Evästesaaga jatkuu: Sanoma vs. Traficom – voiko personointi olla pakotettua?

Traficomin 8.6.2023 tekemä päätös on luettavissa kokonaisuudessaan pdf-muodossa Traficomin sivustolta. Dokumentti on raskas paketti, koska se myös kertaa tämän saagan edellisiä vaiheita. Sanoma on myös saanut mahdollisuuden toimittaa vastineita Traficomille, ja vastineita on tosiaankin kirjoitettu. Viimeisin Sanomien selvitys on annettu huhtikuussa. Tämä viimeisin Sanomien selvitys ehkä myös kuvastaa koko saagaa, koska Sanomien argumentaatio menee siinä vielä jotenkin uudelle tasolle. Traficomin tiivistelmä Sanomien vastineesta:

”Sanoma toimitti Traficomille 28.4.2023 vielä yhden lisäselvityksen, jossa se korosti tiettyjä liiketoimintansa kannalta tärkeitä seikkoja. Sanoma muun muassa argumentoi päätoimittajavastuulla sananvapauslain alaisuudessa toimivan median muodostavan oman toimialakokonaisuutensa, ja toteaa, että sen käsityksen mukaan linjattavat evästekäytännöt ja määräykset tulisi toteuttaa tarkkarajaisesti mediatoimialaa ja journalistista sisältöä koskien. Vastaavasti tulisi rajata ulkopuolelle ei-päätoimittajavastuulla toimivat alustat ja sosiaalinen media sekä niiden mainontaan perustuvat käytännöt (Facebook, TikTok ym).

Sanoma esitti tämän lisäselvityksen yhteydessä näkemyksensä kuudesta kokonaisuudesta, joihin Traficomin valvontapäätöksellä olisi vaikutuksia: 1. Käyttäjän tarpeita palveleva uutissisällön personointi (personointieväste), 2. Päätoimittajan vastuun toteutumisen varmistaminen (toimituseväste), 3. Mainonta on osa uutispalvelun hyvää käyttökokemusta, 4. Toimivat sisämarkkinat edellyttävät eri jäsenvaltioissa yhdenmukaisia evästekäytäntöjä, 5. Oikeuskäytäntö ja tilanne muissa jäsenvaltioissa, ja 6. IAB TCF-standardiin liittyvän EU päätösprosessin huomioiminen evästebannerin käytettävyyteen liittyvissä asioissa.”

Lyhyesti: Sanoma Media Finland haluaisi kotimaisille mediayhtiöille ihan omat säännöt, kuin mitkä kaikilla muilla on. Perustelukin on aivan naurettavaa, etenkin vetoaminen oman toimialan järjestön ajamiin asioihin. Nämä vetoomukset muissa maissa ja EU:ssa käynnissä oleviin prosesseihin vaikuttavat myös olevan pelkkää jarrutustaktiikkaa ilman varsinaisia järkeviä argumentteja. Asenne on kokonaisuudessaan todella ylimielinen, ja kaikesta tulee läpi se, että ei haluta noudattaa samoja sääntöjä kuin muut – eli ajatellaan että mediataloilla tulisi olla aivan omat säännöt – mikä myös sanotaan aivan suoraan.

Tämä on naurettava väite monesta syystä, eikä vähiten siitä näkökulmasta, että Sanoma Media Finlandinkin liiketoiminta on paljon muutakin kuin journalistista toimintaa (Sanoma Media Finlandin tuotteet ja brändit heidän sivustollaan). Ehkä siksi Sanoma argumentoikin myös muilla keinoin, koska erityiskohtelu journalistisesta näkökulmasta ei mitenkään voisi koskettaa Sanoma Media Finlandin kaikkia liiketoimintoja ja sivustoja. Tässä tapauksessa toki tuntuu olevan kyse erityisesti Hs.fi-palvelun toiminnasta, mutta voi myös olla, että Sanoma Media Finland haluaa suunnata keskustelun juuri Helsingin Sanomiin, eikä esimerkiksi vapaa-ajan lehtiin ja hyvinkin kaupallisiin radio- ja tv-kanaviinsa.

Traficom ei näistä Sanomien lakimiesten luovista keksinnöistä kuitenkaan hätkähdä, vaan toteaa päätöksensä pitävän.

Omaperäinen tulkinta välttämättömistä evästeistä

Isoimpana ongelmana Traficom tuntuu näkevän Sanomien laajan tulkinnan välttämättömistä evästeistä, joista Sanoma ei anna käyttäjille mahdollisuutta kieltäytyä.

”Traficom katsoo, että Sanoma Media Finland Oy rikkoo SVPL 205 §:n 1 momenttia nykyisen evästekäytäntönsä osalta, kun se on käytössä olleesta suostumusmekanismista ja käyttäjän tekemistä valinnoista huolimatta asettanut käyttäjän päätelaitteelle muita kuin sellaisia 205 §:n 2 momentissa tarkoitettuja evästeitä ja niiden kaltaisia tekniikoita, joiden osalta käyttäminen ei edellytä verkkosivuston käyttäjän suostumusta. Tällaisia ovat “Sanoman palvelujen perustoiminnallisuudet”-käyttötarkoituksen alle sisältyvät personoituun sisällön jakeluun liittyvät evästeet ja toimitus- analytiikkaevästeet. Lisäksi tietyt Sanoman käyttämät verkkokutsut eivät Traficomin arvion mukaan SVPL 205 §:n tarkoittamalla tavalla välttämättömiä tekniikoita.

