Sivuston evästeet ja käyttäjän seuranta, pitääkö kysyä lupa?

Evästeiden käytöstä ilmoitellaan nykyään monilla sivustoilla. Osa kysyy käyttäjältä suostumuksen, osa näyttää vain ilmoituksen, ja osa ei häiritse käyttäjiä ponnahdusikkunoilla laisinkaan. Mikä on oikea tapa? Tällä hetkellä Suomessa verkkopalveluiden tietosuoja-asioita valvoo kaksi eri tahoa, ja vastaus kysymykseen riippuu osin siitäkin kummalta kysytään.

Moni sivusto noudattaa Liikenne- ja viestintävirasto Traficomin suositusta, jonka mukaan evästeiden tallentamiseen ei tarvita käyttäjän suostumusta popup-ikkunalla. Riittää, että evästeistä kerrotaan sivustolla, ja että käyttäjä on sallinut evästeiden käytön oman selaimensa asetuksissa.

Tietosuojavaltuutetun toimistossa asiaa on tulkittu eri tavalla, sillä EU:n yleisen tietosuoja-asetuksen mukaisesti käyttäjällä tulisi olla mahdollisuus kieltää evästeiden käyttäminen silloin, kun ne eivät ole sivustolle välttämättömiä. Lainsäädännön mukaan käyttäjän suostumuksen pitäisi olla mahdollisimman helposti annettavissa ja poistettavissa. Apulaistietosuojavaltuutettu on 14.5.2020 antanut eräälle yritykselle määräyksen muuttaa suostumuksen keräämistapaa verkkosivustolla, sillä selaimen asetusten ei katsottu riittävän suostumukseksi.

Milloin evästeisiin täytyy pyytää lupa?

EU:n sähköisen viestinnän tietosuojadirektiivin mukaan evästeiden käyttämiselle ei tarvita käyttäjän suostumusta, jos evästeet ovat välttämättömiä sivuston toiminnalle.

Sivustoilla ja verkkokaupoissa käytetään usein evästeitä, jotka mahdollistavat esimerkiksi ostoskorin käytön, sisäänkirjautuneena pysymisen tai asiakaspalveluchatissa keskustelun. Nämä tekniset evästeet ovat sallittuja ilman käyttäjän suostumusta, sillä ilman niitä sivusto ja sen tarpeelliset toiminnot eivät toimisi oikein.

Kaikki muut evästeet vaativat käyttäjältä luvan. Esimerkiksi analytiikkatyökalujen käyttämät seurantaevästeet ja mainonnan kohdentamiseen käytettävät markkinointievästeet ovat GDPR:n mukaan asioita, joille vaaditaan käyttäjän suostumus.

Miten suostumus sitten pyydetään?

Suostumuksen pyytämiseen on siis kaksi tulkintaa:

1. Liikenne- ja viestintävirasto Traficomin mukaan käyttäjän itse asettama asetus selaimessa riittää luvaksi käyttää evästeitä

"Suostumuksen voi jatkossakin antaa esimerkiksi selaimen ja sovelluksen asetuksissa tai ponnahdusikkunalla, kunhan suostumusta ei anneta valmiiksi rastitetun ruudun kautta. "
https://www.traficom.fi/fi/ajankohtaista/evasteisiin-voidaan-jatkossakin-antaa-suostumus-selainasetusten-kautta

(lainattu 17.11.2020)

2. Tietosuojavaltuutetun mukaan evästeiden käyttöön tarvitaan selkeämpi ja aktiivinen suostumus käyttäjältä

"Sitä, että käyttäjälle kerrottiin mahdollisuudesta kieltää evästeiden tallentaminen ja käyttö selainasetuksista, ei voitu pitää sellaisena aktiivisena ja nimenomaisena tahdonilmaisuna, jota pätevän suostumuksen antaminen edellyttää."
https://tietosuoja.fi/-/deputy-data-protection-ombudsman-orders-company-to-change-the-way-it-requests-consent-for-the-use-of-cookies

(lainattu 17.11.2020)

Mikään laki ei varsinaisesti edellytä käyttämään banneria tai ponnahdusikkunaa suostumuksen pyytämiseen, mutta se tuntuu toistaiseksi olevan ainoa pätevä keino, jos suostumus aiotaan pyytää tietosuojavaltuutetun vaatimalla tavalla.

Tietosuojavaltuutetun tulkinnan mukaan käyttäjälle tulisi tarjota mahdollisuus joko hyväksyä tai kieltää evästeet, eli pelkkä ”Ok” nappi ei riitä. Jos on käytössä valintaruutu, ruksi ei saa olla valmiina ruudussa osoittamassa hyväksyntää. Käyttäjän pitäisi myös pystyä muuttamaan valintaansa jälkikäteen helposti. Evästeiden kieltäminen ei saisi aiheuttaa haittaa sivuston käyttäjälle.

