Verkossa ihmisen kantapäilla kulkee seurantateknologia. Kaikkia toimia verkossa seurataan erilaisilla tekniikoilla kuten evästeillä ja niin sanotuilla seurantaskripteillä.
Seurantateknologiaa tallennetaan käyttäjien päätelaitteille verkkosivuvierailujen yhteydessä. Osa näistä tekniikoista on selailun kannalta hyödyllisiä ja jopa välttämättömiä. Osa uhkaa yksityisyyden suojaa merkittävällä tavalla. EU edellyttää, että seurantateknologiaan kysytään kunnollinen suostumus.
Mitä enemmän dataa näillä erilaisilla tekniikoilla kerätään, sitä kattavamman profiilin eri yritykset pystyvät ihmisestä verkkokäyttäytymisen perusteella muodostamaan.
Monet yksityisyydensuojaan perehtyneet tutkijat sekä tietosuoja-asiantuntijat ja julkisoikeuden ekspertit sanovat, että Suomi kulkee EU-oikeuden näkökulmasta laittomilla poluilla. Tietosuojamme vuotaa.
Elämämme verkossa on kauppatavaraa
Tietosuoja-asiantuntija Heikki Tolvanen työskentelee tietoturvaan keskittyvässä PrivacyAnt-yrityksessäja on perehtynyt seurantateknologiaan ja yksityisyyden turvaamiseen verkossa.
– Koko digitaalinen elämämme on verkossa: klikkaukset, ostokset ja se mitä tuotteita pysähdymme verkossa katsomaan tai millaisia artikkeleita luemme.
Ihmisiltä on pyydettävä suostumus ennen kuin heidän verkkokäyttäytymistään voi seurata. Tähän velvoittaa EU:n niin sanottu sähköisen viestinnän tietosuojadirektiivi ja siitä johdettu kansallinen laki.
Tolvasen kertomus siitä, mihin tietojamme vuotaa, on kylmäävää.
– Kerätyt henkilötiedot valuvat verkkosivuilta sadoille, jopa tuhansille yrityksille. Emme tiedä näistä yrityksistä mitään. Kukaan ei tiedä, mitä näiden tietojen avulla tullaan mainosnäyttöjen lisäksi tekemään.
Moni uskoo, että evästeiden kieltäminen selaimen asetusten kautta lopettaisi internet-sivuilla tapahtuvan seurannan kokonaan. Näin ei Tolvasen mukaan läheskään aina ole.
Aiemmin esimerkiksi Kansaneläkelaitos rikkoi lakia, kun se jätti pyytämättä verkkosivuillaan kävijöiltä suostumusta käyttäjätietojen keräämiseen.
Tolvasen keräämä analyysi Kelan sivuilta kertoi, että tiedot esimerkiksi syöpälääkkeiden tai vammaispalveluiden katseluista valuvat mainosverkoille. Kela muutti toimintatapojaan.
Pahimmillaan meitä pystytään myös manipuloimaan seurantateknologioiden avulla kerätyillä tiedoilla.
– Cambridge Analytica -skandaalissa vaikutettiin ihmisten äänestyskäyttäytymiseen netistä kerätyn tiedon avulla. Meistä kerätyn tiedon käyttö voi olla uhka jopa demokratialle.
Tolvanen suomii valvovaa viranomaista eli Traficomia siitä, että se Tolvasen mukaan jopa kannustaa yrityksiä olemaan välittämättä suostumusta koskevista vaatimuksista.
– Näkemällä vaivaa seurannan pystyy kyllä teoriassa estämään. Lainsäädäntö lähtee liikkeelle kuitenkin siitä, ettei ihmisen tarvitse tehdä mitään ylimääräistä, jos suostumusta ei halua antaa.
Seurannan esto ei saa hyydyttää sivuja
Myös se, että ihminen suojaa yksityisyyttään estämällä seurannan, voi johtaa ongelmiin.
Heikki Tolvanen kertoo, että monet verkkosivut lakkaavat toimimasta käytännössä kokonaan, kun ihminen estää kaiken seurantateknologian verkkoselaimen asetusten kautta.
