Suostumustasojen vaatimukset (LFD Ala-Saksi)

Ala-Saksin osavaltion tietosuojavaltuutettu on julkaissut uudet ohjeet ja ohjeet siitä, miltä vaatimustenmukaisen suostumuskerroksen tulisi näyttää. Tärkeimmät tiedot on tiivistetty tähän.
Monet suostumustyökalut eivät ole vaatimusten mukaisia
Ensinnäkin LDF tajuaa, että monet GDPR-työkalut eivät ole GDPR-yhteensopivia. Suostumusten hallintatyökalun käyttö mahdollistaa yleensä verkkosivuston vaatimustenmukaisuuden, mutta sivuston ylläpitäjän tehtävänä on määrittää työkalu oikein.
Käytännön vinkki: suostumusmanagerin oletusasetukset on jo asetettu suositeltuihin arvoihin. Jos olet epävarma työkalumme määrittämisestä, käytä oletusasetuksia.
Ei tietojen käsittelyä ennen suostumusta
LDF tekee myös jälleen kerran selväksi, että tietojen käsittely, eli evästeiden asettaminen ja ulkopuolisten palveluntarjoajien soittaminen, saa tapahtua vain, jos siihen on annettu suostumus.
Käytännön vinkki: Käytä Cookie Crawler -vaatimustenmukaisuustestiä varmistaaksesi, ettei evästeitä aseteta ilman lupaa.
Tiedot suostumuskerroksessa
Lisäksi LDF selventää jälleen kerran, mitkä tiedot kuuluvat suostumuskerrokseen vaatimustenmukaisen suostumuksen saamiseksi. Näitä ovat erityisesti:
- vastuussa olevan henkilön henkilöllisyys,
- käsittelytarkoituksiin,
- käsitellyt tiedot,
- aikomus tehdä yksinomaan automaattinen päätös (22 artiklan 2 kohdan c alakohta) ja
- aikomus siirtää tietoja kolmansiin maihin (49 artiklan 1 kohdan virke 1 alakohta a)
Lisäksi tehdään selväksi, että tarkoitusten on oltava täsmällisiä. Sanat kuten ”surffauskokemuksen parantaminen” tai ”markkinointi, analyysi ja personointi” eivät riitä.
Sama koskee kumppanin tietoja: Ei riitä, että sanotaan, että ”kumppani” käsittelee tiedot – kaikki kumppanit on myös nimettävä erikseen.
Käytännön vinkki: Suostumuspäällikkö toimittaa jo suurimman osan vaadituista tiedoista, mutta kannattaa tarkistaa, onko tarkoitukset nimetty riittävän tarkasti sovellusalueillesi.
Yksiselitteinen suostumus ja nyökkäys
Lopuksi LFD tekee selväksi, että painikkeen on oltava selvästi ymmärrettävä ja selkeästi merkitty. ”Okei”-painike ei riitä tähän, ja ”Hyväksy kaikki” voi myös olla liian epäselvä (jos teksti ei kuvaa riittävästi, mitä hyväksytään).
Samalla LFD tekee selväksi, että niin sanotut ”PUR-mallit” (hyväksy mainonta tai tee tilaus) voivat olla vaatimusten mukaisia.
LFD kertoo myös yksityiskohtaisesti, että niin sanotut töytäiset tai tummat kuviot eivät ole sallittuja. Asia on siinä, että käyttäjä tietoisesti tai alitajuisesti pakotetaan tekemään päätös ja siten ”vapaa valinta” heikkenee. Näin on jo, jos esimerkiksi hylkäyspainike on suunniteltu eri tavalla (vähemmän näkyvästi) tai hylkääminen on mahdollista vain napsauttamalla ”Asetukset” tai vastaavaa.
Käytännön vinkki: Käytä aina kahta painiketta (hyväksy ja hylkää) ja muotoile ne selkeästi.