Ano­ny­mi­teet­ti maksua vastaan – onko se GDPR:n mukaista?

Vaikuttaisi kuitenkin siltä, ettei niin sanottu plus-tilaus ole ollut uutismedian kaipaama ihmelääke. Iltalehti on nimittäin keksinyt liittää tämän tilaamisen uuteen kontekstiin: evästehyväksyntään. Sivustolla voi nykyisin kieltäytyä ei-välttämättömistä evästeistä vain, jos on valmis maksamaan 1,99 €/kk. Ovelaa – mutta onko Iltalehden evästehyväksyntä Traficomin ja EU:n linjan mukainen?

Lyhyt vastaus: ei ole

Mutta linjanvastaista ei ole yksin maksun kerääminen vaan…

1. Vain pakolliset evästeet -painike puuttuu.

Traficomin palveluntarjoajille tarkoitetussa ohjeessa todetaan, että “kieltäytymisen tulee olla yhtä helppoa kuin suostumuksen antamisen”. Lisäksi siinä suositellaan kolmen valintapainikkeen mallia: “Hyväksy kaikki”, “Hyväksy vain välttämättömät” ja “Tee tarkemmat valinnat”.

lltalehden sivustolla vaihtoehtoina on kuitenkin vain “Hyväksy” tai “Asetukset”. Kieltäytymisen mahdollistava painike puuttuu kokonaa, mikä on Traficomin linjauksen vastaista. Myöskään asetussivulle siirtyminen ei tarjoa todellista mahdollisuutta säätää asetuksia: siellä käyttäjä voi ainoastaan hyväksyä evästeet tai maksaa 1,99 €/kk kieltäytymisestä.

2. Asetussivun “Suostumus” ja “Oikeutettu etu” -välilehdet hämärtävät todellista valinnanvapautta.

Evästeasetusten alareunassa oleva valinta “Suostumus” / “Oikeutettu etu” ei itsessään muuta käyttäjän evästeasetuksia lainkaan. “Oikeutettu etu” ei ole vaihtoehto suostumukselle, vaan juridinen perustelu tietojen käsittelylle ilman suostumusta. Käyttäjä ei siis voi valita, että hänen tietojaan käsitellään vain oikeutetun edun puitteissa. Painike toimii lähinnä tiedotteena siitä, missä tilanteissa Iltalehden omistaja Alma Media katsoo voivansa käsitellä tietoja ilman lupaa. Tämä lisää läpinäkyvyyttä dokumentaatiotasolla, mutta ei yksinään anna käyttäjälle todellista hallintaa. Valintojen tarkoitusperää ei myöskään avata asetussivulla mitenkään.

3. Evästekysely estää sivuston käytön.

Traficomin ohje linjaa, että “suostumuksen pyytämiseen käytettävällä mekanismilla ei tule kohtuuttomasti häiritä ja estää käyttäjän pääsyä sivustolle”. Iltalehden evästekysely kuitenkin estää pääsyn sivustolle kokonaan: tumma harso peittää kaiken muun sisällön ja sivuston käytön, kunnes valinta tehdään. Sivuston tulisi olla käytettävissä myös ennen suostumusta, eikä evästepaneeli saa kokonaan estää tai piilottaa sivuston käyttöä.

4. Evästekysely ei ole selkokielinen eikä ymmärrettävä.

Traficomin mukaan käyttäjää on informoitava “kattavasti ja ymmärrettävästi” ennen suostumuksen antamista.

Alma Median evästehyväksyntäteksti antaa vaikutelman avoimuudesta, mutta ei oikeasti kerro käyttäjälle, mihin ei-välttämättömiä evästeitä käytetään. Kieli on epämääräistä ja markkinointisävyistä: puhutaan “paremmasta käyttäjäkokemuksesta” ja “palveluiden kehittämisestä”, mutta jätetään kertomatta, että kyse on laajasta käyttäjien seurantaan, analytiikkaan ja mainonnan kohdentamiseen perustuvasta tietojenkäsittelystä.

