Skip to main content

ePrivacy-direktiivi: EU:n evästelaki selitettynä

Kun ihmiset puhuvat "EU:n evästelaista", he viittaavat yleensä ePrivacy-direktiiviin — erityisesti sen artiklaan 5(3). Vaikka GDPR saa suurimman osan otsikoista, ePrivacy-direktiivi on säädös, joka suoraan ohjaa evästeiden ja vastaavien seurantatekniikoiden käyttöä. Tämän direktiivin, sen suhteen GDPR:ään ja tulevan ePrivacy-asetuksen ymmärtäminen on olennaista jokaiselle, joka vastaa evästeiden vaatimustenmukaisuudesta eurooppalaisella verkkosivustolla.

Mikä on ePrivacy-direktiivi?

ePrivacy-direktiivi (virallisesti direktiivi 2002/58/EY) hyväksyttiin 12. heinäkuuta 2002 osana EU:n televiestinnän yksityisyydensuojan kehystä. Alun perin se keskittyi yksityisyyteen sähköisessä viestinnässä — kattaen aiheita kuten viestinnän luottamuksellisuus, liikennetiedot, roskaposti ja soittajan tunnistus.

Vuonna 2009 direktiiviä muutettiin merkittävästi direktiivillä 2009/136/EY (jota usein kutsutaan "kansalaisten oikeuksia koskevaksi direktiiviksi"). Tämä muutos toi mukanaan tänä päivänä tuntemamme evästeitä koskevan suostumusvaatimuksen, korvaten aiemman opt-out-mallin opt-in-mallilla. Ennen vuotta 2009 verkkosivustojen tarvitsi vain informoida käyttäjiä evästeistä ja antaa heille oikeus kieltäytyä. Vuoden 2009 jälkeen ennakkosuostumuksesta tuli pakollinen kaikkien ei-välttämättömien evästeiden osalta.

Toisin kuin GDPR, joka on asetus (suoraan sovellettavissa kaikissa jäsenvaltioissa), ePrivacy-direktiivi on direktiivi (jokaisen jäsenvaltion on saatettava se osaksi kansallista lainsäädäntöään). Tämä tarkoittaa, että evästeitä koskevat konkreettiset säännöt vaihtelevat maittain, vaikka perusvaatimukset ovatkin samat.

Artikla 5(3): evästesuostumusta koskeva sääntö

ePrivacy-direktiivin artikla 5(3) on säännös, joka suoraan ohjaa evästeitä. Muutetussa muodossaan siinä todetaan:

"Jäsenvaltioiden on varmistettava, että tietojen tallentaminen tai jo tallennettuihin tietoihin pääsyn hankkiminen tilaajan tai käyttäjän päätelaitteeseen sallitaan ainoastaan sillä edellytyksellä, että asianomainen tilaaja tai käyttäjä on antanut suostumuksensa saatuaan selkeät ja kattavat tiedot [tietosuojadirektiivin, nykyisin GDPR:n] mukaisesti, muun muassa käsittelyn tarkoituksista."

Tämä säännös asettaa useita keskeisiä vaatimuksia:

  1. Soveltamisala: Se kattaa kaiken tiedon tallentamisen käyttäjän laitteelle sekä pääsyn käyttäjän laitteelle tallennettuihin tietoihin. Tämä sisältää evästeet, mutta myös paikallisen tallennuksen, IndexedDB:n, laitesormenjäljet, seurantapikselit ja kaikki muut tekniikat, jotka lukevat käyttäjän laitteelta tai kirjoittavat sinne.
  2. Ennakkosuostumus: Suostumus on saatava ennen tiedon tallentamista tai siihen pääsyä — ei jälkikäteen.
  3. Tietoinen suostumus: Käyttäjälle on annettava selkeät ja kattavat tiedot tallentamisen tai pääsyn tarkoituksista.
  4. Suostumuksen taso: Viittaus GDPR:ään (alun perin tietosuojadirektiiviin) tarkoittaa, että GDPR:n suostumuksen määritelmää ja ehtoja sovelletaan. Suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen.

