Evästeet

Rekisteröidyn oikeuksista on säädetty myös tietoyhteiskuntakaaressa (917/2014). Säädöksen 24 luvun 205 §:ssä on säädetty evästeiden käytöstä.⁹⁸ Säännöksen 1 momentin mukaan eväs-teiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos käyttäjä on antanut siihen suos-tumuksensa ja palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallenta-misen tai käytön tarkoituksesta.

Evästeellä tarkoitetaan tietoa, jonka palvelun tarjoajan palvelin lähettää käyttäjän selainoh-jelmalle pyytäen selainta tallentamaan tiedon käyttäjän päätelaitteelle, ja jota kyseinen pal-velun tarjoajan palvelin voi myöhemmin pyytää takaisin. Tavallisesti kyse on pienestä tieto-määrästä, esimerkiksi lyhyestä tekstirivistä. Evästeiden käytön tarkoituksena on yleensä hel-pottaa palvelun käyttöä muun muassa tilanteissa, joissa käyttäjä on antanut informaatiota esimerkiksi kiinnostuksensa kohteista tai sitä on muuten kertynyt palvelun käytön yhtey-dessä. Kun käyttäjä seuraavan kerran ottaa yhteyden saman palvelun tarjoajan palvelimeen, käyttäjän selainohjelma palauttaa evästeen takaisin palvelun tarjoajan palvelimelle. Eväs-teen voi lukea vain se palvelin, joka sen on lähettänytkin, eli eväste siirtää tietoa tietyn pal-velimen eri käyttökertojen välillä. Evästeet eivät siten yleensä voi siirtää tietoja palvelimesta toiseen.⁹⁹

Pelkästään käyttäjän päätelaitteelle lähetettävä tekstitiedosto ei sisällä henkilötietoja, eikä pelkästään sen perusteella voida tunnistaa henkilöä. Jos sen sijaan eväste liitetään tiettyyn henkilöön, on tällöin evästeen käsittelyyn sovellettava henkilötietolakia tietoyhteiskuntakaa-ren lisäksi.¹⁰⁰

Tietoyhteiskuntakaaren 205.2 §:n mukaan 1 momentissa säädetty ei koske tietojen sellaista tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestin välittämistä vies-tintäverkoissa tai joka on välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi,

98 Pykälä on yhdenmukainen sähköisen viestinnän tietosuojalain (2004/516) 7 §:n kanssa, joka puolestaan poh-jautuu sähköisen viestinnän tietosuojadirektiivin (2002/58/EY) 5 artiklan 3 kohtaan. HE 221/2013, s. 170.

99 Ks. evästeistä Järvinen 2002, s. 152–159.

100 Innanen 2012, s. 98.

jota tilaaja tai palvelun käyttäjä on nimenomaisesti pyytänyt. Lisäksi 3 momentissa todetaan, että pykälässä tarkoitettu tallentaminen ja käyttö on sallittua ainoastaan palvelun vaatimassa laajuudessa ja sillä ei saa rajoittaa yksityisyyden suojaa enempää kuin on välttämätöntä.

Suostumuksen pyytämisen ja evästeistä informoimisen laiminlyönti muuna kuin vähäisenä rikkomuksena täyttää tietoyhteiskuntakaaren 305.1 § 1 kohdan mukaan sähköisen viestinnän tietosuojarikkomuksen tunnusmerkistön.

Suomessa tietoyhteiskuntakaaren 205 §:ä on tulkittu siten, että käyttäjä voi antaa suostu-muksensa evästeiden tallentamiseen esimerkiksi selaimen tai muun sovelluksen asetusten avulla. Tulkintakäytäntö vaihtelee valtioittain. Tämä tarkoittaa, että palvelun tarjoajan on ainoastaan informoitava käyttäjää evästeiden käytöstä. Viestintäviraston mukaan ”evästeistä tiedottamista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. Eväste-käytännöt on kuitenkin mainittava verkkosivuilla niin, että käyttäjän on mahdollista saada niistä lisätietoa.”¹⁰¹ Iso-Britannian tietosuojavaltuutettu on katsonut, että evästeiden koh-dalla riittää, jos rekisteröity antaa konkludenttisen suostumuksen. Tällä tarkoitetaan tilan-netta, jossa käyttäjä, jota on informoitu evästeiden käytöstä, hyväksyy niiden käytön jatka-essaan verkkosivujen käyttämistä.¹⁰²

Tietoyhteiskuntakaaren 205 § on palautettavissa henkilötietolain 8 §:n henkilötietojen käsit-telyn yleisiin edellytyksiin (suostumukseen) ja 24 §:n rekisteröidyn informoimisvelvoittee-seen. Säännöksen eräänlainen sisäinen ristiriita on synnyttänyt kaksi vahvasti toisistaan poikkeavaa tulkintaa.

Ensimmäisen tulkintasäännön mukaan säännöksen 1 momenttia, joka velvoittaa informoi-maan evästeistä, tulisi pitää pääsääntönä ja 3 momentissa tarkoitettua välttämättömyyttä tul-kita tiukasti.¹⁰³ Toisen tulkintasäännön mukaan pykälän 2 momentti, joka antaa mahdolli-suuden poiketa informoimisesta, muodostaa todellisen pääsäännön, ja välttämättömyysvaa-timusta ei tulisi tulkita kovin tiukasti.¹⁰⁴

Säännöksen perusteluissa on todettu, että palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle on sallittua aina silloin, jos käyttäjä pyytää tiettyä palvelua ja ky-seisten tietojen tallentaminen on välttämätöntä kyseisen palvelun tarjoamiseksi. Tällöin käyttäjälle ei tarvitse myöskään antaa ehdotetussa 1 momentissa tarkoitettuja tallentamisen

101 Viestintävirasto: Evästeet 2016, kohta Evästeiden käyttö vaatii käyttäjän suostumuksen.

102 Iso-Britannian tietosuojavaltuutettu: Ohjeistus evästeiden käytöstä 2012, s. 5–8.

103 Voutilainen 2006, s. 260–266.

104 Helopuro – Perttula -Ristola 2009, s. 231–240.

tarkoitusta koskevia tietoja eikä toteuttaa kieltomahdollisuutta. Tilanne saattaa olla tällainen esimerkiksi verkkopankkipalvelujen käytön yhteydessä.¹⁰⁵

Kummankin tulkintasäännön edustajat ovat kyseenalaistaneet sääntelyn mielekkyyden.¹⁰⁶ Sähköisen viestinnän tietosuojalaissa säännös oli luvussa 2 ”Yksityisyyden ja luottamuksel-lisen viestin suoja”, tietoyhteiskuntakaaressa säännös on asetettu lukuun ”sähköinen suora-markkinointi ja evästeet”. Säännöksen sijoittaminen suoramarkkinoinnin yhteyteen antaa syyn epäillä, että evästeiden käyttöön kohdistuvan rajoituksen on haluttu nähdä nimenomaan liittyvän mainostajien tekemään käyttäjän profilointiin. Toisaalta tietoyhteiskuntakaaren hal-lituksen esityksessä on todettu, että säännös on yhtenäinen sähköisen viestinnän tietosuoja-lain säännöksen kanssa. Tällöin olisi erikoista, että säännöksen merkitys olisi uudistuksessa muuttunut.

Lainkirjoittajan opas on oikeusministeriön laatima ohjeistus, jossa pyritään vastaamaan lain-valmistelijan kysymyksiin: säännelläänkö vai ei, mitä tulee ottaa huomioon, kun säännel-lään, ja kuinka säännökset kirjoitetaan. Oppaan kohdassa 14.3.2 ”Rakenteen suus” todetaan, että lain samoin kuin yksittäisen pykälän rakenteen tulee olla johdonmukai-nen. Se merkitsee muun ohessa sitä, että pääasiat esitetään ennen sivuseikkoja ja pääsäännöt ennen lisäehtoja ja poikkeuksia.¹⁰⁷ Tämän mukaan säännöksen 1 momentti tulisi asettaa pää-säännöksi.

Sähköisen viestinnän tietosuojadirektiivin 5 artiklan 3 kohdassa muun muassa todetaan, että sääntelyn tarkoitus ei ole sellaisen teknisen tallentamisen tai käytön estäminen, jonka ai-noana tarkoituksena on toteuttaa viestinnän välittämistä sähköisissä viestintäverkoissa tai helpottaa sitä tai joka on ehdottoman välttämätöntä sellaisen tietoyhteiskunnan palvelun tar-joamiseksi, jota tilaaja tai käyttäjä on erityisesti pyytänyt. Myös Voutilainen on katsonut, että sääntely näyttäisi kohdistuvan juuri sellaiseen evästeiden käyttöön, jonka tarkoituksena on jokin muu, kuin käyttäjän pyytämän palvelun mielekäs toteuttaminen.¹⁰⁸ Helopuro ym.

ovat puolestaan katsoneet, että tällaisia palveluita on hyvin vähän, ja perinteinen evästeitä käyttävä palvelu on sellainen, jossa evästeiden käyttö on välttämätöntä tai ainakin tarpeel-lista palvelun tuottamiseksi.¹⁰⁹

105 HE 125/2003, s. 56.

106 Voutilainen 2006, s. 265 ja Helopuro – Perttula –Ristola 2009, s. 234.

107 Lainkirjoittajan opas 2013, s. 303.

108 Voutilainen 2012, s. 264.

109 Helopuro – Perttula –Ristola. 2009, s. 235.

Koska sääntelyn tarkoituksena ei ole ollut vaikeuttaa tietoverkon käyttöä tai kiusata käyttä-jää, tulee säännöstä tulkita siten, että evästeiden käytöstä on informoitava ja pyydettävä suos-tumus tilanteissa, joissa käyttäjää profiloidaan ja tietoja hänestä tallennetaan johonkin muu-hun tarkoitukseen, kuin hänen nimenomaisesti pyytämänsä palvelun toteuttamiseksi. Vält-tämättömyysvaatimuksen osalta yhdyn Helopuro ym. tulkintaan siitä, että vaatimusta tulisi tulkita henkilötietolain 9 §:n tarkoittaman tarpeellisuusvaatimuksen kautta.

3.4 Rekisteröidyn oikeus tarkastaa ja korjata henkilötietoja