Evästeet ja suostumus

EU-tuomioistuin on ratkaisussaan C-673/17 ottanut kantaa tilanteisiin, joissa verkkosivustot keräävät käyttäjätietoja verkkokäyttäjistään oletetun suostumuksen nojalla. Ratkaisu osoittaa, että kerätäkseen käyttäjistään tietoja, on verkkosivustojen varmistuttava käyttäjänsä nimenomaisesta suostumuksesta. Valmiiksi täytetty ruutu ei tässä tapauksessa riitä.

Liittovallan ylin tuomioistuin Saksassa on pyytänyt ennakkoratkaisun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY sähköisen viestinnän tietosuojadirektiivin 2 f ja 5.3 artiklojen tulkinnasta. Ratkaisussa henkilötietosääntely perustuu GDPR:n edeltäjään, 1995/46/EY henkilötietodirektiiviin.

Kysymyksessä on ollut ns. evästeiden käyttö verkkokäyttäjän oletetun suostumuksen perusteella. Henkilötietodirektiivin 7 artiklan mukaan jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan käsitellä ainoastaan, mikäli rekisteröity on antanut tähän nimenomaisen suostumuksensa. Sähköisen viestinnän tietosuojadirektiivin johdanto-osan 17 perustelukappaleessa todetaan, että henkilötietodirektiivissä tarkoitettu suostumus on annettava soveltuvalla tavalla, vapaaehtoisesti ja nimenomaisesti, esimerkiksi rastittamalla ruutu internet-sivustolla vierailtaessa.

Ratkaisussa on ollut kyse verkkosivuston järjestämästä arvonnasta. Arvontaan osallistuessaan käyttäjän oli ilmoitettava postinumeronsa, jonka jälkeen käyttäjä ohjattiin uudelle sivulle jossa hänen oli täytettävä nimensä ja osoitteensa. Nimi- ja osoitetietojen alla oli kaksi ruutua, joista ensimmäisen täyttämällä käyttäjä antoi verkkosivustolle oikeuden evästeiden avulla kerätä ja arvioida tietoja selauskäyttäytymisestään ja käyttötavoistaan sekä hyödyntää näitä suunnattuun markkinointiin. Toisen ruudun täyttämällä käyttäjä ei hyväksynyt kyseistä toimintaa. Käyttäjän ohjautuessa tälle sivulle, oli evästeet salliva ruutu ennakkoon täytetty. Käyttäjän oli siis aktiivisesti valittava toinen ruutu kieltääkseen evästeiden käytön.

EU-tuomioistuimen mukaan henkilötietodirektiivin 7 a artiklan mukainen, ja näin ollen myös sähköisen viestinnän tietosuojadirektiivin mukainen suostumus merkitsee, että käyttäjän on annettava nimenomainen suostumus henkilötietojensa käyttöön. Ainoastaan käyttäjän nimenomainen suostumus täyttää henkilötietodirektiivin mukaisen suostumuksen vaatimukset. Tässä on syytä huomata, että suostumuksen vaatimukset ovat samat riippumatta siitä, onko kyseessä suostumuksen antaminen henkilö- vai muiden tietojen käsittelemiselle. Kun sivusto ei tässä tapauksessa pystynyt osoittamaan, että käyttäjä olisi antanut nimenomaisen suostumuksensa evästeiden käyttöön, ei sivusto myöskään ollut oikeutettu hyödyntämään käyttäjän selaus- tai käyttötietoja suunnattuun markkinointiin.

Ratkaisu selventää oikeustilaa evästeisiin ja oletettuun suostumukseen liittyen ja vahvistaa, että nimenomainen suostumus on edellytys henkilötietojen ja verkkosivustojen käyttäjätietojen käsittelylle. Ns. opt out – ratkaisua, jossa käyttäjän on nimenomaisesti kiellettävä evästeiden käyttö, ei näin ollen sallita. Tuomioistuin on myös vahvistanut, että kyseinen tulkinta soveltuu myös GDPR:n aikana. Ratkaisu on mielenkiintoinen kun huomioidaan evästeitä käyttävien verkkosivujen suuri määrä sekä käsiteltävien käyttäjätietojen laajuus. Nähtäväksi jää, miten E-Privacy direktiivi aikanaan tulee yhä selventämään evästeisiin liittyvää lainsäädäntöä.

Evästeitä käyttävien verkkosivustojen tulee varmistaa riittävän oikeusperusteen olevan käsillä evästeiden käyttämiseksi. On kuitenkin hyvä muistaa, ettei suostumus ole ainoa oikeusperuste evästeiden käyttämiselle ja verkkosivujen haltijoiden tuleekin arvioida sille soveltuvin oikeusperuste. Verkkosivustojen haltijoiden arvioitaessa evästeiden käyttämisen edellyttämiä oikeusperusteita on myös oiva tilaisuus varmistaa, että myös muu henkilötietokäsittely perustuu välttämättömiin ja tarpeellisiin oikeusperusteisiin.

Mikäli sinulla on ratkaisuun tai henkilötietojen oikeusperusteisiin liittyviä kysymyksiä, olet tervetullut olemaan yhdeydessä DKCO:hon.