EU-oikeus päätti: Keksien kyselyt verkkosivuilla ovat pakollisia, Suomessakin

Petteri Pyyny
2. lokakuuta, 2019 21:45

Euroopan Unionin tuomioistuin on antanut jysäyttävän päätöksen verkkosivujen keksien eli evästeiden kyselystä ja sen tarpeellisuudesta. Oikeuden tulkinnan mukaan sivustojen on pakko kysyä lupaa käyttäjiltään ns. aktiivisesti.
Käytännössä oikeusjuttu keskittyi siihen, että syytettynä ollut sivusto, Planet49, oli ruksinut valmiiksi hyväksyntäkyselystä kohdan, jossa sallitaan evästeiden käyttö sivustolla. Oikeus linjasi, että tällainen esitäytetty lomake ei ole riittävän vahva tahdon ilmaisu sen puolesta, että käyttäjä suostuu evästeiden asettamiseen hänen selaimelleen.

Suomessa lakia on tulkittu Viestintäviraston puolesta vielä kevyemmin ja sivustojen ei periaatteessa (tietyin ehdoin) ole täytynyt kysyä lupaa evästeiden asettamiseen lainkaan. Suomessa ollaan katsottu, että käyttäjä, joka ei halua evästeitä selaimelleen asettaa, voi kytkeä ne selaimensa asetuksista pois päältä.
Viestintäviraston tämän hetkinen (2.10.2019) ohjeistus:

Suomessa on tulkittu sähköisen viestinnän tietosuojadirektiiviä (Ulkoinen linkki) siten, että käyttäjä voi antaa suostumuksensa evästeiden tallentamiseen esimerkiksi selaimen tai muun sovelluksen asetusten avulla.

Suomessa evästeistä informoimista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. Evästekäytännöt on kuitenkin mainittava verkkosivuilla niin, että käyttäjän on mahdollista saada niistä lisätietoa.

Oikeuden mukaan Viestintäviraston linjauksen tyyppinen "passiivinen" evästeistä kieltäytyminen - toisin sanoen oletusarvoinen hyväksyminen - ei ole riittävä tae siitä, että käyttäjä ymmärtää mitä hän on hyväksymässä.

Päätöksen tiivistelmässä asia ilmaistaan näin:

Unionin tuomioistuin totesi toiseksi, että sähköisen viestinnän tietosuojadirektiivin 5 artiklan 3 kohdalla pyritään suojelemaan käyttäjää hänen yksityisyytensä loukkaamiselta riippumatta siitä, koskeeko tämä loukkaus henkilötietoja vai muita tietoja. Tästä seuraa, ettei suostumuksen käsitettä ole tulkittava eri tavoin sen mukaan, ovatko internetsivuston käyttäjän päätelaitteelle tallennetut tai sieltä haetut tiedot henkilötietoja vai eivät.

Unionin tuomioistuin totesi kolmanneksi, että sähköisen viestinnän tietosuojadirektiivin 5 artiklan 3 kohdassa edellytetään, että käyttäjä on antanut suostumuksensa saatuaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta. Käyttäjän on voitava selkeiden ja kattavien tietojen avulla helposti määrittää mahdollisesti antamansa suostumuksen seuraukset, ja näillä tiedoilla on voitava taata käyttäjälle se, että tämä suostumus annetaan täysin tietoisena asiasta. Unionin tuomioistuin katsoi tältä osin, että evästeiden toiminta-aika sekä se, onko kolmansilla mahdollisuus käyttää näitä evästeitä, kuuluvat selkeisiin ja kattaviin tietoihin, jotka palveluntarjoajan on annettava internetsivuston käyttäjälle.

Päätös on tiukkuudessaan erittäin merkittävä. Jos lakia aletaan tulkitsemaan niin, että yksinkertaisesti jättämällä reagoimatta keksikyselyihin, ei käyttäjä ole antanut suostumustaan, ollaan mielenkiintoisen kehityskulun edessä. Päätös kokonaisuudessaan löytyy täältä.

Teknisesti on täysin mahdollista rakentaa verkkosivustot niin, että keksikysely pitää olla ladattuna ja hyväksyttynä ennen sivuston sisällön näkemistä. Tällöin vaikkapa erilaisilla lisäosilla keksikyselyt poistavat käyttäjät jouduttaisiin estämään sivuilta kokonaan.

Viestintävirasto on luvannut tutkia päätöstä ja täsmentää ohjeistustaan Suomen osalta, jos se näkee tähän tarvetta.