Myös viittaukset “kolmansiin osapuoliin” ja “välttämättömiin evästeisiin” jäävät yleiselle tasolle, eikä käyttäjä saa selvää, kuka tietoja käsittelee ja miksi.

Tämä ei täytä GDPR:n vaatimusta selkeästä, ymmärrettävästä ja informoidusta suostumuksesta. Tavallinen käyttäjä ei kykene tekemään tietoon perustuvaa valintaa, koska evästeinformaatiosta puuttuu konkreettisuus ja vaihtoehdot on esitetty epätasapainoisesti. Käytännössä Alma Median malli ohjaa käyttäjää hyväksymään seurannan – ei auttamaan häntä ymmärtämään, mitä hän on hyväksymässä.

5. Maksun kerääminen anonymiteetistä herättää tietosuojahuolia

Iltalehden mallissa kieltäytyminen evästeistä edellyttää maksua, mikä tekee yksityisyydensuojasta maksullisen lisäpalvelun. Ratkaisu on ainakin tietosuojan periaatteiden kannalta kyseenalainen: GDPR edellyttää, että suostumus on vapaaehtoinen eikä sen epääminen saa johtaa käyttäjälle haittaan tai kustannukseen.

Euroopan tietosuojaneuvoston (EDPB) lausunnon 08/2024 mukaan suostumuksen vapaaehtoisuus on vaarassa, jos palvelun käyttö ilman seurantaa on mahdollista vain maksua vastaan. Tällöin käyttäjän valinta ei välttämättä ole aidosti vapaa, vaan sidottu taloudelliseen paineeseen.

Vaikka viranomaiset eivät ole vielä ottaneet kantaa Iltalehden malliin, EDPB:n linjaus viittaa siihen, että maksullinen vaihtoehto yksityisyydelle voi heikentää suostumuksen pätevyyttä. Käytännössä malli tekee yksityisyydensuojasta kuluttajavalinnan, vaikka sen pitäisi olla perusoikeus, joka kuuluu kaikille ilman lisämaksua.

Alma Median puolustus

Alma Media perustelee Iltalehden Kohdennuskielto-tilausta “tuotekokeiluna”, jonka tarkoituksena on tarjota käyttäjälle vaihtoehto: maksaa 1,99 € kuussa tai sallia tietojen keruu mainontaa varten. Yhtiön mukaan kyse on parhaan käyttökokemuksen etsimisestä ja journalistisen sisällön rahoittamisesta tilanteessa, jossa mainostulot laskevat.

Perustelut eivät kuitenkaan muuta asetelman ydintä. EDPB:n tuoreen lausunnon mukaan suostumus ei ole vapaaehtoinen, jos sen epääminen johtaa maksuun tai palvelun menettämiseen – etenkin silloin, kun kyseessä on yhteiskunnallisesti merkittävä palvelu. Lisäksi käyttäjälle tulisi tarjota maksuton vaihtoehto, jossa henkilötietojen käsittelyä on vähemmän tai ei lainkaan. Iltalehti ei tarjoa tällaista vaihtoehtoa, vaan yksityisyydestä on tehty maksullinen ominaisuus.

Alma Media perustelee mallia sillä, että käyttäjä voi halutessaan käyttää muita yhtiön medioita, joissa Kohdennuskielto-tilausta ei ole käytössä. Voisiko tästä päätellä, että yhtiö tulkitsee, ettei Iltalehti olisi niin keskeinen palvelu, että EDPB:n vapaaehtoisuutta koskevat kriteerit soveltuisivat siihen tiukimmassa muodossaan? On tietysti hyvä muistaa, että EDPB:n analyysi on ohjeistusluonteinen ja tapauskohtainen, ja kansalliset viranomaiset soveltavat linjauksia ratkaisuissaan.

Miten kerätä evästehyväksyntä mahdollisimman oikeaoppisesti?

