Evästeet

Evästeet ovat pieniä tekstitiedostoja, joita tallennetaan päätelaitteeseesi, kuten tietokoneeseen, tablettiin tai puhelimeen verkkosivustoja käyttäessäsi. Evästeet sisältävät merkkijonoja joiden avulla on mahdollista toteuttaa toimintoja, sekä muistaa vuorovaikutustasi sivustojen kanssa. Evästeiden tarkoituksena ei ole vahingoittaa päätelaitettasi, eivätkä ne lue muita tietoja laitteesi kiintolevyltä tai levitä viruksia. Evästeisiin voidaan tallentaa tietoja verkossa toimivan palvelun käytön tai sivustolla vierailun aikana ja myös näiden välillä.

Evästeillä ja muilla vastaavilla tekniikoilla mahdollistetaan monia nykyaikaisille verkkosivuille tyypillisiä toiminnallisuuksia. Evästeitä käytetään yleisesti julkisissa ja kaupallisissa verkkosivustoissa ja ne ovat osa sähköisten palveluiden turvallista, tehokasta ja käyttäjäystävällistä toimivuutta.

Evästeitä ja niiden kaltaisia tekniikoita voidaan jaotella niiden voimassaoloajan, alkuperän ja käyttötarkoituksen mukaan.

Voimassaoloaika

• Istuntokohtaiset evästeet (ns. session cookie) tallentuvat päätelaitteeseen vain sivuston tai palvelun käytön ajaksi ja poistuvat laitteelta, kun selain suljetaan. Istuntokohtaisella evästeellä voidaan mahdollistaa esimerkiksi ostosten teko verkkokaupassa tai jokin muu toiminnallisuus, jonka toteuttamiseksi sivuston tarvitsee muistaa käyttäjän toimintaa koskevia tietoja lyhytaikaisesti.
• Pysyvät evästeet (ns. stored cookie) tallentuvat laitteelle pidempiaikaisesti kussakin tällaisessa evästeessä määritettyyn aikaan saakka tai kunnes käyttäjä itse ne poistaa. Tällaisten evästeiden avulla voidaan esimerkiksi muistaa pidempiaikaisesti mieltymyksiäsi sivuston ulkoasun tai kielivalinnan suhteen tai kirjautumiseen käytettävät tunnukset ja/tai salasana. Pysyvien evästeiden avulla on esimerkiksi mahdollista tietää oletko käyttänyt sivustoa aiemmin tai kerätä tietoa siitä, miten ja millä sivuston osissa liikut tai mitä sisältöjä olet käyttänyt.

Alkuperä

• Ensimmäisen osapuolen evästeet ovat suoraan sen sivuston tai sivuston omistavan organisaation toimialueen asettamia, missä selaimellasi vierailet.
• Kolmannen osapuolen evästeet ovat jonkun muun toimijan asettamia kuin sen, jonka sivustolla tai palvelussa parhaillaan vieraillaan.

Käyttötarkoitus

• Välttämättömät evästeet - näillä mahdollistetaan sivujen käyttämisen kannalta välttämättömiä toiminnallisuuksia, kuten kirjautuminen sivuston suojattuihin osiin, ostoskorisi sisällön muistaminen verkkokaupoissa, lomakkeiden täyttö tai tietoturvan parantaminen. Välttämättömät evästeet ovat tavallisesti ensimmäisen osapuolen asettamia ja istuntokohtaisia. Välttämättömien evästeiden käyttöön ei tarvitse lain mukaan pyytää suostumusta, mutta tällaistenkin evästeiden käytöstä olisi suositeltavaa kertoa.
• Toiminnalliset evästeet - tällaisilla evästeillä lisätään ja parannetaan sivustojen toiminnallisuutta, mutta ne eivät ole ehdottoman välttämättömiä sivuston käyttämiseksi.
• Mieltymys- eli personointievästeet - näiden evästeiden avulla on esimerkiksi mahdollista muistaa sivulla tekemäsi valinnat esimerkiksi kielen ja fonttikoon osalta tai vaikkapa käyttäjätunnuksesi ja salasanasi sivuston käyttökertojen välillä. Tällaisten evästeiden avulla on myös mahdollista seurata millä sivuilla on käyty ja mitä sisältöjä katseltu ja näyttää tämän perusteella aiempiin kiinnostuksen kohteisiin perustuvaa sisältöä.
• Analytiikkaevästeet - tällaisilla evästeillä kerätään tietoa siitä, miten sivustoja käytetään esimerkiksi laskemalla uniikkeja liikennelähteitä, sivulatauksia tai mittaamalla sivuston latausaikoja ja seuraamalla miten sivustolla liikutaan.
• Sosiaalisen median evästeet - tällaisilla evästeillä mahdollistetaan tyypillisesti erilaisten sosiaalisen median alustoilla julkaistujen sisältöjen näyttäminen, tykkäys- ja jakotoiminteet tai ne saattavat liittyä esimerkiksi sosiaalisen median alustan tunnusten käyttämiseen kirjautumiseen tai kommentointiin.
• Mainontaevästeet - tällaisilla evästeillä voidaan esimerkiksi kerätä tietoa kiinnostuksen kohteistasi verkkokäyttäytymisesi perusteella ja näyttää sinulle tämän perusteella kohdennettuja mainoksia.

