back

Miksi “anonyymi analytiikka” voi vaatia GDPR:n mukaisen suostumuksen?

Vaikka Traficom julkaisikin uudet evästeiden käyttöä koskevat ohjeensa 13.9.2021, tuntuu edelleen siltä, että evästeitä koskevat tulkinnat eivät ole Suomessa selkeytymässä vielä pitkään aikaan. Seuratessa sosiaalisen median keskusteluita ja erilaisia blogeja, näkee edelleen tulkintoja, joiden mukaan anonyymisti toteutettu analytiikka ei vaadi suostumusta. Usein nämä tulkinnat liittyvät siihen keskeiseen kysymykseen, että jos analytiikka tehdään anonyymisti, miksi ihmeessä GDPR siihen soveltuisi. Näinhän asia teoriassa onkin, mutta on hyvä muistaa, että evästeiden käyttöön sovelletaan lähtökohtaisesti eri lainsäädäntöä.

 

Sähköisen viestinnän tietosuoja vuonna 2002

 

Vaikka juridiikka tai varsinkin sen historia ei kiinnostaisi pätkääkään, auttaa evästeitä koskevan lainsäädännön tunteminen kuitenkin merkittävästi erilaisten tulkintojen tekemisessä.

 

Vuonna 2002 EU:ssa säädettiin direktiivi henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) eli tuttavallisemmin ns. “ePrivacy Direktiivi”. Kyseisen direktiivin viestinnän luottamuksellisuutta koskevan artiklan 5 alakohdassa 3 säädettiin, että

 

sähköisten viestintäverkkojen käyttö tietojen tallentamiseksi tai tilaajan tai käyttäjän päätelaitteelle tallennettujen tietojen käyttämiseen sallitaan ainoastaan sillä edellytyksellä, että kyseiselle tilaajalle tai käyttäjälle annetaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta direktiivin 95/46/EY mukaisesti ja että hänelle annetaan oikeus kieltää tietojen käsittelystä vastaavaa tahoa suorittamasta tällaista käsittelyä. Tämä ei estä teknistä tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestinnän välittäminen sähköisissä viestintäverkoissa tai helpottaa sitä tai joka on ehdottoman välttämätöntä sellaisen tietoyhteiskunnan palvelun tarjoamiseksi, jota tilaaja tai käyttäjä on erityisesti pyytänyt.

 

Kansankielelle käännettynä edellä mainittu artikla tarkoittaa sitä, että jos loppukäyttäjän kuten verkkosivuvierailijan päätelaitteelle tallennetaan tietoja (huom. sanamuoto) TAI tällaisia loppukäyttäjän päätelaitteella jo tallennettuja tietoja käytetään, tulee loppukäyttäjiä informoida vanhan, GDPR:ää edeltävän henkilötietodirektiivin mukaisesti ja tulee loppukäyttäjille tarjota mahdollisuus kieltäytyä tällaisesta tietojen tallentamisesta tai käyttämisestä.

 

31. Lokakuuta 2003 alkaen (kun kyseinen direktiivi tuli olla saatettu osaksi jäsenvaltioiden kansallista lainsäädäntöä), evästeiden käytöstä tuli siis informoida ja loppukäyttäjille tuli tarjota mahdollisuus kieltäytyä evästeiden käytöstä (mikäli evästeet eivät olleet ns. välttämättömiä). Tällainen jälkikäteinen mahdollisuus kieltäytyä tunnetaan tietosuojassa ns. “Opt-out” -mekanismina.

 

Kovin moni verkkosivusto ei kuitenkaan tehnyt tämän lainsäädännössä tapahtuneen muutoksen johdosta käytännössä mitään toimenpiteitä, sillä kyseinen opt-out mahdollisuus sisältyi useimpiin silloisiin Internet selaimiin.

 

Opt-out mekanismista opt-iniin

 

Evästeiden suhteen asiat olivat vielä verkkosivun ylläpitäjän kannalta kovin yksinkertaisia vuoteen 2009 asti. Vuonna 2009 EU:ssa uudistettiin ePrivacy Direktiiviä ja samalla sen edellä mainittua artiklaa 5(3). Direktiivillä 2009/136/EY kyseisen artiklan sanamuotoa muutettiin seuraavaksi:

 

Jäsenvaltioiden on varmistettava, että tietojen tallentaminen tai tilaajan tai käyttäjän päätelaitteelle tallennettujen tietojen käyttäminen sallitaan ainoastaan sillä edellytyksellä, että kyseinen tilaaja tai käyttäjä on antanut suostumuksensa saatuaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta direktiivin 95/46/EY mukaisesti. Tämä ei estä teknistä tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestinnän välittäminen sähköisissä viestintäverkoissa tai joka on ehdottoman välttämätöntä tietoyhteiskuntapalvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai käyttäjä on erityisesti pyytänyt.

 

Kansankielellä siis tallennettaessa loppukäyttäjän kuten verkkosivuvierailijan päätelaitteelle tietoja TAI tällaisen loppukäyttäjän päätelaitteella jo tallennetun tiedon käyttäminen, vaatii suostumuksen pyytämistä vanhan henkilötietodirektiivin mukaisesti (informoinnin lisäksi). Toki kyseinen artikla sisältää poikkeuksia suostumuksen pyytämistä koskevasta velvoitteista, mm. “ehdottoman välttämättömien” evästeiden kohdalla.

 

Vuodesta 2011 lähtien ei-välttämättömien evästeiden hyödyntäminen sekä loppukäyttäjän päätelaitteelle tallennettujen tietojen käyttäminen on vaatinut suostumuksen. Kuten kyseisen artiklan sanamuodosta huomataan, lainsäätäjän tavoitteena oli nimenomaan siirtyä opt-outista opt-iniin edellyttäen loppukäyttäjiltä “vapaaehtoista, yksilöityä ja tietoista tahdon ilmaisua”.

 

Miten GDPR sekoitti pakkaa?

 

Vaikka suostumusta on edellä kuvatulla tavalla edellytetty jo käytännössä vuodesta 2011, tuli evästekeskustelu uudelleen pinnalle GDPR:n myötä. Rohkenen väittää, ettei Internet selaimen asetukset ikinä täyttäneet edes vanhan henkilötietodirektiivin suostumusta koskevia vaatimuksia. Asiaan ei kuitenkaan kiinnitetty huomiota kuin vasta 2016 jälkeen, jolloin GDPR tuli voimaan.

 

GDPR:n voimaantulon myötä myös ePrivacy Direktiivin suostumusta koskevat edellytykset muuttuivat. Suostumusta ei ole erikseen määritetty ePrivacy Direktiivissä. Sen 2f artiklan mukaisesti suostumuksella tarkoitetaan “samaa kuin rekisteröidyn suostumuksella direktiivissä 95/46/EY” (vanha henkilötietodirektiivi).

 

GDPR:n 94 artiklassa säädetään vanhan henkilötietodirektiivin kumoamisesta ja jatkossa kaikkia “Viittauksia kumottuun direktiiviin pidetään viittauksina tähän asetukseen”. Näin ollen, kun ePrivacy Direktiivissä puhutaan suostumuksesta, viitataan sillä vanhan henkilötietodirektiivin sijasta nyt GDPR:ään.

 

Itse GDPR ei siis tuonut sinänsä ihmeellisiä muutoksia "anonyymin analytiikan tekemiseen", muutakuin sen, että GDPR:n myötä erityisesti pätevän suostumuksen edellytyksistä alettiin puhua aikaisempaa tarkemmalla tasolla. Toki voitaneen väittää, että pätevälle suostumukselle asetetut edellytykset ovat nykyisin vanhaa henkilötietodirektiiviä tiukemmat.

 

Jos analytiikka on anonyymia, miksi ihmeessä suostumus?

 

Asia, joka monelta on jäänyt huomaamatta lukiessa ePrivacy Direktiiviä, liittyy jälleen kerran sanamuotoihin. Lukiessa artiklaa 5(3) voidaan huomata, ettei kyseinen artikla itseasiassa puhu evästeistä mitään. Soveltamisalaa ei ole haluttu rajata pelkästään evästeisiin, vaan se on aina soveltunut evästeiden lisäksi kaikkeen ‘tiedon’ tallentamiseen ja ‘tiedon’ käyttöön. Eväste nähdään vain yhdenlaisena ‘tietona’.

 

Itseasiassa nykypäivän verkkosivusto koostuu monesta yksittäisestä ‘tiedosta’, jota käyttäjän päätelaitteelle ‘tallentuu’. Kyse voi olla perinteisen HTML -tiedoston lisäksi fonteista, kuvista, javaskripteistä, pikseleistä sekä muista tiedoista. Tästä syystä lainsäädännössä onkin poikkeuksia suostumukseen liittyen, eikä em. tiedostojen ‘tallentaminen’ edellytä suostumusta, mikäli tallentaminen on “ehdottoman välttämätöntä” palvelun tarjoamiseksi.

 

Kun omalle verkkosivulle otetaan jokin analytiikkaratkaisu käyttöön, huomataan että myös se koostuu useasta eri ‘tiedosta’, joita käyttäjän päätelaitteelle tallentuu. Vaikka käytössä oleva analytiikkaratkaisu mahdollistaisi evästeen käytön lopettamisen, se ei tarkoita sitä, että suostumusta koskevaa vaatimusta päästäisiin karkuun.

 

Kuten moni valvontaviranomainen (ml. Traficom) katsoo, analytiikan tekeminen ei ole “ehdottoman välttämätöntä” verkkosivuston tarjoamiseksi. Tästä syystä kaikki ‘tiedot’, joita käyttäjän päätelaitteelle tallentuu käytössä olevan analytiikkaratkaisun yhteydessä, edellyttää suostumusta. Mikäli suostumusta ei saada, ei myöskään javaskriptiä tai muuta ‘tietoa’ saada tallentaa käyttäjän päätelaitteelle.

 

Toki, moni voisi argumentoida, ettei esimerkiksi javascript tallennu mihinkään vaan pikemminkin se suoritetaan loppukäyttäjän selaimessa. Vaikka näin olisikin, analytiikkaan liittyvät javascriptit keräävät joka tapauksessa tietoa käyttäjän päätelaitteelta. Suostumusta siis edellytetään, mikäli analytiikka katsotaan “ei-välttämättömäksi”.

 

Suostumusta vaaditaan vaikka henkilötietoja ei käsiteltäisi

 

Vaikka käytössä oleva analytiikka onnistuttaisiinkin toteuttamaan anonyymisti, päästään tällä toki karkuun GDPR:n soveltamista. Jos analytiikan tekemisessa on kyse loppukäyttäjän päätelaitteen hyödyntämisestä, tulee ePrivacy Direktiivin artikla 5(3) ja sen myötä myös GDPR:n pätevää suostumusta koskevat edellytykset sovellettavaksi. Näin, vaikka analytiikassa ei käsiteltäisi mitään henkilötietoja.

 

Toki on olemassa myös valvontaviranomaisia, jotka katsovat analytiikan tekemisen tietyin edellytyksin “ehdottoman välttämättömäksi”, jolloin myöskään ePrivacy Direktiivin suostumusta koskeva vaatimus ei tule sovellettavaksi. Edelleen on hyvä seurata myös uuden ePrivacy Asetuksen kehittymistä, sillä se tuo varmasti lisää muutoksia ja kiemuroita tähän(kin) pelikenttään.

 

Viimeiseksi, mikäli analytiikan tekemiseen liittyisi myös henkilötietojen käsittelyä (kuten lähes aina liittyykin), tulee luonnollisesti GDPR kokonaisuudessaan sovellettavaksi. Älä siis unohda rekisteröityjen oikeuksia, informointia tai vaikkapa 28 artiklan mukaisen käsittelysopimuksen solmimista.

 

Mihin toimiin tulisi ryhtyä?

 

Mikäli verkkosivuillasi on käytössä jokin analytiikkaratkaisu, kuten Google Analytics, Matomo tai muu vastaava, tai muita evästeitä sekä vastaavia tekniikoita on hyvä toteuttaa seuraavat toimenpiteet:

 

1) Selvitä mitä 'tietoja', eli yksittäisiä evästeitä, javaskriptejä, fontteja, pikseleitä ja muita verkkosivustosi kautta 'tallennetaan' loppukäyttäjän päätelaitteelle.

 

2) Selvitä mistä ja kuka kyseiset tiedot tallentaa. Esimerkiksi Google Fontin käyttö johtaa usein tiedon virtaamiseen Yhdysvaltalaiselle palvelimelle.

 

3) Selvitä mitä tietoja evästeiden ja muiden tekniikoiden avulla kerätään ja mitä tietoa niiden käytöstä kerääntyy (esim. loppukäyttäjän digitaalinen jalanjälki).

 

4) Selvitä mitä palveluntarjoaja tekee evästeiden avulla kerätyllä JA kertyneellä tiedolla.

 

5) Jaottele verkkosivustosi kautta tallennettavat 'tiedot' välttämättömiin ja ei-välttämättömiin. Tämä on hyvä dokumentoida tarkoin, jotta voit osoittaa perustelusi tarvittaessa valvontaviranomaiselle. Suomessa on tätä kirjoittaessa vireillä satoja evästeitä koskevia asioita käsiteltävänä.

 

6) Ota käyttöön tekninen ratkaisu, joka estää "ei-välttämättömien" tietojen tallennuksen ennenkuin loppukäyttäjä on antanut suostumuksensa. Varmista, että tilanteissa joissa loppukäyttäjä ei anna suostumustaan ei "ei-välttämättömiä" tietoja pääse tallentumaan.

 

7) Huolehdi riittävästä informoinnista. Ei-välttämättömien evästeiden ja vastaavien käyttö edellyttää informointia ja sinun tulee listata kaikki käytössä olevat evästeet ja niiden kaltaiset tekniikat, niiden käyttötarkoitukset, mitä tietoa niiden avulla kerätään, tarvittavat tiedot palveluidentarjoajista sekä evästeiden toiminta-aika.

 

8) Mikäli evästeiden ja vastaavien tekniikoiden käyttöön liittyy henkilötietojen käsittelyä, tulee sinun huolehtia muista GDPR:n velvoitteista ja dokumentoida käsittelytoimet asianmukaisesti osoitusvelvollisuuden täyttämiseksi.

 

PrivacyAnt auttaa myös evästeasioissa

 

Mikäli oma analytiikkaratkaisu aiheuttaa kysymyksiä tai olet epävarma oman verkkosivustosi vaatimustenmukaisuudesta, ota rohkeasti yhteyttä. Avaamme mielellämme sääntelyä lisää kansankielellä, koulutamme verkkosivun kehittäjiäsi sekä tarvittaessa varmistamme, että sivustosi täyttää valvontaviranomaisten odotukset.

 

Ota rohkeasti siis yhteyttä!