Evästeet ja niiden käyttö ovat viime aikoina herättäneet runsaasti keskustelua, kun kaksi kansallista viranomaista, Traficom ja Tietosuojavaltuutetun toimisto, ovat tulkinneet riittävälle evästesuostumukselle asetettuja edellytyksiä hyvin erilaisin tavoin. Traficom on tulkinnut lainsäädäntöä siten, että käyttäjän internet-selaimen asetusten kautta saatu suostumus on riittävä, kun taas Tietosuojavaltuutetun toimisto edellyttää käyttäjän aktiivista suostumusta. Asiasta on nyt saatu kaksi Helsingin hallinto-oikeuden päätöstä, joiden toivotaan selventävän oikeustilaa.

Mitä evästeet ovat?

Evästeet ovat pieniä tiedostoja, joita verkkosivustot voivat tallentaa käyttäjän päätelaitteelle. Evästeiden avulla sivusto voi tunnistaa kävijän, ja evästeiden avulla kerätään tietoa muun muassa käyttäjien IP-osoitteista ja näiden käyttämistä palveluista. Evästeiden avulla voidaan esimerkiksi varmistaa sivuston tekninen toimivuus, lisätä käyttäjämukavuutta, personoida palveluita ja kohdentaa mainontaa.

Milloin evästeitä voidaan käyttää?

Sähköisen viestinnän palveluista annetun lain mukaan suostumus evästeiden käytölle tarvitaan aina, kun evästeitä tallennetaan käyttäjän päätelaitteelle tai näitä tallennettuja tietoja käytetään. Suostumusta ei tarvita, jos evästeiden tallentaminen tai käyttö on välttämätöntä palvelun tarjoamiseksi tai sen käyttämiseksi. Välttämätön on esimerkiksi eväste, joka verkkokaupassa muistaa käyttäjän ostoskorin sisällön. Sen sijaan esimerkiksi kävijäseurantaan tai kohdennettuun mainontaan käytetyt evästeet eivät ole välttämättömiä, vaan niiden tallentamiselle ja käytölle on oltava käyttäjän ennakollinen suostumus.

Helsingin hallinto-oikeus on 8.4.2021 antanut kaksi ratkaisua Traficomin antamista evästepäätöksistä. Hallinto-oikeuden arvioitavana oli se, voidaanko evästeiden käytölle vaadittava suostumus katsoa annetun sivuston käyttäjän internet-selaimen asetuksilla, jotka sallivat evästeiden käytön. Hallinto-oikeus katsoi antamissaan ratkaisuissa, että kansallisessa sähköisen viestinnän palveluista annetussa laissa tarkoitettua suostumusta on tulkittava samoin kuin yleisessä tietosuoja-asetuksessa tarkoitettua suostumusta. Hallinto-oikeus vahvisti siis kannan, jonka mukaan evästeiden käytölle vaadittua suostumusta ei voida aikaansaada selainasetusten kautta. Hallinto-oikeus kumosi tutkittavana olleet Traficomin päätökset ja palautti ne uudelleen ratkaistavaksi. Hallinto-oikeuden päätöksistä ei ole valitettu 31.5.2021 mennessä.

Miten edetä?

Hallinto-oikeuden selkeytettyä evästesuostumusta koskevaa oikeustilaa, tulisi organisaatioiden viimeistään nyt kartoittaa omien verkkosivustojensa evästekäytännöt ja varmistaa, että ei-välttämättömiä evästeitä tallennetaan ja hyödynnetään ainoastaan käyttäjältä saadun ennakollisen suostumuksen nojalla. Yleisen tietosuoja-asetuksen mukaisen suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen toimi, eli:

• Käyttäjällä tulee olla tosiasiallinen mahdollisuus valita, hyväksyykö vai hylkääkö hän suostumusta koskevat ehdot. Kieltäytymisen ja suostumuksen peruuttamisen tulee olla yhtä helppoa kuin suostumuksen antamisen. Evästeiden käytöstä kieltäytyminen ei saa aiheuttaa käyttäjälle haittaa, vaan sivustoa on päästävä käyttämään normaalisti myös ilman evästeiden hyväksyntää.
• Käyttäjän tulee ilmaista suostumuksensa evästeiden käyttöön selkeästi ja aktiivisella toimella. Pätevää suostumusta ei voida antaa esimerkiksi valmiiksi rastitetulla ruudulla.
• Suostumuksen tulee olla informoitu, eli käyttäjälle on kerrottava evästeiden käytön tarkoituksesta selkeällä ja helposti ymmärrettävällä tavalla.

Avustamme joustavasti erilaisissa tietosuojaan liittyvissä kysymyksissä. Tutustu myös valmiisiin tietosuojapaketteihimme, joilla organisaation tietosuoja saadaan kokonaisuudessaan vastaamaan sille lainsäädännössä asetettuja vaatimuksia. Ota yhteyttä, jos haluat kuulla palveluistamme lisää.