Kun gdpr astui voimaan, verkkopalvelujen käyttäjät alkoivat saada ruuduilleen erilaisia lain vaatimia ilmoituksia evästeistä. Nämä ovat pieniä koodinpätkiä, jotka tallentavat kävijän koneelle tietoja, joiden ansiosta seuraava käynti samalla sivulla voi olla mukavampi, kun palvelu tunnistaa kävijän ja tietää vaikkapa mihin viime käynnillä jäätiin.

Osaa evästeistä puolestaan käytetään esimerkiksi mainosten kohdistamiseen.

Parhaimmillaan ilmoitus tarjoaa kansalaiselle selvät ja ymmärrettävät vaihtoehdot. Pahimmillaan evästekyselyt ovet sellaisia, ettei niistä lainoppinutkaan ota selvää, mihin on suostumassa ja mitä torjumassa.

Helsingin hallinto-oikeus on antanut juuri kaksi tietosuojaa koskevaa ratkaisua, jotka osoittavat vähintään sen, etteivät viranomaisetkaan ole erehtymättömiä. Oikeus kumosi kaksi Liikenne- ja viestintäviraston Traficomin tekemää päätöstä, jotka koskivat verkkosivustojen evästekäytäntöjä.

Vyyhdin aluksi yksityishenkilö otti yhteyttä Traficomiin. Hän epäili viraston omien Traficom.fi- ja Liikennefakta.fi-verkkosivustojen sekä erään yksityisen tahon ylläpitämän verkkosivuston evästekäytäntöjen lainmukaisuutta. Miehen mielestä hänen päätelaitteelleen tallennettiin tietoja ilman suostumusta.

Traficomin mielestä yhteydenotot eivät antaneet aihetta toimiin. Sen mukaan Liikennefakta.fi-sivustolta oli poistettu kaikki evästeet ja kahden muun sivuston evästekäytännöt olivat lainmukaisia.

Tämä ei miestä tyydyttänyt, joten hän valitti päätöksistä Helsingin hallinto-oikeuteen. Tämä kannatti: oikeuden mielestä kyseisten verkkosivustojen evästekäytännöt eivät olleet evästeiden käyttöön vaadittavan suostumuksen osalta lainmukaisia. Traficomin päätökset kumottiin ja asiat palautettiin sille uudelleen käsiteltäviksi.

Hallinto-oikeus katsoo, että sähköisen viestinnän palveluista annetun lain 205 §:ssä tarkoitettua evästeiden käytölle vaadittavaa suostumusta on tulkittava samoin kuin yleisessä tietosuoja-asetuksessa (gdpr) tarkoitettua suostumusta. Hallinto-oikeuden päätöksen mukaan sellaista verkkosivuston evästekäytäntöä, jossa suostumus saadaan verkkosivuston käyttäjän päätelaitteen internetselaimen asetuksilla, jotka sallivat yleisesti eri tarkoituksiin kerättävien evästeiden käytön, ei voida pitää yleisen tietosuoja-asetuksen edellyttämällä tavalla verkkosivuston käyttäjän yksilöitynä ja tietoisena suostumuksen ilmaisuna.

Suomennettuna tämä tarkoittaa, että kävijän on aktiivisesti hyväksyttävä kunkin sivuston evästeet eikä ylläpitäjä saa toimia sen varassa, että selaimen automaattinen yleiskuittaus riittäisi suostumukseksi.