Edellä mainitut käyttötarkoitukset eivät Traficomin arvion mukaan ole SVPL 205 §:n 2 momentin tarkoittamalla tavalla välttämättömiä sellaisen palvelun tarjoamiseksi, jota käyttäjä on nimenomaisesti pyytänyt ja tällaisten evästeiden käyttöön tulisi siten lähtökohtaisesti pyytää käyttäjän suostumus. Käyttäjälle ei kuitenkaan erikseen tarjota vaikutusmahdollisuutta kyseisiin käsittelytoimiin. Traficom velvoittaa SVPL 330 §:n 1 momentin nojalla Sanoman asettamaan näitä käyttötarkoituksia varten käyttäjän päätelaitteelle asetettavat evästeet sekä selaimen paikallista tallennustilaa käyttävät tekniikat suostumuksenvaraisiksi, sillä kyseisten evästeiden käyttöön sovelletaan SVPL 205 §:n 1 momentin pääsääntöä.”

Toki Traficom huomauttaa monesta muustakin asiasta. Esimerkiksi Sanomien käyttämä jopa koominen ”toimitusanalytiikkaevästeet”-luokka saa Traficomilta varsin täyden tyrmäyksen. “Toimitusanalytiikassa” on käytännössä kyse etenkin analytiikkatyökalu Chartbeatista, jota Sanoma on aiemmin väittänyt välttämättömäksi evästepohjaiseksi seurannaksi. Tästä evästepohjaisesta Chartbeatista Sanoma on ilmeisesti tosin jo kesällä luopunut osana välttämättömiä evästeitä. Nykyisin Chartbeatin evästepohjainen asentuminen vaatii, että käyttäjä hyväksyy laajemman mittauksen. Täten tämä prosessi on jo osittain vaikuttanut Sanomien harrastamaan laaja-alaiseen kävijäseurantaan.

Milloin personointi on välttämätön toiminnallisuus?

Personoinnin toteuttaminen hs.fi-palvelussa ilman käyttäjien lupaa vaikuttaa olevan yksi keskeisimmistä Sanomien rikkomuksista. Tämä on myös aihealue, jossa Traficom myöntää, että linja ei ole välttämättä samanlainen kaikkien palveluiden kohdalla. Joissain palveluissa käyttäjäkohtainen personointi voidaan katsoa välttämättömäksi ominaisuudeksi, jos oletetaan käyttäjien automaattisesti odottavan personoitumista. Täten ytimessä on keskustelu siitä, onko digilehden asiakkaiden, kuten hs.fi-käyttäjien, normaali odotusarvo se, että palvelu personoituu automaattisesti.

Tässä Sanomien argumentointi on vahvemmalla pohjalla, koska tokihan voi esittää väitteen, että on käyttäjälle hyvää palvelua, että sivusto esimerkiksi tietää, mitkä artikkelit käyttäjä on lukenut – ja täten voi argumentoida, että osa käyttäjistä odottaa tällaista toiminnallisuutta eräänlaisena perusominaisuutena.

Traficom ei tässäkään tosin taivu, vaikka tunnustaakin Sanomien väitteen, että joskus voidaan olla sellaisessa maailmassa, jossa personoituminen on käyttäjien perusodotus. Tämänkin näkemyksen kanssa on helppo olla samaa mieltä, joskus voi sellainen aika tulla, mutta vielä ei siellä olla – ei ainakaan digilehtien kohdalla, joissa on kuitenkin vahva perinne toimituksen valitsemiin sisältöihin, eikä näin voi väittää, että palvelua ei olisi olemassa ilman personointia.

Traficomin korjausehdotus on myös selkeä: käyttäjien tulee aktiivisesti valita personoitu etusivu tai personoitu koko palvelu. Ja kuten Traficom toteaa, jos Sanomien väite olisi totta, luultavasti iso osa käyttäjistä tekisi tämän valinnan itsenäisesti. Ja jos näin on, miksi personoinnin pitää olla pakotettuna päällä? Traficomin argumentaatio on tässä asiassa selvästi parempaa kuin Sanomien.

Lyhyesti: Käyttäjäkohtainen, palvelun automaattinen personoituminen ei ole Traficomin mukaan digilehden tai vastaavan palvelun välttämätön ominaisuus, jonka palvelun omistaja voi pakottaa kaikille käyttäjille.