"Ehdottoman välttämättömän" poikkeus

Artikla 5(3) sisältää tärkeän poikkeuksen toisessa virkkeessään:

"Tämä ei estä sellaista teknistä tallentamista tai sellaista pääsyä tietoihin, jonka ainoana tarkoituksena on toteuttaa viestinnän välittäminen sähköisessä viestintäverkossa tai joka on ehdottoman välttämätöntä tietoyhteiskunnan palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai käyttäjä on nimenomaisesti pyytänyt."

Tämä poikkeus kattaa kaksi evästeiden luokkaa, jotka eivät vaadi suostumusta:

  1. Viestinnän välittämiseen tarvittavat evästeet (esim. kuormantasausevästeet).
  2. Evästeet, jotka ovat ehdottoman välttämättömiä käyttäjän nimenomaisesti pyytämän palvelun tarjoamiseksi (esim. ostoskoriin liittyvät evästeet, todennusistuntoevästeet, käyttäjän aktiivisesti käyttämään palveluun liittyvät asetusevästeet).

Euroopan tietosuojaneuvoston edeltäjä, 29 artiklan mukainen tietosuojatyöryhmä, antoi yksityiskohtaisen ohjeistuksen siitä, mitkä evästeet luokitellaan ehdottoman välttämättömiksi lausunnossa 04/2012. Esimerkkejä:

  • Poikkeuksen piirissä (ei suostumusta tarvita): käyttäjän syötteeseen liittyvät istuntoevästeet (monivaiheiset lomakkeet), todennusevästeet, ostoskorievästeet, tietoturvaevästeet (CSRF-tunnisteet), multimediasoittimen istuntoevästeet, kuormantasausevästeet, käyttöliittymän mukauttamiseen liittyvät evästeet (kielivalinta) nykyisen istunnon ajaksi.
  • Ei poikkeuksen piirissä (suostumus vaaditaan): analytiikkaevästeet (mukaan lukien Google Analytics), mainosevästeet, sosiaalisen median jakamis-/seurantaevästeet, istunnon yli säilyvät pysyvät asetusevästeet, kaikki kolmannen osapuolen seurantaevästeet.

Ratkaiseva ero on niiden evästeiden välillä, jotka palvelevat käyttäjän nimenomaista pyyntöä, ja niiden, jotka palvelevat verkkosivuston ylläpitäjän intressejä. Kielivalintaeväste, joka asetetaan käyttäjän klikattua kielivalitsinta, on ehdottoman välttämätön. Analytiikkaeväste, joka asetetaan auttamaan sivuston ylläpitäjää ymmärtämään liikennettä, ei ole — vaikka ylläpitäjä pitäisikin sitä tärkeänä.

Miten ePrivacy ja GDPR toimivat yhdessä

ePrivacy-direktiivin ja GDPR:n välinen suhde on lex specialis (erityislaki) ja lex generalis (yleislaki) -tyyppinen. ePrivacy-direktiivi on erityislaki, joka koskee yksityisyyttä sähköisessä viestinnässä, kun taas GDPR on yleinen tietosuojakehys.

Käytännössä:

  • ePrivacy-direktiivi määrittää, saatko sijoittaa evästeen käyttäjän laitteelle. Se edellyttää suostumuksen ei-välttämättömiin evästeisiin riippumatta siitä, sisältääkö eväste henkilötietoja.
  • GDPR määrittää, mikä on pätevä suostumus ja miten voit käsitellä evästeiden kautta kerättyjä henkilötietoja. Se tarjoaa myös täytäntöönpanokehyksen, mukaan lukien oikeuden tehdä valituksia tietosuojaviranomaisille sekä merkittävän sakkojärjestelmän.

Tämä tarkoittaa, että jopa eväste, joka ei sisällä henkilötietoja (esimerkiksi satunnaisesti luotu analytiikkatunniste ilman yhteyttä muihin tietoihin), vaatii silti suostumuksen ePrivacy-direktiivin nojalla, koska artikla 5(3) koskee kaikkea tallentamista käyttäjän laitteelle — ei pelkästään henkilötietojen tallentamista.

Toisaalta, jos käsittelet henkilötietoja evästeiden kautta, sinun on noudatettava koko GDPR-kehystä: laillista käsittelyperustetta, läpinäkyvyyttä, rekisteröityjen oikeuksia, tietosuojaa koskevia vaikutustenarviointeja ja kaikkia muita velvoitteita.

Kansalliset toteutukset

Koska ePrivacy-direktiivi on direktiivi eikä asetus, jokainen EU:n jäsenvaltio on saattanut sen osaksi kansallista lainsäädäntöään jossain määrin eri tavoin. Vaikka ydinvaatimus — suostumus ennen ei-välttämättömiä evästeitä — on yhtenäinen kaikissa jäsenvaltioissa, merkittäviä eroja on:

  • Valvonnan intensiteetissä: Ranska (CNIL) ja Italia (Garante) ovat olleet aktiivisimpia evästeiden valvonnassa, kun taas muut maat ovat suunnanneet resurssinsa muualle.
  • Erityisissä poikkeuksissa: Jotkin maat ovat omaksuneet hieman laajemman tai suppeamman tulkinnan "ehdottoman välttämättömän" poikkeuksesta.
  • Analytiikkaevästeissä: Jotkin tietosuojaviranomaiset ovat selvittäneet, voisivatko asianmukaisesti konfiguroidut, yksityisyyttä säilyttävät analytiikkatyökalut (esim. anonymisoitu analytiikka ilman ristiin sivustojen välistä seurantaa) täyttää oikeutetun edun perusteen edellytykset. Ranskan CNIL:n poikkeus yleisömittaustyökaluille tietyin ehdoin on tunnetuin esimerkki, joskin se on edelleen kiistanalainen.
  • Evästeseinissä: Evästeseinien (jotka edellyttävät suostumusta sivustolle pääsemiseksi) laillisuus vaihtelee lainkäyttöalueittain. Alankomaiden tietosuojaviranomainen ja EDPB ovat suhtautuneet niihin tiukan kielteisesti, kun taas Ranskan Conseil d'Etat piti niitä sallittuina tietyin ehdoin.

Ehdotettu ePrivacy-asetus

Euroopan komissio julkaisi ehdotuksen ePrivacy-asetukseksi tammikuussa 2017 tarkoituksenaan korvata ePrivacy-direktiivi ja yhdenmukaistaa evästesäännöt GDPR:n kanssa. Yli yhdeksän vuotta myöhemmin asetus on edelleen neuvotteluvaiheessa, mikä tekee siitä yhden EU:n historian pisimmistä lainsäädäntöprosesseista.

Ehdotetun asetuksen keskeiset muutokset

Vaikka lopullisesta tekstistä ei ole vielä sovittu, ehdotus ja sitä seuranneet neuvoston kannat ovat viitanneet useisiin merkittäviin muutoksiin:

  • Suora sovellettavuus: Asetuksena eikä direktiivinä ePrivacy-asetus soveltuisi yhtenäisesti kaikissa jäsenvaltioissa, poistaen nykyisen pirstaloitumisen.
  • Selainpohjainen suostumus: Varhaiset ehdotukset sisälsivät säännöksiä, joiden mukaan käyttäjät voisivat asettaa evästeasetuksensa selaintasolla sen sijaan, että vastaisivat yksittäisiin evästebannereihin jokaisella verkkosivustolla. Tämä yksinkertaistaisi merkittävästi käyttökokemusta, joskin tekniset ja poliittiset haasteet ovat huomattavia.
  • Laajennettu soveltamisala: Asetus ulotettaisiin kattamaan OTT-viestintäpalvelut (over-the-top) kuten WhatsApp ja Skype, joita nykyinen direktiivi ei kata.
  • Selkeämmät poikkeukset: Asetuksen tarkoituksena on selventää, mitkä evästetyypit on vapautettu suostumuksesta, mahdollisesti laajentaen poikkeuksen kattamaan tietyntyyppisen yleisömittauksen.
  • Metatietoja koskevat säännöt: Uudet säännökset, jotka koskevat viestinnän metatietojen (sijaintitiedot, yhteysajat) käsittelyä laajemmin kuin nykyinen direktiivi kattaa.
  • Yhdenmukaistettu valvonta: Asetus loisi yhtenäisen valvontamekanismin, joka todennäköisesti mallinnettaisiin GDPR:n yhden luukun periaatteen mukaisesti.

