Zgodność stron WWW w Finlandii: pliki cookie, RODO i dostępność

Finlandia stosuje te same przepisy UE co reszta unii — RODO dla danych osobowych, ePrivacy dla cookie i pamięci oraz European Accessibility Act dla dostępności — ale jej wdrożenie ma dwie cechy szczególne: nadzór nad cookie jest podzielony między dwa organy, a Finlandia wcześnie zakończyła „zgodę" przez ustawienia przeglądarki. Ten przewodnik porządkuje trzy ramy tak, jak obowiązują fińską witrynę w 2026 r.

Trzy obowiązujące ramy

• RODO + Tietosuojalaki. RODO stosuje się bezpośrednio, uzupełnione fińską ustawą o ochronie danych (Tietosuojalaki, 1050/2018). Organem jest Office of the Data Protection Ombudsman (Tietosuojavaltuutettu).
• ePrivacy przez Act on Electronic Communications Services. Zasada przechowywania cookie to §205 ustawy 917/2014, nadzorowana przez Traficom.
• EAA przez Act on the Provision of Digital Services. European Accessibility Act wdrożono przez zmiany istniejących ustaw, w tym ustawy 306/2019, z zakresem od 28 czerwca 2025 r.

Pliki cookie: §205 i aktywna zgoda

Zgodnie z §205 Act on Electronic Communications Services zapisywanie lub odczytywanie informacji na urządzeniu końcowym użytkownika wymaga zgody, chyba że przechowywanie jest ściśle konieczne do świadczenia żądanej usługi. Pliki analityczne, takie jak _ga czy _pk_id, nie są ściśle konieczne, więc wymagają uprzedniej zgody opt-in.

Przełom nastąpił w 2021 r. Po tym jak zastępca Rzecznika orzekł w maju 2020 r., że odsyłanie użytkowników do ustawień prywatności przeglądarki nie jest wystarczająco aktywną i wyraźną zgodą, Traficom i Office of the Data Protection Ombudsman wspólnie wydały zmienione wytyczne dla dostawców usług. Kluczowe punkty:

• Zgoda musi być aktywnym, potwierdzającym działaniem — bez zaznaczonych z góry pól, bez zgody dorozumianej.
• Nieistotne pliki cookie nie mogą być ustawiane przed tą zgodą.
• Odrzucenie musi być tak łatwe jak akceptacja.
• „Zgoda" przez ustawienia przeglądarki nie jest już dopuszczalna.

Fińskie sądy od tego czasu wzmocniły egzekwowanie przepisów o cookie, więc tych wytycznych nie można bezpiecznie ignorować. Są zgodne z konsensusem UE co do parytetu odrzucenia oraz co do tego, które ramy rządzą cookie.

Dwa organy, dwa pytania

Podzielony model Finlandii ma znaczenie, bo zmienia to, przed kim odpowiadasz:

• Traficom (przez swoje Cyber Security Centre) nadzoruje zasadę przechowywania — pytanie z §205, czy informacje w ogóle można zapisać lub odczytać na urządzeniu.
• Office of the Data Protection Ombudsman nadzoruje przetwarzanie — pytanie RODO, czy dane osobowe zbierane przez cookie są przetwarzane zgodnie z prawem, z ważną zgodą i wymaganą informacją.

Fińska strona potrzebuje obu poprawnych: ważnej zgody na przechowywanie z §205 oraz ważnej podstawy i informacji RODO dla dalszych działań.

Dostępność: ustawa 306/2019 i EAA

Act on the Provision of Digital Services (306/2019) od 2019 r. wymaga dostępności od sektora publicznego oraz pewnych usług finansowanych ze środków publicznych i kluczowych, mierzonej względem EN 301 549 — w praktyce WCAG 2.1 poziom A i AA. European Accessibility Act rozszerzył następnie obowiązki na wiele prywatnych produktów i usług konsumenckich od 28 czerwca 2025 r. Co istotne, Finlandia wdrożyła EAA głównie przez zmianę istniejącego ustawodawstwa (w tym ustawy 306/2019), a nie jedną nową ustawą.

Organem nadzoru dostępności cyfrowej jest Regional State Administrative Agency for Southern Finland (Etelä-Suomen aluehallintovirasto), który może egzekwować wymogi m.in. przez grzywny warunkowe na podstawie Threatened Fines Act (1113/1990).

Praktyczna lista kontrolna dla fińskiej strony

1. Żaden nieistotny plik cookie, piksel ani zapis pamięci nie uruchamia się przed aktywną zgodą.
2. Zgoda jest wyrażana działaniem potwierdzającym — nie przez ustawienia przeglądarki, nie przez zaznaczone z góry pola.
3. Odrzuć jest tak łatwe i widoczne jak Zaakceptuj.
4. Polityka prywatności wymienia trackery i podstawę prawną RODO dla przetwarzania.
5. Strona spełnia WCAG 2.1 AA (EN 301 549) dla treści konsumenckich.

Jak Veracly sprawdza fińską witrynę

Veracly ocenia fiński adres URL względem wszystkich trzech ram w jednym skanie. Moduł cookie rejestruje każde żądanie, plik cookie i zapis pamięci przed interakcją z banerem i oznacza uchybienia zgody na przechowywanie (uruchomienie przed zgodą, poleganie na ustawieniach przeglądarki, brak równoważnej ścieżki odrzucenia). Moduł dostępności uruchamia axe-core wobec wyrenderowanego DOM dla WCAG 2.1 AA. Każde ustalenie jest możliwe do odtworzenia przez Ciebie w narzędziach DevTools i przypisane do ramy, której dotyczy.

Zobacz też: Zgodność stron WWW w Holandii · Audyt strony w wielu jurysdykcjach · EAA dla MŚP