Oikein

Euroopan yhteisöjen tuomioistuimen tuomio ja suostumus evästeisiin: ratkaisuja laillisesti turvalliseen tietosuojaan


Viimeistään yleisen tietosuoja-asetuksen (GDPR) voimaantulon jälkeen sinun ei-yksityisen verkkosivuston ylläpitäjänä on täytynyt huomioida tärkeitä tietosuojanäkökohtia. Kysymys evästeiden käsittelystä oli aluksi kiistanalainen. Euroopan yhteisöjen tuomioistuin (ECJ) antoi tuomiollaan (1.10.2019) erityisiä evästeitä koskevia säännöksiä käsittelyn suostumuksesta. Suostumus evästeiden käyttöön tunnetaan myös evästeen suostumuksena. Suostumustenhallinnan tarjoajat (CMP) tarjoavat yksinkertaistamista evästeiden käytön juridisesti turvallisessa suunnittelussa. Kehittyneet evästeratkaisut toimivat automaattisesti ja antavat käyttäjien sallia evästeiden käytön tyypin ja laajuuden.

Euroopan yhteisöjen tuomioistuimen tuomio ja evästeet: oikeudellinen merkitys yhdellä silmäyksellä

Euroopan yhteisöjen tuomioistuimen tuomion taustalla on Planet49 -oikeudellinen asia. Tiedostonumerolla Az.: C-673/17 on nyt selkeämpää tietoa siitä, kuinka suostumus evästeiden käyttöön tulee suunnitella. Periaatteessa verkkosivuston vierailijan on voitava vapaaehtoisesti ja nimenomaisesti hyväksyä evästeiden käyttö. Euroopan yhteisöjen tuomioistuimen evästeitä koskevan tuomion mukaan tiettyjen evästeiden käyttö ja käsittely on sallittua vain suostumuksen antamisen jälkeen. Tämä ei koske evästeitä, jotka ovat ehdottoman välttämättömiä verkkosivuston toiminnan kannalta.

Euroopan yhteisöjen tuomioistuimen evästeitä koskevassa tuomiossa Euroopan yhteisöjen tuomioistuin toteaa, että sähköisen viestinnän tietosuoja-asetuksessa säädetään jo pakollisesta suostumuksesta evästeille, jotka eivät ole ehdottoman välttämättömiä (vertaa sähköisen viestinnän tietosuojadirektiivin 5 artiklan 3 kohta). Periaatteessa tämä Euroopan yhteisöjen tuomioistuimen evästeitä koskeva lausunto tunnetaan jo aikaisemmista tuomioista.

On huomattava, että hyvin tunnettu 15 §:n momentti. 3 TMG:tä (Telemedia Act) ei tule ymmärtää sähköisen viestinnän tietosuojadirektiivin toimeenpanoksi. Myöskään TMG:n direktiivin mukaista tulkintaa tai sähköisen viestinnän tietosuojadirektiivin suoraa soveltamista ei voida harkita. Siksi evästeiden käyttö ja kerääminen on pohjimmiltaan GDPR:n alaista . GDPR:n mukaan käyttö voi perustua oikeutettuun etuun tai suostumukseen (vertaa (GDPR 6 artiklan 1 kohta). Koska tämä ei yksinään johda pakolliseen suostumusvaatimukseen, yhteisöjen tuomioistuin viittaa sähköisen viestinnän tietosuojadirektiiviin.

Euroopan yhteisöjen tuomioistuimen tuomio evästeistä ja sen seurauksista: Suostumus käyttöön

Tehokas suostumus on käytännössä sidottu tiettyihin vaatimuksiin EY:n tuomioistuimen evästeitä koskevan tuomion seurauksena. Yhteisöjen tuomioistuin on antanut olennaisia lausuntoja evästeistä niiden käytön suostumuksen tehokkuuden osalta. Nämä liittyvät vanhaan ja uuteen tietosuojalakiin GDPR:n mukaisesti.

Periaatteessa EY:n tuomioistuimen evästeitä koskevasta tuomiosta seuraa, että suostumuksen antaminen käyttöön ja käsittelyyn edellyttää aktiivista käyttäytymistä käyttäjältä . Jos aktiivista käyttäytymistä ei ole, on epäselvää, onko käyttäjillä riittävästi tietoa tilanteesta. Siitä se jo seuraa
aiemmin valittu evästeiden valintaruutu ei voi edustaa tehokasta suostumusta . Varsinaisen osallistumisen kannalta vierailijan tulee itse aktivoitua ja antaa suostumuksensa napsauttamalla, jotta evästeitä voidaan kerätä ja käsitellä EY:n tuomioistuimen tuomion mukaisesti.