Lainaus Traficomin päätöksestä:

”Sanoman mukaan personoituun sisällön jakeluun liittyvät evästeet ovat välttämättömiä, sillä ne ovat olennainen ja erottamaton osa digilehteä tai palvelua, jota käyttäjä on nimenomaisesti pyytänyt. Sanoman mukaan digilehden käyttäjä odottaa saavansa uusimmat, tärkeimmät ja itseänsä kiinnostavat uutiset reaaliajassa ja ilman etsimistä. Vastauksen mukaan käytössä olevilla personointievästeillä varmistetaan se, että säännölliselle digilehden käyttäjälle, joka selailee lehteä useita kertoja päivässä, näytetään etusivulla tuoreempia uutisia (eikä hänen jo lukemiaan uutisia) ja toisaalta harvemmin lehteä lukevalle näytetään kokoelma keskeisiä uutisia pidemmältä aikaväliltä, jotta käyttäjällä ei mene ohi olennaista sisältöä. Sanoma perustelee personointievästeiden välttämättömyyttä myös sillä, että personoitu sisällön jakelu on olennainen ja erottamaton osa digitaalisia sisältöpalveluja, myös journalistisia digilehtiä, joita käyttäjä odottaa saavansa lukiessaan digilehteä.

Traficomin arvion mukaan personoituun sisällön jakeluun liittyvien evästeiden pitämistä SVPL 205 §:n 2 momentin mukaisesti välttämättöminä evästeinä puoltaisi se, että kyse on Sanoman omista ensimmäisen osapuolen evästeistä, joiden avulla kerättyjä tietoja ei luovuteta kolmansille osapuolille. Näin ollen kyseisten evästeiden vaikutus Sanoman verkkosivuston käyttäjien yksityisyyden kannalta on pienempi, kuin jos tässä yhteydessä luovutettaisiin tietoja kolmansille osapuolille.

Traficom toteaa, että Sanoman personoituun sisällön jakeluun liittyvät evästeet ovat toiminnaltaan ja käyttötarkoitukseltaan tosiasiallisesti hyvin lähellä ensimmäisen osapuolen analytiikkaevästeitä. Kyse ei ole varsinaisesti teknisistä käyttäjän mieltymyksiin liittyvistä evästeistä, joilla esimerkiksi muistetaan käyttäjän kielivalinnat, käyttämät fontit ja yleinen ulkoasu. Lisäksi digitaalisten sisältöpalvelujen personointi edellyttää analytiikkaa, jonka toteuttamiseen juuri kyseisiä evästeitä käytetään. Sanoma toteaa Traficomin päätösluonnokseen antamassaan vastauksessa, että sen näkemyksen mukaan personoituun sisällönjakeluun liittyvät evästeet voitaisiin nimenomaan rinnastaa käyttäjän mieltymyksiin liittyviin evästeisiin. Sanoma täsmentää, että mieltymyksiä kuvaavat samalla tavalla myös käyttäjän saama sisältö ja sen järjestys kuin esimerkiksi sekin, miltä sivu näyttää ja millä kielellä se on esitetty. Sanoman mukaan voidaan jopa todeta, että sivulla esitetty sisältö on käyttäjälle huomattavasti oleellisempaa ja tärkeämpää kuin esimerkiksi sivun ulkoasu, jota koskevia mieltymyksiä kuitenkin pidetään välttämättöminä. Traficomin katsoo, että käyttäjälle näytettävä sisältö on luonnollisesti oleellisin osa käyttäjälle tarjottua palvelua. On kuitenkin kyseenalaistettavissa, mikä merkitys sisällön oleellisuudella käyttäjän kannalta on evästeiden välttämättömyyden arvioinnin kannalta. Lisäksi evästeen pelkällä nimeämisellä analytiikkaevästeeksi, personointievästeeksi tai mieltymysevästeeksi ei ole Traficomin näkemyksen mukaan tässä tapauksessa evästeen välttämättömyyden kannalta juurikaan merkitystä, kun personoituun sisällönjakeluun liittyviä evästeitä kuitenkin käytetään analytiikkatarkoituksiin eli vähintäänkin käyttäjän katsomien sisältöjen analysoimiseksi, jotta personoidun sisällön näyttäminen käyttäjälle on mahdollista.

Traficom lisäksi toteaa, että Sanoman käyttämät personointievästeet eroavat ns. tavanomaisista käyttäjän mieltymyksiin liittyvistä evästeistä siten, että niitä käytetään ilman käyttäjän nimenomaista toimea niiden aktivoimiseksi. Esimerkiksi käyttäjän kielivalintoja, fontteja ja tekstin kokoa koskevat evästeet asetetaan käyttäjän päätelaitteelle siinä vaiheessa, kun käyttäjä valitsee esimerkiksi verkkosivuston standardifonttikokoa suuremman fontin. Sanoman personointievästeet asetetaan sen sijaan käyttäjän päätelaitteelle ilman mitään aktiivista toimea käyttäjän puolelta. Näin ollen Sanoman personointievästeiden rinnastaminen käyttäjän mieltymyksiin liittyviin evästeisiin ei vaikuttaisi tältä osin perustellulta.

Personointievästeillä on analytiikkaevästeiden piirteitä sikäli, kun kyseisiä evästeitä käytetään tilastotiedon keräämiseen yksittäisen käyttäjän toimista palveluntarjoajan verkkosivustolla, ja näin kerättyjä tietoja hyödynnetään palvelun personointiin ja kehittämiseen. Kyse on käyttäjän toimista kerääntyvän datan kasaantumisesta palvelun kehittämisen mahdollistavalla tavalla, erotuksena varsinaisiin mieltymysevästeisiin, joita käytetään käyttäjän valitsemien muun muassa palvelun ulkoasua koskevien asetusten muistamiseksi (esimerkiksi fontit ja tekstien koko). Näin ollen Traficom katsoo, että Sanoman personoituun sisällön jakeluun liittyvät evästeet rinnastuvat analytiikkaevästeisiin siten, että ne ovat tässä tapauksessa käytännössä tulkittavissa analytiikkaevästeiksi. Tätä tulkintaa tukee myös Sanoman 31.5.2022 toimittamassa vastauksessa toimitusanalytiikkaevästeiden kohdalla toteama “Toimitusanalytiikkaevästeet liittyvät kiinteästi digilehtien sisällön jakelun personointiin […]”. Vastaavasti Sanoman 10.3.2023 toimittamassa vastauksessa personoituun sisällön jakeluun liittyvät evästeet ja toimitusanalytiikkaevästeet on niputettu yhteen personointi- ja toimitusevästeiksi.

Traficom huomauttaa, että analytiikkaevästeet voivat olla vain poikkeuksellisesti välttämättömiä sellaisen palvelun tarjoamiseksi, jota käyttäjä on nimenomaisesti pyytänyt. Verkkosivuston käyttäjä ei todennäköisesti käytä palvelua siksi, että hän haluaa toimintaansa seurattavan. Traficom korostaakin, että evästeen tai muun sen kaltaisen teknologian välttämättömyyttä tulee Traficomin tulkinnan mukaan ensisijaisesti arvioida käyttäjän eikä palveluntarjoajan näkökulmasta. Käyttäjän ei voida olettaa olevan tietoinen, että hänen toimistaan Sanoman palveluissa kerätään tietoja hänelle näytettävän sisällön personoimiseksi. Keskivertokäyttäjälle voi pikemminkin olla yllättävää, että hänen uutisnäkymäänsä personoidaan hänen lukiessaan Sanoman digilehtiä, ellei personointia varten pyydetä käyttäjän suostumusta tai käyttäjä nimenomaisesti valitse haluavansa nähdä hänelle personoitua sisältöä.”

Traficomin perusteluista voi päätellä, että mikäli käyttäjä itse valitsisi jostain nappulasta painamalla itselleen personoidun etusivuversion, voisi tämän valinnan jälkeen palvelu seurata käyttäjän toimintaa ja tämän perusteella luoda personoidun etusivun, ilman erillisten lupalappujen hyppimistä silmille. Sanomien tapauksessa ongelman ydin on se, että mitään tällaista nappulaa ei ole esimerkiksi Helsingin Sanomien sivustolla tai sovelluksessa. Personoituminen on aina päällä, eikä käyttäjä saa valita sitä, onko se päällä vai ei.

Perusteluista voi myös tehdä päätelmän, että mikäli sivusto harrastaisi jotain hyvin pienimuotoista personoitumista, eikä tämän tiedon kerääminen muistuttaisi analytiikkaohjelmiston toimintaa, voisi tällainen toiminnallisuus olla osa välttämättömiä ominaisuuksia. Esimerkiksi verkkokauppojen harrastama “selasit viimeksi näitä tuotteita” voisi tämän päätöksen perusteella olla osa välttämättömiä toiminnallisuuksia, etenkin jos toteutus perustuisi ensimmäisen osapuolen asettamiin evästeisiin, eikä kerättyä tietoa tallennettaisi pysyvästi käyttäjän profiilitietoihin.

Personointiin liittyvä osuus Traficomin päätöksessä on todella pitkä. Vielä toinen ote samasta osiosta:

“Traficomin arvion mukaan digilehden käyttäjien odotuksia palvelusta ei ole mahdollista arvioida tyhjentävästi. Toisin sanoen ei ole ilmeistä, että digilehtien käyttäjät nimenomaisesti odottaisivat kuluttamansa sisällön personointia. Sanoma toteaa Traficomin päätösluonnoksesta antamansa vastauksen 25 kohdassa, että tämä pätee myös molempiin suuntiin: ei siis voida tyhjentävästi myöskään argumentoida, että lukijoilla ei ole tiettyjä personointi- ja toimitusevästeiden mahdollistamia odotuksia palvelusta. Sanoman mukaan voidaan kuitenkin perustellusti argumentoida, että odotukset todistetusti muuttuvat koko ajan enemmän suuntaan, jossa asiakkaat odottavat sisällön personointia.

Traficom kuitenkin korostaa, että voimassa olevan evästeiden käyttöä koskevan lainsäädännön puitteissa käyttäjien muuttuneetkaan odotukset palvelujen ominaisuuksista eivät ole ratkaiseva tekijä evästeen välttämättömyyden arvioinnissa, vaan arvioinnin keskiössä on, mitä käyttäjän voidaan katsoa nimenomaisesti pyytäneen. Se, minkälaisia ominaisuuksia käyttäjä palvelulta odottaa, ei ole sama asia kuin se, mitä käyttäjä palveluita käyttäessään nimenomaisesti pyytää. Pyynnön nimenomaisuuden kriteerin täyttyminen edellyttää sen olevan korostetun yksiselitteistä, että käyttäjä on pyytänyt juuri kyseisenlaista, personoituvaa palvelua.
Traficom huomauttaa, että SVPL 205 §:n 1 momentin mukainen pääsääntö on pyytää käyttäjän suostumusta evästeiden käytölle ja antaa käyttäjälle ymmärrettävät ja kattavat tiedon tallentamisen tai käytön tarkoituksista. Evästeiden tulkitseminen SVPL 205 §:n 2 momentissa tarkoitetulla tavalla välttämättömiksi on siis poikkeus tähän pääsääntöön. Tästä pääsäännöstä poikkeaminen edellyttää Traficomin arvion mukaan palveluntarjoajalta vahvempia argumentteja evästeiden välttämättömyyden puolesta. Vedottaessa lainsäädännön mahdollistamaan poikkeukseen, joka an-taa palveluntarjoajalle oikeuden käyttää joitakin evästeitä ilman suostumusta, on poikkeukseen vetoavan lähtökohtaisesti esitettävä selvitys niistä seikoista, jotka mahdollistavat poikkeuksen soveltamisen. Traficom katsoo, että palveluntarjoajalla on parhaat mahdollisuudet esittää selvitys käyttämiensä evästeiden käyttötarkoituksista.

Näin ollen Sanoman antaman selvityksen valossa ei ole edelleenkään pidettävä selvänä, että Sanoman digilehtien lukijat nimenomaisesti odottaisivat sisällön personointia Sanoman kuvaamalla tavalla. On myös katsottavissa, että jos digilehtien lukijat todella odottaisivat sisällön personointia Sanoman esittämällä tavalla, nämä oma-aloitteisesti kytkisivät kyseisen palvelun päälle (ns. opt-in-malli).”

On vaikea sanoa, mistä tämä Sanomien itsepäisyys tässä asiassa kumpuaa. Ehkä usko personoidun digilehden konseptiin on vain niin vahva, että sen halutaan olevan oletus kaikille. Voi myös olla, että jotenkin automaattinen personoituminen mahdollistaa myös tarkemman mainonnan kohdentamisen. Ainakin jos Sanoma suunnittelee artikkelisisältöjensä suhteen kaupallisia yhteistyökuvioita, on tällainen automaattinen personointi myös kenties reitti tähän tulevaisuuteen, eikä tästä haluta antaa käyttäjille mahdollisuutta kieltäytyä.

Jotenkin Sanomien vastauksista tulee sellainen vaikutelma, että tässä ei ole kyse pelkästään paremman uutispalvelun rakentamisesta, vaan lähinnä jostain kaupallisen puolen suunnitelmasta, jonka takia personointi haluttaisiin pitää pakollisena kaikille.

Suostumuksen vapaaehtoisuus ei toteudu

Traficom huomauttaa lisäksi esimerkiksi suostumuksen vapaaehtoisuudesta, joka ei toteudu Sanomien mallissa kovin hyvin.

”Lopuksi Traficom nostaa vielä esiin sen seikan, että Sanoman verkkosivustojen suostumushallintamekanismin ensimmäisellä tasolla käyttäjälle ei tarjota mahdollisuutta jatkaa vain SVPL 205 §:n 2 momentissa tarkoitetuilla välttämättömillä evästeillä. Sen sijaan käyttäjä voi joko ensimmäisellä tasolla hyväksyä kaikki evästeet valitsemalla “OK” tai siirtyä evästeasetuksiin klikkaamalla “Asetukset”. Tällä suostumushallintamekanismin toisella tasolla käyttäjän on mahdollista tehdä tarkempia valin- toja evästeiden hyväksymiseen liittyen, edelleen hyväksyä kaikki evästeet valitsemalla “Hyväksy kaikki”, hylätä kaikkien muiden kuin välttämättömien evästeiden käyttö valitsemalla “Hylkää kaikki” sekä hylätä muiden kuin välttämättömien evästeiden käyttö, mutta suostua oikeutetun edun nojalla tehtävään evästeillä kerätyn tiedon jatkokäsittelyyn valitsemalla “Tallenna”.

Traficom toteaa, että tietosuoja-asetuksen 7 artiklan 3 kohdan mukaan suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antamisen. Vaikka artiklassa viitataan erityisesti suostumuksen peruuttamiseen, tulisi samaa periaatetta soveltaa Traficomin näkemyksen mukaan myös suostumuksen antamisesta kieltäytymiseen, jotta suostumus voidaan katsoa vapaaehtoisesti annetuksi.

Tietosuoja-asetuksen suomenkielisen version johdanto-osan 42 kappaleen viimeisen virkkeen mukaan suostumusta ei voida pitää vapaaehtoisesti annettuna, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta ja jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa. Myös Sanoma korostaa Traficomin selvityspyyntöön antamassaan vastauksessa sitä, että tietosuoja-asetuksen johdanto-osan 42 kappaleen viimeisen virkkeen mukaan suostumusta ei voida pitää vapaaehtoisesti annettuna, jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa.”

Traficom muotoilee tämän käytettävyysasian myös varsin hyvin, vaikka klikkausten mittaaminen ei olekaan enää nykyisin kovin trendikäsfä. Tässä tapauksessa se kuitenkin kiteyttää ongelman ytimen varsin hyvin.

”Traficom toteaa, että Sanoman suostumushallintamekanismi nykyisellään edellyttää muiden kuin välttämättömien evästeiden käytöstä kieltäytymiseltä kahta klikkausta, kun kaikkien evästeiden hyväksyminen on mahdollista tehdä yhdellä klikkauksella. Traficomin arvion mukaan tällä on huomattava merkitys verkkosivustolla vierailevien käyttäjien käyttäytymisen kannalta ja kyseisen menettelyn tarkoituksena on hyvin todennäköisesti ohjata käyttäjät hyväksymään kaikkien evästeiden käyttö. Kun suostumuksen epääminen on vaikeampaa ja vie enemmän aikaa kuin sen antaminen, palveluntarjoaja käytännössä ohjaa käyttäjää antamaan suostumuksen useampiin käyttötarkoituksiin kuin tämä välttämättä muutoin haluaisi, jolloin käyttäjän valinnanvapaus on vain näennäistä.”

Monenlaiset asiat voivat olla välttämättömiä sivuston toiminnan kannalta

Päätös on toki aika raskasta luettavaa ja on pituudeltaan peräti 56 sivua, vaikka se monessa kohtaa vain referoi aiempaa keskustelua ja tiedonvaihtoa. Dokumentissa on kuitenkin paljon asiaa, joka pätee muuallekin kuin mediasivustoille. Esimerkiksi välttämättömien evästeiden perusteluja käsitellään hyvin tarkasti.

Esimerkiksi kirjautuminen mediatalon palveluihin ja kirjautumisen pysyminen voimassa vaikka useiden päivien ajan, katsotaan sivuston perustoiminnoksi, johon ei tarvita käyttäjältä erikseen lupaa. Lainaus:

”Traficomin toteaa, että Sanoman kirjautumisevästeet ovat niin sanottuja pysyviä kirjautumisevästeitä, joiden avulla Sanoman sivustojen ja sovellusten on mahdollista muistaa käyttäjän tunnistautumistiedot ja ylläpitää kirjautumista eri aikoina tapahtuvien käyttökertojen välillä. Sanoman mukaan pysyvien kirjautumisevästeiden käytön katsominen välttämättömiksi evästeiksi on perusteltua siitä syystä, että Sanoman digilehtiä selataan ja luetaan tavallisesti useita kertoja päivässä ja käyttäjät tavanomaisesti lukevat useampaa kuin yhtä lehteä ja siirtyvät eri lehtien välillä. Edelleen Sanoma toteaa, että toistuva palveluun kirjautuminen heikentäisi käyttäjäkokemusta.

Traficomin arvion mukaan Sanoman käyttämät pysyvien kirjautumisevästeiden voidaan katsoa olevan SVPL 205 §:n 2 momentissa tarkoitetulla tavalla välttämättömiä, sillä kirjautuneena oleminen on käyttäjälle Sanoman palveluissa läpinäkyvää ja käyttäjälle tarjotaan mahdollisuutta kieltäytyä tunnistautumisesta hänen siirtyessään eri digilehtien välillä. Edellytyksenä on kuitenkin, että samoja evästeitä ei ilman suostumusta käytetä muihin tarkoituksiin, kuten kohdennetun mainonnan näyttämiseen digilehden käyttäjälle.”

Monet teknisluonteiset evästeet katsotaan myös perusasioiksi, joihin ei tarvitse kysyä lupaa:

“Sanoman mukaan sen käyttämiä muita evästeitä ovat tietoturva- ja suostumustenhallintaevästeet, lukuoikeusevästeet sekä tekniset evästeet. Traficomin arvion mukaan tietoturvaevästeet, joita käytetään esimerkiksi kirjautumispalveluun kohdistuvien väärinkäytösten ehkäisemiseksi, voidaan katsoa välttämättömiksi SVPL 205 §:n 2 momentin tarkoittamalla tavalla. Sama pitää paikkansa myös suostumusvalintojen muistamista koskevien evästeiden sekä lukuoikeusevästeiden varmistamista koskevien evästeiden osalta. Lisäksi Traficom katsoo, että tekniset evästeet, joita käytetään esimerkiksi käyttäjän katsomien videoiden äänten päällä olemisen ja äänenvoimakkuuden tarkastamiseksi, ovat palvelun käytettävyyden kannalta olennaisia siten, että niidenkin voidaan katsoa olevan välttämättömiä SVPL 205 §:n 2 momentissa tarkoitetulla tavalla.”

Traficom hyväksyy myös hs.fi-etusivun päämainoksen näyttämistä rajoittavan evästeen käytön välttämättömänä sivuston perustoimintona. Tätä perustellaan myös sillä, että tällainen eväste, joka vain seuraa sitä, onko mainos näytetty tänään käyttäjälle vai ei, on käyttäjien yksityisyyden suojan näkökulmasta varsin harmiton. Lainaus:

“Sanoman vastausten mukaan Helsingin Sanomien etusivulle asetetaan joka päivä yksi mainos, joka näytetään kaikille lukijoille. Mainos ei ole personoitu, vaan kaikki näkevät saman mainoksen kyseisenä päivänä ja sama mainos on myös painetun lehden kannessa. Sanoma käyttää tähän tarkoitukseen evästettä, jonka tarkoituksena on varmistaa, että mainos näytetään käyttäjälle vain kerran. Kyseinen eväste poistetaan kyseisen päivän jälkeen.

Traficomin arvion mukaan etusivun ei-personoidun jakeluevästeen tarkoituksena on mahdollistaa tietyn mainoksen näyttäminen Helsingin Sanomien lukijoille kerran päivässä. Eväste ei ole nimensä mukaisestikaan personoitu käyttäjän mieltymysten mukaisesti. Traficomin arvion mukaan mainokseen liittyvää evästettä käytetään pelkästään sen mahdollistamiseen, että digilehden käyttäjä näkee mainoksen ainoastaan kerran päivässä. Toisin sanoen etusivun ei-personoitu jakelueväste asetetaan käyttäjän päätelaitteelle vasta hänen sulkiessaan etusivulla näkyvän mainoksen.

Käyttäjän toimenpide sulkea etusivulla näkyvä mainos on Traficomin arvion mukaan tulkittavissa käyttäjän nimenomaiseksi pyynnöksi vastaanottaa Sanoman tarjoamaa palvelua ilman kyseisen mainoksen näyttämistä. Kun katsotaan, että käyttäjä näin nimenomaisesti pyytää Sanoman digilehden lukemista ilman etusivun ei-personoidun mainoksen näyttämistä, tämän valinnan muistamiseen käytettävän evästeen voidaan Traficomin arvion mukaan katsoa olevan välttämätöntä Sanomalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai käyttäjä on nimenomaisesti pyytänyt.

Etusivun ei-personoidun jakeluevästeen välttämättömyyden arvioinnissa on myös syytä huomioida kyseisen evästeet vaikutukset hs.fi-verkkosivuston käyttäjien yksityisyyden suojalle SVPL 205.3 §:n mukaisesti. Sanoman antaman selvityksen perusteella kyseisen evästeen vaikutukset verkkosivuston käyttäjien yksityisyyden suojalle ovat hyvin vähäiset, joten käyttäjien yksityisyyden suoja ei ole esteenä kyseisen evästeen katsomiselle välttämättömäksi.

Näin ollen Traficom katsoo, että kyseessä oleva etusivun ei-personoitu jakelueväste on SVPL 205 §:n 2 momentissa tarkoitetulla tavalla välttämätön sellaisen palvelun tarjoamiseksi, jota tilaaja tai käyttäjä on nimenomaisesti pyytänyt.”

Mainonta voi olla välttämätöntä, kunhan se ei ole personoitua

Personoimattoman mainonnan osalta Traficomin linja on odotettu, mainonta on sisältöä, joka voidaan katsoa välttämättömäksi asiaksi, ja näiden mainosten jakeluun voidaan käyttää myös kolmansien osapuolien palveluita. Tämä on järkevä linjaus, ja samaa logiikkaa voi soveltaa muihinkin asioihin, joissa on kyse verkkosivuston perustoiminnoista. Sisältöjä saa hakea kolmansien osapuolien palveluista, eikä tähän tarvita lupaa, kunhan näitä samoja kutsuja ei käytetä yksilöivän analytiikan toteuttamiseen. Lainaus:

“Sanoma on 10.3.2023 toimittamassaan vastauksessa täsmentänyt, että myös verkkojulkaisuun kuuluva mainonta on osa lehden sisältöä, ja viitannut tässä yhteydessä sananvapauslain hallituksen esitykseen HE 54/2002 vp sekä oikeuskirjallisuuteen, joissa todetaan, että mainokset ovat osa julkaisun sisältöä. Traficom arvioi Sanoman verkkosivustoilla käytettävien verkkokutsujen SVPL 205.2 §:n mukaista välttämättömyyttä tämä lähtökohta huomioiden. Näin ollen Traficomin arvion mukaan personoimattomien mainosten latautumiseen käytettävät verkkokutsut ovat SVPL 205 §:n 2 momentissa tarkoitetulla tavalla välttämättömiä tekniikoita viestin välittämiseksi viestintäverkossa. Sama pätee muihinkin verkkokutsuihin, joiden ainoana tarkoituksena on käyttäjän nimenomaisesti pyytämän palvelun tekninen toteuttaminen.

