Evästesuostumuksen pyytämistapa tarkastettava

Verkkopalvelujen ja -sivustojen toimivuus on yrityksen liiketoiminnan kannalta tärkeää, ja ne vaativatkin säännöllistä päivittämistä. Päivitys on viimeistään nyt syytä ulottaa myös evästeisiin.

Vuosi 2021 on ollut evästesääntelyn suhteen vauhdikas vuosi. Helsingin hallinto-oikeus antoi keväällä kaksi ratkaisua koskien verkkosivustoilta päätelaitteille tallennettavia evästeitä ja suostumuksen antamista muihin kuin välttämättömiin evästeisiin. Aiemmin tietosuojavaltuutetun ja Traficomin tulkinnat evästesuostumuksesta poikkesivat toisistaan.

Yleinen edellytys evästeiden tallentamiselle ja käytölle on käyttäjän aktiivinen suostumus. Suostumuksen tulee olla yleisen tietosuoja-asetuksen mukainen: se on annettava selkeästi suostumusta ilmaisevalla toimella, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla tämä hyväksyy henkilötietojensa käsittelyn.

Mikäli tietojen tallentamisen ja käytön ainoana tarkoituksena on toteuttaa viestin välittämistä viestintäverkoissa tai tarjota käyttäjälle tämän erityisesti pyytämä palvelu, ei suostumusta tarvitse pyytää.

Suostumuksen tulee siis olla käyttäjän aktiivinen toimi. Suostumuksen pyytäminen esimerkiksi ns. pop-up-ikkunalla on sallittua, mutta siinä ei saa olla valmiiksi raksittuja ruutuja tai ”päällä” asennossa olevia liukukytkimiä ei-välttämättömien evästeiden osalta. Suostumukseksi ei myöskään kelpaa ”Jatkamalla sivun käyttöä hyväksyt evästeet” -tyyppinen teksti verkkosivustolle saavuttaessa. Evästesuostumuksen pyytämistä ei niin ikään tule yhdistää esimerkiksi käyttöehtojen hyväksymiseen tai kätkeä useiden klikkausten taakse.

Lisäksi Traficomin uuden oppaan mukaan evästeiden käytöstä kieltäytymisen tulee olla yhtä helppoa kuin suostumuksen antamisen. Tämä edellyttää suostumuspyynnöltä helppolukuisuutta ja sitä, että evästeistä annetaan kaikki tarpeelliset tiedot, jotta käyttäjä voi arvioida, mihin evästeillä kerättyjä henkilötietoja käytetään ja luovutetaanko niitä esimerkiksi kolmansille osapuolille. Mikäli käyttäjä päättää jatkaa verkkopalveluun tekemättä evästevalintoja, tulee sivuston toimia oletuksena vain välttämättömiin evästeisiin perustuen. On hyvä huomata, että esimerkiksi analytiikkaevästeet eivät lähtökohtaisesti kuulu välttämättömiin evästeisiin, sillä palvelun on mahdollista toimia, vaikka ne eivät olisi käytössä.

ePrivacy-sääntelyuudistus saattaa tulevaisuudessa mahdollistaa evästesuostumuksen antamisen ohjelmistoasetuksin. Vaikka ”Do Not Track”-tyyppisiä asetuksia löytyykin useimmista internetselaimista, selainasetuksista ei tällä hetkellä voi antaa pätevää suostumusta evästeiden käytölle. ePrivacy-asetuksen voimaantulo ei siinnä vielä horisontissa, ja vaikka asetus voimaantullessaan toisi toivottuja muutoksia evästesääntelyyn, tulee evästeitä käyttävien organisaatioiden noudattaa nykyhetken voimassa olevaa lainsäädäntöä ja olla valmiina päivittämään evästekäytäntöjään sääntelyn uudistuessa.

Associate Else Leppänen avustaa asiakkaita Eversheds Asianajotoimistossa erityisesti tietosuojaan ja kuluttajansuojaan liittyvissä toimeksiannoissa.
LinkedIn

Kommentoi

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *