EVÄSTEET JA NIIDEN SALLITTU KÄYTTÖ

Tietosuojavaltuutetun toimisto antoi 14.5.2021 päätöksen siitä, miten organisaatioiden tulisi pyytää suostumus evästeiden tallentamiseen. Aikaisempien Traficomin ohjeiden mukaan katsottiin, että usein selainasetuksella annettava suostumus on riittävä. Päätöksen mukaan käyttäjä ei voi antaa selainasetuksella suostumusta muihin kuin teknisesti välttämättömiin evästeisiin, eikä ”jatkamalla sivun selailua hyväksyt evästeet” -ilmoituksella.

Vaikka evästeet ovat tietosuojassa vain yksityiskohta, niistä käytävää keskustelua on viime vuosina ollut tietosuojasäännösten muututtua, myös kansallisen ja eurooppalaisen tulkinnan eroavaisuuksien vuoksi.

Päätöksen osalta on huomioitavaa, että mikään säädös ei ole muuttunut eikä mikään oikeusaste ole antanut aiemmasta poikkeavia tulkintoja. Kyseessä on siis yksittäisen viranomaisen tulkinnan muutos. Epäselvyyttä on tuottanut toimivaltuuksien jakautuminen Suomessa, tietosuojavaltuutettu valvoo henkilötietojen käsittelyä, joita voidaan kerätä mm. evästeiden kautta, mutta evästeiden teknisen asentamisen lainmukaisuus on Traficomin toimivallassa. Päätöksen myötä ohje vastaa melko hyvin niitä tulkintoja, joita muissa EU-maissa on tehty jo aiemmin samojen asetusten pohjalta. Mitään siirtymäaikaa ei ole, joten näin olisi pitänyt toimia jo vuosia.

Yleinen tietosuoja-asetus (2016/679) sisältää edellytykset sille, milloin henkilön antamaa suostumusta voidaan pitää pätevänä: suostumus on annettava aktiivisella toimella, että se on vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu henkilötietojen käsittelyyn, eikä sitä voi antaa esimerkiksi vaikenemalla, valmiiksi rastitetulla ruuduilla tai jättää jokin toimi toteuttamatta. Tahdonilmaisu voisi olla, että käyttäjä rastittaa itse ruudun vieraillessaan verkkosivustolla tai valitsee itse asetukset palvelussa. Suostumuksen peruuttaminen tulee olla myös yhtä helppoa kuin sen antaminen, eikä peruuttamisesta saa aiheutua haittaa.

Jos sivustolla käytetään kolmansien osapuolien evästeitä mm. mainonnan kohdentamiseksi tai palveluiden kehittämiseksi, käyttäjälle tulee tarjota aito tilaisuus valita vapaasti, hyväksyykö hän tarjotut ehdot vai hylkääkö ne, sivuston ylläpitäjän omassa palvelussa, eikä vierailemalla kunkin kumppanin verkkosivuilla erikseen ja kieltää evästeiden käyttö jokaisen kohdalta erikseen.

Nyt olisi korkea aika tarkastella omien www-sivujen ja mobiiliapplikaatioiden käytäntöjä. Vaikka yleisesti puhutaankin vain evästeistä, nämä säännöt koskevat kaikkea käyttäjän päätelaitteelle tallennettavia tietoja. Toiminnan kannalta teknisesti välttämättömiä evästeitä saa edelleen asettaa, mutta esimerkiksi analytiikkaan ja mainontaan liittyvät vaativat aina suostumuksen.

Pystymme auttamaan ja turvaamaan organisaation toimintaa kokonaisvaltaisesti, antamaan käytännönläheiset ja tehokkaat keinot riskien tunnistamiseen ja vaikutusten minimointiin.