Evästelait maittain: EU- ja ETA-opas
Vaikka ePrivacy-direktiivi ja GDPR muodostavat yhteisen kehyksen koko Euroopan unionissa, jokainen jäsenvaltio on saattanut ePrivacy-direktiivin osaksi kansallista lainsäädäntöään omine vivahteineen. Valvonnan tiukkuus, poikkeusten tulkinta ja sakkojen suuruus vaihtelevat merkittävästi maittain. Tämä opas käsittelee kahdentoista keskeisen Euroopan markkinan evästelakien tärkeimmät erityispiirteet.
Pikakatsaustaulukko
| Maa | Viranomainen | Kansallinen laki | Valvonnan taso | Huomionarvoista |
|---|---|---|---|---|
| Saksa | Osavaltioiden tietosuojaviranomaiset + BfDI | TTDSG (2021) | Korkea | Hajautettu valvonta; PIMS-kehys |
| Ranska | CNIL | Loi Informatique et Libertés | Erittäin korkea | Ennätysmäiset sakot; yksityiskohtaiset evästeohjeet |
| Italia | Garante | Tietosuojalaki (D.Lgs. 196/2003) | Korkea | Kattavat vuoden 2021 evästeohjeet |
| Espanja | AEPD | LSSI-CE + LOPDGDD | Kohtalainen | Historiaa analytiikan poikkeuskeskustelusta |
| Alankomaat | AP | Telecommunicatiewet | Korkea | Tiukka evästemuurien kielto |
| Belgia | APD/GBA | ePrivacy-laki (2012) | Kohtalainen | IAB Europe TCF -päätös |
| Itävalta | DSB | TKG 2021 | Kohtalainen–korkea | Varhaiset Google Analytics -päätökset |
| Tanska | Datatilsynet | Cookiebekendtgørelsen | Kohtalainen | Lisääntyvä valvonta vuodesta 2022 |
| Ruotsi | IMY | LEK (2003:389) | Kohtalainen–korkea | Merkittäviä sakkoja 2023–2024 |
| Irlanti | DPC | SI 336/2011 | Kohtalainen | Suurten teknologiayhtiöiden keskus; valvonnan tahtia kritisoitu |
| Puola | UODO | Telelaki | Kohtalainen | Kasvava valvontatoiminta |
| Norja | Datatilsynet | Ekomloven | Kohtalainen | ETA-jäsen; seuraa tiiviisti EDPB:n ohjeistusta |
Saksa
Valvontaviranomainen: Liittovaltion tietosuojavaltuutettu (BfDI) liittovaltiotasolla sekä 16 osavaltion tietosuojaviranomaista (Landesdatenschutzbehörden).
Kansallinen laki: Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), joka astui voimaan 1. joulukuuta 2021, kokosi yhteen Saksan evästesäännöt. TTDSG:n pykälä 25 saattaa osaksi kansallista lainsäädäntöä ePrivacy-direktiivin 5 artiklan 3 kohdan, edellyttäen suostumusta tietojen tallentamiseen tai käyttämiseen loppukäyttäjän laitteilla, ellei tallentaminen ole ehdottoman välttämätöntä.
Keskeiset vaatimukset: TTDSG selvensi, että evästeitä koskevan suostumuksen on täytettävä GDPR-standardi. Saksan liittovaltion tuomioistuin (BGH) oli jo vahvistanut tämän Planet49-ratkaisun täytäntöönpanossa (toukokuu 2020) todeten, että ennalta rastitetut valintaruudut eivät riitä. TTDSG toi myös säännökset hyväksytyistä henkilötietojen hallintajärjestelmistä (PIMS), joiden avulla käyttäjät voisivat hallita suostumusasetuksiaan keskitetysti sen sijaan, että ne annetaan jokaisella verkkosivustolla erikseen – tosin PIMS-järjestelmiä koskevien täytäntöönpanosäännösten toteutuminen on ollut hidasta.
