Evästeet

Eväste (cookie) on pieni tekstitiedosto, jonka internetselain tallentaa käyttäjän laitteelle. Evästeitä käytetään esimerkiksi silloin, kun käyttäjän tietoja halutaan säilyttää tämän siirtyessä internetpalvelun sivulta toiselle. Evästeiden käyttö edellyttää aina käyttäjän suostumuksen.

Tässä ohjeistuksessa ei ole vielä huomioitu muuttuvan EU-sääntelyn mahdollisia vaikutuksia evästeiden käyttöön. EU:n yleistä tietosuoja-asetusta (EU) 2016/679 sovelletaan 25.5.2018 alkaen.


Eväste voidaan tallentaa käyttäjän laitteelle pysyvästi (stored cookie) tai se voidaan poistaa palvelun käytön jälkeen.

Evästeiden avulla voidaan kerätä muun muassa seuraavia tietoja:

  • käyttäjän IP-osoite
  • kellonaika
  • käytetyt sivut
  • selaintyyppi
  • mistä verkko-osoitteesta käyttäjä on tullut kyseiselle verkkosivulle
  • miltä palvelimelta käyttäjä on tullut verkkosivulle
  • mistä verkkotunnuksesta käyttäjä on tullut verkkosivulle.

Evästeiden käyttö vaatii käyttäjän suostumuksen

Evästeistä, käyttötietojen tallentamisesta ja niiden käyttötarkoituksesta on kerrottava selkeästi ja kattavasti sivuston käyttäjälle. Palvelun käyttäjältä on pyydettävä suostumus tietojen tallentamiseen ja käyttöön. Tietojen antaminen ja mahdollisuus niiden tallentamisen kieltämiseen pitää toteuttaa käyttäjän kannalta mahdollisimman vaivattomasti.

Laki sähköisen viestinnän palveluista 205 §

Suomessa on tulkittu sähköisen viestinnän tietosuojadirektiiviä siten, että käyttäjä voi antaa suostumuksensa evästeiden tallentamiseen esimerkiksi selaimen tai muun sovelluksen asetusten avulla.

Suomessa evästeistä tiedottamista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. Evästekäytännöt on kuitenkin mainittava verkkosivuilla niin, että käyttäjän on mahdollista saada niistä lisätietoa.

Tulkintakäytäntö vaihtelee valtioittain. Ulkomaisissa palveluissa evästeitä saatetaankin kysyä sivustokohtaisesti.

Evästeistä ei tarvitse tiedottaa,

  • jos niiden ainoana tarkoituksena on toteuttaa viestin välittäminen teknisesti
  • jos niiden ainoana tarkoituksena on helpottaa palvelun käyttöä tai
  • jos käyttäjä on pyytänyt evästeiden käyttöön perustuvaa palvelua (esimerkiksi verkkopankkipalvelut).

Palvelutarjoajan tiedonantovelvollisuus

Palveluntarjoajan pitää noudattaa tietoyhteiskuntakaarta ja siinä määriteltyä tiedonantovelvollisuutta, jos se

  • tallentaa verkkopalvelun käyttöä kuvaavia tietoja, esimerkiksi evästeitä, käyttäjän päätelaitteelle tai
  • hyödyntää verkkopalvelun käyttöä kuvaavia tietoja.

Jos tiedonantovelvollinen on esimerkiksi sivuston käyttöä kuvaavan tilastopalvelun tarjoaja, voi sivun palveluntarjoaja pyytää suostumuksen tietojen käsittelyyn.

Sähköisen viestinnän palveluista palveluista annetun lain tietoyhteiskunnan palvelun tarjoajia koskevia säännöksiä (22 luku) sovelletaan esimerkiksi internetin yhteisö- ja ajanvietepalveluihin.

Evästeet ja muuttuva EU-lainsäädäntö

EU:n yleistä tietosuoja-asetusta (EU) 2016/679 sovelletaan 25.5.2018 lukien. Samalla kumotaan yleisen tietosuoja-asetuksen edeltäjä henkilötietodirektiivi.

Sähköisen viestinnän palveluista annetun lain evästeitä koskevassa sääntelyssä suostumuksen käsite ja sen antamisen edellytykset ovat perustuneet henkilötietodirektiivin sääntelyyn. Yleisen tietosuoja-asetuksen mukaiset suostumuksen edellytykset ovat kuitenkin muuttuneet henkilötietodirektiiviin verrattuna.

Viestintävirastolta on tiedusteltu sitä, ovatko myös evästeiden tallentamiseen liittyvät suostumuksen edellytykset muuttuneet. Viestintävirasto ei ole toistaiseksi uudelleenarvioinut evästeen tallentamiseen liittyvän suostumuksen käsitteen soveltamisesta Suomessa.

EU:ssa on valmisteilla uusi sähköisen viestinnän tietosuoja-asetus, joka korvaa jatkossa sähköisen viestinnän tietosuojadirektiivin ja sähköisen viestinnän palveluista annetun lain evästeitä koskevan sääntelyn. Komission asetusehdotuksen mukaan suostumus evästeiden tallentamiseksi käyttäjän päätelaitteelle voitaisiin ilmaista käyttämällä asianmukaisia verkkoselaimen tai muun sovelluksen asetuksia. Lainsäädäntömenettely EU:ssa on vielä kesken, eikä asetuksen lopullisesta sisällöstä ole vielä varmuutta.

Tarvittaessa Viestintävirasto arvioi tietoyhteiskuntakaareen perustunutta soveltamiskäytäntöä suostumuksen edellytyksistä suhteessa uuteen EU-lainsäädäntöön, kun sähköisen viestinnän tietosuoja-asetus on annettu.


Asiasanat: Internet , Tietoturva , Tietosuoja

Päivitetty 29.05.2018

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248