Nykytilanne ja aikataulu

Vuoden 2026 alussa ePrivacy-asetus on edelleen trilogineuvotteluissa Euroopan parlamentin, EU:n neuvoston ja Euroopan komission välillä. Edistyminen on ollut hidasta useissa kohdissa vallitsevien perustavanlaatuisten erimielisyyksien vuoksi, mukaan lukien selainpohjainen suostumusmekanismi, "ehdottoman välttämättömän" poikkeuksen soveltamisala sekä metatietojen käsittelyä koskevat säännöt.

Realistisin skenaario on, ettei asetusta viimeistellä ennen vuotta 2027 aikaisintaan, minkä lisäksi tulee 12–24 kuukauden siirtymäaika ennen sen voimaantuloa. Verkkosivustojen ylläpitäjien tulee jatkaa nykyisen ePrivacy-direktiivin noudattamista sellaisena kuin se on saatettu osaksi kansallista lainsäädäntöä, täydennettynä GDPR:n suostumuskehyksellä.

Käytännön vaikutukset verkkosivustojen omistajille

Tulevaan ePrivacy-asetukseen liittyvästä sääntelyepävarmuudesta huolimatta nykyiset säännöt ovat selkeät ja niitä valvotaan aktiivisesti. Verkkosivustojen omistajien tulisi:

  1. Käsitellä nykyistä sääntelyä lähtökohtana. Ei-välttämättömiä evästeitä koskeva suostumusvaatimus on vakiintunutta lainsäädäntöä koko EU:ssa. Älä odota ePrivacy-asetusta toteuttaaksesi vaatimustenmukaisuuden.
  2. Estää ei-välttämättömät evästeet ennen suostumusta. Tämä on teknisesti haastavin vaatimustenmukaisuuden osa-alue, mutta siitä ei voi tinkiä. Evästesuostumusmekanismisi on estettävä skriptejä asettamasta evästeitä, kunnes käyttäjä on aktiivisesti antanut suostumuksensa.
  3. Soveltaa GDPR:n suostumustasoa. Kun ePrivacy-direktiivi puhuu "suostumuksesta", se tarkoittaa GDPR:n mukaista suostumusta: vapaaehtoista, yksilöityä, tietoista, yksiselitteistä ja selkeällä myöntävällä toimella osoitettua.
  4. Dokumentoida ehdottoman välttämättömät evästeesi. Ylläpidä selkeää kirjanpitoa siitä, mitä evästeitä pidät ehdottoman välttämättöminä ja miksi. Ole valmis perustelemaan tämä luokittelu, jos tietosuojaviranomainen kyseenalaistaa sen.
  5. Seurata kansallista kehitystä. Koska ePrivacy-direktiivi on toteutettu eri tavoin kussakin maassa, pysy ajan tasalla niiden maiden tietosuojaviranomaisten ohjeistuksesta ja valvontatoiminnasta, joissa käyttäjäsi sijaitsevat.
  6. Valmistautua ePrivacy-asetukseen. Vaikka aikataulu on epävarma, suunta on selvä: yhdenmukaisemmat säännöt, mahdollisesti laajemmat suostumusmekanismit ja jatkuva painotus käyttäjän yksityisyyteen. Vankan suostumustenhallintajärjestelmän rakentaminen nyt tekee siirtymästä sujuvamman, kun se aikanaan koittaa.

ePrivacy-direktiivi saattaa olla yli kaksikymmentä vuotta vanha, mutta se on edelleen evästelainsäädännön kulmakivi Euroopassa. Yhdistettynä GDPR:n suostumuskehykseen ja kansallisten tietosuojaviranomaisten aktiivisiin valvontaohjelmiin se luo sääntely-ympäristön, jossa evästeiden vaatimustenmukaisuus ei ole valinnaista — se on oikeudellinen velvoite, jolla on todellisia taloudellisia seurauksia noudattamatta jättämisestä.

Noudattaako verkkosivustosi evästesääntöjä?

Skannaa verkkosivustosi ilmaiseksi ja löydä kaikki evästeet muutamassa minuutissa.

Skannaa evästeesi ilmaiseksi