Tarkkana evästeiden käytön kanssa – tietosuojavaltuutetulta miljoonasakot verkkoapteekille

Jussi Kataja

Blogit Teknologia ja data

17.06.2025

”Kaikillahan ne on nämä Google Analytics ja Metan seurantapikselit käytössä – niin ja on meillä muutenkin tämä hyväksyn evästeet -laatikko täällä sivuilla.”

Kuulostaako tutulle? Monen verkkokauppaa pyörittävän – kuin myös varmasti monen tietosuojajuristinkin – tekninen ymmärrys siitä, mitä tietoja eri seurantateknologiat ja muut evästeet tarkalleen ottaen verkkosivuvierailijoista keräävät rajoittuu monesti siihen, että evästeiden käytöstä on sivustolla informoitu ja että evästeasetuksia voi tarvittaessa muuttaa. Perehtymättömyys seurantateknologioiden yhteensopivuuteen tietosuojasääntelyn kanssa on helppo ”oikeuttaa” itselleen toiminnan yleisyydellä.

Tietosuojavaltuutetun antaman tuoreen ratkaisun TSV/108/2022 perusteella silmien sulkeminen teknisesti haastavalta asialta ei kannata, vaan jokaisen, joka tuntee piston sydämessään, olisi syytä tarkastaa evästekäytänteensä.

Yksinkertaistaen sanottuna ratkaisussa oli kyse siitä, että Yliopiston apteekin verkkosivustoilla käytössä olleiden seurantateknologioiden – niiden, ”joita ne kaikki muutkin käyttävät” – kautta esimerkiksi Googlelle ja Metalle oli välittynyt tietoa siitä, mitä tuotteita verkkosivuvierailijat olivat tarkastelleet, lisänneet ostoskoriinsa, ja ostaneet. Tämä oli erityisen ongelmallista, kun kyse oli lääkkeiden hankkimiseen liittyvistä henkilötiedoista, jotka ovat erittäin henkilökohtaisia tietoja.

Yli miljoonan euron hallinnollisten sakkojen lisäksi Yliopiston apteekki sai tietosuojavaltuutetulta myös ohjausta seurantateknologioiden käytöstä, josta onneksi myös muillakin on mahdollista ottaa vinkit talteen. Apulaistietosuojavaltuutetun mukaan ”Verkkosivuston seurantaratkaisut on mahdollista toteuttaa niin, että henkilötiedot suojataan samalla asianmukaisesti. Organisaatio voi esimerkiksi valita palveluja, joissa se pystyy aidosti hallitsemaan henkilötietojen käsittelyä tai jotka eivät välitä henkilötietoja eteenpäin.”

Tietosuojavaltuutetun ratkaisun perusteella ilmaispalveluina tarjottavien seurantateknologioiden käytön sijasta on mahdollista esimerkiksi rakentaa seurantaratkaisu palveluunsa itse, ottaa käyttöön palvelu, jossa rekisterinpitäjä tosiasiallisesti hallitsee henkilötietojen käsittelyä, tai anonymisoida tietoja ennen niiden välittämistä eteenpäin.

Teknologiajättien tarjoamien ilmaisten seurantateknologioiden yhteensopivuus eurooppalaisen tietosuojasääntelyn kanssa on herättänyt puhetta ennenkin. Ilmaisuus kun viime kädessä on selittynyt sillä, että evästeillä kerätyt tiedot ovat kauppatavaraa. Tämän ratkaisun myötä silmien ummistaminen asialta on syytä viimeistään lopettaa ja tarkistaa omat evästekäytännöt. Parhaaseen lopputulokseen evästeiden käytössä päästään, kun asiassa yhdistetään tietosuojajuridinen ja tekninen ymmärrys siitä, mitä seurantateknologiat oikeasti käyttäjistä keräävät.

Jussi Kataja