Eväste

Evästeiden valinta

Eväste (joskus myös keksi, engl. cookie) on dataa, jonka web-palvelin tallentaa käyttäjän laitteelle. Selain lähettää tiedon takaisin kyseiselle palvelimelle joka pyynnön yhteydessä.lähde?

Evästeellä tarkoitetaan sellaista tietoa, jonka palvelun tarjoajan palvelin lähettää käyttäjän selainohjelmalle pyytäen selainta tallentamaan tiedon käyttäjän päätelaitteelle ja jota kyseinen palvelun tarjoajan palvelin voi myöhemmin pyytää takaisin. Kyse on käytännössä pienestä tietomäärästä, tyypillisesti lyhyestä tekstistä.

Evästeitä on kahta lajia, istuntokohtaisia (engl. session cookie) ja pysyviä (engl. persistent cookie). Istuntokohtaiset evästeet vanhenevat, kun käyttäjä lopettaa istunnon web-palvelussa, ja pysyvät evästeet säilytetään määrättyyn aikarajaan asti tai kunnes käyttäjä ne tuhoaa. Selaimet lähettävät evästeen vain sille palvelimelle, joka on sen alun perin käyttäjälle lähettänyt.

Käyttötavat

Istunnonhallinta

Evästeet ovat ratkaisu HTTP-protokollan tilattomuuteen. Kaikki HTTP-kutsut ovat täysin riippumattomia toisistaan. Tämä vaikeuttaa istunnon seuraamista ja käyttäjän yksilöimistä: käyttäjätunnus pitää piilottaa piilotettuihin CGI-kutsujen kenttiin. Evästeen avulla palvelin voi tallentaa dataa käyttäjälle joko tilapäisesti kyseisen istunnon ajaksi tai pitemmäksi aikaa, mikä helpottaa istuntoseurannan toteutusta. Tämä mahdollistaa esimerkiksi myös sen, että käyttäjä voi kirjautua WWW-palveluun ilman, että hänen tunnisteitaan tallennetaan minnekään käyttäjän tietokoneelle. Käyttäjän puolella tallennetaan ainoastaan istunnon tunnus (session identifier), joka voi olla tilapäinen tai pitemmäksi ajaksi tallennettu.lähde?

Evästeitä käytettäessä käyttäjän istunto tunnistetaan HTTP-pyynnön otsikkotiedoissa välitetyn evästeen avulla, jolloin palvelimella voidaan tunnistaa käyttäjän pyyntöjen liittyvän tiettyyn istuntoon. Tällaisessa käytössä evästeen tarkoitus on tunnistaa käyttäjän istunto.lähde?

Personointi

Evästeiden avulla voidaan tallentaa ja välittää käyttäjän tekemiä personointivalintoja. Jos käyttäjä esimerkiksi valitsee web-sivulla kielekseen suomen, voidaan tämä tieto tallentaa käyttäjän selaimeen evästeen muodossa. Tämän jälkeen kaikissa käyttäjän tekemissä HTTP-pyynnöissä kyseiselle palvelimelle välitetään tieto siitä, että käyttäjä haluaa käyttää sivua suomeksi.

Seuranta

Evästeiden avulla voidaan myös seurata käyttäjää. Kun palvelin asettaa heti yhteyden alussa käyttäjän selaimeen evästeen, lähettää selain tämän evästeen aina osana HTTP-pyyntöjä. Näin ollen palvelimen päässä voidaan seurata mitä sivuja käyttäjä avaa ja missä järjestyksessä. Tätä tietoa voidaan hyödyntää esimerkiksi palvelun kehityksessä tai käyttäjien toimintamallien tutkimisessa.

Kolmannen osapuolen evästeet

Evästeitä on toisaalta myös pidetty riskinä käyttäjälle, mikä johtuu siitä, että niitä voidaan tietyissä tapauksissa käyttää sivustojen ulkopuolella ja ne mahdollistavat käyttäjän seurannan ulkopuolisien palvelimien kautta. Monet banner-mainokset, sosiaalisten verkostojen "Tykkää"-painikkeet sekä webanalytiikka-komponentit ladataan toiselta palvelimelta kuin miltä varsinainen sivu, ja samalla voidaan välittää eväste, joka koskee ulkopuolista palvelinta eikä sitä palvelinta, miltä käyttäjä varsinaisesti lukee sivua. Kun sama palvelin tarjoaa mainoksia toisillekin sivuille, käyttäjän liikkeitä voidaan seurata sitä kautta. Sivuston ulkopuolelta tulevista evästeistä käytetään nimitystä kolmannen osapuolen evästeet. Monissa WWW-selaimissa on toiminto, jonka avulla kolmannen osapuolen evästeet voidaan estää ja sallia vain sellaiset evästeet, jotka tulevat suoraan käytettävästä verkkopalvelusta.

Tekninen toteutus

Evästeiden asettaminen, käyttö ja toteutus tapahtuu tyypillisimmin seuraavasti:

  1. Pyydät web-selaimella web-sivua palvelimelta (esimerkiksi example.org)
  2. Sivuston palvelin huomaa, että HTTP-pyyntösi otsikossa ei ole evästettä
  3. Sivuston palvelin lähettää selaimellesi sivun ja sen mukana sivun evästeen, joka jää selaimesi muistiin
  4. Selain lähettää evästeen kaikkien niiden pyyntöjen mukana, jotka kohdistuvat domainiin example.org, kunnes eväste vanhenee tai poistetaan
  5. Palvelin saa evästeen, tunnistaa sen avulla istuntosi ja muut evästeelle ja sen perusteella palvelimelle tallennetut tiedot

Lainsäädäntö

Suomen lainsäädännössä evästeet mainitaan sähköisen viestinnän palveluista annetussa laissa (917/2014). Säännös vastaa sisällöllisesti sähköisen viestinnän tietosuojadirektiivin evästeiden käyttöä koskevaa sääntelyä (5 artiklan 3 kohta). Sähköisen viestinnän palveluista annettua lakia valvoo Liikenne- ja viestintävirasto Traficom. Yleisen tietosuoja-asetuksen suostumusta koskevia säännöksiä valvoo Suomessa tietosuojavaltuutettu.

Käytön edellytykset

Sähköisen viestinnän palveluista annetun lain 205 §:ssä säädetään evästeiden käytön edellytyksistä:

Palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö

Evästeiden tai muiden palvelun käyttöä kuvaavien tietojen tallentaminen käyttäjän päätelaitteelle ja näiden tietojen käyttö on sallittua palvelun tarjoajalle, jos käyttäjä on antanut siihen suostumuksensa ja palvelun tarjoaja antaa käyttäjälle ymmärrettävät ja kattavat tiedot tallentamisen tai käytön tarkoituksesta.

Käytännössä tällainen ohjeistus tai mahdollisuus kieltäytyä antamasta suostumusta ei ole käyttäjille useinkaan tarjolla.

Evästeiden käytön pääsääntö perustuukin sähköisen viestinnän palveluista annetun lain 205 §:n 2 momenttiin, jonka mukaan edellä mainitut evästeiden tallentamisen tai käytön edellytykset eivät koske tilannetta, jossa niiden ainoana tarkoituksena on toteuttaa viestin välittämistä viestintäverkoissa tai joka on välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota käyttäjä on nimenomaisesti pyytänyt. Näin on esimerkiksi tilanteessa, joissa käyttäjä tekee ostoksia, kirjautuu sivustolle tai ylipäätään käyttää sivua, jolla tarvitaan istuntoja.

Miten määritellään tilanteet, joissa eväste toteuttaa, helpottaa tai on välttämätön tiedon välityksessä? Terminologisesti välttämättömyysvaatimus vaikuttaa ankarammalta kuin mitä esimerkiksi tarpeellisuusvaatimus. Välttämättömyydelle ei kuitenkaan anneta mitään selkeitä kriteerejä ja ottaen huomioon säännöksen perustana olevan direktiivin vastaava epäselvyys ja tulkinnanvaraus säännöstä ei tule tulkita kovin tiukasti. Käytännössä vaatimus täyttyisi siten varsin helposti.

Esimerkiksi sähköisen viestinnän tietosuojadirektiivin perusteluosan kappaleessa 25 todetaan, että "esimerkiksi evästeiden, käyttö saattaa kuitenkin olla oikeutettua ja hyödyllistä esimerkiksi tutkittaessa Internet-sivuston suunnittelun ja mainonnan tehoa ja tarkistettaessa verkossa tehtäviin liiketoimiin osallistuvien käyttäjien henkilöllisyyttä"

Evästeiden käytön rajoja

Käytön rajoja määritellään sähköisen viestinnän palveluista annetun lain 205 §:n 3 momentissa:

Edellä tässä pykälässä tarkoitettu tallentaminen ja käyttö on sallittua ainoastaan palvelun vaatimassa laajuudessa ja sillä ei saa rajoittaa yksityisyyden suojaa enempää kuin on välttämätöntä.

Evästeiden käyttöä rajoitetaan lainsäädännöllisesti vastaavasti kuin esimerkiksi viestinnän tunnistetietoja. Momentti rajoittaa oikeutta käyttää käyttäjien evästeitä. Evästeitä ei saa käyttää tarpeettomasti enempää kuin on välttämätöntä, vaikka käyttäjälle olisikin kerrottu käsittelyn yksityiskohdista ja käyttäjälle olisi annettu evästeiden kieltomahdollisuus. Määritelmä ei ole tarkka, mutta rajaa kuitenkin evästeiden käyttöä niin, että niiden käyttö ei ole missään olosuhteissa sallittua laajemmassa mielessä kuin on aivan välttämätöntä alkuperäisen tarkoituksen toteuttamiseksi. Mahdollinen sähköisen viestinnän palveluista annetun lain 205 §:ssä säädettyjen velvollisuuksien laiminlyönti saattaa johtaa sähköisen viestinnän tietosuojarikkomukseen, josta voidaan tuomita sakkoihin.

Vaikutukset yksityisyydelle

On huomattava, että eväste ei sinänsä vielä yksilöi käyttäjää luonnolliseksi henkilöksi, mutta yhdistelemällä käyttäjän kirjautumisen ja sivuston käytön aikana antamaa dataa, on mahdollista yhdistää eväste yhteen luonnolliseen henkilöön.

Evästeitä voidaan käyttää myös käyttäjän seurantaan. Mikäli esimerkiksi useat eri web-palvelut käyttävät samaa mainospalvelutarjoajaa tai esimerkiksi kävijämittaus-toimintoa, voivat nämä tahot seurata käyttäjän toimintaa usealla eri sivustolla. Tällöin käyttäjästä tallentunutta tietoa voidaan käyttää esimerkiksi kohdennettuun mainontaan. Merkkejä tallaisesta käytöstä on ollut, ja esimerkiksi TNS Gallupin Ismo Tenkanen on todennut Tietokone-lehden haastattelussa, että "Suomessakin on kuumia myyntikontakteja myyviä yrityksiä, jotka yhdistelevät online-mittaustietoja kontaktitietoihin. Nämä harmaan alueen yritykset ovat niitä oikeita yksityisyysongelmia". Periaatteessa kattavalla evästeiden tallentamisella ja keräämisellä yksittäisen käyttäjän toimia voidaan seurata pitkän aikaa ja varsin kattavasti, sillä tyypillinen peruskäyttäjä ei tunne evästeitä, eikä osaa niitä myöskään poistaa. Lisäksi mainos/seurantakäyttöön asetettavat evästeet eivät yleensä myöskään vanhene.

Käyttäjä voi kieltää evästeiden käytön kaikissa nykyisissä web-selaimissa. Tällä toiminnolla on kuitenkin haittapuolensa, ja monet sivustot eivät toimi kunnolla ilman evästeitä, mikäli niiden käyttö estetään. Selaimen asetuksista saattaa olla mahdollista myös estää vain kolmannen osapuolten (eli muiden sivujen kuin alkuperäisen kohdesivun) evästeiden tallentamisen. Lisäksi monet seurantapalvelut ja mainostoimijat tarjoavat (lain pakottamina) mahdollisuutta tallentaa selaimen seurantaevästeen tilalle toinen eväste, jolla estetään seuranta. Vastaavasti jotkin toimijat tarjoavat sivuillaan vain ohjeen evästeiden kieltämiseksi

Vaihtoehtoja evästeelle

Evästeiden lisäksi käyttäjän istunnon erottamiseen on käytettävissä myös muita keinoja:lähde?

Lähteet

  1. a b c d e Helapuro, S., Pertula, J., Ristola, J.: Sähköisen viestinnän tietosuoja. Talentum, 2009
  2. Apulaistietosuojavaltuutettu määräsi yrityksen muuttamaan tapaa, jolla se pyytää suostumusta evästeiden käyttöön Tietosuojavaltuutetun toimisto. Viitattu 17.5.2020.
  3. Ajantasainen lainsäädäntö: Laki sähköisen viestinnän palveluista 917/2014 finlex.fi. Edita. Viitattu 17.5.2020.
  4. eur-lex.europa.eu
  5. Surffailuasi seurataan (Arkistoitu – Internet Archive) Tietokone.fi
  6. Privacy Gallupweb.com

Aiheesta muualla