14.5.2020

ASIA

Hakijan vaatimukset perusteluineen

Hakija on ottanut yhteyttä tietosuojavaltuutetun toimistoon, koska hakijan mielestä rekisterinpitäjän verkkosivuilla evästeiden kieltämisestä on tehty erittäin hankalaa.

Rekisterinpitäjältä saatu selvitys

Tietosuojavaltuutetun toimistossa on hakijan kantelun lisäksi käsiteltävänä useita muita rekisterinpitäjän toimintaa koskevia kanteluita, joissa hakijat ovat katsoneet, ettei rekisterinpitäjän evästeiden tallentamista ja käyttämistä varten keräämä suostumus täytä yleisen tietosuoja-asetuksen mukaisia edellytyksiä. Tietosuojavaltuutetun toimisto on pyytänyt kanteluiden johdosta rekisterinpitäjältä selvitystä 26.11.2019 päivätyllä selvityspyynnöllä. Rekisterinpitäjä on antanut selvityksensä 19.12.2019.

Rekisterinpitäjän antaman selvityksen mukaan se noudattaa evästeisiin annettavan suostumuksen osalta Traficomin ohjeistusta. Tämän ohjeen mukaan suostumus ei-välttämättömiin evästeisiin voidaan antaa selaimen asetusten avulla. Rekisterinpitäjä informoi käyttäjiä evästeiden käytöstä ja mahdollisuudesta vaikuttaa niihin selainasetusten avulla tietosuojaselosteessaan.

Lisäksi rekisterinpitäjä kertoo ottaneensa käyttöön niin sanotun evästebannerin, jonka tarkoituksena on lisätä evästeiden käyttöön liittyvää läpinäkyvyyttä ja tehdä vaikutusmahdollisuuksien käyttämisestä mahdollisimman helppoa. Klikkaamalla bannerin kohtaa ”Lisätietoja” käyttäjä pääsee tietosuojaselosteeseen, josta löytyy tietoa evästeistä sekä niihin liittyvistä vaikutusmahdollisuuksista.

Hakijan vastine

Asiassa ei ole pyydetty vastinetta hakijalta, koska sitä on pidetty hallintolain (434/2003) 34 §:n 2 momentin 5 kohdassa tarkoitetulla tavalla ilmeisen tarpeettomana. Vastineen hankkiminen ei muuttaisi asian ratkaisutapaa. Asia voidaan ratkaista tietosuojavaltuutetun toimiston tietoon saatetun yhteydenoton sekä asiassa saadun muun selvityksen perusteella.

Rajatylittävyyden arvioinnista

Rekisterinpitäjä on osa kansainvälistä konsernia, minkä vuoksi arvioitavana on ollut, onko tietosuojavaltuutettu vai jonkin muun maan tietosuojaviranomainen toimivaltainen valvontaviranomainen asiassa. Rekisterinpitäjä on selvityksessään todennut, että henkilötietojen käsittelyn tarkoituksia ja keinoja koskevat päätökset tehdään Suomessa. Tietosuojavaltuutetun toimisto on myös tutustunut rekisterinpitäjän tietosuojaselosteeseen varmistuakseen, että rekisterinpitäjä määrittelee käsittelyn tarkoitukset ja keinot itse.

Selvityksen perusteella apulaistietosuojavaltuutettu katsoo olevansa yleisen tietosuoja-asetuksen 55 artiklan mukaisesti toimivaltainen käsittelemään asian.

Tietosuojavaltuutetun toimivalta sekä sovellettava lainsäädäntö

Evästeitä sekä muita tilaajan tai käyttäjän päätelaitteelle tallennettavia tietoja ja niiden käyttämistä koskee niin sanottu sähköisen viestinnän tietosuojadirektiivi (Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla). Kyseistä direktiiviä on muutettu direktiivillä 2009/136/EY (Euroopan parlamentin ja neuvoston direktiivi 2009/136/EY, annettu 25 päivänä marraskuuta 2009, yleispalvelusta ja käyttäjien oikeuksista sähköisten viestintäverkkojen ja -palvelujen alalla annetun direktiivin 2002/22/EY, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annetun direktiivin 2002/58/EY ja kuluttajansuojalainsäädännön täytäntöönpanosta vastaavien kansallisten viranomaisten yhteistyöstä annetun asetuksen (EY) N:o 2006/2004 muuttamisesta).

Sähköisen viestinnän tietosuojadirektiivin 5 artiklan 3 kohdan mukaan jäsenvaltioiden on varmistettava, että tietojen tallentaminen tai tilaajan tai käyttäjän päätelaitteelle tallennettujen tietojen käyttäminen sallitaan ainoastaan sillä edellytyksellä, että kyseinen tilaaja tai käyttäjä on antanut suostumuksensa saatuaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta direktiivin 95/46/EY mukaisesti. Tämä ei estä teknistä tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestinnän välittäminen sähköisissä viestintäverkoissa tai joka on ehdottoman välttämätöntä tietoyhteiskuntapalvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai käyttäjä on erityisesti pyytänyt.

Sähköisen viestinnän tietosuojadirektiivin 2 artiklan 2 kohdan f alakohdassa määritellään käyttäjän tai tilaajan suostumus. Suostumuksella tarkoitetaan sähköisen viestinnän tietosuojadirektiivissä samaa kuin rekisteröidyn suostumuksella yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetussa Euroopan parlamentin ja neuvoston direktiivissä 95/46/EY (henkilötietodirektiivi). Henkilötietodirektiivi on kumottu yleisellä tietosuoja-asetuksella (luonnollisten henki-löiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/679), jäljempänä yleinen tietosuoja-asetus. Yleisen tietosuoja-asetuksen 94 artiklan mukaan viittauksia kumottuun henkilötietodirektiiviin pidetään viittauksina tähän asetukseen.

Euroopan unionin tuomioistuin on 1.10.2019, muun ohella evästeitä koskevassa ns. Planet49-asiassa (Planet49 GmbH, C-673/17, EU:C:2019:246 (tuomio 1.10.2019, EU:C:2019:801) antamansa tuomion kappaleissa 42 ja 63 selventänyt, että sähköisen viestinnän tietosuojadirektiiviä ja yleisen tietosuoja-asetuksen suostumusta koskevia edellytyksiä on luettava yhdessä ja että sähköisen viestinnän tietosuojadirektiivissä olevia viittauksia direktiiviin 95/46 on pidettävä viittauksina yleiseen tietosuoja-asetukseen.

Yleisen tietosuoja-asetuksen 4 artiklan 11 alakohdan mukaan rekisteröidyn suostu-muksella tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen.

Yleisen tietosuoja-asetuksen 6 artiklassa on tyhjentävä luettelo tilanteista, joissa henkilötietojen käsittelyn voidaan katsoa olevan laillista. Kyseisen artiklan 1 kohdan a alakohdan mukaan yksi näistä tilanteista on se, että rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten.

Suostumuksen edellytyksistä säädetään yleisen tietosuoja-asetuksen 7 artiklassa. Kyseisen artiklan 1 kohdan mukaan tietojenkäsittelyn perustuessa suostumukseen rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn. Yleisen tietosuoja-asetuksen 7 artiklan 3 kohdan mukaan rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen.

Sähköisen viestinnän tietosuojadirektiivin 5 artiklan 3 kohdan perusteella evästeiden tallentaminen ja niiden käyttäminen edellyttää, että tilaaja tai käyttäjä on antanut siihen suostumuksensa. Kyseinen vaatimus on saatettu Suomessa voimaan säätämällä asiasta sähköisen viestinnän palveluista annetun lain (7.11.2014/917) 205 §:ssä. Sähköisen viestinnän palveluista annetun lain mukaan kyseistä säännöstä valvoo Liikenne- ja viestintävirasto Traficom.

Sähköisen viestinnän tietosuojadirektiivit (2002/58/EY ja 2009/136/EY) saatettiin kansallisesti voimaan siten, että evästeiden tallentamista ja käyttämistä asetettiin valvomaan silloinen Viestintävirasto, nykyinen Traficom. Evästeitä koskeva säännös sijoitettiin kansalliseen lainsäädäntöön tuolloin osaksi viestinnän luottamuksellisuutta. Tämän ratkaisun mahdollisti kyseisiin direktiiveihin sisältyvä mahdollisuus panna ne kansallisesti täytäntöön halutulla tavalla.