Valvonta: Saksan hajautettu valvontarakenne tarkoittaa, että evästevaatimusten valvonta vaihtelee osavaltioittain. Berliinin, Hampurin ja Baden-Württembergin tietosuojaviranomaiset ovat olleet aktiivisimpien joukossa. Tietosuojaviranomaisten konferenssi (DSK) antaa ajoittain yhteisiä kannanottoja evästesuostumusta koskeviin vaatimuksiin.
Huomionarvoiset toimet: Useita tutkimuksia evästebannereista, jotka käyttivät hämäysmalleja (dark patterns), erityisesti "tuuppaavia" suunnitteluratkaisuja, joissa hyväksymispainike oli visuaalisesti korostettu ja hylkäysvaihtoehto häivytetty. Sakot ovat yleisesti olleet Ranskaa pienempiä, mutta valvontatoiminta on lisääntynyt tasaisesti TTDSG:n voimaantulon jälkeen.
Ranska
Valvontaviranomainen: Commission Nationale de l'Informatique et des Libertés (CNIL).
Kansallinen laki: Loi Informatique et Libertés (laki nro 78-17), jota muutettiin ePrivacy-direktiivin täytäntöönpanemiseksi. CNIL antoi kattavat evästeohjeet syyskuussa 2020, ja niiden noudattamiselle asetettu siirtymäaika päättyi 31. maaliskuuta 2021.
Keskeiset vaatimukset: Ranska on tiukin suuri EU-markkina evästevaatimusten osalta. CNIL:n ohjeet edellyttävät: suostumusta ennen minkään ei-välttämättömän evästeen asettamista; hylkäysvaihtoehtoa bannerin ensimmäisellä tasolla, joka on yhtä helppokäyttöinen kuin hyväksymisvaihtoehto; ei evästemuureja (rajoitetuin poikkeuksin, jotka Conseil d'État on vahvistanut); yksityiskohtaisia tietoja jokaisen evästeen tarkoituksesta.
Yleisömittauksen poikkeus: CNIL tarjoaa rajoitetun poikkeuksen yleisömittausevästeille, jotka täyttävät tiukat ehdot: työkalu on määritettävä tuottamaan vain anonyymejä tilastotietoja, evästeiden on rajoituttava julkaisijan sivustoon, evästeen elinaika ei saa ylittää 13 kuukautta, eikä tietoja saa yhdistää muuhun käsittelyyn. Työkalut kuten Matomo (tietyllä konfiguraatiolla) ja AT Internet on tunnustettu tämän poikkeuksen piiriin. Google Analytics ei täytä ehtoja.
Huomionarvoiset sakot: Ranska on määrännyt Euroopan suurimmat evästeisiin liittyvät sakot. Google LLC:lle määrättiin 150 miljoonan euron sakko joulukuussa 2021 evästeiden hylkäämisen tekemisestä vaikeammaksi kuin hyväksymisen. Facebookille määrättiin 60 miljoonan euron sakko samassa yhteydessä. Microsoftille määrättiin 60 miljoonan euron sakko joulukuussa 2022. TikTokille määrättiin 5 miljoonan euron sakko joulukuussa 2022. Criteolle määrättiin 40 miljoonan euron sakko kesäkuussa 2023. Yhteensä CNIL on määrännyt yli 400 miljoonaa euroa evästekohtaisia sakkoja.
Italia
Valvontaviranomainen: Garante per la protezione dei dati personali (Garante).
Kansallinen laki: Tietosuojalaki (Decreto Legislativo 196/2003), jota muutettiin GDPR:n mukaiseksi. Garante antoi kattavat evästeohjeet 10. kesäkuuta 2021, ja niiden noudattamista edellytettiin 10. tammikuuta 2022 mennessä.
Keskeiset vaatimukset: Garanten vuoden 2021 ohjeet ovat Euroopan yksityiskohtaisimpien joukossa. Ne edellyttävät: ensimmäisen tason banneria, jossa on hyväksymispainike ja näkyvästi esillä oleva hylkäyspainike (merkitty "X":llä tai "Jatka hyväksymättä" -tekstillä); ensimmäisestä bannerista saavutettavaa toista tasoa, jossa on evästekategorioiden yksityiskohtaiset hallintavaihtoehdot; selailu ei nimenomaisesti muodosta suostumusta; evästesuostumus on pyydettävä uudelleen enintään 6 kuukauden kuluttua.
Huomionarvoista: Garante esitteli käsitteen, jonka mukaan evästebannereissa on oltava erillinen "sulje"-painike sen sijaan, että selailun jatkaminen tulkittaisiin hylkäämiseksi. Ohjeissa käsiteltiin myös evästeanalytiikkaa edellyttäen suostumusta kaikelle kolmannen osapuolen analytiikalle ja salliman rajoitetun poikkeuksen vain oman sivuston analytiikkatyökaluille asianmukaisesti anonymisoidulla datalla.
Espanja
Valvontaviranomainen: Agencia Española de Protección de Datos (AEPD).
Kansallinen laki: Ley de Servicios de la Sociedad de la Información (LSSI-CE) ja Ley Orgánica de Protección de Datos (LOPDGDD).
Keskeiset vaatimukset: Espanja omaksui alun perin lievemmän lähestymistavan evästevaatimuksiin, ja AEPD:n vuoden 2013 evästeopas ehdotti, että tiettyjä analytiikkaevästeitä voitaisiin käyttää oikeutetun edun perusteella. AEPD on kuitenkin asteittain mukautunut tiukempaan eurooppalaiseen linjaan EDPB:n ohjeistuksen ja Planet49-ratkaisun myötä. Nykyinen AEPD:n ohjeistus edellyttää ennakkosuostumusta analytiikka- ja markkinointievästeille.
Huomionarvoiset toimet: AEPD määräsi Vueling Airlinesille 30 000 euron sakon vuonna 2020 evästebannerista, joka tarjosi vain hyväksymisvaihtoehdon ilman mahdollisuutta hylätä evästeitä. CaixaBankille määrättiin 6 miljoonan euron sakko vuonna 2021, osittain evästepohjaiseen seurantaan liittyvien tietojenkäsittelykäytäntöjen vuoksi. Viime aikoina AEPD on keskittynyt evästemuureihin ja suostumuskäyttöliittymien hämäysmalleihin.
Alankomaat
Valvontaviranomainen: Autoriteit Persoonsgegevens (AP).
Kansallinen laki: Telecommunicatiewet (telelaki), 11.7a artikla.
Keskeiset vaatimukset: Alankomaat on omaksunut yhden tiukimmista linjoista evästemuurien suhteen Euroopassa. AP on selkeästi todennut, että verkkosivustolle pääsyn ehdollistaminen evästeiden hyväksymiselle ei ole pätevä suostumus, koska suostumusta ei anneta "vapaaehtoisesti", jos vaihtoehtona on palvelun käytön menettäminen. AP edellyttää myös nimenomaista suostumusta ennen minkään seurantaevästeen asettamista ja on kritisoinut suostumuksenhallinta-alustoja, jotka käyttävät manipuloivaa suunnittelua.
Huomionarvoiset toimet: AP on tutkinut lukuisia verkkosivustoja evästevaatimusten laiminlyönneistä ja antanut nimenomaisesti evästebannereiden hämäysmalleihin kohdistuvaa ohjeistusta. Viranomainen osallistui myös hallinnollisten verkkosivustojen koordinoituihin evästetarkastuksiin. Vuonna 2024 AP lisäsi valvontatoimintaansa pienempiä organisaatioita kohtaan, mikä osoitti, että evästevaatimukset koskevat yritystä koosta riippumatta.
Belgia
Valvontaviranomainen: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).