Niin mitä nyt sitten pitää tehdä?

Tässä epäselvässä tilanteessa on syytä joko

  • ottaa varman päälle, ja pyytää käyttäjältä suostumus evästeisiin ja seurantaan sivustolla. Tämä voidaan toteuttaa joko rakentamalla itse ponnahdusikkuna ja evästeiden eston mahdollisuus, tai käyttämällä valmista kolmannen osapuolen palvelua (esim. Cookiebot)
  • tai odottaa selkeämpää ohjeistusta ja vedota Traficomin ohjeisiin selaimen asetusten kautta annettavasta hyväksynnästä.

Tärkeintä on, että sivustolta löytyy tiedot käytetyistä evästeistä, niiden voimassaoloajasta, sekä tieto jos kolmansilla osapuolilla on pääsy näihin evästeisiin.

Muutoksia voi olla luvassa

Valmisteilla on uusi ePrivacy-asetus, jonka on tarkoitus täydentää GDPR:ää sähköisen viestinnän tietosuojan osalta. Se tulee todennäköisesti koskemaan myös sähköistä suoramarkkinointia, sekä evästeiden asettamista ja hyödyntämistä, joten evästekäytännöt voivat muuttua tulevaisuudessa. Asetuksen piti tulla voimaan jo vuonna 2019, mutta on viivästynyt reippaasti. Sen lopullisesta sisällöstä tai julkaisuajankohdasta ei vielä ole varmaa tietoa.

Myös meillä WTF:llä tarkkaillaan tilanteen kehittymistä. Ylläpitämiämme sivustoja seurataan tämän osalta ja asiakkaisiin ollaan yhteydessä, jos sivustoille tulee tehdä lain vaatimia muutoksia.

Lisätietoa termeistä

Eväste (engl. cookie) on pieni ja kevyt käyttäjän laitteelle tallentuva tekstitiedosto. Kyseessä ei siis ole ohjelma, tai mikään muukaan, mikä voisi aiheuttaa haittaa käyttäjän laitteelle.

Evästettä ei voi suoraan yhdistää yksittäiseen henkilöön. Evästeen avulla verkkosivusto pysyy esimerkiksi perillä siitä, onko käyttäjä laittanut tuotteita ostoskoriin, onko käyttäjä kirjautuneena sisään, tai minkä kielen käyttäjä on valinnut käytettäväksi. Tällaiset tekniset evästeet ovat hyödyllisiä ja usein myös välttämättömiä verkkopalvelun käytettävyydelle. Yleensä ne ovat istunto- tai sessiokohtaisia evästeitä, eli ne poistuvat käyttäjän laitteelta, kun selain suljetaan.

On olemassa myös pysyviä evästeitä, jotka poistuvat vasta tietyn ajan kuluessa, tai jos käyttäjä itse tyhjentää evästeet selaimen asetuksissa.

Vain evästeen lähettänyt palvelin voi lukea evästettä.

Käyttäjän seuranta

Verkkosivuston käyttäjiä voidaan seurata ja analysoida erilaisten analytiikkaohjelmistojen avulla. Yksi suosituimmista on Google Analytics. Yleensä  tarkoituksena on mitata mainontaa tai kerätä yleistä käyttäjä- ja käyttätymisdataa sivustolta, jotta sivustoa voidaan kehittää paremmaksi. Joillain seurantateknologioilla on mahdollista tunnistaa myös liidejä, ja sivustolla vierailleita yrityksiä. Seuranta tapahtuu usein evästeisiin tallennettavien seurantatunnisteiden avulla.

Mainonta ja kohdentaminen

Kolmannen osapuolen evästeiden ja seurantatunnisteiden avulla kerättyä käyttäjädataa voidaan hyödyntää mainonnan kohdentamiseen. Kohdentamisteknologioilla erilaiset mainosverkostot yhdistelevät käyttäjistä kerättyä dataa eri sivustoilta, ja muodostavat niistä profiileja. Anonyymit profiilit kertovat esimerkiksi mistä käyttäjä on kiinnostunut, ja minkälaista mainontaa hänelle kannattaa kohdentaa.

Esimerkkinä Google Ads ja Facebook Pixel ovat työkaluja mainonnan seurantaan ja kohdentamiseen.

Lähteitä

manda Manda Kosola

WTF-webbivelho, web designer

Tutustu kirjoittajaan

Webdesign Digi
manda

Manda Kosola

WTF-webbivelho, web designer

manda@wtfdesign.fi

Aiheet:

Webdesign Digi

Jaa somessa: