Tulostusversio

3/2014

Asiantuntijalta: Saisiko olla keksi?

Teksti: Antti Innanen

Evästeen käyttöön verkkopalvelussa vaaditaan usein käyttäjän suostumus.

Verkkopalvelun cookie (”keksi”) eli eväste tarkoittaa tietoa, jonka palveluntarjoajan palvelin lähettää käyttäjän selainohjelmalle. Palvelin pyytää selainta tallentamaan tiedon käyttäjän päätelaitteelle, esimerkiksi tietokoneeseen, tablettiin tai puhelimeen.

Eväste on internetin muisti. Verkkopalvelu ei säilytä automaattisesti tietoa selaimen yhteydenotosta eikä yhdistä perättäisiä yhteydenottoja toisiinsa. Näin ollen esimerkiksi verkkokaupan ostoskori ei ilman evästeiden käyttöä tunnista, mitä koriin on laitettu.

Niistä edellytyksistä, joilla eväste voidaan tallentaa käyttäjän päätelaitteelle, säädetään Suomessa sähköisen viestinnän tietosuojalaissa. Lain mukaan evästeiden tallentaminen käyttäjän laitteelle ja näiden tietojen käyttö on palveluntarjoajalle sallittua, jos käyttäjä on antanut siihen suostumuksensa ja palveluntarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta.

Evästeistä ei kuitenkaan tarvitse tiedottaa, jos niiden ainoana tarkoituksena on viestin välitys teknisesti tai palvelun käytön helpottaminen tai jos käyttäjä on pyytänyt evästeiden käyttöön perustuvaa palvelua.

On tärkeää havaita, että evästeen laatu vaikuttaa myös suostumuksen hankintaan. Eväste saattaa olla myös henkilötieto, jos evästeen perusteella (tai yhdistämällä evästetieto johonkin toiseen tietoon) henkilö voidaan tunnistaa.

Suostumuksen saaminen

Suostumus evästeen tallentamiseen voidaan antaa lähtökohtaisesti kahdella tavalla: joko selainasetuksilla tai nimenomaisesti ennakollisena (ennen tallentamista) annettavana suostumuksena. Ennakollinen suostumus näyttäytyy yleensä esimerkiksi ponnahdusikkunana tai sivustolle ilmestyvänä palkkina.

Suomessa on tulkittu EU:n sähköisen viestinnän tietosuojadirektiiviä siten, että käyttäjä voi antaa suostumuksensa evästeiden tallentamiseen esimerkiksi selaimen tai muun sovelluksen asetusten avulla. On syytä huomioida, että suostumuksen käsitteen tulkintakäytäntö vaihtelee EU:n jäsenvaltioiden välillä suuresti. Esimerkiksi Portugalissa ennakollinen suostumus vaaditaan useimpien evästeiden tallentamiseen. Ranskassa puolestaan ennakollinen suostumus vaaditaan seurantaevästeiden tallentamiseen.

Vaikutukset vaihtelevat

Ongelmana evästeisiin liittyvässä suostumuksessa on, että evästeitä on monenlaisia ja ne vaikuttavat erilaisilla painoarvoilla käyttäjän oikeuksiin. Jotkut evästeistä ovat selkeästi palvelun käyttöä mahdollistavia tai helpottavia. Useimmat käyttäjät eivät ole huolissaan tämänkaltaisten evästeiden toimimisesta ja sallivat evästeiden tallentamisen.

Joidenkin evästeiden avulla voidaan myös tutkia käyttäjän toimintaa tarkemmin ja profiloida käyttäjää. Halutessaan käyttäjä voi myös suostua tämän kaltaiseen profilointiin. Käyttäjä voi esimerkiksi haluta hänelle kohdennettua mainontaa. Jos kyse on luettavan sivuston ulkopuolelle tallennettavasta kolmannen osapuolen evästeestä, joka seuraa käyttäjän toimintaa ja esimerkiksi selaushistoriaa, tulisi suostumuksen saamiseen kiinnittää erityistä huomiota.

Käyttäjän päätelaitteelle voidaan myös pyrkiä tallentamaan evästeitä, jotka tunkeutuvat selkeästi käyttäjän yksityiselämän alueelle tai vastustavat käyttäjän tahtoa poistaa evästeet. Tämänkaltaiset ”evästeet” muistuttavatkin enemmän haittaohjelmia kuin varsinaisia evästeitä.

Suostumuksen saaminen ja tiedonantovelvollisuuden laajuus tulee siten suhteuttaa sen mukaan, millä painoarvolla tallennettavat evästeet puuttuvat käyttäjän yksityisyydensuojaan. Käyttäjä ei voi esimerkiksi tehokkaasti suostua selainasetuksilla selaimen ulottumattomissa olevien tietojen tallentamiseen.

Tulevaisuuden eväät

Evästeiden haasteet liittyvät sähköisen viestinnän muutoskehitykseen. Yhä useampi sivusto vaatii jonkinlaista taustatietoa käyttäjän aikaisemmasta toiminnasta. Jos käyttäjä joutuu kirjautumaan uudestaan useaan kertaan sivustolle tai sivusto ei pysty muistamaan käyttäjän asetuksia, voi asiakas kokea asiakaspalvelun huonoksi. Kuluttajat ovat kokeneet myös nimenomaisen ennakollisen suostumuksen pyytämisen joissakin tapauksissa liian raskaaksi käyttää.

Toisaalta evästeiden välttämättömyys antaa tilaa myös asiattomalle seurannalle ja tiedonkeruulle. Koska käyttäjät haluavat palveluiden toimivan, ovat he valmiita asetuksin myös hyväksymään suuren määrän evästeitä. Kuten edellä on esitetty, jotkut evästeet puuttuvat merkittävästi käyttäjien yksityisyydensuojaan ja ovat hankalia poistaa. Näissä käyttäjän suostumuksen hankintaan tulisi kiinnittää erityistä huomiota.

Evästeet eivät välttämättä ole ainoa tapa seurata käyttäytymistä. Mahdollisen uuden sääntelyn tulisi olla joka tapauksessa teknologiariippumatonta ja ottaa huomioon kaikki mahdolliset seurannan muodot. Mikäli sääntely keskittyy ainoastaan evästeisiin, saattavat monet muut seuraamistavat jäädä huomioimatta.

Tässä vaiheessa ei ole vielä täyttä varmuutta siitä, millä tavalla EU:n uusi tietosuoja-asetus suhtautuu evästeisiin, ja harmonisoidaanko esimerkiksi suostumuksen käsitettä jotenkin. Haasteena onkin erottaa erilaiset evästeet toisistaan ja suhteuttaa suostumuksen antaminen ja tiedonantovelvollisuudet oikein erilaisiin evästeisiin ja seurantatapoihin. Kaikki keksit eivät nimittäin ole samanlaisia, jotkut saattavat jopa olla pahasti pilaantuneita.

----

[KIRJOITTAJA]

Antti Innanen on tietosuojaan erikoistunut lakimies Asianajotoimisto Boreniuksella.

Lue myös

Asiantuntijalta: Kekseissä on eroja »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.