Tulostusversio

3/2011

Yksityisyys: Syynissä netissä

Teksti: Kirsi Castrén

Netinkäyttäjän on vaikeaa välttää verkkosivujen kävijäseurantaa.

Kävijäseurantapalveluja käyttävät monet yritykset ja viranomaisetkin, jotka haluavat tietää, mikä heidän verkkopalveluissaan kiinnostaa vierailijoita eniten.

Kävijäseurantaa toteutetaan käytännössä evästeillä eli verkkopalvelun käyttäjän tietokoneelle tallentuvilla tekstitiedostoilla. Käyttäjän tietokoneen IP-osoite tallentuu sen verkkosivuston palvelimelle, jolla hän asioi. Samalla eväste tallentaa IP-osoitteen myös . - useimmiten käyttäjän tietämättä - kävijäseurantaa tarjoavalle yhtiölle.

Henkilötietolain näkökulmasta kyse voi olla kahdesta tapauksesta, sanoo IT-erityisasiantuntija Lauri Karppinen tietosuojavaltuutetun toimistosta:

"Kyseessä on joko toimeksiannosta tapahtuva henkilötietojen käsittely verkkosivuston ylläpitäjän puolesta, eli toiminnon ulkoistus, tai sitten henkilötietojen luovutus ulkopuoliselle taholle, mille pitää olla henkilötietolain mukaiset perusteet."

Käyttäjän suostumus tarvitaan

Henkilötietolaki velvoittaa verkkosivun ylläpitäjää kertomaan käyttäjälle henkilötietojen keräämisestä ja käsittelystä.

"Käyttäjätietojen tallentaminen on sallittua silloin, kun henkilö antaa siihen asianmukaisen suostumuksen, eli henkilölle on riittävän selkeästi kerrottu, kuka tietoja kerää ja mihin tarkoitukseen, ja mihin tietoja mahdollisesti luovutetaan", korostaa asianajaja Eija Warma asianajotoimisto Castrén & Snellmanilta.

Warman mukaan viime aikoina on keskusteltu paljon siitä, millainen suostumus on asianmukainen. EU:n sähköisen viestinnän tietosuojadirektiivi vaatii verkkopalvelun tarjoajaa jatkossa pyytämään käyttäjältä erikseen luvan evästeiden asentamiseen koneelle.

Suomen lainsäädäntöön direktiivi pantiin täytäntöön viime toukokuussa siten, että pätevä suostumus voidaan antaa selainasetuksissa.

Seuranta alkaa etusivulta

Tunnetuin kävijäseurantapalvelu on hakukonejätti Googlen Analytics. Google ilmoittaa sivuillaan käyttävänsä muiden sivustojen kävijätietoja myös omien palvelujensa kehittämiseen.

"Google velvoittaa Analyticsin tilaajan kertomaan kävijälle avoimesti palvelun käytöstä tietosuojaselosteessaan," painottaa Pohjoismaissa Googlea edustavan Google Denmarkin tiedotuspäällikkö Christine Sørensen.

Monen yrityksen verkkosivuilla on tietosuojaseloste, jossa kerrotaan Analyticsin käytöstä ja mahdollisuudesta estää tietojensa tallentuminen selainasetuksia muuttamalla.

"Ongelmana kuitenkin on, että kun Analytics on yleensä asennettu toimimaan jo palvelun etusivulla, ehtivät käyttäjän tiedot tallentua ennen kuin hän pääsee tutustumaan tietosuojaselosteeseen", tietosuojavaltuutetun toimiston Lauri Karppinen huomauttaa.

Käyttäjällä ei siis ole tosiasiallista mahdollisuutta kieltäytyä seurannasta.

Selainasetuksia usein vaikea muuttaa

Karppinen suhtautuu epäilevästi tavallisen käyttäjän todellisiin mahdollisuuksiin suojata henkilötietojaan selainasetuksia vaihtamalla.

"Kaikki eivät osaa tai kykene käyttämään evästeiden hallinta-asetuksia, jotka ovat eri selaimissa hyvinkin erilaiset. Jos kytket evästeet kokonaan pois, suuri osa verkkosivustoista lakkaa toimimasta oikein."

Seurantapalvelun käytöstä kertovat yritykset harvoin liittävät tietosuojaselosteeseensa linkkiä palveluun. Vielä harvempi opastaa selainasetusten muuttamisessa.

Monilla työpaikoilla ja julkisessa käytössä olevilla koneilla eivät ylläpitäjän asettamat rajoitukset salli selainasetusten muuttamista. Mobiililaitteissa ei välttämättä voi muokata asetuksia lainkaan.

Käyttäjätiedot maailmalla?

Ylikansallisten verkkopalveluyhtiöiden palvelimet ovat usein niin sanottuja pilvipalvelimia, joihin talletettujen tietojen sijainti voi vaihdella maasta toiseen. Henkilötietojen siirto EU:n ulkopuolelle edellyttää käyttäjän suostumusta tai jotakin henkilötietolaissa luetelluista tiedonsiirtomenettelyistä.

Oikeustapauksia Googlen tai muiden kävijäseurantapalveluja tarjoavien yritysten keräämiin henkilötietoihin liittyen ei ainakaan Suomesta vielä ole.

"Näihin tarttuminen on varsin hankalaa”, Eija Warma toteaa.

"Ylikansalliset yhtiöt vetoavat usein siihen, että heidän kotipaikkansa on Yhdysvalloissa ja näin ollen ne ovat velvollisia noudattamaan ainoastaan kotipaikkansa lainsäädäntöä. EU:n tietosuojaviranomaisten näkemyksen mukaan myös paikalliset säännöt tulevat sovellettaviksi." 

Ylläpitäjä vastaa kävijätietojen luovutuksesta

Google on sitoutunut EU:n tietosuojaperiaatteisiin Safe harbor -sopimuksella. Se ei ole kuitenkaan riittänyt estämään yhtiön kiistoja EU:n tietosuojaviranomaisten kanssa. Alun perin Google, kuten muutkin suuret kansainväliset verkkopalveluyhtiöt, piti kiinni tulkinnasta, jonka mukaan IP-osoite ei ole henkilötieto. EU:n tietosuojavaltuutetut näkivät asian toisin.

Analytics-palvelun tilaajalla on mahdollisuus sopia Googlen kanssa, ettei tietoja luovuteta Googlen omaan käyttöön. Nykyisin Google myös karkeistaa kävijöiden IP-osoitteet, mikäli tilaaja niin haluaa.

Tietosuojavaltuutetun toimistossa ei Karppisen mukaan ole toistaiseksi paljoakaan tietoa siitä, miten Analytics-palvelun tilaajat ovat käyttäneet toimeksiantosopimuksissaan hyväkseen Googlen tarjoamia vaihtoehtoja.

 

Lue myös

Yksityisyys: Suojaudu netissä »
Yksityisyys: Kamera-automaatti tallentaa kuvasi »
Yksityisyys: Eri mieltä evästeistä »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.