Evästesuostumus Suomessa

Evästesuostumus on pyydettävä jatkossa EU:n yleisen linjan mukaisesti

Suomessa on ollut EU:n yleisestä linjasta poikkeava käytäntö evästesuostumukselle. Toukokuussa 14.05.2020 apulaistietosuojavaltuutettu määräsi ensimmäistä kertaa Suomessa organisaation muuttamaan tapaa, jolla pyydetään suostumus evästeiden käyttöön. Apulaistietosuojavaltuutetun mukaan jatkossa suostumus evästeiden käyttöön tulee pyytää tietosuoja-asetuksen mukaisesti. Päätöksessä todettiin mm.  

  • Käyttäjällä on oltava tilaisuus valita, hyväksyykö vai hylkääkö hän suostumusta koskevat ehdot.  
  • Pätevää suostumusta ei voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta.  

Apulaistietosuojavaltuutetun päätöksen mukaan Traficomin ohjeistuksen mukaista suostumusta, joka annetaan selaimen asetusten avulla, ei voida pitää pätevänä tietosuoja-asetuksen edellyttämänä suostumuksena. Aiempaa linjausta evästesuostumuksen antamisesta selaimen asetusten avulla ei pidetä enää pätevänä suostumuksena, vaikka viranomaiset vielä asiasta keskustelevatkin.  

Mitkä ovat vaatimukset evästesuostumukselle? 

Käytännöt evästesuostumuksen pyytämiseen ovat vaihdelleet eri oraganisaatioiden välillä suuresti. Käytännöt, joilla evästesuostumus voidaan toteuttaa asetuksen vaatimukset täyttäen, on kuitenkin muodostunut vähitellen. Privaonin tietosuoja-asiantuntijoiden kokemuksen perusteella paras käytäntö toteuttaa evästesuostumus sisältää seuraavat toiminnallisuudet:

Näiden toiminnallisuuksien avulla saadaan esimerkiksi: 

  • Luokiteltua käytetyt evästeet käyttötarkoituksen mukaan.  
  • Estettyä muiden kuin pakollisten evästeiden asettaminen ennen evästesuostumusta. On tärkeää huomata, että sivusto ei saa asettaa kuin pakolliset evästeet sivustolle tultaessa. Esim. Googlen evästeet saa asettaa vasta kun suostumus evästeille on saatu.  
  • Vältettyä valmiiksi rastitettuja ruutuja (opt-out). 
  • Pidettyä arkistoa annetuista suostumuksista.   
  • Sallia annetun evästesuostumuksen muuttaminen jälkikäteen. 

Tämä on ollut paras käytäntö Suomen ulkopuolella jo pitkään ja toteutustapa on hyvin vakiintunut. Myös useat merkittävät palveluntarjoajat, kuten Google, edellyttävät tietosuoja-asetuksen vaatimukset täyttävää suostumusta omien palveluidensa käytölle.  

Mitä rekisterinpitäjien tulee käytännössä tehdä? 

Suomessa on jo tällä hetkellä rekisterinpitäjiä, jotka täyttävät tietosuoja-asetuksen evästesuostumukseen liittyvät vaatimukset. Kuitenkin Privaonin marraskuussa 2019 laatiman tutkimuksen mukaan vain alle 2 % (N=168) julkisista organisaatioista täytti uuden päätöksen mukaiset vaatimukset. Suosittelemme, että organisaatiot päivittävät evästesuostumukseen liittyvät käytäntönsä vastaamaan apulaistietosuojavaltuutetun antamaa ratkaisua. 

Evästekäytännön päivittämiseen liittyy seuraavat vaiheet:

  1. Tunnista kaikki sivustolla käytetyt evästeet (”Evästeauditointi”) 
  2. Luokittele evästeet käyttötarkoituksien mukaisesti (”Luokittelu”) 
  3. Toteuta evästesuostumus sivustolla (”Suostumustenhallinta”) yllä kuvattujen vaatimusten mukaisesti

Suositellun evästekäytännön päivittämisen jälkeen käyttäjän suostumus pyydetään evästebannerilla ja arkistoidaan ensivierailun yhteydessä. Palaavat vierailijat voivat muuttaa annettua suostumusta myöhemmin evästeselosteen ohjeiden mukaisesti.  

Evästesuostumuksen toteuttaminen 

Evästesuostumuksen toteuttaminen nykyaikaisilla rakennuspalikoilla on Privaonin asiantuntijalle noin kahden viikon työ kalenteriajassa, ja maksaa muutamia tuhansia euroja sivustoa kohden. Asetuksen vaatimukset täyttävä evästesuostumuksen toteuttaminen on siis nopeaa ja kustannustehokasta. Suomessa on toteutettu jo satoja evästesuostumuksia erilaisille organisaatioille. Jos haluat kuulla lisää, otathan yhteyttä tai lähetä sähköpostia osoitteeseen [email protected].  Voit myös varata ajan keskustelulle täältä.