Yleistä tietosuoja-asetusta alettiin soveltaa 25.5.2018. Tällöin ei tehty muutoksia sähköisen viestinnän palveluista annetun lain 205 §:ään. On kuitenkin huomattava, että yleinen tietosuoja-asetus on sellaisenaan sovellettavaa oikeutta siltä osin, kun siihen ei sisälly kansallista liikkumavaraa. Yleisen tietosuoja-asetuksen suostumusta koskevat 4 artiklan 11 alakohta ja 7 artikla ovat säännöksiä, jotka eivät sisällä kansallista liikkumavaraa eikä niistä voi siten olla voimassa kansallista sääntelyä.

EU -oikeuden etusijasta seuraa, että tässä tarkoitetussa tapauksessa suostumusta on tulkittava yleisen tietosuoja-asetuksen mukaisesti.

Tietosuojalain (5.12.2018/1050) 8 §:n mukaan tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena on tietosuojavaltuutettu. Tietosuojavaltuutetun tehtävistä ja toimivaltuuksista säädetään yleisen tietosuoja-asetuksen 55-59 artiklassa. Asetuksen 55 artiklassa säädetyn mukaisesti jokaisella valvontaviranomaisella on sille tämän asetuksen mukaisesti annettujen tehtävien hoitoa ja valtuuksien käyttöä koskeva toimivalta oman jäsenvaltionsa alueella. Asetuksen 57 artiklan mukaan jokaisen valvontaviranomaisen on alueellaan muun muassa valvottava tämän asetuksen soveltamista ja pantava se täytäntöön, edistettävä rekisterinpitäjien ja henkilötietojen käsittelijöiden tietämystä niille tämän asetuksen mukaan kuuluvista velvollisuuksista sekä käsiteltävä rekisteröidyn valituksia.

Ottaen huomioon edellä esitetyt seikat sekä se, että nyt kysymyksessä olevassa asiassa on kyse sen arvioimisesta, onko rekisterinpitäjän evästeiden tallentamista ja käyttämistä varten pyytämä suostumus yleisen tietosuoja-asetuksen mukainen ja lisäksi se, että tietosuojavaltuutettu on ainoa yleistä tietosuoja-asetusta valvova kansallinen valvontaviranomainen Suomessa, apulaistietosuojavaltuutettu katsoo olevansa toimivaltainen käsittelemään asian ja käyttämään yleisen tietosuoja-asetuksen 58 artiklassa määriteltyjä toimivaltuuksia. Apulaistietosuojavaltuutettu toteaa, että Traficomin toimivaltaan kuuluu edelleen valvoa sähköisen viestinnän palveluista annetun lain 205 §:ää, joka ei kuitenkaan tässä ratkaisussa tule sovellettavaksi tietosuojavaltuutetun toimivaltaan kuulumattomana.

Edellä lausutun ohella apulaistietosuojavaltuutettu kiinnittää vielä huomiota Euroopan unionin tuomioistuimen Planet49-asiassa antaman tuomion kappaleeseen 71, jonka mukaan direktiivin 2002/58 2 artiklan f alakohtaa ja 5 artiklan 3 kohtaa, luettuina yhdessä direktiivin 95/46 2 artiklan h alakohdan ja asetuksen 2016/679 4 artiklan 11 alakohdan ja 6 artiklan 1 kohdan a alakohdan kanssa, ei ole tulkittava eri tavoin sen mukaan, ovatko internetsivuston käyttäjän päätelaitteelle tallennetut tai sieltä haetut tiedot direktiivissä 95/46 ja asetuksessa 2016/679 tarkoitettuja henkilötietoja vai eivät.