Kansallinen laki: 13. kesäkuuta 2005 annettu laki sähköisestä viestinnästä, jota muutettiin 10. heinäkuuta 2012 annetulla lailla.
Keskeiset vaatimukset: Belgia noudattaa ePrivacy-direktiivin vakiovaatimuksia. Belgian tietosuojaviranomaisesta tuli globaalisti merkittävä evästesääntelyssä, kun se antoi helmikuussa 2022 päätöksen IAB Europen Transparency and Consent Frameworkista (TCF) todeten, että TCF:n suostumusmerkkijono muodostaa henkilötietoja ja että IAB Europe oli yhteisrekisterinpitäjä. Tämä päätös, jonka EU:n tuomioistuin vahvisti osittain maaliskuussa 2024, vaikuttaa jokaiseen verkkosivustoon, joka käyttää TCF:ää evästesuostumuksen hallintaan.
Huomionarvoista: IAB TCF -päätös lähetti järkytysaaltoja verkkomainonnan toimialalla, sillä TCF on Euroopassa laajimmin käytetty suostumuskehys ohjelmalliselle mainonnalle. Vaikka IAB Europe on toteuttanut muutoksia tietosuojaviranomaisen huolenaiheiden käsittelemiseksi, tapaus korosti niitä riskejä, joita liittyy toimialan itsensä suunnittelemiin suostumuskehyksiin, jotka eivät välttämättä täysin täytä GDPR:n vaatimuksia.
Itävalta
Valvontaviranomainen: Datenschutzbehörde (DSB).
Kansallinen laki: Telekommunikationsgesetz 2021 (TKG 2021), pykälä 165.
Keskeiset vaatimukset: Itävallan evästesäännöt noudattavat ePrivacy-direktiivin vakiokehystä. Itävallan DSB sai kansainvälistä huomiota tammikuussa 2022, kun siitä tuli ensimmäinen eurooppalainen tietosuojaviranomainen, joka päätti Google Analyticsin käytön rikkovan GDPR:ää, erityisesti henkilötietojen Yhdysvaltoihin siirtämisen osalta Schrems II -ratkaisun jälkeen. Vaikka kyse oli ensisijaisesti tietojen siirtoon liittyvästä asiasta, sillä oli suoria vaikutuksia evästevaatimuksiin, sillä Google Analytics -evästeiden todettiin muodostavan kolmanteen maahan ilman riittäviä suojatoimia siirrettyjä henkilötietoja.
Huomionarvoista: Google Analytics -päätös laukaisi vastaavien päätösten sarjan ympäri Eurooppaa (Ranska, Italia ja muut seurasivat perässä) ja vauhditti yksityisyyttä suojaavien analytiikkavaihtoehtojen kehitystä. DSB on jatkanut aktiivista toimintaa eväste- ja seurantateknologiakysymyksissä.
Tanska
Valvontaviranomainen: Datatilsynet.
Kansallinen laki: Cookiebekendtgørelsen (asetus tietojen tallentamiseen tai käyttöön loppukäyttäjän päätelaitteessa vaadittavasta tiedosta ja suostumuksesta), joka panee täytäntöön ePrivacy-direktiivin säännökset.
Keskeiset vaatimukset: Tanska edellyttää suostumusta kaikille evästeille lukuun ottamatta niitä, jotka ovat ehdottoman välttämättömiä käyttäjän nimenomaisesti pyytämälle palvelulle. Datatilsynet on antanut ohjeistusta, joka vahvistaa, että analytiikkaevästeet edellyttävät suostumusta ja että selailun jatkaminen ei muodosta pätevää suostumusta. Tanskan ohjeistus on yhä enemmän mukautunut CNIL:n ja EDPB:n tiukempiin linjoihin.
