EU:n tietosuojasäännösten kehityksessä on havaittavissa tuttu dynamiikka: kansainväliset teknologiayritykset keksivät yhä luovempia tapoja kohdentaa sisältöä internetin käyttäjillä ja kaupallistaa heidän henkilötietojaan, usein vieläpä heidän tietämättään, ja samaan aikaan EU säätää yhä tiukempia rajoituksia sisällön kohdentamiselle ja henkilötietojen ”villille” hyödyntämiselle. Esimerkiksi uraa-uurtava yleinen tietosuoja-asetus (GDPR) säädettiin vuonna 2016, ja samana vuonna ns. Cambridge Analytica -skandaali paljasti EU kansalaisten henkilötietojen laajamittaisen väärinkäytön suurten teknologiayhtiöiden toimesta.
Nähdäkseni sama kuvio on toistunut evästeiden kanssa. Evästeillä tarkoitetaan pieniä, ainakin näennäisesti anonyymejä tietopaketteja, jotka tallennetaan käyttäjien laitteille muun muassa jäljittääkseen millä sivuilla laitteen käyttäjä on käynyt sekä mainonnan kohdentamiseksi laitteen käyttäjälle. Uraauurtava EU:n tuomioistuimen ratkaisu ns. Planet 49 -asiassa (C-673/17) asetti tiukkoja edellytyksiä sille, miten verkkosivun vierailijoille on kerrottava evästeiden käytöstä ja miten heiltä on pyydettävä evästeisiin suostumus, mutta Planet 49 -tapaus on pikemminkin tuonut esille evästeisiin liittyviä ongelmia kuin lopullisesti ratkaissut ne.
Konsulttina asiakasyrityksissä olen huomannut, että suhtautuminen evästeisiin on muuttunut – mutta ei tarpeeksi. Sinänsä enää ei kiistetä muutostarvetta tai yritetä taistella sitä vastaan, mutta yritykset suhtautuvat yhäkin usein liian yliolkaisesti evästeisiin, ja pyrkivät lähinnä rimaa hipoen täyttämään tietoyhteiskuntakaaren evästeisiin liittyvät minimivaatimukset.
Tällaisessa toimintatavassa on kuitenkin riskinsä. Niin kauan kuin ”evästesuostumusta” pidetään rutiiniasiana, joka hoidetaan mallipohjilla ilman että evästeiden käyttöä tarkastellaan syvemmällä tasolla tai niihin liittyviä käytäntöjä muutetaan, evästeiden käyttö on aina potentiaalisesti ongelmallista sekä tietosuojalainsäädännön että evästeisiin liittyvän erityissääntelyn kannalta. Tätä riskiä voidaan mitigoida, mutta se edellyttää ensinnäkin, että evästeisiin liittyvät tietosuojakysymykset otetaan vakavasti, ja toiseksi muutetaan evästeisiin liittyviä käytäntöjä.
Alla on listattu kolme askelta, joiden avulla yritys voi kehittää käytäntöjään yksityisyyteen ja tietosuojaan liittyvän sääntelyn mukaiseksi.
1. Keräävätkö/käsittelevätkö organisaation käyttämät evästeet henkilötietoja?
Ensimmäinen ja tärkein askel on ymmärtää, että evästeet eivät välttämättä ole yhtä anonyymejä kuin miltä vaikuttavat. Evästeet voivatkin olla, tai käsitellä henkilötietoja. Olennaista onkin kysyä voidaanko evästeen avulla, yksin tai yhdistettynä muihin tietoihin, kohtuullisella vaivalla tunnistaa yksittäisiä käyttäjiä. Mikäli vastaus tähän kysymykseen on kyllä, evästeellä kerättävää tai käsiteltävää tietoa on pidettävä henkilötietona. Tämä tarkoittaa muun muassa, että kyseistä tietoa ei voida vapaasti siirtää kolmansille tahoille, käyttää yleisesti mihin tahansa tarkoitukseen, tai säilyttää pidempään kuin on välttämätöntä. Joissain tapauksissa se, että evästeellä kerätty tai käsiteltävä tieto on henkilötietoa voi myös tarkoittaa, että tietoa ei voida ylipäätään käyttää rikkomatta lakia.
Tällaisia ongelmallisia henkilötietoevästeitä voivat olla muun muassa evästeet, joiden avulla käsitellään tai kerätään IP osoitteita (mm. jotkut Google Analytics -evästeet), sekä verkkokaupoissa käytettävät evästeet siltä osin kuin niillä kerättyjä tietoja voidaan esimerkiksi yhdistää vierailijoiden nimiin tai sähköpostiosoitteeseen, jotka on syötetty rekisteröinti- tai ostokaavakkeeseen.
Henkilötietoriskin arviointi myös evästeiden kohdalla tarkoittaa, että organisaatioiden tulee selvittää mitä evästeitä organisaatio tai sen yhteistyökumppanit asettavat, ja arvioida kerätäänkö tai käsitelläänkö näiden evästeiden avulla henkilötietoja. Mikäli henkilötietoja kerääviä tai käsitteleviä evästeitä löytyy, niin ne tulisi todennäköisesti poistaa. Muuten evästeiden käyttö saattaa rikkoa GDPR:ssä asetettuja henkilötietojen käsittelyyn ja keräämiseen liittyviä velvoitteita.