Verkossa olevien sivustojen ja mobiilisovellusten palveluntarjoajien, jotka haluavat tallentaa evästeitä päätelaitteellesi ja lukea tietoja niistä, tulee kertoa sinulle selkeästi ja ymmärrettävästi käyttämistään evästeistä tai muista vastaavista tekniikoista, niiden tyypeistä, käyttötarkoituksista ja toiminta-ajasta, sekä pyytää suostumustasi tietojen tallentamiseen ja käyttöön.

Suostumusta ei lain mukaan tarvitse pyytää niin kutsuttuihin välttämättömiin evästeisiin eli silloin:

• jos tietojen tallentamisen tai käytön ainoana tarkoituksena on toteuttaa viestin välittämistä viestintäverkoissa tai
• tietojen tallentaminen ja käyttö on välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt.

Näistäkin evästeistä on silti suositeltavaa antaa palveluntarjoajan toimesta vastaavanlaiset kuvaukset kuin ei-välttämättömistä evästeistä.

Suostumuksella tarkoitetaan laissa mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen.

Suostumuksen pyytäminen ja toteutustapa suostumusten hallinnointiin on palvelun tarjoajan vastuulla. Tyypillisimmin suostumusta pyydetään valintoja sisältävällä ikkunalla eli bannerilla, joka näytetään sinulle avatessasi sivuston. Jotta pyydettävää suostumusta voidaan pitää asianmukaisena, tulisi suostumuksen pyytämiseen käytettävän tavan sisältää ainakin seuraavia asioita:

• Evästeiden ja vastaavien tekniikoiden käytöstä on kerrottu selkeästi ja kattavasti.
• Siinä on eritelty sivustolla tai palvelussa käytössä olevat eri tyyppiset evästeet ja muut tekniikat, niiden käyttötarkoitus ja voimassaoloaika.
• Siinä on kerrottu, mikäli jollain kolmansilla osapuolilla on oikeus käsitellä evästetietoja.

On tärkeää, että tutustut huolellisesti kullakin sivustolla tähän banneriin ja valitset sen avulla, mitä tietoja sallit päätelaitteellesi tallentuvan ja sinusta kerättävän. Palveluntarjoaja ei voi saada sinulta pätevää suostumusta ei-välttämättömien evästeiden tallentamiseksi opastamalla sinua muuttamaan evästeasetuksia verkkoselaimen asetuksissa eikä myöskään ilmoittamalla, että "jatkamalla sivuston/palvelun käyttöä, hyväksyt evästeet" mikäli käytössä on muitakin kuin välttämättömiksi luokiteltavia evästeitä.

Mobiilisovellusten asentaminen päätelaitteeseen vaatii tavallisesti käyttäjän eli sinun itsesi toimia. Mobiilisovellusten laitteelle tarvitsemat käyttöoikeudet on eritelty tavallisesti sovelluskaupassa sovelluksesta annettavien tietojen/lisätietojen yhteydessä ja niihin on hyvä tutustua huolellisesti ennen sovelluksen latausta ja asentamista. Mikäli mobiilisovelluksen käyttöön liittyy evästeitä tulisi evästeiden käytöstä informoida ja tarvittaessa pyytää käyttäjän suostumusta ei-välttämättömien evästeiden käyttöön ja tarjota mahdollisuus tehdä valintoja näiden osalta viimeistään sovelluksen asennuksen jälkeen.

Suostumuksen pyytämisen tavassa on oltava mahdollisuus helposti kieltäytyä muiden kuin välttämättömien evästeiden käytöstä. Jos suostumuksen pyytämiseen käytetään esimerkiksi evästebanneria, ei siinä saisi olla valmiiksi rastittuja hyväksymistä osoittavia ruutuja tai "päällä"-asennossa olevia liukukytkimiä muiden kuin välttämättömien evästeiden osalta. Toisin sanoen sinun tulee saada itse tehdä valinta tällaisten ei-välttämättömien evästeiden käyttöön ottamiseksi.

Suostumuksen peruuttamisen tai jo tehtyjen evästevalintojen muuttamisen tulee onnistua käyttäjän kannalta mahdollisimman yksinkertaisella ja vaivattomalla tavalla. Suostumuksen peruuttamisen tavan tulee olla linjassa sen kanssa, miten suostumusta alun perin pyydettiin. Jos suostumusta esimerkiksi pyydettiin bannerilla, tulisi banneri saada helposti uudelleen näkyviin vaikkapa sivustolla näkyvää ikonia tai linkkiä klikkaamalla, jolloin evästeasetuksia pääsee milloin tahansa muuttamaan.

Palvelun tarjoajan vastuulla on huolehtia, että suostumuksen peruuttamisella ja verkkosivuston evästeasetusten muuttamisella on tosiasiallinen vaikutus, eli että kyseisen toimenpiteen suorittaminen poistaa tai ylikirjoittaa aiemmin mahdollisesti tallennetut tiedot.

Evästeistä ja muista käyttäjän päätelaitteille tallentuvista tiedoista säädetään sähköisen viestinnän palveluista annetun lain (917/2014) 205 §:ssä. On hyvä huomata, että EU:n yleisen tietosuoja-asetuksen mukainen rekisterinpitäjän oikeutettu etu ei oikeuta evästeiden tallentamiseen käyttäjän päätelaitteelle. Tämä tarkoittaa sitä, että oikeutettu etu ei ole lainmukainen peruste evästeiden tai muiden evästeiden kaltaisten seurantateknologioiden käyttämiseksi.

Ensisijaisesti kunkin sivun evästeitä hallinnoidaan palveluntarjoajan omalla evästemekanismilla, mutta tämän lisäksi evästeiden käyttöön vaikuttavia valintoja voi halutessaan tehdä myös modernien verkkoselainten omilla suojausasetuksilla tai esimerkiksi mobiilisovellusten osalta puhelimen sovellusasetuksilla.

Istuntokohtaiset evästeet poistuvat automaattisesti, kun selain suljetaan. Laitteeseen tallentuneita pidempiaikaisia evästeitä on yleensä yksinkertaisinta hallita selainasetusten kautta. Voit esimerkiksi poistaa kaikki pidempiaikaiset evästeet kerralla tai määrittää ne poistumaan joka kerta kun suljet selaimen. Joissakin selaimissa on myös mahdollista poistaa pidempiaikaisia evästeitä sivustokohtaisesti.

• Selaimen voi asettaa estämään oletuksena kaikki kolmansien osapuolien evästeet.
• Joissakin selaimissa on mahdollista määrittää sivustokohtaisia asetuksia sen suhteen, sallitaanko vai kielletäänkö evästeet.
• Useimmat selaimet myös mahdollistavat evästeiden estämisen kokonaan. Huomaa kuitenkin, että mikäli estät kaikki mahdolliset evästeet, myös sellaiset sivustojen sisällöt tai toiminnot, joita mahdollisesti haluaisitkin käyttää, saattavat lakata toimimasta. Tämä johtuu siitä, että joidenkin toiminnallisuuksien toteuttaminen perustuu tässä ohjeistuksessa mainittuihin välttämättömiin evästeisiin.
• Yksityisen selaustilan (incognito) käyttäminen. Tämän tilan käyttäminen estää selaushistorian ja muiden sivuston tietojen sekä myös pidempiaikaisten evästeiden tallentumisen laitteelle. Joidenkin selainten yksityinen selaustila estää kolmansien osapuolten evästeiden tallentumisen kokonaan. Evästeitä ja sivustojen dataa säilytetään selaimen välimuistissa selaamisen ajan ja tiedot poistetaan vasta yksityisestä selaustilasta poistumisen jälkeen. Huomionarvoista on, että yksityinen selaustila ei estä kaikkea tietoa näkymästä palvelun tarjoajalle vaan palvelun tarjoaja voi todennäköisesti edelleen nähdä esimerkiksi IP-osoitteen, josta yhteytesi tulee.

