Ajankohtaista/21.9.2021

Passiiviset suostumukset historiaan uuden evästeohjeistuksen myötä

Erkko Korhonen

Liikenne- ja viestintävirasto Traficom julkaisi uuden evästeoppaan palveluntarjoajille. Oppaan tarkoituksena on yhdenmukaistaa aiempaa evästeohjeistusta vastaamaan EU:n tietosuoja-asetuksen suostumukselle asettamia vaatimuksia, tietosuojavaltuutetun linjaa ja uutta oikeuskäytäntöä.

Palveluntarjoajille laadittu opas on suunnattu kaikille niille, jotka käyttävät evästeitä tai vastaavia tekniikoita toteuttaessaan ja tarjotessaan verkkosivustoja tai muita sähköiseen viestintään pohjautuvia palveluja, kuten mobiilisovelluksia. Aiemman ohjeistuksen mukaan evästeisiin voitaisiin antaa suostumus verkkoselaimen asetusten kautta, mutta nyt oheistus on muuttunut. Opas antaa tarkempaa ohjeistusta myös siitä, miten suostumus evästeisiin tulisi pyytää evästebannereita käyttäen.

Mitä yritysten kannattaa erityisesti poimia tästä uudesta evästeohjeesta? Tärkeimpiin oikeusohjeisiin lukeutuu ainakin seuraavat asiat:

  • Evästeet on jaoteltava välttämättömiin ja ei-välttämättömiin, ja ne on selostettava käyttäjälle esimerkiksi tietosuojaselosteessa tai evästeselosteessa.
  • Käyttäjän suostumus tulee pyytää ja evästeisiin liittyvät tiedot tulee antaa asianmukaisesti ja oikea-aikaisesti käyttäjän saapuessa sivustolle – pelkkä ilmoitus evästeiden käytöstä sivustolla ei täytä vaatimuksia.
  • Välttämättömien evästeiden osalta ei tarvita suostumusta. Evästeiden välttämättömyys tulee arvioida kyseisen palvelun näkökulmasta.

Välttämättömiksi voidaan katsoa ainoastaan sellaiset evästeet ja muut tiedot, joiden ainoana tarkoituksena on joko toteuttaa viestin välittämistä viestintäverkoissa tai jotka ovat välttämättömiä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt. Opas sisältää esimerkkejä erilaisista evästeistä sekä suuntaviivoja välttämättömyyden arviointiin.

  • Käyttäjän nimenomainen aktiivinen suostumus evästeisiin on pyydettävä yleisen tietosuoja-asetuksen mukaisesti – palveluntarjoajien ei tule käyttää valmiiksi raksittuja ruutuja tai valittuja liukukytkimiä.
  • Kieltäytymisen on oltava yhtä helppoa kuin suostumuksen antaminen – kieltäytymisvaihtoehtoa ei saa piilottaa useamman klikkauksen taakse: sekä hyväksymis- että kieltäytymisvaihtoehto oltava yhtälailla saatavilla.
  • Suostumus on oltava peruutettavissa maksutta ja palvelutasoa alentamatta milloin tahansa, mahdollisimman yksinkertaisella tavalla.
  • Palveluntarjoajan tulee kyetä jälkikäteen osoittamaan saamansa suostumus evästeiden ja muiden näihin rinnastettavien tietojen tallentamiselle ja käytölle.
  • Oikeutettu etu ei ole lainmukainen peruste evästeiden tai niitä vastaavien seurantateknologioiden käyttämiseksi.
  • Evästeiden hyväksymättä jättäminen ei saa estää sivuston käyttöä.

Traficomin opas ei ole sellaisenaan juridisesti velvoittava, mutta sisältää valvovan viranomaisen Traficomin näkemyksen lainmukaisista ja hyväksyttävistä evästekäytännöistä.

Jos ylläesitetyt näkökulmat herättävät kysymyksiä tai haluat muutoin keskustella evästeohjeistuksesta, tietosuojaan ja tietoturvaan erikoistuneet asiantuntijamme keskustelevat mielellään kanssanne.

Erkko Korhonen

Erkko neuvoo asiakkaitamme teknologiaan liittyvissä transaktioissa ja järjestelyissä sekä ICT-projekteihin, ulkoistukseen ja pilvipalveluihin liittyvissä kysymyksissä. Erkon toimenkuvaan kuuluu myös datatalouteen liittyvät kysymykset sekä yleisesti kaikki tietoturvaan ja tietosuojaan liittyvät kokonaisuudet, erityisesti tietosuoja-asetukseen ja sähköisen viestinnän tietosuojaan liittyvät kysymykset.

 

Erkko vastaa Boreniuksen Technology & Data -tiimistä yhdessä Samuli Simojoen kanssa.