Aktiivinen suostumus edellytyksenä evästeiden tallentamiselle

05.11.2019

Euroopan unionin tuomioistuin (EUT) katsoi lokakuussa annetussa ratkaisussaan C-673/17 (ns. Planet49-tapaus), ettei suostumusta evästeiden tallentamiseksi ollut annettu pätevästi, kun kyseessä oli valmiiksi rastitettu ruutu. Tarkastelun keskiössä olivat niin kutsutut kolmannen osapuolen evästeet sekä evästeiden keräämistä varten annettavan suostumuksen edellytykset.

Tapauksessa oli kyse saksalaisesta pelejä tarjoavasta yrityksestä, joka oli mainostarkoituksessa järjestänyt sivuillaan arvonnan. Osallistumislomakkeen yhteydessä oli valmiiksi rastitettu ruutu evästeiden käytön hyväksymisestä. Valmiiksi rastitetun ruudun vieressä oli teksti, jonka mukaan käyttäjä hyväksyi, että arvonnan järjestäjä voi ottaa arvontaan osallistumisen jälkeen käyttöön evästeet. Näin toimimalla arvonnan järjestäjä pystyi arvioimaan käyttäjän selauskäyttäytymistä markkinointikumppaneiden verkkosivuilla, keräämään tietoa yhteistyökumppaneilleen mainostarkoituksiin ja kohdentamaan markkinointia. Jos arvontaan osallistuja ei halunnut antaa suostumusta evästeiden tallentamiseen, hänen piti poistaa valmiiksi täytetty rasti valintaruudusta.

Tapauksessa EUT otti kantaa erityisesti evästeiden tallentamista koskevaan suostumukseen sekä käyttäjän riittävään informointiin kolmansien osapuolien evästeiden käytöstä.

Ratkaisussaan EUT katsoi, että ePrivacy-direktiiviä yhdessä henkilötietodirektiivin kanssa on tulkittava siten, että näissä säännöksissä tarkoitettua suostumusta ei ole annettu pätevästi, kun lupa tietojen tallentamiseen tai päätelaitteelle jo tallennettujen tietojen käyttämiseen evästeiden avulla on annettu valmiiksi rastitetulla ruudulla, josta käyttäjän on poistettava rasti evätäkseen suostumuksensa. EUT:n mukaan vaaditaan käyttäjän nimenomainen suostumus evästeiden käyttöön, ja käyttäjälle on sen lisäksi annettava tarkempaa tietoa evästeiden käytöstä. Ratkaisussa korostettiin myös sitä, että suostumuksen on oltava yksilöity. Toimintamallia, jossa käyttäjä napsauttaa mainostarkoituksessa järjestetyn arvonnan osallistumispainiketta, ei voida pitää riittävän yksilöitynä ja pätevänä suostumuksena evästeiden tallentamiseen.

Palveluntarjoajan on annettava käyttäjälle evästeisiin ja niiden käyttöön liittyen tietoja. EUT katsoi, että ePrivacy-direktiiviä on tulkittava siten, että palveluntarjoajan on annettava käyttäjälle tiedot evästeiden toiminta-ajasta sekä siitä, onko kolmansilla osapuolilla mahdollisuus käyttää kyseisiä evästeitä. Tapauksessa ei ollut merkitystä sillä, oliko kyse henkilötiedoista.

ePrivacy-direktiivin ja tietosuoja-asetuksen vaikutus evästekäytäntöihin

Suostumuksesta evästeiden käyttöön ei säädetä tietosuoja-asetuksessa vaan ePrivacy-direktiivissä ja kansallisessa lainsäädännössä. Evästeiden tallentaminen käyttäjän laitteelle vaatii suostumuksen, vaikka kyseessä ei olisikaan henkilötietojen käsittely.

Suostumusta ei kuitenkaan tarvita silloin, kun kyse on niin kutsutuista välttämättömistä evästeistä. Tällaisiksi voidaan katsoa sellaiset evästeet 1) joiden ainoana tarkoituksena on toteuttaa viestin välittäminen teknisesti ja 2) jotka ovat välttämättömiä palveluntarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt. Käytännössä välttämättömät evästeet tarkoittavat esimerkiksi sellaisia evästeitä, joita ilman palvelu, kuten verkkokauppa tai nettipankki, ei toimi. Myös välttämättömistä evästeistä ja niiden käyttötarkoituksesta on informoitava käyttäjää.

