Tietosuojaviranomaiset tukevat noybin vaatimusta oikeudenmukaisista kyllä/ei-evästeiden bannereista
Euroopan tietosuojaneuvoston (EDPB) työryhmä on julkaissut raporttiluonnoksen vastauksena noybin yli 700 evästebannerivalitukseen. Euroopan tietosuojaviranomaiset tukevat suurelta osin noybin valituksia. Jos tietosuojaviranomaiset panevat tämän raportin täytäntöön päivittäisissä käytännöissään, verkkosivustojen käyttäjille taataan "vähimmäiskynnys".
Pahimmat evästebannerit pian poissa? Useimmat käyttäjät yhdistävät GDPR:n lähinnä hermoja raastaviin "evästebannereihin". Pahimpien tapausten pitäisi olla pian poissa, sillä EDPB:n mietintöluonnoksen mukaan seuraavat yleiset käytännöt on selvästi todettu EU:n lainsäädännön nojalla laittomiksi:
- Ei hylkäämisvaihtoehtoa ensimmäisellä tasolla (vaan piilotettu alikerrokseen)
- Aktiivisen suostumuksen sijasta valmiiksi rastitetut laatikot
- Pienet linkit toisessa tekstissä suostumuksen epäämiseksi
- Evästeiden bannerin ulkopuolella olevat linkit suostumuksen epäämiseksi
- Väitetään, että muiden kuin välttämättömien evästeiden asentaminen on oikeutetun edun mukaista (eikä pyydetä suostumusta)
- Ei tarjota pysyvää mahdollisuutta peruuttaa suostumus
Ala Krinickytė, tietosuojalakimies, noyb:"Olemme erittäin tyytyväisiä siihen, että viranomaiset sopivat vähimmäiskynnyksestä, joka koskee suojaa väärinkäyttöbannereita vastaan. Evästebannereista tuli yleisen tietosuoja-asetuksen heikentämisen malliesimerkki. Tarvitsemme viranomaisilta kiireellisiä toimia, jotta voimme varmistaa kansalaisten luottamuksen EU:n yksityisyydensuojalakeihin."
Päätösluonnos on tulosta tietosuojaviranomaisten yhteistyöstä EDPB:n evästebannereita käsittelevässä työryhmässä, joka käynnistettiin syyskuussa 2021 sen jälkeen, kun noyb oli tehnyt yli 500 evästebannereita koskevaa valitusta. Päätösluonnos heijastaa pienintä yhteistä nimittäjää tietosuojaviranomaisten tulkinnassa sovellettavasta lainsäädännöstä ja asettaa vähimmäiskynnyksen suostumusevästebannereiden arvioimiseksi. Monissa kansallisissa ohjeissa mennään vielä pidemmälle, ja myös noyb katsoo, että laki edellyttää lisäsuojaa, esimerkiksi yleisen tietosuoja-asetuksen kohtuullisuusvaatimuksen nojalla.
Tietosuojaviranomaisten osittainen vaikeneminen. Joitakin asioita ei ole täysin selvitetty EDPB:n raporttiluonnoksessa. Niistä ei yksinkertaisesti puhuta raportissa. Tämä voi johtaa lisäkeskusteluihin ja epävarmuuteen tulevaisuudessa. Työryhmä ei ole muun muassa tehnyt päätöstä harhaanjohtavista painikkeiden väreistä ja kontrasteista eikä määritellyt, mitä on "näkyvä ja vakioitu paikka" suostumuksen peruuttamiselle. Tietosuojaryhmän raportin lopullista versiota ei ole vielä hyväksytty. Se saattaa selventää näitä kysymyksiä edelleen.
Felix Mikolasch, noybin tietosuojalakimies: "Joistakin kiistanalaisista kysymyksistä viranomaiset vaikenevat kuurosti, esimerkiksi harhaanjohtavista painikkeiden väreistä. Tarvitaan selkeämpää ohjeistusta, jotta käyttäjiä voidaan suojella edelleen."
Noybin valitusten tilanne. Maaliskuussa 2021 noyb skannasi verkosta laittomia evästebannereita ja teki yli 700 valitusta eri puolilla Eurooppaa. Alun perin skannatuista verkkosivustoista ainakin 56 prosenttia otti käyttöön sääntöjenmukaisemman evästebannerin, muun muassa Coca-Cola, Raiffeisen ja Mastercard. Tähän mennessä 60 evästetapausta on saatu päätökseen.
Ensimmäiset oikeustoimet. Aiheeseen liittyvässä jutussa noyb meni oikeuteen Baijerin tietosuojaviranomaisen päätöksistä. Toisin kuin muut tietosuojaviranomaiset, Baijerin tietosuojaviranomainen ei ryhtynyt toimiin bannerin suhteen, joka oli selvästi harhaanjohtava ja painosti käyttäjiä suostumuksen antamiseen. Baijerin tietosuojavaltuutettu väittää pääasiassa, että rekisteröidyillä ei ole oikeutta siihen, että tietosuojavaltuutettu ryhtyy toimenpiteisiin, ja että banneri oli kyseenalainen, mutta tietosuojavaltuutettu ei nähnyt tarpeelliseksi ryhtyä toimenpiteisiin. noyb toivoo, että toimivaltaiset tuomioistuimet kumoavat nyt tietosuojavaltuutetun päätöksen ja pakottavat sen puolustamaan käyttäjien oikeuksia.