Yllä mainittu väite tulee usein esille yrityksien kanssa keskustellessa. Lähtökohtaisesti väite sisältää kaksi erillistä kysymystä: a) millä edellytyksillä cookie tai kotimaisesti eväste on tietosuoja-asetuksen mukaan henkilötieto itsessään tai yhdessä muiden tietojen kanssa; ja b) miten cookieihin tulisi GDPR:n aikana suhtautua vai tarvitseeko? Tässä käsitellään jälkimmäistä eli tulisiko evästeitä koskevat ohjeistukset uusia jo nyt vai voiko asian käsittelemisen siirtää tulevaisuuteen noin vuoteen 2020, kun ePrivacy ehkä tulee voimaan?
Mitä cookiet ylipäänsä ovat ja miten ne toimivat? Teknisenä johdatuksen aiheeseen ohessa eräs verkosta löytynyt sitaatti:
"Cookies allow a Web site to store information on a user's machine and later retrieve it. The pieces of information are stored as name-value pairs.
For example, a Web site might generate a unique ID number for each visitor and store the ID number on each user's machine using a cookie file.
If you type the URL of a Web site into your browser, your browser sends a request to the Web site for the page (see How Web Servers Work for a discussion). For example, if you type the URL http://www.amazon.com into your browser, your browser will contact Amazon's server and request its home page."
Evästeet alun perin kuuluivat sähköisen viestinnän tietosuojadirektiivin alaan (direktiivi 2002/58 / EY ja vuoden 2009 päivityksestä, direktiivi 2009/136 eli ns. "ePD"). Siitä tuli EU: n jäsenvaltioissa kansallista lainsäädäntöä asteittaisella täytäntöönpanolla johtaen kansallisiin eroihin ja toisin sanoen melko epäyhtenäiseen täytäntöönpanoon eri maissa. Tietoyhteiskuntakaaren 205§:n mukaan:
"Evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos käyttäjä on antanut siihen suostumuksensa ja palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta. Edellä säädetty ei koske tietojen sellaista tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestin välittämistä viestintäverkoissa tai joka on välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt. Edellä tässä pykälässä tarkoitettu tallentaminen ja käyttö on sallittua ainoastaan palvelun vaatimassa laajuudessa ja sillä ei saa rajoittaa yksityisyyden suojaa enempää kuin on välttämätöntä."
On olemassa useita aloja, joilla nykyinen ePrivacy Regulation luonnos ja GDPR ovat epäjohdonmukaisia ja aiheuttavat näin sivustojen omistajille monimutkaisuutta. Cookiet ovat yksi näistä. Teoriassa GDPR korvaa evästeiden kansalliset lait, mutta se koskee vain evästeiden osajoukkoa, joka käsittelee henkilötietoja, joten muut evästeet kuuluvat edelleen ePrivacy-direktiivin piiriin. GDPR:n soveltamisalaan kuuluvat evästeet voisivat vedota oikeusperustaan, joka ei ole suostumus, josta ilmeisimmin oikeutetut edut. Koska suostumus on ainoa oikeusperusta voimassa olevan ePD:n sisällä välttämättömiä evästeitä lukuun ottamatta, syntyy mielenkiintoinen tilanne, jossa ei-henkilötietointensiivisellä evästeellä, esimerkiksi eväste tallentaen tietoja näytön koosta, voi olla GDPR:ää tiukempia suostumusvaatimuksia. Tämäntyyppinen eväste ei tallenna riittävästi tietoja, jotta sitä pidettäisiin henkilötietoina, joten GDPR ei sovellu, mutta se ei myöskään todennäköisesti ole "ehdottoman välttämätöntä", sillä sivuston tarvitsisi vain nämä tiedot yhteen istuntoon. Se voi olla hyvä optimointia ja suorituskykyä varten, mutta se ei ole "välttämätön eväste".
Miten käytännössä GDPR:n voidaan arvioida vaikuttavan henkilötietointensiivisiin evästeisiin käytännössä ja mitkä viisi asiaa tulisi huomioida evästepolicyjä mietittäessä:
1) Implied consent eli "käytökseen perustuva suostumus" ei riittävä
2) Suostumuksen tapauksessa oltava oikeus peruuttaa
4) Evästepolicyjen uusiminen huomioiden edellä kuvatut lainsäädännön jaon mukaiset erityyppiset cookiet tuntuu perustelluimmalta vaihtoehdolta
5) No track – asetuksia kunnioitettava
Nyt ei muuta kuin uusimaan cookie policyjä ja samalla erinomaista Wappua kaikille! Lisätietoja cookie policyistä ja niiden uusimisesta tästä linkistä!
Yt.
Jan
No comments:
Post a Comment