Skip to main content

Evästesuostumus: mitä laki todella edellyttää

Evästesuostumus on yksi digitaalisen tietosuojan väärinymmärretyimmistä vaatimuksista. Monet yritykset uskovat olevansa vaatimustenmukaisia, koska ne näyttävät evästebannerin. Mutta banneri ei ole suostumus. Suostumus on tarkka juridinen käsite, jolla on täsmälliset vaatimukset – ja näiden vaatimusten täyttämättä jättäminen voi tarkoittaa, että koko tietojenkeruusi on lainvastaista.

Oikeudellinen perusta

Evästesuostumus nojaa kahteen oikeudelliseen pilariin:

Sähköisen viestinnän tietosuojadirektiivin (ePrivacy) 5 artiklan 3 kohta asettaa vaatimuksen: tietojen tallentaminen käyttäjän laitteelle tai niiden lukeminen laitteelta edellyttää käyttäjän suostumusta, ellei tallentaminen ole ehdottoman välttämätöntä käyttäjän nimenomaisesti pyytämän palvelun tarjoamiseksi. Tämä on sääntö, joka nimenomaisesti koskee evästeitä.

GDPR:n 4 artiklan 11 kohta määrittelee, mitä suostumus tarkoittaa: "rekisteröidyn suostumuksella tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen."

Nämä kaksi säännöstä toimivat yhdessä. ePrivacy-direktiivi kertoo, milloin suostumus tarvitaan (ei-välttämättömille evästeille). GDPR kertoo, millainen pätevä suostumus on. Molempien on täytyttävä.

Pätevän suostumuksen viisi vaatimusta

GDPR:n 4 artiklan 11 kohdan, 7 artiklan sekä EDPB:n suostumusta koskevien ohjeiden 05/2020 pohjalta pätevän evästesuostumuksen on täytettävä viisi kriteeriä:

1. Vapaaehtoinen

Käyttäjällä on oltava todellinen valinnanmahdollisuus. Suostumus ei ole vapaaehtoinen, jos:

  • Pääsy on ehdollistettu suostumukselle. Jos käyttäjä ei voi käyttää verkkosivustoa ilman kaikkien evästeiden hyväksymistä ("evästemuuri"), suostumus ei ole vapaaehtoinen. EDPB on vahvistanut tämän kannan, joskin jotkin kansalliset tietosuojaviranomaiset sallivat rajoitetut evästemuurit tietyissä olosuhteissa – erityisesti jos todellinen vaihtoehto on olemassa (kuten maksullinen, evästeetön versio).
  • Vallalla on merkittävä epätasapaino. Työnantajan ja työntekijän tai hallinnon ja kansalaisen välisissä suhteissa suostumus ei välttämättä ole aidosti vapaaehtoinen. Useimmilla verkkosivustoilla tämä on vähemmän merkityksellistä, mutta sillä on väliä julkishallinnon palveluissa ja intranet-alustoilla.
  • Kieltäytyminen on merkittävästi vaikeampaa kuin hyväksyminen. Jos "Hyväksy kaikki" on näkyvä painike ja "Hylkää kaikki" edellyttää siirtymistä asetusten kautta, suostumus ei ole vapaaehtoinen. Italian Garante ja Ranskan CNIL ovat molemmat antaneet nimenomaisen ohjeistuksen, jonka mukaan evästeiden hylkäämisen on oltava yhtä helppoa kuin niiden hyväksymisen.

2. Yksilöity

Suostumus on annettava kutakin erillistä tarkoitusta varten erikseen. Tämän vuoksi evästekategoriat ovat olemassa. Pätevän suostumusmekanismin on annettava käyttäjien hyväksyä analytiikkaevästeet ja hylätä markkinointievästeet tai päinvastoin. Kaikkien evästeiden niputtaminen yhteen "hyväksy"- tai "hylkää"-toimintoon ei täytä yksilöintivaatimusta – vaikka "Hyväksy kaikki"- ja "Hylkää kaikki" -pikavalintojen tarjoaminen kategoriakohtaisten hallintavalintojen ohella on hyväksyttävää.

3. Tietoinen

Ennen suostumuksen antamista käyttäjälle on kerrottava:

  • Kuka asettaa evästeet (verkkosivuston ylläpitäjä ja mahdolliset kolmannet osapuolet)
  • Mitä kukin evästekategoria tekee
  • Kuinka kauan evästeet ovat voimassa
  • Miten suostumus perutaan

Nämä tiedot on esitettävä selkeästi ja yleiskielellä. 5 000 sanan evästekäytäntö, joka on kätketty kolmen klikkauksen taakse, ei tee suostumuksesta "tietoista" missään mielekkäässä merkityksessä. Suostumusmekanismin ensimmäisen tason tulisi sisältää riittävästi tietoa, jotta käyttäjä voi tehdä tietoisen päätöksen.

4. Yksiselitteinen

Suostumus edellyttää selkeää suostumusta ilmaisevaa toimea. Käyttäjän on aktiivisesti tehtävä jotain ilmaistakseen suostumuksensa – painettava painiketta, rastitettava ruutu tai käännettävä kytkin.

Yksiselitteistä suostumusta EIVÄT muodosta:

  • Valmiiksi rastitetut valintaruudut. EU:n tuomioistuin totesi lopullisesti asiassa Planet49 (asia C-673/17, lokakuu 2019), etteivät valmiiksi rastitetut ruudut muodosta pätevää suostumusta. Tämä koskee evästesuostumusasetuksia, joissa kategoriat on oletusarvoisesti valittu.
  • Selailun jatkaminen. "Jatkamalla tämän sivuston käyttöä hyväksyt evästeet" ei ole pätevä suostumus. Pelkkä vierittäminen tai linkin klikkaaminen ei ole "yksiselitteinen tahdonilmaisu". Useat tietosuojaviranomaiset ovat vahvistaneet tämän, ja EDPB:n ohjeet ovat tästä yksiselitteisiä.
  • Selainasetukset. Sääntelyviranomaiset ovat hylänneet käyttäjän selainasetuksiin nojaamisen suostumuksen muotona. Verkkosivuston ylläpitäjän on hankittava suostumus suoraan.
  • Vaikeneminen tai passiivisuus. Jos käyttäjä sivuuttaa bannerin ja jatkaa selailua, se ei ole suostumus. Evästeitä ei tule asettaa ennen kuin käyttäjä on tehnyt aktiivisen valinnan.

5. Etukäteen annettu

Vaikka tätä ei ole lueteltu erillisenä elementtinä GDPR:n 4 artiklan 11 kohdassa, ePrivacy-direktiivi tekee selväksi, että suostumus on saatava ennen evästeiden asettamista. Tämä on vaatimus, jota monet verkkosivustot eivät edelleenkään täytä. Sivun latautuessa käynnistyvät skriptit – jotka asettavat analytiikka- ja markkinointievästeet ennen kuin käyttäjä on edes nähnyt suostumusbanneria – rikkovat tätä perustavanlaatuista vaatimusta.

Teknisesti tämä tarkoittaa, että ei-välttämättömät skriptit on estettävä, kunnes suostumus on annettu. Pelkkä bannerin näyttäminen samalla kun evästeitä jo asetetaan ei täytä etukäteissuostumuksen vaatimusta.

Millainen pätevä suostumus on käytännössä

Vaatimustenmukainen evästesuostumuksen toteutus:

  1. Estää kaikki ei-välttämättömät evästeet ennen kuin käyttäjä on ollut vuorovaikutuksessa suostumusmekanismin kanssa.
  2. Esittää selkeän ensimmäisen tason, joka selittää käytettävät evästekategoriat sekä mahdollisuudet hyväksyä tai hylätä kukin kategoria.
  3. Tarjoaa "Hyväksy kaikki"- ja "Hylkää kaikki" -valinnat samalla näkyvyyden tasolla – sama koko, sama visuaalinen paino, sama määrä vaadittuja klikkauksia.
  4. Ei käytä hämäysmalleja – ei harhaanjohtavia painikevärejä, ei piilotettuja hylkäysvaihtoehtoja, ei sekavaa kieltä, ei ohjailua kohti hyväksyntää.
  5. Linkittää yksityiskohtaiseen evästekäytäntöön, jossa luetellaan jokainen eväste nimeltä, tarkoituksineen, kestoineen ja palveluntarjoajineen.
  6. Kirjaa suostumuksen aikaleiman kera sekä ne tietyt kategoriat, jotka käyttäjä hyväksyi tai hylkäsi.
  7. Käynnistää vain asiaankuuluvat skriptit sen jälkeen, kun suostumus on annettu kyseiselle kategorialle.

Suostumuksen elinkaari

Suostumus ei ole kertaluonteinen tapahtuma. Sillä on elinkaari, jota toteutuksesi on tuettava:

Kerääminen

Ensimmäinen käynti: näytä suostumusmekanismi, estä ei-välttämättömät evästeet, odota käyttäjän toimintaa.

Tallentaminen

Kun suostumus annetaan, tallenna käyttäjän valinta ehdottoman välttämättömään evästeeseen (tämä eväste ei vaadi suostumusta, koska se on tarpeen käyttäjän tietosuoja-asetusten kunnioittamiseksi). Tallenna myös palvelinpuolen tietue todisteeksi suostumuksesta.

Soveltaminen

Seuraavilla sivunlatauksilla lue suostumuseväste ja käynnistä vain ne skriptit, jotka vastaavat käyttäjän hyväksymiä kategorioita. Älä näytä banneria uudelleen – kunnioita tallennettua valintaa.

Peruuttaminen

GDPR:n 7 artiklan 3 kohta on yksiselitteinen: "Suostumuksen peruuttaminen on oltava yhtä helppoa kuin sen antaminen." Verkkosivustosi on tarjottava pysyvä, helposti saavutettava tapa muuttaa evästeasetuksia milloin tahansa. Yleinen ratkaisu on alatunnisteessa oleva pieni kuvake tai linkki, joka avaa suostumuksen hallintakäyttöliittymän uudelleen.

Uusiminen

Suostumus ei kestä ikuisesti. CNIL suosittelee suostumuksen uusimista 13 kuukauden välein. EDPB ei ole asettanut tiettyä kestoa, mutta edellyttää, että suostumus pysyy pätevänä ja että käyttäjän valinta vastaa edelleen hänen todellisia toiveitaan. Paras käytäntö on kysyä uudelleen vähintään kerran vuodessa tai aina, kun evästeiden käyttösi muuttuu merkittävästi.

Muutokset

Jos lisäät uusia evästeitä, uusia kolmannen osapuolen palveluita tai uusia tarkoituksia, olemassa oleva suostumus ei välttämättä enää kata niitä. Käyttäjiltä tulisi kysyä uudelleen suostumusta (tai kieltäytymistä) uutta käsittelyä varten.

Suostumustietueet ja todisteet

GDPR:n 7 artiklan 1 kohta toteaa: "Jos käsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen." Evästesuostumuksen osalta tämä tarkoittaa, että sinun on ylläpidettävä tietueita seuraavista:

  • Milloin suostumus annettiin (aikaleima)
  • Mihin käyttäjä antoi suostumuksensa (mitkä kategoriat hyväksyttiin, mitkä hylättiin)
  • Miten suostumus kerättiin (miltä suostumusmekanismi näytti tuolloin – versiotunniste tai kuvakaappaus)
  • Kuka antoi suostumuksen (yleensä anonymisoitu tunniste, ei käyttäjän nimi)

Jos sääntelyviranomainen pyytää sinua todistamaan, että tietty eväste asetettiin pätevällä suostumuksella, nämä tietueet ovat puolustuksesi. Ilman niitä sinulla ei ole todisteita siitä, että suostumusmekanismisi toimii – ja todistustaakka on sinulla, ei sääntelyviranomaisella.

Yleisiä suostumusvirheitä

Euroopan laajuisten valvontatoimien perusteella nämä ovat useimmin sanktioidut suostumusvirheet:

  1. Evästeet asetettu ennen suostumusta. Analytiikka- ja markkinointiskriptit käynnistyvät sivun latautuessa, ennen kuin käyttäjä on vuorovaikutuksessa bannerin kanssa.
  2. Ei hylkäysvaihtoehtoa ensimmäisellä tasolla. Käyttäjiä vaaditaan klikkaamaan "Asetukset" tai "Hallitse asetuksia" hylätäkseen evästeet, kun taas "Hyväksy kaikki" on välittömästi saatavilla.
  3. Valmiiksi valitut kategoriat. Suostumuskytkimet, jotka ovat oletusarvoisesti "päällä" analytiikan ja markkinoinnin osalta.
  4. Ei tapaa peruuttaa suostumusta. Kun banneri on suljettu, käyttäjällä ei ole mitään tapaa muuttaa valintaansa.
  5. Suostumusmuuri / evästemuuri. Sisältöön pääsyn estäminen, ellei kaikkia evästeitä hyväksytä.
  6. Harhaanjohtava suunnittelu. Vihreän värin käyttö "Hyväksy"-painikkeessa ja harmaan "Hylkää"-painikkeessa, hyväksymispainikkeen tekeminen suuremmaksi tai sekavan kielen käyttö, kuten "Jatka hyväksymättä" vs. "Hyväksy ja jatka".

Passiro skannaa verkkosivustosi evästesuostumuksen toteutuksen ja tarkistaa nämä yleiset virheet, mikä auttaa sinua tunnistamaan ja korjaamaan vaatimustenmukaisuuden puutteet ennen kuin sääntelyviranomainen tekee sen.

Seuraavaksi: milloin suostumus tarkalleen ottaen vaaditaan? Vastaus sisältää muutamia tärkeitä vivahteita, mukaan lukien ehdottoman välttämättömien evästeiden poikkeus ja jatkuva keskustelu ensimmäisen osapuolen analytiikasta.

Noudattaako verkkosivustosi evästesääntöjä?

Skannaa verkkosivustosi ilmaiseksi ja löydä kaikki evästeet muutamassa minuutissa.

Skannaa evästeesi ilmaiseksi