Oikeudellinen kysymys

Asiassa on kyse siitä, onko hakijalta pyydetty suostumus evästeiden tallentamiseen ja tämän päätelaitteelle tallennettujen tietojen käyttämiseen yleisen tietosuoja-asetuksen 4 artiklan 11 alakohdan mukaisesti eli voidaanko hakijan suostumusta pitää kyseisen lainkohdan tarkoittamalla tavalla vapaaehtoisena, yksilöitynä, tietoisena ja yksiselitteisenä tahdonilmaisuna, jolla hakija hyväksyy evästeiden tallentamisen ja käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaiseman toimen. Lisäksi asiassa on kyse siitä, täyttääkö hakijan antama suostumus yleisen tietosuoja-asetuksen 7 artiklan edellytykset ja erityisesti kyseisen artiklan 3 kohdan edellytykset suostumuksen peruuttamisesta.

Apulaistietosuojavaltuutetun on ratkaistava, onko rekisterinpitäjälle annettava yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukainen määräys saattaa käsittelytoimet yleisen tietosuoja-asetuksen säännösten mukaisiksi. Lisäksi apulaistietosuojavaltuutettu arvioi, tuleeko asiassa käyttää tietosuojavaltuutetulle kuuluvia muita toimivaltuuksia.

PÄÄTÖS

Määräys

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen muuttaa sen käsittelytoimet suostumuksen keräämisessä yleisen tietosuoja-asetuksen säännösten mukaisiksi.

Apulaistietosuojavaltuutettu jättää rekisterinpitäjän harkintaan asianmukaiset toimenpiteet, mutta määrää toimittamaan selvityksen tehdyistä toimenpiteistä tietosuojavaltuutetun toimistoon 1.9.2020 mennessä.

Suostumuksen pätevyyden arviointi

Yleisen tietosuoja-asetuksen 4 artiklan 11 alakohdassa on määritelty rekisteröidyn suostumus. Sillä tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen.

Yleisen tietosuoja-asetuksen johdanto-osan 32 kappaleen mukaan suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, mukaan lukien sähköisellä, tai suullisella lausumalla, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn. Toimi voisi esimerkiksi olla se, että rekisteröity rastittaa ruudun vieraillessaan internetsivustolla, valitsee tietoyhteiskunnan palveluiden teknisiä asetuksia tai esittää minkä tahansa muun lausuman tai toimii tavalla, joka selkeästi osoittaa tässä yhteydessä, että hän hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. Jos rekisteröidyn on annettava suostumuksensa sähköisen pyynnön perusteella, pyynnön on oltava selkeä ja tiiviisti esitetty eikä se saa tarpeettomasti häiritä sen palvelun käyttöä, jota varten se annetaan.

Euroopan tietosuojaneuvostoa (EDPB) edeltänyt tietosuojaryhmä WP29 on antanut suostumusta koskevan ohjeen ”Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat, WP259 rev. 01”, jonka ohjeen Euroopan tietosuojaneuvosto on hyväksynyt. Euroopan tietosuojaneuvosto on julkaissut 4.5.2020 päivitetyn version kyseisestä ohjeesta ”Guidelines 05/2020 on consent under Regulation 2016/679, Version 1.0, Adopted on 4 May 2020”, jäljempänä EDPB:n suostumusta koskeva ohje.

EDPB toteaa suostumusta koskevassa ohjeessaan, että suostumus voi olla asianmukainen laillinen peruste vain, jos rekisteröidylle tarjotaan mahdollisuus valvoa tietojensa käyttöä sekä aito tilaisuus valita vapaasti, hyväksyykö hän tarjotut ehdot vai hylkääkö hän ne, eikä hylkäämisestä aiheudu hänelle haittaa. Henkilölle esitettäviin tietojenkäsittelyn hyväksymispyyntöihin olisi sovellettava tiukkoja vaatimuksia, koska kyse on rekisteröityjen perusoikeuksista ja koska rekisterinpitäjä haluaa toteuttaa tietojenkäsittelytoimen, joka olisi laiton ilman rekisteröidyn suostumusta.

EDPB:n suostumusta koskevan ohjeen mukaan jotta suostumusta voidaan pitää vapaaehtoisena, tämä edellyttää rekisteröityjen todellista vapaan valinnan ja valvonnan mahdollisuutta. Yleisessä tietosuoja-asetuksessa säädetään yleisesti, ettei suostumus ole pätevä, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta, jos hän tuntee olevansa pakotettu antamaan suostumuksensa tai jos hänelle aiheutuu kielteisiä seurauksia siitä, ettei hän anna suostumusta. Suostumusta ei pidetä vapaaehtoisena, jos rekisteröity ei voi kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa.

Yleisen tietosuoja-asetuksen 7 artiklassa määritellään suostumuksen edellytykset. Asetuksen 7 artiklan 1 kohdan mukaan tietojen käsittelyn perustuessa suostumukseen rekisterinpitäjän tulee pystyä osoittamaan, että rekisteröity on antanut suostumuksensa henkilötietojen käsittelyyn. Kyseisen artiklan 3 kohdan mukaan rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava tästä. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen.

EDPB korostaa suostumusta koskevassa ohjeessaan, että suostumuksen helppoa peruuttamista koskevaa edellytystä pidetään yleisessä tietosuoja-asetuksessa pätevän suostumuksen välttämättömänä osatekijänä. Kun suostumus hankitaan sähköisesti vain yhdellä hiiren klikkauksella, näytön pyyhkäisyllä tai näppäimistön painalluksella, rekisteröityjen on kuitenkin voitava käytännössä peruuttaa suostumus yhtä helposti. Rekisteröidyn olisi lisäksi voitava peruuttaa suostumuksensa ilman, että siitä aiheutuu hänelle haittaa. Tämä tarkoittaa muun muassa sitä, että rekisterinpitäjän on mahdollistettava suostumuksen peruuttaminen maksutta tai alentamatta palvelun tasoa.

Nyt kyseessä olevassa asiassa rekisterinpitäjän tarkoittama suostumus kerätään ensinnäkin sen verkkosivuilla olevan ruudun eli niin sanotun bannerin kautta. Ruudulla lukee seuraava teksti: ”Jotta sivuston käyttö olisi sinulle sujuvaa ja mainokset kiinnostavia, rekisterinpitäjä kumppaneineen käyttää sivustolla evästeitä. Jatkamalla hyväksyt evästeiden käytön.” Ruutu sisältää vihreällä olevan painikkeen ”OK” sekä ”Lisätietoja”-painikkeen. Valitsemalla kohdan ”Lisätietoja” avautuu ruudulle rekisterinpitäjän ja sen verkkosivuja koskeva tietosuojaseloste.

Tietosuojaselosteen evästeitä koskevassa kohdassa todetaan muun ohella seuraavaa:

Voimme kerätä käyttäjän päätelaitetta koskevia tietoja evästeiden avulla. Evästeitä käytetään muun muassa palveluiden kehittämiseen sekä markkinoinnin ja mainonnan kohdentamiseen. Lisäksi kolmannet osapuolet asettavat evästeitä palvelussa. Mikäli et halua vastaanottaa evästeitä, voit muuttaa selainasetuksiasi.

Seuraavaksi rekisterinpitäjän verkkosivun tietosuojaselosteessa kerrotaan muun muassa seuraavaa:

Kolmannet osapuolet voivat asettaa evästeitä käyttäjän päätelaitteelle esimerkiksi tarjotakseen käyttäjälle kohdennettua mainontaa. Saat lisätietoja alla olevista linkeistä ja voit kieltää kohdennetun mainonnan vierailemalla heidän sivustoillaan.

Tämän jälkeen tietosuojaseloste sisältää listauksen rekisterinpitäjän kumppaneista sekä linkit näiden kumppaneiden tietosuojasivustoille ja mainosvalintoihin. Listattuja kumppaneita on yhteensä 11. Lopuksi tietosuojaselosteessa kerrotaan, että muiden kolmansien osapuolien mainonnan kohdentamiseen voit vaikuttaa Your Online Choices -sivuston kautta ja että rekisterinpitäjän palvelut voivat sisältää linkkejä muihin kuin yllä mainittuihin sivustoihin, mutta rekisterinpitäjä ei vastaa näiden ulkopuolisten sivustojen yksityisyydensuojakäytännöistä tai sisällöistä.

Kuten yllä on esitetty, suostumusta ei ole pidettävä pätevästi ja vapaaehtoisesti annettuna, mikäli rekisteröidylle ei ole tarjottu aitoa tilaisuutta vapaasti valita, hyväksyykö hän tarjotut ehdot vai hylkääkö hän ne. Suostumusta ei ole pidettävä pätevänä, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta, jos hän tuntee olevansa pakotettu antamaan suostumuksensa tai jos hänelle aiheutuu kielteisiä seurauksia siitä, ettei hän anna suostumusta. Suostumusmenettelyä ei ole pidettävä pätevänä ja yleisen tietosuoja-asetuksen mukaisena myöskään silloin, kun suostumuksen peruuttamisoikeus ei täytä yleisessä tietosuoja-asetuksessa säädettyjä vaatimuksia eikä suostumuksen peruuttaminen ole yhtä helppoa kuin sen antaminen.

Tietosuojavaltuutetun toimisto on, kuten edellä on esitetty, toimivaltainen ottamaan kantaa tiedollisen itsemääräämisoikeuden käyttöön perustuvan suostumuksen antamiseen yleisen tietosuoja-asetuksen perusteella.

Tässä tapauksessa rekisterinpitäjä hankkii suostumuksen evästeiden tallentamiseen ja käyttöön siten, että käyttäjä klikkaa niin sanotun bannerin OK-painiketta. Banneri ei kuitenkaan tarjoa mahdollisuutta kieltäytyä evästeiden tallentamisesta ja niiden käyttämisestä. Voidakseen kieltää esimerkiksi kolmansien osapuolien evästeet, käyttäjän tulee rekisterinpitäjän tietosuojaselosteessa kerrotun mukaisesti vierailla kunkin kyseisessä selosteessa mainitun kumppanin verkkosivuilla ja kieltää evästeiden käyttö jokaisen kumppanin osalta erikseen. Tältä osin apulaistietosuojavaltuutettu kiinnittää huomiota myös siihen, että näin toimimalla rekisterinpitäjä ei anna käyttäjälle mahdollisuutta antaa suostumustaan tai kieltäytyä tai peruuttaa suostumustaan rekisterinpitäjän verkkosivujen palvelussa käytettävien evästeiden osalta rekisterinpitäjän omassa palvelussa. Lisäksi tietosuojaseloste jättää epäselväksi, keiden muiden kolmansien osapuolien kuin nimettyjen yhteistyökumppaneiden evästeitä rekisterinpitäjän verkkosivuilla mahdollisesti käytetään ja miten näistä evästeistä voi kieltäytyä.

Ottaen huomioon edellä lausuttu apulaistietosuojavaltuutettu katsoo, että hakijalta niin sanotun bannerin kautta pyydettyä suostumusta ei ole pidettävä yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan mukaisesti vapaaehtoisesti annettuna eikä suostumusta voida pitää myöskään yleisen tietosuoja-asetuksen 7 artiklan 3 kohdan mukaisena, koska suostumuksesta kieltäytyminen ja sen peruuttaminen ei ole edellä kuvatun tavoin yhtä helppoa kuin sen antaminen.

Niin sanotun bannerin kautta kerättävän suostumuksen ohella rekisterinpitäjä kertoo noudattavansa evästeisiin annettavan suostumuksen osalta Traficomin ohjeistusta, jonka mukaan suostumus voidaan antaa selaimen asetusten avulla. Rekisterinpitäjän tietosuojaselosteessa asia on ilmaistu seuraavasti:

” Mikäli et halua vastaanottaa evästeitä käyttäessäsi palveluitamme, voit muuttaa selainasetuksiasi. Huomioithan kuitenkin, että mikäli estät evästeiden käytön, et välttämättä pysty täysin käyttämään palveluita tai niiden kaikkia ominaisuuksia. Applikaatioiden osalta voit nollata mainostunnisteen tai rajoittaa mainosseurantaa laitteen asetuksista.”

Kuten yllä on esitetty, yleisen tietosuoja-asetuksen johdanto-osan 32 kappaleen mukaan suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn. Toimi voisi esimerkiksi olla se, että rekisteröity rastittaa ruudun vieraillessaan internetsivustolla, valitsee tietoyhteiskunnan palveluiden teknisiä asetuksia tai esittää minkä tahansa muun lausuman tai toimii tavalla, joka selkeästi osoittaa tässä yhteydessä, että hän hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta.

