Rekisteröidy
AfterDawn logo

Oikeus: Euroopan keksikyselyt toimivat laittomasti - koskee myös Suomea

Oikeus: Euroopan keksikyselyt toimivat laittomasti - koskee myös Suomea
Petteri Pyyny Petteri Pyyny

Euroopan laajuisessa päätöksessä usean EU-maan tietosuojasta vastaavat viranomaiset ovat tehneet päätöksen, joka tulee muuttamaan merkittävästi tapaa, jolla verkkosivujen keksikyselyt toimivat.

Jotta asiaa ymmärtäisi paremmin, kannattaa asiaa pohjustaa hieman:

Useiden kotimaistenkin verkkosivujen evästekyselyt ovat jo lähtökohtaisesti laittomia. Laillisessa keksikyselyssä pitää kertoa kaikki ne ulkopuoliset tahot, joille evästeillä voidaan välittää tietoa. Lisäksi kyselyn yhteydessä on annettava mahdollisuus valita mille näistä ulkopuolisista tahoista haluaa antaa tietojaan - vai haluaako kieltää tietojen välityksen eteenpäin kokonaan.

Ja sen lisäksi evästekyselyn vastauksen pitää myös oikeasti toimia: eli jos evästeitä ei hyväksy, niitä ei verkkosivusto myöskään saa välittää eteenpäin. Käytännössä tämä näkyy myös niin, että kieltäytymällä kokonaan ulkopuolisista evästeistä, ei verkkosivu saa näyttää edes YouTube-upotuksia sivuillaan kyseiselle käyttäjälle.

Tähän ongelmaan isot mainosverkot ja julkaisijat ovat kehittäneet IAB Europe -kattojärjestönsä kautta Transparency and Consent Framework -mallin (TCF), joka standardoi sen, miten evästeiden hyväksyminen ja hylkääminen pitää tiedottaa eteenpäin mm. mainosverkoille ja vaikkapa YouTubelle.


Jos käyttäjä on hylännyt evästeet, näkyy verkkosivuilla kohdennettujen mainosten sijaan sattumanvaraisia mainoksia - ei siis nimenomaan kyseiselle käyttäjälle kohdennettuja mainoksia.

Nyt tietosuojaviranomaiset ovat ottaneet hampaisiinsa edellä mainitun TCF-mallin.

TCF-mallissa tieto evästeiden hyväksynnästä ja hylkäämisestä välitetään kaikille mainosverkoille eteenpäin ja siihen yhteyteen kytketään kyseistä käyttäjää kuvaava sattumanvaraisesti luotu numerosarja.

GDPR:n mukaan kaikki tieto, joka voidaan edes teoriassa ajatella olevan yhdistettävissä takaisin yksittäiseen henkilöön, lasketaan henkilötiedoksi. Eli myös sattumanvaraisesti luotu numerosarja on siis henkilötieto.

Kyseinen tieto siis välitetään eteenpäin mainosverkoille, vaikka käyttäjä olisi kieltäytynyt kaikista evästeistä. Belgian tietosuojaviranomaisen johtaman koalition mukaan tämä muodostaa laittoman henkilörekisterin, jolle käyttäjä ei ole antanut nimenomaista, selkeää lupaa.

Viranomaiset katsoivat laajassa päätöksessään (PDF, englanniksi) myös, että IAB Europe on omalta osaltaan vastuussa GDPR:n rikkomisesta TCF-mallin osalta, vaikka sen kautta mitään tietoja ei suoranaisesti kuljekaan.

Viranomainen lätkäisi myös IAB Europelle 250 000 euron sakot sekä pitkän listan vaatimuksista sen suhteen, miten TCF-malli pitää muuttaa yhteensopivaksi EU:n lainsäädännön suhteen. Myös kaikki aiemmin kerätty tieto pitää tuhota.

IAB Europe kertoo omassa tiedotteessaan, että se aikoo muuttaa TCF-mallin yhteensopivaksi Euroopan Unionin yleisen tietosuoja-asetuksen (GDPR) kanssa. Järjestö myös aikoo haastaa päätöksen ylemmissä oikeusasteissa siltä osin, että se ei katso itse olevansa osallinen henkilötietojen käsittelijänä tässä tapauksessa.


Yhteenvetona: Ei, keksikyselyt eivät ole todellakaan katoamassa mihinkään. Niiden toimintalogiikka tulee muuttumaan, mutta keveämmäksi ja yksinkertaisemmiksi ne eivät varmastikaan tule missään vaiheessa muuttumaan.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT