Skip to main content

GDPR ja evästeet: kattava opas vaatimustenmukaisuuteen

Yleinen tietosuoja-asetus (GDPR) muutti perusteellisesti sen, miten verkkosivustot käsittelevät evästeitä, kun se astui voimaan 25. toukokuuta 2018. Vaikka ePrivacy-direktiivi on evästeitä säätelevä ensisijainen EU-laki, GDPR:ää sovelletaan aina, kun evästeet käsittelevät henkilötietoja — mikä käytännössä tarkoittaa lähes aina. GDPR:n soveltamisen ymmärtäminen evästeisiin on olennaista jokaiselle verkkosivustolle, joka toimii Euroopan talousalueella tai kohdistaa toimintansa sen käyttäjiin.

Miten GDPR:ää sovelletaan evästeisiin

GDPR ei mainitse evästeitä nimeltä. Sen sijaan se säätelee henkilötietojen käsittelyä, jotka määritellään 4 artiklan 1 kohdassa kaikiksi tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviksi tiedoiksi. GDPR:n johdanto-osan 30 kappaleessa todetaan nimenomaisesti, että verkkotunnisteita — evästetunnisteet mukaan lukien — voidaan käyttää luonnollisten henkilöiden profiilien luomiseen ja heidän tunnistamiseensa. Tämä tarkoittaa, että mikä tahansa yksilöllisen tunnisteen sisältävä tai siihen liitetty eväste muodostaa GDPR:n mukaisen henkilötiedon.

Käytännössä tämä kattaa lähes kaikki evästeet perustavimpia toiminnallisia evästeitä lukuun ottamatta. Analytiikkaevästeet, jotka määrittävät yksilöllisen kävijätunnuksen, mainosevästeet, jotka seuraavat selauskäyttäytymistä, ja jopa käyttäjätiliin sidotut istuntoevästeet käsittelevät kaikki henkilötietoja ja kuuluvat siksi GDPR:n vaatimusten piiriin.

6 artikla: käsittelyn oikeusperuste

GDPR:n 6 artiklan mukaan jokainen henkilötietojen käsittelytapahtuma edellyttää oikeusperustetta. Evästeisiin liittyvässä käsittelyssä vedotaan yleisimmin kahteen perusteeseen:

  • Suostumus (6 artiklan 1 kohdan a alakohta): Rekisteröity on antanut suostumuksensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten. Tämä on ensisijainen oikeusperuste useimmalle evästeiden käsittelylle, erityisesti analytiikka-, markkinointi- ja mainosevästeille.
  • Oikeutettu etu (6 artiklan 1 kohdan f alakohta): Käsittely on tarpeen rekisterinpitäjän oikeutettujen etujen toteuttamiseksi, edellyttäen, etteivät rekisteröidyn oikeudet ja vapaudet syrjäytä näitä etuja.

Oikeutetun edun peruste on ollut merkittävän keskustelun kohteena evästeiden yhteydessä. Jotkin verkkosivustojen ylläpitäjät ovat väittäneet, että analytiikkaseuranta palvelee oikeutettua etua. Useat tietosuojaviranomaiset ovat kuitenkin hylänneet tämän väitteen sellaisten evästeiden osalta, jotka eivät ole ehdottoman välttämättömiä. Ranskan CNIL, Itävallan DSB ja Euroopan tietosuojaneuvosto (EDPB) ovat kaikki ottaneet kannan, että analytiikkaevästeet edellyttävät suostumusta ja ettei oikeutettu etu voi toimia oikeusperusteena ei-välttämättömien evästeiden asettamiselle käyttäjän laitteelle.

EDPB:n suostumusta koskevien ohjeiden 05/2020 mukaan yksiselitteisesti: "Verkkosivuston selaaminen tai selaamisen jatkaminen ei muodosta pätevää suostumusta." Evästeiden hiljaisen suostumuksen aika on ohi.

7 artikla: pätevän suostumuksen edellytykset

7 artiklassa esitetään ehdot, jotka suostumuksen on täytettävä. Jotta evästesuostumus olisi GDPR:n mukaisesti pätevä, sen on oltava:

  1. Vapaaehtoisesti annettu: Käyttäjällä on oltava aito valinnanmahdollisuus. Suostumusta ei ole annettu vapaaehtoisesti, jos käyttäjä ei voi kieltäytyä tai peruuttaa suostumustaan ilman haittaa. Useat tietosuojaviranomaiset ovat todenneet evästemuurit, jotka estävät pääsyn verkkosivustolle ellei kaikkia evästeitä hyväksytä, vaatimustenvastaisiksi, joskin oikeudellinen tilanne vaihtelee lainkäyttöalueittain.
  2. Yksilöity: Suostumus on annettava kutakin erillistä tarkoitusta varten. Pelkkä "Hyväksy kaikki" ilman mahdollisuutta antaa suostumus tietyille luokille ei täytä tätä vaatimusta.
  3. Tietoinen: Käyttäjälle on selkeästi kerrottava, mihin hän antaa suostumuksensa. Tämä tarkoittaa evästeiden, niiden tarkoitusten, kerättyjen tietojen ja mahdollisten kolmansien osapuolten yksilöimistä.
  4. Yksiselitteinen: Suostumus on annettava selkeällä myöntävällä toimenpiteellä. Valmiiksi rastitetut valintaruudut, vaikeneminen tai passiivisuus eivät muodosta pätevää suostumusta.

7 artiklan 3 kohta lisää olennaisen vaatimuksen: suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen. Jos käyttäjä voi hyväksyä evästeet yhdellä napsautuksella, hänen on voitava peruuttaa suostumuksensa yhtä helposti. Evästebanneri, jossa "Hyväksy" on näkyvästi esillä mutta kieltäytymisvaihtoehto on haudattu useiden napsautusten päähän asetussivulle, ei ole vaatimustenmukainen.

4 artiklan 11 kohta: suostumuksen määritelmä

4 artiklan 11 kohta määrittelee suostumuksen "mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen".

Tätä määritelmää vahvistaa johdanto-osan 32 kappale, jossa todetaan:

"Suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, joka muodostaa vapaaehtoisen, yksilöidyn, tietoisen ja yksiselitteisen tahdonilmaisun. Tämä voisi käsittää valintaruudun rastittamisen internetsivustolla. Hiljaisuus, valmiiksi rastitetut ruudut tai passiivisuus eivät sen vuoksi ole suostumus."

Euroopan unionin tuomioistuimen (EUT) merkittävä Planet49-ratkaisu lokakuussa 2019 (asia C-673/17) vahvisti tämän tulkinnan ja totesi, että valmiiksi rastitetut valintaruudut eivät muodosta pätevää suostumusta evästeille.

Läpinäkyvyysvelvoitteet: 12–14 artikla

Artiklat 12–14 edellyttävät, että rekisterinpitäjät toimittavat tietoa tietojen käsittelystä tiiviisti, läpinäkyvästi, ymmärrettävästi ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Evästeiden osalta tämä tarkoittaa:

  • Evästekäytäntösi on kirjoitettava kielellä, jonka tavallinen käyttäjä ymmärtää — ei juridisella ammattikielellä.
  • Tiedot on toimitettava tietojen keräämisen yhteydessä (eli ennen evästeiden asettamista).
  • Käyttäjille on kerrottava rekisterinpitäjän henkilöllisyys, käsittelyn tarkoitukset, tietoluokat, mahdolliset vastaanottajat, säilytysajat ja heidän oikeutensa.
  • Jos evästeitä jaetaan kolmansien osapuolten kanssa (kuten Google Analytics, Facebook Pixel tai mainosverkostot), nämä kolmannet osapuolet on yksilöitävä.

17 artikla: oikeus tietojen poistamiseen

17 artikla antaa rekisteröidyille oikeuden saada henkilötietonsa poistetuiksi. Evästeiden yhteydessä tämä tarkoittaa, että jos käyttäjä pyytää tietojensa poistamista, kaikki evästeiden kautta kerätyt henkilötiedot on poistettava. Tähän sisältyvät analytiikkaprofiilit, mainostunnisteet ja kaikki muut evästetunnisteisiin liitetyt tiedot.

Kolmansien osapuolten analytiikka- tai mainospalveluita käyttäville verkkosivustojen ylläpitäjille tämä voi olla erityisen haastavaa, sillä tiedot voivat olla kolmannen osapuolen hallussa. Kolmansien osapuolten evästeiden tarjoajien kanssa tehtyihin tietojenkäsittelysopimuksiin tulisi sisältyä määräyksiä poistopyyntöjen käsittelystä.

