Kuulostaako otsikko tutulta? Jos olet käyttänyt internetiä, aivan varmasti kuulostaa. Jos teet internetiä työksesi, olet myös ehkä joskus miettinyt, onko tuo ilmoitus tarpeellinen vai onko se jälleen yksi ketkujen juristien keksimä ylimääräinen kommervenkki.

Todellisuus on tarua ihmeellisempää. Asiaan vaikuttaa niin Suomen laki kuin pari EU-direktiiviäkin. Ydinkysymys on, mihin tarkoitukseen evästeitä käytät ja ovatko ne välttämättömiä sivuston tekniselle toimivuudelle.

Jotta asia ei olisi liian yksinkertainen, direktiivien ja Suomen lain noudattaminen ei vielä riitä, vaan jos käytät erilaisia analyysiohjelmistoja, tulee sinun lisäksi noudattaa myös analyysiohjelmistojen käyttöehtoja.

Asia ei lopulta ole erityisen vaikea, mutta selitys on pitkä. Kiireisimmät voivat hypätä lopussa olevaan kappaleeseen “Ei tämä niin vaikeaa ole, eli TL;DR”. Me muut sonnustaudumme märkäpukuun ja hyppäämme pykälämereen.

Suomi Finland perkele

Aloitetaan pykäläsavotta Suomen maaperältä. Suomen laissa evästeilmoituksista on säädetty laissa sähköisen viestinnän palveluista (ent. tietoyhteiskuntakaari). Se lähtee siitä, että evästeiden käyttöön pitää saada käyttäjän suostumus. Lain 205 § sanoo:

“Evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos käyttäjä on antanut siihen suostumuksensa ja palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta.”

Kuten huomaamme, lainkohdassa ei puhuta mitään “evästeilmoituksesta” saati siitä, että tiedot tulisi antaa jonkinlaisessa popupissa tai vastaavassa. Olennaista on, että käyttäjä on antanut suostumuksensa ja että palveluntarjoaja on antanut tiedot ymmärrettävästi ja kattavasti.

Lakia ei kuitenkaan ole kirjoitettu täysin loogisesti. Saman pykälän 2 momentissa onkin merkittävä poikkeus suostumuksen pyytämiseen. Suostumusta ei tarvitse pyytää, jos kyseessä on tietojen sellainen tallentaminen tai käyttö,

“jonka ainoana tarkoituksena on toteuttaa viestin välittämistä viestintäverkossa tai joka on välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt”.

Jos tämän juristinkielisen ilmaisun kääntää suomeksi, tuloksena on jotakuinkin seuraavaa: “Jos sivustosi tekninen toiminta edellyttää tiettyjä evästeitä, et tarvitse niihin käyttäjän lupaa eikä niistä tarvitse edes kertoa.”

Huomaa kuitenkin, että esimerkiksi Google Analytics ja muut analyysipalvelut eivät lähtökohtaisesti ole teknisesti välttämättömiä, eli pääsääntönä Google Analyticsin käytöstä tulee ilmoittaa kävijälle ja pyytää häneltä lupa siihen.

Lopulta pykälän 3 momentissa vielä lukee, että tietojen tallentaminen ja käyttö ovat sallittuja vain palvelun vaatimassa laajuudessa, eikä yksityisyyteen saa kajota enempää kuin välttämätöntä.

Tarkkasilmäisimmät ehkä huomasivat, etten vielä maininnut yhtään mitään siitä, miten suostumus pitää pyytää, silloin kun sellaista tarvitsee. Palaan siihen vielä, mutta katsotaan ensin EU-asetuksia.

“Mutta kun GDPR”

Nykyään pelkkä Suomen laki ei riitä takaamaan, että toiminta on täysin laillista, vaan lisäksi pitää huomioida EU-asetukset ja -direktiivit. Tässä asiassa oleellisin on EU:n yleinen tietosuoja-asetus eli GDPR (General Data Protection Regulation), joka säätää henkilötietojen tallentamisesta. Tarkalleen ottaen:

  • GDPR:ää sovelletaan mm. kokonaan tai osittain automaattiseen henkilötietojen käsittelyyn (GDPR 2 artikla), jos
    • Palveluntarjoaja on sijoittautunut EU-valtioon, tai (3 artikla)
    • Palveluntarjoaja käsittelee EU-kansalaisten henkilötietoja. (3 artikla)
  • GDPR:n mukaan henkilötieto tarkoittaa “kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja” (4 artikla)
    • Asetuksen mukaan tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen (esim. IP-osoite) tai yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
  • GDPR:n mukaan käsittely tarkoittaa käytännössä kaikkea tietojen käsittelyä, olipa se sitten tallentamista, tarkastelemista, muokkaamista, järjestelyä, siirtämistä, levittämistä, tietojen yhdistämistä, poistamista yms. (4 artikla)
    • Käytännössä kaikki tietoihin vaikuttaminen on niiden käsittelyä.

Jos ylläoleva taas käännetään suomeksi, mitä se tarkoittaa? Sitä, että GDPR koskee myös sinua ja sinun firmaasi, jos:

  1. Teet bisnestä EU:ssa tai EU-kansalaisten kanssa, ja
  2. Käsittelet mitään sellaista tietoa, mistä olisi mahdollista tunnistaa joku ihminen joko suorasti tai epäsuorasti.

Jos tämä määritelmä tuntuu sinusta laajalta, se on juuri sitä. Käytännössä lähes kaikki torikauppaa kehittyneempi bisnes on GDPR:n alaista, sillä esimerkiksi firman asiakkaiden nimet ja osoitteet sisältävä tilaustietokanta on varmasti GDPR:n alainen.

GDPR käskee: tietojen tallentamisesta tulee ilmoittaa

Jos tallennat ihmisten henkilötietoja, sinun tulee GDPR:n mukaan ilmoittaa siitä heille “tiiviisti esitetyssä, läpinäkyvässä, ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä”. Yleisessä tietosuoja-asetuksessa on myös listattu tiedot, jotka käyttäjälle tulee antaa, kun tiedot saadaan häneltä itseltään tai tässä tapauksessa hänen selaimeltaan:

  • Rekisterinpitäjän tai rekisterinpitäjän edustajan identiteetti ja yhteystiedot
  • Tietosuojavastaavan yhteystiedot, jos sellainen on
  • Henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste
    • Jos oikeusperuste on “oikeutettu etu”, tiedot siitä, mitä nämä oikeutetut edut ovat
  • Henkilötietojen vastaanottajat tai vastaanottajaryhmät
  • Jos tietoja siirretään EU:n ulkopuolelle (tai jos tietojen siirtyminen EU:n ulkopuolelle on mahdollista esim. pilvipalveluissa), tieto tästä
    • Tällöin tulee ilmoittaa myös, miten kohdemaan tietoturvan tasosta on varmistuttu + tiedot tästä tietoturvasta, esim. ulkoisen palveluntarjoajan yksityisyydensuojakäytäntö

Lisäksi, jos/kun saat henkilötietoja, sinun tulee ilmoittaa käyttäjälle myös:

  • Henkilötietojen säilytysaika tai millä perusteella tämä määräytyy
  • Että hänellä on oikeus tarkastaa tietonsa, pyytää niiden oikaisua, poistamista, käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeus siirtää tiedot järjestelmästä toiseen,
  • Oikeus peruuttaa suostumuksensa milloin tahansa (jos tietojen käsittely perustuu suostumukseen)
  • Oikeus tehdä valitus valvontaviranomaiselle, Suomessa tietosuojavaltuutetulle
  • Tieto siitä, onko rekisteröidyn pakko toimittaa henkilötietonsa ja mitä tapahtuu, jos hän ei toimita henkilötietoja
  • Tieto automaattisesta päätöksenteosta, jos palvelu käyttää sellaista

Tietojen käsittelylle pitää olla oikeusperuste

GDPR-maailmassa tietoja ei saa käsitellä miten sattuu, vaan tietojen käsittelylle tulee olla oikeusperuste. Oikeusperusteet on listattu GDPR:n 6 artiklassa. Niitä on useampia, mutta evästeiden kannalta oleellisia ovat erityisesti käyttäjän suostumus sekä oikeutettu etu.

Näistä erityisesti käyttäjän suostumus sai GDPR:n alla julkisuutta, mutta usein paljon oleellisempi on oikeutettu etu. Rankasti yksinkertaistettuna oikeutettu etu käsittää useimmat “näin tämä asia nyt vain menee” -perustelut.

Eri tietojen tallentaminen ja muu käyttö voivat perustua eri oikeusperusteisiin. Esimerkiksi suoramarkkinointi olemassaoleville asiakkaille on yleisesti katsottu oikeutetuksi eduksi, mutta vaikkapa terveystietojen käsittely vaatii lähtökohtaisesti käyttäjän suostumuksen.

Tämä tarkoittaa, että evästeen ja tallennettavien tietojen tyypistä riippuu, mikä on tilanteeseen soveltuva oikea oikeusperuste. Todennäköisesti useimmat yleisesti hyväksyttävät tarkoitukset menevät oikeutetun edun perusteella, mutta jotkin voivat edellyttää suostumusta.

Missä eri käsittelyperusteiden raja kulkee? Yksiselitteistä vastausta on mahdotonta antaa, mutta jonkinlaisena nyrkkisääntönä voitaneen pitää sitä, että mitä syvemmälle käyttäjän yksityisyyteen kajoavia tietoja saat, sitä todennäköisemmin oikeutettu etu ei riitä, vaan tarvitset käyttäjän suostumuksen.

Palvelun pitää toteuttaa sekä Suomen lakia että GDPR:ää

Yllä olevan perusteella on selvää, että suomalaisten palveluiden tulee toteuttaa sekä

a) Suomen lakia, että
b) GDPR:ää + muita EU-asetuksia ja -direktiivejä.

GDPR ei edellytä evästeiden osalta käyttäjän aktiivista suostumusta, mutta käyttäjälle tulee kuitenkin antaa henkilötietojen tallentamisesta ja käytöstä tieto “tiiviisti esitetyssä, läpinäkyvässä, ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä”.

Suomen lain mukaan teknisesti välttämättömiä evästeitä saa käyttää ilman käyttäjän suostumusta, mutta kaikki muut kuin teknisesti välttämättömät evästeet vaativat käyttäjän suostumuksen. Mutta miten suostumus pitää antaa?

Kaksi eri suostumusta

Jotta asia ei olisi liian helppo, tässä yhteydessä on kaksi erilaista suostumuksen tyyppiä. Toinen niistä on Suomen lain mukainen suostumus ja toinen GDPR:n mukainen suostumus.

Suomen lain mukainen suostumus liittyy alussa mainittuun lakiin sähköisen viestinnän palveluista. Kuten totesin, sen mukaan evästeille, jotka eivät ole teknisesti välttämättömiä, on saatava käyttäjän suostumus.

Suomen eduskunta ja viranomaiset kuten Viestintävirasto ovat tulkinneet sähköisen viestinnän tietosuojadirektiiviä siten, että käyttäjä voi antaa suostumuksen evästeiden tallentamiseen ohjelmallisesti, siis internet-selaimen asetuksissa. Tällainen “selainsuostumus” on pätevä myös, vaikka selaimen käyttäjä ei olisi itse aktiivisesti katsonut selaimensa evästeasetuksia tai edes ymmärtäisi, mitä evästeet ovat.

GDPR:n mukainen suostumus (ks. Tietosuojavaltuutetun analyysi) taas edellyttää huomattavasti tarkempia tietoja. GDPR:n mukaisen suostumuksen on oltava yksilöity, tietoinen, aidosti vapaaehtoinen ja yksiselitteinen tahdonilmaisu, ja käyttäjä voi antaa tällaisen suostumuksensa vain ennalta määriteltyyn, nimenomaiseen ja lailliseen tarkoitukseen. Käyttäjälle on myös annettava mahdollisuus tällaisen suostumuksen peruuttamiseen ilman negatiivisia seurauksia.

GDPR-suostumusta et todennäköisesti evästeiden kanssa pusatessa tarvitse, ellet sitten ala keräämään tietoja ihmisten poliittisesta aktiivisuudesta, sairauksista, seksuaalisesta suuntautumisesta tai muista arkaluonteisista asioista.

No entäs Google Analytics ja vastaavat?

Kysymys siitä, onko Google Analyticsin ja vastaavien analyysityökalujen käyttö GDPR-aikakaudella hyväksyttävää ja ongelmatonta, riippuu siitä, mitä niillä teet.

GDPR:n kannalta Google Analytics ja vastaavat näyttäisivät olevan hyväksyttäviä. Kun GDPR edellyttää “käsittelyperustetta”, Google Analyticsin osalta se voi olla oikeutettu etu. Jos suoramarkkinointi on katsottu oikeutetuksi eduksi, miksei sivuston tekninen analysointi ja anonymisoitujen käyttäjien tarkkailu olisi? Analysointi on siis ok. Et edes tarvitse käyttäjän hyväksyntää, sillä “oikeutettu etu” ei GDPR:n mukaan vaadi suostumusta.

Mutta hetkinen – Google Analytics ei ole sivuston toiminnalle teknisesti välttämätön! Ja kun Suomen laki lähtee siitä, että käyttäjä antaa suostumuksensa analyysievästeisiin, se vaatii kuin vaatiikin Suomen lain mukaisen suostumuksen. Ylempänä kuitenkin sanoin, että Suomen lain mukainen suostumus tarkoittaa sitä, että käyttäjä on hyväksynyt evästeet selaimessaan ja kunhan sivustolla kerrotaan, mitä evästeitä sivusto käyttää. Eli Google Analytics on Suomen lain mukaan ok, kunhan sivuston ylläpitäjä on kertonut, että sivusto käyttää Google Analyticsiä ja että se tallentaa evästeitä käyttäjän tietokoneelle.

Tämä ei kuitenkaan vielä riitä, sillä Google Analyticsillä on omat käyttöehtonsa. Inception-elokuvaa lainaten: ”we need to go deeper”.

Google Analytics ja Google Analytics Advertising ovat kaksi eri asiaa

Google Analyticsin käyttöehtojen 7-kohdan mukaan GA:n käyttäjä ei saa välittää Googlelle henkilökohtaisia tunnistetietoja tai jotka Google voisi tulkita sellaisiksi. Kohta myös säätää siitä, että GA:n käyttäjän tulee julkaista tietosuojakäytäntönsä sivullaan ja ilmoittaa evästeiden käytöstä – eli juuri kuten Suomen lakikin käskee. Lisäksi kohta myös toteaa, että GA:n käyttäjän on:

“– varmistettava, että Vierailija hyväksyy evästeiden tai muiden tietojen tallentamisen ja käyttämisen, kun tallennus tapahtuu Palvelun yhteydessä ja kun laki edellyttää näiden tietojen toimittamista ja hyväksynnän saamista.”

Oleellinen on “kun laki edellyttää näiden tietojen toimittamista ja hyväksynnän saamista”. Kun kyseessä on GDPR:n mukaan oikeutettu etu, GDPR edellyttää vain sivuston käyttäjän informointia yllä kerrotulla tavalla. Suomen lain mukaan sivustolla vierailevaa henkilöä on informoitava evästeiden käytöstä, suostumuksen hän taas voi antaa selaimen asetuksissa. Google Analyticsin ehdot siis tältä osin edellyttävät, että Analyticsin käyttäjä toimii lain mukaan.

Mutta lisäksi on vielä Google Analyticsin mainontaominaisuudet (Google Analytics Advertising), joiden käyttösäännöt löydät täältä.

GA-mainontaominaisuuksien käyttösääntöjen mukaan sitä hyödyntävä ei saa pyrkiä tunnistamaan käyttäjiään. Poikkeuksena tästä on tilanne, jossa käyttäjä on etukäteen selkeästi antanut suostumuksensa (ts. opt-in) tällaiseen tunnistamiseen ja tietojen yhdistämiseen. Tästä huolimatta sinun tulee kertoa käyttäjillesi:

  • Mitä mainosominaisuuksia käytät,
  • Miten käytät evästeitä,
  • Miten käyttäjät voivat poistaa suostumuksensa.

Lisäksi sinun täytyy vielä noudattaa Googlen GDPR-ohjeita. Vaatimukset ovat osittain päällekkäiset Google Analyticsin ja Google Analyticsin mainostoimintojen kanssa, mutta niissä on myös uusia ehtoja. Sinun pitää:

  • Saada käyttäjiltä lupa evästeiden tallentamiseen, jos laki siihen velvoittaa, sekä
  • Saada käyttäjältä suostumus siihen, että tallennat, jaat tai käytät henkilötietoja mainosten räätälöintiin.

Lisäksi sinun täytyy:

  • Tallentaa tieto käyttäjän antamasta suostumuksesta, sekä
  • Antaa käyttäjille ohjeet siitä, miten he voivat peruuttaa suostumuksensa, sekä
  • Kertoa selkeästi, keille kaikille tahoille käyttäjien dataa jaat tai ketkä sitä voivat saada ja miten he tuota dataa käyttävät.
  • Pyrkiä varmistumaan siitä, että mahdollinen kolmas taho, jolle dataa luovutat, noudattaa myös Googlen käytäntöjä.

Nämä viimeiset neljä vaatimusta kumpuavat myös GDPR:stä itsestään. Eli käytännössä: Google itse velvoittaa sinut siihen, että noudatat lakia ja EU-asetuksia ja -direktiivejä. Jos rikot Googlen käyttösääntöjä, he voivat esim. kieltää sinua käyttämästä Google Analyticsiä.

Ei tämä niin vaikeaa ole, eli TL;DR

Kuulostiko helpolta? Ai ei? Hyvänä puolena voin kertoa sinulle, että vaikka selostus on ollut pitkä kuin nälkävuosi, sen käytännön vaikutukset ovat helposti tiivistettävissä:

Jos eväste on teknisesti välttämätön eikä tallenna henkilötietoja, siitä ei tarvitse ilmoittaa. Muussa tapauksessa evästeen käyttö edellyttää aina, että tarjoat käyttäjälle tarkat ja selkeät tiedot siitä, millaisia evästeitä käytät, mitä tietoja niiden avulla saat, mihin käytät saamiasi tietoja, millä perusteella ja ketkä tietoja saavat (ks. kappale “GDPR käskee: tietojen tallentamisesta tulee ilmoittaa”). Jos haluat suoramarkkinoida ihmisille netin kautta, sinun tulee noudattaa GDPR:n vaatimuksia suostumuksen pyytämisestä.

Mitä erilaisiin evästeisiin tulee, alla oleva taulukko selventänee tilannetta:

Evästeen tyyppi Tarvitsetko käyttäjän suostumuksen? Muuta huomioitavaa / muut tarvittavat toimet
Teknisesti välttämätön eväste Et tarvitse lupaa Normaali informointivelvoite käyttötarkoituksesta yms.
Analyysi­eväste, esim. Google Analytics Tarvitset käyttäjän suostumuksen (Suomen lain mukainen suostumus) Käyttäjä voi antaa suostumuksen selaimen asetuksissa, eli et tarvitse suostumus-pop-uppia. Sinun tulee kuitenkin noudattaa Google Analyticsin tai vastaavan käyttöehtoja.
Google Analyticsin mainonta­työkalut Tarvitset GDPR-suostumuksen Sinun tulee lisäksi noudattaa Google Analyticsin mainostoimintojen ehtoja, jotka velvoittavat sinut noudattamaan myös Googlen GDPR-ehtoja sekä tarjota käyttäjälle tiedot siitä, mitä hänen tiedoillaan teet.
Muut evästeet Tarvitset käyttäjän suostumuksen (Suomen lain mukainen tai GDPR:n mukainen, tilanteesta riippuen) Riippuu siitä, mitä tietoja evästeen avulla saat. Mitä arkaluonteisempia tietoja saat, sitä todennäköisemmin joudut pyytämään GDPR:n mukaisen suostumuksen.

Mutta hei! Entä se evästeistä kertova pop-up? Tarvitaanko sitä vai eikö sitä tarvita?

No, kuten olet tästä kirjoituksesta havainnut, mikään ei tarkalleen ottaen velvoita sivuston ylläpitäjää ilmoittamaan evästekäytännöistään tai muista asioista pop-upilla.

GDPR kuitenkin edellyttää, että rekisterinpitäjä voi osoittaa toimineensa GDPR:n mukaisesti. Tässä auttaa, kun voi näyttää, että sivustolla on informatiivinen ja selkeä pop-up, joka kertoo sivuston evästekäytännöistä kävijöille. Kerätty suostumus pitää myös tallentaa, sillä GDPR:n mukaan rekisterinpitäjän tulee pystyä osoittamaan, että hän on noudattanut GDPR:ää. Tämän vuoksi Google Analyticsin käyttöohjeetkin käskevät tallentamaan ihmisten suostumuksen.

Pop-up ei siis ole pakollinen. Sen sijaan se on erittäin yksinkertainen ja selkeä tapa hoitaa niitä velvollisuuksia, joita voi seurata oman maan laista, EU-säädöksistä tai vaikka Google Analyticsin ehdoista. Se on siis yksinkertainen tapa sekä toimia oikein että näyttää toimivansa oikein.

Jussi Kari on IT- ja viestintäoikeuteen erikoistunut lakimies, joka hoitaa hommat joko hevosnaamari päässä tai ilman.