06 syys Evästeet, cookiet ja muut välipalat
*** teksti päivitetty 3.4.2019 21:13 ***
Moni asiakkaamme on kysynyt, mitä evästeiden kanssa on nyt tietosuoja-asetuksen näkökulmasta tehtävä. Kirjoitin lyhyesti asiasta lakiperusteluineen, mutta jos alun lakiperustelut eivät kiinnosta, voit hypätä suoraan viimeiseen kappaleeseen: “Evästeiden käytöstä”.
Evästeet ja lainsäädäntö
Tietosuoja-asetuksessa ei mainita suoranaisesti evästeitä. Tietosuoja-asetus koskettaa kuitenkin yksityisyydensuojaa melko läheisesti ja puhuu muun muassa luonnollisten henkilöiden suostumuksesta heidän tietojensa käsittelyyn liittyen. Käsitelläkseen rekisteröidyn henkilötietoja julkisilla internet -sivuilla vierailun seurannan osalta vaatii myös pätevän lainmukaisuusperusteen. Suostumus on melko lailla ainoa soveltuva.
Mm. artikla 6. määrittelee suostumuksen yhdeksi käsittelyn lakiperusteista ja artiklan 4 määritelmissä suostumuksen kerrotaan olevan “mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn…”. Edellisen lisäksi artikla 7 edellyttää että “suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä…”.
Tulossa EU:n sähköisen viestinnän tietosuoja-asetus
Tietosuoja-asetus on niin sanottu ‘lex generalis’, eli yleislainsäädäntö, jota voidaan tarkentaa erityislainsäädännöllä. EU:ssa on valmisteilla uusi sähköisen viestinnän tietosuoja-asetus (asetus tunnetaan nimellä ePrivacy regulation). Tämä on niin sanottu ‘lex specialis’ eli erityislainsäädäntö, joka tarkentaa yleislainsäädäntöä.
Sähköisen viestinnän tietosuoja-asetus puhuu suoraan evästeistä. Tämä asetus on kuitenkin vasta ehdotus, joten meidän on katsottava tarkemmin sen edeltäjää, sähköisen viestinnän tietosuojadirektiiviä. Sen artiklan 5, kohdassa 3 todetaan että “tilaajan tai käyttäjän päätelaitteelle tallennettujen tietojen käyttämiseen sallitaan ainoastaan sillä edellytyksellä, että kyseiselle tilaajalle tai käyttäjälle annetaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta … ja että hänelle annetaan oikeus kieltää tietojen käsittelystä vastaavaa tahoa suorittamasta tällaista käsittelyä.”
Tämä ei kuitenkaan estä niin sanottujen “ehdottoman välttämättömien” evästeiden tallentamista. Sellaisia ovat esimerkiksi evästeet, joiden ainoana tarkoituksena on toteuttaa viestinnän välittäminen sähköisissä viestintäverkoissa tai helpottaa sitä tai joka on ehdottoman välttämätöntä sellaisen tietoyhteiskunnan palvelun tarjoamiseksi, jota tilaaja tai käyttäjä on erityisesti pyytänyt.
Edellä esitettyjen kohtien perusteella ei voida enää tietosuoja-asetuksen voimaan tultua olettaa, että evästeitä voisi jatkossa käyttää miten tahansa. Jos nettisivuilla vierailija pyytää tietyn sivun esille hakua, niin onko hänen käyttäytymisensä seuranta todella tarpeen julkisen sivun tarjoamiseksi? Suomen laki sähköisen viestinnän palveluista (§205) sanoo:
“Evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos käyttäjä on antanut siihen suostumuksensa ja palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta.“
Tietenkin kannattaa seurata sitä, miten sähköisen viestinnän tietosuoja-asetus lopulta evästeistä määrittelee asetuksen tultua voimaan.
Ohjeistus evästeiden käyttöön Suomessa ja Euroopassa
Suomessa evästeiden käyttöä koskevaa ohjeistusta on antanut Traficomin kyberturvallisuuskeskus (ent. Viestintävirasto). Suomessa ei aiemmin ole vaadittu mitään erityistä ponnahdusikkunaa tai hyväksyntämenettelyä, mutta Traficomin ohjeet ovat muuttuneet. Jos kyse on ns. ehdottoman välttämättömistä evästeistä, niistä ei tarvitsisi edes tiedottaa. Eikä luonnollisesti suostumustakaan tarvitse kerätä.
- joissa ainoana tarkoituksena on toteuttaa viestin välittämistä viestintäverkoissa
- jotka ovat välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt (esimerkiksi verkkopankkipalvelut).
Suomessa tiedottaminen ja suostumus on niputettu yhteen, mutta EU-komissio näkee asian eri tavalla. Heidän ohjeissaan informointi ja suostumus ovat eri asia. Ohjeissa informoinnista on jopa sisällytetty ehdottoman välttämättömistä evästeistä tiedottaminen. Tämä tarkoittaa sitä, että etenkin kansainvälisillä markkinoilla toimivat yritykset voivat joutua varautumaan erilaisiin tulkintoihin muilla kuin Suomen markkinoilla.
Evästeiden käytöstä
Ensimmäisenä kannattaa miettiä, mitä yrityksesi todella tarvitsee. Ellet oikeasti tarvitse tietoa siitä, miten yksittäinen IP-osoite sivuillasi käyttäytyy, niin miksi edes keräisit sitä tietoa? Kokemuksemme mukaan monilla – etenkin pienyrityksillä – on kaikki mahdollinen analytiikka sivuillaan, vaikka he eivät tosiasiassa tietoa käytä tai tarvitse. Se on siellä siksi, koska sivujen myyjä sai ostajan vakuuttumaan siitä, että sitä tarvitaan. Mutta kukaan ei ole sitä tietoa sen jälkeen käyttänyt. Paitsi Google, Facebook, sivuston myyjä, hänen mainosverkostonsa ja muut mahdolliset osapuolet. Mutta ei itse yritys, joka tiedon kerää.
Ensimmäisenä kannattaa siis miettiä, mitä sinun yrityksesi todella tarvitsee. Sen jälkeen kannattaa unohtaa kaikki, millä ei ole sinulle käyttöä. Ja lopuksi jää kaksi asiaa tehtäväksi:
Evästeiden hyväksyntämenettely
Erillinen banneri tai pop-up -tiedote, joka sisältää ilmoituksen muiden kuin välttämättömien evästeiden käytöstä sisältäen linkit tarkempiin tietoihin ja evästeiden hallinnan työkaluun. Huom! evästeitä ei saa tallentaa, ennen kuin käyttäjältä on saatu suostumus.
Evästeistä tiedottaminen
Ns. välttämättömien evästeiden osalta suostumusta ei tarvita. Koska kyse on kuitenkin henkilötietojen käsittelystä ja tietosuoja-asetus melko selkeästi asettaa rekisterinpitäjälle velvollisuuden informoida rekisteröityjä henkilötietojen käsittelystä, suosittelemme niistä tiedottamaan.
Tiedottamisen ei tarvitse olla pop-up -ikkuna tai banneri, joka käyttäjän pitää klikata pois, kunhan tieto on helposti löydettävissä sivuilta. Se voi olla tietosuojaselosteessa tai -lausunnossa oleva osa tai sitten sivustolla muuten selkeästi erillään oleva osio, joka kertoo käyttäjille mihin välttämättömiä evästeitä käytetään, miksi niitä käytetään, miten kauan niitä säilytetään ja millaisia keinoja käyttäjillä on vaikuttaa evästeiden hallintaan.
Huolehdithan sivustosi ajan tasalle!
Jari Ala-Varvi
IT-joukkueen pelaaja #679
tietosuojavastaava, CIPP/E
Käy myös lukemassa Jarin blogiteksti: Tietosuojavastaavan tehtävät vaativat asiantuntemusta ja osaamista
- Päivitetty 25.1.2019 – Viestintäviraston linkki Traficomin kyberturvallisuuskeskuksen sivuille