Huomionarvoiset toimet: Datatilsynet on lisännyt evästevalvontaansa vuodesta 2022 lähtien tutkien sekä julkisen että yksityisen sektorin verkkosivustoja. Vuonna 2023 viranomainen antoi päätöksiä useita tanskalaisia verkkosivustoja vastaan riittämättömistä evästesuostumusmekanismeista, mukaan lukien tapauksia, joissa hylkäysvaihtoehto ei ollut riittävän näkyvä. Datatilsynet on käsitellyt myös Google Analyticsin ja Meta-seurantapikselien käyttöä tanskalaisilla verkkosivustoilla määräten useita organisaatioita lopettamaan näiden työkalujen käytön ilman asianmukaista suostumusta ja tietojensiirron suojatoimia.
Ruotsi
Valvontaviranomainen: Integritetsskyddsmyndigheten (IMY).
Kansallinen laki: Lag om elektronisk kommunikation (LEK, 2003:389).
Keskeiset vaatimukset: Ruotsi on siirtynyt suhteellisen vähäisestä evästevalvonnasta merkittäviin toimiin viime vuosina. IMY antoi ensimmäiset merkittävät evästeisiin liittyvät sakkonsa vuonna 2023 kohdistaen ne neljälle yritykselle (mukaan lukien Tele2, CDON, Dagens Industri ja Coop) yhteensä yli 100 miljoonan Ruotsin kruunun (noin 9 miljoonan euron) arvosta Google Analyticsin käytöstä ja henkilötietojen jakamisesta Googlelle ilman pätevää suostumusta tai riittäviä tietojensiirron suojatoimia.
Huomionarvoista: Vuoden 2023 valvontatoimet merkitsivät merkittävää muutosta Ruotsin lähestymistavassa. IMY teki yhteistyötä muiden Pohjoismaiden tietosuojaviranomaisten kanssa ja seurasi Itävallan DSB:n ja Ranskan CNIL:n Google Analyticsia koskevia ennakkotapauksia. Sakot olivat suurimpia, joita mikään Pohjoismaiden tietosuojaviranomainen on määrännyt, ja ne osoittivat, että Ruotsin valvonta on nyt tiukimpien eurooppalaisten viranomaisten tasolla.
Irlanti
Valvontaviranomainen: Data Protection Commission (DPC).
Kansallinen laki: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).
Keskeiset vaatimukset: Irlanti noudattaa ePrivacy-direktiivin vakiokehystä. DPC:n rooli johtavana valvontaviranomaisena monille Irlantiin päämajansa sijoittaneille suurille teknologiayhtiöille (mukaan lukien Meta, Google, Apple, Microsoft ja TikTok) on kuitenkin antanut sille poikkeuksellisen suuren merkityksen Euroopan tietosuojassa. DPC on antanut ohjeistusta evästevaatimuksista ja tehnyt tarkastuksia sekä julkisen että yksityisen sektorin verkkosivustoilla.
Huomionarvoista: DPC on kohdannut kritiikkiä muilta eurooppalaisilta tietosuojaviranomaisilta ja Euroopan parlamentilta valvontansa koetusta hitaudesta suuria teknologiayhtiöitä kohtaan. DPC on kuitenkin määrännyt merkittäviä GDPR-sakkoja, mukaan lukien 1,2 miljardin euron sakko Metalle vuonna 2023 tietojen siirroista. Nimenomaan evästeiden osalta DPC teki verkkosivustotarkastuksia vuosina 2020 ja 2021 antaen vaatimustenmukaisuussuosituksia lukuisille organisaatioille. DPC:n suorat evästekohtaiset sakot ovat olleet suhteellisen maltillisia CNIL:ään verrattuna.
Puola
Valvontaviranomainen: Urząd Ochrony Danych Osobowych (UODO).
Kansallinen laki: Telelaki (Prawo telekomunikacyjne), 173 artikla.