Traficom kiinnittää huomiota siihen, että Sanoma käyttää verkkokutsuja Traficomin arvion mukaan myös sen itsensä omistamiin verkkotunnuksiin. Näitä ovat Traficomin tarkastelun perusteella verkkokutsut verkkotunnuksiin er.sanoma-sndp.fi, hs.me- diadelivery.fi, sf.nm-ovp-nelonenmedia.fi, sn.sanoma.fi, tili.sanoma.fi. Traficomin arvion mukaan näitä Sanoman omiin verkkotunnuksiin kohdistuvia verkkokutsuja voidaan lähtökohtaisesti pitää SVPL 205 §:n 2 momentin mukaisesti välttämättöminä tekniikoina, mikäli verkkokutsuja ei esimerkiksi suoraan käytetä analytiikan mahdollistamiseen.”

Analytiikka ei ole välttämätöntä Traficomin linjan mukaan, perustui se evästeisiin tai ei

Analytiikan osalta Traficomin linja on myös ennustettu, vaikkakin tätä linjaa on tässäkin blogissa kritisoitu. Traficomin linja on Sanomienkin tapauksessa se, että edes evästeetön analytiikka ei ole sallittu. Esimerkiksi mediasivustojen mittaustyökalu Chartbeatille lähetettäviä kutsuja Traficom pitää ei-välttämättöminä (nämä eivät siis ole evästeitä asettavia kutsuja, vaan pelkkiä verkkokutsuja kolmannen osapuolen analytiikkapalvelimille).

”Traficomin 1.6.2023 suorittaman Sanoman verkkosivustojen tarkastelun perusteella käyttäjän vieraillessa hs.fi-verkkosivustolla, välittyy käyttäjän päätelaitteen tietoja muun muassa verkkotunnuksiin mab.chartbeat.com, mabping.chartbeat.net, ping.chartbeat.net ja static.chartbeat.com. Traficomin käsityksen mukaan kyseisiä verkkokutsuja vaikutetaan käytettävän käyttäjäanalytiikan mahdollistamiseen. Kyseisten verkkokutsujen mukana kolmansille osapuolille välittyy joka tapauksessa vähintäänkin käyttäjän päätelaitteen tietoja, joten kyseisillä verkkokutsuilla on vaikutusta käyttäjän yksityisyydelle. Sanoma ei ole esittänyt selvitystä siitä, että kutsut olisivat välttämättömiä SVPL 205.2 §:ssä tarkoitetulla tavalla. Näin ollen Traficom katsoo, että kyseiset verkkokutsut eivät ole SVPL 205.2 §:n mukaisesti välttämättömiä, joten Traficom velvoittaa Sanoman SVPL 330 §:n 1 momentin nojalla asettamaan tällaiset verkkokutsut suostumuksenvaraisiksi.”

Tämä on todella kova linjaus, vaikka ehkä ymmärrettävä myös. Käyttäjät ja sessiot voidaan tunnistaa myös ilman evästeitä, joten tällaisten analytiikkakutsujen salliminen ehkä loisi vain uuden tavan seurata yksittäisten käyttäjien toimintaa. Ja toisaalta, palvelimien logeista kyllä pystyy katsomaan, montako kertaa jotain sivua on pyydetty. Mediataloille on kuitenkin varmasti vaikea pala hyväksyä se, että he eivät tiedä enää jatkossa montako kertaa jotain artikkelia on oikeasti luettu. Palvelinlogit eivät ole kuitenkaan aivan sama asia kuin jokaisella latauksella lähtevä yksilöllinen verkkokutsu.

Ja kuten tässä blogissa on aiemminkin argumentoitu, tämä tiukka linja analytiikan suhteen on jossain määrin harmillinen koko alan kannalta, kun analytiikan luotettavuus kärsii, etenkin Suomen kaltaisessa aika pienten kävijämäärien maassa.

Vasta-argumenttina voi tietysti sanoa, että eiväthän mediatalot saa paperilehtien lukemisestakaan mitään absoluuttista dataa. Miksi digimaailmassa heidän pitäisi saada äärimmäisen tarkkaa ja yksilöllistä dataa? Ja samaa pätee mainostajiin, eihän paperilehden mainoksista kukaan mainostaja oleta saavansa täydellisiä lukuja, ainoastaan suuntaa-antavia tilastoja perustuen levikkiin ja perhekokoon.

Toki aiemmin digimaailma on tarjonnut erittäin tarkkoja lukuja, koska käyttäjille ei ole annettu vaihtoehtoja, mutta nyt ainakin Euroopassa, tämä aikakausi näyttää olevan jossain määrin ohi.

Sanoma Media Finland taistelee tätä tulevaisuutta vastaan kuitenkin rajusti, ja vielä ei tämä saaga ole päätöksessä, Sanoman evästekäytänteet ja lupalaput ovat edelleen pitkälti samat kuin aiemmin, Traficomin päätöksestä huolimatta.

Jäämme odottamaan seuraavia käänteitä.

PS. Tilaa Vierityspalkin kerran kuukaudessa ilmestyvä uutiskirje, joka koostaa artikkelit, linkkivinkit, työpaikat ja julkaisut (uutiskirjeellä on jo yli 900 tilaajaa).