Suostumusta ei sen sijaan ole erikseen määritelty ePrivacy-direktiivissä, vaan tältä osin on viitattu henkilötietodirektiiviin. Henkilötietodirektiivi on kuitenkin korvattu tietosuoja-asetuksella. Tietosuoja-asetuksen mukaan suostumuksella tarkoitetaan vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua. Tätä on tulkittu niin, että myös evästeitä koskevan suostumuksen antaminen pitää perustua käyttäjän aktiiviseen ja erilliseen toimenpiteeseen.

Vaikutukset evästekäytäntöihin

Suomessa sähköisen viestinnän luottamuksellisuutta valvoo Traficom, joka on antanut ohjeistusta evästeitä koskevaan suostumukseen liittyen. Tähän mennessä Traficom on katsonut, että käyttäjä voi pätevästi antaa suostumuksensa päätelaitteensa selainasetuksissa. 

Traficom on ilmoittanut, että Planet 49-ratkaisun vaikutusta suhteessa voimassaolevaan ohjeistukseen arvioidaan parhaillaan. Tämän pohjalta ohjeistusta saatetaan päivittää. Toistaiseksi kuitenkin toimitaan Traficomin antaman voimassa olevan ohjeistuksen mukaisesti.

Planet 49-ratkaisun ratkaisun voidaan katsoa olevan merkittävä etenkin markkinoinnin kohdentamisen kannalta, ja sen voidaan katsoa edellyttävän muutoksia käytössä oleviin toimintatapoihin. Esimerkiksi evästekäytäntö, jossa käytetään ilmaisua ”Jatkamalla hyväksyt evästeiden tallentamisen” saattaa jatkossa olla ongelmallinen.

Parhaillaan on valmisteilla uusi sähköisen viestinnän tietosuoja-asetus (ePrivacy-asetus), joka valmistuttuaan korvaa ePrivacy-direktiivin ja evästeitä koskevan kansallisen sääntelyn. ePrivacy-asetuksen valmistelu EU:ssa on vielä kesken, eikä sen lopullisesta sisällöstä tai valmistumisaikataulusta ole vielä varmuutta. Voimaantullessaan se toivottavasti selkeyttää nykyistä osin tulkinnanvaraista sääntelyä.

Miten suhtautua evästekäytäntöihin EUT:n ratkaisun valossa

  • Tarkista nykyiset evästekäytännöt ja arvioi, onko ratkaisulla vaikutuksia, jotka tulisi huomioida etenkin kolmannen osapuolen evästeisiin. Huomiota tulee kiinnittää myös käyttäjän riittävään informointiin evästeistä. Tämä edellyttää, että käyttäjälle annetaan tiedot esimerkiksi evästeiden toiminta-ajasta sekä siitä, onko kolmansilla osapuolilla mahdollisuus käyttää näitä evästeitä.
  • Viranomaisilta on odotettavissa tarkempia ohjeistuksia lähiaikoina evästekäytäntöihin liittyen. Toistaiseksi noudatetaan aiemmin annettua ohjeistusta evästekäytännöistä.
  • Valmisteilla on ePrivacy-asetus, joka tulee vaikuttamaan evästekäytäntöihin ja osaltaan selkeyttämään tilannetta. Asetus on valmisteluvaiheessa, eikä sen lopullisesta sisällöstä ole vielä varmuutta.

Annamme mielellämme lisätietoja.


Markus Myhrberg, Partner, puh. +358 40 505 5343, markus.myhrberg@lexia.fi

Ville Kukkonen, Associate, puh. +358 40 745 6784, ville.kukkonen@lexia.fi

Laura Ranki, Legal Trainee,  laura.ranki@lexia.fi


Lisää aiheesta:

EUT-ratkaisu kokonaisuudessaan >>

Tietosuojavaltuutetun toimiston artikkeli aiheesta >>

Traficomin nettisivut luottamuksellisesta viestinnästä >>

Back to Top