Suostumuksen edellytyksiä on arvioitu myös Planet49-tuomiossa, jossa oli kyse muun ohella evästeiden tallentamiseen ja käyttöön annetun suostumuksen pätevyyden arvioinnista. Unionin tuomioistuin on todennut tuomion kappaleessa 63, että direktiivin 2002/58 2 artiklan f alakohdassa ja 5 artiklan 3 kohdassa, luettuina yhdessä asetuksen 2016/679 4 artiklan 11 alakohdan ja 6 artiklan 1 kohdan a alakohdan kanssa, tarkoitettu suostumus ei ole pätevästi annettu, kun lupa tietojen tallentamiseen tai internetsivuston käyttäjän päätelaitteelle jo tallennettujen tietojen käyttämiseen on annettu valmiiksi rastitetulla ruudulla, josta käyttäjän on poistettava rasti evätäkseen suostumuksensa. Tuomioistuin viittaa tältä osin nimenomaisesti yleisen tietosuoja-asetuksen johdanto-osan 32 kappaleeseen, jossa on suljettu pois se mahdollisuus, että suostumus on annettu ”vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta”.

Yleisen tietosuoja-asetuksen 7 artiklan 1 kohdan mukaan silloin kun tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn. EDPB:n suostumusta koskevan ohjeen mukaan rekisterinpitäjän tehtävänä on osoittaa, että rekisteröidyltä on saatu pätevä suostumus. Rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröidylle toimitettiin tarvittavat tiedot ja että rekisterinpitäjän työnkulku täytti kaikki pätevälle suostumukselle asetetut merkitykselliset kriteerit. Tämän yleisessä tietosuoja-asetuksessa säädetyn velvoitteen taustalla on se, että rekisterinpitäjien on oltava vastuussa pätevän suostumuksen hankkimisesta rekisteröidyiltä samoin kuin suostumusmenettelyistä, jotka ne ovat ottaneet käyttöön.

Apulaistietosuojavaltuutettu katsoo, ettei rekisterinpitäjän nykyinen toimintatapa selainasetusten muuttamiseen viittaamalla täytä yleisen tietosuoja-asetuksen 4 artiklan 11 alakohdan eikä 6 artiklan 1 kohdan a alakohdan vaatimuksia.

Rekisterinpitäjän tietosuojaselosteessa todetaan, että käyttäjä voi selainasetuksia muuttamalla kieltää evästeiden käytön. Yleisen tietosuoja-asetuksen edellytykset täyttävällä suostumuksella tarkoitetaan kuitenkin suostumusta ilmaisevaa toimea, josta käy ilmi tahdonilmaisu, jolla hän nimenomaisesti hyväksyy henkilötietojensa käytön. Sitä, että rekisterinpitäjä kertoo, miten käyttäjä voi kieltää evästeiden tallentamisen tai niiden käyttämisen, ei ole pidettävä miltään osin vapaaehtoisena, yksilöitynä, tietoisena ja yksiselitteisenä tahdonilmaisuna, jolla hän antaa suostumuksensa evästeiden tallentamiselle ja käytölle. Lisäksi on huomattava, että suostumusta ei myöskään voida antaa jättämällä jokin toimi toteuttamatta. Siten se, että käyttäjä ei tee selainasetuksiinsa muutoksia tai jättää kieltämättä evästeiden tallentamisen ja käytön selainasetuksistaan, ei millään muotoa täytä yleisen tietosuoja-asetuksen vaatimuksia ja tarkoita, että käyttäjä olisi antanut suostumuksensa evästeiden tallentamiseen ja käyttöön.

Mikäli rekisterinpitäjä haluaa hyödyntää selainasetuksia suostumuksen pyytämisessä, sen on huolehdittava ja pystyttävä osoittamaan, että kaikki yleisen tietosuoja-asetuksen mukaiset edellytykset suostumuksen antamiselle täyttyvät. EDPB on suostumusta koskevassa ohjeessaan myös sivunnut internetin käyttäjien suostumuksen hankkimista heidän selainasetustensa kautta. EDPB:n mukaan tällaisten asetusten kehittämisessä olisi otettava huomioon yleisessä tietosuoja-asetuksessa säädetyt pätevää suostumusta koskevat edellytykset, kuten esimerkiksi se, että kutakin aiottua tarkoitusta varten tarvitaan tarkka suostumus ja että toimitettavissa tiedoissa olisi nimettävä rekisterinpitäjät.