Keskeiset vaatimukset: Puola edellyttää suostumusta evästeille ePrivacy-direktiivin mukaisesti. UODO on antanut ohjeistusta, joka vahvistaa, että ennalta rastitetut ruudut ja selailun jatkaminen eivät muodosta pätevää suostumusta. Puolan lakiin sisältyy erityisiä säännöksiä tiedoista, jotka käyttäjille on annettava evästeistä, mukaan lukien tarkoitukset, rekisterinpitäjän henkilöllisyys ja ohjeet evästeasetusten hallintaan.
Huomionarvoista: Puolan evästevalvonta on lisääntynyt, ja UODO on tutkinut valituksia vaatimustenvastaisista evästebannereista ja tehnyt yhteistyötä televiranomaisen kanssa. UODO on osallistunut EU:n laajuisiin koordinoituihin valvontatarkastuksiin ja mukauttanut ohjeistuksensa EDPB:n suosituksiin.
Norja
Valvontaviranomainen: Datatilsynet (Norjan tietosuojaviranomainen – eri kuin samanniminen Tanskan viranomainen).
Kansallinen laki: Ekomloven (laki sähköisestä viestinnästä).
Keskeiset vaatimukset: Vaikka Norja ei ole EU:n jäsenvaltio, se on Euroopan talousalueen (ETA) jäsen ja on sisällyttänyt GDPR:n ja ePrivacy-direktiivin kansalliseen lainsäädäntöönsä ETA-sopimuksen kautta. Norjan Datatilsynet seuraa tiiviisti EDPB:n ohjeistusta ja on ollut aktiivinen evästevalvonnassa.
Huomionarvoiset toimet: Norjan Datatilsynet määräsi Grindrille 5 miljoonan euron sakon joulukuussa 2021 (myöhemmin muutoksenhaussa muutettu 6,5 miljoonaan euroon) käyttäjätietojen jakamisesta mainoskumppaneille ilman pätevää suostumusta. Vaikka kyse oli ensisijaisesti tietojen jakamiseen liittyvästä suostumustapauksesta eikä nimenomaisesti evästeistä, se loi tärkeitä ennakkotapauksia seurantateknologioiden suostumusvaatimuksille. Viranomainen on myös tutkinut Google Analyticsin ja muiden seurantatyökalujen käyttöä norjalaisilla verkkosivustoilla.
Keskeiset huomiot
Kansallisen täytäntöönpanon ja valvonnan vaihtelusta huolimatta useat periaatteet ovat yhdenmukaisia kaikissa EU- ja ETA-maissa:
- Suostumus vaaditaan ennen minkään ei-välttämättömän evästeen asettamista. Mikään Euroopan maa ei hyväksy puhdasta opt-out-mallia evästeille.
- Suostumuksen on täytettävä GDPR-standardi: vapaaehtoisesti annettu, yksilöity, tietoinen, yksiselitteinen ja osoitettu selkeällä myöntävällä toimenpiteellä.
- Hylkäämisen on oltava yhtä helppoa kuin hyväksymisen. Vaikka tarkka toteutus voi vaihdella (erillinen painike, X-sulkeminen jne.), periaate siitä, että evästeiden hylkäämisen on oltava yhtä helppoa kuin niiden hyväksymisen, on yleismaailmallinen.
- Valvonta lisääntyy kaikkialla. Aiemmin lievät maat määräävät nyt sakkoja ja tekevät virallisia päätöksiä. Ei ole olemassa "turvallista" eurooppalaista lainkäyttöaluetta vaatimusten laiminlyönnille.
- Koordinoitu valvonta kasvaa. Tietosuojaviranomaiset tekevät yhä enemmän yhteistyötä EDPB:n kautta ja toteuttavat koordinoituja tarkastuksia, mikä tarkoittaa, että vaatimusten laiminlyönti yhdessä maassa herättää todennäköisesti huomiota myös muissa.
Noudattaako verkkosivustosi evästesääntöjä?
Skannaa verkkosivustosi ilmaiseksi ja löydä kaikki evästeet muutamassa minuutissa.
Skannaa evästeesi ilmaiseksi