GDPR vs. ePrivacy: milloin kumpaakin sovelletaan?

GDPR:n ja ePrivacy-direktiivin välinen suhde voi olla hämmentävä. Näin ne toimivat yhdessä:

  • ePrivacy-direktiivi (5 artiklan 3 kohta) säätelee tietojen tallentamista käyttäjän laitteelle tai niihin pääsyä. Se edellyttää suostumusta kaikille evästeille lukuun ottamatta ehdottoman välttämättömiä. Tämä on evästeiden osalta lex specialis (erityislaki).
  • GDPR säätelee evästeiden kautta kerättyjen henkilötietojen myöhempää käsittelyä. Se muodostaa kehyksen sille, mikä on pätevä suostumus, mitkä ovat rekisteröityjen oikeudet ja mitkä ovat rekisterinpitäjien velvoitteet.

Käytännössä: ePrivacy-direktiivi kertoo, että evästeen asettamiseen tarvitaan suostumus. GDPR kertoo, miltä pätevä suostumus näyttää, mitä tiedoilla saa tehdä ja mitkä oikeudet käyttäjillä on kyseisiin tietoihin. Molempia sovelletaan samanaikaisesti.

Tietosuojaviranomaiset ja valvonta

Jokaisella EU:n jäsenvaltiolla on tietosuojaviranomainen (DPA), joka vastaa sekä GDPR:n että ePrivacy-direktiivin kansallisten toteutusten valvonnasta. Näillä viranomaisilla on valtuudet tutkia valituksia, suorittaa auditointeja ja määrätä sakkoja, jotka ovat enintään 4 % maailmanlaajuisesta vuosiliikevaihdosta tai 20 miljoonaa euroa, sen mukaan kumpi on suurempi.

Evästeisiin liittyvä valvonta on kiihtynyt dramaattisesti vuodesta 2020 lähtien. Tietosuojaviranomaiset kaikkialla Euroopassa ovat siirtyneet ohjeistuksesta ja varoituksista mittaviin sakkoihin, mikä tekee evästeiden vaatimustenmukaisuudesta todellisen liiketoimintariskin teoreettisen huolen sijaan.

Merkittävät evästeisiin liittyvät GDPR-sakot

Seuraavat valvontatoimet osoittavat evästeiden vaatimustenvastaisuuden todelliset taloudelliset seuraukset:

Yritys Sakko Viranomainen Vuosi Keskeinen ongelma
Amazon Europe 746 miljoonaa euroa CNPD (Luxemburg) 2021 Vaatimustenvastainen mainosseuranta ja suostumusmekanismit
Google LLC 150 miljoonaa euroa CNIL (Ranska) 2022 Evästeiden hylkääminen ei ollut yhtä helppoa kuin niiden hyväksyminen
Facebook (Meta) 60 miljoonaa euroa CNIL (Ranska) 2022 Ei yksinkertaista mekanismia evästeiden kieltämiseen
Microsoft (Bing) 60 miljoonaa euroa CNIL (Ranska) 2022 Evästeitä asetettiin ilman suostumusta, ei helppoa kieltäytymismekanismia
TikTok 5 miljoonaa euroa CNIL (Ranska) 2023 Evästeiden kieltäminen vaati enemmän napsautuksia kuin hyväksyminen
Criteo 40 miljoonaa euroa CNIL (Ranska) 2023 Pätevän suostumuksen hankkimatta jättäminen seurantaevästeille
Vueling Airlines 30 000 euroa AEPD (Espanja) 2020 Ei mahdollisuutta evästeiden hylkäämiseen, vain "hyväksy"

Nämä sakot eivät rajoitu suuriin yrityksiin. Myös pienet ja keskisuuret yritykset ovat joutuneet valvontatoimien kohteeksi, erityisesti Ranskassa, Italiassa ja Saksassa. Pelkästään CNIL antoi vuonna 2021 yli 100 muodollista huomautusta kaikenkokoisille verkkosivustoille evästeiden vaatimustenmukaisuudesta.

Käytännön tarkistuslista GDPR:n mukaiseen evästeiden vaatimustenmukaisuuteen

Käytä tätä tarkistuslistaa varmistaaksesi, että verkkosivustosi täyttää GDPR:n evästevaatimukset:

  1. Tunnista kaikki evästeet, jotka verkkosivustosi asettaa, mukaan lukien kolmansien osapuolten skriptien, kuten analytiikan, mainonnan ja sosiaalisen median widgettien, asettamat evästeet.
  2. Luokittele jokainen eväste ehdottoman välttämättömäksi, toiminnalliseksi, analytiikkaevästeeksi tai markkinointi-/mainosevästeeksi.
  3. Ota käyttöön ennakkosuostumus kaikille ei-välttämättömille evästeille. Yhdenkään analytiikka- tai markkinointievästeen ei tulisi latautua ennen kuin käyttäjä on antanut suostumuksensa.
  4. Esitä suostumusvalinnat oikeudenmukaisesti. Evästeiden kieltämisvaihtoehdon on oltava yhtä näkyvä ja saavutettavissa kuin niiden hyväksymisvaihtoehdon.
  5. Tarjoa yksityiskohtaista suostumusta. Käyttäjien on voitava antaa suostumus tietyille evästeluokille sen sijaan, että heidät pakotetaan kaikki-tai-ei-mitään-valintaan.
  6. Älä käytä valmiiksi rastitettuja ruutuja. Kaikkien valinnaisten evästeluokkien on oltava oletusarvoisesti rastittamatta.
  7. Anna selkeät tiedot jokaisen evästeen tarkoituksesta, sen keräämistä tiedoista, kenellä on pääsy tietoihin ja kuinka kauan eväste säilyy.
  8. Yksilöi kolmannet osapuolet. Nimeä kolmannen osapuolen palvelut, jotka asettavat evästeitä sivustollesi (Google Analytics, Facebook Pixel, HubSpot jne.).
  9. Tee peruuttamisesta helppoa. Tarjoa pysyvä ja helposti saavutettava tapa, jolla käyttäjät voivat muuttaa evästeasetuksiaan alkuperäisen suostumuksen jälkeen. Alatunnisteen linkki tai kelluva kuvake ovat yleisiä ratkaisuja.
  10. Tallenna suostumustiedot. Pidä lokia siitä, milloin kukin käyttäjä antoi suostumuksensa, mihin hän antoi suostumuksen ja mikä evästekäytännön versio oli tuolloin voimassa.
  11. Kunnioita suostumusvalintoja teknisesti. Varmista, että suostumuksesta kieltäytyminen todella estää vastaavien evästeiden asettamisen. Tämä edellyttää skriptien estämistä ennen suostumusta, ei pelkkää evästeiden poistamista jälkikäteen.
  12. Ylläpidä evästekäytäntöä, joka on ajantasainen, tarkka ja kirjoitettu yksinkertaisella kielellä. Päivitä se aina, kun lisäät uusia evästeitä tai kolmannen osapuolen palveluita.
  13. Käsittele rekisteröidyn pyynnöt. Ota käyttöön prosessi poistopyyntöihin vastaamiseksi, joka kattaa evästeiden kautta kerätyt tiedot.
  14. Skannaa säännöllisesti. Suorita automaattisia evästeskannauksia vähintään kuukausittain ja jokaisen käyttöönoton jälkeen havaitaksesi päivitettyjen skriptien tai lisäosien tuomat uudet evästeet.

Evästeiden vaatimustenmukaisuus GDPR:n mukaisesti ei ole kertaluonteinen harjoitus. Se vaatii jatkuvaa huomiota verkkosivustosi kehittyessä, uusien skriptien lisäämisen ja sääntelyohjeiden päivittyessä. Organisaatiot, jotka kohtelevat sitä jatkuvana prosessina eivätkä pelkkänä tarkistuslistan täyttämisenä, ovat niitä, jotka välttävät valvontatoimet — ja rakentavat samalla luottamusta käyttäjiensä kanssa.

Noudattaako verkkosivustosi evästesääntöjä?

Skannaa verkkosivustosi ilmaiseksi ja löydä kaikki evästeet muutamassa minuutissa.

Skannaa evästeesi ilmaiseksi