Sivustojen evästesuostumuksiin liittyvät vaatimukset olivat pitkään epäselviä, kunnes Traficom julkaisi syksyllä 2021 uuden evästeohjeistuksen palveluntarjoajille. Tutkitaanpa siis taas hieman keksiasioita ja etenkin sitä, että mitä niissä pitää ottaa huomioon vuonna 2022.
Verkkosivustot & muu digiArtikkelit
Sivuston evästeet, mikä on muuttunut?
Julkaisimme aiemmin blogikirjoituksen Sivuston evästeet ja käyttäjän seuranta, pitääkö kysyä lupa?, jossa pohdittiin ristiriitaisuuksia lain tulkinnasta evästeisiin liittyen. Seuraamme asian etenemistä, ja viimeisin käänne sai taas korvat hörölle. Evästeasioiden käsittely on siirtynyt Liikenne- ja viestintävirasto Traficomille, ja heidän 2021 syksyllä julkaisemansa Evästeohjeistus palveluntarjoajille on selkeyttänyt linjaa hyväksyttävistä evästekäytännöistä.
Esimerkki WTF:n sivuston evästelaatikosta
Mikä on muuttunut?
Aiemmin evästeisiin liittyvää lakia tulkittiin Suomessa eri tavoin. Uusi evästeohjeistus selkiyttää ja yhtenäistää lain tulkinnan sekä hyvät käytännöt. Opas ei ole juridisesti velvoittava, mutta sen noudattaminen auttaa sivuston ylläpitäjiä toimimaan lainmukaisesti evästeasioissa.
Mm. nämä asiat on uuden ohjeistuksen myötä otettava huomioon sivustoilla:
- Evästesuostumukseksi ei riitä käyttäjän selaimen asetus. Käyttäjiltä tulee pyytää aktiivinen suostumus evästeiden käytölle sivustolle tullessa (kuten ylempänä kuvassa evästelaatikosta).
- Evästeiden hyväksyminen ja hylkääminen tulee olla yhtä helppoa. Hylkäys-vaihtoehtoa ei siis voi olla näyttämättä tai vaatia käyttäjää ensin klikkaamaan lisäasetuksia auki löytääkseen sen.
- Opas linjaa välttämättömien ja ei-välttämättömien evästeiden eron, vaikka asiaan jää silti hieman tapauskohtaista tulkintaa. Kuitenkaan esimerkiksi Google Analyticsin kaltaista evästettä ei voida laskea välttämättömäksi.
- Käyttäjän tulee pystyä helposti peruuttamaan evästesuostumuksensa sivustolla ja palveluntarjoajan tulee varmistaa, että peruuttamistoiminto myös poistaa tallentuneet evästeet käyttäjän selaimesta.
Koskeeko evästeohjeistus kaikkia sivustoja?
Ohjeistus koskee kaikkia evästeitä hyödyntäviä sivustoja, joita on varmasti suurin osa sivustoista.
Evästesuostumusta ei kuitenkaan tarvita sivustolla, jonka kaikki evästeet ovat välttämättömiä sivuston toiminnalle. Välttämättömiä ovat mm. tietoturvaa tai saavutettavuutta parantavat evästeet sekä esimerkiksi ostoskorin käytön tai sisäänkirjautuneena pysymisen mahdollistavat evästeet. Näitä teknisiä evästeitä käyttäjä tarvitsee, jotta sivusto toimii oikein.
Ei-välttämättömät evästeet ovat evästeitä, joita sivuston käyttäjä ei ole varsinaisesti pyytänyt. Niitä ovat esimerkiksi analytiikka-, markkinointi- ja sosiaalisen median evästeet. Niiden käyttöön tarvitaan käyttäjän suostumus. Esimerkiksi Google Analytics on hyvin paljon käytetty sivustojen kävijäseurannan työkalu, jonka käyttäminen sivustolla vaatii suostumuksen kävijöiltä.
Miten evästesuostumus tulee pyytää?
- Suostumus tulee pyytää ennen kuin evästeitä asetetaan käyttäjän laitteelle, eli yleensä heti käyttäjän saapuessa sivustolle.
- Suostumuksen on oltava aktiivinen tahdonilmaisu, eli suostumusta ei voi antaa valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta.
- Suostumuksen antamisen, kieltäytymisen ja suostumuksen peruuttamisen tulee olla kaikkien yhtä helposti tehtävissä.
- Suostumuksen pyytämiseen käytettävällä mekanismilla ei tule estää käyttäjän pääsyä sivustolle. Sivuston tulee toimia oletuksena vain välttämättömillä evästeillä, mikäli käyttäjä jatkaa palvelun käyttöä evästevalintoja tekemättä.
- Evästeistä ja muusta tietojen käytöstä, joka edellyttää käyttäjän suostumusta, on informoitava kattavasti siinä yhteydessä, kun käyttäjä tekee evästevalintoja.