Apulaistietosuojavaltuutettu kiinnittää vielä huomiota siihen, että yleisen tietosuoja-asetuksen 95 artiklan mukaan yleisellä tietosuoja-asetuksella ei aseteta lisävelvoitteita sellaisen käsittelyn osalta, joka liittyy yleisesti saatavilla olevien sähköisten viestintäpalveluiden tarjoamiseen yleisissä viestintäverkoissa unionissa, suhteessa sellaisiin seikkoihin, joiden osalta on noudatettava sähköisen viestinnän tietosuojadirektiivissä 2002/58/EY säädettyjä erityisiä velvoitteita, joilla on sama tavoite. Yleisen tietosuoja-asetuksen johdanto-osan 173 kappaleessa puolestaan todetaan, että tietosuoja-asetusta olisi sovellettava kaikkiin sellaisiin perusoikeuksien ja -vapauksien suojelua henkilötietojen käsittelyssä koskeviin seikkoihin, joihin ei sovelleta sähköisen viestinnän tietosuojadirektiivissä säädettyjä erityisiä velvoitteita, joilla on sama tavoite, rekisterinpitäjää koskevat velvoitteet ja luonnollisten henkilöiden oikeudet mukaan lukien. Yleinen tietosuoja-asetus tulee siten lähtökohtaisesti sovellettavaksi niiltä osin kuin sähköisen viestinnän tietosuojadirektiivissä ei ole asiasta tarkemmin säädetty.

Apulaistietosuojavaltuutettu toteaa edellä esitetyn osalta, että EDPB on suostumusta koskevassa ohjeessaan todennut nimenomaisesti, että yleisessä tietosuoja-asetuksessa säädettyjä suostumusta koskevia vaatimuksia ei pidetä ”lisävelvoitteina” vaan pikemminkin lainmukaisen tietojenkäsittelyn edellytyksinä ja että yleisessä tietosuoja-asetuksessa säädettyjä pätevän suostumuksen hankkimista koskevia edellytyksiä voidaan näin ollen soveltaa sähköisen viestinnän tietosuojadirektiivin soveltamisalaan kuuluviin tilanteisiin.

Edellä esitetyn perusteella apulaistietosuojavaltuutettu antaa rekisterinpitäjälle määräyksen muuttaa sen toimintatavat suostumuksen pyytämisessä yleisen tietosuoja-asetuksen 4 artiklan 11 alakohdan, 6 artiklan 1 kohdan a alakohdan ja 7 artiklan mukaiseksi

Määräys yleisen tietosuoja-asetuksen edellytysten vastaisen suostumuksen keräämisestä

Apulaistietosuojavaltuutettu katsoo, että vaikka rekisterinpitäjän yleisen tietosuoja-asetuksen säännösten vastainen menettely on sinänsä moitittava, ei rikkomus kuitenkaan kokonaisuutena arvioiden edellytä tässä vaiheessa määräystä huomautusta raskaampaa seuraamusta, sillä oikeustila ei ole ollut yleisen tietosuoja-asetuksen soveltamisen alettua selvä. Asiassa on kuitenkin otettava huomioon, että edellä kuvatut puutteet ovat vaikuttaneet useiden rekisteröityjen oikeuksiin. Tietosuojavaltuutetun toimistossa on vireillä useita vastaavia kanteluita.

Sovelletut lainkohdat

EU:n yleisen tietosuoja-asetuksen (2016/679) 4 artiklan 11 alakohta, 6 artiklan 1 kohta, 7 artikla, 55 artikla, 57 artikla, 58 artiklan 2 kohdan b ja d alakohta, 94 artikla, 95 artikla

Hallintolain (434/2003) 34 §:n 2 momentin 5 kohta

Päätös on lainvoimainen.