella on kuitenkin ollut merkitystä seuraamuksien arvioinnissa, sillä apulaistietosuojavaltuutettu katsoi, että oikeustilan epäselvyyden vuoksi ei ollut syytä määrätä huomautusta raskaampaa seuraamusta. Tämän päätöksen myötä oikeustila on kuitenkin selkeytynyt erityisesti tietosuojavaatimusten osalta ja siten jatkossa vastaavasta rikkomuksesta seuraamuksena voi hyvinkin olla huomautusta kovempia keinoja.

Tiivistäen voidaan todeta, että evästeisiin liittyvän suostumuksen kanssa pelataan siten jatkossa samoilla säännöillä, kuin yleensäkin henkilötietoihin liittyvän suostumuksen suhteen:

1) suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen; ja;

2) lisäksi suostumus on voitava peruuttaa ja tämän tulee olla yhtä helppoa kuin suostumuksen antaminenkin.

Käytännössä tämä tarkoittaa sitä, että suostumukseksi eivät enää jatkossa kelpaa selainasetukset, valmiit rastit ruuduissa tai yleisesti käytössä olevat ilmoitukset, joissa todetaan, että jatkamalla sivuston käyttöä käyttäjä hyväksyy evästeet. Sen sijaan suostumus tulee antaa aktiivisesti, eli esimerkiksi siten, että käyttäjä käy itse valitsemassa evästeet päälle asetuksissa tai valitsee rastin ruutuun.

Jatkossa kokonaistilannetta toivottavasti selkeyttää entisestään EU:ssa valmisteilla oleva niin kutsuttu ePrivacy -asetus, eli sähköisen viestinnän tietosuoja-asetus, jonka on tarkoitus käsitellä tarkemmin muun muassa evästeitä koskevia sääntöjä. Asetuksen valmistelu on kuitenkin venynyt, eikä tällä hetkellä ole tiedossa koska asetus saadaan voimaan.