Teknologianeutraali laki, jota on tulkittu väärin
Vuonna 2002 säädetyn ja viimeksi vuonna 2009 päivitetyn ePrivacy-direktiivin mukaan palveluntarjoaja – esimerkiksi verkkosivuston ylläpitäjä – saa tallentaa tietoja käyttäjän päätelaitteelle tai käyttää laitteella olevia tietoja lähtökohtaisesti vain, jos tämä on antanut siihen suostumuksensa. Asiasta tekee vielä vaikeamman se, että suostumuksen tulee täyttää EU:n yleisen tietosuoja-asetuksen (GDPR) vaatimukset eli sen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen. Oikeudellinen huomautus kuten “käyttämällä tätä sivustoa suostut seurantaan” tai valmiiksi ruksitettu hyväksyntälomake eivät kelpaa.
Suostumusta ei kuitenkaan tarvita, jos tietojen tallentamisen tai käyttämisen ainoana tarkoituksena on viestien välittäminen sähköisessä viestintäverkossa, tai jos tallentaminen tai käyttäminen on ehdottoman välttämätöntä käyttäjän nimenomaisesti pyytämän palvelun tarjoamiseksi. Käytännössä tästä on kyse esimerkiksi silloin, kun verkkosivustolla käytetään pakollisia evästeitä tai muita seurantatyökaluja sivuston teknisen toiminnallisuuden ja turvallisuuden varmistamiseksi.
Viimeksi 15 vuotta sitten päivitetyssä säädöksessä ymmärrettävästi viitataan nimenomaisesti vain sen ajan seurantatyökaluihin, siis lähinnä evästeisiin. Vaikka evästeet on mainittu ainoastaan esimerkkinä ja direktiivin mukaan se koskee myös kaikkia “vastaavia menetelmiä”, monet ovat tulkinneet lakia niin, että se koskee ainoastaan evästeitä ja joitakin samantyyppisiä tiedostopohjaisia seurantateknologioita. Tästä syystä evästeitä koskevat suostumuslomakkeet eli niin kutsutut evästebannerit ovat nykyään varsin yleisiä, kun taas muiden seurantateknologioiden käyttöä varten kysytään ani harvoin käyttäjältä lupaa.
Tuoreet, selkeät pelisäännöt
Tietosuojaneuvoston ohjeessa arvioidaan nyt sitä, missä tapauksissa käyttäjän suostumus tulee hankkia, kun seurannassa käytetään muita(kin) työkaluja kuin evästeitä. Tiivistettynä tietosuojaneuvoston kanta kuuluu niin, että kaikenlainen ei-välttämätön seuranta, jossa käytetään mitä tahansa käyttäjän laitteella olevia tai laitteen antamia tietoja (esimerkiksi laitteen IP-osoitetta tai laitetunnisteita) tai jossa tallennetaan mitä tahansa tietoja käyttäjän laitteelle, vaatii suostumuksen.
Suostumus vaaditaan lähtökohtaisesti kaikilta, siis myös silloin, kun seurannan kohteena oleva käyttäjä on yritys tai muu oikeushenkilö. Lisäksi asia ei ole riippuvainen siitä, käsitelläänkö samassa yhteydessä henkilötietoja, vaan suostumus vaaditaan myös anonyymiin seurantaan, jos siinä tallennetaan tai käytetään mitä tahansa käyttäjän päätelaitteella olevia tai sen antamia tietoja.
“Käyttäjän suostumus vaaditaan aina, jos seurantatyökalujen käyttötarkoituksena on mainonnan kohdistaminen, asiakkaiden ja käyttäjävirtojen analysoiminen, konversioiden seuraaminen, käyttäjän käyttömieltymysten tarkastelu tai mikä tahansa muu seuranta, joka ei ole ehdottoman välttämätöntä asiakkaan odottaman palvelun tai toiminnallisuuden toteuttamiseksi.”
Kantansa selkiinnyttämiseksi tietosuojaneuvosto arvioi ohjeessa muutamia nykypäivän seurantateknologioita ja niiden suhdetta direktiiviin. Neuvosto korostaa, että arvioidut teknologiat ovat ainoastaan esimerkkejä eivätkä suinkaan edusta täydellistä luetteloa työkaluista, jotka voivat vaatia käyttäjän suostumuksen. Käymme tässä läpi pari neuvoston tarkastelemaa tilannetta, jotka tulevat vastaan useimpien yritysten päivittäisessä toiminnassa.
Verkkosivustojen ja uutiskirjeiden piiloseuranta vaatii yleensä suostumuksen
Aluksi tietosuojaneuvosto tarkastelee kahta suosittua nykypäivän teknologiaa: analytiikkapikseleitä ja seurantalinkkejä. Analytiikkapikselit ovat pieniä (yleensä nimensä mukaisesti pikselin kokoisia ja käytännössä näkymättömiä) tiedostoja, joita voidaan piilottaa esimerkiksi verkkosivuille, sähköpostiviesteihin tai mihin tahansa muuhun sähköiseen käyttöympäristöön. Niiden tarkoituksena on, että kun käyttäjä avaa tietyn sivun tai viestin tai siirtyy tiettyyn kohtaan siinä, pikseli latautuu ja lähettää palveluntarjoajalle vähintäänkin tiedon siitä, että pikseli on latautunut ja käyttäjä on siten avannut kyseisen sivun tai viestin tai vaikkapa selannut sen loppuun.
Analytiikkapikselit ovat suosittuja seurantatekniikoita, kun halutaan selvittää esimerkiksi, kuinka moni asiakas on lukenut yrityksen lähettämän uutiskirjeen. Kaikki tunnetut sähköpostituspalvelut tarjoavat keinoja viestien avausten, lukemisien, reaktoiden ja konversioiden mittaamiseksi. Usein taustalla on analytiikkapikseleihin tai samantyyppisiin työkaluihin perustuva seuranta. Verkkosivustoilla analytiikkapikseleitä voidaan käyttää esimerkiksi sen mittaamiseen, miten sivuston eri kohtia selataan ja mitkä “heatspotit” keräävät klikkejä.
Seurantalinkistä on puolestaan kysymys, jos esimerkiksi verkkosivuston osoitteeseen lisätään tunnisteita, joilla tietty käyttäjä tai käyttäjäkohtainen sessio voidaan yksilöidä. Käytäntö on yleinen varsinkin verkkokaupoissa, mutta sitä harjoitetaan myös esimerkiksi osana erilaisia mainos- ja markkinointilinkityksiä, kun halutaan seurata vaikkapa sitä, kuka uutiskirjeen vastaanottaja tai mainoksen katselija klikkaa mitäkin linkkiä.
Artikkeli jatkuu kuvan alla
Jos “cid”-tunnistetta käytetään vaikkapa tarjouskampanjan tehokkuuden mittaamiseen, tarvitaan sen käyttöön asiakkaan suostumus.
Vaikka ohjeessa ei ole mainittu lukuisia muita seurantatyökaluja, kuten käyttäjän aktiviteetin mittaamista hiiren liikkeiden tai mobiilisovellusten lämpökarttojen avulla, on turvallisinta olettaa, että kaikki kuviteltavissa olevat teknologiat kuuluvat lain soveltamisalaan, jos ne tallentavat mitään tietoa käyttäjän laitteelle tai hyödyntävät laitteelta saatuja tietoja (kuten käyttäjän selaimen avulla kerättyjä kursorin sijaintitietoja tai mobiililaitteen antamia tietoja sormen näpäytyskohdista).
Ohjeen perusteella käyttäjän suostumus vaaditaan aina, jos seurantatyökalujen käyttötarkoituksena on mainonnan kohdistaminen, asiakkaiden ja käyttäjävirtojen analysoiminen, konversioiden seuraaminen, käyttäjän aktiviteetin tarkastelu tai mikä tahansa muu seuranta, joka ei ole ehdottoman välttämätöntä asiakkaan odottaman palvelun tai toiminnallisuuden toteuttamiseksi.
