Taakka tiedonjakosivusto – seuraa aikamme mielenkiintoisimpia aiheita
– seuraa aikamme mielenkiintoisimpia aiheita

Evästesoppa sakenee

Helsingin hallinto-oikeus antoi huhtikuussa päätöksen, jonka mukaan liikenne- ja viestintävirasto Traficomin vapaampi tulkinta verkkosivujen evästeistä on väärä ja viraston on noudatettava tietosuojavaltuutetun tiukempaa linjaa.

Näin siitä huolimatta, että evästeasiat kuuluvat Suomessa Traficomin tontille. Kiistely osoitti, että tietosuoja on hankala aihe jopa viranomaisille.

Kun juristit keittävät soppaa, maalaisjärki ja lain alkuperäinen tavoite uhkaavat palaa pohjaan.

Oikeuden päätös perustuu gdpr:ään, vaikka itse asetus ei mainitse evästeitä lainkaan. Sana esiintyy vain kerran artikloita edeltävässä johdantotekstissä. Sen mukaan henkilötietojen käsittelylle, kuten evästeille, on saatava rekisteröidyn suostumus.

Petteri Järvinen. Artikkeliin liittyvä kuva
Petteri Järvinen. Artikkeliin liittyvä kuva

Gdpr demonisoi evästeet, vaikka ne eivät kerro mitään henkilöstä.

Tämän epäsuoran viittauksen seurauksena EU-alueen sivustot pyytävät nyt lupaa evästeiden käyttöön. Luvan myöntämisestä on tullut ärsyttävä rutiini. Eikä kertakuittaus riitä, vaan sama kysely toistuu taas seuraavalla käyntikerralla. Täysin älytöntä ja alkuperäisen ajatuksen vastaista.

EU:n tarkoitus oli, että ihmiset antaisivat luvan vain itse hyväksymälleen seurannalle. Psykologian uhraaminen tekniikan ja juridiikan alttarille vei kuitenkin siihen, mihin tietoturvassa usein päädytään: epärealistiset vaatimukset saavat ihmiset toimimaan väärin ja suoja vesittyy.

Kukaan ei jaksa tarkistaa evästeasetuksia joka palvelusta, vaan kuittaa evästekyselyn mahdollisimman nopeasti pois tieltä. Samalla tulee antaneeksi suostumuksen vaikka millaiseen urkintaan ja tiedonkeräykseen.

Paradoksaalista kyllä, gdpr:n ansiosta seuranta voi jopa laajentua – nyt oikein luvan kanssa.

Gdpr on syyttä suotta johtanut evästeiden demonisointiin, sillä evästeet eivät kerro mitään henkilöstä. Henkilötietoja niistä tulee vasta muuhun tietoon yhdistettynä.

On luonnollista, että mediasivusto tai verkkokauppa haluaa seurata käyttäjän liikkumista palvelussa ja näyttää mainoksia katsottujen sivujen perusteella. Yksityisyys ei vaarannu, sillä sivusto ei tiedä, kenestä henkilöstä on kyse.

Varsinainen uhka yksityisyydelle ovat amerikkalaiset nettijätit. Ne tietävät meistä kaiken, koska olemme itse kertoneet henkilötietomme heille. Evästeillä ne pystyvät seuraamaan liikkumistamme myös oman palvelunsa ulkopuolella.

EU ja nettijätit

EU olisi voinut kieltää nettijättejä seuraamasta käyttäjiä, mutta se päätti toimia kuten Suomen hallitus koronarajoituksia suunnitellessaan: kohtaamisten kieltämisen sijaan se yritti kieltää liikkumisen kohtaamisiin. Perustuslakivaliokunta tyrmäsi tällaisen lähestymistavan.

Evästeissä perustuslakivaliokuntana toimii ePrivacy-asetus. Se on pahoin viivästynyt osittain juuri siksi, etteivät jäsenvaltiot ole päässeet sopuun nettiseurannan rajoista.

Kun tiedetään, että asia on näin kesken, kannattaisi välttää liian tiukkoja vanhaan asetukseen perustuvia kannanottoja.

Vaikka lupakyselyt on tähdätty nettijättejä vastaan, ne luultavasti vain nauravat koko asialle. Mitä enemmän julkinen huomio kiinnittyy evästeisiin, sitä vähemmälle huomiolle jäävät kaikki muut seurantatekniikat.

Niin kauan kuin jokin asia on ylipäätään laillista, nettiyhtiöt keksivät tavan saada meiltä luvan siihen. Ihminen luovuttaa mieluummin tietonsa kuin rahansa.

Asian voi kääntää myös päälaelleen: onko EU:lla oikeus kieltää kansalaisia käyttämästä tietojaan maksuna palvelusta, jos nämä itse sitä haluavat? Pitääkö EU:n suojella ihmisiä heiltä itseltään?

Nykyisellään evästeiden problematiikkaan ei ole gdpr:n mukaista ratkaisua. Parasta olisi tehdä asetukset selaimessa, minkä jälkeen se kertoisi palvelimelle sallitun seurannan tason.

Mutta jos kieltäytyminen olisi näin helppoa, kaikki tekisivät sen. Siksi sivustot ja selaimet eivät tule koskaan hyväksymään tällaista vaihtoehtoa. Epäselvää on, olisiko se lopulta edes käyttäjän edun mukaista.

Parasta olisi, jos Eurooppaan syntyisi omia digimarkkinoinnin yrityksiä. Silloin meidän ei tarvitsisi käyttää nettijättien analytiikka- ja mainospalveluita, vaan voisimme tyytyä anonyymiin seurantaan.

Gdpr-aikaa on juuri nyt eletty kolmen vuoden ajan. Paremman tietosuojan piti tukea eurooppalaista alan teollisuutta kilpailussa amerikkalaisia jättejä vastaan. Sitä ei näytä tapahtuneen.

Sääntely on pahuksen vaikea laji.

LÄHDE: TIVI/Petteri Järvinen 07.05.2021