Jos Iltalehden malli on esimerkki siitä, miten ei pitäisi toimia, niin millainen sitten olisi oikeaoppinen tapa kerätä evästehyväksyntä? Traficomin ohjeistus ja EU:n tietosuojalautakunnan (EDPB) linjaukset antavat aika selkeät suuntaviivat. Evästeiden suostumus ei ole markkinointiviestintää – se on juridisesti sitova tietosuojaa koskeva toimenpide. Traficomin ja GDPR:n linjaa noudattava evästehallinta toteutuu, kun seuraavat kohdat täyttyvät:

1. Aito valinnanvapaus heti ensimmäisessä näkymässä

Käyttäjän on voitava yhdellä klikkauksella:

• hyväksyä kaikki evästeet
• hyväksyä vain välttämättömät tai
• avata tarkemmat asetukset.

Kieltäytymisen pitää olla yhtä helppoa kuin hyväksymisen. Käyttöliittymä ei saa ohjata kävijää valitsemaan tiettyä vaihtoehtoa, vaan valinnan tulee perustua vapaaehtoisuuteen ja tasapuolisuuteen – käyttäjällä on oltava yhtäläinen mahdollisuus hyväksyä tai kieltää evästeet. Tämä voidaan toteuttaa esimerkiksi kolmipainikemallilla, jota myös Traficom suosittelee.

Evästeruudun ei kuitenkaan tarvitse olla ruma. Painikkeiden värien, typografian ja muun visuaalisen ilmeen on hyvä noudattaa sivuston omaa brändi-ilmettä. Evästehyväksyntä voidaan toteuttaa myös kävijätilastoja säästäen lainsäädäntöä noudattaen – lue blogistamme tarkemmin miten se onnistuu.

2. Selkokielinen ja läpinäkyvä viestintä

Evästeistä on kerrottava ymmärrettävästi ja ilman markkinointipuhetta.

Vältä ilmaisuja kuten “parempi käyttäjäkokemus” tai “palveluiden kehittäminen” – ne eivät kerro käyttäjälle mitään konkreettista.

Kerro sen sijaan suoraan

• mitä tietoja kerätään (esim. sivustokäynnit, selaintiedot, sijainti)
• mihin niitä käytetään (esim. analytiikka, mainonnan kohdentaminen, sisällön personointi)
• kenelle tietoja luovutetaan (esim. mainosverkostot, mittauskumppanit).

Hyvä nyrkkisääntö on tämä: jos tekstin ymmärtää 12-vuotias, se on riittävän selkeä.

Äänensävyn ei kuitenkaan tarvitse olla pelottava tai varoitteleva. Leppoisa mutta rehellinen tyyli toimii parhaiten – sellainen, joka kertoo faktat suoraan ja auttaa käyttäjää tekemään oman päätöksensä ilman painostusta.

3. Käytön ei tule olla sidottu suostumukseen

Käyttäjän tulee voida käyttää sivustoa myös ilman ei-välttämättömiä evästeitä.

Bannerin ei tulisi estää sivun käyttöä, eikä suostumuksen epäämisen pitäisi johtaa maksuun, rajoitettuun sisältöön tai huonompaan käyttökokemukseen. Tämä on nimenomaan se kohta, jossa “maksa tai suostu” -mallit eivät ole periaatteen mukaisia. Euroopan tietosuojaneuvoston (EDPB) lausunnon 08/2024 mukaan tällaisissa malleissa on suuri riski, että suostumus ei ole enää vapaasti annettu, kuten GDPR edellyttää. Lausunnossa todetaan, että jos palvelun käyttö ilman suostumusta on mahdollista vain maksua vastaan, on epätodennäköistä, että käyttäjän valinta olisi aidosti vapaaehtoinen. EDPB korostaa, että suostumuksen on oltava “tasapainossa” – eli palvelun tarjoajan ei tule asettaa käyttäjälle kohtuuttomia esteitä, rajoituksia tai kustannuksia sen perusteella, antaako hän suostumuksensa vai ei.

Lisäksi lausunnossa todetaan, että palveluntarjoajan tulee arvioida mallin vaikutuksia käyttäjän perusoikeuksiin, kuten yksityisyyteen ja tiedolliseen itsemääräämisoikeuteen. Jos käyttäjä joutuu maksamaan välttääkseen profiloinnin tai kohdennetun mainonnan, hänen päätöksensä ei perustu todelliseen valinnanvapauteen vaan taloudelliseen pakkoon. Lausunnon mukaan tällainen asettelu voi johtaa siihen, ettei suostumusta voida pitää lainmukaisena edes muodollisesti, vaikka käyttäjä olisi teknisesti klikannut “hyväksyn”.

4. Helppo suostumuksen peruminen ja muuttaminen

Suostumusta ei anneta “kerralla ja ikuisesti”. Käyttäjän pitää voida milloin tahansa

• avata evästeasetukset uudelleen
• perua suostumus kokonaan tai osittain
• nähdä selkeästi, mitä hän on aiemmin hyväksynyt.

Traficom ohjeistaa, että suostumuksen hallintaa varten on hyvä tarjota selkeä, pysyvästi näkyvä linkki, esimerkiksi sivustolla kelluva asetus-ikoni tai footerin lisätty Muuta evästeasetuksia -linkki, jonka kautta käyttäjä voi palata evästeasetuksiin myöhemmin.

5. Jatkuva dokumentointi ja omavalvonta

Yrityksen on pystyttävä osoittamaan, että evästeisiin liittyvä suostumus on kerätty lainmukaisesti ja läpinäkyvästi. Tämä tarkoittaa käytännössä kolmea asiaa:

• Kirjattua tietoa siitä, milloin ja mihin tarkoituksiin käyttäjä on antanut suostumuksensa.
• Ajantasaista evästekuvausta, jossa on selkeä lista kaikista käytössä olevista evästeistä, niiden käyttötarkoituksista, toimittajista ja säilytysajoista.
• Säännöllistä auditointia, jolla varmistetaan, etteivät kolmannen osapuolen evästeet tai seurantapikselit pääse käyttöön ilman asianmukaista hallintaa tai dokumentointia.

Onneksi useimmat modernit evästehallintapalvelut, kuten CookieHub, OneTrust ja muut vastaavat työkalut, tuottavat suuren osan tästä dokumentaatiosta automaattisesti. Ne tallentavat käyttäjän tekemät valinnat, muodostavat raportteja asetuksista ja pitävät rekisteriä käytössä olevista evästeistä.

Pelkkä automaatio ei kuitenkaan riitä. On tärkeää seurata ja tulkita palveluiden muodostamia raportteja aktiivisesti, sillä automaattiset skannaukset löytävät säännöllisesti uusia evästeitä ja skriptejä. Raportteja on syytä lukea ajatuksella ja arvioida kriittisesti:

• Onko eväste todella tarpeellinen?
• Laukeaako se vasta, kun käyttäjä on antanut siihen suostumuksen?
• Pysyykö kolmannen osapuolen seuranta sovituissa rajoissa?

Vastuullinen evästehallinta ei siis ole kertaluonteinen asennus, vaan jatkuvaa valvontaa ja arviointia. Kun yritys ymmärtää oman eväste-ekosysteeminsä ja reagoi muutoksiin nopeasti, se ei ainoastaan täytä GDPR:n vaatimuksia, vaan myös vahvistaa käyttäjien luottamusta ja uskottavuutta digitaalisessa ympäristössä.

Jos evästejärjestelmä on laaja tai monimutkainen, voi olla hyödyllistä teettää ulkopuolinen selvitys sen nykytilasta. Meidän tiimimme tarjoaa eväste- ja seuranta-analyysejä, joissa käymme läpi sivuston evästeet, luokittelemme ne ja teemme suositukset tarvittavista korjauksista ja dokumentaatiosta. Kiinnostaako? Ota yhteyttä!