Verkkosivustojen tapauksessa seuranta ilman suostumusta on sallittua vain, jos se palvelee asiakkaan selaaman verkkosivuston tekniseen toiminnallisuuteen ja turvallisuuteen liittyvää toimintoa. Verkko-osoitteisiin on sallittua lisätä jopa käyttäjän yksilöivä tunniste, jos se on välttämätöntä vaikkapa asiakasportaaliin kirjautumisen turvaamiseksi. Sen sijaan esimerkiksi Google Analyticsia varten osoitteeseen lisätty käyttäjätunniste ei todennäköisesti ole teknisesti välttämätön verkkosivuston tarjoamiseksi asiakkaalle, vaan se palvelee myyjän markkinointiin liittyviä tarkoitusperiä. Suostumus vaaditaan, vaikka sama tunniste palvelisi yhtäältä teknisesti välttämättömiä mutta toisaalta myös muita tarkoituksia.
Kaikenlainen verkkoanalytiikka voi vaatia nyt suostumuksen
Tärkeä tarkennus uudessa ohjeessa koskee verkkosivustoilla tapahtuvaa analytiikkaa ja muuta seurantaa. Kuten mainittu, monet ovat tähän asti ajatelleet, että ePrivacy-direktiivi vaatii hankkimaan käyttäjän suostumuksen ainoastaan, jos tämän päätelaitteelle tallennetaan evästeitä tai vastaavanlaisia tiedostoja. Tämän vuoksi monet ovat virheellisesti olettaneet, että laki ei aseta rajoituksia niin kutsutulle evästeettömälle analytiikalle, joka perustuu esimerkiksi IP-osoitteiden ja laitetunnisteiden keräämiseen ja jossa ei tallenneta käyttäjän päätelaitteelle mitään.
Muun muassa käyttäjien tietosuojaa kunnioittava, avoimeen lähdekoodiin perustuva Matomo Analytics on tarjonnut jo pitkään evästeetöntä vaihtoehtoa verkkosivuston käyttäjätietojen keräämiseksi. Osin tämän vuoksi esimerkiksi Suomessa viranomaiset ja lukuisat tietosuojamyönteiset yritykset (mukaanlukien Varoen) ovat suosineet kyseistä alustaa Google Analyticsin sijaan.
Tietosuojaneuvoston ohje tekee kuitenkin selväksi, että vaatimus käyttäjän suostumuksesta ei koske pelkästään evästeiden ja muiden sellaisten tiedostojen hyödyntämistä, vaan suostumus vaaditaan myös silloin, kun analytiikassa käytetään mitä tahansa käyttäjän laitteella olevaa tai laitteen (esimerkiksi verkkosivun pyynnöstä) antamaa tietoa. Toisin sanoen myös laitekohtaisiin IP-osoitteisiin tai muihin laitetunnisteisiin (sekä tietysti myös laitteella jo oleviin evästeisiin ja muihin tiedostoihin) perustuva seuranta vaatii suostumuksen, sillä siinä hyödynnetään käyttäjän päätelaitteella olevia tai sen luovuttamia tietoja. On syytä muistaa, että suostumus vaaditaan myös silloin, kun seurannassa käytetyt tiedot eivät ole henkilötietoja.
Artikkeli jatkuu kuvan alla
Varoen on jo toimintansa alusta saakka pyytänyt verkkosivukäyttäjiltään suostumuksen anonyymiin ja evästeettömään analytiikkaan.
Niin kuin edelläkin, myöskään verkkoanalytiikassa suostumusta ei kuitenkaan tarvita, jos seuranta on ehdottoman välttämätöntä verkkosivuston tai muun palvelun toteuttamiseksi. Esimerkiksi verkkosivuston käyttäjien yksilöinti ja analysointi on täysin sallitua ilman suostumusta, jos tarkoituksena on ainoastaan sivuston kuormituksen tasaaminen tai palvelunestohyökkäysten torjuminen.
Uutiskirjeiden lähettäminen vaatii erityistä huomiota
Tietosuojaneuvoston ohjeen perusteella on selvää, että mikäli yrityksesi käyttää uutiskirjeissään ja mainosviesteissään analytiikkapikseleitä, seurantalinkkejä tai muita seurantateknologioita, tarvitsette vastaanottajan suostumuksen. Jos käytätte uutiskirjeiden lähettämisessä esimerkiksi Mailchimpiä, Hubspotia tai vastaavia alustoja, asiaan on syytä kiinnittää erityistä huomiota. Useimmissa palveluissa esimerkiksi analytiikkapikseleihin perustuva seuranta on oletusarvoisesti päällä, ja sen pois kytkeminen on yrityksesi vastuulla seurannan ollessa lainvastaista.
Jotta seuranta on sallittua, täytyy yrityksen saada kaikilta vastaanottajilta lainmukainen suostumus. Sillä ei ole merkitystä, kerätäänkö seurantateknologioilla henkilötietoja vai tilastoidaanko sillä esimerkiksi yleisellä tasolla “open ratea” tai “click ratea”. Suostumus tarvitaan myös anonyymiin seurantaan.
Vaikka suostumus olisi saatu varsinaiseen uutiskirjeiden lähettämiseen (nk. markkinointisuostumus), se ei riitä: lain mukaan erillinen suostumus tarvitaan nimenomaan seurantateknologioiden käyttämiseen. Jotkin palvelut sallivat suostumuslomakkeiden muokkauksen. Mikäli tämä onnistuu käyttämässänne palvelussa, kannattaa varmistaa, että lomakkeessa kerrotaan selkeästi käyttämästänne seurannasta ja pyydetään lain edellyttämä suostumus analytiikalle.
Ohje ei muuta oikeustilaa, ainoastaan selkeyttää sitä
Mitään täysin uuttahan ohjeessa ei ole. Esimerkiksi seurantapikseleiden käyttöä puitiin ensi kerran jo Euroopan tietosuojaneuvoston edeltäjän (nk. WP29-työryhmä) lausunnossa vuonna 2006. Sen jälkeen työryhmä on muun muassa vuonna 2014 todennut, että evästesuostumusta koskevat vaatimukset koskevat myös muita “vastaavia teknologioita”.
Joissakin EU-maissa, kuten esimerkiksi Ranskassa, on jo vuosia sitten linjattu kansallisella tasolla, että seurantapikselien käyttö edellyttää käyttäjien suostumusta.
Euroopan tietosuojaneuvoston ohje oikeastaan lähinnä vahvistaa, että sääntely ei ole muuttunut miksikään ja muun muassa seurantapikselien ja -linkkien käyttö esimerkiksi verkkosivustoilla ja sähköpostiviestinnässä vaatii edelleen vastaanottajan suostumuksen.
Uutta ohjeessa on se, että nyt asiasta lausutaan nykylainsäädännön valossa ja kysymys nousee takaisin keskustelun keskiöön. Ohje myös tekee lain soveltamisalan selväksi, ja mahdolliset epäselvyydet ja uudet “porsaanreiät” ovat nyt yksiselitteisesti poissuljettuja. Tämä voi hyvin tarkoittaa, että EU-maiden valvontaviranomaiset ryhtyvät kiinnittämään enemmän huomiota eri seurantateknologioiden käyttöön sähköisissä ympäristöissä. Lisäksi ihmiset tulevat vääjäämättä tietoiseksi omista oikeuksistaan, ja piiloseurantaa koskevat valitukset voivat lähteä kasvuun.
Artikkeli jatkuu kuvan alla
Miten lainmukaisuus kannattaa varmistaa
Vaikka Euroopan tietosuojaneuvoston ohjeessa ei ole tietosuoja-ammattilaisten näkökulmasta mitään uutta, harva yritys noudattaa ePrivacy-direktiivin määräyksiä täysin. Erityisesti uutiskirjeissä käytetään hyvin usein lainvastaisesti analytiikkapikseleitä ja muita seurantatekniikoita, ja verkkoanalytiikassa lain edellyttämää suostumusta on kysytty lähinnä evästeiden käyttämiseksi mutta ei muuta seurantaa varten.
Erikoisempaa lienee se, että tietosuojaneuvoston ohje tuntuu täysin yllättäneen lukuisia uutiskirjepalveluiden ja verkkoanalytiikkapalveluiden tarjoajia, jotka ovat ainakin tähän saakka tarjonneet oletusarvoisesti lainvastaisia analytiikka- ja seurantapalveluita. Aika näyttää, saattavatko kyseiset palveluntarjoajat työkalunsa lain tasalle.
Korjausliikettä odotellessa suosittelemme, että mikäli yrityksesi lähettää sähköpostiuutiskirjeitä tai käyttää verkkosivustolla analytiikkatyökaluja, varmistat, että käyttämänne palvelut kykenevät noudattamaan lain määräyksiä.
Verkkoanalytiikassa esimerkiksi Matomo Analytics tarjoaa mahdollisuuden estää seuranta ennen kuin käyttäjä on antanut suostumuksensa esimerkiksi evästebannerissa. Suostumusta pyydettäessä on tärkeää tuoda ilmi, että käyttäjän antaessa suostumuksensa verkkosivusto kerää hänen vierailustaan analytiikkatietoja.
Uutiskirjeiden osalta seurantasuostumuksen pyytäminen voi olla hankalampaa. Hubspotissa, Mailchimpissä ja muissa uutiskirjepalveluissa “email tracking” kannattaa kytkeä pois päältä, kunnes palvelut varmasti mahdollistavat lain vaatiman suostumuksen pyytämisen seurantateknologioiden käyttämiseksi. Usein seuranta on oletusarvoisesti päällä, joten kannattaa varmistaa asia palvelun asetuksista.
Laiminlyöntien eettiset ja juridiset riskit
Yllä esitetyt suosituksemme on kohdistettu ennen kaikkea Varoenin asiakaskuntaan kuuluville yrityksille, jotka haluavat toimia vastuullisesti ja jotka kunnioittavat omien asiakkaidensa ja muiden sidosryhmien lakisääteisiä oikeuksia ja vapauksia. Tietosuojaneuvoston ohjeen noudattamatta jättäminen synnyttää jo lyhyellä aikavälillä merkittäviä eettisiä riskejä vastuullista liiketoimintaa harjoittavalle yritykselle.
Pidemmällä aikajänteellä tietosuojaneuvoston ohjetta ei kannata sivuuttaa myöskään juridisesta näkökulmasta. Sen lisäksi, että neuvosto koostuu Euroopan unionin jäsenmaiden tietosuojaviranomaisten edustajista ja sen kanta vastaa viranomaisten kantaa, niin kotimaiset kuin muutkin eurooppalaiset valvontaviranomaiset ja tuomioistuimet noudattavat neuvoston ohjeita yleensä sellaisenaan päättäessään tietosuojarikkomuksista ja niiden johdosta määrättävistä seuraamusmaksuista.
Suomessa evästeiden ja vastaavien teknologioiden käytön valvonta kuuluu liikenne- ja viestintäviraston (Traficom) vastuulle. Kyseinen viranomainen ei voi määrätä EU:n tietosuoja-asetuksen mukaisia seuraamusmaksuja, joten sinänsä laiminlyönneistä ei seuraa välittömiä taloudellisia riskejä. Jos seurantateknologioilla käsitellään samalla henkilötietoja (kuten IP-osoitteita tai päätelaitetunnisteita), asia voi kuitenkin siirtyä herkästi tietosuojavaltuutetun toimivaltaan, jolloin seuraamusriskit voivat kasvaa hyvin suuriksi hyvin nopeasti. Lisäksi muissa EU-maissa, kuten Ranskassa, evästeiden ja vastaavien teknologioiden valvonta kuuluu suoraan kyseisen maan tietosuojaviranomaisen toimivaltaan, jolloin seuraamusriski lainvastaisista evästekäytännöistä ja muista sellaisista virheistä voi syntyä huomattavasti helpommin kuin Suomessa.
Lopuksi on tärkeää pitää mielessä, että on yrityksesi vastuulla huolehtia siitä, että kaikki tietosuojatoimintanne täyttää sidosryhmien eettiset odotukset ja lain vaatimukset. Pelkästään se, että Google, Mailchimp tai muu suuri palveluntarjoaja mahdollistaa lainvastaisen henkilö- ja laitetietojen käsittelyn, ei tee toiminnasta eettisesti hyväksyttävää ja lainmukaista.
Jos kaipaat apua sen varmistamiseksi, että tietosuojatoimintasi on kaikin puolin kunnossa, olemme tukenasi! Varaa aika maksuttomaan ja riskittömään tapaamiseen, niin tarkastetaan tilanne.
Seuraa meitä LinkedInissä. Julkaisemme myös tästä aiheesta yrityksellenne hyödyllisiä päivityksiä.