2. Mitä evästeitä verkkosivuilla käytetään? Mitkä niistä ovat ”ehdottoman välttämättömiä”?
Oletetaan, että verkkosivuilla joka ei käytetä lainkaan henkilötietoja kerääviä tai käsitteleviä evästeitä, tai organisaatio on päättänyt käsitellä niitä henkilötietoina ja ryhtynyt asianmukaisiin toimenpiteisiin. Seuraavaksi on tarkasteltava tietoyhteiskuntakaaren (917/2914) ja sen taustalla olevan E-Privacy -direktiivin evästeiden käyttöön liittyviä edellytyksiä. Evästeisiin liittyvä lainsäädäntö ja siihen liittyvä oikeuskäytäntö kuten edellä mainittu Planet 49 -ratkaisu edellyttävät, että sivuston vierailijoille kerrotaan heidän laitteilleen asennettavista evästeistä, ja että heidän suostumuksensa hankitaan evästeiden asettamiselle. Poikkeuksena ovat ”ehdottoman välttämättömät” evästeet, eli evästeet, joiden ”ainoana tarkoituksena on toteuttaa viestin välittämistä viestintäverkossa” tai jotka ovat välttämättömiä ”palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.” Tällaiset ”ehdottoman välttämättömät” evästeet eivät edellytä suostumusta, eikä niistä tarvitse edes kertoa vierailijalle.
Edellä mainittu sanamuoto etenkin palvelun tarjoamisen kannalta välttämättömistä evästeistä vaikuttaa ehkä avoimelta, mutta EU:n tietosuojavaltuutetut ovat lausunnoissaan painottaneet, että poikkeusta on tulkittava kapeasti. Sivustojen ylläpitäjien ei tulisi esimerkiksi tulkita analytiikkaan tai käyttäjien jäljittämiseen liittyviä evästeitä ”ehdottoman välttämättömiksi”.
3. Nyt on tiedossa evästeet, joista tulee kertoa vierailijoille. Miten niistä tiedotetaan ja miten vierailijoiden suostumus hankitaan?
Planet 49 -ratkaisussa on käsitelty juuri näitä kysymyksiä. EU:n tuomioistuin totesi, että evästeiden käyttöön liittyvää suostumusta on tarkasteltava samalla tavalla kuin henkilötietojen käyttöön liittyvää suostumusta, jonka edellytykset on listattu GDPR:ssä. Toisin sanoen suostumuksen on oltava: a. vapaaehtoinen, b. yksilöity, c. tietoinen ja d. yksiselitteisellä, aktiivisella toimella annettu. Suostumuspyyntö on esitettävä helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä, ja vierailijalla on oltava oikeus peruuttaa suostumus milloin tahansa. Lisäksi suostumus tulisi hankkia ennen evästeen asettamista vierailijan laitteelle. Jos suostumuksen antamiseen liittyy virhe tai suostumusta ei saada lainkaan, niin evästeen käyttö on lainvastaista.
Edellisen kappaleen edellytykset voivat vaikuttaa vaativilta, mutta ”virheelliseen suostumukseen” liittyvät ongelmat on helpompi ymmärtää, kun tarkastellaan yleisimpiä evästesuostumukseen liittyviä virheitä:
Näiden varoittavien esimerkkien perusteella voidaankin todeta, että hyvä evästeisiin liittyvä tietopaketti/suostumuspyyntö esitetään sivuston vierailijalle selvänä, erillisenä tiedotteena siinä vaiheessa, kun vierailija tulee verkkosivulle. Suostumuspyynnön yhteydessä kerrotaan kaikista sivustolla käytetyistä, ei-välttämättömistä evästeistä, ja annetaan vierailijan valita mitkä evästeet hän hyväksyy ennen evästeiden asettamista vierailijan laitteelle. Suostumuspyynnön yhteydessä vierailijalle tulisi myös kertoa evästeiden vanhentumisajasta, sekä siitä kuka evästeen on asettanut, mikäli kyseessä on kolmannen osapuolen eväste.
Edellä mainitut askeleet auttavat evästeisiin liittyvien vaatimusten noudattamisessa. On kuitenkin hyvä tietää, että evästeisiin liittyviin säännöksiin on tulossa muutoksia siinä vaiheessa, kun EU:n kauan odotettu E-Privacy -asetus astuu voimaan. Asetuksen piti tulla jo vuonna 2018, mutta se on viivästynyt toistuvasti. Asetus kuitenkin todennäköisesti astuu voimaan vuoden tai kahden sisällä, joten evästeitä käytävien organisaatioiden tulee olla valmiina päivittämään evästeisiin ja tietosuojaan liittyviä käytäntöjään siinä vaiheessa, kun mahdollinen siirtymäaika päättyy.