- Palveluntarjoajan tulee varmistaa, että mahdolliset käyttäjän laitteelle jo tallentuneet evästeet poistetaan tai ylikirjoitetaan, jos käyttäjä päättääkin estää evästeiden käytön niiden hyväksymisen jälkeen.
- Palveluntarjoajan tulisi kyetä jälkikäteen osoittamaan saamansa suostumus evästeiden käytölle.
Evästebannerin toteutus käytännössä ja haasteet
Eri sivustoilla on erilaisia evästeitä ja toimintoja. Evästeiden lähteet, kuten erilaiset skriptit ja pikselit tulee selvittää, ja estää ne oletuksena. Evästeet on jaettava kategorioihin ja mahdollistettava välttämättömien evästeiden käyttäminen. Evästeitä saattaa tulla myös esimerkiksi Youtube-upotuksista, reCaptcha-tarkistuksista ja chat-ikkunoista. Kaikista evästeistä tulee esittää kuvaus; mihin tarkoitukseen niitä käytetään, mikä on niiden voimassaoloaika ja liittyvätkö ne kolmannen osapuolen palveluihin.
Käyttäjän tulee voida helposti hyväksyä tai hylätä evästeet. Suostumuksen peruuttamisellekin tulee tarjota yhtä helposti saatavilla oleva toiminto, joka mahdollistaa käyttäjän laitteelle sivustolta tallentuneiden evästeiden poistamisen. Traficomin evästeohjeistus kehottaa lisäksi tarjoamaan mahdollisuuden tehdä valintoja eri tyyppisten evästeiden suhteen, mutta valintamahdollisuus ei ole kovin oleellinen, jos luvan vaativia evästeitä ei ole useita.
Parhaimmillaan evästesuostumus pyydetään bannerilla, joka ei huomattavasti häiritse kävijää, mutta johon on saatu mahtumaan kaikki mahdollinen informaatio evästeistä ja käyttäjän valintamahdollisuuksista. Kyseessä on siis sekä tekninen että visuaalinen haaste.
Mikä ratkaisuksi?
Ongelmaa ratkaisemaan on tulvinut markkinoille kuukausimaksullisia kolmannen osapuolen palveluita kuten Cookiebot ja CookiePro, jotka skannaavat automaattisesti sivuston evästeet. Ilmaisversioitakin on saatavilla, joissa on usein rajoituksia esim. sivujen, domainien ja kieliversioiden määrällä, eivätkä siten sovi kaikille sivustoille. Ilmaisversioissa on lähes poikkeuksetta rajallinen bannerien kustomointi, jolloin evästesuostumus näyttää sivustosta ja brändi-ilmeestä irralliselta laatikolta.
Julkaisujärjestelmille, kuten Wordpressille, on saatavilla lisäosia evästesuostumuksen kysymiseen. Lisäosien kanssa saa kuitenkin olla tarkkana ja varmistaa, vastaavatko niiden toiminnot Suomen viranomaisten antamia evästeohjeistuksia. Tietoturvan vuoksi lisäosat on myös syytä muistaa päivittää säännöllisesti.
Kolmas ja suositeltava vaihtoehto on sivustolle yksilöllisesti rakennettava evästelupatoiminto, jos sivuston julkaisualusta sen mahdollistaa. Näin saadaan yrityksen brändiin sopiva, lainmukainen toiminto ja vältytään jatkuvilta kuukausimaksuilta.
Mitä jos evästesuostumusta ei pyydä?
Jos Traficom havaitsee, että palveluntarjoaja on menetellyt lainvastaisesti, se voi huomauttaa asiasta ja velvoittaa korjaamaan asian määräajassa. Traficomilla ei ole toimivaltaa määrätä sakkoja lainvastaisesta menettelystä, mutta se voi asettaa esimerkiksi uhkasakon velvoitteen tehostamiseksi.
Sivustoilla näkee edelleen hyvinkin kirjavia käytäntöjä evästesuostumuksien pyytämisessä ja käsittelyssä, ja monia asioita kierretään tai jätetään huomiotta. Näistä löytyy hyviä (tai huonoja) esimerkkejä Vierityspalkin blogissa Evästelupalaput edelleen yhtä sekamelskaa.
Muutoksia voi olla luvassa
Valmisteilla on uusi ePrivacy-asetus, jonka on tarkoitus täydentää GDPR:ää sähköisen viestinnän tietosuojan osalta. Se tulee todennäköisesti koskemaan myös sähköistä suoramarkkinointia, sekä evästeiden asettamista ja hyödyntämistä. Asetuksen piti tulla voimaan jo vuonna 2019, mutta se on viivästynyt reippaasti. Sen lopullisesta sisällöstä tai julkaisuajankohdasta ei vielä ole varmaa tietoa.
Myös meillä WTF:llä tarkkaillaan tilanteen kehittymistä. Ylläpitämiämme sivustoja seurataan tämän osalta ja asiakkaisiin ollaan yhteydessä, jos sivustoille tulee tehdä lain vaatimia muutoksia.
