Liikenne- ja viestintävirasto Traficom julkaisi syyskuussa 2021 uudet evästeohjeistukset sekä verkkosivustojen käyttäjille että palveluntarjoajille. Ohjeistukset koskevat myös muita evästeisiin rinnastettavia seurantatekniikoita, kuten seurantapikseleitä ja mobiilisovelluksien kautta tallennettavia evästeitä. Ohjeistuksessa on pyritty selkiyttämään erityisesti suostumukseen liittyviä käytäntöjä.

Jos sivustolla käytetään evästeitä, palveluntarjoajan tulee huomioida nettisivuillaan ainakin seuraavat asiat:

• Informointi: evästeiden käytöstä on informoitava käyttäjiä.
• Välttämättömät evästeet ja muut evästeet: erottelu on tärkeää, koska muiden kuin välttämättömien evästeiden käyttöön tarvitaan käyttäjän suostumus.
• Pätevän suostumuksen saaminen käyttäjältä: ei valmiiksi rastitettuja ruutuja, evästeiden kieltämisen on oltava yhtä helppoa kuin suostumuksen antamisen.
• Suostumuksen peruminen: käyttäjän on pystyttävä perumaan antamansa suostumus.

Käyttäjää on informoitava evästeistä

Päätelaitteelle, kuten puhelimeen tai tablettiin, tallennettavista evästeistä on kerrottava käyttäjille selkeästi ja ymmärrettävästi. Niistä on kerrottava ainakin evästetyyppi, käyttötarkoitus ja toiminta-aika. Vaikkei kyseinen informointivelvoite koske lainsäädännön perusteella niin sanottuja välttämättömiä evästeitä, on niistä kuitenkin hyvä informoida käyttäjiä. Informoinnin osalta pitää muistaa, että jos käytettävät evästeet muuttuvat, on informointiakin muutettava. Näin varmistetaan, että informointi säilyy ajantasaisena. Jos käytössä on ns. kolmannen osapuolen evästeitä, tulee niistäkin kertoa käyttäjälle riittävän selkeästi ja kattavasti.

Välttämättömät ja muut evästeet

Suostumusta ei lain mukaan tarvitse pyytää niin kutsuttuihin välttämättömiin evästeisiin. Evästeet voidaan luokitella välttämättömiksi evästeiksi mm. seuraavissa tapauksissa:

• jos tietojen tallentamisen tai käytön ainoana tarkoituksena on toteuttaa viestin välittämistä viestintäverkoissa tai
• tietojen tallentaminen ja käyttö on välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.

Välttämättömiä evästeitä ovat  mm. tietoturvaan ja istuntokohtaiseen todentamiseen liittyvät evästeet sekä ostoskorin sisällön muistamisen mahdollistavat evästeet. Ainakaan toistaiseksi analytiikkaevästeitä ei ole katsottu välttämättömiksi, joten niiden tallentamiseen tarvitaan suostumus.

Käyttäjältä on saatava suostumus evästeiden käyttöön

Muiden kuin välttämättömien evästeiden käyttöön on saatava käyttäjän suostumus. Suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla käyttäjä hyväksyy evästeiden tallentamisen päätelaitteelleen. Myös eri käyttötarkoituksiin tallennettavien evästeiden käyttöä varten on saatava erilliset suostumukset, jotta yksilöintivaatimus toteutuisi. Suostumuksen on oltava käyttäjän aktiivinen toimenpide, eli esimerkiksi valmiiksi rastitetut ruudut tai maininta ”jatkamalla sivuston selaamista hyväksyt evästeiden käytön” eivät täytä pätevän suostumuksen vaatimusta. Myöskään evästeilmoituksen yhteydessä klikattu ”OK”, ei ole riittävä tapa saada käyttäjän hyväksyntää evästeiden tallentamiselle.

Suostumuksen perumisen on oltava helppoa

Käyttäjän on halutessaan voitava perua antamansa suostumus.  Suostumuksen peruuttamisen tai jo tehtyjen evästevalintojen muuttamisen on onnistuttava käyttäjän kannalta helposti. Jos suostumusta on alun perin pyydetty esimerkiksi bannerilla, tulisi banneri saada helposti uudelleen näkyviin linkkiä klikkaamalla, jolloin evästeasetuksia pääsee muuttamaan milloin tahansa.

Palveluntarjoajan on huolehdittava, että suostumuksen peruuttamisella ja verkkosivuston evästeasetusten muuttamisella on tosiasiallinen vaikutus tietojen käsittelyssä ja kyseiset evästetiedot poistetaan. Käyttäjän peruutettua suostumuksensa, tulee kyseistä käyttäjää koskevat tiedot poistaa tai ylikirjoittaa laitteelta.

Miten toimia jatkossa?

Palveluntarjoajan kannattaa kiinnittää huomiota erityisesti siihen, että käyttäjän suostumus evästeiden tallentamiseen pyydetään asianmukaisesti ja että se on peruutettavissa helposti. Haasteena voi olla, että evästeitä koskevaa lainsäädäntöä noudatetaan sivuston käytettävyyden kustannuksella.

Kuinka saada sivuston käytettävyys ja lainsäädännön vaatimukset tasapainoon? Me autamme mielellämme tietosuojaan sekä evästeisiin liittyvissä asioissa.

Ota yhteyttä:

Markus Myhrberg, Partner, [email protected],  puh. 040 505 5343

Erika Leinonen, Counsel, [email protected], puh. 045 7820 0310

Laura Ranki, Associate, [email protected], puh. 040 777 2572