– Koska monilla selaimilla ei pysty estämään yksittäisiä seurantateknologioita, joudun itse estämään joko/tai-tyyppisesti kaiken.
Evästeillä ja seurantaankin käytetyillä niin sanotuilla skripteillä on hyviäkin tarkoituksia. Niitä voidaan käyttää esimerkiksi verkkopankeissa tai erilaisiin asiointipalveluihin kirjautumisessa.
– Kun me estämme nämä, verkkosivut lakkaavat toimimasta. Toisekseen: jos me estämme muut seurantateknologiat eli puhutaan javascripteistä ja pikseleistä, se johtaa siihen, ettei verkkosivuilla välttämättä näy verkkosisältöä lainkaan.
Käyttäjä ei voi vaikkapa tilata verkkokaupasta ruokaa tai hakea opiskelupaikkaa netin kautta.
– Toimimasta lakkaavat esimerkiksi Veikkauksen sivut. Ei pääse lukemaan edes tietosuojaselosteen sisältöä, ellei hyväksy erilaisten seurantateknologioiden tallentumista päätelaitteelleen.
Samaa sanoo tietosuojaan ja EU-oikeuteen perehtynyt Turun yliopiston oikeustieteen tutkija Toni Selkälä.
Selkälä huomauttaa, ettei evästeistä ja seurannasta kieltäytymisen seuraus saa olla se, että sivut lakkaavat toimimasta tai takkuilevat.
– Esimerkiksi Ranskassa ei tule kuulonkaan, että evästeet hyväksyttäisiin selainasetusten kautta. Eikä voi olla niin, että jos et suostu evästeisiin, seurauksena on muita kehnompi palvelu.
Myös julkisoikeuden professori Tomi Voutilainen Itä-Suomen yliopistosta sanoo painavan sanan. Säännöt ovat selvät, mutta tulkinta ontuu.
– Asetuksen mukaisen suostumus evästeiden käyttöön on pyydettävä, jos halutaan tietää, mitä ihminen verkkosivustoilla tekee tai tietoja halutaan käyttää markkinointitarkoituksiin.
"Meille on vain uskoteltu, että voisimme vaikuttaa nettiseurantaan"
Tietosuoja-asiantuntijaHeikki Tolvanen täräyttää kovan väitteen: suomalaiset eivät tällä hetkellä nauti EU-perusoikeuskirjan takaamia oikeuksia käyttäessään kotimaisia verkkopalveluita.
– Yksityisyydensuoja tai oikeus henkilötietojen suojaan ei toteudu monillakaan suomalaisilla verkkosivustoilla. Meille on lähinnä vain uskoteltu, että voisimme vaikuttaa netissä tapahtuvaan seurantaan käyttämiemme Internet-selainten kautta.
Suomalaisilla verkkosivuilla noudatetaan pääsääntöisesti Liikenne- ja viestintävirasto Traficomin suosittelemaa linjaa, jonka mukaan seurannan estäminen on loppukäyttäjän vastuulla.
Avainkysymys on siis ihmisen antama suostumus evästeiden tallentumiseen päätteelle. Euroopan unionissa seurannasta säätää EU:n yleinen tietosuoja-asetus. Sen mukaan seurantateknologioiden pitäisi olla oletusarvoisesti verkkosivuilla pois päältä.
Traficom katsoo, että ihminen voi halutessaan estää verkkokäyttäytymistä nuuskivan seurantateknologian verkkoselaimen asetuksissa.
Tutkijat: On selvää, että Suomi toimii laittomasti
TutkijaToni Selkäläsanoo, ettei selaimen asetusten kautta annettu suostumus ole pätevä, vaan jopa unionioikeuden vastainen.
– On selvää, että Suomi toimii nykykäytännöllään laittomasti unionioikeuden kannalta. Kun ihmisten käyttäytymisen seuranta ja mainosten kohdentaminen ei ole edes erityisen tehokasta, miksi ihmeessä haluamme toimia näin?
Nettiä käyttävälle ihmiselle on tehtävä selväksi nykyistä paremmin, mihin suostumuksessa sitoutuu, sanoo Selkälä.
– On jopa tutkimuksia siitä, että ihmiset laittavat lukematta rastin ruutuun, jossa lukee: "Suostun antamaan lapseni pois".
Erilaiset seurantateknologiat kehittyvät huimaa vauhtia ja edes asiaan perehtynyt ammattilainenkaan ei välttämättä osaa estää kaikkea verkkosivuilla tapahtuvaa seurantaa kokonaan, sanoo tietosuoja-asiantuntija Heikki Tolvanen.
– Kun omalla äidilläni alkaa olla vaikeuksia käyttää esimerkiksi nykypäivän älytelevisiota, miten voidaan olettaa, että hän tai moni muu tietosuoja-asioihin perehtymätön ihminen osaisi estää verkkosivuilla tapahtuvan seurannan?
Julkisoikeuden professori Tomi Voutilainen latelee muiden lailla madonluvut Suomelle ja Traficomille.
– EU:n tietosuoja-asetuksen mukainen suostumus on vain hankittava. On ihan sama, mitä kansallisessa lainsäädännössä on säädetty, EU:n tietosuoja-asetus saa etusijan. Se ei ole tulkinnanvarainen asia.
Tämä tarkoittaa sitä, että kelvollisen suostumuksen antaminen seurantateknologialle pelkästään selaimen asetuksissa ei käy.
– Digitaalisen palvelun käyttäjä ei voi antaa ennalta yleistä suostumusta. Liikenne- ja viestintäviraston eli Traficomin päätöksissä ollaan hyvin suurissa ongelmissa suhteessa unionioikeuteen.
Juuri hiljan annettu tietosuojavaltuutetun ratkaisu on puolestaan unionin oikeuden mukaista, professori Tomi Voutilainen pohtii.
– On siis noudatettava toimivaltaisen viranomaisen eli tietosuojavaltuutetun kantaa.
Voutilainen sanoo, että hänen tiedossaan on muitakin Traficomin ratkaisuja, joissa on sivuutettu EU:n tuore oikeuskäytäntö.
Tietosuojavatuutettu pani yrityksen ruotuun
Suomessa tietosuojaa valvotaan siis kahdelta tontilta: tietosuojavaltuutetun toimistosta ja liikennne- ja viestintävirastosta Traficomista.
Karrikoidusti voisi katsoa, että tietosuojavaltuutettu katsastaa asioita EU-oikeuden, perusoikeuksien ja tietosuojan kannalta.
Traficomin tarkastelukulma on pikemminkin yritysten vinkkeli.
Apulaistietosuojavaltuutettu Anu Talus on hiljattain määrännyt yhden yrityksen muuttamaan tapaa, jolla se pyytää käyttäjän suostumusta evästeiden käyttöön.
Päätös on Suomessa tärkeä Euroopan unionin yleisen tietosuoja-asetuksen eli GDPR:n ennakkotapaus.
Tietosuojavaltuutetun toimistoon kantelun tehneen näkemys oli, ettei hänellä ollut mahdollisuutta kieltää evästeiden käyttöä.
Yritys käytti verkkosivuillaan evästeitä esimerkiksi mainonnan kohdentamiseen. Se keräsi evästeiden kautta tietoja itselleen ja kolmansille osapuolille muun muassa palveluiden käytöstä ja käyttäjien IP-osoitteista.
Yritys sanoo noudattaneensa Traficomin ohjeistusta. Sivustolla ohjeistettiin käyttäjiä kieltämään evästeet selainasetuksia muuttamalla.
Apulaistietosuojavaltuutettu määräsi rekisterinpitäjän muuttamaan toimintatapojaan suostumuksen keräämisessä EU:n yleisen tietosuoja-asetuksen mukaisiksi.
Apulaistietosuojavaltuuettu Anu Talus sanoo, että päätöksellä on merkitystä yleisesti.
