Luvut 02 Voimassa: 2002 (muutettu 2009)

ePrivacy-direktiivi

Direktiivi yksityisyydestä ja sähköisestä viestinnästä

Yleiskatsaus

ePrivacy-direktiivi (ePD), jota usein kutsutaan "evästelainsäädännöksi", täydentää GDPR:ää tarjoamalla erityissääntöjä yksityisyydestä sähköisessä viestinnässä. Se kattaa viestinnän luottamuksellisuuden, seurantateknologioiden käytön ja suoramarkkinoinnin.[1]

Direktiivinä sen täytäntöönpano vaihtelee jäsenvaltioittain. Ehdotettu ePrivacy-asetus vedettiin virallisesti pois helmikuussa 2025, joten direktiivi on edelleen sovellettava laki.

Suhde GDPR:ään

  • ePD on lex specialis: Etusija sähköisen viestinnän osalta GDPR:ään nähden
  • GDPR:n periaatteet pätevät: Suostumuksen on täytettävä GDPR:n vaatimukset
  • Yhdistetty valvonta: Molempia sääntöjä valvovat tietosuojaviranomaiset

Tärkeimmät vaatimukset

Evästesuojaus (artikla 5(3))[2]

Suostumus vaaditaan ennen kuin käyttäjän laitteelle asetetaan tai sieltä luetaan tietoja:

EvästetyyppiTarvitaanko suostumus?
VälttämättömätEi (poikkeus)
Asetukset/toiminnallisuusKyllä
Analytiikka/tilastotKyllä (joissain oikeusjärjestelmissä poikkeuksia)
MainontaKyllä
Kolmannen osapuolen seurantaKyllä

Suostumusvaatimukset

Voimassa olevan suostumuksen on oltava:

  • Ennakkoinen: Saavutettu ennen evästeiden asettamista
  • Vapaaehtoinen: Todellinen valinta ilman haittaa kieltäytymisestä
  • Tarkka: Selkeä tarkoituksista ja evästetyypeistä
  • Tietoinen: Käyttäjät ymmärtävät, mitä tietoja kerätään
  • Yksiselitteinen: Selkeä myönteinen toimenpide vaaditaan
  • Peruutettavissa: Käyttäjät voivat helposti muuttaa asetuksiaan

Evästeilmoituksen parhaat käytännöt

TehtäväEi saa tehdä
Tarjota yksityiskohtaiset valinnatEsivalita suostumusruudut
Tehdä "Hylkää kaikki" yhtä näkyväksiPiilottaa hylkäys useiden klikkausten taakse
Tallentaa suostumuksen todisteetAsettaa evästeet ennen suostumusta
Mahdollistaa helppo peruutusTehdä peruutuksesta vaikeampaa kuin suostumuksesta
Selkeä, yksinkertainen kieliTekninen ammattisanasto

Viestinnän luottamuksellisuus (artikla 5)

  • Välityksen ja valvonnan kielto
  • Tekninen tallennus, joka on välttämätöntä siirrolle, sallittu
  • Sisältö ja metatiedot suojattu tasavertaisesti

Suoramarkkinointi (artikla 13)

TyyppiVaatimus
Sähköposti/SMS-markkinointiEnnakkosuostumus vaaditaan
Nykyiset asiakkaatPehmeä ennakkosuostumus samanlaisille tuotteille (helppo peruutus)
B2B-markkinointiJäsenvaltioiden säännöt vaihtelevat

Ei-toivotut viestit

  • Lähettäjän henkilöllisyyttä ei saa peittää
  • Voimassa oleva peruutusmahdollisuus vaaditaan
  • Kansallisia "ei soiteta" -rekistereitä on kunnioitettava

Ehdotetut Digital Omnibus -muutokset (2025)

Euroopan komissio on ehdottanut evästesääntöjen yksinkertaistamista "Digital Omnibus" -paketin kautta:[3]

  • Siirtää tiettyjä ePD:n säännöksiä GDPR:ään
  • Laajentaa poikkeuksia analytiikka- ja turvallisuusevästeille
  • Mahdollistaa keskitetyt suostumusviestit vähentämään "suostumusväsymystä"

Huomautus: Nämä ehdotukset eivät ole vielä hyväksyttyjä. Nykyiset ePD-vaatimukset ovat voimassa.

Valvontatapauksia

ViranomainenToimijaSakkoSyy
CNIL (Ranska)Google150 miljoonaa €Evästesuojausloukkaus
CNIL (Ranska)Facebook60 miljoonaa €Evästeiden hylkäyksen vaikeuttaminen
ICO (UK)UseitaVaroituksiaPiilotetut hylkäyspainikkeet
AEPD (Espanja)Erilaisia10 000–100 000 €Virheellinen suostumuksen keruu

Kehittäjän toteutuslista

Evästesuojausilmoitus

  • Hanki suostumus ennen ei-välttämättömien evästeiden asettamista
  • Tarjoa yksityiskohtaiset kategorian hallinnat
  • Tehdä "Hylkää kaikki" yhtä helposti saavutettavaksi
  • Tallenna ja aikaleimaa suostumusrekisterit
  • Salli suostumuksen helppo peruutus
  • Estä kolmannen osapuolen skriptit ennen suostumusta

Tekniset vaatimukset

  • Tarkasta kaikki evästeet ja seurantateknologiat
  • Luokittele tarkoituksen ja tarpeellisuuden mukaan
  • Dokumentoi evästeiden käyttötarkoitukset ja säilytysaika
  • Varmista, että skriptit kunnioittavat suostumusmerkkejä
  • Toteuta suostumuksen synkronointi aliverkkotunnuksille

Lähteet ja viitteet

[1]
Direktiivi 2002/58/EY sähköisen viestinnän yksityisyydestä. EUR-Lex: ePrivacy-direktiivi
[2]
Artikla 5(3) muutettuna direktiivillä 2009/136/EY. GDPR.eu: Evästelaki
[3]
Euroopan komission Digital Omnibus -ehdotus, marraskuu 2025. EK: Digital Omnibus