Mikäli sinulle tulee vastaan verkkosivusto tai sovellus, jonka evästekäytäntöjen epäilet tai havaitset selkeästi rikkovan lainsäädäntöä, kannattaa asiasta olla ensin suoraan yhteydessä kyseiseen palveluntarjoajaan ja huomauttaa tälle asiasta. Palveluntarjoajat yleisesti ottaen vastaanottavat mielellään palautetta asiakkailtaan ja muuttavat palvelujaan saamiensa yhteydenottojen perusteella. Voit yhteydenotossasi verkkosivuston tai sovelluksen tarjoajaan esimerkiksi viitata Traficomin palveluntarjoajille julkaisemaan oppaaseen.

Mikäli palveluntarjoaja ei vastaa yhteydenottoosi, ei ryhdy toimenpiteisiin asian suhteen tai jos palveluntarjoajan vastaus ei mielestäsi ole asianmukainen, voit tehdä asiasta valituksen Liikenne- ja viestintävirasto Traficomille. Valituksen voi tehdä vapaamuotoisesti, esimerkiksi Traficomin palvelulomakkeiden kautta, ja siitä tulisi ilmetä ainakin seuraavat asiat:

• Mitä sivustoa tai sovellusta valitus koskee. Esimerkiksi verkkosivuston koko osoite ja palveluntarjoajan nimi. On hyvä huomata, että Traficom on toimivaltainen viranomainen Suomessa eli se valvoo suomalaisia ja Suomessa toimivia palveluntarjoajia.
• Milloin havaitsit asian (vähintään päivämäärä).
• Lyhyt kuvaus siitä miten palveluntarjoaja nähdäksesi menettelee virheellisesti.
• Omat yhteystiedot asian jatkokäsittelyä varten Traficomissa ja mahdollisten lisätietojen pyytämistä varten. Omien yhteystietojen antaminen ei ole välttämätöntä, mutta tietojen antamatta jättäminen saattaa rajoittaa asian käsittelyä ja selvittämistä.

Traficom saattaa lisäksi pyytää asian teknisluonteista tai muuta selvittämistä varten lisätietoja päätelaitteestasi tai esimerkiksi kopiota palveluntarjoajan kanssa käymästäsi viestinvaihdosta.

Traficom voi ottaa valituksesi selvitettäväksi hallintolain (434/2003) mukaisessa kirjallisessa menettelyssä. Tämä tarkoittaa sitä, että valituksen saapumisen jälkeen Traficom pyytää palveluntarjoajalta selvitystä asiasta ja kuultuaan tarvittavia asianosaisia Traficom antaa asiassa ratkaisun.

Hallintoasian käsittely Traficomissa kestää tyypillisesti muutamia kuukausia. Traficomin päätökset ovat valituskelpoisia ja niihin voi hakea muutosta hallinto-oikeudessa.

Jos Traficom havaitsee, että palveluntarjoaja on menetellyt lainvastaisesti, Traficom voi huomauttaa palveluntarjoajaa asiasta ja velvoittaa tämän korjaamaan virheensä tai laiminlyöntinsä kohtuullisessa määräajassa. Menettelyn korjaamista koskevan velvoitteen tehosteeksi voidaan asettaa uhkasakko tai uhka siitä, että toiminta keskeytetään taikka, että tekemättä jätetty toimenpide teetetään laiminlyöjän kustannuksella. Traficomilla ei ole kuitenkaan toimivaltaa määrätä palveluntarjoajille hallinnollisia sanktioita evästesääntelyasioissa, eli esimerkiksi määrätä suoraan sakkoja lainvastaisesta menettelystä.

On myös hyvä huomata, että nimenomaan henkilötietojen käsittelyyn liittyvissä asioissa toimivaltainen viranomainen on Tietosuojavaltuutetun toimisto eikä Traficom.