Lisäksi evästeiden osalta EY:n tuomioistuimen tuomion mukaan suostumus vaatii yleensä erilliset ja ennalta määrittämättömät napsautusvaihtoehdot kaikissa mahdollisissa tapauksissa. Mitään suostumusta yksittäisiin tapauksiin ei voida johtaa pelkällä lähetyspainikkeella.

Lisäksi EY:n tuomioistuimen tuomio evästeistä tarkoittaa, että sähköisen viestinnän tietosuojadirektiivi huomioon ottaen on korostettava, edustavatko evästetiedot henkilötietoja vai eivät. Direktiivillä on siis sääntelyalue, joka ulottuu jopa tietosuojalainsäädäntöön. Oikeusasiantuntijat huomauttavat kuitenkin, että sähköisen viestinnän tietosuojadirektiiviä ei ole vielä pantu kokonaisuudessaan täytäntöön Saksassa.

EY:n tuomioistuimen evästeitä koskevan tuomion seurauksena sinun tulee verkkosivuston ylläpitäjänä antaa myös tarkat tiedot evästeiden käytöstä. Evästeen suostumuksen yhteydessä vaadittavat tiedot sisältävät muun muassa tietojen käsittelyajan. Samoin Euroopan yhteisöjen tuomioistuimen evästeitä koskevan tuomion seurauksena vierailijoille on välitettävä tiedot kolmansien osapuolten pääsystä evästeisiin . Tämä sisältää myös tarkat tiedot tietojen vastaanottajista tai vastaanottajaluokista. Viimeistään Euroopan yhteisöjen tuomioistuimen tuomion jälkeen vierailijan on tiedettävä, mitkä mainostajat käsittelevät kerättyjä tietoja.

Evästeen suostumuksen merkitys ja välttämättömyys verkkosivuston ylläpitäjille

Lähes jokainen kaupallinen verkkosivusto kerää tietoja. Tämä ei sisällä vain toiminnallisesti tarpeellisia tietoja, vaan useimmissa tapauksissa myös tietoja, jotka EY:n tuomioistuimen evästetuomion mukaan edellyttävät kävijöiden nimenomaisen suostumuksen. Jopa yksinkertaisimpien analyysityökalujen käyttö liittyy lukuisten tietojen keräämiseen ja vastaavien evästeiden luomiseen. Yleinen esimerkki on Google Analytics -työkalu. Tällaista tiedonkeruuta tapahtuu myös silloin, kun joku laittaa widgetin sosiaalisessa mediassa. Siksi jokainen verkkosivuston ylläpitäjä, jolla on asiakkaita GDPR-alueella (EU ja sen ulkopuolella), luottaa evästeiden sisällönhallintaan . EY:n tuomioistuimen evästepäätöksen mukaan verkkosivuston lainmukainen toiminta on mahdollista vain, jos evästeen suostumuksen oikea käsittely taataan.

Evästeen suostumus käytännössä: käyttöönotto vapaaehtoisena

Yhteisöjen tuomioistuimen evästeitä koskevalla tuomiolla on jo selvät ja konkreettiset vaikutukset. Tästä seuraa, että verkkosivujen ylläpitäjät tarvitsevat toimia. Tämä koskee evästeen suostumuksen tyyppiä ja rakennetta, eli nimenomaista suostumusta sen käyttöön. Tämä vaikuttaa myös evästeiden käytöstä käyttäjille välitettäviin tietoihin.

Tässä yhteydessä suostumus on suunniteltava todelliseksi osallistumismahdollisuudeksi käytännössä . Tämä tarkoittaa, että suostumuksen saamiseksi vaaditaan käyttäjän aktiivinen toiminta. Pohjimmiltaan vuodesta 2009 lähtien EU:n tietosuojaohjeissa on säädetty, että vierailijoilta on pyydettävä suostumus. Aiemmin verkkosivustojen ylläpitäjät saattoivat kuitenkin tulkita tämän vaatimuksen opt-out-kiellon muodossa . Tämä tarkoittaa, että evästeet asetettiin yleensä ilman, että käyttäjän tarvitsee tehdä mitään. Käyttäjä

saattoi vastustaa evästeiden käyttöä, mutta hänen täytyi tehdä aloite. Tämä muuttuu EY:n tuomioistuimen evästeitä koskevan tuomion myötä: siirtyminen opt-in-järjestelmään edellyttää, että verkkosivusto ei yleensä aseta evästeitä, ellei käyttäjä valitse niitä. Tämän seurauksena evästeitä voidaan asettaa vain, jos vierailija on antanut suostumuksensa. Näin ollen EY:n tuomioistuimen suostumusta evästeisiin ei voida saada merkitsemällä rasti ruutuun, joka on jo asetettu etukäteen .

Siksi on suositeltavaa, että yritykset ja verkkosivustojen ylläpitäjät yleensä mukautuvat tuomioistuimen evästeitä koskevaan tuomioon mahdollisimman nopeasti ja ryhtyvät asianmukaisiin varotoimiin laillisesti suojatun evästesisällön varmistamiseksi. Suostumusten hallintaratkaisut, jotka sekä tiedottavat käyttäjälle kattavasti evästeiden käytöstä että myös pyytävät hänen nimenomaista suostumustaan, helpottavat huomattavasti verkkosivujen ylläpitäjien toimintaa.

Evästeiden suostumusratkaisut: standardit ja niiden toiminta

IAB Europen (Interactive Advertising Bureau) kehittämä viitekehys on käytettävissä evästeiden asettamiseen ja käsittelyyn liittyvää suostumusta varten: se on Transparency and Consent Framework (TCF) , joka on vakiinnuttanut asemansa evästeiden suostumuksen standardiksi. Tämän viitekehyksen kehittämisen tavoitteena on kattava standardisointi suostumuskysymyksessä . Ensimmäinen kehysversio esiteltiin huhtikuussa 2018. Nykyinen versio TCF 2.0 seurasi toukokuussa 2020. Erityisesti EY:n tuomioistuimen evästetuomio huomioon ottaen viitekehys on erittäin tärkeä, koska se helpottaa tarvittavan suostumuksen saamista. Tarkemmin sanottuna IAB:n vaatimus on ymmärtää tarkasti tiedot käyttäjän suostumuksesta evästeiden käsittelyyn. Tämä vaikuttaa koko evästeiden käytön toimitusketjuun. Useimmissa tapauksissa useat palveluntarjoajat ovat mukana luomassa useita evästeitä. Nämä liittyvät enimmäkseen mainosbannereihin ja muihin markkinointitoimenpiteisiin. Kaikki tähän prosessiin osallistuvat osapuolet ovat riippuvaisia tiedoista siitä, onko evästeiden käsittelyyn annettu suostumus vai ei.

Yhtäältä osana IAB-kehykseen perustuvaa evästesisällön hallintaa selvitetään, onko käyttäjä antanut suostumuksensa evästeiden käyttöön. Toisessa vaiheessa Consent Manager tunnistaa, mitkä erityiset suostumukset käyttäjä on antanut suostumusbannerissa. Vierailijoilla on mahdollisuus hyväksyä tai hylätä evästeiden erilaiset käyttö- ja käsittelytarkoitukset. Suostumusrakenteen perusteella evästeen suostumushallinta luo ns. suostumusmerkkijonon, joka puolestaan luodaan evästeeseen. Tämän suostumusmerkkijonon perusteella myös muilla osapuolilla (esim. muilla suostumuksen hallinnan tarjoajilla) on mahdollisuus saada selville vierailijan suostumus.

CMP: Web-sivustojen suostumuksen hallintaratkaisut ja niiden edut

Hyvän suostumuksen hallinnan hyödyt ovat verkkosivustojen ylläpitäjille lukuisia. Näin ollen voidaan taata EY:n tuomioistuimen mukaan evästeiden käytön oikeudellisesti turvallinen muotoilu. Jokaisen hyvän verkkosivuston tavoitteena on tarjota paras mahdollinen käyttökokemus. Vierailijoiden tarpeet tulee tyydyttää, jotta he pysyvät sivustolla. Pitkän säilyttämisen tärkeimpiä puolia ovat korkea hyväksymisprosentti ja alhainen poistumisprosentti. Hyvä suostumuksen hallinnan tarjoaja auttaa minimoimaan poistumisprosentin ja siten lisäämään hyväksymisprosenttia. Se edistää siten verkkosivuston hyvää suorituskykyä. Asiakkaita voidaan voittaa ja säilyttää pysyvästi verkkosivustolla vain, jos sivuston poistumisprosentti on alhainen.

Hyvin harkitun suostumuksen hallintaratkaisun avulla varmistat EY:n tuomioistuimen evästepäätöksen vaatimusten noudattamisen lisäksi reaaliaikaisen yleiskatsauksen nykyisistä hyväksymis- ja poistumisprosentteista. Sivuston vierailijoiden, asiakkaiden ja potentiaalisten asiakkaiden käyttäytyminen voidaan ymmärtää. Tästä voidaan tehdä johtopäätöksiä mahdollisista parannusmahdollisuuksista.

Suostumusbannerin kansainvälinen suuntautuminen on itsestäänselvyys nykyaikaisissa evästeiden suostumusratkaisuissa. Ponnahdusikkuna tulee automaattisesti näkyviin sen GDPR-maan kielellä, josta vierailijat käyttävät verkkosivustoasi. Suostumusten hallinnan tarjoaja näyttää tiedot yhteensä 29 kielellä. Lisäksi CMP tarjoaa responsiivisen mukautuksen vierailijoiden käyttämään loppulaitteeseen. Evästeen suostumusratkaisu reagoi esimerkiksi näytön kokoon ja käyttöjärjestelmään (esim. iOS tai Android) ja näyttää kävijöille optimoidun näytön.

Johtopäätös

Yhteisöjen tuomioistuimen tuomio on epäilemättä monimutkaissut tietosuojakäytäntöä verkkosivustojen ylläpitäjille. Lainmukaista evästebanneria suunniteltaessa on teknisten kysymysten lisäksi otettava huomioon suunnittelunäkökohdat ja ennen kaikkea läpinäkyvän tietojenkäsittelyn oikeudellinen ulottuvuus. Erityisesti verkkosivustojen ylläpitäjät antavat vaikutelman holhoavista ohjeista ja määrittelyistä palvelevat viime kädessä käyttäjiä kiinnostuneina osapuolina ja asiakkaina. Tässä mielessä verkkokauppiaiden, julkaisijoiden tai virastojen pitäisi nähdä Euroopan yhteisöjen tuomioistuimen päätös kannustimena. Sivuston vierailijat tietävät yhä enemmän tiedonsiirron laajuudesta ja vaativat maksimaalista selkeyttä ja läpinäkyvyyttä evästeiden hallinnassa. Tästä näkökulmasta nettisivujen ylläpitäjät voivat hyötyä vain älykkäästä suostumusten hallintajärjestelmästä asiakaskontaktissa – lisäämällä luottamusta selkeän käytettävyyden yhteydessä.

Samankaltaisia artikkeleita:


lisää kommentteja

Digital Services Act
Oikein

Koskeeko digitaalisten palveluiden laki (DSA) myös yritystäsi? Online-alustoilla on lisävelvoitteita

Digipalvelulaki asettaa verkkoalustoille lisää läpinäkyvyysvaatimuksia. DSA:n mukainen verkkoalustan määritelmä saattaa koskea yritystäsi. Tämän seurauksena saatat joutua noudattamaan DSA:n lisäavoimuusvaatimuksia. Lue eteenpäin saadaksesi selville, kuuluuko yrityksesi tähän luokkaan ja mihin toimiin voit ryhtyä noudattaaksesi vaatimuksia. Mikä on digitaalipalvelulain tarkoitus? Digipalvelulaki tuli voimaan 25.8.2023 suurimpien verkkoalustojen ja hakukoneiden osalta. 17. helmikuuta 2024 alkaen DSA on täysin sovellettavissa […]
A picture of a cookies with a red circle in the middle and the caption 1st party cookies and 3rd party cookies
Uusi

Kolmannen osapuolen evästeiden poistaminen ja CMP:n suostumusalueen asetusten säätäminen

Kolmannen osapuolen evästeiden tuleva poistaminen merkitsee suurta muutosta consentmanager suostumuslaajuuksien käytössä. Kesäkuusta alkaen consentmanager ei enää aseta kolmannen osapuolen evästeitä verkkotunnuksen consentmanager .net alle. Tämän muutoksen seurauksena jotkin kolmannen osapuolen evästeiden kanssa käytetyt suostumuksen laajuusvaihtoehdot, kuten tilikohtainen suostumus ja CMP-kohtainen suostumus, poistetaan. Suosittelemme asiakkaitamme siirtymään verkkotunnuskohtaisiin suostumusasetuksiin mahdollisimman pian, sillä kesäkuuhun mennessä kaikki näitä asetuksia […]