– Päätös tarkoittaa sitä, että ihmisellä tulee olla mahdollisuus kieltäytyä siitä, että kerätään näitä evästeitä silloin, kun ne eivät ole välttämättömiä. Tärkeintä on, että ihmiset tietävät evästeistä ja ovat sitten valmiita antamaan suostumuksensa.
Tietosuojavaltuutetun toimistossa odottaa pino kanteluita samasta aiheesta.
– Täällä on useampi kymmen tapausta viereillä. Linja tulee olemaan samankaltainen.
Traficom ei muuta ohjeistustaan – Oikeuskansleri lupaa muutosta omille sivuilleen
Kyberturvallisuuskeskuksen päällikkö Heidi Kivekäs Traficomistasanoo, ettei apulaistietosuojavaltuutetun tuore päätös muuta millään lailla valvovan viranomaisen eli Traficomin antamaa ohjeistusta.
– Toistaiseksi se ei aiheuta meidän olemassa olevaan ohjeistukseen ja neuvontaan muutoksia. Olemme katsoneet aiemminkin, että eri verkkosivuilla suostumus evästeisiin voidaan pyytää niin sanotulla bannerilla. Toki banneri ei voi olla sellainen, että kerrotaan ainoastaan, että jatkaminen sivustolla tarkoittaa sitä, että hyväksyy evästeiden käytön.
Traficom katsoo, ettei ole mitään ongelmia siinä, että verkkosivuilla käytetään suostumuksen antamiseen tai epäämiseen selainasetuksia.
Käytännössä tämä tarkoittaa sitä, etteivät yritykset Suomessa todennäköisesti muuta käytäntöjään, ellei ole pakko.
Tutkija Toni Selkälä sanoo, että apulaistietosuojavaltuutetun päätöksen jälkeen olisi syytä tehdä vihdoin täyskäännös.
– Ei voi mennä niiin, että monta vuotta toimitaan laittomasti ja vaan "venaillaan". Traficom ei voi vain odottaa ja odottaa uutta sähköisen viestinnän tietosuojaa koskevaa ePrivacy-asetusta. Tunnelma on becketiläinen: Huomenna hän tulee, Selkälä hymähtää vakavalle asialle.
Myös tietosuoja-asiantuntija Heikki Tolvanen suomii valvovaa viranomaista eli Traficomia siitä, että se jopa kannustaa yrityksiä olemaan välittämättä suostumusta koskevista vaatimuksista.
Asiasta käydään myös räväkkää keskustelua sosiaalisessa mediassa, kertoo Tolvanen.
.
– Valtioneuvoston kanslian tietosuojavastaava on kertonut, ettei heidän sivuillaan voi vierailla ilman seurantateknologian tallentumista päätelaitteille.
Ylimmän laillisuusvalvojan eli oikeuskanslerin sivuillakaan ei ole voinut tehdä kantelua ilman pakkoa hyväksyä Googlen seurantateknologian tallentuminen päätelaitteelle. Henkilötiedot ovat vaarassa, Heikki Tolvanen varoittaa.
– Ilman seurantateknologiaa en voi tehdä kantelua, sillä sivusto toimii javascriptin avulla, Selaimeni sallii minun vain estää kaiken tai ei mitään. Eli jos haluan tehdä kantelun heidän sivuillaan, on minun hyväksyttävä Googlen seurantateknologian tallentuminen päätteelleni.
Apulaistietosuojavaltuutetun toukokuun ratkaisun jälkeen oikeuskanslerinviraston tietosuojavastaava Pekka Liesivuori sanoo käytäntöjen muuttuvan.
– Tietosuojavaltuutetun selkeä ratkaisu merkitsee sitä, että meidän on toimittava toisin kuin tähän asti. Aikaisemminhan Traficom on ohjeistanut vallan toisin näistä evästekäytännöistä.
Juttua korjattu 17.6. klo 12.59: Cambridge Analytica -yrityksen nimi täsmennetty.
Lue lisää: