Apulaistietosuojavaltuutettu määräsi yrityksen muuttamaan tapaa, jolla se pyytää suostumusta evästeiden käyttöön
Apulaistietosuojavaltuutettu on määrännyt yrityksen muuttamaan tapaa, jolla se pyytää käyttäjän suostumusta evästeiden käyttöön. Tietosuojavaltuutetun toimistoon kannellut henkilö katsoi, ettei hänellä ollut käytännössä mahdollisuutta kieltää evästeiden käyttöä. Yritys käytti evästeitä verkkosivuillaan muun muassa mainonnan kohdentamiseen.
Kantelun kohteena ollut yritys ilmoitti keräävänsä evästeiden avulla tietoa itselleen ja kolmansille osapuolille esimerkiksi palveluiden käytöstä ja käyttäjien IP-osoitteista. Yritys ilmoitti käyttävänsä evästeitä muun muassa palveluiden personointiin ja mainonnan kohdentamiseen.
Evästeet ovat pieniä tekstitiedostoja, joita tallennetaan käyttäjän päätelaitteelle verkkosivuilla vieraillessa. Evästeitä voidaan hyödyntää esimerkiksi sivujen teknisen toimivuuden varmistamisessa ja markkinoinnin kohdentamisessa.
Yritys ilmoitti evästeiden käytöstä verkkosivuilleen ilmestyvällä ilmoitusruudulla, niin sanotun evästebannerin kautta. Ilmoituksessa sanottiin, että jatkamalla sivuston käyttöä käyttäjä hyväksyy evästeiden käytön. Valitsemalla OK-painikkeen sijasta Lisätietoja-painikkeen, käyttäjä pääsi lukemaan rekisterinpitäjän tietosuojaselosteen. Selosteessa todettiin, että käyttäjä voi selainasetuksia muuttamalla kieltää evästeiden käytön. Lisäksi tietosuojaselosteessa todettiin, että käyttäjä voi kieltää rekisterinpitäjän yhteistyökumppaneiden tallentamat ja käyttämät evästeet kunkin yhteistyökumppanin verkkosivuilla erikseen.
Päätöksessään apulaistietosuojavaltuutettu katsoi, ettei rekisterinpitäjän tapaa kerätä evästeisiin annettavaa suostumusta voitu pitää EU:n yleisen tietosuoja-asetuksen mukaisena. Bannerin kautta annettavan suostumuksen ei voitu katsoa täyttävän vapaaehtoisen suostumuksen edellytyksiä, eikä suostumuksesta kieltäytymistä tai sen peruuttamista ollut tehty yhtä helpoksi kuin suostumuksen antamista. Sitä, että käyttäjälle kerrottiin mahdollisuudesta kieltää evästeiden tallentaminen ja käyttö selainasetuksista, ei voitu pitää sellaisena aktiivisena ja nimenomaisena tahdonilmaisuna, jota pätevän suostumuksen antaminen edellyttää. Apulaistietosuojavaltuutettu katsoi, ettei tietosuoja-asetuksen mukaista suostumusta voida antaa siten, että käyttäjä jättää tekemättä muutoksia selainasetuksiinsa.
Jotta suostumus täyttää yleisen tietosuoja-asetuksen edellytykset, käyttäjällä on oltava tilaisuus valita, hyväksyykö vai hylkääkö hän suostumusta koskevat ehdot. Suostumus voidaan antaa monella eri tapaa, kunhan se selkeästi osoittaa, että rekisteröity hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Pätevää suostumusta ei voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. Kieltäytymisen ja suostumuksen peruuttamisen on oltava yhtä helppoa kuin suostumuksen antamisen.
Apulaistietosuojavaltuutettu antoi rekisterinpitäjälle määräyksen muuttaa toimintatapojaan suostumuksen keräämisessä EU:n yleisen tietosuoja-asetuksen mukaisiksi. Apulaistietosuojavaltuutetun päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen, joten päätös ei ole vielä lainvoimainen.
Suostumuksen on oltava EU:n yleisen tietosuoja-asetuksen vaatimusten mukainen
Euroopan unionin tuomioistuin selvensi lokakuussa 2019 antamassaan Planet49-tuomiossa, että sähköisen viestinnän tietosuojadirektiiviä ja yleisen tietosuoja-asetuksen suostumusta koskevia edellytyksiä on luettava yhdessä. Sähköisen viestinnän tietosuojadirektiivin mukaan tietojen tallentaminen käyttäjän päätelaitteelle sallitaan ainoastaan silloin, kun käyttäjä on antanut suostumuksensa tietojen tallentamiseen. Tämä ei estä teknistä tallentamista tai evästeiden käyttöä, kun se on välttämätöntä palvelun tarjoamiseksi. Suostumus tarvitaan kuitenkin sellaisten evästeiden käyttöön, joita hyödynnetään esimerkiksi markkinoinnin kohdentamisessa.
Sähköisen viestinnän tietosuojadirektiivin vaatimus suostumuksesta on saatettu Suomessa voimaan säätämällä asiasta sähköisen viestinnän palveluista annetussa laissa, jota valvoo Liikenne- ja viestintävirasto Traficom. Yleisen tietosuoja-asetuksen suostumusta koskevat säännökset eivät sisällä kansallista liikkumavaraa, eli niitä sovelletaan sellaisenaan EU-maissa. Tietosuoja-asetusta valvoo Suomessa tietosuojavaltuutettu.
Tietosuojavaltuutetun toimistossa on vireillä kymmeniä vastaavia tapauksia, jotka tullaan ratkaisemaan nyt annetun päätöksen mukaisesti.
Euroopan tietosuojaneuvosto julkaisi päivitetyn ohjeen suostumuksesta henkilötietojen käsittelyperusteena
Euroopan tietosuojaneuvosto hyväksyi 4. toukokuuta päivitetyn version suostumusta koskevasta ohjeesta. Ohje säilyi pääosin ennallaan, mutta siinä selvennettiin uusien esimerkkien kautta kysymyksiä evästeistä ja tavoista pyytää rekisteröidyn suostumus. Ohje noudattaa apulaistietosuojavaltuutetun antamaa ratkaisua.
Euroopan tietosuojaneuvosto vastaa EU:n yleisen tietosuoja-asetuksen yhdenmukaisesta soveltamisesta Euroopan unionissa. Tietosuojavaltuutettu edustaa Suomea tietosuojaneuvostossa.
Apulaistietosuojavaltuutetun päätös evästesiin annettavasta suostumuksesta Finlexissä
Euroopan tietosuojaneuvoston ohje: Guidelines 5/2020 on Consent under Regulation 2016/679 (Euroopan tietosuojaneuvoston verkkosivuilla englanniksi)
Lisätietoja:
apulaistietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puhelinvaihde: 029 566 6700 (15.5. ja 18.5. klo 8.00–16.00)