Tietosuoja Osa 1: Käyttäjän tunnistaminen
Viime kesänä julkaisimme tunnistamiseen kytkeytyvän artikkelin kesälomalukemistoksi. Tänä kesänä kirjasimme ylös kolme näkökulmaa tietosuojaan ja yksityisyyteen.
Menneen talven lumien mukana moni toivoi laajenneen ja tihentyneen suostumusviidakon harventuvan. Niin ei ole käynyt, vaan käytännössä webin selailu on muuttunut entistä hankalammaksi, kun jokaisella sivulla kysytään erikseen suostumusta evästeiden hyväksymiseen.
Aivan uudenlainen markkina on kehittynyt, kun yritykset ovat alkaneet tarjota ratkaisujaan suostumusten hallintaan. Verkkosivustot ulkoistavat mielellään suostumuskyselyt kolmannelle osapuolelle, kun kysely on helppo upottaa verkkosivustolle javascriptillä. Samalla kasvaa keskittämisen riski paitsi saatavuuden osalta, mutta suostumuspalvelua tarjoavat yritykset voittavat myös uudenlaisen mahdollisuuden kerätä keskitetysti tietoa käyttäjien toiminnasta.
Suostumus on ollut eräs eurooppalaisen tietosuoja-asetuksen luettelemista henkilötietojen käsittelyn perusteista. Suostumuksen on oltava nimenomainen ja vapaaehtoinen, josta syystä suostumus soveltuu monessa tapauksessa huonosti perusteeksi henkilötietojen käsittelyyn. Käyttötarkoitusperusteeksi löytyykin usein helpommin lakiin perustuva velvoite tai oikeutettu etu. Esimerkiksi työnantajan on käsiteltävä työntekijöiden henkilötietoja lakisääteisten velvoitteidensa täyttämiseksi, kuten palkan maksun tai työajan seurannan toteuttamiseksi. Tällaisessa tapauksessa suostumuksella ei ole merkitystä, koska työntekijän on joka tapauksessa hyväksyttävä henkilötietojen käsittely ehtona työn suorittamiselle. Suostumus ei olisi vapaaehtoinen.
Velvoite suostumuksen pyytämiseen evästeiden tallentamiseksi seuraa EU:n sähköisen viestinnän tietosuoja-direktiivistä, joka tunnetaan myös ePrivacy -direktiivin nimellä. Velvoite seuraa direktiivin 5. artiklan 3. kohdasta. Säädös on Suomessa implementoitu sähköisen viestinnän palvelulain pykälässä 205.
Evästesuostumusten osalta tilanne on Suomessa ollut epäselvä, kun viranomaisetkin ovat tulkinneet säädöksiä vaihtelevasti. Liikenne- ja viestintäviraston lupaviranomainen Traficom joutui itsekin tarkistamaan omia evästekäytäntöjään ja ohjeistuksiaan hallinto-oikeuden annettua ratkaisun heidän kahdesta päätöksestään.
Traficom oli tulkinnut, että suostumuksen evästeiden käsittelyyn voisi antaa selaimen asetuksella. Tällainen selainasetus ei kuitenkaan ole nimenomainen, vaan kattaa kaikki verkkosivut, joita kyseisellä selaimella käytetään.
Verkon käyttäjää direktiivin laajentunut noudattaminen on lähinnä ärsyttänyt, sillä verkon käytöstä on tullut yhä vaikeampaa. Evästesuostumuksia kysellään nyt niin laajasti ja se tehdään hyvin usein huolimattomasti tai aivan väärin.
Verkossa on valtavasti väärää tietoa suostumusten käsittelystä. Yleisin väärinkäsitys on, että evästesuostumus on aina pyydettävä. Tuntuu, että verkkosivujen tuottajat ovat järjestelmällisesti sivuuttaneet direktiivin kohdan:
joka on ehdottoman välttämätöntä sellaisen tietoyhteiskunnan palvelun tarjoamiseksi, jota tilaaja tai käyttäjä on erityisesti pyytänyt
Suostumusta evästeille ei siis tarvitse pyytää silloin, kun ne ovat palvelun tarjoamisen kannalta välttämättömiä. Verkkosivut siis palvelisivat käyttäjäänsä parhaiten, jos eivät käyttäisi lainkaan muita, kuin välttämättömiä evästeitä, jolloin suostumusta ei tarvitse pyytää.
Välttämättömiä evästeitä ovat esimerkiksi evästeet, joita tarvitaan käyttäjän pääsyn sallimiseksi sivuston suojatuille osille. Tunnistamiseen käytettävän istuntotunnisteen käsittely on siis välttämätöntä. Direktiivissä on ehdottoman välttämättömyyden ehto, mistä seuraa että tarkkaan ottaen istuntoevästeen käsittely muualla, kuin sivuston suojatussa osiossa ei ole välttämätöntä. Suojatut osiot pitäisikin sijoittaa sivustolla omaan haaraansa ja asettaa evästeen polkumäärite (‘path’) siten, että eväste luovutetaan vain suojattuja sivun osia käytettäessä.
Jos sivustolla käsitellään muita, kuin ehdottoman välttämättömiä evästeitä, evästesuostumus on kysyttävä riippumatta siitä, mikä henkilötietojen käsittelyn käyttötarkoitusperuste muutoin on. Suostumukselle on vaatimuksia, kuten nimenomaisuus ja vapaaehtoisuus. Suostumus on oltava myös peruttavissa yhtä helposti, kuin se on annettavissa. Suostumuskysely tai suostumuksen antamatta jättäminen ei saa estää sivuston käyttöä, eli suostumuskysely ei saa peittää koko sivua.
Kysely on myös muotoiltava oikein. Yleinen virhe on vaihtoehdot: “hyväksyn kaikki evästeet” ja “hyväksyn vain välttämättömät”. Välttämättömiin evästeisiin ei tarvita suostumusta. Tarpeettoman suostumuksen pyytäminen johtaa käyttäjän harhaan. Käyttäjä saattaa poistua sivustolta, jos hänelle ei anneta mahdollisuutta kieltäytyä.
Parempi muotoilu suostumuskyselyn vaihtoehdoille siis on esimerkiksi: “vain välttämättömät” ja “salli evästeet”, jolloin käyttäjällä on selkeät säädöksiin perustuvat vaihtoehdot. Ei kannata teettää käyttäjällä tarpeetonta työtä valitsemalla erikseen erityyppisiä evästeitä. Kaikki tai ei mitään -malli toimii paremmin.
Yleinen virhe on pyytää suostumusta käyttäjältä aina uudelleen sen jälkeen, kun käyttäjä on kieltäytynyt evästeiden tallentamisen. Tälle looginen peruste on se, että kun käyttäjä ei ole antanut suostumusta evästeiden käyttöön, ei voida tallentaa tietoa siitä, että käyttäjä on kieltäytynyt. Ei ole voimassaolevaa ohjeistusta tähän yksityiskohtaan, mutta haastaisin sivuston toteuttajan harkitsemaan seuraavaa.
Voisiko kieltäytymisestä kertovan tiedon tallentamisen käyttäjän selaimeen katsoa ehdottoman välttämättömäksi sivuston lakisääteisten velvollisuuksien toteuttamiseksi? Tässä tarkkaan ottaen: suostumusvelvoitteen toteuttamiseksi. Tallennettavaa evästettä ei saa käyttää henkilöllisyyden yksilöintiin vaan tallennetaan ainoastaan tieto evästeiden käytön kieltämisestä seuraavaan tapaan: ‘cookieConcent:false’.
Sivuston on myös täytettävä informointivelvollisuus. Käyttäjälle on kerrottava, miten hänen henkilötietojaan käsitellään ja mikä tehtävä evästeillä on. Moni tekee informoinnin samassa yhteydessä evästesuostumuskyselyn yhteydessä. Tässä yhteydessä on tärkeä muistaa, että informointi ja suostumuksen pyytäminen ovat kaksi eri asiaa.
Informoinnin yhteydessä käyttäjä ei hyväksy mitään, hän vain tulee informoiduksi. Ei ole aiheenmukaista lisätä suostumuskyselyyn painiketta: “ok”, tai: “ymmärrän ehdot”. Informointiin riittää linkki, josta käyttäjä pääsee lukemaan tietosuojaselosteen ja muuta sivuston tarpeelliseksi katsomaa lisätietoa henkilötietojen käsittelystä.
Yhteenvetona verkkosivustojen ylläpitäjille: poista suostumuskyselyt ja käytä ainoastaan ehdottoman välttämättömiä evästeitä. Vastuuvapauslausekkeena on vielä tämän aiheen loppuun todettava, että kyseessä on kirjoittajan omat näkemykset säädöksien tilanteesta tekstin kirjoittamisen ajankohtana. Kyseessä ei ole lainopillinen neuvonta ja lukija vastaa itse tämän tekstin tai muihin lähteisiin perustuvista laintulkinnoista ja omasta toiminnastaan tulkintojen perusteella.
Viime kesänä julkaisimme tunnistamiseen kytkeytyvän artikkelin kesälomalukemistoksi. Tänä kesänä kirjasimme ylös kolme näkökulmaa tietosuojaan ja yksityisyyteen.
Moni, etenkin tietoturvan ammattilaiset ovat huomanneet kevään aikana ilmenneen piikin erilaisissa kalastelukampanjoissa. Myös pankit ja viranomaiset ovat jälleen näyttävästi varoittaneet tietojenkalastelun vaaroista: